Portweiterleitung über 2 Subnetze geht nicht (Linksys AG241 und WRT54GL)

Mitglied: Dojokun

Dojokun (Level 1) - Jetzt verbinden

24.04.2010, aktualisiert 18.10.2012, 4726 Aufrufe, 8 Kommentare

Hallo,

ich habe mein Netzwerk von einem Subnetz hinter einem DSLModem AG241 auf 2 Subnetze (AG241 -> WRT54GL) umgestellt. Alle Verbindungen von Innen heraus funktionieren problemlos.

Nun möchte ich von Außen über DDNS Zugriff auf diverse Dinge im 2. Subnetz hinter dem WRT haben, so wie ich es auch schon vorher hatte, wo meine Endgeräte direkt hinter AG241 hingen. Dazu habe ich meine Portweiterleitung und -freigaben auf dem AG241 so eingerichtet, dass alle benötigen Ports 1:1 auf die IP des WRT geleitet werden und der WRT dann die eigentliche Portumsetzung macht. Der AG hat die IP 192.168.2.1 und der WRT von 192.168.2.2 (Außen) und 192.168.1.1 (Innen)

Beispiel vorher auf dem AG241:
Port 5000 -> Port 8080 von 192.168.1.24 (hat funktioniert)

Jetzt auf dem AG241 UND WRT:
Port 5000 -> Port 5000 von 192.168.2.2 (=WRT) und dort dann Port 5000 -> Port 8080 von 192.168.1.24 (geht nicht)

Leider funktioniert das nicht (Vorher mit nur einem Subnetz allerdings prima).
Hat jemand eine Idee, woran das liegen könnte? Bin mir auch nicht sicher, ob dies so überhaupt möglich ist bzw. an welchem Gerät der Fehler liegt. Immerhin hat es früher mit dem AG funktioniert. LinkLogger zeigt mir allerdings auch keinen ankommenden Traffic auf dem WRT an.

Zur Info: Der AG läuft unter Firmware "7.01.04-Phoenix" und der WRT unter "v4.71.1, Hyperwrt 2.1b1 + Thibor15c"

Danke vielmals
Mitglied: aqui
25.04.2010, aktualisiert 18.10.2012
Die Frage die sich stellt ist ob du auf dem WRT NAT (Adress Translation ) machst oder transparent routest und ob du eine statische Route in das Netz hinter dem WRT auf dem AG eingetragen hast.
All das beschreibst du leider nicht und dann bleibt hier nur wildes Spekulieren und raten Das solltest du also erstmal technisch klären bevor wir hier ins Eingemachte gehen !!
Anregungen zu einer richtigen Konfig für so ein Szenario findest du in diesem Tutorial:
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Bitte warten ..
Mitglied: Dojokun
25.04.2010 um 14:08 Uhr
Hallo aqui,

auf dem AG habe ich eine Statische Route in das Netz des WRT eingetragen. Auf dem WRT Richtung AG jedoch nicht. Dort habe "nur" im Standardsetup:
- Internet connection Type: "Static IP" mit den entsprechenden Daten eingestellt: IP 192.168.2.2 Mask 255.255.255.0 Gateway 192.168.2.1 DNS 192.168.2.1

Mir ist nicht klar, woran ich erkenne, ob der WRT NAT macht oder transparent routing. In der Routing table vom WRT ist das AG-Netz eingetragen, jedoch mit Gateway 0.0.0.0 (weil ich keine expliziete Route zusätzlich zu obigen Einstellungen angegeben habe).

Trotz allem werde ich mir mal Deine erwähnte Anleitung durcharbeiten.
Bitte warten ..
Mitglied: aqui
26.04.2010 um 11:42 Uhr
Der WRT macht immer NAT sofern du die Standard Firmware benutzt ! In der Original FW ist das NICHT abschaltbar...leider. Ggf. ist es besser wenn du die alternative Firmware dd-wrt flashst, denn damit kannst du transparentes Routing aktivieren, was mit der Original SW nicht mögich ist.
Dadürch kannst du die NAT Firewall des ersten Routers nicht überwinden und kannst nur für einzelne Rechner und Dienste mit Port Forwading arbeiten...also weniger schön.
Die Problematik ist hier genau erklärt:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
(Abschnitt "Internes" !)
Wenn dein WRT54 Modell es supportet solltest du die dd-wrt Firmware einspielen, denn sie bietet erheblich mehr Optionen für den WRT54.
Vorher aber genau checken ob dein WRT Model es supportet:
http://www.dd-wrt.de
Bitte warten ..
Mitglied: Dojokun
26.04.2010 um 12:01 Uhr
Hallo,

ich habe schon ne alternative Firmware drauf (siehe auch mein 1. Post): HyperWRT Thibor. Außerdem möchte ich von der ungern auf ne andere umsteigen, da noch einige weitere WRT's mit genau dieser FW in Betrieb habe und keinen Mischmasch möchte.

Wenn ich jetzt mal davon ausgehe, dass auch mit Thibor NAT nicht abschaltbar ist (habe jedenfalls nichts gefunden) und ich nur einzele Rechner und Dienste mit Port Forwarding erreichen kann, dann möchte ich dies tun. Und eigentlich hatte ich ja die ganze Sache auch schon so konfiguriert.

In Deinem erwähnte Heise-Artikel ist eigentlich alles genauso beschrieben, wie ich es schon eingerichtet hatte. Vielleicht kannst Du bitte nochmal meinen Einleitungspost lesen, da steht eigentlich alles drin. Im Grunde möchte ich ganz simpel ein Portforwarding auf dem AG zum WRT und auf dem WRT eine Portumsetzung auf einzelne Clients machen.
Bitte warten ..
Mitglied: aqui
26.04.2010 um 12:05 Uhr
Ok, dann musst du ganz sicher festellen ob deine Firmware NAT macht oder nicht !!!
Die Alternativen können es fast immer umschalten. Das ist z.B. bei dd-wrt die Option "Gateway" (NAT) oder "Routing" in den Systemsettings.
Ansonsten hilft immer schnell mal einen Wireshark reinzuhängen und die Pakete anzusehen was dort für Quell IP Adresse steht.
Ist es die 192.168.2.2 vom WRT WAN Port macht das teil NAT wenns die Original Absender IP vom LAN hinter dem WRT ist dann macht er logischerweise kein NAT !!
So oder so kann ein Wireshark Sniffertrace nicht schaden um mal zu checken wo diese Pakete abbleiben...
Generell funktioniert dieses Scenario aber problemlos...wenigstens mit dd-wrt..
Bitte warten ..
Mitglied: Dojokun
26.04.2010 um 12:45 Uhr
Also ich kann in den Grundeinstellungen den Modus auf "Gateway" oder "Router" stellen und habe mom. Router eingestellt.

Edit: Auch mit Einstellung "Gateway" (lt. Anleitung, wenn das Gerät die Verbindung zum INet herstellt), geht es nicht.

Edit2: Egal, ob "Gateway" oder "Router" eingestellt ist, sagt mir Wireshark immer als Absenderadresse die interne LAN-Adresse des WRT. Getestet mit Surfen im Inet und Ping vom Client an den AG.
Bitte warten ..
Mitglied: Dojokun
29.04.2010 um 11:08 Uhr
Kann mir hier keiner weiterhelfen?
Bitte warten ..
Mitglied: aqui
29.04.2010 um 13:25 Uhr
Das kann 2 Ursachen haben ! Vermutlich ist dein Internet Router AG241 der böse Buhmann.
Du hast ja 2 Szenarien:
1.) Im Modus "Gateway" machst du NAT am 2ten Router und am Internet Router kommen alle Packete aus dem Netz am 2ten Router mit einer lokalen IP des Internet Segments an.
2.) Im Modus "Router" routet der 2te Router transparent und alle Packete aus dem LAN am 2ten Router kommen am Internet Router auch mit diese IP Adresse an. Der Internet Router benötigt zwangsweise eine statische Route für das LAN an Router 2 !

Wenn du nun ein Port Forwarding machst im Modus 1. dann musst du die eingehenden Pakete am Internet Router auf die statische IP des WAN Interfaces des Router 2 forwarden !
Da diese Pakete hier wiederum eine NAT Firewall überwinden müssen muss an Router 2 ebenfalls wieder eine Port Forwarding dieser Pakete/Ports an das Endgerät im lokalen LAN Router 2 gemacht werden.

Bei Szenario 2 müsste das Port Forwarding am Router 2 auf die Endgeräte IP im lokalen LAN, Router 2 zeigen. Hier gibt es aber oft ein Problem:
Die Masse der Billigrouter kann KEIN Port Forwarding machen an IP Adressen die NICHT im lokalen LAN liegen !
Das ist bei dir vermutlich der Fall so das der Modus "Router" vermutlich von vorn herein zum Scheitern verurteilt ist.

Wie du siehst spekulieren wir hier aber nur wild in der Gegend rum weil du diese Information nicht liefern kannst
Nimm dir also einen freien Wireshark Sniffer und sieh dir die Pakete an die der Internet Router im Modus 1. und 2. forwardet von einer remoten Verbindung.
Dann weisst du ganz genau wie sich dein Internet Rozuer verhält und man kann weiterforschen.
Vermutlich kommt man dann nur im Gateway Modus weiter...Vermutlich... Sniffer das also dann wissen wir mehr...
Bitte warten ..
Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerkkomponent mit SD-Kartenslot
gelöst waddalosFrageWindows Netzwerk27 Kommentare

Hallo an alle, folgendes Problem gibt es bei uns im Unternehmen: Der Wareneingang soll jeden Eingang fotografieren und anschließend ...

Server
File Portal mit Userverwaltung gesucht
gelöst McLionFrageServer21 Kommentare

Hallo zusammen, ich suche eine Art Fileserver im Webbrowser. Es gibt diese zwar wie Sand am Meer, jedoch ohne ...

PHP
Fehler mit PHP-FPM
adriaanFragePHP20 Kommentare

Hallo guten Abend liebe Forenmitglieder, ich habe ein Problem. Nämlich habe ich ein Kontroll PHP Skript heruntergeladen und damals ...

E-Mail
Email verteilen
jensgebkenFrageE-Mail17 Kommentare

Hallo Gemeinschaft, ich habe eine email Adresse testtest.de , die an zwei email Konten geleitet werden soll einmal an ...

Windows Server
Internetzugang über Terminalserver
Felix0201FrageWindows Server13 Kommentare

Hallo, ich habe folgendes Anliegen. Wir wollen einen Terminalserver für ca. 20-25 Nutzer bereitstellen. Ist es da besser den ...

Server-Hardware
Gebrauchten Server zum Weiterbilden gesucht
AnukadFrageServer-Hardware13 Kommentare

Liebe Community, ich weiß dazu gibt es schon einige Themen im Forum, leider sind dies nicht mehr die neusten ...

Ähnliche Inhalte
Router & Routing
VPN mit zwei Linksys WRT54GL
Haegi75FrageRouter & Routing50 Kommentare

Hallo ich habe folgendes Problem: Gerne möchte ich meine Ferienhaussteuerung (Loxone) von ausserhalb steuern. Leider habe ich bei Standort ...

Router & Routing

(LinkSys WRT54GL v1.1) Datendurchsatz für OpenVPN erhöhen

gelöst mopaniFrageRouter & Routing1 Kommentar

Hallo Freunde! Im Rahmen einer empirischen Studie an einem ILS-System haben wir einen älteren Router für OpenVPN (zu TorVPN.com) ...

Router & Routing

Portweiterleitung über 2 Router?

Daniel.HuferFrageRouter & Routing3 Kommentare

hi, folgende Konstsllation habe ich: WAN, o2Router > Fritzbox > Pfsense OpenVPN ist richtig auf der pfsense eingerichet, und ...

Router & Routing

Wie OpenVPN zu TorVPN mit dem Linksys WRT54GL?

132767FrageRouter & Routing3 Kommentare

Hallo Leute! Ich bin offenbar zu blöd auf meinem Router eine VPN-Verbindung einzurichten. Seit einer Woche versuche ich es ...

Netzwerkmanagement

FritzBox 6591 Cable Portweiterleitung geht nicht?

gelöst moribundusFrageNetzwerkmanagement8 Kommentare

Moin Zusammen, ich weiß nicht ob ich bescheurt bin und irgendwas übersehe aber ich bekomm scheinbar ne einfache weiterleitung ...

Firewall

Portweiterleitung ipfire

gelöst AkcentFrageFirewall9 Kommentare

Hallo, habe hier eine Telekom Digibox und eine IPfire. Hier wurde eine Portweiterleitung für den Port 443 eingerichtet, welche ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud