Portweiterleitung über 2 Subnetze geht nicht (Linksys AG241 und WRT54GL)
Hallo,
ich habe mein Netzwerk von einem Subnetz hinter einem DSLModem AG241 auf 2 Subnetze (AG241 -> WRT54GL) umgestellt. Alle Verbindungen von Innen heraus funktionieren problemlos.
Nun möchte ich von Außen über DDNS Zugriff auf diverse Dinge im 2. Subnetz hinter dem WRT haben, so wie ich es auch schon vorher hatte, wo meine Endgeräte direkt hinter AG241 hingen. Dazu habe ich meine Portweiterleitung und -freigaben auf dem AG241 so eingerichtet, dass alle benötigen Ports 1:1 auf die IP des WRT geleitet werden und der WRT dann die eigentliche Portumsetzung macht. Der AG hat die IP 192.168.2.1 und der WRT von 192.168.2.2 (Außen) und 192.168.1.1 (Innen)
Beispiel vorher auf dem AG241:
Port 5000 -> Port 8080 von 192.168.1.24 (hat funktioniert)
Jetzt auf dem AG241 UND WRT:
Port 5000 -> Port 5000 von 192.168.2.2 (=WRT) und dort dann Port 5000 -> Port 8080 von 192.168.1.24 (geht nicht)
Leider funktioniert das nicht (Vorher mit nur einem Subnetz allerdings prima).
Hat jemand eine Idee, woran das liegen könnte? Bin mir auch nicht sicher, ob dies so überhaupt möglich ist bzw. an welchem Gerät der Fehler liegt. Immerhin hat es früher mit dem AG funktioniert. LinkLogger zeigt mir allerdings auch keinen ankommenden Traffic auf dem WRT an.
Zur Info: Der AG läuft unter Firmware "7.01.04-Phoenix" und der WRT unter "v4.71.1, Hyperwrt 2.1b1 + Thibor15c"
Danke vielmals
ich habe mein Netzwerk von einem Subnetz hinter einem DSLModem AG241 auf 2 Subnetze (AG241 -> WRT54GL) umgestellt. Alle Verbindungen von Innen heraus funktionieren problemlos.
Nun möchte ich von Außen über DDNS Zugriff auf diverse Dinge im 2. Subnetz hinter dem WRT haben, so wie ich es auch schon vorher hatte, wo meine Endgeräte direkt hinter AG241 hingen. Dazu habe ich meine Portweiterleitung und -freigaben auf dem AG241 so eingerichtet, dass alle benötigen Ports 1:1 auf die IP des WRT geleitet werden und der WRT dann die eigentliche Portumsetzung macht. Der AG hat die IP 192.168.2.1 und der WRT von 192.168.2.2 (Außen) und 192.168.1.1 (Innen)
Beispiel vorher auf dem AG241:
Port 5000 -> Port 8080 von 192.168.1.24 (hat funktioniert)
Jetzt auf dem AG241 UND WRT:
Port 5000 -> Port 5000 von 192.168.2.2 (=WRT) und dort dann Port 5000 -> Port 8080 von 192.168.1.24 (geht nicht)
Leider funktioniert das nicht (Vorher mit nur einem Subnetz allerdings prima).
Hat jemand eine Idee, woran das liegen könnte? Bin mir auch nicht sicher, ob dies so überhaupt möglich ist bzw. an welchem Gerät der Fehler liegt. Immerhin hat es früher mit dem AG funktioniert. LinkLogger zeigt mir allerdings auch keinen ankommenden Traffic auf dem WRT an.
Zur Info: Der AG läuft unter Firmware "7.01.04-Phoenix" und der WRT unter "v4.71.1, Hyperwrt 2.1b1 + Thibor15c"
Danke vielmals
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 141358
Url: https://administrator.de/contentid/141358
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
Die Frage die sich stellt ist ob du auf dem WRT NAT (Adress Translation ) machst oder transparent routest und ob du eine statische Route in das Netz hinter dem WRT auf dem AG eingetragen hast.
All das beschreibst du leider nicht und dann bleibt hier nur wildes Spekulieren und raten Das solltest du also erstmal technisch klären bevor wir hier ins Eingemachte gehen !!
Anregungen zu einer richtigen Konfig für so ein Szenario findest du in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
All das beschreibst du leider nicht und dann bleibt hier nur wildes Spekulieren und raten Das solltest du also erstmal technisch klären bevor wir hier ins Eingemachte gehen !!
Anregungen zu einer richtigen Konfig für so ein Szenario findest du in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Der WRT macht immer NAT sofern du die Standard Firmware benutzt ! In der Original FW ist das NICHT abschaltbar...leider. Ggf. ist es besser wenn du die alternative Firmware dd-wrt flashst, denn damit kannst du transparentes Routing aktivieren, was mit der Original SW nicht mögich ist.
Dadürch kannst du die NAT Firewall des ersten Routers nicht überwinden und kannst nur für einzelne Rechner und Dienste mit Port Forwading arbeiten...also weniger schön.
Die Problematik ist hier genau erklärt:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
(Abschnitt "Internes" !)
Wenn dein WRT54 Modell es supportet solltest du die dd-wrt Firmware einspielen, denn sie bietet erheblich mehr Optionen für den WRT54.
Vorher aber genau checken ob dein WRT Model es supportet:
http://www.dd-wrt.de
Dadürch kannst du die NAT Firewall des ersten Routers nicht überwinden und kannst nur für einzelne Rechner und Dienste mit Port Forwading arbeiten...also weniger schön.
Die Problematik ist hier genau erklärt:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
(Abschnitt "Internes" !)
Wenn dein WRT54 Modell es supportet solltest du die dd-wrt Firmware einspielen, denn sie bietet erheblich mehr Optionen für den WRT54.
Vorher aber genau checken ob dein WRT Model es supportet:
http://www.dd-wrt.de
Ok, dann musst du ganz sicher festellen ob deine Firmware NAT macht oder nicht !!!
Die Alternativen können es fast immer umschalten. Das ist z.B. bei dd-wrt die Option "Gateway" (NAT) oder "Routing" in den Systemsettings.
Ansonsten hilft immer schnell mal einen Wireshark reinzuhängen und die Pakete anzusehen was dort für Quell IP Adresse steht.
Ist es die 192.168.2.2 vom WRT WAN Port macht das teil NAT wenns die Original Absender IP vom LAN hinter dem WRT ist dann macht er logischerweise kein NAT !!
So oder so kann ein Wireshark Sniffertrace nicht schaden um mal zu checken wo diese Pakete abbleiben...
Generell funktioniert dieses Scenario aber problemlos...wenigstens mit dd-wrt..
Die Alternativen können es fast immer umschalten. Das ist z.B. bei dd-wrt die Option "Gateway" (NAT) oder "Routing" in den Systemsettings.
Ansonsten hilft immer schnell mal einen Wireshark reinzuhängen und die Pakete anzusehen was dort für Quell IP Adresse steht.
Ist es die 192.168.2.2 vom WRT WAN Port macht das teil NAT wenns die Original Absender IP vom LAN hinter dem WRT ist dann macht er logischerweise kein NAT !!
So oder so kann ein Wireshark Sniffertrace nicht schaden um mal zu checken wo diese Pakete abbleiben...
Generell funktioniert dieses Scenario aber problemlos...wenigstens mit dd-wrt..
Das kann 2 Ursachen haben ! Vermutlich ist dein Internet Router AG241 der böse Buhmann.
Du hast ja 2 Szenarien:
1.) Im Modus "Gateway" machst du NAT am 2ten Router und am Internet Router kommen alle Packete aus dem Netz am 2ten Router mit einer lokalen IP des Internet Segments an.
2.) Im Modus "Router" routet der 2te Router transparent und alle Packete aus dem LAN am 2ten Router kommen am Internet Router auch mit diese IP Adresse an. Der Internet Router benötigt zwangsweise eine statische Route für das LAN an Router 2 !
Wenn du nun ein Port Forwarding machst im Modus 1. dann musst du die eingehenden Pakete am Internet Router auf die statische IP des WAN Interfaces des Router 2 forwarden !
Da diese Pakete hier wiederum eine NAT Firewall überwinden müssen muss an Router 2 ebenfalls wieder eine Port Forwarding dieser Pakete/Ports an das Endgerät im lokalen LAN Router 2 gemacht werden.
Bei Szenario 2 müsste das Port Forwarding am Router 2 auf die Endgeräte IP im lokalen LAN, Router 2 zeigen. Hier gibt es aber oft ein Problem:
Die Masse der Billigrouter kann KEIN Port Forwarding machen an IP Adressen die NICHT im lokalen LAN liegen !
Das ist bei dir vermutlich der Fall so das der Modus "Router" vermutlich von vorn herein zum Scheitern verurteilt ist.
Wie du siehst spekulieren wir hier aber nur wild in der Gegend rum weil du diese Information nicht liefern kannst
Nimm dir also einen freien Wireshark Sniffer und sieh dir die Pakete an die der Internet Router im Modus 1. und 2. forwardet von einer remoten Verbindung.
Dann weisst du ganz genau wie sich dein Internet Rozuer verhält und man kann weiterforschen.
Vermutlich kommt man dann nur im Gateway Modus weiter...Vermutlich... Sniffer das also dann wissen wir mehr...
Du hast ja 2 Szenarien:
1.) Im Modus "Gateway" machst du NAT am 2ten Router und am Internet Router kommen alle Packete aus dem Netz am 2ten Router mit einer lokalen IP des Internet Segments an.
2.) Im Modus "Router" routet der 2te Router transparent und alle Packete aus dem LAN am 2ten Router kommen am Internet Router auch mit diese IP Adresse an. Der Internet Router benötigt zwangsweise eine statische Route für das LAN an Router 2 !
Wenn du nun ein Port Forwarding machst im Modus 1. dann musst du die eingehenden Pakete am Internet Router auf die statische IP des WAN Interfaces des Router 2 forwarden !
Da diese Pakete hier wiederum eine NAT Firewall überwinden müssen muss an Router 2 ebenfalls wieder eine Port Forwarding dieser Pakete/Ports an das Endgerät im lokalen LAN Router 2 gemacht werden.
Bei Szenario 2 müsste das Port Forwarding am Router 2 auf die Endgeräte IP im lokalen LAN, Router 2 zeigen. Hier gibt es aber oft ein Problem:
Die Masse der Billigrouter kann KEIN Port Forwarding machen an IP Adressen die NICHT im lokalen LAN liegen !
Das ist bei dir vermutlich der Fall so das der Modus "Router" vermutlich von vorn herein zum Scheitern verurteilt ist.
Wie du siehst spekulieren wir hier aber nur wild in der Gegend rum weil du diese Information nicht liefern kannst
Nimm dir also einen freien Wireshark Sniffer und sieh dir die Pakete an die der Internet Router im Modus 1. und 2. forwardet von einer remoten Verbindung.
Dann weisst du ganz genau wie sich dein Internet Rozuer verhält und man kann weiterforschen.
Vermutlich kommt man dann nur im Gateway Modus weiter...Vermutlich... Sniffer das also dann wissen wir mehr...