12
Doppeltes Port Forwarding möglich?
Hallo zusammen,
kann man mit der Fritzbox ein doppelltes Port Forwarding realisieren?
Ich habe zwei Router: einmal die Fritzbox und einen EdgeRouter Lite mit drei Anschlüssen.
Fritzbox: 190.168.170.1
EdgeRouter:
eth0 (WAN): 190.168.170.9
eth1 (DMZ): 10.168.170.1
eth2 (LAN): 192.168.170.9
Die Fritzbox ist eigentlich nur das DSL Modem. Der EdgeRouter Stellt die Firewall mit der DMZ.
Ich habe beide Router schon "bekannt gemacht".
Jetzt wollte ich in der Fritzbox ein Port Forwarding von Port 8443 auf 10.168.170.25:443 machen. Nur lässt das die Fritzbox nicht zu, obwohl es eine statische Route gibt.
Die Fritzbox unterstützt keine anderen Subnetze.
Also dachte ich mach ich halt ein dopelltes Port Forwarding von der Fritzbox -> EdgeRouter -> Server DMZ.
Geht leider auch nicht.
Wie bekomme ich das hin das ich vom Internet über die Fritzbox über den EdgeRouter in die DMZ komme?
Bin ratlos
Grüße
kann man mit der Fritzbox ein doppelltes Port Forwarding realisieren?
Ich habe zwei Router: einmal die Fritzbox und einen EdgeRouter Lite mit drei Anschlüssen.
Internet ---> [Fritz]--->[EdgeRouter]-->LAN
\---> DMZFritzbox: 190.168.170.1
EdgeRouter:
eth0 (WAN): 190.168.170.9
eth1 (DMZ): 10.168.170.1
eth2 (LAN): 192.168.170.9
Die Fritzbox ist eigentlich nur das DSL Modem. Der EdgeRouter Stellt die Firewall mit der DMZ.
Ich habe beide Router schon "bekannt gemacht".
Jetzt wollte ich in der Fritzbox ein Port Forwarding von Port 8443 auf 10.168.170.25:443 machen. Nur lässt das die Fritzbox nicht zu, obwohl es eine statische Route gibt.
Die Fritzbox unterstützt keine anderen Subnetze.
Also dachte ich mach ich halt ein dopelltes Port Forwarding von der Fritzbox -> EdgeRouter -> Server DMZ.
Geht leider auch nicht.
Wie bekomme ich das hin das ich vom Internet über die Fritzbox über den EdgeRouter in die DMZ komme?
Bin ratlos
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349285
Url: https://administrator.de/contentid/349285
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
Dann zum Problem:
Kein Plan, ob das so funktionieren wird, aber versuche mal folgendes:
Fritzbox-WAN-IP:8443 -> Edge-Router WAN-IP:8443 -> DMZ-Device:443
Sprich, du forwardest den Port 8443 zum Edgerouter und der macht dann quasi erst das "PAT" (Port-Adress-Translation) auf die 443.
somit schleust du den Port 8443 durch dein Transfernetz und dröselst das erst am Edge-Router auf...
Gruß
em-pie
zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
Dann zum Problem:
Kein Plan, ob das so funktionieren wird, aber versuche mal folgendes:
Fritzbox-WAN-IP:8443 -> Edge-Router WAN-IP:8443 -> DMZ-Device:443
Sprich, du forwardest den Port 8443 zum Edgerouter und der macht dann quasi erst das "PAT" (Port-Adress-Translation) auf die 443.
somit schleust du den Port 8443 durch dein Transfernetz und dröselst das erst am Edge-Router auf...
Gruß
em-pie
zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
OK, nicht aufgepasst. Aber das sollte doch eigentlich kein Problem sein wenn die IP nicht nach außen geht?
Dein Vorschlag hat leider auch nix gebracht. Ich habe sogar ein Exposed Host eingerichtet.
Aber:
Die Anfrage kommt am EdgeRouter am Port an. Scheint so als ob der EdgeRouter den Forward nicht macht.
Hmmm...
Hänge ich mich direkt an die Fritzbox funktioniert das Port Forwarding vom EdgeRouter.
Zitat von @helldunkel:
OK, nicht aufgepasst. Aber das sollte doch eigentlich kein Problem sein wenn die IP nicht nach außen geht?
Ja und Nein:zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
OK, nicht aufgepasst. Aber das sollte doch eigentlich kein Problem sein wenn die IP nicht nach außen geht?
Zum einen haben sich mehr oder weniger kluge Köpfe nicht umsonst Öffentliche und private IP-Bereiche überlegt: https://tools.ietf.org/html/rfc1918
Und jetzt stell dir mal vor, du musst im Rahmen irgendwelcher Recherchen Content von der venezuelanischen Hochschule herunterladen (vermutlich sehr unwahrscheinlich, aber nicht unmöglich)... Male dir mal aus, was passieren könnte.
Ändere das ab und gut. du kannst ja für alles dich im 10.0.0.0/8er Bereich bewegen:
- Transfernetz (FB <-> Edgerouter): 10.1.1.0/24
- LAN (EdgeRouter-LAN): 10.2.1.0/24
- (Gäste-LAN [EdgeRouter-LAN2]: 10.2.2.0/24)
- DMZ (EdgeRouter-DMZ): 10.3.1.0/24
Dein Vorschlag hat leider auch nix gebracht. Ich habe sogar ein Exposed Host eingerichtet.
Aber:
Die Anfrage kommt am EdgeRouter am Port an. Scheint so als ob der EdgeRouter den Forward nicht macht.
Hmmm...
Bist du hiernach vorgegangen:
https://help.ubnt.com/hc/en-us/articles/217367937-EdgeRouter-Port-Forwar ... (Wobei hier auch NAT am EdgeRouter aktiv ist)
Ich muss gestehen, ich bin ja jetzt nicht DER Experte was solche Konstrukte angeht, gut möglich, dass du NAT brauchst und es nicht aktiv hast oder NAT nicht einsetzen darfst und es aktiv hast!? Warte diesbezüglich mal noch auf die eigentlichen Exschpärden hier
Hänge ich mich direkt an die Fritzbox funktioniert das Port Forwarding vom EdgeRouter.
Hääh???Wenn du direkt an der Fritte hängst, brauch der Edge doch nichts Forwarden!?
Hääh???
Wenn du direkt an der Fritte hängst, brauch der Edge doch nichts Forwarden!?
Wenn du direkt an der Fritte hängst, brauch der Edge doch nichts Forwarden!?
Ja, ich wollte nur schauen was passiert wenn ich die IP des Edgeouter eingebe, satt des Servers.
Gebe ich die IP des EdgeRouters an werde ich auf den Server in der DMZ geleitet.
was ja auch korrekt ist!?
Woher soll ich, als Teilnehmer des Internets wissen, welche IP dein Server hat!?
ich gebe die IP deines WAN-Anschlusses ein (welche du von deinem ISP erhälst), ergänzt um den Port 8443 und sollte ja dann durch deine Routerkaskade an den Server der DMZ durchgeschleust werden:
Die Fritzbox erkennt dann "Ahh, Port 8443, den muss ich zum Edge-Router schicken". Edge-Router Erkennt "Ahh, Port 8443, der muss auf den Server in der DMZ an den Port 443 geschickt werden".
oder wolltest du ein anderes Ziel verfolgen/ erreichen?
Woher soll ich, als Teilnehmer des Internets wissen, welche IP dein Server hat!?
ich gebe die IP deines WAN-Anschlusses ein (welche du von deinem ISP erhälst), ergänzt um den Port 8443 und sollte ja dann durch deine Routerkaskade an den Server der DMZ durchgeschleust werden:
Die Fritzbox erkennt dann "Ahh, Port 8443, den muss ich zum Edge-Router schicken". Edge-Router Erkennt "Ahh, Port 8443, der muss auf den Server in der DMZ an den Port 443 geschickt werden".
oder wolltest du ein anderes Ziel verfolgen/ erreichen?
Ganz ruhig 
sollte nicht als Vorwurf rüberkommen oder wie auch immer du das empfunden hast....
Unsere beiden Gedankengänge waren richtig und funktionieren auch. Doppeltes Forwarding, ohne NAT geht.
Ich hatte bei der WAN_IN Kette die falsche destination angegeben, bzw. kein Port geöffnet für diese. Daher wurde der Verkehr immmer gedropt.
Das war alles.
Trotzdem Danke für die flotte Hilfe und den guten Link.
sollte nicht als Vorwurf rüberkommen oder wie auch immer du das empfunden hast....
Unsere beiden Gedankengänge waren richtig und funktionieren auch. Doppeltes Forwarding, ohne NAT geht.
Ich hatte bei der WAN_IN Kette die falsche destination angegeben, bzw. kein Port geöffnet für diese. Daher wurde der Verkehr immmer gedropt.
Das war alles.
Trotzdem Danke für die flotte Hilfe und den guten Link.
Alles gut...
Habe ja auch nichts als Vorwurf o.Ä. aufgefasst und ist auch nicht "aggressiv" von mir gemeint gewesen
Wenn jetzt alles läuft, dann noch den Thread als gelöst markieren und die Welt ist schick, also fast
Habe ja auch nichts als Vorwurf o.Ä. aufgefasst und ist auch nicht "aggressiv" von mir gemeint gewesen
Wenn jetzt alles läuft, dann noch den Thread als gelöst markieren und die Welt ist schick, also fast
Im Grunde ist die Frage nach dem "doppelten" PFW eigentlich Unsinn, denn der TO hat sich die Frage indirekt schon selbst beantwortet ! Er schreibt:
Solche Designs sind aus technischer Sicht sehr richtig und gut und werden in den Foren Tutorials hier ja auch beschrieben und empfohlen da sie ja genau das Ziel haben eine unsägliche Kaskade zu vermeiden:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Der tiefere Sinn eines reinen Modem Betriebes ist ja wie bereits gesagt genau der eine Router Kaskade mit doppeltem Routing und auch häufig doppeltem NAT (IP Adress Translation) zu verhindern um eben genau das dann erzwungende doppelte PFW zu verhindern. Vom Performanc e Verlust durch doppeltes NAT mal gar nicht zu reden.
Fazit: Die so konfigurierte FW ist am IP Forwarding (Layer 3) damit in keinster Weise beteiligt und braucht genau deshalb auch keinerlei Port Forwarding. In so einem reinen Modem Design ist das Port Forwarding nur auf dem nachfolgenden Router oder Firewall zu konfigurieren. (Siehe auch o.a. Tutorial !)
Ist auch logisch, denn die öffentliche IP die ja transparent von überallher aus dem Internet zu erreichen ist liegt auf dem kaskadierten Router / Firewall (hier Edge Router) und eben NICHT auf dem davor liegenden ! Folglich muss dort auch nix geforwardet werden...wozu auch ?!
Nur um nochmal die IP Thematik klar zu machen in solchen Designs...
Die Fritzbox ist eigentlich nur das DSL Modem.
Also arbeitet die FB damit als reines Modem sprich sie ist nur ein passiver Medienwandler und arbeitet maximal auf Layer 2 Ebene. Die öffentliche IP am Edge WAN Port belegt das ja auch.Solche Designs sind aus technischer Sicht sehr richtig und gut und werden in den Foren Tutorials hier ja auch beschrieben und empfohlen da sie ja genau das Ziel haben eine unsägliche Kaskade zu vermeiden:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Der tiefere Sinn eines reinen Modem Betriebes ist ja wie bereits gesagt genau der eine Router Kaskade mit doppeltem Routing und auch häufig doppeltem NAT (IP Adress Translation) zu verhindern um eben genau das dann erzwungende doppelte PFW zu verhindern. Vom Performanc e Verlust durch doppeltes NAT mal gar nicht zu reden.
Fazit: Die so konfigurierte FW ist am IP Forwarding (Layer 3) damit in keinster Weise beteiligt und braucht genau deshalb auch keinerlei Port Forwarding. In so einem reinen Modem Design ist das Port Forwarding nur auf dem nachfolgenden Router oder Firewall zu konfigurieren. (Siehe auch o.a. Tutorial !)
Ist auch logisch, denn die öffentliche IP die ja transparent von überallher aus dem Internet zu erreichen ist liegt auf dem kaskadierten Router / Firewall (hier Edge Router) und eben NICHT auf dem davor liegenden ! Folglich muss dort auch nix geforwardet werden...wozu auch ?!
Nur um nochmal die IP Thematik klar zu machen in solchen Designs...
Moin aqui,
per se hätte ich, so wie du, auch geantwortet. Sein restlicher Text lies mich aber darauf schließen, dass er die FB eben nicht als Modem nutzt:
ich nehme auch mal an, dass es eine Fritzbox mit TK-Features ist und er die Telefonie behalten will (meine Glaskugel war und ist aber noch immer getrübt, muss wohl am Wetter liegen).
Wenn er/ du, lieber TO, die FB aber nicht noch aus speziellen Gründen benötigst, wäre aquis Weg (wie immer) das "best-practice"
per se hätte ich, so wie du, auch geantwortet. Sein restlicher Text lies mich aber darauf schließen, dass er die FB eben nicht als Modem nutzt:
- seine WAN-IP des EdgeRouters ist ja eine von ihm bewusst vergebene IP-Adresse (auch wenn er das Netz einer venezuelanische Hochsule verwendet hat
) - er hat an der Fritzbox erfolglos statische Router eintragen wollen
- er hat an der FritzBox eine PF-Rule anlegen wollen
ich nehme auch mal an, dass es eine Fritzbox mit TK-Features ist und er die Telefonie behalten will (meine Glaskugel war und ist aber noch immer getrübt, muss wohl am Wetter liegen).
Wenn er/ du, lieber TO, die FB aber nicht noch aus speziellen Gründen benötigst, wäre aquis Weg (wie immer) das "best-practice"
dass er die FB eben nicht als Modem nutzt:
Ja, unterschwellig geahnt hatte ich das auch. Allein die laienhafte Beschreibung des TOs, der vermutlich nicht wirklich weiss was ein reines Modem ist und was nicht, lies das schon vermuten aber die Hoffnung stirbt ja bekanntlich wie immer zuletzt. Thema "venezuelanische Hochschule" sagt schon alles. Whois sagt ihm also auch nicht wirklich was und vermutlich deshalb auch keine privaten RFC 1918 IP Netzadressierung...aber egal. 
Sofern er wirklich keine Telefonie Features braucht wäre er tatsächlich mit einem wirklich "reinen" Modem wie:
https://www.reichelt.de/WLAN-Router-Access-Point/ALLNET-ALL0333C/3/index ...
oder
https://www.reichelt.de/WLAN-Router-Access-Point/D-LINK-DSL321BV2/3/inde ...
technisch sicherlich besser bedient. Oder wenns VDSL sein sollte einem Draytek Vigor 130.
Der Thread zeigt aber mal wieder beispielhaft das eine falsche oder fehlerhafte Beschreibung des Sachverhalts die Sache in einem Forum für einen Laien noch schlimmer macht statt besser.
Ja, unterschwellig geahnt hatte ich das auch. Allein die laienhafte Beschreibung des TOs, der vermutlich nicht wirklich weiss was ein reines Modem ist und was nicht, lies das schon vermuten aber die Hoffnung stirbt ja bekanntlich wie immer zuletzt. Thema "venezuelanische Hochschule" sagt schon alles. Whois sagt ihm also auch nicht wirklich was und vermutlich deshalb auch keine privaten RFC 1918 IP Netzadressierung...aber egal.
Ich verspreche das ich das nächste mal versuchen werden mich besser auszudrücken.
Ich habe den ganzen Tag an der bescheuerten Firewall rumgeschraubt bis das Ding richtig lief.
Normalerweise arbeite ich mir Zyxel USGs oder gleich mit IPtables.
Was ein Modem ist weiß ich natürlich auch und ja ich brauch die Fritte noch für Telefonie. Sonst hätte ich bei uns im Geschäft einfach ein Modem aus der Kiste gezogen.
Das mit den IP Adressen war ein unüberlegter Schnitzer der schon korrigiert ist.
Der Thread zeigt aber mal wieder beispielhaft das eine falsche oder fehlerhafte Beschreibung des Sachverhalts die Sache in einem Forum für einen Laien noch schlimmer macht statt besser.
Frag das nächste mal lieber meinen Chef oder Kollegen oder such mir gleich ein anderes Forum...
@em-pie: danke das du trotzdem versucht hast einem "Laien" zu helfen
Ich habe den ganzen Tag an der bescheuerten Firewall rumgeschraubt bis das Ding richtig lief.
Mit einer pfSense wärst du in 10 Minuten damit durch gewesen: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Was ein Modem ist weiß ich natürlich auch
Spätestens jetzt solltest du das dann auch wissen...und ja ich brauch die Fritte noch für Telefonie.
Ist natürlich wie immer technischer Quatsch.Eine kleine pfiffige VoIP Anlage wie ne Auerswald 3000 im internen LAN oder ein simpler VoIP Adpter wie der Cisco SPA-112 können das viel besser und befreien einen von der unsäglichen Kaskade.
Letztere hat sogar noch den Charme das man altes, liebgewonnenes Analogequipment in die neue Zeit retten kann. Aber egal....weisst du ja alles sicher auch.
Das mit den IP Adressen war ein unüberlegter Schnitzer der schon korrigiert ist.
Das hoffen wir dann mal ganz stark...?!Und nicht beleidigte Leberwurst spielen. Bringt dich und uns nicht weiter. Wenn man als Laie in einem Administrator Forum mal etwas härter angefasst wird sollte man entsprechende Eier haben sowas auch auszuhalten. Der Lerneffekt den du mittnimmst ist unbezahlbar. Wir machen das hier ja nicht um dich zu ärgern.
Wenn du es gar nicht aushalten solltest dann kannst du ja immer noch zu www.gutefrage.net wechseln.
Case closed.
