Lancom 443-Portforwarding
Hallo,
ich habe folgende Situation: Der Internetanschluss wird von einer Fritzbox 7490 übernommen. Der dahinter liegende Lancom 1781A ist als Exposed Host in der Fritzbox eingerichtet. Nun liegt hinter dem Lancom eine DMZ mit Webserver auf den ich HTTPS weiterleiten möchte. Auf den beiden Bildern sind jeweils mein Forwarding und die Firewall-Regeln zu sehen. gebe ich nun meine IP-Adresse ein (feste IP) lande ich nicht auf dem Webserver sondern bleibe auf dem Lancom hängen.
Was mache ich hier falsch? Nach meinem Verständnis müsste der Zugriff klappen.
Danke und ein schönes Wochenende an euch.
ich habe folgende Situation: Der Internetanschluss wird von einer Fritzbox 7490 übernommen. Der dahinter liegende Lancom 1781A ist als Exposed Host in der Fritzbox eingerichtet. Nun liegt hinter dem Lancom eine DMZ mit Webserver auf den ich HTTPS weiterleiten möchte. Auf den beiden Bildern sind jeweils mein Forwarding und die Firewall-Regeln zu sehen. gebe ich nun meine IP-Adresse ein (feste IP) lande ich nicht auf dem Webserver sondern bleibe auf dem Lancom hängen.
Was mache ich hier falsch? Nach meinem Verständnis müsste der Zugriff klappen.
Danke und ein schönes Wochenende an euch.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 462229
Url: https://administrator.de/contentid/462229
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @BUCoff:
Nun liegt hinter dem Lancom eine DMZ mit Webserver auf den ich HTTPS weiterleiten möchte.
Dann HTTPS in der Fritzbox wieterleiten an den LanCom und dort dan HTTPS an den WebServer (IP) weiterleiten. Es sollte aber schon funktionieren wenn wie du sagts du auf der Fritte alles zum LanCom als Exposed Host sendest.Nun liegt hinter dem Lancom eine DMZ mit Webserver auf den ich HTTPS weiterleiten möchte.
Auf den beiden Bildern sind jeweils mein Forwarding und die Firewall-Regeln zu sehen
Ist NAT im LanCom aktiv? Wer ist dort Internet (IP 192.168.180.10) bzw. wer hat noch welche IP?gebe ich nun meine IP-Adresse ein
Wo?lande ich nicht auf dem Webserver sondern bleibe auf dem Lancom hängen.
Mal ein Wireshark gemacht? Auf einer Fritte solltest du auch ein Paketmittschnittvmachen können.Was mache ich hier falsch? Nach meinem Verständnis müsste der Zugriff klappen.
Tut es aber anscheinend nicht. Aber dazu fehlen uns viel zu wenige Informationen, also hast du wohl etwas falsch gemacht.Gruß,
Peter
Hallo,
Der Webserver, der erreicht werden soll, hat die 192.168.180.10.
OK
Gruß,
Peter
Der Webserver, der erreicht werden soll, hat die 192.168.180.10.
OK
Die feste, öffentliche IP-Adresse gebe ich im Browser ein.
Von einen Rechner in dein LAN oder auf einen Rechner ausserhalb deines LANS. Nicht das dein Konstrukt kein NAT Loopbak/Hairpin NAT kann? Dar ist es immer besser von Extern aus zu testen.Ich habe auf der Fritzbox einen Mitschnitt gemacht, sehe aber nicht ungewöhnliches.
Du sollst deinen Zugriff suchen, nicht ungewöhnlichesOder ich habe zu wenig Erfahrung mit Wireshark, was ich nicht ausschließen möchte.
Können wir nicht beurteilen.Allerdings habe ich bei einem Trace am Lancom festgestellt, dass die Pakete dort nicht angezeigt werden.
Dann lasse dir dort alle Pakete am WAN anzeigen. Da solltest du sehen wann ein Paket von der Fritte kommt und für dein WebServer bestimmt ist. Dein LanCom macht also kein NAT, sondern der Routet nur? Von 192.168.180.1 (LAN IP des LANCom) auf seine WAN IP (192.168.178.X)? Und in der Fritte ist die WAN IP (192.168.178.X) als Exposed Host eingetragen? Und im LancCom hast du beachtet das der Port 80 und 443 korrekt weiter gibt? https://www.andysblog.de/avm-fritzbox-paketmitschnitt-erstellen oder https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/016/hilfe_supportGruß,
Peter
Zitat von @BUCoff:
Ich bin einen Schritt weiter.
Auf dem Lancom sind im Syslog folgende Meldung zu lesen:
Daher gehe ich davon aus, dass ich bei der Konfiguration der WAN-Schnittstelle einen Fehler gemacht habe. Als WAN-Adresse gebe ich doch die Adresse der Fritzbox an (192.168.178.1)?
Ich bin einen Schritt weiter.
Auf dem Lancom sind im Syslog folgende Meldung zu lesen:
> DHCP: Rx (WAN, INTERNET): (bad interface) => Discard
Daher gehe ich davon aus, dass ich bei der Konfiguration der WAN-Schnittstelle einen Fehler gemacht habe. Als WAN-Adresse gebe ich doch die Adresse der Fritzbox an (192.168.178.1)?
Guten Morgen
Die Schnittstelle auf Seiten vom LANCOM zur Fritzbox hat die IP-Adresse der FB?
Zeig bitte ein Bild deiner angelegten Netzwerke im LANCOM!
Gruß Mikro
Hallo,
NEIN Diese IP ist das Gateway deine WAN IP, aber die WAN muss eine eindeutigen IP sein in den 192.168.178.0/24 Netz. Wenn also die Fritte schon ..1 hat, kann deine WAN IP vom LanCom nur eine .2 bis .254 sein, sofern die .254 nicht schon anderweitig verwendet wird. Jede IP kann nur einmal in dessen Netz verwendet werden (vorkommen). Deshalb hat Aldi einen eigene eindeutige IP um die im Internet zu erreichen. Und auch Private IP Netze arbeiten so und nicht anders. Was wäre es wenn deine Adresse noch einmal in deiner Stadt existieren würde. Chaos. Und wenn IP Adressen doppelt im Broadcastnetz (dein 192.168.178.0/24) existieren isweiß auch keiner (Router) wohin jetzt damit. Nennt IP-Konflickt.
https://en.wikipedia.org/wiki/Internet_protocol_suite
Gruß,
Peter
NEIN Diese IP ist das Gateway deine WAN IP, aber die WAN muss eine eindeutigen IP sein in den 192.168.178.0/24 Netz. Wenn also die Fritte schon ..1 hat, kann deine WAN IP vom LanCom nur eine .2 bis .254 sein, sofern die .254 nicht schon anderweitig verwendet wird. Jede IP kann nur einmal in dessen Netz verwendet werden (vorkommen). Deshalb hat Aldi einen eigene eindeutige IP um die im Internet zu erreichen. Und auch Private IP Netze arbeiten so und nicht anders. Was wäre es wenn deine Adresse noch einmal in deiner Stadt existieren würde. Chaos. Und wenn IP Adressen doppelt im Broadcastnetz (dein 192.168.178.0/24) existieren isweiß auch keiner (Router) wohin jetzt damit. Nennt IP-Konflickt.
https://en.wikipedia.org/wiki/Internet_protocol_suite
Gruß,
Peter
Servus,
irgendwie finde ich das Setup entweder umständlich, unzureichend beschrieben oder werde nicht recht schlau daraus.
Wieso nimmst du die Fritte nicht als doofes Modem mit Werkseinstellungen? Dahinter dann der Lancom mit einer Einwahlverbindung über ETH1 = LAN1 auf die Fritte, die vom Lancom aufgebaut wird. Auf ETH2 / LAN 2 dann dein 178er-Netz mit dem Lancom als Gateway 192.168.178.1 sowie auf ETH 3 = LAN 3 deine DMZ. Der Lancom bekommt dann in der DMZ 192.168.180.1 als Default Gateway für die DMZ. Stellst du beim Lancom alles über Lanconfig in den IPv4-Netzen ein.
Du stellst im Lancom dann noch den Isolated-Mode ein, damit Verkehr zwischen den Netzen intern nicht gebridged wird und über das Routing-Modul des Lancom muss.
Dann Port 80 und 443 per Portforwarding auf den Webserver in die DMZ schubsen und die Firewallregel dementsprechend schreiben.
Da kannst du auch für dein 178er Netz die Firewall des Lancom verwenden und per Deny all das Ganze noch etwas sicherer machen.
Die Konfig-Oberfläche des Lancom sollte dann auf 192.168.178.1 aus diesem Subnetz trotzdem noch per 80 und 443 erreichbar sein.
Gruß aus dem Freibad 😄🍺
NV
irgendwie finde ich das Setup entweder umständlich, unzureichend beschrieben oder werde nicht recht schlau daraus.
Wieso nimmst du die Fritte nicht als doofes Modem mit Werkseinstellungen? Dahinter dann der Lancom mit einer Einwahlverbindung über ETH1 = LAN1 auf die Fritte, die vom Lancom aufgebaut wird. Auf ETH2 / LAN 2 dann dein 178er-Netz mit dem Lancom als Gateway 192.168.178.1 sowie auf ETH 3 = LAN 3 deine DMZ. Der Lancom bekommt dann in der DMZ 192.168.180.1 als Default Gateway für die DMZ. Stellst du beim Lancom alles über Lanconfig in den IPv4-Netzen ein.
Du stellst im Lancom dann noch den Isolated-Mode ein, damit Verkehr zwischen den Netzen intern nicht gebridged wird und über das Routing-Modul des Lancom muss.
Dann Port 80 und 443 per Portforwarding auf den Webserver in die DMZ schubsen und die Firewallregel dementsprechend schreiben.
Da kannst du auch für dein 178er Netz die Firewall des Lancom verwenden und per Deny all das Ganze noch etwas sicherer machen.
Die Konfig-Oberfläche des Lancom sollte dann auf 192.168.178.1 aus diesem Subnetz trotzdem noch per 80 und 443 erreichbar sein.
Gruß aus dem Freibad 😄🍺
NV
Servus BUCoff,
schön wenn es jetzt läuft. Der Lancom wickelt den LAN- und WAN Traffic selbstverständlich selbstständig ab, WENN er die Netze kennt.
Du legst für den Lancom immer eine IP-Adresse für JEDES Subnetz an, das du auf dem Router anlegst. Das machst du z.B. über Lanconfig
bei der Erstellung eines Netzes. Wenn du z.B. die Netze 192.168.178.0/24, 192.168.179.0/24 und 192.168.180.0/24 anlegst, dann gibst du dem Router z.B. die Adressen 192.168.178.1, 192.168.179.1 und 192.168.180.1.
Das sind dann i.d.R auch deine Default-Gateways für die Subnetze.
Gruß NV
schön wenn es jetzt läuft. Der Lancom wickelt den LAN- und WAN Traffic selbstverständlich selbstständig ab, WENN er die Netze kennt.
Du legst für den Lancom immer eine IP-Adresse für JEDES Subnetz an, das du auf dem Router anlegst. Das machst du z.B. über Lanconfig
bei der Erstellung eines Netzes. Wenn du z.B. die Netze 192.168.178.0/24, 192.168.179.0/24 und 192.168.180.0/24 anlegst, dann gibst du dem Router z.B. die Adressen 192.168.178.1, 192.168.179.1 und 192.168.180.1.
Das sind dann i.d.R auch deine Default-Gateways für die Subnetze.
Gruß NV
Hallo,
Weil deine Fritte es nicht mehr unterstützt oder warum?
Entweder in deiner ersten Dose die zwei drähte verlängern oder unten im Keller am Hausübergabepunkt die eine TK Dosen abklemmen und deine Dose oben dann an diesen zwei Leitungen anklemmen. Ist es Geschraubt, kein Problem, sind es LSA+ Klemmen, dann nicht mit einen z.B. Flachschlitzschraubendreher rein drücken, davon gehen die Schneidklemmen kaputt und wenn du pech hast bekommst du keine Verbindung mehr. raus ziehen ist ganz leich und zum Auflegen der 2 Drähte brauchst du ein LSa+ Auflegewerkzeug.
https://www.reichelt.de/reicheltpedia/index.php/LSA-Anschlusstechnik
https://www.reichelt.de/anlegewerkzeug-fuer-lsa-montagewerkzeug-p10834.h ...
https://www.reichelt.de/lsa-plus-anlegewerkzeug-mit-sensor-lsa-tool-kron ...
Gruß,
Peter
Weil deine Fritte es nicht mehr unterstützt oder warum?
da ich keine eigenen Kabel unter Putz verlegen darf
Und wie ist dann die Fritte mit den LanCom verbunden? Erzähle uns nicht alles nur häppchenweise.und Netzwerkgeräte sich auf zwei Etagen befinden. Der Lancom ist unten und die Fritzox für den DSL-Anschluss oben inklusive weiterer Geräte die per LAN an der Fritzbox hängen.
Sind ausser dein LanCom noch andere Geräte an deine Fritte angebunden z.B. per WLAN oder wird ausschließelich alles über den LanCom abgefackelt? WLAN an der Fritte aus? Das ist eine klassische Routerkaskade und bei dir reicht auch ein Switch und ein AccessPoint. Warum also der LanCom? Weihnachtsgeschenk?Meinen Provider habe ich aber schon gefragt, ob ich den DSL-Anschluss auf die zweite Telefondose unten legen lassen kann.
Das kannst du auch selbst machen. Du brauchsr nur 2 Drähte und eine Polarität gibbet auch nicht. Und solange es keine 200 meter oder mehr sind sollten kinen Probleme zu erwarten sein, ausser du hast schon einen aussergewöhnliche leitungslänge und jeder weitere meter macht es dann nicht besser.Entweder in deiner ersten Dose die zwei drähte verlängern oder unten im Keller am Hausübergabepunkt die eine TK Dosen abklemmen und deine Dose oben dann an diesen zwei Leitungen anklemmen. Ist es Geschraubt, kein Problem, sind es LSA+ Klemmen, dann nicht mit einen z.B. Flachschlitzschraubendreher rein drücken, davon gehen die Schneidklemmen kaputt und wenn du pech hast bekommst du keine Verbindung mehr. raus ziehen ist ganz leich und zum Auflegen der 2 Drähte brauchst du ein LSa+ Auflegewerkzeug.
https://www.reichelt.de/reicheltpedia/index.php/LSA-Anschlusstechnik
https://www.reichelt.de/anlegewerkzeug-fuer-lsa-montagewerkzeug-p10834.h ...
https://www.reichelt.de/lsa-plus-anlegewerkzeug-mit-sensor-lsa-tool-kron ...
Gruß,
Peter