Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Wake On LAN
4 views
Skip to first unread message
Alexander Goetzenstein
Dec 1, 2023, 7:40:14 AM12/1/23
to
Hallo,
gerade verwirre ich mich selbst mit WOL.
Geschichte:
Zur weiteren Absicherung möchte ich mein Backup extern spiegeln, und
zwar von einem Synology NAS bei mir zu Hause auf ein Synology NAS bei
meinem Sohn. Dazu haben wir mit unseren Fritz!Boxen 6590 und 6591 ein
VPN mit IPSec aufgebaut; das funktioniert soweit.
Nun soll mein NAS zur Übertragungszeit sein NAS aufwecken. Da das zweite
NAS derzeit zur Erstbefüllung noch bei mir steht, haben wir das
Aufwecken mit einem Thinkpad ausprobiert, damit aber keinen Erfolg
gehabt; jedenfalls wachte mit
> wol -v -i 192.168.178.255 98:fa:9b:fb:6e:56
nichts auf.
Um sicherzugehen, dass nicht etwa eine Fehlkonfiguration des Zielgerätes
ein Problem gibt, probierte ich es bei mir mit einem alten Thinkpad aus,
das ich direkt mit meiner Fritz!Box 6591 verkabelte, doch weder auf LAN
2 noch auf LAN 3 funktionierte es. An LAN 1 hängt unser
Haushalts-Switch, weswegen ich das alte Thinkpad damit verkabelte -und
siehe da: ein
> wol -v -i <BC-IP> <MAC>
funktioniert anstandslos. Dabei ist der Signalweg:
Laptop → WLAN → Fritz!Box LAN1 → Switch → altes Thinkpad
Wie erklärt sich dies?
Klappt es überhaupt, über ein VPN im anderen Netz ein Gerät aufzuwecken,
oder muss ich mir etwas anderes ausdenken?
--
Gruß
Alex
gerade verwirre ich mich selbst mit WOL.
Geschichte:
Zur weiteren Absicherung möchte ich mein Backup extern spiegeln, und
zwar von einem Synology NAS bei mir zu Hause auf ein Synology NAS bei
meinem Sohn. Dazu haben wir mit unseren Fritz!Boxen 6590 und 6591 ein
VPN mit IPSec aufgebaut; das funktioniert soweit.
Nun soll mein NAS zur Übertragungszeit sein NAS aufwecken. Da das zweite
NAS derzeit zur Erstbefüllung noch bei mir steht, haben wir das
Aufwecken mit einem Thinkpad ausprobiert, damit aber keinen Erfolg
gehabt; jedenfalls wachte mit
> wol -v -i 192.168.178.255 98:fa:9b:fb:6e:56
nichts auf.
Um sicherzugehen, dass nicht etwa eine Fehlkonfiguration des Zielgerätes
ein Problem gibt, probierte ich es bei mir mit einem alten Thinkpad aus,
das ich direkt mit meiner Fritz!Box 6591 verkabelte, doch weder auf LAN
2 noch auf LAN 3 funktionierte es. An LAN 1 hängt unser
Haushalts-Switch, weswegen ich das alte Thinkpad damit verkabelte -und
siehe da: ein
> wol -v -i <BC-IP> <MAC>
funktioniert anstandslos. Dabei ist der Signalweg:
Laptop → WLAN → Fritz!Box LAN1 → Switch → altes Thinkpad
Wie erklärt sich dies?
Klappt es überhaupt, über ein VPN im anderen Netz ein Gerät aufzuwecken,
oder muss ich mir etwas anderes ausdenken?
--
Gruß
Alex
Anton Berg
Dec 1, 2023, 8:03:06 AM12/1/23
to
Hallo Alexander,
Am 01.12.2023 um 13:40 schrieb Alexander Goetzenstein:
> gerade verwirre ich mich selbst mit WOL.
>
erfolgreich, auch wenn es "eigentlich" gehen müsste.
Alternativvorschlag: wenn das Aufwecken des Zielgeräts über die
WoL-Funktion der dortigen FB funktioniert (testen!), könnte der
Haken bei "Diesen Computer automatisch starten, sobald aus dem
Internet darauf zugegriffen wird" das Problem umgehen.
--
Gruß Anton
Am 01.12.2023 um 13:40 schrieb Alexander Goetzenstein:
> gerade verwirre ich mich selbst mit WOL.
>
>> wol -v -i <BC-IP> <MAC>
> funktioniert anstandslos. Dabei ist der Signalweg:
> > Laptop → WLAN → Fritz!Box LAN1 → Switch → altes Thinkpad
>
> funktioniert anstandslos. Dabei ist der Signalweg:
> > Laptop → WLAN → Fritz!Box LAN1 → Switch → altes Thinkpad
>
> Klappt es überhaupt, über ein VPN im anderen Netz ein Gerät aufzuwecken,
> oder muss ich mir etwas anderes ausdenken?
WoL über VPN ist auch nach meiner Erfahrung tricky und nicht immer
> oder muss ich mir etwas anderes ausdenken?
erfolgreich, auch wenn es "eigentlich" gehen müsste.
Alternativvorschlag: wenn das Aufwecken des Zielgeräts über die
WoL-Funktion der dortigen FB funktioniert (testen!), könnte der
Haken bei "Diesen Computer automatisch starten, sobald aus dem
Internet darauf zugegriffen wird" das Problem umgehen.
--
Gruß Anton
Marc Haber
Dec 3, 2023, 7:10:00 AM12/3/23
to
Alexander Goetzenstein <alexander_g...@web.de> wrote:
>Geschichte:
>Zur weiteren Absicherung möchte ich mein Backup extern spiegeln, und
>zwar von einem Synology NAS bei mir zu Hause auf ein Synology NAS bei
>meinem Sohn. Dazu haben wir mit unseren Fritz!Boxen 6590 und 6591 ein
>VPN mit IPSec aufgebaut; das funktioniert soweit.
>
>Nun soll mein NAS zur Übertragungszeit sein NAS aufwecken. Da das zweite
>NAS derzeit zur Erstbefüllung noch bei mir steht, haben wir das
>Aufwecken mit einem Thinkpad ausprobiert, damit aber keinen Erfolg
>gehabt; jedenfalls wachte mit
>> wol -v -i 192.168.178.255 98:fa:9b:fb:6e:56
>nichts auf.
Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
>Geschichte:
>Zur weiteren Absicherung möchte ich mein Backup extern spiegeln, und
>zwar von einem Synology NAS bei mir zu Hause auf ein Synology NAS bei
>meinem Sohn. Dazu haben wir mit unseren Fritz!Boxen 6590 und 6591 ein
>VPN mit IPSec aufgebaut; das funktioniert soweit.
>
>Nun soll mein NAS zur Übertragungszeit sein NAS aufwecken. Da das zweite
>NAS derzeit zur Erstbefüllung noch bei mir steht, haben wir das
>Aufwecken mit einem Thinkpad ausprobiert, damit aber keinen Erfolg
>gehabt; jedenfalls wachte mit
>> wol -v -i 192.168.178.255 98:fa:9b:fb:6e:56
>nichts auf.
ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
Paket an ein Gerät schicken musst, dass streng genommen nicht
eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
Das dann über ein geroutetes Netz zu erreichen, ist schwierig.
Im LAN funktioniert das, weil Du das magische Paket einfach
broadcasten kannst. Damit jagt der Switch das einfach auf allen seinen
Ports raus und es funktioniert.
Einen Router müsste man mit einem "directed broadcast" dazu bringen,
das eingehende Paket nach dem Routen als broadcast zu verschicken. Und
das ist ein wunderbares Denial-of-Service-Werkzeug und ist deswegen
seit 25 Jahren eigentlich überall abgeschaltet.
IIRC kannst Du im Webinterface der Fritzbox magische Pakete ins LAN
scihcken, das könnte eventuell eine Lösung sein.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Marco Moock
Dec 3, 2023, 10:16:48 AM12/3/23
to
Am 03.12.2023 um 13:09:58 Uhr schrieb Marc Haber:
> Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
> ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
> Paket an ein Gerät schicken musst, dass streng genommen nicht
> eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
Solange im ARP/NDP-Cache der Eintrag drin ist, bemerkt der Router das
> Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
> ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
> Paket an ein Gerät schicken musst, dass streng genommen nicht
> eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
nicht. Fall nicht, gibt es ein ICMP no route to host und der Vorgang
funktioniert nicht.
> Das dann über ein geroutetes Netz zu erreichen, ist schwierig.
>
> Im LAN funktioniert das, weil Du das magische Paket einfach
> broadcasten kannst. Damit jagt der Switch das einfach auf allen seinen
> Ports raus und es funktioniert.
aus mehreren besteht, geht das nicht mehr.
IPv4 bietet aber die Broadcast-Adresse.
Sofern das ein öffentliche geroutetes Netz ist, geht das problemlos.
Bei einem privaten müsste man mal testen, ob statische NAT-Regeln auf
Broadcast-Adressen erlaubt werden.
> Einen Router müsste man mit einem "directed broadcast" dazu bringen,
> das eingehende Paket nach dem Routen als broadcast zu verschicken. Und
> das ist ein wunderbares Denial-of-Service-Werkzeug und ist deswegen
> seit 25 Jahren eigentlich überall abgeschaltet.
private Netze genutzt werden, ist dieser Angriff uninteressant.
Eher für Servernetze und so.
Marc Haber
Dec 4, 2023, 5:02:57 AM12/4/23
to
Marco Moock <mm+s...@dorfdsl.de> wrote:
>Am 03.12.2023 um 13:09:58 Uhr schrieb Marc Haber:
>> Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
>> ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
>> Paket an ein Gerät schicken musst, dass streng genommen nicht
>> eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
>
>Solange im ARP/NDP-Cache der Eintrag drin ist, bemerkt der Router das
>nicht. Fall nicht, gibt es ein ICMP no route to host und der Vorgang
>funktioniert nicht.
Genau, aber wenn ich ein Gerät aufwecke würde ich nicht davon ausgehen
>Am 03.12.2023 um 13:09:58 Uhr schrieb Marc Haber:
>> Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
>> ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
>> Paket an ein Gerät schicken musst, dass streng genommen nicht
>> eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
>
>Solange im ARP/NDP-Cache der Eintrag drin ist, bemerkt der Router das
>nicht. Fall nicht, gibt es ein ICMP no route to host und der Vorgang
>funktioniert nicht.
dass der Router die MAC-Adresse noch im Cache hat. Das kann ja
schließlich auch das Einschalten nach einer Übernachtung sein, oder
wie im konrketen Fall das Einschalten für ein Backup, wo ich dacvon
ausgehen würde dass das Gerät vorher im Zweifel > 20 Stunden
geschlafen hat.
>> Das dann über ein geroutetes Netz zu erreichen, ist schwierig.
>>
>> Im LAN funktioniert das, weil Du das magische Paket einfach
>> broadcasten kannst. Damit jagt der Switch das einfach auf allen seinen
>> Ports raus und es funktioniert.
>
>Das funktioniert aber nur auf dem selben Ethernet-Link. Wenn das LAN
>aus mehreren besteht, geht das nicht mehr.
LAN" "innerhalb der selben Layer-2-Broadcastdomain" schreiben müssen.
Hätte Dir zwar die Gelegenheit genommen, hier mit Deinem Fachwissen zu
protzen, dafür hätte es aber außer Dir kaum jemand verstanden.
>IPv4 bietet aber die Broadcast-Adresse.
>Sofern das ein öffentliche geroutetes Netz ist, geht das problemlos.
>> Einen Router müsste man mit einem "directed broadcast" dazu bringen,
>> das eingehende Paket nach dem Routen als broadcast zu verschicken. Und
>> das ist ein wunderbares Denial-of-Service-Werkzeug und ist deswegen
>> seit 25 Jahren eigentlich überall abgeschaltet.
>
>Das wäre dann eine Firewall-Regel. Da aber im LAN heute eh fast immer
>private Netze genutzt werden, ist dieser Angriff uninteressant.
>Eher für Servernetze und so.
machen die > 25 Jahre Differenz in unserer praktischen Erfahrung doch
mal einen Unterschied.
Alexander Goetzenstein
Dec 5, 2023, 9:31:48 AM12/5/23
to
Hallo,
Am 01.12.23 um 14:03 schrieb Anton Berg:
es sich aber um ein internes Netz, bestehend aus zwei per VPN
gekoppelten Teilnetzen. Wäre ja auch zu einfach gewesen. Oder ich mache
noch etwas anderes falsch.
--
Gruß
Alex
Am 01.12.23 um 14:03 schrieb Anton Berg:
> WoL über VPN ist auch nach meiner Erfahrung tricky und nicht immer
> erfolgreich, auch wenn es "eigentlich" gehen müsste.
> Alternativvorschlag: wenn das Aufwecken des Zielgeräts über die
> WoL-Funktion der dortigen FB funktioniert (testen!), könnte der
> Haken bei "Diesen Computer automatisch starten, sobald aus dem
> Internet darauf zugegriffen wird" das Problem umgehen.
diese Option verstehe ich als zuständig für exposed hosts. Hier handelt
> erfolgreich, auch wenn es "eigentlich" gehen müsste.
> Alternativvorschlag: wenn das Aufwecken des Zielgeräts über die
> WoL-Funktion der dortigen FB funktioniert (testen!), könnte der
> Haken bei "Diesen Computer automatisch starten, sobald aus dem
> Internet darauf zugegriffen wird" das Problem umgehen.
es sich aber um ein internes Netz, bestehend aus zwei per VPN
gekoppelten Teilnetzen. Wäre ja auch zu einfach gewesen. Oder ich mache
noch etwas anderes falsch.
--
Gruß
Alex
Alexander Goetzenstein
Dec 5, 2023, 9:35:31 AM12/5/23
to
Hallo,
Am 04.12.23 um 11:02 schrieb Marc Haber:
möglichst auch einen etwaigen Neustart des Routers überstehen, bei dem
der Cache verloren gehen kann.
>>> Das dann über ein geroutetes Netz zu erreichen, ist schwierig.
>>>
>>> Im LAN funktioniert das, weil Du das magische Paket einfach
>>> broadcasten kannst. Damit jagt der Switch das einfach auf allen seinen
>>> Ports raus und es funktioniert.
>>
>> Das funktioniert aber nur auf dem selben Ethernet-Link. Wenn das LAN
>> aus mehreren besteht, geht das nicht mehr.
>
> Bitte entschuldige meine Ungenauigkeit, ich hätte natürlich statt "im
> LAN" "innerhalb der selben Layer-2-Broadcastdomain" schreiben müssen.
> Hätte Dir zwar die Gelegenheit genommen, hier mit Deinem Fachwissen zu
> protzen, dafür hätte es aber außer Dir kaum jemand verstanden.
>
>> IPv4 bietet aber die Broadcast-Adresse.
>> Sofern das ein öffentliche geroutetes Netz ist, geht das problemlos.
>
> Nein, directed broadcast sind fast überall ausgeschaltet.
>
>>> Einen Router müsste man mit einem "directed broadcast" dazu bringen,
>>> das eingehende Paket nach dem Routen als broadcast zu verschicken. Und
>>> das ist ein wunderbares Denial-of-Service-Werkzeug und ist deswegen
>>> seit 25 Jahren eigentlich überall abgeschaltet.
>>
>> Das wäre dann eine Firewall-Regel. Da aber im LAN heute eh fast immer
>> private Netze genutzt werden, ist dieser Angriff uninteressant.
>> Eher für Servernetze und so.
>
> Nichtsdestotrotz macht man das üblicherweise aus. Ich glaube, hier
> machen die > 25 Jahre Differenz in unserer praktischen Erfahrung doch
> mal einen Unterschied.
Da ich nichts darüber gefunden habe: kann man da in der FB etwas einstellen?
--
Gruß
Alex
Am 04.12.23 um 11:02 schrieb Marc Haber:
> Marco Moock <mm+s...@dorfdsl.de> wrote:
>> Am 03.12.2023 um 13:09:58 Uhr schrieb Marc Haber:
>>> Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
>>> ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
>>> Paket an ein Gerät schicken musst, dass streng genommen nicht
>>> eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
>>
>> Solange im ARP/NDP-Cache der Eintrag drin ist, bemerkt der Router das
>> nicht. Fall nicht, gibt es ein ICMP no route to host und der Vorgang
>> funktioniert nicht.
>
> Genau, aber wenn ich ein Gerät aufwecke würde ich nicht davon ausgehen
> dass der Router die MAC-Adresse noch im Cache hat. Das kann ja
> schließlich auch das Einschalten nach einer Übernachtung sein, oder
> wie im konrketen Fall das Einschalten für ein Backup, wo ich dacvon
> ausgehen würde dass das Gerät vorher im Zweifel > 20 Stunden
> geschlafen hat.
es sind sogar > 160 Stunden, nämlich einmal die Woche. Und es sollte
>> Am 03.12.2023 um 13:09:58 Uhr schrieb Marc Haber:
>>> Ich benutze dafür unter Linux das Programm etherwake. Wake on LAN über
>>> ein geroutetes Netz ist technisch anspruchsvoll, weil du hierbei ein
>>> Paket an ein Gerät schicken musst, dass streng genommen nicht
>>> eingeschaltet ist und deswegen nicht auf ARP oder IPv6 NDP antwortet.
>>
>> Solange im ARP/NDP-Cache der Eintrag drin ist, bemerkt der Router das
>> nicht. Fall nicht, gibt es ein ICMP no route to host und der Vorgang
>> funktioniert nicht.
>
> Genau, aber wenn ich ein Gerät aufwecke würde ich nicht davon ausgehen
> dass der Router die MAC-Adresse noch im Cache hat. Das kann ja
> schließlich auch das Einschalten nach einer Übernachtung sein, oder
> wie im konrketen Fall das Einschalten für ein Backup, wo ich dacvon
> ausgehen würde dass das Gerät vorher im Zweifel > 20 Stunden
> geschlafen hat.
möglichst auch einen etwaigen Neustart des Routers überstehen, bei dem
der Cache verloren gehen kann.
>>> Das dann über ein geroutetes Netz zu erreichen, ist schwierig.
>>>
>>> Im LAN funktioniert das, weil Du das magische Paket einfach
>>> broadcasten kannst. Damit jagt der Switch das einfach auf allen seinen
>>> Ports raus und es funktioniert.
>>
>> Das funktioniert aber nur auf dem selben Ethernet-Link. Wenn das LAN
>> aus mehreren besteht, geht das nicht mehr.
>
> Bitte entschuldige meine Ungenauigkeit, ich hätte natürlich statt "im
> LAN" "innerhalb der selben Layer-2-Broadcastdomain" schreiben müssen.
> Hätte Dir zwar die Gelegenheit genommen, hier mit Deinem Fachwissen zu
> protzen, dafür hätte es aber außer Dir kaum jemand verstanden.
>
>> IPv4 bietet aber die Broadcast-Adresse.
>> Sofern das ein öffentliche geroutetes Netz ist, geht das problemlos.
>
> Nein, directed broadcast sind fast überall ausgeschaltet.
>
>>> Einen Router müsste man mit einem "directed broadcast" dazu bringen,
>>> das eingehende Paket nach dem Routen als broadcast zu verschicken. Und
>>> das ist ein wunderbares Denial-of-Service-Werkzeug und ist deswegen
>>> seit 25 Jahren eigentlich überall abgeschaltet.
>>
>> Das wäre dann eine Firewall-Regel. Da aber im LAN heute eh fast immer
>> private Netze genutzt werden, ist dieser Angriff uninteressant.
>> Eher für Servernetze und so.
>
> Nichtsdestotrotz macht man das üblicherweise aus. Ich glaube, hier
> machen die > 25 Jahre Differenz in unserer praktischen Erfahrung doch
> mal einen Unterschied.
--
Gruß
Alex
Anton Berg
Dec 5, 2023, 1:28:51 PM12/5/23
to
Am 05.12.2023 um 15:31 schrieb Alexander Goetzenstein:
> Am 01.12.23 um 14:03 schrieb Anton Berg:
> Am 01.12.23 um 14:03 schrieb Anton Berg:
>> WoL-Funktion der dortigen FB funktioniert (testen!), könnte der
>> Haken bei "Diesen Computer automatisch starten, sobald aus dem
>> Internet darauf zugegriffen wird" das Problem umgehen.
>
> diese Option verstehe ich als zuständig für exposed hosts.
Dass die Funktion tatsächlich nur auf dem Weg direkt von außen
>> Haken bei "Diesen Computer automatisch starten, sobald aus dem
>> Internet darauf zugegriffen wird" das Problem umgehen.
>
> diese Option verstehe ich als zuständig für exposed hosts.
aktiv ist, hatte ich nicht auf dem Schirm - da nie getestet.
Aber gerade über IPsec zu einer 7490 mit daran hängendem PC
probiert... da schaltet sich nix ein, während die FB-Funktion
den PC problemlos aufweckt. Schade eigentlich.
Bliebe noch der Klassiker mit einem kleinen always-on-Gerät,
das das Paket schickt, z.B. ein Pico:
https://icplan.de/seite42/
--
Gruß Anton
Thorsten Albrecht
Dec 27, 2023, 7:57:39 AM12/27/23
to
On Fri, 1 Dec 2023 13:40:12 +0100, Alexander Goetzenstein wrote:
>Klappt es überhaupt, über ein VPN im anderen Netz ein Gerät aufzuwecken,
Ich habe das vor längerer Zeit mit einem Lancom-Router genauso
>Klappt es überhaupt, über ein VPN im anderen Netz ein Gerät aufzuwecken,
realisiert. Mit einer FritzBox klappt das jedoch nicht; die filtert
das WOL-Paket mittlerweile aus (früher ging das aber).
>oder muss ich mir etwas anderes ausdenken?
nutzen. Oder mit anderen Routern experimentieren, z. B. Draytek oder
Lancom.
Thorsten
0 new messages