bucoff
Goto Top

Lancom 443-Portforwarding

Hallo,

ich habe folgende Situation: Der Internetanschluss wird von einer Fritzbox 7490 übernommen. Der dahinter liegende Lancom 1781A ist als Exposed Host in der Fritzbox eingerichtet. Nun liegt hinter dem Lancom eine DMZ mit Webserver auf den ich HTTPS weiterleiten möchte. Auf den beiden Bildern sind jeweils mein Forwarding und die Firewall-Regeln zu sehen. gebe ich nun meine IP-Adresse ein (feste IP) lande ich nicht auf dem Webserver sondern bleibe auf dem Lancom hängen.

Was mache ich hier falsch? Nach meinem Verständnis müsste der Zugriff klappen.

Danke und ein schönes Wochenende an euch.
firewall
443

Content-ID: 462229

Url: https://administrator.de/forum/lancom-443-portforwarding-462229.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Pjordorf
Pjordorf 14.06.2019 aktualisiert um 21:17:48 Uhr
Goto Top
Hallo,

Zitat von @BUCoff:
Nun liegt hinter dem Lancom eine DMZ mit Webserver auf den ich HTTPS weiterleiten möchte.
Dann HTTPS in der Fritzbox wieterleiten an den LanCom und dort dan HTTPS an den WebServer (IP) weiterleiten. Es sollte aber schon funktionieren wenn wie du sagts du auf der Fritte alles zum LanCom als Exposed Host sendest.

Auf den beiden Bildern sind jeweils mein Forwarding und die Firewall-Regeln zu sehen
Ist NAT im LanCom aktiv? Wer ist dort Internet (IP 192.168.180.10) bzw. wer hat noch welche IP?

gebe ich nun meine IP-Adresse ein
Wo?

lande ich nicht auf dem Webserver sondern bleibe auf dem Lancom hängen.
Mal ein Wireshark gemacht? Auf einer Fritte solltest du auch ein Paketmittschnittvmachen können.

Was mache ich hier falsch? Nach meinem Verständnis müsste der Zugriff klappen.
Tut es aber anscheinend nicht. Aber dazu fehlen uns viel zu wenige Informationen, also hast du wohl etwas falsch gemacht.

Gruß,
Peter
StefanKittel
StefanKittel 14.06.2019 um 21:03:19 Uhr
Goto Top
Hallo,

soweit ich weiß muss Du vorher das Managinginterface des Lancom auf einen anderen Port legen und die Firewall anpassen.

Stefan
BUCoff
BUCoff 14.06.2019 aktualisiert um 21:42:59 Uhr
Goto Top
Hallo Peter,

Auf den beiden Bildern sind jeweils mein Forwarding und die Firewall-Regeln zu sehen
Ist NAT im LanCom aktiv? Wer ist dort Internet (IP 192.168.180.0) bzw. wer hatb doch welhe IP?

Das 180er Subnet ist die DMZ. Dabei hat der Lancom die IP-Adresse 192.168.180.1 und im Fritzbox-Netz 192.168.178.251. Der Webserver, der erreicht werden soll, hat die 192.168.180.10.

gebe ich nun meine IP-Adresse ein
Wo?

Die feste, öffentliche IP-Adresse gebe ich im Browser ein.

lande ich nicht auf dem Webserver sondern bleibe auf dem Lancom hängen.
Mal ein Wireshark gemacht? Auf einer Fritte solltest du auch ein Paketmittschnittvmachen können.

Ich habe auf der Fritzbox einen Mitschnitt gemacht, sehe aber nicht ungewöhnliches. Oder ich habe zu wenig Erfahrung mit Wireshark, was ich nicht ausschließen möchte. Allerdings habe ich bei einem Trace am Lancom festgestellt, dass die Pakete dort nicht angezeigt werden.


Zitat von @StefanKittel:

Hallo,

soweit ich weiß muss Du vorher das Managinginterface des Lancom auf einen anderen Port legen und die Firewall anpassen.

Stefan

Hallo Stefan,

die Management-Ports habe ich geändert. Aber wie muss ich denn die Firewall anpassen?

Danke an dich und Peter für eure Hilfe.
Pjordorf
Pjordorf 14.06.2019 um 22:26:21 Uhr
Goto Top
Hallo,

Zitat von @BUCoff:
Der Webserver, der erreicht werden soll, hat die 192.168.180.10.
OK

Die feste, öffentliche IP-Adresse gebe ich im Browser ein.
Von einen Rechner in dein LAN oder auf einen Rechner ausserhalb deines LANS. Nicht das dein Konstrukt kein NAT Loopbak/Hairpin NAT kann? Dar ist es immer besser von Extern aus zu testen.

Ich habe auf der Fritzbox einen Mitschnitt gemacht, sehe aber nicht ungewöhnliches.
Du sollst deinen Zugriff suchen, nicht ungewöhnlichesface-smile

Oder ich habe zu wenig Erfahrung mit Wireshark, was ich nicht ausschließen möchte.
Können wir nicht beurteilen.

Allerdings habe ich bei einem Trace am Lancom festgestellt, dass die Pakete dort nicht angezeigt werden.
Dann lasse dir dort alle Pakete am WAN anzeigen. Da solltest du sehen wann ein Paket von der Fritte kommt und für dein WebServer bestimmt ist. Dein LanCom macht also kein NAT, sondern der Routet nur? Von 192.168.180.1 (LAN IP des LANCom) auf seine WAN IP (192.168.178.X)? Und in der Fritte ist die WAN IP (192.168.178.X) als Exposed Host eingetragen? Und im LancCom hast du beachtet das der Port 80 und 443 korrekt weiter gibt? https://www.andysblog.de/avm-fritzbox-paketmitschnitt-erstellen oder https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/016/hilfe_support

Gruß,
Peter
BUCoff
BUCoff 15.06.2019 um 00:48:38 Uhr
Goto Top
Ich bin einen Schritt weiter.

Auf dem Lancom sind im Syslog folgende Meldung zu lesen:
DHCP: Rx (WAN, INTERNET): (bad interface) => Discard

Daher gehe ich davon aus, dass ich bei der Konfiguration der WAN-Schnittstelle einen Fehler gemacht habe. Als WAN-Adresse gebe ich doch die Adresse der Fritzbox an (192.168.178.1)?
Mikrofonpartner
Mikrofonpartner 15.06.2019 um 09:05:46 Uhr
Goto Top
Zitat von @BUCoff:

Ich bin einen Schritt weiter.

Auf dem Lancom sind im Syslog folgende Meldung zu lesen:
> DHCP: Rx (WAN, INTERNET): (bad interface) => Discard

Daher gehe ich davon aus, dass ich bei der Konfiguration der WAN-Schnittstelle einen Fehler gemacht habe. Als WAN-Adresse gebe ich doch die Adresse der Fritzbox an (192.168.178.1)?

Guten Morgen

Die Schnittstelle auf Seiten vom LANCOM zur Fritzbox hat die IP-Adresse der FB?

Zeig bitte ein Bild deiner angelegten Netzwerke im LANCOM!

Gruß Mikro
Pjordorf
Lösung Pjordorf 15.06.2019 um 14:23:22 Uhr
Goto Top
Hallo,

Zitat von @BUCoff:
Als WAN-Adresse gebe ich doch die Adresse der Fritzbox an (192.168.178.1)?
NEIN Diese IP ist das Gateway deine WAN IP, aber die WAN muss eine eindeutigen IP sein in den 192.168.178.0/24 Netz. Wenn also die Fritte schon ..1 hat, kann deine WAN IP vom LanCom nur eine .2 bis .254 sein, sofern die .254 nicht schon anderweitig verwendet wird. Jede IP kann nur einmal in dessen Netz verwendet werden (vorkommen). Deshalb hat Aldi einen eigene eindeutige IP um die im Internet zu erreichen. Und auch Private IP Netze arbeiten so und nicht anders. Was wäre es wenn deine Adresse noch einmal in deiner Stadt existieren würde. Chaos. Und wenn IP Adressen doppelt im Broadcastnetz (dein 192.168.178.0/24) existieren isweiß auch keiner (Router) wohin jetzt damit. Nennt IP-Konflickt.
https://en.wikipedia.org/wiki/Internet_protocol_suite

Gruß,
Peter
NixVerstehen
NixVerstehen 15.06.2019 um 15:32:50 Uhr
Goto Top
Servus,
irgendwie finde ich das Setup entweder umständlich, unzureichend beschrieben oder werde nicht recht schlau daraus.

Wieso nimmst du die Fritte nicht als doofes Modem mit Werkseinstellungen? Dahinter dann der Lancom mit einer Einwahlverbindung über ETH1 = LAN1 auf die Fritte, die vom Lancom aufgebaut wird. Auf ETH2 / LAN 2 dann dein 178er-Netz mit dem Lancom als Gateway 192.168.178.1 sowie auf ETH 3 = LAN 3 deine DMZ. Der Lancom bekommt dann in der DMZ 192.168.180.1 als Default Gateway für die DMZ. Stellst du beim Lancom alles über Lanconfig in den IPv4-Netzen ein.

Du stellst im Lancom dann noch den Isolated-Mode ein, damit Verkehr zwischen den Netzen intern nicht gebridged wird und über das Routing-Modul des Lancom muss.

Dann Port 80 und 443 per Portforwarding auf den Webserver in die DMZ schubsen und die Firewallregel dementsprechend schreiben.

Da kannst du auch für dein 178er Netz die Firewall des Lancom verwenden und per Deny all das Ganze noch etwas sicherer machen.

Die Konfig-Oberfläche des Lancom sollte dann auf 192.168.178.1 aus diesem Subnetz trotzdem noch per 80 und 443 erreichbar sein.

Gruß aus dem Freibad 😄🍺
NV
BUCoff
BUCoff 16.06.2019 um 11:40:07 Uhr
Goto Top
Vielen Dank an alle.

Ich bin immer davon ausgegangen, dass der LANCOM nur eine LAN-IP benötigt und dann LAN- und WAN-Traffic selbst abwickelt.

Der Lancom hat jetzt eine WAN-IP, die sich von der schon vergebenen LAN-IP unterscheidet. Nun kann ich auch den Webserver erreichen.
NixVerstehen
NixVerstehen 16.06.2019 aktualisiert um 12:24:37 Uhr
Goto Top
Servus BUCoff,

schön wenn es jetzt läuft. Der Lancom wickelt den LAN- und WAN Traffic selbstverständlich selbstständig ab, WENN er die Netze kennt.

Du legst für den Lancom immer eine IP-Adresse für JEDES Subnetz an, das du auf dem Router anlegst. Das machst du z.B. über Lanconfig
bei der Erstellung eines Netzes. Wenn du z.B. die Netze 192.168.178.0/24, 192.168.179.0/24 und 192.168.180.0/24 anlegst, dann gibst du dem Router z.B. die Adressen 192.168.178.1, 192.168.179.1 und 192.168.180.1.

Das sind dann i.d.R auch deine Default-Gateways für die Subnetze.

Gruß NV
BUCoff
BUCoff 16.06.2019 um 13:06:23 Uhr
Goto Top
Die Fritzbox würde ich sehr gerne nur als Modem einsetzen, geht aber nicht, da ich keine eigenen Kabel unter Putz verlegen darf und Netzwerkgeräte sich auf zwei Etagen befinden. Der Lancom ist unten und die Fritzox für den DSL-Anschluss oben inklusive weiterer Geräte die per LAN an der Fritzbox hängen.

Meinen Provider habe ich aber schon gefragt, ob ich den DSL-Anschluss auf die zweite Telefondose unten legen lassen kann.
Pjordorf
Pjordorf 16.06.2019 um 16:14:23 Uhr
Goto Top
Hallo,

Zitat von @BUCoff:
Die Fritzbox würde ich sehr gerne nur als Modem einsetzen, geht aber nicht,
Weil deine Fritte es nicht mehr unterstützt oder warum?

da ich keine eigenen Kabel unter Putz verlegen darf
Und wie ist dann die Fritte mit den LanCom verbunden? Erzähle uns nicht alles nur häppchenweise.

und Netzwerkgeräte sich auf zwei Etagen befinden. Der Lancom ist unten und die Fritzox für den DSL-Anschluss oben inklusive weiterer Geräte die per LAN an der Fritzbox hängen.
Sind ausser dein LanCom noch andere Geräte an deine Fritte angebunden z.B. per WLAN oder wird ausschließelich alles über den LanCom abgefackelt? WLAN an der Fritte aus? Das ist eine klassische Routerkaskade und bei dir reicht auch ein Switch und ein AccessPoint. Warum also der LanCom? Weihnachtsgeschenk?

Meinen Provider habe ich aber schon gefragt, ob ich den DSL-Anschluss auf die zweite Telefondose unten legen lassen kann.
Das kannst du auch selbst machen. Du brauchsr nur 2 Drähte und eine Polarität gibbet auch nicht. Und solange es keine 200 meter oder mehr sind sollten kinen Probleme zu erwarten sein, ausser du hast schon einen aussergewöhnliche leitungslänge und jeder weitere meter macht es dann nicht besser.
Entweder in deiner ersten Dose die zwei drähte verlängern oder unten im Keller am Hausübergabepunkt die eine TK Dosen abklemmen und deine Dose oben dann an diesen zwei Leitungen anklemmen. Ist es Geschraubt, kein Problem, sind es LSA+ Klemmen, dann nicht mit einen z.B. Flachschlitzschraubendreher rein drücken, davon gehen die Schneidklemmen kaputt und wenn du pech hast bekommst du keine Verbindung mehr. raus ziehen ist ganz leich und zum Auflegen der 2 Drähte brauchst du ein LSa+ Auflegewerkzeug.
https://www.reichelt.de/reicheltpedia/index.php/LSA-Anschlusstechnik
https://www.reichelt.de/anlegewerkzeug-fuer-lsa-montagewerkzeug-p10834.h ...
https://www.reichelt.de/lsa-plus-anlegewerkzeug-mit-sensor-lsa-tool-kron ...

Gruß,
Peter