mexx
Goto Top

Portweiterleitungen greifen nur Extern

Guten Tag,

ich betreibe hinter einen LTE Router Typ ZTE MC801AV mit statischer IPv4 ein NAS und habe via Portweiterleitung oder DMZ Freigaben geschaffen, die nur von aussen erreichbar sind. Intern scheitert der Zugriff aber.

Wenn ich das Thema google finde ich ein ähnliches Verhalten bei Telekom Routern und das fällt wohl unter den Begriff Hairping-NAT. Aber so richtig verstanden habe ich es noch nicht. Kann mir jemand das Problem genauer erklären? Gibt es da irgendeine Lösung dafür?

VG

Content-ID: 4719392594

Url: https://administrator.de/contentid/4719392594

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

StefanKittel
StefanKittel 22.11.2022 um 11:07:23 Uhr
Goto Top
Hallo,

ich nenne es mal das Raus-Rein-Problem.
Der Router kommt nicht auf die "Idee", dass ein Datenpaket fürs Internet durch eine Portweiterleitung gleich wieder rein will.
Es gibt genug Router die das schlicht nicht können.

Am einfachsten arbeitetn man mit Split-DNS.
nas.firma.de zeigt im Internet auf 1.2.3.4 und im LAN auf 192.168.10.10

Stefan
mexx
mexx 22.11.2022 um 11:11:29 Uhr
Goto Top
Servus Stefan, ja so hab ich es auch verstanden und über Routing nachgedacht, aber selbst da kann der Router nix. Erkläre mir mal bitte die Idee mit den Split-DNS genauer.
Spirit-of-Eli
Spirit-of-Eli 22.11.2022 um 11:32:14 Uhr
Goto Top
Moin,

deine Stichworte sind "Split-DNS" oder "HairPin-NAT".

Vielfach hier im Forum diskutiert.

Gruß
Spirit
radiogugu
radiogugu 22.11.2022 um 12:11:34 Uhr
Goto Top
Hi.

Es gibt zwei Möglichkeiten.

1. Du änderst auf allen Geräten die Hosts Datei und biegst die lokale IP des NAS auf den aufgerufenen DNS Namen um.

Hat den Nachteil, dass dann ein Zugriff nur noch von innerhalb des Netzwerkes (oder VPNs) klappt.

2. Du bringst deinem ZTE einen DNS Override bei. Das heißt du legst im DNS Teil des Routers (wenn überhaupt möglich) einen statischen Eintrag wie bei 1. beschrieben an.

Gruß
Marc
4400667902
4400667902 22.11.2022 aktualisiert um 12:20:44 Uhr
Goto Top
Hairpin NAT ist eigentlich schnell erklärt.

  1. Client sendet Paket an externe Adresse des gleichen Routers.
  2. Der erkennt das er das selbst ist und schreibt nur die Zieladresse und Port auf die interne Adresse um.
  3. Das Paket kommt am internen Server an und der möchte nun eine Antwort an den Client schicken. Da der Client aber im gleichen Netz sitzt wie der Server erreicht das Paket den Client mit der internen IP anstatt der externen, und deswegen verwirft er das Paket weil er es von der externen Adresse erwartet.
  4. Um das Problem zum umgehen erstellt man entweder eine Hairpin NAT Regel die die Quelladresse des Pakets des Clients auf die des Routers per SRCNAT umschreibt (sofern man einen Router nutzt der sowas kann), oder man nutzt als Alternative intern Split-DNS, also einen eigenen DNS Server welcher den Domainnamen auf die interne IP umschreibt und somit der Client bei einer DNS Anfrage immer die interne IP des Servers statt die externe geliefert wird.

Uk.