Portforwarding Edgerouter X EdgeOS
Guten Abend verehrte Community,
nun nach langer Zeit der Mitgliedschaft, vielen sehr interessanten und lesenswerten Beiträgen möchte ich euch eine Frage stellen in der Hoffnung mein Problem lösen zu können.
Folgende Situationen:
Habe mir vor einiger Zeit einen Ubiquiti Edgerouter X zugelegt. Die Inbetriebnahme und Einrichtung hat super funktioniert. Nach einiger Zeit sollte der SSH Zugriff auf einen Server ermöglicht werden.
Also fix eine IPv4 Portweiterleitung eingerichtet und alles gut so der Gedanke. Es funktioniert auch, kann mich aus dem Internet via SSH einloggen.
Leider musste ich feststellen, dass der Edgerouter X zwar eine Weiterleitung zum Server ermöglicht aber als Source-IP seine eigene IP (Gateway) aus dem Subnet des Server's und nicht die Source-IP des Clients aus dem Internet in die Verbindung übernimmt.
Wäre in der Praxis noch kein Problem wenn auf dem Server nicht Fail2Ban laufen würde.
Zuvor war die Fritzbox als DSL-Modem und Router in Betrieb was ohne dieses Problem funktioniert.
Aufbau sieht wie folgt aus. Der Edgerouter hängt mit einer Interface an der Fritzbox als Modem via PPPoE.
Mit einer 2. Interface am Server. Es ist kein VLan involviert.
Nun meine Frage:
Gibt es im EdgeOS eine Einstellung mit der dieses Verhalten geändert werden kann oder hat jemand evtl. einen Tipp für mich was ich falsch gemacht haben könnte?
Hoffe das Problem hinreichend beschrieben zu haben.
Herzlichen Dank im Voraus für eure Lösungsvorschläge.
nun nach langer Zeit der Mitgliedschaft, vielen sehr interessanten und lesenswerten Beiträgen möchte ich euch eine Frage stellen in der Hoffnung mein Problem lösen zu können.
Folgende Situationen:
Habe mir vor einiger Zeit einen Ubiquiti Edgerouter X zugelegt. Die Inbetriebnahme und Einrichtung hat super funktioniert. Nach einiger Zeit sollte der SSH Zugriff auf einen Server ermöglicht werden.
Also fix eine IPv4 Portweiterleitung eingerichtet und alles gut so der Gedanke. Es funktioniert auch, kann mich aus dem Internet via SSH einloggen.
Leider musste ich feststellen, dass der Edgerouter X zwar eine Weiterleitung zum Server ermöglicht aber als Source-IP seine eigene IP (Gateway) aus dem Subnet des Server's und nicht die Source-IP des Clients aus dem Internet in die Verbindung übernimmt.
Wäre in der Praxis noch kein Problem wenn auf dem Server nicht Fail2Ban laufen würde.
Zuvor war die Fritzbox als DSL-Modem und Router in Betrieb was ohne dieses Problem funktioniert.
Aufbau sieht wie folgt aus. Der Edgerouter hängt mit einer Interface an der Fritzbox als Modem via PPPoE.
Mit einer 2. Interface am Server. Es ist kein VLan involviert.
Nun meine Frage:
Gibt es im EdgeOS eine Einstellung mit der dieses Verhalten geändert werden kann oder hat jemand evtl. einen Tipp für mich was ich falsch gemacht haben könnte?
Hoffe das Problem hinreichend beschrieben zu haben.
Herzlichen Dank im Voraus für eure Lösungsvorschläge.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6565837143
Url: https://administrator.de/forum/portforwarding-edgerouter-x-edgeos-6565837143.html
Ausgedruckt am: 24.12.2024 um 03:12 Uhr
8 Kommentare
Neuester Kommentar
Hier fehlt aber ein wenig um dir weiterzuhelfen...
1.) Internetmodem: NAT oder Bridge Mode?
2.) Edgerouter was genau hast du da eingerstellt? Ich hab den auch und grundsätzlichz routet oder nattet der halt
3.) Fail2Ban... meiner Meinung nach die Stelle an der man ansertzen muß. Deine Schilderung liest sich so als ob du IP Spooofing machst, bzw dein Portforwarding als soclhes interpretiert wird. IP Spoofing ist in soclhen Securityprodukten meistens verboten.
1.) Internetmodem: NAT oder Bridge Mode?
2.) Edgerouter was genau hast du da eingerstellt? Ich hab den auch und grundsätzlichz routet oder nattet der halt
3.) Fail2Ban... meiner Meinung nach die Stelle an der man ansertzen muß. Deine Schilderung liest sich so als ob du IP Spooofing machst, bzw dein Portforwarding als soclhes interpretiert wird. IP Spoofing ist in soclhen Securityprodukten meistens verboten.
Der Edgerouter hängt mit einer Interface an der Fritzbox als Modem via PPPoE.
also PPPoE-Passthrough, ja?Sieht für mich so aus, als ob da ein Source-NAT fehlerhaft konfiguriert ist.
Evtl. auf dem WAN-Port eingehend eingerichtet?
Einzelheiten:
https://help.ui.com/hc/en-us/articles/204976494-EdgeRouter-Source-NAT-an ...
Siehe dort:
Adding a Masquerade Rule
Adding a Source NAT rule
Darf beim WAN-Port (also dem, der von der Fritzbox kommt) nur auf dem outbound interface liegen.
Viele Grüße, commodity
Ja? Und wo ist jetzt die Frage?
Die Frage von oben, (auch wenn dort das Fragezeichen fehlte)
Die Lösung steht fast schon direkt oben. Ich habe Dir sogar die Handbuchstelle bezeichnet und das Handbuch verlinkt. Das jetzt vielleicht doch mal nachlesen, noch mit Bild 2 und 3 abgleichen und verstehen. Wenn Du dann noch Fragen hast, und auch Wikipedia nicht weitergeholfen hat (die erklären das Thema dort gut) versuche ich gern, diese zu beantworten. Ein bisschen lesen solltest Du schon selbst, willst ja sicher auch Dein Gerät etwas verstehen
Viele Grüße, commodity
Die Frage von oben, (auch wenn dort das Fragezeichen fehlte)
Gibt es im EdgeOS eine Einstellung mit der dieses Verhalten geändert werden kann oder hat jemand evtl. einen Tipp für mich was ich falsch gemacht haben könnte.
ist längst beantwortet.Die Lösung steht fast schon direkt oben. Ich habe Dir sogar die Handbuchstelle bezeichnet und das Handbuch verlinkt. Das jetzt vielleicht doch mal nachlesen, noch mit Bild 2 und 3 abgleichen und verstehen. Wenn Du dann noch Fragen hast, und auch Wikipedia nicht weitergeholfen hat (die erklären das Thema dort gut) versuche ich gern, diese zu beantworten. Ein bisschen lesen solltest Du schon selbst, willst ja sicher auch Dein Gerät etwas verstehen
Viele Grüße, commodity
Ebenso guten Morgen
Jetzt bekommst Du es hin, oder?
Viele Grüße, commodity
Edit: Destination-NAT liegt natürlich auch vor, aber das ist nicht die Ursache Deines Problems. Da hast Du alles richtig gemacht
Sollte ich nun wirklich einen so massiven Denkfehler haben bitte ich um Aufklärung.
Na, dann mal Schritt für Schritt:die Artikel EdgeRouter - Source NAT and Masquerade ebenso NAT von Wikipedia sind mir bekannt.
Ein guter Anfang. Manchmal versteht man das nicht gleich alles. Geht mir ganz oft so. Umso wichtiger ist, dass man es sich selbst erarbeitet. Wenn Du jetzt diesen Satz:Client IP aus dem Internet z.b. Handy: 82.5.110.15. Wenn ich mich nun mit dem Server verbinde taucht die IP-Adresse: 10.21.101.254 vom Edgerouter im Log auf und nicht die vom Client.
nochmal damit abgleichst, was Source-NAT macht, müsste Dir klar sein, dass hier ein Source-NAT reinspielt. Hierzu nochmal Wikipedia und das Handbuch anschauen.Was ich jedoch nicht verstehe ist die Tatsache was ein Source NAT bei einer eingehenden Verbindung aus dem Internet zu einem internen Server damit zu tun haben soll.
Dein Missverständnis ist, dass Du Source-NAT nur in Richtung von Dir nach draußen denkst (was prinzipiell auch der korrekte Anwendungsfall ist). Man kann es aber ebenso intern zwischen Netzen einsetzen, denn wenn Du zwei interne Netze hast, ist "draußen" das eine und "drinnen" das andere oder umgekehrt. für Source-NAT auf internen Interfaces mag es sinnvolle Anwendungsfälle geben, normalerweise macht man das nicht. Du hast es aber so eingerichtet. Die Fehlkonfiguration in Deinem Fall liegt allerdings nicht auf dem WAN-Interface, sondern auf einem/mehreren anderen.Jetzt bekommst Du es hin, oder?
Viele Grüße, commodity
Edit: Destination-NAT liegt natürlich auch vor, aber das ist nicht die Ursache Deines Problems. Da hast Du alles richtig gemacht
Könnte die Source NAT Regeln 2-4 löschen und es würde nichts an dem Problem ändern.
nein?Welche Funktion hat denn Dein "masquerade to eth3" Deiner Ansicht nach, wenn es kein Source-NAT ist, das zufällig genau zu dem Server geht, auf den das Forwarding eingerichtet ist?
Wenn nicht, wie Wikipedia so schön schreibt:
die Absender-Adresse des Pakets in die IP-Adresse des Interfaces geändert, auf dem das Paket den Router verlässt
(wobei bei internem Source NAT das "den Router" besser durch "das Interface" zu ersetzen ist).Bitte erhelle mich doch mit deinem Wissen.
Ist kein Wissen. Netzwerken ist bei den Basics weniger Wissen als Fleiß. Man muss einfach nur konsequent mal einem einzelnen Paket hinterherlaufen und das vorhandene Grundwissen anwenden (bzw. im Zweifel hinterfragen). Das maßgebliche Grundwissen ist ja da, schließlich schreibst Du:ich habe schon verstanden wie Source und Destination NAT funktionieren
Also:1. Du schickst Dein Paket für den Server am Handy mit der Absender IP 82.5.110.15 ab.
2. Dieses Paket kommt auf Interface WAN des Unifi mit Absender-IP 82.5.110.15 an.
3. Der Router erkennt auf seinem Interface WAN, dass dort für die Zieladresse zum Server IP 10.21.101.253 ein Destination NAT eingerichtet ist
4. Der Router weiß, dass diese Zieladresse auf eth3 liegt, routet also das Paket auf dieses Interface.
5. Auf Interface eth3 erkennt der Router das eingerichtete Source NAT (Bild 2, Regel 2), das ihn anweist, aus der eingehenden IP 82.5.110.15 die IP des Interfaces zu machen (s. Wikipedia), das ist die 10.21.101.254 (Unifi).
6. Paket kommt am Server mit der (durchs Masquerade geänderten) Absender-IP des Unifi eth3, also 10.21.101.254, an.
7. Fail2ban nimmt das Paket entgegen und filtert auf diese Absender-IP.
Schönes Wochenende!
Viele Grüße, commodity