Nummer Serie DS414 - Ip Konfig unlogisch !?

[Theslowman]

Hallo.

Hab mir meine DS414 ( mit aktuell 4.3-3810) vor ein paar Tagen gekauft und eingerichtet. Es geht ein Kabel zur Nas, in Port1.Kein weiteres Kabel zur Nas.

Port1 ist mit IP 192.168.x.200 konfiguriert, Port 2 wollte ich nicht auf DHCP (Apipa) lassen und hab daher einfach auch ne IP ( 192.168.x.201) dort konfiguriert.

Jetzt ist ja klar das die Nas über IP 192.168.x.200 erreichbar ist, aber warum erreiche ist die Nas auch über die zweite (192.168.x.201) IP Adresse obwohl kein Kabel an Port 2 angeschlossen ist!?

Mir wäre nicht aufgefallen das ich irgendwo ein "Routing " in der Box aktiviert habe, ist da was aktiv ohne es zu wissen ?

Für mich ist das ganze ein Bug, wie sieht der Rest sowas hier im Board ? Eigentlich sollte eine Verbindung zur zweiten IP Adressen nicht möglich sein aus meiner Sicht.

Gruß und Danke
TSM

 

[derniwi]

Hallo,

naja, ob das ein echter Bug ist, kann ich nicht sagen. Du bindest zwar eine IP-Adresse an einen Port, eine zweite IP-Adresse aus dem gleichen Subnetz an den zweiten Port. Hiermit findet intern aber kein Routing statt, da die Adressen ja zum gleichen Subnetz gehören (wenn du die Subnetzmaske in der Art 255.255.255.0 verwendest).

Um den zweiten Port DHCP-frei zu bekommen, gib ihm am Besten eine andere IP-Adresse, z.B. aus dem privaten 10-er Netz:
10.168.x.200 mit der gleichen Subnetzmaske.

Mehr zu privaten IP-Adressen bei Wikipedia.

Gruß
Nils

PS: es könnte sein, dass das NAS dann trotzdem über 10.168.x.200 auf Port 1 erreichbar ist, wäre aber nicht weiter schlimm. Hauptsache ist doch, dass DHCP ausgeschaltet ist. Aber um die 10er-Adresse ansprechen zu können, müsste eh der Router so konfiguriert sein, dass er die Adresse zum NAS leitet. Oder ein zweites Gerät aus dem gleichen 10er-Subnetz müsste am Switch angeschlossen sein.

 

[stefan_lx]

das ist ein normales Verhalten (zumindest bei synology), den alten Thread dazu finde ich nicht ...
Liegt unter anderem an der Möglichkeit die Link-Aggregation zu aktivieren.

Stefan

 

[Theslowman]

Also wenn ich an einem Windows Server zwei IP Adressen konfiguriere ist der nur auf der einen erreichbar, eben da wo das Kabel dran ist. Trotz Möglichkeit Link Aggregation zu nutzen geht es bei Windows so nicht wie es sich aktuell bei der Syno darstellt. Ich glaub echt ein Bug.....

Gruß TSM

 

[stefan_lx]

naja, wenn sich windows und linux unterschiedlich verhalten, kann man nicht unbedingt bei einem der beiden auf einen Bug schließen

hab den Thread gefunden: hier.

Wenn du übrigens einen WLAN-Stick anschließt, passiert das nicht (aber mit dem geht ja auch keine Link-Aggregation)...
Und wenn du eine IP aus einem anderen Netz nimmst, ist diese IP nicht erreichbar, weil die synos kein Bridging machen.

Stefan

 

[Theslowman]

Ich habe die Links gelesen, nur würde das bedeuten das die IP Adressen nicht an die Ports gebunden sind, sondern an die DS Software intern. Fakt ist aber, das Port1 IP x.200 zugewiesen bekommen hat und Port2 IP x.201 zugewiesen bekommen hat........Ganz ehrlich, merkwürdig ist das schon und aus meiner Sicht nicht zu verargumentieren. Im Umkehrschluss würde das ja bedeuten, das man LA einrichten muss mit nur einem Kabel, damit dann beide Ports nur eine IP haben. Was ne Logik ...^^

Ich mach mal ein Ticket auf und auf die Antwort bin ich schon jetzt gespannt. THX.

Gruß TSM

 

[jahlives]

wieso sollte das Routing sein? Routing kommt nur zum Tragen wenn das entfernte Netz nicht bekannt ist. Mach mal einen traceroute und schau dir den zweitletzten Hop an

 

[süno42]

Ich mach mal ein Ticket auf und auf die Antwort bin ich schon jetzt gespannt. THX.

Das Ticket wird Dir nichts nützen, da es sich um ein vollkommen normales Verhalten unter Linux handelt. IP-Adressen sind dort nicht an einzelnen Netzwerkschnittstellen gebunden. Lies Dir mal in den Kernel-Doks das Dokument „ip-sysctl.txt“ durch. Dort findest Du den Abschnitt arp_filter und nachfolgende.


Viele Grüße
Süno42

 

[Theslowman]

Danke, das Dokument passt soweit als Hintergrund. Ich schaus mir mal komplett an die Tage. Ergebnis nehm ich dann mit fürs Ticket.

Gruß TSM

 

[Theslowman]

Sorry fürs direkte Reply........................


Ich glaub ich hab da eine "Lösung" für die Sache. Dazu müsste ich die Datei /etc/sysctl.conf bearbeiten. Wie mach ich das auf einer Syno, bin neu damit : - )

Das muss editiert werden in der Datei:

# interfaces shouldn't respond to ARPs that aren't theirs

net.ipv4.conf.eth0.arp_filter = 1
net.ipv4.conf.eth1.arp_filter = 1

Gruß TSM

 

[goetz]

Hallo,
schau mal im Wiki
Die Kommandozeile
vi

Gruß Götz

 

[Theslowman]

Hm....Datei ist ro und ich pack es nicht die zu ändern............ Kenn mich nicht so mit den Befehlen aus.

operation not permitted

 

[goetz]

Hallo,
Du mußt Dich als root mit dem Passwort vom admin anmelden.

Gruß Götz

 

[derniwi]

Warum willst du die Konfiguration ändern?
Für die Kameras würde man idealerweise, wenn sie an einen anderen Switch oder ein anderes VLAN angeschlossen sind, einen anderen Adreßbereich verwenden. Dann hast du doch eh kein Problem...

Und die Anpassung kann mit einem Firmware-Update wieder überschrieben werden...

 

[jan_gagel]

Hallo,

ich klink mich mal in den Bereich mit den beiden LAN-Schnittstellen und den IPs aus dem gleichen Subnetz ein. Wenn wir mal LA außen vor lassen, was hat es für einen Sinn, zwei Netzwerkkarten in einen PC zu stecken? Man möchte in zwei Netzwerke unterschiedlicher Subnetze. Z. B. ist das eine Subnetz der Bereich 192.168.100.0 und der andere Bereich 192.168.200.0. Schickt man jetzt ein ping an 192.168.100.195 weiß der PC dann, daß er über die Karte des Bereichs 192.168.100.0 gehen muß, ähnlich dann für den Bereich 192.168.200.0. Stellt man jetzt bei beiden Netzwerkkarten das gleiche Subnetz ein, ist das zum Einen eine falsche Konfiguration und zum Anderen kann der PC durcheinander kommen, über welches Interface er die Anfrage an sein bekanntes Subnetz schicken soll. Ähnlich einem Standard-Gateway, was es ja auch nur einmal (pro Betriebssystem und nicht pro Karte) geben kann. Von da her ist der Grundgedanke schon nicht ganz so OK.

Wenn man über WLAN arbeitet (also ein Stick in der DS ist), funktioniert das übrigens genauso. Ich mußte meine DS210j mangels freiem Port am Switch eine Zeit lang via WLAN betreiben und hab der Bequemlichkeit wegen eben diesen Fehler begangen. Also zwei IPs aus dem gleichen Subnetz einmal via LAN und einmal via WLAN vergeben. Resultat war, daß obwohl LAN nicht angeschlossen war, die DS trotzdem via LAN-IP erreichbar war.

Ein ähnliches Verhalten hab ich auch bei meiner Fritzbox bemerkt. Denn die reagiert auf zwei IPs, der ursprünglich von mir eingestellten IP und dann ziemlich weit oben kommt noch eine. Glaube das war die .250 am Ende, bin mir aber nicht mehr ganz sicher. Kam irgendwie über einen Netzwerscanner drauf, der behauptete, die Box würde zwei IPs haben.

Ciao Jan

 

[Theslowman]

Hallo,
Du mußt Dich als root mit dem Passwort vom admin anmelden.

Gruß Götz

Es war einfach zu spät, ich hab dann erstmal Schlus gemacht : - )

Mittlerweile ist es eingetragen, reboot ist durch, es ändert sich aber nichts...... Wird wohl doch ein Ticket geben.

Gruß TSM

 

[stefan_lx]

@ Jan: ich hätt schworen können, dass sich das mit WLAN-Stick anders verhalten hat...

Ich verstehe das Problem nicht, das ist ja kein Fehler, dass sich die syno so verhält...

Stefan

 

[jahlives]

1. bist du sicher, dass die Anpassung nach dem Reboot noch da ist? Viele Dinge werden beim Reboot der DS rückgängig gemacht
2. mal mit einem Tool wie arpping geguckt? Damit kannst du eine IP "pingen" und die MAC Adresse des Interfaces ermitteln, welches geantwortet hat
3. könntest du das allenfalls mit einer iptables Regel unterbinden

iptables -I INPUT -i eth0 -d 192.168.x.201/32 -j DROP

dabei ist eth0 das Interface wo ein Kabel eingesteckt ist. Das verwirft an dem Interface sämtlichen Traffic welcher für die 2. IP-Adresse (am Interface ohne Kabel) ist.
4. könntest du am 2. Interface auch eine IP aus einem anderen Subnetz verwenden. Ich glaube solang du beide IPs im selben Subnetz hast, hast du dieses "Problem"

Ich würde auch meinen, dass ein Ticket keinen Sinn machen wird ;-)

 

[Theslowman]

Ich kann ja auch nicht immer so da dran zum Testen, aber ich hab nochmal... : - )

Änderungen sind noch da, aber haben keine Auswirkung. Die einzigste Möglichkeit ist @jahlives die IP aus einem anderen Netzbereich einzutragen, nichts anderes hilft sonst. Das Subnetz zu wechseln bei gleichen IP's, ist sinnlos.

So ein bisschen ärget es mich schon das es "nicht geht" aber bevor jemand bei Syno "works as designed" im Ticket zurüschickt spar ich mir die Arbeit, ich kenn auch genug "Hotlinesupporter"

Gruß TSM

 

[süno42]

So ein bisschen ärget es mich schon das es "nicht geht" aber bevor jemand bei Syno "works as designed" im Ticket zurüschickt spar ich mir die Arbeit, ich kenn auch genug "Hotlinesupporter"

Mit „nachfolgende“ meinte ich die weiteren Parameter, z.B. arp_ignore = 1.

Bei anschließenden Tests natürlich darauf achten, daß der ARP-Cache auf dem Quellsystem geleert ist.


Viele Grüße
Süno42