12
Vigor167 im LAN lässt Netzwerke zusammenbrechen
Moin zusammen,
ich habe gestern bei einem Kunden das Netzwerk umgebaut. Das neue Netzwerk besteht aus:
Wie immer, habe ich zunächst das Grundnetzwerk mit Switchen und Accesspoints aufgebaut, die beiden Internetverbindungen (VDSL) hergestellt und alles eingerichtet. Lief auch alles wunderbar und flott, wie zu erwarten war.
Später habe ich dann sämtliche Geräte verbunden und hatte dann dass Problem, dass in den VLANs keine IP-Adressen mehr vergeben wurden.
Als Übeltäter habe ich dann einen der Vigors identifiziert. Ich dachte mir, es wäre eine gute Idee diese ebenfalls in das Netzwerk zu holen um den DSL-Status prüfen zu können (eine der Leitungen war bislang problematisch).
https://www.draytek.de/vigor167.html
Die Vigors laufen im Modem Modus, sprich P2 wird für die Verbindung zum Router verwendet und P1 mit fixer IP für die Anbindung ins LAN. Bei einem Gerät funktioniert das wunderbar, bei dem anderen rastet das Netzwerk nach 3-4 Sekunden komplett (alle VLANs, außer dem in welchem sich der Vigor befindet) aus und wird unbrauchbar.
Firmware ist aktuell, Geräte sind identisch konfiguriert mit fixen unterschiedlichen IPs im LAN.
WTF passiert hier? ¯\_(ツ)_/¯
ich habe gestern bei einem Kunden das Netzwerk umgebaut. Das neue Netzwerk besteht aus:
- 1x Ubiquiti UDM-Pro
- 1x Ubiquiti USW-48-POE
- 3x Ubiquiti US-8-POE
- 10x Ubiquiti U6+
- 2x Vigor167
- usw.
Wie immer, habe ich zunächst das Grundnetzwerk mit Switchen und Accesspoints aufgebaut, die beiden Internetverbindungen (VDSL) hergestellt und alles eingerichtet. Lief auch alles wunderbar und flott, wie zu erwarten war.
Später habe ich dann sämtliche Geräte verbunden und hatte dann dass Problem, dass in den VLANs keine IP-Adressen mehr vergeben wurden.
Als Übeltäter habe ich dann einen der Vigors identifiziert. Ich dachte mir, es wäre eine gute Idee diese ebenfalls in das Netzwerk zu holen um den DSL-Status prüfen zu können (eine der Leitungen war bislang problematisch).
https://www.draytek.de/vigor167.html
Der Vigor167 verfügt über 2 Gigabit Ethernet LAN-Ports, um Ihre bestehende Netzwerkstruktur einfach und schnell einzubinden. Sie können beispielsweise Ihren Einwahl-Router über LAN Port 1 anschließen und gleichzeitig über LAN Port 2 auf das Modem zugreifen, um Statusinformationen zu überwachen.
Die Vigors laufen im Modem Modus, sprich P2 wird für die Verbindung zum Router verwendet und P1 mit fixer IP für die Anbindung ins LAN. Bei einem Gerät funktioniert das wunderbar, bei dem anderen rastet das Netzwerk nach 3-4 Sekunden komplett (alle VLANs, außer dem in welchem sich der Vigor befindet) aus und wird unbrauchbar.
Firmware ist aktuell, Geräte sind identisch konfiguriert mit fixen unterschiedlichen IPs im LAN.
WTF passiert hier? ¯\_(ツ)_/¯
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22194930192
Url: https://administrator.de/contentid/22194930192
Printed on: April 27, 2024 at 14:04 o'clock
12 Comments
Latest comment
Moin,
keine Lösung aber eine Idee.
Ich hatte ein ähnliches Problem mit Telekom-TV-Boxen.
Der Kunde hatte statt 1 Master und n Slave einfach nur n Master gekauft.
Das führte zu lustigen Broadcast-Stürmen welches manchmal die Switch geflutet hatte.
Im Backend war das nicht zu sehen. Nur an den wilden LEDs auf allen Ports.
Stefan
keine Lösung aber eine Idee.
Ich hatte ein ähnliches Problem mit Telekom-TV-Boxen.
Der Kunde hatte statt 1 Master und n Slave einfach nur n Master gekauft.
Das führte zu lustigen Broadcast-Stürmen welches manchmal die Switch geflutet hatte.
Im Backend war das nicht zu sehen. Nur an den wilden LEDs auf allen Ports.
Stefan
Moin,
ich glaube nicht, dass der Draytek "schuld" ist. Das sieht für mich nach einem Loop oder doppelt vergebener IP-Adresse aus. Vergibst Du die Adressen im Management-Netz per Hand? Dann kann das schnell passieren.
Wenn das Problem auch mit nur dem einen ("fehlerhaften") Draytek auftritt, deutet das in Richtung doppelte IP, wenn dann nicht mehr, liegt dass Problem wohl eher in der Verkabelung oder fehlerhaftem Routing.
Was geben denn die Logs bei so einem Unifi Pro her?
Netzwerkplan wäre nicht schlecht. Ein Wireshark bringt Dich wahrscheinlich auch schneller ans Ziel, als lange rumzurätseln.
Viele Grüße, commodity
ich glaube nicht, dass der Draytek "schuld" ist. Das sieht für mich nach einem Loop oder doppelt vergebener IP-Adresse aus. Vergibst Du die Adressen im Management-Netz per Hand? Dann kann das schnell passieren.
Wenn das Problem auch mit nur dem einen ("fehlerhaften") Draytek auftritt, deutet das in Richtung doppelte IP, wenn dann nicht mehr, liegt dass Problem wohl eher in der Verkabelung oder fehlerhaftem Routing.
Was geben denn die Logs bei so einem Unifi Pro her?
Netzwerkplan wäre nicht schlecht. Ein Wireshark bringt Dich wahrscheinlich auch schneller ans Ziel, als lange rumzurätseln.
Viele Grüße, commodity
2
Das sieht für mich nach einem Loop oder doppelt vergebener IP-Adresse aus. Vergibst Du die Adressen im Management-Netz per Hand?
Korrekt händisch vergeben. Ich habe es jetzt aber bestimmt 4x überprüft. Die IP wird nur vom Draytek verwendet. Ich könnte aber mal eine andere IP oder DHCP ausprobieren und gucken was dann passiert.
Was geben denn die Logs bei so einem Unifi Pro her?
Ehrlich gesagt nichts ... nicht mal die Last ist auffällig.
Das führte zu lustigen Broadcast-Stürmen welches manchmal die Switch geflutet hatte.
Im Backend war das nicht zu sehen. Nur an den wilden LEDs auf allen Ports.Genau das! Man steckt den betroffenen Draytek ein und die LEDs feiern nach 3-4 Sekunde eine stroboskopisch Party.
Zitat von @anteNope:
Genau das! Man steckt den betroffenen Draytek ein und die LEDs feiern nach 3-4 Sekunde eine stroboskopisch Party.
Genau das! Man steckt den betroffenen Draytek ein und die LEDs feiern nach 3-4 Sekunde eine stroboskopisch Party.
Moin,
Scheint ein Loop zu sein, sagt meine Kristallkugel.
Mal die VLANs/Switchverbindungen uberprüfen.
lks
Scheint ein Loop zu sein, sagt meine Kristallkugel.
Aber wieso ist der Loop dann weg wenn ich einen Client (DrayTek LAN Port) rausziehe? Mein Verständnis von einem Loop ist da etwas anders ...Btw. die Unifi Dinger haben eine Loop-Erkennung und deaktivieren Ports bei einem Loop.
Die beiden Ports arbeiten sehr wahrscheinlich im Bridge Mode so das du eine Layer 2 Kopplung hast.
Das ist auch insofern fatal als am Modem das öffentliche Internet ohne Schutz angeschlossen ist.
Bei den Vigors sollte man deshalb niemals im Produktivbetrieb den 2 Port aktiv in einem Netzwerk anschliessen. Du generierst vermutlich einen Layer 2 Loop mit Broad- oder Multicast Traffic der dir dann das Segment lahmlegt.
Hier wäre es sinnvoll gewesen mal einen Wireshark dazwischenzuklemmen. Dann hättest du sofort gesehen was da an dem angeblichen Monitoring Port passiert und eine Frage wie "...passiert hier?" wäre dann obsolet gewesen.
Kommt man als Netzwerk Admin auch ohne Thread von selber drauf. 
Hardwaretechnisch ist ein Zyxel VMG3006 bei einem Modem die bessere Wahl weil das zwei wirklich physisch getrennte Interfaces mitbringt was beim Vigor nicht der Fall ist.
Nebenbei muss man den 2ten Port auch gar nicht nutzen sondern kann das bequem und vor allem sicher hinter der Firewall über den aktiven Modemport machen. Guckst du hier:
Modem Management 1
Modem Management 2
Gleiches sollte auch für die gruseligen UBQT Gurken gelten!
Das ist auch insofern fatal als am Modem das öffentliche Internet ohne Schutz angeschlossen ist.
Bei den Vigors sollte man deshalb niemals im Produktivbetrieb den 2 Port aktiv in einem Netzwerk anschliessen. Du generierst vermutlich einen Layer 2 Loop mit Broad- oder Multicast Traffic der dir dann das Segment lahmlegt.
Hier wäre es sinnvoll gewesen mal einen Wireshark dazwischenzuklemmen. Dann hättest du sofort gesehen was da an dem angeblichen Monitoring Port passiert und eine Frage wie "...passiert hier?" wäre dann obsolet gewesen.
Kommt man als Netzwerk Admin auch ohne Thread von selber drauf. Hardwaretechnisch ist ein Zyxel VMG3006 bei einem Modem die bessere Wahl weil das zwei wirklich physisch getrennte Interfaces mitbringt was beim Vigor nicht der Fall ist.
Nebenbei muss man den 2ten Port auch gar nicht nutzen sondern kann das bequem und vor allem sicher hinter der Firewall über den aktiven Modemport machen. Guckst du hier:
Modem Management 1
Modem Management 2
Gleiches sollte auch für die gruseligen UBQT Gurken gelten!
1Die beiden Ports arbeiten sehr wahrscheinlich im Bridge Mode
Dann würde das Problem doch auch beim anderen Vigor auftreten. Da macht der Kollege @anteNope das doch ebenso.Zitat von @anteNope:
Irgendwie habe ich mir das gedacht. Nun, Du wirst wissen, warum Du das verbaust. Ich find es bei Netzwerkproblemen immer ganz schön, wenn ich was sehe. Kann ja auch mal was vitales sein.Was geben denn die Logs bei so einem Unifi Pro her?
Ehrlich gesagt nichts ... nicht mal die Last ist auffällig.Ich klemm mich nachher mal an meinen Draytek und gucke, wie der das macht.
Viele Grüße, commodity
Edit:
So, ich habe nur einen 165 hier. Ein 167 kommt aber die Tage noch. Sollte aber egal sein.
Die Ports scheinen gebridged zu sein. In der Config des Draytek findet sich folgender Hinweis:
Ich habe nun meinen Port 2 mal in mein working-VLAN genommen und den Port getorcht, da ist nichts auffälliges dabei. Das gesamte Netzwerk verhält sich normal. Port 1 des Draytek macht Modem und ermöglicht dem Router PPoE, Port 2 ist im VLAN meines Notebooks und kann ohne weiteres erreicht werden. Das Netz bleibt stabil. Es laufen ein paar Broadcasts und die WebUI-Connection über den Port, weiter nichts.
Ich glaub nicht, dass (bei korrekter Konfiguration) mein RB5009 das nennenswert anders macht, als der Unifi. Klar, Unifi leistet sich zuweilen seltsame Dinge, aber ein WAN-Setup ist ja nun Standard für einen Router.
Ein physical Loop, wie Kollege @aqui ihn anspricht, kann IMO nur vorliegen, wenn die Ports für PPoE und das LAN für die WebUI physisch connectet sind. Das ist bei mir nicht der Fall (das WAN kommt auf einem eigenen Interface rein und wird ins LAN geroutet) aber das machen doch wohl alle so, oder nicht?
Wenn natürlich das WAN auf dem Draytek2 per TCP/IP ankommt und zugleich noch auf der selben Bridge liegt, wie das Interface für das WebUI, dürfte in der Tat eine physische Verbindung auf Layer2 vorliegen. Dann aber würde doch sofort STP anschlagen, so dass auch dann ein Problem nicht entstehen sollte.
Ich gehe weiter von einem Loop durch Konfigurationsfehler aus. Solange ein Netzwerkplan fehlt, kann man hier nur rumraten. Verstehe auch gar nicht, dass selbst die Admins aus dem Forum solche Infos hier nicht gleich zücken. Netzwerk ist doch kein Ratespiel.
Viele Grüße, commodity
So hier des Rätsels Lösung. P1 und P2 vom Vigor sind tatsächlich gebridgt. Ebenso scheinbar die Ports 1-8 der Unifi. Zwar kann man Port 8 für WAN oder VLAN konfigurieren, das reicht aber scheinbar nicht aus. Sobald Lan vom Vigor auf 1-7 liegt und WAN auf 8 gibt es Broadcast Storm. Das entsprechende Monitoring habe ich mun gefunden 😅. WAN auf Port 10 oder 11 verlegen behebt das Problem. Weil die Ports 9, 10,11 sind von den anderen physikalisch getrennt.
2Zitat von @anteNope:
So hier des Rätsels Lösung. P1 und P2 vom Vigor sind tatsächlich gebridgt. Ebenso scheinbar die Ports 1-8 der Unifi. Zwar kann man Port 8 für WAN oder VLAN konfigurieren, das reicht aber scheinbar nicht aus. Sobald Lan vom Vigor auf 1-7 liegt und WAN auf 8 gibt es Broadcast Storm. Das entsprechende Monitoring habe ich mun gefunden 😅. WAN auf Port 10 oder 11 verlegen behebt das Problem. Weil die Ports 9, 10,11 sind von den anderen physikalisch getrennt.
So hier des Rätsels Lösung. P1 und P2 vom Vigor sind tatsächlich gebridgt. Ebenso scheinbar die Ports 1-8 der Unifi. Zwar kann man Port 8 für WAN oder VLAN konfigurieren, das reicht aber scheinbar nicht aus. Sobald Lan vom Vigor auf 1-7 liegt und WAN auf 8 gibt es Broadcast Storm. Das entsprechende Monitoring habe ich mun gefunden 😅. WAN auf Port 10 oder 11 verlegen behebt das Problem. Weil die Ports 9, 10,11 sind von den anderen physikalisch getrennt.
Auf meine Kristallkugel ist also doch Verlass. Habe ich von einer Zigeunerin in den 70ern bekommen.
lks
Zitat von @Lochkartenstanzer:
Auf meine Kristallkugel ist also doch Verlass. Habe ich von einer Zigeunerin in den 70ern bekommen.
lks
Zitat von @anteNope:
So hier des Rätsels Lösung. P1 und P2 vom Vigor sind tatsächlich gebridgt. Ebenso scheinbar die Ports 1-8 der Unifi. Zwar kann man Port 8 für WAN oder VLAN konfigurieren, das reicht aber scheinbar nicht aus. Sobald Lan vom Vigor auf 1-7 liegt und WAN auf 8 gibt es Broadcast Storm. Das entsprechende Monitoring habe ich mun gefunden 😅. WAN auf Port 10 oder 11 verlegen behebt das Problem. Weil die Ports 9, 10,11 sind von den anderen physikalisch getrennt.
So hier des Rätsels Lösung. P1 und P2 vom Vigor sind tatsächlich gebridgt. Ebenso scheinbar die Ports 1-8 der Unifi. Zwar kann man Port 8 für WAN oder VLAN konfigurieren, das reicht aber scheinbar nicht aus. Sobald Lan vom Vigor auf 1-7 liegt und WAN auf 8 gibt es Broadcast Storm. Das entsprechende Monitoring habe ich mun gefunden 😅. WAN auf Port 10 oder 11 verlegen behebt das Problem. Weil die Ports 9, 10,11 sind von den anderen physikalisch getrennt.
Auf meine Kristallkugel ist also doch Verlass. Habe ich von einer Zigeunerin in den 70ern bekommen.
lks
Und das obwohl es logisch kein Loop sein sollte, physikalisch aber scheinbar schon. Gudes Ding Dat. 😎
"Logisch" ist doch wurst. PPPoE und TCP/IP laufen beide über Ethernet und sind damit physikalisch eins.
Danke für's Feedback. Lagen ja alle richtig hier, mit dem Vorliegen eines Loops
Tatsächlich aber finde ich spontan dazu im Netz nichts. Handbücher kennen die ja nicht (aus dem QSG ergibt sich immerhin ein Hinweis auf die Belegung). Dann ist das also eine aufgehübschte Fritzbox mit LAN-Ports und nem WAN-Port... Nun ja.
Viele Grüße, commodity
Danke für's Feedback. Lagen ja alle richtig hier, mit dem Vorliegen eines Loops
Ebenso scheinbar die Ports 1-8 der Unifi.
Hier würde man erwarten, dass das doch konfigurationsabhängig ist Tatsächlich aber finde ich spontan dazu im Netz nichts. Handbücher kennen die ja nicht (aus dem QSG ergibt sich immerhin ein Hinweis auf die Belegung). Dann ist das also eine aufgehübschte Fritzbox mit LAN-Ports und nem WAN-Port... Nun ja.Viele Grüße, commodity