Frage zu Routing vs. NAT
Hallo zusammen,
Ich lerne gerade Grundlagen in Netzwerktechnik und habe Fragen zu „Routing statt NAT“.
Dazu habe ich in einem 10.1.0.0/16 Netz, zwei Router MikroTik hAP ac als Kaskade, hinter dem Abteilungsrouter (pfsense) aufgebaut.
Der Router01 bekommt auf Port 1 (WAN), per DHCP von pfsense, die IP aus dem Netz 10.1.0.0/16.
Auf Port 2 bis 5 (LAN) hat er das Netz 172.17.1.0/24
Der Router02 bekommt auf Port 1 (WAN), per DHCP von Router01, die IP aus dem Netz 172.17.1.0/24
Auf Port 2 bis 5 (LAN) hat er das Netz 172.17.2.0/24
Am Router02 ist per LAN ein Laptop angeschlossen.
Das Laptop bekommt per DHCP eine IP aus dem Netz 172.17.2.0/24 von Router02.
Wenn ich nun NAT, auf Router02, abschalte passiert folgendes:
Winbox von Router01, auf dem Laptop geöffnet, schließt sich und lässt die Ansicht von Router01 in Winbox nicht mehr zu.
Router02 bleibt in Winbox geöffnet.
Ich kann von Router02, im Terminal, z.B. www.heise.de anpingen aber nicht vom angeschlossenen Laptop.
Mit dem Laptop bekomme ich keinen Ping auf 8.8.8.8 oder eine Domain, wie heise.de
Die Firewall ist auf beiden Routern für input, forward und output auf accept.
Address List und Route List wurden automatisch eingerichtet.
Ich habe bei den MikroTik die Standardkonfiguration genutzt.
In der pfsense sind keine Routen auf die MikroTik Routernetze gesetzt.
Meine Fragen:
Warum kann ich von Router02, im Terminal, die Server im Internet anpingen aber nicht vom angeschlossenen Laptop, an Router02.
Was muss ich konfigurieren, dass ich vom Laptop, an Router02, ohne NAT auf Router02, Zugriff ins Internet habe, hinter der Routerkaskade.
Grüße
FISI-Lehrling
Ich lerne gerade Grundlagen in Netzwerktechnik und habe Fragen zu „Routing statt NAT“.
Dazu habe ich in einem 10.1.0.0/16 Netz, zwei Router MikroTik hAP ac als Kaskade, hinter dem Abteilungsrouter (pfsense) aufgebaut.
Der Router01 bekommt auf Port 1 (WAN), per DHCP von pfsense, die IP aus dem Netz 10.1.0.0/16.
Auf Port 2 bis 5 (LAN) hat er das Netz 172.17.1.0/24
Der Router02 bekommt auf Port 1 (WAN), per DHCP von Router01, die IP aus dem Netz 172.17.1.0/24
Auf Port 2 bis 5 (LAN) hat er das Netz 172.17.2.0/24
Am Router02 ist per LAN ein Laptop angeschlossen.
Das Laptop bekommt per DHCP eine IP aus dem Netz 172.17.2.0/24 von Router02.
Wenn ich nun NAT, auf Router02, abschalte passiert folgendes:
Winbox von Router01, auf dem Laptop geöffnet, schließt sich und lässt die Ansicht von Router01 in Winbox nicht mehr zu.
Router02 bleibt in Winbox geöffnet.
Ich kann von Router02, im Terminal, z.B. www.heise.de anpingen aber nicht vom angeschlossenen Laptop.
Mit dem Laptop bekomme ich keinen Ping auf 8.8.8.8 oder eine Domain, wie heise.de
Die Firewall ist auf beiden Routern für input, forward und output auf accept.
Address List und Route List wurden automatisch eingerichtet.
Ich habe bei den MikroTik die Standardkonfiguration genutzt.
In der pfsense sind keine Routen auf die MikroTik Routernetze gesetzt.
Meine Fragen:
Warum kann ich von Router02, im Terminal, die Server im Internet anpingen aber nicht vom angeschlossenen Laptop, an Router02.
Was muss ich konfigurieren, dass ich vom Laptop, an Router02, ohne NAT auf Router02, Zugriff ins Internet habe, hinter der Routerkaskade.
Grüße
FISI-Lehrling
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665155
Url: https://administrator.de/contentid/665155
Ausgedruckt am: 05.11.2024 um 15:11 Uhr
18 Kommentare
Neuester Kommentar
Im reinen, ursprünglichen Routing, was du da haben möchtest, müssen alle betroffenen Router wissen, wie man eine IP-Adresse erreichen kann. Sprich du benötigst den Hinweg als auch den Rückweg.
In deinem Fall weiß der pfSense nichts mit den Paketen hinter den Mikrotiks anzufangen, also wo er die zustellen muss. Dass der Mikrotik dennoch Zugriff auf das Internet hat, liegt einfach daran, dass er mit einem Bein im richtigen Netzwerk steht und über die IP-Adresse in dem Netzwerk für die pfSense erreichbar ist.
Also einfach eine Rückroute in die pfSense eintragen, die diesem mitteilt, was hinter dem Mikrotik ist und über welche IP-Adresse er dieses zustellen muss.
In deinem Fall weiß der pfSense nichts mit den Paketen hinter den Mikrotiks anzufangen, also wo er die zustellen muss. Dass der Mikrotik dennoch Zugriff auf das Internet hat, liegt einfach daran, dass er mit einem Bein im richtigen Netzwerk steht und über die IP-Adresse in dem Netzwerk für die pfSense erreichbar ist.
Also einfach eine Rückroute in die pfSense eintragen, die diesem mitteilt, was hinter dem Mikrotik ist und über welche IP-Adresse er dieses zustellen muss.
Ich lerne gerade Grundlagen in Netzwerktechnik
Sehr löblich !im Terminal, die Server im Internet anpingen aber nicht vom angeschlossenen Laptop, an Router02.
Das hat 2 Gründe:1.)
Wenn Router02 kein NAT mehr macht "sieht" er die richtigen und ursprünglichen Absender IP Adressen der Endgeräte wie dein Laptop. Das erfordert dann zwingend das er eine feste statische Route in das Laptop IP Netz hat, die du sehr wahrscheinlich vergessen hast dann nachzutragen wenn du das NAT entfernt hast ?! (Im Mikrotik/WinBox unter IP --> Routes !) Kollege @tikayevent hat es oben schon gesagt.
Mit NAT kann der Router02 die wirkliche Absender IP des Laptops ja nicht sehen und "denkt" durch seine geNATete Absender IP der ist direkt angeschlossen am lokalen LAN.
Das Szenario von NAT und kein NAT ist hier im Routing Tutorial inkl. eines "Packet Walk" im Detail beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wie immer: Lesen und verstehen !
2.)
Wenn dein Laptop eine Winblows Kiste ist, ist es sehr gut möglich das die lokale Windows Firewall Pings bzw. Pakete aus Fremdnetzen üblicherweise blockiert.
Das solltest du zusätzlich kontrollieren damit diese Firewall dir keinen Streich spielt:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Übrigens wäre eine kurze Design Skizze WIE deine Router und Firewall verschaltet sind sehr hilfreich für den Überblick. Das nur verbal zu beschreiben verwirrt häufig da man nie richtig weiss wer was wohin sendet. Ein Bild sagt mehr als 1000 Worte wie jedermann weiss. Gerade in einem Forum wo man nur per "Tiptalking" kommuniziert ist sowas immer sehr hilfreich !
Moin,
wie die Kollegen schon sagten:
Wenn Du NAT eingeschaltet hast, sieht die pfsense nur die IP-Adresse den ersten Mikrotiks in seinem Netz und weiß, wo die Antwortpakete hin müssen.
Wenn kein NAT aktiv ist, kommen die IP-Pakete aus den Netzen hintendran mit ihren ursprünglichen Adressen an und daher muß die pfsrene natürlich auch informiert werden, wohin entsprechende Pakete zu schicken sind. Also mußt du da statische Routen eintragen, damit die pfsense weiß, wie er das 172-er-Netz erreicht.
lks
wie die Kollegen schon sagten:
Wenn Du NAT eingeschaltet hast, sieht die pfsense nur die IP-Adresse den ersten Mikrotiks in seinem Netz und weiß, wo die Antwortpakete hin müssen.
Wenn kein NAT aktiv ist, kommen die IP-Pakete aus den Netzen hintendran mit ihren ursprünglichen Adressen an und daher muß die pfsrene natürlich auch informiert werden, wohin entsprechende Pakete zu schicken sind. Also mußt du da statische Routen eintragen, damit die pfsense weiß, wie er das 172-er-Netz erreicht.
lks
Hi
Wie die Kollegen schon geschrieben haben fehlt dir die Route für das Netz 172.17.2.0
Der Client sendet mit dieser IP an Router01 dieser weiss aber nicht das er die antwort an Router02 weitergeben muss um das Ip Packet zuzustellen. Sprich er weiss nicht das sich das netz 172.17.2 hinter Router02 befindet.
Bei NAT wird die Interne IP des Clients durch die Externe IP des Routers ersetzt deswegen wird das IP Packet hier dem richtigen Router zugestellt und dieser weiss an welchen Client es weitergegeben werden muss.
LG
Wie die Kollegen schon geschrieben haben fehlt dir die Route für das Netz 172.17.2.0
Der Client sendet mit dieser IP an Router01 dieser weiss aber nicht das er die antwort an Router02 weitergeben muss um das Ip Packet zuzustellen. Sprich er weiss nicht das sich das netz 172.17.2 hinter Router02 befindet.
Bei NAT wird die Interne IP des Clients durch die Externe IP des Routers ersetzt deswegen wird das IP Packet hier dem richtigen Router zugestellt und dieser weiss an welchen Client es weitergegeben werden muss.
LG
Einfach eine Routerkaskade WAN zu LAN und das ganze mit PFSENSE, MikroTik und MikroTik.
Wie gruselig !Muss man sich das dann als 3er Kaskade vorstellen oder wie ? Ist aber wohl hoffentlich für dich nur zum Spielen und Lernen, oder ?
Als Praxis Design ist sowas natürlich völliger Quatsch, denn dann macht man einzig und allein nur NAT auf dem ersten System am Internet. Alles andere routet man transparent und normal ohne NAT.
Generell ist eine 3fach Kaskade per se natürlich schon kein guter Stil....aber egal.
mit der Namensauflösung und wie der DNS richtig durchgereicht wird.
Das ist ganz einfach: Alle Systeme sind ja DNS Proxy !Achtung bei der pfSense die musst du richtig einstellen das sie sauber als Proxy arbeitet:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Beim Mikrotik ist das wenn du unter IP --> DNS den Haken setzt bei "Allow remote Requests"
Proxy sollte aber immer NUR der Router direkt am Internet sein, niemals die beiden dahinter kaskadierten ! Dort also die Proxy Funktion nicht aktivieren. Kann man zwar auch machen, wenn man den DNS Traffic reduzieren will wird aber dann schnell unübersichtlich.
Bei denen stellst du den DNS immer statisch auf die LAN IP Adresse des direkten Internet Routers und vergibst auch diese IP Adresse in den jeweiligen DHCP Server als DNS Adresse.
Oder....machst das mit einem PiHole der dir dann alle bösen Trojaner, Malware und die löästige Werbung zentral aus allen Netzen filtert.
Zitat von @FISI-Lehrling:
Ich habe ja beim Router01 die Route vom Router02 hinzugefügt aber sobald ich NAT das Häkchen rausmache, geht vom Client hinter Router02 kein Internet mehr.
Ich habe ja beim Router01 die Route vom Router02 hinzugefügt aber sobald ich NAT das Häkchen rausmache, geht vom Client hinter Router02 kein Internet mehr.
Dann fehlt vermutlich die Route auf der pfsense oder eine Firewall- oder NAT-Regel.
lks
sofern das überhaupt geht ohne NAT.
Natürlich geht das ! Lösche dazu immer die Default Konfig im Mikrotik denn die macht im Default immer NAT an ether 1, dann rennt der jungfräulich als klassischer Router und ohne NAT !! Wie das geht steht HIERAuf dem lasse ich erstaml NAT aktiviert, das wäre dann der nächste Schritt.
Wäre aber nicht klug in einem Kaskaden Setup, kostet unnötig Performance und stört dich beim Lernen von sauberem IP Routing. In internen IP Netzen ist NAT überflüssig.Und damit du mal dein Setup an einer, auch für uns verständlichen Skizze, verstehst und nachvollziehen kannst:
Geht kostenfrei mit Libre Office Draw, Linux dia, usw. Mit Kosten: Viso, Omnigraffle usw.
Benutzt werden die freien Topology Icons von Cisco: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ... 😉
Benutzt werden die freien Topology Icons von Cisco: https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ... 😉