Routingproblem zwischen 2 Netzen

Es gibt 6 Antworten in diesem Thema, welches 2.181 mal aufgerufen wurde. Der letzte Beitrag () ist von justanobi.

    Moin moin,


    ich habe ein wahrscheinlich ein kleines Routingproblem. Zu mindestens vermute ich dies als Laie.


    Ich stehe vor einer grundsätzlich einfachen Aufgabe. Netz A mit Netz B verbinden.

    Beide Netze sind und sollen auch weiterhin autark bleiben (Internetzugang/DHCP/etc.)

    Eine Skizze der beiden Netze (mit den relevanten Daten, im Netz B sind noch weitere diverse Unifi AccesPoint und Kameras vorhanden) habe ich angehangen zum Verständnis.


    Zielsetzung ist es, dass Clients des Netzes A Zugang zu den Kamerastreams des NVR und zu den Clients im VLAN 10.10.90.0/24 von Netz B bekommen und zwar über eine direkte Verbindung.


    Istzustand: Beide Netzte befinden sich im selben Gebäude und hängen am selben Potentialausgleich. Ein Cat6 Kabel liegt von Netz A nach Netz B. Das abschotten der Clients und Netze untereinander via Firewall ist kein Problem, zur Fehlersuche habe ich diese zeitweise abgeschaltet bzw anyanyany regeln erstellt.

    Durch die aktuelle VPN-Verbindung mittels wireguard funktioniert es Problemlos zwischen den beiden Netzten via Internet.


    Netz A: Wireguard“client“ auf RaspberryPi, statische Route in der Fritzbox: Ziel 10.10.0.0/16 via IP des Raspberry.

    Netz B: Wireguardserver in einem Proxmox Container, Dyndns Adresse, regelmäßiger refresh des der Namensauflösung via Cron, Port forwarding in der UDM sowie statische Route in der UDM: Ziel 192.168.178.0/24 via IP des Wireguardcontainers.

    Funktioniert. Kamerazugriff und die Webinterface lassen sich problemlos aufrufen.


    Die VPN-Verbindung soll aber abgelöst werden, da die Möglichkeit einer lokalen Verbindung besteht.

    Dazu stehen mir 2 Router/Switche zur Verfügung: UNIFI USG 3Port sowie der Edgerouter X

    Das Fehlerbild ist sowohl mit der USG als auch dem ER-X dasselbe, daher gehe ich davon aus das diese OK sind.


    Die Konfigurationen waren wie folgt:

    Beim Edgerouter: Eingang Netz A DHCP Eingang Netz B DHCP, auf das Interface von Netz B entsprechende Vlan Interfaces angelegt. Entsprechende statische Routen in Fritzbox und UDM geändert.

    Alternativ:

    Bei der USG: Netz A und P als WAN angelegt und auf 2 Interfaces gemappt. Statische Routen auf die VLANS angelegt. Entsprechende statische Routen in UDM und Fritzbox geändert.


    Problembeschreibung: Keine stabile Verbindung von Netz A nach Netz B. Pingen kann ich von Clients aus beiden Netzen zu Clients des anderen Netzes. Rufe ich im Netz A aber zum Beispiel einen Kamera Stream auf kommt keine Verbindung zustande. Auch diverse Webseiten (Webinterface der UDM Pro oder des proxmox im Netz B brauchen sehr lange zum Aufbau oder brechen die Verbindung ab). Das Webinterface der Fritzbox kann ich aber ohne Probleme aus Netz B aufrufen.

    Das Kabel habe ich mit 2 verschiedenen Testgeräten getestet. Zu mindestens sind beide Enden korrekt aufgelegt/terminiert. Viel mehr kann mein günstiger Tester nicht.

    Die Laufzeiten der Pingpakete liegen zwischen den Clients aus Netz A und B je bei ca 5-6ms. Wenn ich mich direkt an ein Interface der USG/ER-X hänge sind die Laufzeiten ins Netz A bei <1ms. Die „langen“ Laufzeiten verursacht also Netz B. Die Traceroute A nach B bzw B nach A sieht auch gut aus. A->B Fritzbox->USG/ER-R->UDM->Client bzw. umgekehrt.


    Wie kann ich jetzt weiter auf Fehlersuche gehen oder mache ich irgendwo was Grundsätzlich falsch?

    Netz A ist das Fremdnetz, hier kann ich weder die Fritz Box noch andere Hardware ersetzen, hinter die Fritz Box kann ich jedoch packen was ich will solange der Istzustand des Netzes nicht geändert wird. Netz B ist meines, hier kann ich walten wie ich möchte.

    Hallo justanobi,


    willkommen im Forum!

    Ich würde Dir gerne weiterhelfen, steige aber so Recht nicht durch Deine Infrastruktur durch.


    Netz A und B sind im selben Gebäude, aber innerhalb von Netz B nutzt Du NanoBeams?


    Wenn Du die für erweitertes Networking nicht so geeignete FritzBox in Netz A nicht ersetzen kannst, kann ein Ansatz so aussehen: USG mit den jeweiligen Netzen aus A und B konfigurieren, natürlich als LAN, nicht als WAN. Die statische Route in der FritzBox über den Hop "USG" auf das Kamera-Netz zeigen lassen.

    Wenn es nur um Zugriffe aus Netz A auf Netz B geht, ist es damit an dieser Stelle auch schon getan, statische Routen im USG braucht es auf keinen Fall.


    Probiere dies doch einmal so aus, die USG am besten vorher komplett zurücksetzen. Wenn es weiterhin zu Fehlern oder Abbrüchen kommt, können wir weitersehen.

    Hi,

    danke für die Rückmeldung. Genauso wie du es beschreibst habe ich es gemacht mit dem ER-X. Ergebnis war das die ICMP Pakete eines Pings problemlos funktionieren. Sobald aber etwas größeres übers Netz läuft, hier z.B. ein Kamera Stream (unabhängig ob RTSP oder HTTP Stream), keine Verbindung zu Stande kommt bzw. abbricht.


    Ich hatte zuerst den ER-X aufgrund des alters in verdacht, daher die USG. Bei dieser ist das verhalten aber identisch. Das CAT6 scheint in Ordnung zu sein. In Ermangelung eines besseren Testgerätes, habe ich es mal direkt in den USW gesteckt (ohne USG dazwischen) und am anderen Ende direkt einen Laptop. Hat alles Funktioniert. Laptop hat IP bekommen und der Kamerastream lief anstandslos.


    Die Nanobeams dienen dazu den Garten/Hof anzubinden. Hier muss ich mir auch noch was mit den beiden USW Flex überlegen, die aktuell parallel am Nanobeam hängen.


    Bei der Konfiguration der USG bin ich leider raus. Hier habe ich im Controller keine Möglichkeit gefunden die Lanports entsprechend zu konfigurieren. Daher der Weg über WAN Ports. Funktioniert ja auch. Geroutet wird auch korrekt, zu mindestens die ICMP Pakete. Die Verbindung/das Routing zwischen den Netzen ist hier ja augenscheinlich nicht das Problem. Das selbe Problem tritt ja auch auf wenn ich den ER-X mit entsprechenden Lanports nutze statt der USG.


    Ich vermute eher das hier entweder die Fritzbox oder die UDM den traffic extrem verlangsamt. Ich habe aber keine Ahnung wie ich das prüfen kann. Vielleicht ist es auch ein NAT-Problem oder ähnliches.

    Von einem Client im Netz A zu einem einem Client im Netz B habe ich auch einen Packetloss auf der FritzBox sowie der USG


    Netz A

    192.168.178.1 ist die Fritte

    192.168.178.58 ist die USG

    10.10.98.10 ist ein client im Netz B (einer meiner Debian/Proxmox Server)


    Target Name: 10.10.98.10

    IP: 10.10.98.10

    Date/Time: 14.07.2023 21:31:23 - 14.07.2023 21:41:23

    Hop- Sent- PL%- Min- Max- Avg- Host Name / [IP]

    1- 45-24-3,41-231,78-15,52-fritz.box [192.168.178.1]

    2- 45-16-3,89-215,49-16,49-bridge2Oberon.fritz.box [192.168.178.58]

    3- 45-0- 4,39-321,45-29,87-10.10.98.10 [10.10.98.10]


    Umgekehrt von Netz B nach A kein Packetloss

    Netz B:

    10.10.201.1 ist die UDM Pro

    10.10.98.189 ist die USG

    192.168.178.133 ist ein Client im Netz A (ubunutu)


    Target Name: 192.168.178.133

    IP: 192.168.178.133

    Date/Time: 14.07.2023 21:35:10 - 14.07.2023 21:45:10


    Hop-Sent-PL%-Min-Max-Avg-Host Name / [IP]

    1-64-0-2,16-13,85-4,56-10.10.201.1 [10.10.201.1]

    2-64-0-3,35-7,79-4,77-ubnt [10.10.98.189]

    3-64-0-4,39-10,31-5,50-192.168.178.133 [192.168.178.133]



    Würde es nur um die Kamera gehen, könnte ich auch das Kabel von Netz A direkt mit dem Lanport des UNVR verbinden. Und Netz B Nutzt den SFP+ Port. Aber es wird auch noch ein Zugang in das WLAN Netz 10.10.90.0 von Netz A benötigt. Hier hängen diverse Aktoren für Tore und Schalter drin. Größten teils Shellys welche dem Nutz von Netz A gehören.

    Auf der USG sollte IDS/IPS abgeschaltet sein, das ist Dir sicherlich eh klar.


    Testen bzw. sich der Fehlerursache annähern würde ich mich so:


    - Laptop direkt an "Netz A-Port" der USG hängen und Verbindung prüfen

    - andere FritzBox leihen, an "Netz A-Port" der USG hängen, Laptop dahinter und Verbindung prüfen


    Diese Erkenntnisse sollten schon mal in eine Richtung deuten.


    Dass Du irgendwo im LAN versehentlich einen Loop erzeugt hast, ist ausgeschlossen?

    Ok, habe alles auf Anfang gesetzt.

    Die USG habe ich wieder aus dem Netz genommen und den ER-X eingehangen. Mit diesem kenne ich mich besser aus.


    Aufbau ist jetzt wie folgt:

    Netz B:

    Fritzbox LAN 1 an eth2 des ER-X IP: 192.168.178.63

    eth2 des ER-X auf DHCP, IP-Zuweisung über Fritzbox, dort dem ER-X die IP Dauerhaft zugewiesen.

    Statische Route in der Fritzbox: Netzwerk 10.10.0.0 Maske 255.255.0.0 Ziel 192.168.178.63


    Netz A:

    UDM Pro Port 2 an eth1 des ER-X IP 10.10.200.145

    eth1 des ER-X auf DHCP, IP-Zuweisung über UDM Pro, dort dem ER-X die IP Dauerhaft zugewiesen

    Statische Route in der UDM Pro: Destination: 192.168.178.0/24 Value: 10.10.200.145


    Netz C:

    Aufgebaut durch den ER-X an eth0

    IP: 192.168.1.1 an eth0

    Client auf 192.168.1.2 gesetzt Gateway auf 192.168.1.1 Maske auf /24 bzw 255.255.255.0


    Die Verbindungen habe ich einmal über Pathping und einmal über MTR getestet, beide tools kommen zu unterschiedlichen Ergebnissen.


    Ergebnisse von Pathping:

    obi1 = mein Laptop/Client

    10.10.201.1 = Gateway im Netz B (Die UDM Pro)

    Von Netz B nach Netz A:

    Pathping:

    MTR:


    Net A nach B:

    Pathping:

    MTR:

    Netz C nach A:

    Weder Netz A noch B erreichbar.


    Routingtable des ER-X:

    Interfaces der ER-X:


    Was auffällig ist, das auch das Webinterface des ER-X extrem Träge ist und Zeitweise auch nicht erreichbar ist, unabhängig von welchem Netz aus ich versuche es zu erreichen. Hier habe ich immer noch den verdacht, das dieser ein grundsätzliches Problem hat.


    Um das ganze mit der USG umzusetzen brauch ich leider mehr Unterstützung wie es mit dieser funktioniert, hier weiß ich einfach nicht wo die entsprechenden Einstellungen im Controller zu finden sind, bzw. wie man die Ports dort entsprechend konfiguriert. Und zwar am besten für einen DAU.

    Hmm, das mit dem Netz C würde ich erst einmal ganz weglassen, bis es zwischen den beiden anderen Netzen gut läuft. Hat sonst zu viel Konfusionspotential. :grinning_squinting_face:

    Einen Edge Router habe ich leider nie benutzt, dazu kann ich nichts sagen (sicherlich aber andere Mitleser).


    Auch mit der DAU-Anleitung für das USG kann ich leider nicht weiterhelfen, da meine schon länger nicht mehr in Betrieb ist. Ich habe aber ein Setup ganz ähnlich wie Deines bei Kunden in Betrieb: Firma 1 muss auf ein Gerät in Firma 2 zugreifen, zwischen beiden Netzen hängt ein USG - daher weiß ich, dass es funktioniert.


    Grundsätzlich: Du setzt das USG auf Werkszustand zurück, adoptierst es im Controller (Das Prinzip des Controlles ist Dir klar, oder? Du hattest das Ganze ja wohl schon einmal halbbwegs eingerichtet...).

    Aktualisierung auf die neuste Firmware ist obligatorisch, dann legst Du im Controller die beiden existierenden Netze A und B an, verpasst der USG dabei aus beiden Netzen jeweils eine feste IPv4-Adresse. Vermutlich musst Du in den Port-Einstellungen dann jeweils ein Netz zuordnen. IPS usw. wie gesagt abschalten.


    Probiere es doch noch einmal und poste im Zweifel Screenshots aus dem Controller, wenn Du fest hängst.


    EDIT: Schau Dir doch mal dieses Bild aus einem anderen Thread hier im Forum an. Bei Dir wäre der WAN-Port dann nicht grün (weil nicht benutzt), WAN"/LAN" sollte auf "LAN" konfiguriert sein.

    Einmal editiert, zuletzt von Networker ()

    EDIT:


    Promlem gelöst. Vergesst den Quatsch unten.


    Lösung:

    In der Fritzbox 5590 FIBER musste ich im Menü -> Hilfe und Support -> Fritz!boxSupport die Hardwarebeschleunigung für Packete ausschalten. Jetzt läufts stabil. Mal schauen wie das deaktivieren den Durchsatz beeinflusst.




    So nach langer Zeit bin ich das Projekt mal wieder angegangen.


    Leider immer noch ohne Erfolg. Verbindung ist zwar da aber nicht stabil.


    nochmal die Zusammenfassung:


    Gegeben sind 2 bestehende Netzwerke im selben Haus welche physikalisch verbunden werden sollen. Ziel: Netzwerk A soll auf das Netz 192.168.178.0/24 zugreifen können und Netzwerk B auf das Netz 10.10.90.0/24. Kein Hexenwerk normalerweise.


    Verbindung:

    Fritzbox Lan 1 -> Kupfer RJ45 -> Medienwandler -> 50 Meter LWL dual -> Medienwandler -> Kupfer RJ45 -> USG -> Kupfer RJ 45 ->USW 24 POE Port 14

    alternativ mit selben Ergebnis

    Frtitzbox Lan 1 -> Kupfer RJ45 -> USG -> Kupfer RJ 45 ->USW 24 POE Port 14


    Netzwerk A:

    UDM Pro, UDM Aggregation, UDM UNVR, Pro Max 24 Poe, USW 24 Poe, Div. Accesspoints


    Default Netz:

    10.10.200.0/24

    Weitere Netze:

    10.10.90.0/24, 10.10.200.0/24, 10.10.201.0/24, usw.


    Netzwerk B:

    Fritzbox 5590 Fibre, Fritz Repeater, Devolo D-Lan


    Netz: 192.168.178.0/24


    Was zur Verbindung zur Verfügung steht:

    USG-3P, Mikrotik hEX S, Edgerouter X


    aktueller Stand mit der USG:


    Fritzbox Lan1 an USG Lan1

    statische route in der Fritzbox

    Lan1 der USG 192.168.178.199




    UDM Pro:

    Port 14 des USW 24 POE an LAN2/(WAN2) der USG

    statische Route eingetragen

    Netz in der USG angelegt und zugeordnet.



    Die Verbindung ist auch da.


    Ich kann sowohl aus dem 10.10.90.0/24 Netz das 192.167.178.0/24 Netz anpingen und Tracern und umgekehrt.


    Es bleibt aber immer noch das ABER:

    Vom 10.10.90.0er kann ich ohne Probleme auf Dienste und Geräte im 192.168.178.0er zugreifen.

    Vom 192.168.178.0er kann ich aber keine stabile Verbindung aufbauen, hier bricht die Verbindung immer ab. mehr als kleine Pakete gehen nicht durch.


    Das selbe habe ich sowohl mit dem Edgerouter und dem Mikrotik.


    Die Config des USG scheint also zu passen. Der Fehler bzw. die falsche Einstellung scheint wohl eher auf Seiten der Fritzbox oder der UDM zu liegen.

  • justanobi

    Hat das Label von offen auf erledigt geändert.