Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundlegende Frage(n) zum Portforwarding beim Bintec X2302

Mitglied: cybermarc

cybermarc (Level 1) - Jetzt verbinden

20.12.2006, aktualisiert 27.12.2006, 10105 Aufrufe, 5 Kommentare

Problem: Unwissenheit über richtige Vorgehensweise beim Forwarden einiger Ports am bintec X2302.

Hallo Leute,

unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.

Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.

Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.

Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.

Hier nochmals das Netz in vereinfachter Darstellung

{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC

Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .

Danke fürs Lesen (und natürlich auch fürs Antworten

Gruß, Marcus
Mitglied: aqui
20.12.2006 um 21:43 Uhr
Wozu wäre das denn gut ??? Dein Beispiel ist unverständlich denn reverses Port Forwarding mach man ja immer auf Engeräte.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:

In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.

Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Bitte warten ..
Mitglied: cybermarc
20.12.2006 um 23:28 Uhr
Ok, spezifizieren wir mal die Router wie folgt:

Router 0 = WAN mit pppoE / LAN mit static ip 192.168.0.1 (LAN A)
Router 1 = WAN mit 192.168.0.254 / LAN mit static 192.168.3.1 (LAN B)

Router 1 ist nichts anderes als auch ein SOHO-DSL Router mit statischer IP am WAN-Port. Ich könnte meine Clients auch direkt ins LAN-A hängen, möchte dies aber nicht da von dort aus nur eingeschränkter Zugriff auf bestimmte Ressourcen meines Netzes verfügbar sein sollen. LAN-A ist das "Hausnetz" mit n Teilnehmern, LAN-B mein Entwicklungsnetz. Ausgehende Verbindungen gehen prinzipiell immer, bei beiden Routern gibt es keine Restriktionen.

Wie schon erwähnt, funktionert das Forwarding auf Router 1 ins LAN-Beinwandfrei. Dieser macht die entsprechende Zuweisung der Ports zum zugewiesenen Endgerät, daher können wir in unserem Szenario den Router 1 doch auch mal als Endgerät betrachten. Somit müsste mein Beispiel in Anfangspost etwas verständlicher sein und "revereses Port Forwarding" hinfällig.

Meine Intension war die, beim Router 0 folgendes Konstrukt zu nehmen (obiges Beispiel fuer ssh):

Externer Port: 10376
weiterleitung auf
Interner Port: 10376
Interne IP: 192.168.0.254

Nach diesem Prinzip ist es ja auch auf dem Router 1 eingerichtet, lediglich Ziel-Port und -IP sind andere. Wenn man Router 1 aus dem LAN-A mit ssh "192.168.0.254:10376" anspricht, forwarded er weiter auf eingestellten LAN-B Teilnehmer 192.168.3.10:22.

Es sind halt schon einige Ports in Router 1 konfiguriert, da dieser urspr. mal als DSL-Router hergehalten hat, abgesehen davon möchte ich im LAN-A keine Standard-Ports anbieten.

Wenn ich Dich also richtig verstanden habe aqui, dann müsste ich im bintec lediglich unter IP->NAT OUTBOUND die Weiterleitung von extern 8080 auf intern 192.168.0.254:8080 machen (der andere macht ja von 8080 auf 80).
Nun, sowas habe ich probiert, geht aber nicht. Letztlich erhalte ich am externen Client einen Timeout.
Und wenn ich es unter "IP->NAT OUTBOUND" eintrage, wozu ist dann "Security->Access-Filter/Regeln/Ketten" gut ?

Oder muss es in beide eingetragen werden ?
Bitte warten ..
Mitglied: aqui
22.12.2006 um 20:55 Uhr
Dein Beispiel würde nur funktionieren wenn der Router 1 auch einen NAT Prozess hat was vermutlich der Fall ist. Dann sollte das klappen, denn er würde wiederum eingehende Packete auf dem Port 10376 forwarden auf die IP Adresse die bei ihm konfiguriert ist.
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...
Bitte warten ..
Mitglied: cybermarc
23.12.2006 um 16:52 Uhr
Ja, Router-1 hat NAT, auf das ich aber nicht verzichten kann, da es sein kann, dass ich auch mal per W-LAN im LAN-A auf meine Resourcen im LAN-B zugreifen möchte.

Du meinst jetzt ACL beim Router-0 ? Woher weiss der meine Infrastruktur in meinem Segment, schließlich soll genau dasss ja vermieden werden.

Das ganze hat sich heute aber mit dem Bintec wahrscheinlich sowieso erledigt, weil der wohl ein paar Macken hatte. Schaltete man beispielsweise über das web-Frontend die Seite SPI auf und schloss sie wieder (mit als auch ohne Änderungen) hängte sich die ganze Kiste auf.

Dennoch würde mich eines interessieren. In welchen Masken hätte ich denn nun die Einträge machen müssen?
Bitte warten ..
Mitglied: aqui
27.12.2006 um 15:25 Uhr
OK, wenn di die IP Adressaufteilung verschleiern willst musst du natürlich mit NAT arbeiten. Das Bintec SW Problem solltest du aber als erstes lösen ggf. mit einem Firmwareupdate auf die neueste Version. Du kannst dir ja sonst nie sicher sein wo der Fehler liegt.
Bitte warten ..
Ähnliche Inhalte
Cloud-Dienste
Frag zu sftp und rsync
gelöst Frage von qwertz1Cloud-Dienste2 Kommentare

Hallo, ich habe eine Frage zu rsync im Zusammenspiel mit sftp. Ein Kunde hat sich bei Strato einen Online-Speicher ...

Router & Routing
Mikrotik VNC Portforwarding
Frage von Rolf14Router & Routing25 Kommentare

Hallo Leute, ich habe ein kleines Problem bei einem Mikrotik Router. Ich möchte von außen auf einen PC via ...

Router & Routing
Portforwarding auf EdgeRouter
gelöst Frage von 118080Router & Routing19 Kommentare

Moin :-) Heute ist mein EdgeRouter gekommen und ich habe natürlich gleich mal losgelegt. :-D Nun klappt alles erstmal ...

Windows Netzwerk

Netzwerkeinstellungen grundlegend zurücksetzen - Probleme bei der Netzwerkadministration

Frage von matsmatsWindows Netzwerk4 Kommentare

Hallo liebe Community, ich hoffe, dass ich in diesem Forum richtig gelandet bin, ich quäle mich nämlich schon seit ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 7 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore30 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server23 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

JavaScript
Javascript: WebSql
gelöst Frage von internet2107JavaScript13 Kommentare

Guten Morgen zusammen, zunächst einmal einen schönen dritten Advent. Ich habe ein Problem mit Javascript und WebSQL. Bisher habe ...