10
Ports freigeben
Folgende situation:
ISP ----> Modem -----> Netgear FVS318 Firewall router ------> Windows Server 2003 RS2 ----------> Netgear WG302 Wireless AP --------> Clients
192.168.1.1 172.16.1.154 172.16.1.12 172.16.1.*
Sagen wir mal ich möchte port 200 freigeben. Ich haben im router ein port forwarding eingestellt so das alles auf port 200 and 172.16.1.154 geht. Wie konfiguriere ich das jetzt so das die clients auf diesen port zugriff haben?
Vielen Dank
ISP ----> Modem -----> Netgear FVS318 Firewall router ------> Windows Server 2003 RS2 ----------> Netgear WG302 Wireless AP --------> Clients
192.168.1.1 172.16.1.154 172.16.1.12 172.16.1.*
Sagen wir mal ich möchte port 200 freigeben. Ich haben im router ein port forwarding eingestellt so das alles auf port 200 and 172.16.1.154 geht. Wie konfiguriere ich das jetzt so das die clients auf diesen port zugriff haben?
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 64228
Url: https://administrator.de/contentid/64228
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
ich weiß jetzt nicht wirklich was du genau meinst.
Die IP-Adressen kann ich auch nicht so 100%ig den Geräten zuordnen. (Ich glaube aber, ich habe es verstanden)
Verwendest du auf dem Win2k3-Server NAT-Routing oder "normales" Routing?
Du hast also auf dem FVS318 ein Port-Forwarding (Port TCP200) auf die 172.16.1.154 eingerichtet? (Das klappt ja nicht, wenn du NAT verwendest, da du ja dazu ein Port-Forwarding des W2k3 bräuchtest)
In welchem Sinne sollten die Clients darauf Zugriff haben? - soll man von außen auf die Clients jeweils auf Port 200 zugreifen können?
Sollen die Clients auf Port 200 in sonstnochwo zugreifen?
MfG,
VW
ich weiß jetzt nicht wirklich was du genau meinst.
Die IP-Adressen kann ich auch nicht so 100%ig den Geräten zuordnen. (Ich glaube aber, ich habe es verstanden)
Verwendest du auf dem Win2k3-Server NAT-Routing oder "normales" Routing?
Du hast also auf dem FVS318 ein Port-Forwarding (Port TCP200) auf die 172.16.1.154 eingerichtet? (Das klappt ja nicht, wenn du NAT verwendest, da du ja dazu ein Port-Forwarding des W2k3 bräuchtest)
In welchem Sinne sollten die Clients darauf Zugriff haben? - soll man von außen auf die Clients jeweils auf Port 200 zugreifen können?
Sollen die Clients auf Port 200 in sonstnochwo zugreifen?
MfG,
VW
Deine IP Adressen sind irreführend und passen nicht zusammen. Ist dein IP Adressschema so:
ISP---Modem---Netgear FVS318----LAN:192.168.1.0/24----Server2003RS2----WLAN:172.16.1.0/24----Client
Also der Server hat 2 NICs und das 172.16.1.0/24 Segment ist dein WLAN ??? Alles gemäß
eingerichtet ??
Dann ist ein Port Forwarding mit einfachen Consumer Router auf das 172.16.1.0/24 Segment nicht möglich !
Technisch sollte es funktionieren, wenn du auf dem Router ein statische Route für das 172er Segment hast und auch einen entsprechenden Eintrag in der PFW Liste auf einen Client in diesem Segment.
Keiner der Consumer Router kann damit aber richtig umgehen. Sowie du in die PFW Liste eine 172er Adresse einträgst gibt es schon eine Fehlermeldung was eigentlich falsch ist aber scheinbar ist die PFW Implemntierung der meisten Router fehlerhaft für so ein Szenario.
An die IP Adresse des Server kannst du ja nicht forwarden, denn der denkt diese Daten sind für ihn als Endgerät, das wird also auch niemals funktionieren.
Du hast also nur 2 Chancen. Einen gescheiten Router verwenden, der damit umgehen kann oder den Client auf den remote zugegriffen werden soll in das 192.168.1.0er Segment zu setzen und dann von dort aus weiterarbeiten sofern das Port Forwarding sich auf sowas wie RDP oder VNC bezieht !
ISP---Modem---Netgear FVS318----LAN:192.168.1.0/24----Server2003RS2----WLAN:172.16.1.0/24----Client
Also der Server hat 2 NICs und das 172.16.1.0/24 Segment ist dein WLAN ??? Alles gemäß
eingerichtet ??
Dann ist ein Port Forwarding mit einfachen Consumer Router auf das 172.16.1.0/24 Segment nicht möglich !
Technisch sollte es funktionieren, wenn du auf dem Router ein statische Route für das 172er Segment hast und auch einen entsprechenden Eintrag in der PFW Liste auf einen Client in diesem Segment.
Keiner der Consumer Router kann damit aber richtig umgehen. Sowie du in die PFW Liste eine 172er Adresse einträgst gibt es schon eine Fehlermeldung was eigentlich falsch ist aber scheinbar ist die PFW Implemntierung der meisten Router fehlerhaft für so ein Szenario.
An die IP Adresse des Server kannst du ja nicht forwarden, denn der denkt diese Daten sind für ihn als Endgerät, das wird also auch niemals funktionieren.
Du hast also nur 2 Chancen. Einen gescheiten Router verwenden, der damit umgehen kann oder den Client auf den remote zugegriffen werden soll in das 192.168.1.0er Segment zu setzen und dann von dort aus weiterarbeiten sofern das Port Forwarding sich auf sowas wie RDP oder VNC bezieht !
Stimmt habe alles so aufgesetzt wie hier beschrieben:
In meinem router habe ich folgende einträge für die ports:
http://www.rrtweidt.de/2.jpg
Mein routing table sieht so aus:
http://www.rrtweidt.de/3.jpg
Der router gibt mir aber auch die möglichkeit static routes hinzufügen
http://www.rrtweidt.de/4.jpg
Im server habe ich dann folgendes eingestellt:
http://www.rrtweidt.de/5.jpg
172.16.1.10 ist der client für denn die ports sein sollen
Besteht hier eine möglichkeit?
In meinem router habe ich folgende einträge für die ports:
http://www.rrtweidt.de/2.jpg
Mein routing table sieht so aus:
http://www.rrtweidt.de/3.jpg
Der router gibt mir aber auch die möglichkeit static routes hinzufügen
http://www.rrtweidt.de/4.jpg
Im server habe ich dann folgendes eingestellt:
http://www.rrtweidt.de/5.jpg
172.16.1.10 ist der client für denn die ports sein sollen
Besteht hier eine möglichkeit?
Kann ich das so verändern?
ISP---Modem---Netgear FVS318----LAN:192.168.1.0/24----Server2003RS2----WLAN:192.168.0.0/24----Client
Denn mein router akzeptiert nur veränderung in denn letzten beiden blöcken. Also wenn mein router 192.168.1.1 hat kann ich nur die letzen beiden 1er verändern.
ISP---Modem---Netgear FVS318----LAN:192.168.1.0/24----Server2003RS2----WLAN:192.168.0.0/24----Client
Denn mein router akzeptiert nur veränderung in denn letzten beiden blöcken. Also wenn mein router 192.168.1.1 hat kann ich nur die letzen beiden 1er verändern.
Das kann doch gar nicht sein !!!
Du hast oben doch schon das richtige Eingabefenster dafür gepostet !! Route Name... Damit sollten sich doch problemlos statische Routen auf dem Router konfigurieren lassen !!??
Unter Route Name gibst du Client Netz ein und dann
Destination IP Adress = 172.16.1.0
IP Subnet Mask = 255.255.255.0
Gateway IP Adress = 192.168.1.1 (Muss Adresse der Server NIC im Router Segment sein !!!)
Achtung: Die 192.168.1.1 muss die IP Adresse der Netzwerkkarte im Server sein !!! Es darf nicht die Router IP Adresse sein, denn der muss ja Packete für das 172.16.1er Segment an den Server schicken und nicht an sich selbst !!!
Die 192.168.1.1 wäre eine typische verdächtige Routeradresse und das ist dann falsch !!!
Richtig sieht das so aus:
(Internet)---Router_LAN:192.168.1.254----(LAN)----192.168.1.1:NIC1_Server_NIC2:172.16.1.1---(ClientLAN)--PC
Damit sollte das dann auch problemlos mit dem 172.16.1er Netz funktionieren. Ansonsten ist eine Konfig mit den anderen Netzen technisch auch korrekt !
Vielleicht hilft dir dieser Thread noch:
Internetrouter nicht erreichbar, aber Internet geht...
Du hast oben doch schon das richtige Eingabefenster dafür gepostet !! Route Name... Damit sollten sich doch problemlos statische Routen auf dem Router konfigurieren lassen !!??
Unter Route Name gibst du Client Netz ein und dann
Destination IP Adress = 172.16.1.0
IP Subnet Mask = 255.255.255.0
Gateway IP Adress = 192.168.1.1 (Muss Adresse der Server NIC im Router Segment sein !!!)
Achtung: Die 192.168.1.1 muss die IP Adresse der Netzwerkkarte im Server sein !!! Es darf nicht die Router IP Adresse sein, denn der muss ja Packete für das 172.16.1er Segment an den Server schicken und nicht an sich selbst !!!
Die 192.168.1.1 wäre eine typische verdächtige Routeradresse und das ist dann falsch !!!
Richtig sieht das so aus:
(Internet)---Router_LAN:192.168.1.254----(LAN)----192.168.1.1:NIC1_Server_NIC2:172.16.1.1---(ClientLAN)--PC
Damit sollte das dann auch problemlos mit dem 172.16.1er Netz funktionieren. Ansonsten ist eine Konfig mit den anderen Netzen technisch auch korrekt !
Vielleicht hilft dir dieser Thread noch:
Internetrouter nicht erreichbar, aber Internet geht...
Hi,
Habe jetzt das netzwerk so geändert.
Internet)---Router_LAN:192.168.1.254----(LAN)----192.168.1.1:NIC1_Server_NIC2:172.16.1.254---(ClientLAN)--PC
Habe static route wie beschrieben eingestellt.
Mein routing table sieht jetzt so aus:
Destination Mask Gateway Metric Active
192.168.1.0 255.255.255.0 192.168.1.254 1 Yes
172.16.1.0 255.255.255.0 192.168.1.1 2 Yes
82.83.192.1 255.255.255.255 82.83.192.1 1 Yes
0.0.0.0 0.0.0.0 82.83.205.0 1 Yes
Ist das ein problem das Server_NIC2:172.16.1.254 ist anstatt 172.16.1.1?
Habe jetzt das netzwerk so geändert.
Internet)---Router_LAN:192.168.1.254----(LAN)----192.168.1.1:NIC1_Server_NIC2:172.16.1.254---(ClientLAN)--PC
Habe static route wie beschrieben eingestellt.
Mein routing table sieht jetzt so aus:
Destination Mask Gateway Metric Active
192.168.1.0 255.255.255.0 192.168.1.254 1 Yes
172.16.1.0 255.255.255.0 192.168.1.1 2 Yes
82.83.192.1 255.255.255.255 82.83.192.1 1 Yes
0.0.0.0 0.0.0.0 82.83.205.0 1 Yes
Ist das ein problem das Server_NIC2:172.16.1.254 ist anstatt 172.16.1.1?
Nein, weshalb sollte es ??? 172.16.1.254 ist eine gueltige Adresse im Client Segment. Es waere nur kosmetisch schoener gewesen wenn der Server immer die gleiche Host Adresse in den beioden Segmenten haette....aber wie gesagt das ist kosmetisch. Beide Adressen sind korrekt !!! Die Routing Tabelle ist auch absolut richtig so.
Ein Ping aus dem Client Segment von einem PC dort auf die
172.16.1.254 (Server NIC im Client Segment)
192.168.1.1 (Server NIC im Router Segment)
192.168.1.254 (Router)
MUSS auf alle Faelle funktionieren. Der Client sollte dann statisch in den TCP/IP Settings statisch folgendes eingetragen haben:
IP z.B.: 172.16.1.100
Maske: 255.255.255.0
Gateway: 172.16.1.254
DNS Server IP: 192.168.1.254 (oder 172.16.1.254 falls der Server selber DNS Server oder Proxy ist !!!)
Damit sollte dann alles zu deiner Zufriedenheit funktionieren !!??
Ein Ping aus dem Client Segment von einem PC dort auf die
172.16.1.254 (Server NIC im Client Segment)
192.168.1.1 (Server NIC im Router Segment)
192.168.1.254 (Router)
MUSS auf alle Faelle funktionieren. Der Client sollte dann statisch in den TCP/IP Settings statisch folgendes eingetragen haben:
IP z.B.: 172.16.1.100
Maske: 255.255.255.0
Gateway: 172.16.1.254
DNS Server IP: 192.168.1.254 (oder 172.16.1.254 falls der Server selber DNS Server oder Proxy ist !!!)
Damit sollte dann alles zu deiner Zufriedenheit funktionieren !!??
Habe das jetzt alles so eingestell wie beschrieben
Im router die ports freigemacht.
3 ALLOW always 172.16.1.11 Any Never
4 ALLOW always 172.16.1.11 Any Never
Und im server habe ich im routing und remote access die ports eingegeben und die private address: 172.16.1.11
Die ports laufen aber immer nocht nicht.
Muss ich noch was anderes machen?
Im router die ports freigemacht.
3 ALLOW always 172.16.1.11 Any Never
4 ALLOW always 172.16.1.11 Any Never
Und im server habe ich im routing und remote access die ports eingegeben und die private address: 172.16.1.11
Die ports laufen aber immer nocht nicht.
Muss ich noch was anderes machen?
Nein du hast alles richtig gemacht ! Das Problem liegt aber vermutlich ganz woanders !!! Wie oben bereits bemerkt wird der Router sehr wahrscheinlich KEINE Packtete von extern per Port Forwarding an Clients im Client Segment forwarden, weil die in einem IP Netz liegen das an ihm selber nicht angeschlossen ist. Eigentlich falsch aber ein durchaus uebliches Verhalten von Consumer Systemen...leider !
Um das zu verifizieren solltest du mal einen Packet Sniffer wie den www.wireshark.org in das Routersegment haengen um wirklich mal zu kontrollieren ob der Router diese Packte forwardet. Vermutlich tut er das nicht wie fast alle Systeme...
Ist das der Fall hast du nur eine Chance: Die Maschine auf die du remote zugreifen willst musst du mit ins 192.168.1er Routersegment haengen !
Das restliche Netzwerk sollte aber so problemlos arbeiten oder ?
Um das zu verifizieren solltest du mal einen Packet Sniffer wie den www.wireshark.org in das Routersegment haengen um wirklich mal zu kontrollieren ob der Router diese Packte forwardet. Vermutlich tut er das nicht wie fast alle Systeme...
Ist das der Fall hast du nur eine Chance: Die Maschine auf die du remote zugreifen willst musst du mit ins 192.168.1er Routersegment haengen !
Das restliche Netzwerk sollte aber so problemlos arbeiten oder ?
Ja der rest läuft super. Ich habe jetzt mal versucht ein zusätzliches scope aufzumachen. 192.168.1.10-192.168.1.99. Habe dann auch für denn rechner der in dieses scope soll eine ip reservierung eingetragen. Es funktioniert aber nicht. Der rechner holt sich eine ip aus dem anderen scope.
Geht das überhaupt so das ich mir ein zweites scope aufmache?
Geht das überhaupt so das ich mir ein zweites scope aufmache?
