Doppeltes Port Forwarding möglich?
Hallo zusammen,
kann man mit der Fritzbox ein doppelltes Port Forwarding realisieren?
Ich habe zwei Router: einmal die Fritzbox und einen EdgeRouter Lite mit drei Anschlüssen.
Fritzbox: 190.168.170.1
EdgeRouter:
eth0 (WAN): 190.168.170.9
eth1 (DMZ): 10.168.170.1
eth2 (LAN): 192.168.170.9
Die Fritzbox ist eigentlich nur das DSL Modem. Der EdgeRouter Stellt die Firewall mit der DMZ.
Ich habe beide Router schon "bekannt gemacht".
Jetzt wollte ich in der Fritzbox ein Port Forwarding von Port 8443 auf 10.168.170.25:443 machen. Nur lässt das die Fritzbox nicht zu, obwohl es eine statische Route gibt.
Die Fritzbox unterstützt keine anderen Subnetze.
Also dachte ich mach ich halt ein dopelltes Port Forwarding von der Fritzbox -> EdgeRouter -> Server DMZ.
Geht leider auch nicht.
Wie bekomme ich das hin das ich vom Internet über die Fritzbox über den EdgeRouter in die DMZ komme?
Bin ratlos
Grüße
kann man mit der Fritzbox ein doppelltes Port Forwarding realisieren?
Ich habe zwei Router: einmal die Fritzbox und einen EdgeRouter Lite mit drei Anschlüssen.
Internet ---> [Fritz]--->[EdgeRouter]-->LAN
\---> DMZ
Fritzbox: 190.168.170.1
EdgeRouter:
eth0 (WAN): 190.168.170.9
eth1 (DMZ): 10.168.170.1
eth2 (LAN): 192.168.170.9
Die Fritzbox ist eigentlich nur das DSL Modem. Der EdgeRouter Stellt die Firewall mit der DMZ.
Ich habe beide Router schon "bekannt gemacht".
Jetzt wollte ich in der Fritzbox ein Port Forwarding von Port 8443 auf 10.168.170.25:443 machen. Nur lässt das die Fritzbox nicht zu, obwohl es eine statische Route gibt.
Die Fritzbox unterstützt keine anderen Subnetze.
Also dachte ich mach ich halt ein dopelltes Port Forwarding von der Fritzbox -> EdgeRouter -> Server DMZ.
Geht leider auch nicht.
Wie bekomme ich das hin das ich vom Internet über die Fritzbox über den EdgeRouter in die DMZ komme?
Bin ratlos
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349285
Url: https://administrator.de/contentid/349285
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
Dann zum Problem:
Kein Plan, ob das so funktionieren wird, aber versuche mal folgendes:
Fritzbox-WAN-IP:8443 -> Edge-Router WAN-IP:8443 -> DMZ-Device:443
Sprich, du forwardest den Port 8443 zum Edgerouter und der macht dann quasi erst das "PAT" (Port-Adress-Translation) auf die 443.
somit schleust du den Port 8443 durch dein Transfernetz und dröselst das erst am Edge-Router auf...
Gruß
em-pie
zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
Dann zum Problem:
Kein Plan, ob das so funktionieren wird, aber versuche mal folgendes:
Fritzbox-WAN-IP:8443 -> Edge-Router WAN-IP:8443 -> DMZ-Device:443
Sprich, du forwardest den Port 8443 zum Edgerouter und der macht dann quasi erst das "PAT" (Port-Adress-Translation) auf die 443.
somit schleust du den Port 8443 durch dein Transfernetz und dröselst das erst am Edge-Router auf...
Gruß
em-pie
Zitat von @helldunkel:
OK, nicht aufgepasst. Aber das sollte doch eigentlich kein Problem sein wenn die IP nicht nach außen geht?
Ja und Nein:zunächst, überdenke nochmal dein IP-Design, denn das Netz 190.168.170.0/24 scheint einer Hocschule in Venezuela zu gehören:
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
https://ipinfo.io/AS27890/190.168.128.0/18-190.168.170.0/24
OK, nicht aufgepasst. Aber das sollte doch eigentlich kein Problem sein wenn die IP nicht nach außen geht?
Zum einen haben sich mehr oder weniger kluge Köpfe nicht umsonst Öffentliche und private IP-Bereiche überlegt: https://tools.ietf.org/html/rfc1918
Und jetzt stell dir mal vor, du musst im Rahmen irgendwelcher Recherchen Content von der venezuelanischen Hochschule herunterladen (vermutlich sehr unwahrscheinlich, aber nicht unmöglich)... Male dir mal aus, was passieren könnte.
Ändere das ab und gut. du kannst ja für alles dich im 10.0.0.0/8er Bereich bewegen:
- Transfernetz (FB <-> Edgerouter): 10.1.1.0/24
- LAN (EdgeRouter-LAN): 10.2.1.0/24
- (Gäste-LAN [EdgeRouter-LAN2]: 10.2.2.0/24)
- DMZ (EdgeRouter-DMZ): 10.3.1.0/24
Dein Vorschlag hat leider auch nix gebracht. Ich habe sogar ein Exposed Host eingerichtet.
Aber:
Die Anfrage kommt am EdgeRouter am Port an. Scheint so als ob der EdgeRouter den Forward nicht macht.
Hmmm...
Bist du hiernach vorgegangen:
https://help.ubnt.com/hc/en-us/articles/217367937-EdgeRouter-Port-Forwar ... (Wobei hier auch NAT am EdgeRouter aktiv ist)
Ich muss gestehen, ich bin ja jetzt nicht DER Experte was solche Konstrukte angeht, gut möglich, dass du NAT brauchst und es nicht aktiv hast oder NAT nicht einsetzen darfst und es aktiv hast!? Warte diesbezüglich mal noch auf die eigentlichen Exschpärden hier
Hänge ich mich direkt an die Fritzbox funktioniert das Port Forwarding vom EdgeRouter.
Hääh???Wenn du direkt an der Fritte hängst, brauch der Edge doch nichts Forwarden!?
was ja auch korrekt ist!?
Woher soll ich, als Teilnehmer des Internets wissen, welche IP dein Server hat!?
ich gebe die IP deines WAN-Anschlusses ein (welche du von deinem ISP erhälst), ergänzt um den Port 8443 und sollte ja dann durch deine Routerkaskade an den Server der DMZ durchgeschleust werden:
Die Fritzbox erkennt dann "Ahh, Port 8443, den muss ich zum Edge-Router schicken". Edge-Router Erkennt "Ahh, Port 8443, der muss auf den Server in der DMZ an den Port 443 geschickt werden".
oder wolltest du ein anderes Ziel verfolgen/ erreichen?
Woher soll ich, als Teilnehmer des Internets wissen, welche IP dein Server hat!?
ich gebe die IP deines WAN-Anschlusses ein (welche du von deinem ISP erhälst), ergänzt um den Port 8443 und sollte ja dann durch deine Routerkaskade an den Server der DMZ durchgeschleust werden:
Die Fritzbox erkennt dann "Ahh, Port 8443, den muss ich zum Edge-Router schicken". Edge-Router Erkennt "Ahh, Port 8443, der muss auf den Server in der DMZ an den Port 443 geschickt werden".
oder wolltest du ein anderes Ziel verfolgen/ erreichen?
Im Grunde ist die Frage nach dem "doppelten" PFW eigentlich Unsinn, denn der TO hat sich die Frage indirekt schon selbst beantwortet ! Er schreibt:
Solche Designs sind aus technischer Sicht sehr richtig und gut und werden in den Foren Tutorials hier ja auch beschrieben und empfohlen da sie ja genau das Ziel haben eine unsägliche Kaskade zu vermeiden:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Der tiefere Sinn eines reinen Modem Betriebes ist ja wie bereits gesagt genau der eine Router Kaskade mit doppeltem Routing und auch häufig doppeltem NAT (IP Adress Translation) zu verhindern um eben genau das dann erzwungende doppelte PFW zu verhindern. Vom Performanc e Verlust durch doppeltes NAT mal gar nicht zu reden.
Fazit: Die so konfigurierte FW ist am IP Forwarding (Layer 3) damit in keinster Weise beteiligt und braucht genau deshalb auch keinerlei Port Forwarding. In so einem reinen Modem Design ist das Port Forwarding nur auf dem nachfolgenden Router oder Firewall zu konfigurieren. (Siehe auch o.a. Tutorial !)
Ist auch logisch, denn die öffentliche IP die ja transparent von überallher aus dem Internet zu erreichen ist liegt auf dem kaskadierten Router / Firewall (hier Edge Router) und eben NICHT auf dem davor liegenden ! Folglich muss dort auch nix geforwardet werden...wozu auch ?!
Nur um nochmal die IP Thematik klar zu machen in solchen Designs...
Die Fritzbox ist eigentlich nur das DSL Modem.
Also arbeitet die FB damit als reines Modem sprich sie ist nur ein passiver Medienwandler und arbeitet maximal auf Layer 2 Ebene. Die öffentliche IP am Edge WAN Port belegt das ja auch.Solche Designs sind aus technischer Sicht sehr richtig und gut und werden in den Foren Tutorials hier ja auch beschrieben und empfohlen da sie ja genau das Ziel haben eine unsägliche Kaskade zu vermeiden:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Der tiefere Sinn eines reinen Modem Betriebes ist ja wie bereits gesagt genau der eine Router Kaskade mit doppeltem Routing und auch häufig doppeltem NAT (IP Adress Translation) zu verhindern um eben genau das dann erzwungende doppelte PFW zu verhindern. Vom Performanc e Verlust durch doppeltes NAT mal gar nicht zu reden.
Fazit: Die so konfigurierte FW ist am IP Forwarding (Layer 3) damit in keinster Weise beteiligt und braucht genau deshalb auch keinerlei Port Forwarding. In so einem reinen Modem Design ist das Port Forwarding nur auf dem nachfolgenden Router oder Firewall zu konfigurieren. (Siehe auch o.a. Tutorial !)
Ist auch logisch, denn die öffentliche IP die ja transparent von überallher aus dem Internet zu erreichen ist liegt auf dem kaskadierten Router / Firewall (hier Edge Router) und eben NICHT auf dem davor liegenden ! Folglich muss dort auch nix geforwardet werden...wozu auch ?!
Nur um nochmal die IP Thematik klar zu machen in solchen Designs...
Moin aqui,
per se hätte ich, so wie du, auch geantwortet. Sein restlicher Text lies mich aber darauf schließen, dass er die FB eben nicht als Modem nutzt:
ich nehme auch mal an, dass es eine Fritzbox mit TK-Features ist und er die Telefonie behalten will (meine Glaskugel war und ist aber noch immer getrübt, muss wohl am Wetter liegen).
Wenn er/ du, lieber TO, die FB aber nicht noch aus speziellen Gründen benötigst, wäre aquis Weg (wie immer) das "best-practice"
per se hätte ich, so wie du, auch geantwortet. Sein restlicher Text lies mich aber darauf schließen, dass er die FB eben nicht als Modem nutzt:
- seine WAN-IP des EdgeRouters ist ja eine von ihm bewusst vergebene IP-Adresse (auch wenn er das Netz einer venezuelanische Hochsule verwendet hat )
- er hat an der Fritzbox erfolglos statische Router eintragen wollen
- er hat an der FritzBox eine PF-Rule anlegen wollen
ich nehme auch mal an, dass es eine Fritzbox mit TK-Features ist und er die Telefonie behalten will (meine Glaskugel war und ist aber noch immer getrübt, muss wohl am Wetter liegen).
Wenn er/ du, lieber TO, die FB aber nicht noch aus speziellen Gründen benötigst, wäre aquis Weg (wie immer) das "best-practice"
dass er die FB eben nicht als Modem nutzt:
Ja, unterschwellig geahnt hatte ich das auch. Allein die laienhafte Beschreibung des TOs, der vermutlich nicht wirklich weiss was ein reines Modem ist und was nicht, lies das schon vermuten aber die Hoffnung stirbt ja bekanntlich wie immer zuletzt. Thema "venezuelanische Hochschule" sagt schon alles. Whois sagt ihm also auch nicht wirklich was und vermutlich deshalb auch keine privaten RFC 1918 IP Netzadressierung...aber egal. Sofern er wirklich keine Telefonie Features braucht wäre er tatsächlich mit einem wirklich "reinen" Modem wie:
https://www.reichelt.de/WLAN-Router-Access-Point/ALLNET-ALL0333C/3/index ...
oder
https://www.reichelt.de/WLAN-Router-Access-Point/D-LINK-DSL321BV2/3/inde ...
technisch sicherlich besser bedient. Oder wenns VDSL sein sollte einem Draytek Vigor 130.
Der Thread zeigt aber mal wieder beispielhaft das eine falsche oder fehlerhafte Beschreibung des Sachverhalts die Sache in einem Forum für einen Laien noch schlimmer macht statt besser.
Ich habe den ganzen Tag an der bescheuerten Firewall rumgeschraubt bis das Ding richtig lief.
Mit einer pfSense wärst du in 10 Minuten damit durch gewesen: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Was ein Modem ist weiß ich natürlich auch
Spätestens jetzt solltest du das dann auch wissen...und ja ich brauch die Fritte noch für Telefonie.
Ist natürlich wie immer technischer Quatsch.Eine kleine pfiffige VoIP Anlage wie ne Auerswald 3000 im internen LAN oder ein simpler VoIP Adpter wie der Cisco SPA-112 können das viel besser und befreien einen von der unsäglichen Kaskade.
Letztere hat sogar noch den Charme das man altes, liebgewonnenes Analogequipment in die neue Zeit retten kann. Aber egal....weisst du ja alles sicher auch.
Das mit den IP Adressen war ein unüberlegter Schnitzer der schon korrigiert ist.
Das hoffen wir dann mal ganz stark...?!Und nicht beleidigte Leberwurst spielen. Bringt dich und uns nicht weiter. Wenn man als Laie in einem Administrator Forum mal etwas härter angefasst wird sollte man entsprechende Eier haben sowas auch auszuhalten. Der Lerneffekt den du mittnimmst ist unbezahlbar. Wir machen das hier ja nicht um dich zu ärgern.
Wenn du es gar nicht aushalten solltest dann kannst du ja immer noch zu www.gutefrage.net wechseln.
Case closed.