5
Grundlegende Frage(n) zum Portforwarding beim Bintec X2302
Problem: Unwissenheit über richtige Vorgehensweise beim Forwarden einiger Ports am bintec X2302.
Hallo Leute,
unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.
Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.
Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.
Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.
Hier nochmals das Netz in vereinfachter Darstellung
{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC
Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .
Danke fürs Lesen (und natürlich auch fürs Antworten
Gruß, Marcus
unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.
Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.
Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.
Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.
Hier nochmals das Netz in vereinfachter Darstellung
{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC
Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .
Danke fürs Lesen (und natürlich auch fürs Antworten
Gruß, Marcus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 47146
Url: https://administrator.de/contentid/47146
Printed on: April 20, 2024 at 01:04 o'clock
5 Comments
Latest comment
Wozu wäre das denn gut ??? Dein Beispiel ist unverständlich denn reverses Port Forwarding mach man ja immer auf Engeräte.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:
In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.
Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:
In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.
Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Ok, spezifizieren wir mal die Router wie folgt:
Router 0 = WAN mit pppoE / LAN mit static ip 192.168.0.1 (LAN A)
Router 1 = WAN mit 192.168.0.254 / LAN mit static 192.168.3.1 (LAN B)
Router 1 ist nichts anderes als auch ein SOHO-DSL Router mit statischer IP am WAN-Port. Ich könnte meine Clients auch direkt ins LAN-A hängen, möchte dies aber nicht da von dort aus nur eingeschränkter Zugriff auf bestimmte Ressourcen meines Netzes verfügbar sein sollen. LAN-A ist das "Hausnetz" mit n Teilnehmern, LAN-B mein Entwicklungsnetz. Ausgehende Verbindungen gehen prinzipiell immer, bei beiden Routern gibt es keine Restriktionen.
Wie schon erwähnt, funktionert das Forwarding auf Router 1 ins LAN-Beinwandfrei. Dieser macht die entsprechende Zuweisung der Ports zum zugewiesenen Endgerät, daher können wir in unserem Szenario den Router 1 doch auch mal als Endgerät betrachten. Somit müsste mein Beispiel in Anfangspost etwas verständlicher sein und "revereses Port Forwarding" hinfällig.
Meine Intension war die, beim Router 0 folgendes Konstrukt zu nehmen (obiges Beispiel fuer ssh):
Externer Port: 10376
weiterleitung auf
Interner Port: 10376
Interne IP: 192.168.0.254
Nach diesem Prinzip ist es ja auch auf dem Router 1 eingerichtet, lediglich Ziel-Port und -IP sind andere. Wenn man Router 1 aus dem LAN-A mit ssh "192.168.0.254:10376" anspricht, forwarded er weiter auf eingestellten LAN-B Teilnehmer 192.168.3.10:22.
Es sind halt schon einige Ports in Router 1 konfiguriert, da dieser urspr. mal als DSL-Router hergehalten hat, abgesehen davon möchte ich im LAN-A keine Standard-Ports anbieten.
Wenn ich Dich also richtig verstanden habe aqui, dann müsste ich im bintec lediglich unter IP->NAT OUTBOUND die Weiterleitung von extern 8080 auf intern 192.168.0.254:8080 machen (der andere macht ja von 8080 auf 80).
Nun, sowas habe ich probiert, geht aber nicht. Letztlich erhalte ich am externen Client einen Timeout.
Und wenn ich es unter "IP->NAT OUTBOUND" eintrage, wozu ist dann "Security->Access-Filter/Regeln/Ketten" gut ?
Oder muss es in beide eingetragen werden ?
Router 0 = WAN mit pppoE / LAN mit static ip 192.168.0.1 (LAN A)
Router 1 = WAN mit 192.168.0.254 / LAN mit static 192.168.3.1 (LAN B)
Router 1 ist nichts anderes als auch ein SOHO-DSL Router mit statischer IP am WAN-Port. Ich könnte meine Clients auch direkt ins LAN-A hängen, möchte dies aber nicht da von dort aus nur eingeschränkter Zugriff auf bestimmte Ressourcen meines Netzes verfügbar sein sollen. LAN-A ist das "Hausnetz" mit n Teilnehmern, LAN-B mein Entwicklungsnetz. Ausgehende Verbindungen gehen prinzipiell immer, bei beiden Routern gibt es keine Restriktionen.
Wie schon erwähnt, funktionert das Forwarding auf Router 1 ins LAN-Beinwandfrei. Dieser macht die entsprechende Zuweisung der Ports zum zugewiesenen Endgerät, daher können wir in unserem Szenario den Router 1 doch auch mal als Endgerät betrachten. Somit müsste mein Beispiel in Anfangspost etwas verständlicher sein und "revereses Port Forwarding" hinfällig.
Meine Intension war die, beim Router 0 folgendes Konstrukt zu nehmen (obiges Beispiel fuer ssh):
Externer Port: 10376
weiterleitung auf
Interner Port: 10376
Interne IP: 192.168.0.254
Nach diesem Prinzip ist es ja auch auf dem Router 1 eingerichtet, lediglich Ziel-Port und -IP sind andere. Wenn man Router 1 aus dem LAN-A mit ssh "192.168.0.254:10376" anspricht, forwarded er weiter auf eingestellten LAN-B Teilnehmer 192.168.3.10:22.
Es sind halt schon einige Ports in Router 1 konfiguriert, da dieser urspr. mal als DSL-Router hergehalten hat, abgesehen davon möchte ich im LAN-A keine Standard-Ports anbieten.
Wenn ich Dich also richtig verstanden habe aqui, dann müsste ich im bintec lediglich unter IP->NAT OUTBOUND die Weiterleitung von extern 8080 auf intern 192.168.0.254:8080 machen (der andere macht ja von 8080 auf 80).
Nun, sowas habe ich probiert, geht aber nicht. Letztlich erhalte ich am externen Client einen Timeout.
Und wenn ich es unter "IP->NAT OUTBOUND" eintrage, wozu ist dann "Security->Access-Filter/Regeln/Ketten" gut ?
Oder muss es in beide eingetragen werden ?
Dein Beispiel würde nur funktionieren wenn der Router 1 auch einen NAT Prozess hat was vermutlich der Fall ist. Dann sollte das klappen, denn er würde wiederum eingehende Packete auf dem Port 10376 forwarden auf die IP Adresse die bei ihm konfiguriert ist.
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...
Ja, Router-1 hat NAT, auf das ich aber nicht verzichten kann, da es sein kann, dass ich auch mal per W-LAN im LAN-A auf meine Resourcen im LAN-B zugreifen möchte.
Du meinst jetzt ACL beim Router-0 ? Woher weiss der meine Infrastruktur in meinem Segment, schließlich soll genau dasss ja vermieden werden.
Das ganze hat sich heute aber mit dem Bintec wahrscheinlich sowieso erledigt, weil der wohl ein paar Macken hatte. Schaltete man beispielsweise über das web-Frontend die Seite SPI auf und schloss sie wieder (mit als auch ohne Änderungen) hängte sich die ganze Kiste auf.
Dennoch würde mich eines interessieren. In welchen Masken hätte ich denn nun die Einträge machen müssen?
Du meinst jetzt ACL beim Router-0 ? Woher weiss der meine Infrastruktur in meinem Segment, schließlich soll genau dasss ja vermieden werden.
Das ganze hat sich heute aber mit dem Bintec wahrscheinlich sowieso erledigt, weil der wohl ein paar Macken hatte. Schaltete man beispielsweise über das web-Frontend die Seite SPI auf und schloss sie wieder (mit als auch ohne Änderungen) hängte sich die ganze Kiste auf.
Dennoch würde mich eines interessieren. In welchen Masken hätte ich denn nun die Einträge machen müssen?
OK, wenn di die IP Adressaufteilung verschleiern willst musst du natürlich mit NAT arbeiten. Das Bintec SW Problem solltest du aber als erstes lösen ggf. mit einem Firmwareupdate auf die neueste Version. Du kannst dir ja sonst nie sicher sein wo der Fehler liegt.
