Grundlegende Frage(n) zum Portforwarding beim Bintec X2302
Problem: Unwissenheit über richtige Vorgehensweise beim Forwarden einiger Ports am bintec X2302.
Hallo Leute,
unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.
Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.
Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.
Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.
Hier nochmals das Netz in vereinfachter Darstellung
{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC
Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .
Danke fürs Lesen (und natürlich auch fürs Antworten
Gruß, Marcus
Hallo Leute,
unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.
Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.
Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.
Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.
Hier nochmals das Netz in vereinfachter Darstellung
{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC
Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .
Danke fürs Lesen (und natürlich auch fürs Antworten
Gruß, Marcus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 47146
Url: https://administrator.de/forum/grundlegende-fragen-zum-portforwarding-beim-bintec-x2302-47146.html
Ausgedruckt am: 09.04.2025 um 07:04 Uhr
5 Kommentare
Neuester Kommentar
Wozu wäre das denn gut ??? Dein Beispiel ist unverständlich denn reverses Port Forwarding mach man ja immer auf Engeräte.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:
In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.
Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:
In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.
Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Dein Beispiel würde nur funktionieren wenn der Router 1 auch einen NAT Prozess hat was vermutlich der Fall ist. Dann sollte das klappen, denn er würde wiederum eingehende Packete auf dem Port 10376 forwarden auf die IP Adresse die bei ihm konfiguriert ist.
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...