26.03.2021, aktualisiert um 08:42:02 Uhr

7528

Frage zu Routing vs. NAT

Hallo zusammen,

Ich lerne gerade Grundlagen in Netzwerktechnik und habe Fragen zu „Routing statt NAT“.

Dazu habe ich in einem 10.1.0.0/16 Netz, zwei Router MikroTik hAP ac als Kaskade, hinter dem Abteilungsrouter (pfsense) aufgebaut.

Der Router01 bekommt auf Port 1 (WAN), per DHCP von pfsense, die IP aus dem Netz 10.1.0.0/16.
Auf Port 2 bis 5 (LAN) hat er das Netz 172.17.1.0/24

Der Router02 bekommt auf Port 1 (WAN), per DHCP von Router01, die IP aus dem Netz 172.17.1.0/24
Auf Port 2 bis 5 (LAN) hat er das Netz 172.17.2.0/24

Am Router02 ist per LAN ein Laptop angeschlossen.
Das Laptop bekommt per DHCP eine IP aus dem Netz 172.17.2.0/24 von Router02.

Wenn ich nun NAT, auf Router02, abschalte passiert folgendes:
Winbox von Router01, auf dem Laptop geöffnet, schließt sich und lässt die Ansicht von Router01 in Winbox nicht mehr zu.
Router02 bleibt in Winbox geöffnet.
Ich kann von Router02, im Terminal, z.B. www.heise.de anpingen aber nicht vom angeschlossenen Laptop.
Mit dem Laptop bekomme ich keinen Ping auf 8.8.8.8 oder eine Domain, wie heise.de

Die Firewall ist auf beiden Routern für input, forward und output auf accept.
Address List und Route List wurden automatisch eingerichtet.
Ich habe bei den MikroTik die Standardkonfiguration genutzt.

In der pfsense sind keine Routen auf die MikroTik Routernetze gesetzt.

Meine Fragen:
Warum kann ich von Router02, im Terminal, die Server im Internet anpingen aber nicht vom angeschlossenen Laptop, an Router02.
Was muss ich konfigurieren, dass ich vom Laptop, an Router02, ohne NAT auf Router02, Zugriff ins Internet habe, hinter der Routerkaskade.

Grüße
FISI-Lehrling

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 665155

Url: https://administrator.de/contentid/665155

Ausgedruckt am: 05.11.2024 um 15:11 Uhr

18 Kommentare

Neuester Kommentar

Im reinen, ursprünglichen Routing, was du da haben möchtest, müssen alle betroffenen Router wissen, wie man eine IP-Adresse erreichen kann. Sprich du benötigst den Hinweg als auch den Rückweg.

In deinem Fall weiß der pfSense nichts mit den Paketen hinter den Mikrotiks anzufangen, also wo er die zustellen muss. Dass der Mikrotik dennoch Zugriff auf das Internet hat, liegt einfach daran, dass er mit einem Bein im richtigen Netzwerk steht und über die IP-Adresse in dem Netzwerk für die pfSense erreichbar ist.

Also einfach eine Rückroute in die pfSense eintragen, die diesem mitteilt, was hinter dem Mikrotik ist und über welche IP-Adresse er dieses zustellen muss.

Ich lerne gerade Grundlagen in Netzwerktechnik

Sehr löblich !

im Terminal, die Server im Internet anpingen aber nicht vom angeschlossenen Laptop, an Router02.

Das hat 2 Gründe:
1.)
Wenn Router02 kein NAT mehr macht "sieht" er die richtigen und ursprünglichen Absender IP Adressen der Endgeräte wie dein Laptop. Das erfordert dann zwingend das er eine feste statische Route in das Laptop IP Netz hat, die du sehr wahrscheinlich vergessen hast dann nachzutragen wenn du das NAT entfernt hast ?! (Im Mikrotik/WinBox unter IP --> Routes !) Kollege @tikayevent hat es oben schon gesagt.
Mit NAT kann der Router02 die wirkliche Absender IP des Laptops ja nicht sehen und "denkt" durch seine geNATete Absender IP der ist direkt angeschlossen am lokalen LAN.

Das Szenario von NAT und kein NAT ist hier im Routing Tutorial inkl. eines "Packet Walk" im Detail beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wie immer: Lesen und verstehen !

2.)
Wenn dein Laptop eine Winblows Kiste ist, ist es sehr gut möglich das die lokale Windows Firewall Pings bzw. Pakete aus Fremdnetzen üblicherweise blockiert.
Das solltest du zusätzlich kontrollieren damit diese Firewall dir keinen Streich spielt:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

Übrigens wäre eine kurze Design Skizze WIE deine Router und Firewall verschaltet sind sehr hilfreich für den Überblick. Das nur verbal zu beschreiben verwirrt häufig da man nie richtig weiss wer was wohin sendet. Ein Bild sagt mehr als 1000 Worte wie jedermann weiss. Gerade in einem Forum wo man nur per "Tiptalking" kommuniziert ist sowas immer sehr hilfreich !

Moin,

wie die Kollegen schon sagten:

Wenn Du NAT eingeschaltet hast, sieht die pfsense nur die IP-Adresse den ersten Mikrotiks in seinem Netz und weiß, wo die Antwortpakete hin müssen.

Wenn kein NAT aktiv ist, kommen die IP-Pakete aus den Netzen hintendran mit ihren ursprünglichen Adressen an und daher muß die pfsrene natürlich auch informiert werden, wohin entsprechende Pakete zu schicken sind. Also mußt du da statische Routen eintragen, damit die pfsense weiß, wie er das 172-er-Netz erreicht.

lks

Hallo zusammen,

erstmal danke für eure Hilfe.
@aqui: Der Aufbau ist ganz simpel. Einfach eine Routerkaskade WAN zu LAN und das ganze mit PFSENSE, MikroTik und MikroTik.

Aqui ich habe oben die Ansichten der beiden Router in Winbox eingefügt.
Dort sieht man die Routen und Adressen unter "Route List" und Address List".
Ich verstehe nicht was da fehlt.

Die Pings sind nicht geblockt. Wenn ich NAT aktiviert habe dann funktioniert das alles und vom Router02 funktioniert das auch nach dem Deaktivieren von NAT, aus dem Router02 Terminal in Winbox.

@tikayevent: Ich verstehe das nicht mit der Rückroute, weil wenn ich im Router02 das NAT deaktiviert habe, kann ich im Terminal des MikroTik doch trotzdem z.B. heise.de anpingen und der Ping wird beantwortet.
Da die Verbindung nur zum letzten Gerät, also dem Laptop hinter Router02 nicht mehr funktioniert, denke ich, dass dort eine Route oder ein Hinweis fehlt.

Grüße
FISI-Lehrling

Hallo Lochkartenstanzer,

aber die Routen sind doch wie in Winbox ersichtlich eingetragen oder verstehe ich das falsch.
Wo muss ich die Routen bei dem MikroTik noch eintragen?

Danke und Grüße
FISI-Lehrling

Hi

Wie die Kollegen schon geschrieben haben fehlt dir die Route für das Netz 172.17.2.0

Der Client sendet mit dieser IP an Router01 dieser weiss aber nicht das er die antwort an Router02 weitergeben muss um das Ip Packet zuzustellen. Sprich er weiss nicht das sich das netz 172.17.2 hinter Router02 befindet.

Bei NAT wird die Interne IP des Clients durch die Externe IP des Routers ersetzt deswegen wird das IP Packet hier dem richtigen Router zugestellt und dieser weiss an welchen Client es weitergegeben werden muss.

LG

Hallo Ausserweoger,

danke für deine Antwort.
Ich setze hier noch die Routen der zwei MikroTik Router rein.

Router01

[admin@Router01] /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.1.0.1                  1
 1 ADC  10.1.0.0/16        10.1.0.102      ether1                    0
 2 ADC  172.17.1.0/24      172.17.1.1      bridgeLocal               0

Router02

[admin@Router02] /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          172.17.1.1                1
 1 ADC  172.17.1.0/24      172.17.1.199    ether1                    0
 2 ADC  172.17.2.0/24      172.17.2.1      bridge1                   0

Verstehe ich dich richtig, dass ich jetzt bei Router01 das Netz 172.17.2.0/24 eintragen muss.
Dann vergebe ich besser mal eine statische IP an den Router02 vom Netz 172.17.1.0/24 und teste das mal.

Grüße
FISI-Lehrling

Jetzt habe ich die WAN IP beim Router02 mal statisch auf 172.17.1.254 gesetzt und die Route eingefügt, bei Router01.

Router01

[admin@Router01] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.1.0.1                  1
 1 ADC  10.1.0.0/16        10.1.0.102      ether1                    0
 2 ADC  172.17.1.0/24      172.17.1.1      bridgeLocal               0
 3 A S  172.17.2.0/24                      172.17.1.254              1

Also vielen Dank mal an euch für die Unterstützung.

Aber geht wohl doch nicht wie gedacht

Danke und Grüße
FISI-Lehrling

Einfach eine Routerkaskade WAN zu LAN und das ganze mit PFSENSE, MikroTik und MikroTik.

Wie gruselig !
Muss man sich das dann als 3er Kaskade vorstellen oder wie ? Ist aber wohl hoffentlich für dich nur zum Spielen und Lernen, oder ?
Als Praxis Design ist sowas natürlich völliger Quatsch, denn dann macht man einzig und allein nur NAT auf dem ersten System am Internet. Alles andere routet man transparent und normal ohne NAT.
Generell ist eine 3fach Kaskade per se natürlich schon kein guter Stil....aber egal.

mit der Namensauflösung und wie der DNS richtig durchgereicht wird.

Das ist ganz einfach: Alle Systeme sind ja DNS Proxy !
Achtung bei der pfSense die musst du richtig einstellen das sie sauber als Proxy arbeitet:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Beim Mikrotik ist das wenn du unter IP --> DNS den Haken setzt bei "Allow remote Requests"
Proxy sollte aber immer NUR der Router direkt am Internet sein, niemals die beiden dahinter kaskadierten ! Dort also die Proxy Funktion nicht aktivieren. Kann man zwar auch machen, wenn man den DNS Traffic reduzieren will wird aber dann schnell unübersichtlich.
Bei denen stellst du den DNS immer statisch auf die LAN IP Adresse des direkten Internet Routers und vergibst auch diese IP Adresse in den jeweiligen DHCP Server als DNS Adresse.
Oder....machst das mit einem PiHole der dir dann alle bösen Trojaner, Malware und die löästige Werbung zentral aus allen Netzen filtert.

Zitat von @aqui:
Ist aber wohl hoffentlich für dich nur zum Spielen und Lernen, oder ?

Ja genau.

Beim Mikrotik ist das wenn du unter IP --> DNS den Haken setzt bei "Allow remote Requests"

Danke

Generell ist eine 3fach Kaskade per se natürlich schon kein guter Stil....aber egal.

Ja ist nur zum lernen.

Als Praxis Design ist sowas natürlich völliger Quatsch, denn dann macht man einzig und allein nur NAT auf dem ersten System am Internet.

Das will ich hinbekommen, dass ich bei beiden MikroTik ohne NAT das Routing funktioniert. Die PFSENSE routet mit NAT oder PAT oder was auch immer ins Internet und dahinter sollen die Router eben routen, ohne PAT, NAT usw.

Ich habe ja beim Router01 die Route vom Router02 hinzugefügt aber sobald ich NAT das Häkchen rausmache, geht vom Client am Router02 kein Internet mehr.

Zitat von @FISI-Lehrling:

Ich habe ja beim Router01 die Route vom Router02 hinzugefügt aber sobald ich NAT das Häkchen rausmache, geht vom Client hinter Router02 kein Internet mehr.

Dann fehlt vermutlich die Route auf der pfsense oder eine Firewall- oder NAT-Regel.

lks

Zitat von @Lochkartenstanzer:

Dann fehlt vermutlich die Route auf der pfsense oder eine Firewall- oder NAT-Regel.

lks

Ja wahrscheinlich fehlt etwas, sonst würde es ja funktionieren.
Genau deshalb frage ich ja.

Kann auf der PFSENSE etwas fehlen, wenn auf dem Router02, der hinter dem Router01 ist, das Routing nicht funktioniert?
Ich kann doch auf der PFSENSE nur die Route zu Router01 angeben oder täusche ich mich da?

Wenn ich das Laptop an Router01 hinter der PFSENSE anschliesse funktioniert doch alles.

Auf Router01 habe ich die Route zu Router02 hinzugefügt.

[admin@Router01] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.1.0.1                  1
 1 ADC  10.1.0.0/16        10.1.0.102      ether1                    0
 2 ADC  172.17.1.0/24      172.17.1.1      bridgeLocal               0
 3 A S  172.17.2.0/24                      172.17.1.254              1

Ich bin dabei zu lernen/verstehen, wie ich auf Router02 NAT deaktiviere und das dann über Routing löse, sofern das überhaupt geht ohne NAT.
Bei Router01 funktioniert dann natürlich alles noch wie es soll. Auf dem lasse ich ersteinmal NAT aktiviert, das wäre dann der nächste Schritt.

Ich habe die Konfigs als Bilder oder Code ja gepostet.

Was mir hilft sind Infos wie von aqui, wenn er schreibt:

Beim Mikrotik ist das wenn du unter IP --> DNS den Haken setzt bei "Allow remote Requests"

Dann kann ich das konkret ausprobieren und testen.

Wenn mir einer schreibt, dass da vermutlich noch etwas fehlt, verstehe ich nicht warum das gepostet wird.

sofern das überhaupt geht ohne NAT.

Natürlich geht das ! Lösche dazu immer die Default Konfig im Mikrotik denn die macht im Default immer NAT an ether 1, dann rennt der jungfräulich als klassischer Router und ohne NAT !! Wie das geht steht HIER

Auf dem lasse ich erstaml NAT aktiviert, das wäre dann der nächste Schritt.

Wäre aber nicht klug in einem Kaskaden Setup, kostet unnötig Performance und stört dich beim Lernen von sauberem IP Routing. In internen IP Netzen ist NAT überflüssig.

Und damit du mal dein Setup an einer, auch für uns verständlichen Skizze, verstehst und nachvollziehen kannst:

Hallo aqui,

danke ich werde das am Montag testen.
Kannst du mir sagen, mit welchem Programm du die Skizze erstellt hast.

Geht kostenfrei mit Libre Office Draw, Linux dia, usw. Mit Kosten: Viso, Omnigraffle usw.
Benutzt werden die freien Topology Icons von Cisco: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ... 😉

ok ich konnte es mit den IP Ranges und Routen umsetzen.
Zwar nicht hinter der PFSENSE aber ich bekam einen Fritzboxanschluss und konnte dann in der Fritzbox die Route ins 172.17.0.0. Netz über Router01 setzen und das ander war ja schon richtig eingetragen.

Dann NAT bei beiden MikroTik raus und es funktioniert.

Danke und Grüße