11
Lancom NAT bzw. Exposed Host
Moin,
ich hab hier nen LANCOM 883 VOIP und dahinter einen Ciscorouter. Dieser stellt eine Verbindung zu einem anderen her.
Das interne Netz hat die IP: 172.20.20.x / 24
Lancom hat die 172.20.20.175
Cisco eth0 hat die 172.20.20.176
Ich kann den Cisco erreichen, wenn ich am Lancom hänge.
Von Extern kann ich nur den Lancom erreichen. Selbst wenn ich SSH oder https weiter leite auf die .176 lande ich nur auf dem Lancom.
Im Grunde möchte ich alles auf den Cisco umbiegen, außer die Bereitstellung des Internetzugangs.
Geht das mit dem doofen Lancom überhaupt?
Grüße
ich hab hier nen LANCOM 883 VOIP und dahinter einen Ciscorouter. Dieser stellt eine Verbindung zu einem anderen her.
Das interne Netz hat die IP: 172.20.20.x / 24
Lancom hat die 172.20.20.175
Cisco eth0 hat die 172.20.20.176
Ich kann den Cisco erreichen, wenn ich am Lancom hänge.
Von Extern kann ich nur den Lancom erreichen. Selbst wenn ich SSH oder https weiter leite auf die .176 lande ich nur auf dem Lancom.
Im Grunde möchte ich alles auf den Cisco umbiegen, außer die Bereitstellung des Internetzugangs.
Geht das mit dem doofen Lancom überhaupt?
Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 566281
Url: https://administrator.de/forum/lancom-nat-bzw-exposed-host-566281.html
Ausgedruckt am: 02.04.2025 um 02:04 Uhr
11 Kommentare
Neuester Kommentar
Der LANCOM ist nur so doof wie der Anwender.
Soll die Kiste Modem spielen oder bleibt die Kiste Default-Gateway?
SSH und HTTPS musst du auf andere Ports umlegen, weil die internen Managementfunktionen des Routers haben Vorrang vor dem eigentlichen Routing. Aber wenn du die von extern erreichen kannst, ist der Router absichtlich so konfiguriert oder total fehlkonfiguriert. HTTPS kann auch für VPN notwendig sein, je nach Einstellung.
Soll die Kiste Modem spielen oder bleibt die Kiste Default-Gateway?
SSH und HTTPS musst du auf andere Ports umlegen, weil die internen Managementfunktionen des Routers haben Vorrang vor dem eigentlichen Routing. Aber wenn du die von extern erreichen kannst, ist der Router absichtlich so konfiguriert oder total fehlkonfiguriert. HTTPS kann auch für VPN notwendig sein, je nach Einstellung.
Könnte sein :D
Er sollte schon Default GW bleiben.
Du meinst SSH/HTTPS vom Cisco?
Er sollte schon Default GW bleiben.
Du meinst SSH/HTTPS vom Cisco?
Ne, wenn du beim Zugriff von außen den LANCOM siehst, dann sind dort die Managementfunktionen wieder aktiviert worden.
Einfach die Managementfunktionen protokollweise komplett abschalten oder auf andere Ports umlegen, dann funktioniert auch die Portweiterleitung. Gilt dann aber auch für innen. Also mindestens eine Funktion sollte aktiv bleiben (bevorzugt ssh auf einem anderen Port, ich leg meine immer auf tcp/22222 um)
Einfach die Managementfunktionen protokollweise komplett abschalten oder auf andere Ports umlegen, dann funktioniert auch die Portweiterleitung. Gilt dann aber auch für innen. Also mindestens eine Funktion sollte aktiv bleiben (bevorzugt ssh auf einem anderen Port, ich leg meine immer auf tcp/22222 um)
Ja, das haben wir getan. Konnten den LC dann über diese Ports auch erreichen, aber die Weiterleitung geht dennoch nicht.
Wir werden morgen nochmal den Cisco durch nen anderen Router ersetzen und die Portweiterleitung testen. Vielleicht liegt es auch am Cisco. Nach drei Stunden habe ich dann auch erfahren, dass die FA, die das eingerichtet hat ACLs drauf gepackt hat, die jeglichen Zugriff von anderen Netzen als dem eigenem unterbinden.... da ich aber nicht aus dem Netz komme konnte ich testen bis ich tot umfalle ...
Morgen gehts weiter. Gute Nacht!
Wir werden morgen nochmal den Cisco durch nen anderen Router ersetzen und die Portweiterleitung testen. Vielleicht liegt es auch am Cisco. Nach drei Stunden habe ich dann auch erfahren, dass die FA, die das eingerichtet hat ACLs drauf gepackt hat, die jeglichen Zugriff von anderen Netzen als dem eigenem unterbinden.... da ich aber nicht aus dem Netz komme konnte ich testen bis ich tot umfalle ...
Morgen gehts weiter. Gute Nacht!
Zitat von @Xaero1982:
Moin,
ich hab hier nen LANCOM 883 VOIP und dahinter einen Ciscorouter. Dieser stellt eine Verbindung zu einem anderen her.
Im Grunde möchte ich alles auf den Cisco umbiegen, außer die Bereitstellung des Internetzugangs.
Moin,
ich hab hier nen LANCOM 883 VOIP und dahinter einen Ciscorouter. Dieser stellt eine Verbindung zu einem anderen her.
Im Grunde möchte ich alles auf den Cisco umbiegen, außer die Bereitstellung des Internetzugangs.
Hallo.
Was ist denn das Ziel des Ganzen?
Warum die Router-Kaskade, wenn doch der Lancom auch IPsec Tunnel beherrscht?
Liegt der andere Router, mit dem sich der Cisco verbindet, in einem entfernten Netzwerk oder intern?
Wenn der Lancom das Default Gateway spielen soll, dann lass ihn doch oder gibt es eine funktionale Einschränkung?
Das Konstrukt klingt leider etwas zu kompliziert und wie @tikayevent schon schrieb fehlkonfiguriert.
Gruß
Radiogugu
Die Frage ist so oberflächlich und ohne Informationen gestellt das man darauf nicht zielführend antworten kann. Mit keinem Wort ist erwähnt WAS genau der Lancom macht. Ob er z.B. irgendeine Art NAT macht oder was auch immer. 
Ebenso der Cisco. WAS genau heisst "...stellt eine Verbindung zu einem anderen her." ?? Was ist das ? Normal geroutet, VPN, MPLS andere WAN Topologie....alles Wischiwaschi ohne technischen Tiefgang.
Mit so wenig Information zur Installation und Funktion und was genau erreicht werden soll ist eine hilfreiche Antwort unmöglich.
Ohne das der TO hier etwas mehr Infos gibt werden wir weiter mehr oder minder im freien Fall hier rumraten. Zu 98% wird man das sicher lösen können wenn man denn Intention und Funktion genau kennen würde....
Ein kleine Skizze und zusätzliche Infos usw. würde also immens helfen für eine sicher machbare Lösung.
Ebenso der Cisco. WAS genau heisst "...stellt eine Verbindung zu einem anderen her." ?? Was ist das ? Normal geroutet, VPN, MPLS andere WAN Topologie....alles Wischiwaschi ohne technischen Tiefgang.
Mit so wenig Information zur Installation und Funktion und was genau erreicht werden soll ist eine hilfreiche Antwort unmöglich.
Ohne das der TO hier etwas mehr Infos gibt werden wir weiter mehr oder minder im freien Fall hier rumraten. Zu 98% wird man das sicher lösen können wenn man denn Intention und Funktion genau kennen würde....
Ein kleine Skizze und zusätzliche Infos usw. würde also immens helfen für eine sicher machbare Lösung.
Moin,
ich kann leider keinerlei weitere Infos geben, weil ich nichts von dem Cisco weiß. Er wird von einer externen Firma konfiguriert und wir haben keinerlei Zugang dazu, geschweige denn irgendwelche Informationen.
Laut Aussage der Firma hieß es: An euren Router anklemmen und fertig. Das das Schwachsinn ist haben die nun hoffentlich auch verstanden.
Der Cisco soll einen Tunnel zu einer anderen Firma herstellen, damit sich vor Ort angeschlossene Thinclients mit einem Terminalserver verbinden können.
Ich hab jetzt den Lancom durch eine blöde Fritte ausgetauscht. Jetzt kann man zumindest von extern auf den Cisco zugreifen, aber nun sagte der Betreuer des Ciscos er könne die interne IP von dem Cisco nicht anpingen.
Ich hab ihn nun nochmal gefragt was er eigentlich will...
Grüße
ich kann leider keinerlei weitere Infos geben, weil ich nichts von dem Cisco weiß. Er wird von einer externen Firma konfiguriert und wir haben keinerlei Zugang dazu, geschweige denn irgendwelche Informationen.
Laut Aussage der Firma hieß es: An euren Router anklemmen und fertig. Das das Schwachsinn ist haben die nun hoffentlich auch verstanden.
Der Cisco soll einen Tunnel zu einer anderen Firma herstellen, damit sich vor Ort angeschlossene Thinclients mit einem Terminalserver verbinden können.
Ich hab jetzt den Lancom durch eine blöde Fritte ausgetauscht. Jetzt kann man zumindest von extern auf den Cisco zugreifen, aber nun sagte der Betreuer des Ciscos er könne die interne IP von dem Cisco nicht anpingen.
Ich hab ihn nun nochmal gefragt was er eigentlich will...
Grüße
Nichts für ungut, aber was zum Geier geht denn da ab?
Bist Du denn authorisiert irgendetwas an der Netzwerk-Infrastruktur zu ändern? Was macht die externe Firma denn für euch?
Die Konstellation klingt absolut seltsam und lässt vermuten, dass nun mehrere Köche sich die Kochlöffel wegnehmen. Du änderst etwas, jetzt können die nicht vernünftig Zugriff auf deren Ausrüstung garantieren.
Man soll es nicht schreiben, aber das schreit förmlich nach professioneller Hilfe vor Ort. Bitte enger mit der anderen Firma zusammenarbeiten, damit hier nicht mehr kaputt konfiguriert wird, als unbedingt nötig.
Gruß
Radiogugu
Bist Du denn authorisiert irgendetwas an der Netzwerk-Infrastruktur zu ändern? Was macht die externe Firma denn für euch?
Die Konstellation klingt absolut seltsam und lässt vermuten, dass nun mehrere Köche sich die Kochlöffel wegnehmen. Du änderst etwas, jetzt können die nicht vernünftig Zugriff auf deren Ausrüstung garantieren.
Zitat von @Xaero1982:
Ich hab jetzt den Lancom durch eine blöde Fritte ausgetauscht. Jetzt kann man zumindest von extern auf den Cisco zugreifen, aber nun sagte der Betreuer des Ciscos er könne die interne IP von dem Cisco nicht anpingen.
Ich hab jetzt den Lancom durch eine blöde Fritte ausgetauscht. Jetzt kann man zumindest von extern auf den Cisco zugreifen, aber nun sagte der Betreuer des Ciscos er könne die interne IP von dem Cisco nicht anpingen.
Man soll es nicht schreiben, aber das schreit förmlich nach professioneller Hilfe vor Ort. Bitte enger mit der anderen Firma zusammenarbeiten, damit hier nicht mehr kaputt konfiguriert wird, als unbedingt nötig.
Gruß
Radiogugu
Da ist nichts mit enger zusammen arbeiten. Ich kann die nicht mal erreichen. Wenn ich Glück habe bekomme ich mal einen RR nach Aufforderung
Ich kann hier alles ändern.
Diese externe Firma macht gar nichts für uns. Hier sollen lediglich Thinclients eine Verbindung zu deren TS aufbauen, damit man darauf arbeiten kann und das soll der Cisco realisieren.
Die können gar nichts garantieren, weil sie offenbar selbst nicht wissen was sie wollen!?
Wie gesagt: Es hieß: An den vorhandenen Router anhängen und fertig. Damit ist es aber nicht getan.
Wie gesagt warte ich nun auf die Rückmeldung von denen was sie nun wirklich wollen.
Grüße
Ich kann hier alles ändern.
Diese externe Firma macht gar nichts für uns. Hier sollen lediglich Thinclients eine Verbindung zu deren TS aufbauen, damit man darauf arbeiten kann und das soll der Cisco realisieren.
Die können gar nichts garantieren, weil sie offenbar selbst nicht wissen was sie wollen!?
Wie gesagt: Es hieß: An den vorhandenen Router anhängen und fertig. Damit ist es aber nicht getan.
Wie gesagt warte ich nun auf die Rückmeldung von denen was sie nun wirklich wollen.
Grüße
Klingt insgesamt unprofessionell und denke ich an die übrige Infrastruktur, wird es da ebenso Lücken und Krücken geben.
Einfach ein fremdes Gerät ins Netzwerk hängen, mit der Aussage: anschließen und fertig? Mann, Mann, Mann.
Man hätte doch sauber einen IPSec Tunnel aufbauen können von eurem Lancom und deren Netz und dann, entsprechend abgesichert, darüber den TS erreichbar zu machen.
Das ist ja immer noch möglich.
Wer ist denn Kunde von wem? Seid Ihr ein Cloud Hoster oder warum hat jemand fremdes einen Terminal-Server bei euch stehen?
Das verwirrt mich weiter, je mehr Du von der Situation preisgibst.
Gruß
Radiogugu
Einfach ein fremdes Gerät ins Netzwerk hängen, mit der Aussage: anschließen und fertig? Mann, Mann, Mann.
Man hätte doch sauber einen IPSec Tunnel aufbauen können von eurem Lancom und deren Netz und dann, entsprechend abgesichert, darüber den TS erreichbar zu machen.
Das ist ja immer noch möglich.
Wer ist denn Kunde von wem? Seid Ihr ein Cloud Hoster oder warum hat jemand fremdes einen Terminal-Server bei euch stehen?
Das verwirrt mich weiter, je mehr Du von der Situation preisgibst.
Gruß
Radiogugu
Da kannst du gerne denken was du willst
Ich kann da nichts weiter geben. Problem hat sich inzwischen geklärt.
Lag nicht an mir oder uns, sondern daran, dass er die falsche IP genutzt hat um Zugriff auf seinen Ciscorouter zu erhalten.
Das ist leider nicht so einfach wie du denkst. Wir können und dürfen hier keinerlei Informationen vom Geschäftspartner bekommen.
Thema erledigt.
Viele Grüße
Ich kann da nichts weiter geben. Problem hat sich inzwischen geklärt.
Lag nicht an mir oder uns, sondern daran, dass er die falsche IP genutzt hat um Zugriff auf seinen Ciscorouter zu erhalten.
Das ist leider nicht so einfach wie du denkst. Wir können und dürfen hier keinerlei Informationen vom Geschäftspartner bekommen.
Thema erledigt.
Viele Grüße
