Portweiterleitung in ein anderes Subnetz funktioniert nicht
Hallo
Ich möchte auf meinen Server einen Team Speak 3 Server erreichbar machen.
Ich benutze einen Hitron CVE-30360 (von Kabel Deutschland) und einen D-Link Dir 615 und ein Switch.
Auf den Hitron läuft die Standard Firmware, auf den D-Link DD-WRT v24sp2(11/21/10)
Der Hitron ist mein Modem/Router, der mit dem Internet verbunden ist.
Dahinter ist der D-Link geschaltet und dahinter der Switch. Verbunden habe ich den D-Link mit dem Hitron über den WAN Anschluss.
Hitron (LAN) - > D-Link (WAN) |(LAN)-> Switch-> Alle Clients
Hier meine genauen Einstellungen:
Hitron
WAN
WAN Einstellungen können in der Firmware nicht grafisch getroffen werden.
LAN
LAN: 192.168.0.1
SUB: 255.255.255.0
LAN-DHCP: AUS
Portweiterleitung:
Öffentlich wie Privater Port
(UDP): 9987
(TCP): 30033
(TCP): 10011
IP-Adresse: 192.168.0.2
D-Link
WAN
WAN: Statische IP: 192.168.0.2
SUB: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.0.1
STP: AN (was das genau bezweckt habe ich noch nicht ganz begriffen )
LAN
LAN: 192.168.1.1
SUB: 255.255.255.0
LAN –DHCP: AN
NAT/QoS
Von Netz/ Öffentlich wie Privater Port/ Nach Netz
192.168.0.1/ (UDP): 9987/ 192.168.1.x
192.168.0.1/ (TCP): 30033/ 192.168.1.x
192.168.0.1/ (TCP): 10011/ 192.168.1.x
Auf dem Server habe ich alle drei Protokolle in der Firewall Eingehend wie Ausgehend Zugelassen.
Im LAN komme ich Problemlos auf den TS3 Server drauf!
Wo ist mein Fehler?
Wenn ich den Switch direkt an den Hitron anschließe funktioniert es, es muss wohl an den Einstellungen im D-Link liegen.
Bitte um Hilfe
Gruß Christian
Ich möchte auf meinen Server einen Team Speak 3 Server erreichbar machen.
Ich benutze einen Hitron CVE-30360 (von Kabel Deutschland) und einen D-Link Dir 615 und ein Switch.
Auf den Hitron läuft die Standard Firmware, auf den D-Link DD-WRT v24sp2(11/21/10)
Der Hitron ist mein Modem/Router, der mit dem Internet verbunden ist.
Dahinter ist der D-Link geschaltet und dahinter der Switch. Verbunden habe ich den D-Link mit dem Hitron über den WAN Anschluss.
Hitron (LAN) - > D-Link (WAN) |(LAN)-> Switch-> Alle Clients
Hier meine genauen Einstellungen:
Hitron
WAN
WAN Einstellungen können in der Firmware nicht grafisch getroffen werden.
LAN
LAN: 192.168.0.1
SUB: 255.255.255.0
LAN-DHCP: AUS
Portweiterleitung:
Öffentlich wie Privater Port
(UDP): 9987
(TCP): 30033
(TCP): 10011
IP-Adresse: 192.168.0.2
D-Link
WAN
WAN: Statische IP: 192.168.0.2
SUB: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.0.1
STP: AN (was das genau bezweckt habe ich noch nicht ganz begriffen )
LAN
LAN: 192.168.1.1
SUB: 255.255.255.0
LAN –DHCP: AN
NAT/QoS
Von Netz/ Öffentlich wie Privater Port/ Nach Netz
192.168.0.1/ (UDP): 9987/ 192.168.1.x
192.168.0.1/ (TCP): 30033/ 192.168.1.x
192.168.0.1/ (TCP): 10011/ 192.168.1.x
Auf dem Server habe ich alle drei Protokolle in der Firewall Eingehend wie Ausgehend Zugelassen.
Im LAN komme ich Problemlos auf den TS3 Server drauf!
Wo ist mein Fehler?
Wenn ich den Switch direkt an den Hitron anschließe funktioniert es, es muss wohl an den Einstellungen im D-Link liegen.
Bitte um Hilfe
Gruß Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 210727
Url: https://administrator.de/forum/portweiterleitung-in-ein-anderes-subnetz-funktioniert-nicht-210727.html
Ausgedruckt am: 15.01.2025 um 08:01 Uhr
5 Kommentare
Neuester Kommentar
Zuerst zum Theam STP....
Damit du denn mal weisst was das bezweckt solltest du das hier lesen:
http://de.wikipedia.org/wiki/Spanning_Tree_Protocol
Wenn der Hitron als NAT Router arbeitet dann benötigst du 2 Port Forwarding Einträge. Leider bist du hier recht upräzise bzw. oberflächlich und bezeichnest den Hitron als Modem/Router ?!
Ja was ist er denn nun bei dir ?? Ein Modem oder ein Router...??
Wenn er als Router arbeitet dann hat er die Provider Zugangsdaten, wenn nur als Modem hat der D-Link sie !
Hier solltest du also etwas genauer sein damit wir hier nicht raten müssen...
Vermutlich arbeitet er als Router und damit hast du dann eine (eigentlich sinnlose) Router Kaskade wie sie hier in der Alternative 2 beschrieben ist:
Kopplung von 2 Routern am DSL Port
Hier benötigst du dann pro geforwardetem Port 2 Port Forwarding Regeln, einmal auf dem Hitron und einmal auf dem D-Link !
Gesetzt also den Fall du willst TCP 80 (HTTP) forwarden forwardet...
a.) der Hitron eingehend TCP 80 auf die WAN IP des D.Link (deshalb sollte die D-Link WAN IP statisch sein !)
b.) der Dlink dann eingehend TCP 80 auf die lokale IP des Servers im loaken Netz.
Dann klappt das auch wunderbar !
Solte der Hitron als simples Kabelmodem arbeiten, also nur "durchschleifen" benötigst du logischerweise nur eine einzige Port Forwarding Regel auf dem D-Link !
Damit du denn mal weisst was das bezweckt solltest du das hier lesen:
http://de.wikipedia.org/wiki/Spanning_Tree_Protocol
Wenn der Hitron als NAT Router arbeitet dann benötigst du 2 Port Forwarding Einträge. Leider bist du hier recht upräzise bzw. oberflächlich und bezeichnest den Hitron als Modem/Router ?!
Ja was ist er denn nun bei dir ?? Ein Modem oder ein Router...??
Wenn er als Router arbeitet dann hat er die Provider Zugangsdaten, wenn nur als Modem hat der D-Link sie !
Hier solltest du also etwas genauer sein damit wir hier nicht raten müssen...
Vermutlich arbeitet er als Router und damit hast du dann eine (eigentlich sinnlose) Router Kaskade wie sie hier in der Alternative 2 beschrieben ist:
Kopplung von 2 Routern am DSL Port
Hier benötigst du dann pro geforwardetem Port 2 Port Forwarding Regeln, einmal auf dem Hitron und einmal auf dem D-Link !
Gesetzt also den Fall du willst TCP 80 (HTTP) forwarden forwardet...
a.) der Hitron eingehend TCP 80 auf die WAN IP des D.Link (deshalb sollte die D-Link WAN IP statisch sein !)
b.) der Dlink dann eingehend TCP 80 auf die lokale IP des Servers im loaken Netz.
Dann klappt das auch wunderbar !
Solte der Hitron als simples Kabelmodem arbeiten, also nur "durchschleifen" benötigst du logischerweise nur eine einzige Port Forwarding Regel auf dem D-Link !
Die Frage ist ob du den Hitron nur als reines Modem benutzt oder als Router ???
Dazu sagst du ja leider nix
Vermutlich rennt er aber als Router und macht dann auch NAT (NAT Firewall) wenn am LAN Port ein privates RFC 1918 IP Netz konfiguriert ist ?!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Genau das ist vermutlich bei dir der Fall...?
Wenn dem so ist wie oben beschrieben und du dann am Hitron LAN Port den WAN Port des 2ten Routers angeschlossen hast und an dessen LAN Port dein lokales Netz hast du ja eine Router Kaskade wie hier beschrieben in der "Alternative 2":
Kopplung von 2 Routern am DSL Port
Dann machst du 2 mal NAT sofern du auf dem DD-WRT Router nicht den Router Betrieb eingestellt hast sondern im "Gateway" Modus arbeitest !
Ist das der Fall dann musst du logischerweise 2 mal Port Forwarding machen, da du ja 2 mal NAT machst !!
Sinnvoller ist es aber den DD-WRT Router in den Router Modus statt "Gateway" zu versetzen. Damit ist dann NAT ausgeschaltet und du routest transparent !!
Das wiederum erfordert dann aber zwingend eine statische Route auf dem Hitron !!
Fehlt diese gibts keine Connectivity !
Dieses Tutorial erklärt dir das ganz genau:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
im Kapitel "Wichtige Einstellungen WAN Port" !!
Ignoriere das WLAN, denn es gilt auch analog für den WAN/Internet Port des DD-WRT !!
Die Frage ist jetzt WAS für eine Design du genau umgesetzt hast ??
1.) Doppel NAT mit 2 Routern
2.) Einfach NAT (Hitron) mit statischer Route aus DD-WRT
Wenn du Design 2 genommen hast lauert der Teufel im Detail.
Generell sind Provider Router ziemlicher Schrott da sowas das Billigste vom Billigsten ist. Klar, denn Provider wollen dein Geld und dir normal nix schenken folglich darf deren Hardware nix kosten mit den daraus folgenden Nachteilen.
Diese Router sind of recht dumm, sprich haben einen sehr reduzierten Featureset. Port Forwardings akzeptieren sie dann meist nur auf IPs aus ihrem lokalen Netzwerk.
Da du das in einem gerouteten Szenario (2. von oben) aber auf die Endgeräte IP einstellen musst im Netzwerk hinter dem DD-WRT kann es sein das der das aus "Dummheit" schlicht ignoriert.
Leider oft der Fall beim Provider Billigschrott.
Das musst du probieren !
Sollte das der Fall sein kannst du nur das 2mal NAT Szenario versuchen.
Am besten wäre es wenn du das Modem nur als reines Modem laufen lassen kannst, die Provider IP also dann direkt am DD-WRT dran hast OHNE einen NAT Router davor !
Das wäre technisch gesehen das Optimum.
Dazu sagst du ja leider nix
Vermutlich rennt er aber als Router und macht dann auch NAT (NAT Firewall) wenn am LAN Port ein privates RFC 1918 IP Netz konfiguriert ist ?!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Genau das ist vermutlich bei dir der Fall...?
Wenn dem so ist wie oben beschrieben und du dann am Hitron LAN Port den WAN Port des 2ten Routers angeschlossen hast und an dessen LAN Port dein lokales Netz hast du ja eine Router Kaskade wie hier beschrieben in der "Alternative 2":
Kopplung von 2 Routern am DSL Port
Dann machst du 2 mal NAT sofern du auf dem DD-WRT Router nicht den Router Betrieb eingestellt hast sondern im "Gateway" Modus arbeitest !
Ist das der Fall dann musst du logischerweise 2 mal Port Forwarding machen, da du ja 2 mal NAT machst !!
Sinnvoller ist es aber den DD-WRT Router in den Router Modus statt "Gateway" zu versetzen. Damit ist dann NAT ausgeschaltet und du routest transparent !!
Das wiederum erfordert dann aber zwingend eine statische Route auf dem Hitron !!
Fehlt diese gibts keine Connectivity !
Dieses Tutorial erklärt dir das ganz genau:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
im Kapitel "Wichtige Einstellungen WAN Port" !!
Ignoriere das WLAN, denn es gilt auch analog für den WAN/Internet Port des DD-WRT !!
Die Frage ist jetzt WAS für eine Design du genau umgesetzt hast ??
1.) Doppel NAT mit 2 Routern
2.) Einfach NAT (Hitron) mit statischer Route aus DD-WRT
Wenn du Design 2 genommen hast lauert der Teufel im Detail.
Generell sind Provider Router ziemlicher Schrott da sowas das Billigste vom Billigsten ist. Klar, denn Provider wollen dein Geld und dir normal nix schenken folglich darf deren Hardware nix kosten mit den daraus folgenden Nachteilen.
Diese Router sind of recht dumm, sprich haben einen sehr reduzierten Featureset. Port Forwardings akzeptieren sie dann meist nur auf IPs aus ihrem lokalen Netzwerk.
Da du das in einem gerouteten Szenario (2. von oben) aber auf die Endgeräte IP einstellen musst im Netzwerk hinter dem DD-WRT kann es sein das der das aus "Dummheit" schlicht ignoriert.
Leider oft der Fall beim Provider Billigschrott.
Das musst du probieren !
Sollte das der Fall sein kannst du nur das 2mal NAT Szenario versuchen.
Am besten wäre es wenn du das Modem nur als reines Modem laufen lassen kannst, die Provider IP also dann direkt am DD-WRT dran hast OHNE einen NAT Router davor !
Das wäre technisch gesehen das Optimum.
Huhu...
Wenn er als reines Modem rennt, dann routet er logischerweise nicht und auch das NAT ist nicht existent. Beim Kabel TV sieht man das daran das bei Modembetrieb das daran angeschlossenen Endgerät eine öffentliche Provider IP direkt aus dem Internet bekommt.
Arbeitet er als Router mit integriertem Modem ist immer eine NAT Firewall aktiv und am lokalen Ethernet ist (meistens) ein DHCP Server aktiv und es wird dort eine private IP verwendet die im Internet nicht geroutet wird:
10er, 172.16-32er, oder 192.168er Netze:
https://de.wikipedia.org/wiki/Private_IP-Adresse
Es ist aber so das der billige Schrott den Provider ihren Endkunden aufs Auge drücken oder zur Benutzung aufzwingen eine Vielzahl dieser Optionen nicht haben !
Warum auch, man will ja den Endteilnehmer gängeln und kontrollieren, da stört Wahlfreiheit nur...logisch !
In sofern ist es gut möglich das die Hitron Gurke nur sehr eingeschränkte Optionen supportet.
Mit der Portweiterleitung ist richtig. Wenn beide als Router arbeiten und die eine Router Kaskade hast wie hier in der "Alternative 2" beschrieben:
Kopplung von 2 Routern am DSL Port
Machst du 2 mal Port Forwarding, das ist korrekt !
Du müsstest dann einmal an Router 1 auf die WAN IP von Router 2 (D-Link) forwarden.
(Klug ist es hier dem D-Link eine feste statische IP zu geben ausserhalb der DHCP Range von Router 1.)
Und dann ein 2tes Mal an Router 2 auf die Endgeräte IP im lokalen Netz an Router 2.
Hier ist natürlich eine statische Route an Router 1 Blödsinn, denn beide Router machen NAT. Gaukeln also immer vor das der Traffic aus dem lokalen LAN kommt.
Statisch routen an Router 1 müsste man nur wenn Router 2 in der Kaskade KEIN NAT macht also im Router Modus arbeitet ! Klar denn nun taucht dort ein Paket aus dem lokalen Netz an Router 2 auch direkt mit seiner Absender IP auf ohne NAT !
Wenn du die Hitron Gurke nicht als reines Modem konfigurieren kannst sondern der nur immer zwangsweise als NAT Router arbeitet hast du keine Chance ! Wie auch...
Dann musst du immer 2 mal Port Forwarding machen. Außer....
Du hast DD-WRT auf dem D-Link !
Dann kannst du hier transparent routen (Router Modus) und dir das NAT dort sinnvollerweise ersparen !
Das wiederum bedingt dann aber die Konfiguration der statischen Route an Router 1, da der ja nun wissen muss wo er IP Adressen aus dem lokalen LAN von Router 2 hinrouten muss !!
Lies die das Tutorial hier mal genau durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Da wird en Detail erklärt wie es sich mit NAT und ohne NAT verhält !!
Wenn er als reines Modem rennt, dann routet er logischerweise nicht und auch das NAT ist nicht existent. Beim Kabel TV sieht man das daran das bei Modembetrieb das daran angeschlossenen Endgerät eine öffentliche Provider IP direkt aus dem Internet bekommt.
Arbeitet er als Router mit integriertem Modem ist immer eine NAT Firewall aktiv und am lokalen Ethernet ist (meistens) ein DHCP Server aktiv und es wird dort eine private IP verwendet die im Internet nicht geroutet wird:
10er, 172.16-32er, oder 192.168er Netze:
https://de.wikipedia.org/wiki/Private_IP-Adresse
Es ist aber so das der billige Schrott den Provider ihren Endkunden aufs Auge drücken oder zur Benutzung aufzwingen eine Vielzahl dieser Optionen nicht haben !
Warum auch, man will ja den Endteilnehmer gängeln und kontrollieren, da stört Wahlfreiheit nur...logisch !
In sofern ist es gut möglich das die Hitron Gurke nur sehr eingeschränkte Optionen supportet.
Mit der Portweiterleitung ist richtig. Wenn beide als Router arbeiten und die eine Router Kaskade hast wie hier in der "Alternative 2" beschrieben:
Kopplung von 2 Routern am DSL Port
Machst du 2 mal Port Forwarding, das ist korrekt !
Du müsstest dann einmal an Router 1 auf die WAN IP von Router 2 (D-Link) forwarden.
(Klug ist es hier dem D-Link eine feste statische IP zu geben ausserhalb der DHCP Range von Router 1.)
Und dann ein 2tes Mal an Router 2 auf die Endgeräte IP im lokalen Netz an Router 2.
Hier ist natürlich eine statische Route an Router 1 Blödsinn, denn beide Router machen NAT. Gaukeln also immer vor das der Traffic aus dem lokalen LAN kommt.
Statisch routen an Router 1 müsste man nur wenn Router 2 in der Kaskade KEIN NAT macht also im Router Modus arbeitet ! Klar denn nun taucht dort ein Paket aus dem lokalen Netz an Router 2 auch direkt mit seiner Absender IP auf ohne NAT !
Wenn du die Hitron Gurke nicht als reines Modem konfigurieren kannst sondern der nur immer zwangsweise als NAT Router arbeitet hast du keine Chance ! Wie auch...
Dann musst du immer 2 mal Port Forwarding machen. Außer....
Du hast DD-WRT auf dem D-Link !
Dann kannst du hier transparent routen (Router Modus) und dir das NAT dort sinnvollerweise ersparen !
Das wiederum bedingt dann aber die Konfiguration der statischen Route an Router 1, da der ja nun wissen muss wo er IP Adressen aus dem lokalen LAN von Router 2 hinrouten muss !!
Lies die das Tutorial hier mal genau durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Da wird en Detail erklärt wie es sich mit NAT und ohne NAT verhält !!