SNMP über Fritz!Box VPN routen

[dksoft2]

Hallo,

ich habe ein VPN Netz mit drei 7170, das funktioniert soweit einwandfrei.

Nun benutze ich einen EPSON Drucker, der soll über das VPN benutzt werden.
Hier ist das Problem, dass der EPSON Treiber vor dem Druck über ipp/lpr den Tintenstand über SNMP abfragt. Bekommt er keine Antwort, so bleibt der Druck stehen.
Leider bekommt er über VPN keine Antwort, da SNMP vom AVM VPN nicht geroutet wird.

Daher meine Frage, wie ich wohl die SNMP Pakete über das VPN bringen könnte. Hat hierzu jemand eine Idee?

Vielen Dank,
dksoft

 

[frank_m24]

Hallo,

Leider bekommt er über VPN keine Antwort, da SNMP vom AVM VPN nicht geroutet wird.

Dafür könnte ich mir zwei mögliche Ursachen vorstellen:
- Es wurden zuweilen Probleme mit der Übertragung von UDP Paketen gemeldet (SNMP arbeitet ja mit UDP).
- In der Firewall der Fritzbox sind die UDP Ports 161 und 162 ausgehend gesperrt (also die SNMP Ports). Früher funktionierte SMB auch nicht über VPN, weil es in der Firewall gesperrt war, bis AVM eine extra Option in der VPN Konfig dafür vorgesehen hat.

Teste zunächst mal andere UDP Pakete über VPN, z.B. mit iPerf. Wenn UDP grundsätzlich funktioniert, dann kümmere dich um die Firewall.

 

[dksoft2]

Hallo Frank,

Danke für die Antwort. Ich werde mal Fein-LAN-Analysieren. Meine groben Traces ergaben, dass SNMP nicht durchkam. Sobald ich etwas erfahre melde ich es hier.

Nach eine Frage bitte: Kann man zwischen den VPN-Netzen auch routen? Bei mir funktioniert es nicht!

Beispiel:
FB7170#1 mit Netz 11.0.0.0 verbindet an FB7270 mit Netz 10.0.0.0.
FB7170#2 mit Netz 12.0.0.0 verbindet an obige FB7270 mit Netz 10.0.0.0.
Alle Klienten im Netz 10.0.0.0 kommen erwartungsgemäß an 11.0.0.0 und 12.0.0.0.
Die Klienten im Netz 11.0.0.0 aber nicht an 12.0.0.0 und umgekehrt. Das sollte von der FB7270 im Netz 10.0.0.0 zwischen den Netzen geroutet werden.

Ich habe mal Routen in die FB7270 eingetragen, hat aber nicht funktioniert. Auch scheint das Routing etwas seltsam, so funktioniert auf der FB7270 in Netz 10.0.0.0 kein Ping u.a. in die anderen Netze 11.0.0.0 und 12.0.0.0. Nur von ausserhalb der FBF7270, d.h. von LAN aus wird geroutet.

Gibt es da einen Trick?

 

[frank_m24]

Hallo,

Nach eine Frage bitte: Kann man zwischen den VPN-Netzen auch routen? Bei mir funktioniert es nicht!

Warum nicht? Das sollte bei einer LAN-LAN Konfiguration gehen.

Erst mal: Ich hoffe inständig, dass die von dir gewählten IP-Bereiche Phantasiewerte zur Veranschaulichung sind. Denn es ist eine äußerst dumme Idee, öffentliche IP-Bereiche hinter einem NAT Router als Subnetz einzurichten - und die Netze 11.0.0.0 und 12.0.0.0 sind öffentliche Bereiche. Damit sperrst du deine Rechner von sämtlichen Rechnern im Internet aus, die diese IPs benutzen. Nicht sehr clever!

Die Klienten im Netz 11.0.0.0 aber nicht an 12.0.0.0 und umgekehrt. Das sollte von der FB7270 im Netz 10.0.0.0 zwischen den Netzen geroutet werden.

Die 7270 wird das auch tun. Aber wissen die beiden 7170, wo sie das jeweils andere Netz zu suchen haben?
Die VPNs sind so ausgelegt, dass nur der Traffic ins Zielsubnetz über die VPN Tunnel geleitet wird. Der Rest geht übers Defaultgateway. Die 7170#1 kennt ihr lokales Subnetz und das auf der anderen Seite des VPNs. Jetzt kommt eine Anfrage für ein völlig fremdes Netz rein. Was wird sie tun? Genau: Ab ins Internet, nicht in den VPN Tunnel.
Du musst den beiden 7170 folglich durch statische Routen beibringen, dass sie das jeweils andere VPN Netz durch den VPN Tunnel erreichen können, das Gateway ist die erreichbare IP der 7270. Dann sollte es gehen.

 

[LeCaptain]

Hier ist das Problem, dass der EPSON Treiber vor dem Druck über ipp/lpr den Tintenstand über SNMP abfragt. Bekommt er keine Antwort, so bleibt der Druck stehen.
Leider bekommt er über VPN keine Antwort, da SNMP vom AVM VPN nicht geroutet wird.

Daher meine Frage, wie ich wohl die SNMP Pakete über das VPN bringen könnte. Hat hierzu jemand eine Idee?

Saluti dksoft,

ich habe kurz einen NIC Trace einer IPSEC FRITZ!BOX bezüglich SNMP (UDP 161) für Dich erstellt, um Dir helfen können.

URSACHE:
Trace zeigt exakte Ursache dazu.

UDP Port 161 (SNMP) wird seitens FRITZ!BOX geblockt. "Code: 13 (Communication administratively filtered)" bedeutet, dass dies von AVM so gewollt ist. Also per Design.


LÖSUNG:
Verlagere zur Lösung die SNMP Kommunikation auf einen anderen UDP Port, welcher von der FRITZ!BOX nicht blockiert wird, z.B. 261 (anstatt 161). Unter Windows kannst Du den Port, welcher für SNMP zum Einsatz kommt, in der Datei "services" (C:\WINDOWS\system32\drivers\etc) festlegen.

Hoffe das hilft Dir weiter. Alles Gute,
Captain MESO

 

[sf3978]

Der Thread wurde im März 2008 gestartet.

Vielleicht hat er das Problem auch schon so gelöst:

In der Datei ar7.cfg, die Zeile:

reject udp any any range 161 162 /*AVM*/

wie folgt geändert:

reject udp any any eq 162

Diese Methode ist etwas "risikoreicher" (nvi oder cat/vi), aber sie funktioniert.