WCM Forum - Einzelnen Beitrag anzeigen

zid · 18.08.2010, 11:59

hallo anve,

>"...ich habe eine DHCP Reservation List wo diese Zuordnung zwischen Mac und IP-Adresse stattfinden könnte..."
dann muß die firewall aber diese list auswerten. das tun die wenigsten...

>"...Ein Broadcast wäre über diesen Router nicht möglich..."
net-directed bcasts sind grundsätzlich routebar, aus sicherheitsgründen ist das routing dieser bcast meist deaktiviert. bei höherwertigen geräten kann man aber das routing-verhalten konfigurieren.

>"...Ich denke trotzdem, dass das öffentliche Netz zu strikte Firewall regeln hat und das rausfiltert..."
ich verwende wake-on-wan schon jahrelang in den unterschiedlichsten netzen (aus sicherheitsgründen immer ucasts) und hatte noch nie probs, auch andre, die wow verwenden, haben noch nie über derartige probs berichtet...
ist aber egal, weil du das ganz einfach selbst überprüfen kannst:
du installierst am zu weckenden rechner den wireshark, startest ihn (ggf. sicherheitssoftware am pc *für die dauer des versuchs* deaktivieren) und schickst von draußen ein magic packet rein. da der rechner on ist, gibts für ihn einen dynamischen eintrag im arp-cache der firewall, sodaß arp kein problem ist. falls das magic packet nicht im shark sichtbar ist, dann wird es sicher von irgendeiner firewall geblockt, und ich würd mit der suche gleich bei der eigenen firewall beginnen...
sollte es sich herausstellen, daß dein provider tatsächlich die magic packets blockt, dann hast du nur noch 2 möglichkeiten:
- du ziehst einen tunnel zur firewall auf und tunnelst die magic packets.
- du verwendest eine(n) firewall/router, die/der einen wol-client implementiert hat (draytek, alternative sw. wie dd-wrt, pirelli...).

lou,

>"...wol kann doch nicht mit einer port weiterleitung auf einen bestimmten pc funktionieren, der ausgeschaltete pc hat ja keine ip adresse..."
die ip/udp-kapselung wird ja auch nicht für wol selbst verwendet, sondern ist vielmehr eine hilfskonstruktion, um das magic packet überhaupt routen zu können- und *nur* dazu wird sie verwendet. es gibt 2 typen von wol-anwendungen:

1. clients die das magic packet nicht kapseln, sondern im raw format rausschicken (d.h. nur mit dem ethernet-header). "etherwake" unter linux wär so ein beispiel.

2. clients, die das magic packet in ip/udp kapseln, z.b. "wol" unter linux.

will man clients vom typ1 verwenden, dann müssen wecker und schläfer in derselben bcast domain angesiedelt sein, weil raw packets nicht geroutet werden können. ist das nicht der fall (also insbesondere bei wow), muß man zwangsläufig clients vom typ2 verwenden.
aus dem gesagten folgt weiters, daß das socket, an das das magic packet weitergeleitet wird, im prinzip völlig egal ist. es muß nur in dem verwendeten adressbereich liegen und eindeutig sein. wenn man das magic packet an eine andere adresse als die lan-ip des schläfers schickt, wird nach dem erwachen des schläfers der arp-cache der firewall vergiftet (2 ips mit derselben hw.-address). und da die leute idr. weniger auf vergiftete arp-caches stehen, wird als ziel für die magic packets die lan-ip des schläfes genommen.
mehr isses nicht.

lg
zid

18.08.2010, 11:59	#9
zid Jr. Member Registriert seit: 21.07.2009 Beiträge: 49	hallo anve, >"...ich habe eine DHCP Reservation List wo diese Zuordnung zwischen Mac und IP-Adresse stattfinden könnte..." dann muß die firewall aber diese list auswerten. das tun die wenigsten... >"...Ein Broadcast wäre über diesen Router nicht möglich..." net-directed bcasts sind grundsätzlich routebar, aus sicherheitsgründen ist das routing dieser bcast meist deaktiviert. bei höherwertigen geräten kann man aber das routing-verhalten konfigurieren. >"...Ich denke trotzdem, dass das öffentliche Netz zu strikte Firewall regeln hat und das rausfiltert..." ich verwende wake-on-wan schon jahrelang in den unterschiedlichsten netzen (aus sicherheitsgründen immer ucasts) und hatte noch nie probs, auch andre, die wow verwenden, haben noch nie über derartige probs berichtet... ist aber egal, weil du das ganz einfach selbst überprüfen kannst: du installierst am zu weckenden rechner den wireshark, startest ihn (ggf. sicherheitssoftware am pc für die dauer des versuchs deaktivieren) und schickst von draußen ein magic packet rein. da der rechner on ist, gibts für ihn einen dynamischen eintrag im arp-cache der firewall, sodaß arp kein problem ist. falls das magic packet nicht im shark sichtbar ist, dann wird es sicher von irgendeiner firewall geblockt, und ich würd mit der suche gleich bei der eigenen firewall beginnen... sollte es sich herausstellen, daß dein provider tatsächlich die magic packets blockt, dann hast du nur noch 2 möglichkeiten: - du ziehst einen tunnel zur firewall auf und tunnelst die magic packets. - du verwendest eine(n) firewall/router, die/der einen wol-client implementiert hat (draytek, alternative sw. wie dd-wrt, pirelli...). lou, >"...wol kann doch nicht mit einer port weiterleitung auf einen bestimmten pc funktionieren, der ausgeschaltete pc hat ja keine ip adresse..." die ip/udp-kapselung wird ja auch nicht für wol selbst verwendet, sondern ist vielmehr eine hilfskonstruktion, um das magic packet überhaupt routen zu können- und nur dazu wird sie verwendet. es gibt 2 typen von wol-anwendungen: 1. clients die das magic packet nicht kapseln, sondern im raw format rausschicken (d.h. nur mit dem ethernet-header). "etherwake" unter linux wär so ein beispiel. 2. clients, die das magic packet in ip/udp kapseln, z.b. "wol" unter linux. will man clients vom typ1 verwenden, dann müssen wecker und schläfer in derselben bcast domain angesiedelt sein, weil raw packets nicht geroutet werden können. ist das nicht der fall (also insbesondere bei wow), muß man zwangsläufig clients vom typ2 verwenden. aus dem gesagten folgt weiters, daß das socket, an das das magic packet weitergeleitet wird, im prinzip völlig egal ist. es muß nur in dem verwendeten adressbereich liegen und eindeutig sein. wenn man das magic packet an eine andere adresse als die lan-ip des schläfers schickt, wird nach dem erwachen des schläfers der arp-cache der firewall vergiftet (2 ips mit derselben hw.-address). und da die leute idr. weniger auf vergiftete arp-caches stehen, wird als ziel für die magic packets die lan-ip des schläfes genommen. mehr isses nicht. lg zid