9
NAT zwischen zwei lokalen Netzwerken
Hallo liebe Community,
ich begreife eine Situation einfach nicht, daher die Frage an euch:
Ich möchte einen Client hinter einem Router (LANCOM) per RDP erreichen. Genauer gesagt, soll ein Windows Client aus einem LAN (192.168.3.0) einen Windows Client hinter dem LANCOM (10.10.0.0) erreichen. Allerdings klappt es einfach nicht!
Die Netzstruktur sieht folgendermaßen aus:
Fritzbox (macht Einwahl, nur Modem) => Sophos Firewall (LAN: 192.168.3.0 wo der Client sich befindet, der aufbauen soll) --- (192.168.1.1 FW-seitig) Transfernetz (192.168.1.2 lancom-seitig) => LANCOM (LAN: 10.10.0.0)
Auf der FW sind die Regeln entsprechend angepasst, wie im LOG sichtbar, zusätzlich hab ich ein SNAT, welches die Adressen aus dem 192.168.3.0 Netz (in dem Fall 192.168.2.99) mit der 192.168.1.1 maskiert.
Nun starte ich auf dem Client im FW-LAN RDP und versuche mich über die IP 192.168.1.2 zu verbinden.
Es scheint, als würden die TCP/IP-Pakete richtig maskiert werden und auch weitergeleitet, allerdings antwortet der LANCOM mit dem Reset-Flag.
Es wäre super, wenn mich jemand beleuchten könnte bzw. erklären, warum die Verbindung nicht möglich ist. Vielen Dank im Voraus!
Beste Grüße!
ich begreife eine Situation einfach nicht, daher die Frage an euch:
Ich möchte einen Client hinter einem Router (LANCOM) per RDP erreichen. Genauer gesagt, soll ein Windows Client aus einem LAN (192.168.3.0) einen Windows Client hinter dem LANCOM (10.10.0.0) erreichen. Allerdings klappt es einfach nicht!
Die Netzstruktur sieht folgendermaßen aus:
Fritzbox (macht Einwahl, nur Modem) => Sophos Firewall (LAN: 192.168.3.0 wo der Client sich befindet, der aufbauen soll) --- (192.168.1.1 FW-seitig) Transfernetz (192.168.1.2 lancom-seitig) => LANCOM (LAN: 10.10.0.0)
Auf der FW sind die Regeln entsprechend angepasst, wie im LOG sichtbar, zusätzlich hab ich ein SNAT, welches die Adressen aus dem 192.168.3.0 Netz (in dem Fall 192.168.2.99) mit der 192.168.1.1 maskiert.
Nun starte ich auf dem Client im FW-LAN RDP und versuche mich über die IP 192.168.1.2 zu verbinden.
Es scheint, als würden die TCP/IP-Pakete richtig maskiert werden und auch weitergeleitet, allerdings antwortet der LANCOM mit dem Reset-Flag.
Es wäre super, wenn mich jemand beleuchten könnte bzw. erklären, warum die Verbindung nicht möglich ist. Vielen Dank im Voraus!
Beste Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 563531
Url: https://administrator.de/contentid/563531
Printed on: April 24, 2024 at 07:04 o'clock
9 Comments
Latest comment
Ist auf dem LANCOM eventuell die Firewall konfiguriert worden? Wenn ein RST kommt, dann scheint zumindest das Port Forwarding zu funktionieren. RST kommt, wenn eine Firewallregel als Aktion REJECT hat, was bei LCS die Standardaktion für neue Regeln ist.
Moin,
Gibbet nicht! Entzweder sie macht Einwahl, dann ist das ein NAT-Router oder sie ist Modem, dann macht sie keine Einwahl!
Hast Du dem LAN-Com auch gesagt, daß er "WAN-seitig" agesprochen werden darf und auch RFC1918-Pakete annehmen darf?
lks
Gibbet nicht! Entzweder sie macht Einwahl, dann ist das ein NAT-Router oder sie ist Modem, dann macht sie keine Einwahl!
=> Sophos Firewall (LAN: 192.168.3.0 wo der Client sich befindet, der aufbauen soll) --- (192.168.1.1 FW-seitig) Transfernetz (192.168.1.2 lancom-seitig) => LANCOM (LAN: 10.10.0.0)
Auf der FW sind die Regeln entsprechend angepasst, wie im LOG sichtbar, zusätzlich hab ich ein SNAT, welches die Adressen aus dem 192.168.3.0 Netz (in dem Fall 192.168.2.99) mit der 192.168.1.1 maskiert.
Nun starte ich auf dem Client im FW-LAN RDP und versuche mich über die IP 192.168.1.2 zu verbinden.
Es scheint, als würden die TCP/IP-Pakete richtig maskiert werden und auch weitergeleitet, allerdings antwortet der LANCOM mit dem Reset-Flag.
Nun starte ich auf dem Client im FW-LAN RDP und versuche mich über die IP 192.168.1.2 zu verbinden.
Es scheint, als würden die TCP/IP-Pakete richtig maskiert werden und auch weitergeleitet, allerdings antwortet der LANCOM mit dem Reset-Flag.
Hast Du dem LAN-Com auch gesagt, daß er "WAN-seitig" agesprochen werden darf und auch RFC1918-Pakete annehmen darf?
lks
Genauer gesagt, soll ein Windows Client aus einem LAN (192.168.3.0) einen Windows Client hinter dem LANCOM (10.10.0.0) erreichen.
Simplestes IP Routing was man in der IP Grundschule macht ! Guckst du hier:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wo ist dein wirkliches Problem ?
Fritzbox (macht Einwahl, nur Modem)
Wirklich "nur Modem" ?? Das können fritzBoxen eigentlich schon länger nicht mehr.Bei einem "nur Modem" wäre dann die öffentliche Provider IP Adresse direkt am WAN Port der Sophos ?
Ist das der Fall ??
Nur dann arbeidet die FB als reines Modem. Wenn nicht und dort eine private RFC 1918 IP ist, denn arbeitet die FB als NAT Router mit Adress Translation !
Grundlagen zu so einem Kaskaden Design mit doppeltem NAT und FW auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Man kann also nur hoffen (und dir glauben) das die FB wirklich als reines NUR Modem rennt.
Hilfreicher wäre ein Screenshot des Sophos WAN Port Status der das auch wirklich belegt !
Der Lancom arbeitet vermutlich auch als NAT Router der dann eine Verbindung verhindert oder... er hat entsprechende inbound Firewall Regeln die die Rückroute der Pakete blockiert.
Zu 98% ist es wie immer eins von beiden oder, worst case, beides ?!
Danke an alle, die geantwortet haben!
@tikayevent
Es gibt genau eine FW-Regel auf dem LANCOM: Any-All-Any-All Allow, es sollte also alles durchgehen (?)
@Lochkartenstanzer
Sorry, da habe ich mich falsch ausgedrückt, sie dient nur als Modem! Wie kann ich dem LANCOM das sagen? Ich finde absolut nichts dazu?
@aqui
Das Routing sollte passen, ist ja nichts aufregendes!
Dein gewünschtes Bild, ist ne 7362 sl:
@tikayevent
Es gibt genau eine FW-Regel auf dem LANCOM: Any-All-Any-All Allow, es sollte also alles durchgehen (?)
@Lochkartenstanzer
Sorry, da habe ich mich falsch ausgedrückt, sie dient nur als Modem! Wie kann ich dem LANCOM das sagen? Ich finde absolut nichts dazu?
@aqui
Das Routing sollte passen, ist ja nichts aufregendes!
Dein gewünschtes Bild, ist ne 7362 sl:
Mmhhh, stimmt. Wenn das ein Screenshot des Sophos WAN Ports ist ist das korrekt. (Telekom Kunde 
)
Das ist dann aber neu das AVM scheinbar wieder den reinen Modem Betrieb mit seinen Büchsen supportet. Gut zu wissen...
)Das ist dann aber neu das AVM scheinbar wieder den reinen Modem Betrieb mit seinen Büchsen supportet. Gut zu wissen...
Zitat von @aqui:
Das ist dann aber neu das AVM scheinbar wieder den reinen Modem Betrieb mit seinen Büchsen supportet. Gut zu wissen...
Das ist dann aber neu das AVM scheinbar wieder den reinen Modem Betrieb mit seinen Büchsen supportet. Gut zu wissen...
Ist aber schon eine ganze Weile (wieder) so, wie ich es damals geschrieben habe.
lks
Bleibt dann noch die Unklarheit bei der IP Adressierung. (Zitat) welches die Adressen aus dem 192.168.3.0 Netz (in dem Fall 192.168.2.99)...
Fragt sich jetzt wo das 192.168.2.0er Netz herkommt ?!
Grundsätzlich ist auch nicht ganz klar wie der Lancom angeschlossen ist und ob der auch NAT macht oder transparent routet.
Wenn er NAT macht ist die Frage wo dann LAN und WAN Port sind ?!
Ein kleine Skizze würde ggf. hier helfen.
Fragt sich jetzt wo das 192.168.2.0er Netz herkommt ?!
Grundsätzlich ist auch nicht ganz klar wie der Lancom angeschlossen ist und ob der auch NAT macht oder transparent routet.
Wenn er NAT macht ist die Frage wo dann LAN und WAN Port sind ?!
Ein kleine Skizze würde ggf. hier helfen.
Zitat von @Lochkartenstanzer:
Ist aber schon eine ganze Weile (wieder) so, wie ich es damals geschrieben habe.
lks
Ist aber schon eine ganze Weile (wieder) so, wie ich es damals geschrieben habe.
lks
Jep, so wird's gemacht!
@aqui Die IP 192.168.2.99 war ein Tippfehler, sorry dafür! Das Verhalten des tcpdumps auf der FW war so rätselhaft, dass ich den LANCOM komplett vom Strom genommen und wieder neu gestartet habe.. und siehe da, es funktioniert natürlich ohne Probleme!
So langsam wird mir LANCOM immer unsympathischer! Trotzdem darf jeder mal husten..
Danke für eure Beiträge!
immer unsympathischer!
Gibt ja immer noch Mikrotik !! Gut wenn's nun rennt wie es soll ! Case closed...
