5
Problem mit 2 NAT
Liebe Forumgemeinde,
Wir setzen seit langem ein zyxel firewall. Dort sind alle firewall und nat regeln schon hinterlegt.
Nun haben wir unser isp auf telekom geändert und bekommen das Digitalisierungsbox Smart (kürze es auf DS ab) als Modem/Router. Den möchten wir auch gerne als Modem nutzen, da wir die Telefonie Funktion nutzen wollen.
Bisher gab es nur den dsl modem und mein zyxel. Das heisst auf meinem zyxel habe ich mein public ip als wan eingestellt und das wars.
Damit ich alle NAT und Firewall Einstellungen auf zyxel lassen kann habe ich gedacht, dass ich NAT Regel auf dem DS hinterlege und zwar alle Dienste von wan auf die IP Adresse von meinem Zyxel weiterleite.
Firewall habe ich auf DS für die Traffics Richtung Zyxel deaktiviert.
Im zyxel habe ich für https auch ein NAT hinterlegt, und zwar von public ip auf meinen Webserver. Als public ip habe ich hier mein public ip hinterlegt.
Im zyxel habe ich also nur die ip adresse von "public ip" geändert und die wan einstellung auf eine ip adresse im subnet von dem DS eingestellt.
Wenn ich versuche auf meine website zuzugreifen kommt nur eine leere Seite.
Wenn ich am DS direkt meinen Webserver anschliesse und per NAT dorthin umleite (anstatt auf mein zyxel) dann klappt der Zugriff von aussen.
Ich bin sicher dass das Problem auf meinem Zyxel ist.
Wo ist mein Denkfehler?
Vielen Dank im Voraus
Wir setzen seit langem ein zyxel firewall. Dort sind alle firewall und nat regeln schon hinterlegt.
Nun haben wir unser isp auf telekom geändert und bekommen das Digitalisierungsbox Smart (kürze es auf DS ab) als Modem/Router. Den möchten wir auch gerne als Modem nutzen, da wir die Telefonie Funktion nutzen wollen.
Bisher gab es nur den dsl modem und mein zyxel. Das heisst auf meinem zyxel habe ich mein public ip als wan eingestellt und das wars.
Damit ich alle NAT und Firewall Einstellungen auf zyxel lassen kann habe ich gedacht, dass ich NAT Regel auf dem DS hinterlege und zwar alle Dienste von wan auf die IP Adresse von meinem Zyxel weiterleite.
Firewall habe ich auf DS für die Traffics Richtung Zyxel deaktiviert.
Im zyxel habe ich für https auch ein NAT hinterlegt, und zwar von public ip auf meinen Webserver. Als public ip habe ich hier mein public ip hinterlegt.
Im zyxel habe ich also nur die ip adresse von "public ip" geändert und die wan einstellung auf eine ip adresse im subnet von dem DS eingestellt.
Wenn ich versuche auf meine website zuzugreifen kommt nur eine leere Seite.
Wenn ich am DS direkt meinen Webserver anschliesse und per NAT dorthin umleite (anstatt auf mein zyxel) dann klappt der Zugriff von aussen.
Ich bin sicher dass das Problem auf meinem Zyxel ist.
Wo ist mein Denkfehler?
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 310053
Url: https://administrator.de/contentid/310053
Printed on: April 27, 2024 at 22:04 o'clock
5 Comments
Latest comment
Dort sind alle firewall und nat regeln schon hinterlegt.
Wäre recht ungewöhnlich für eine Firewall und kann nicht stimmen. Vermutlich meinst du aber das sie aktuell für eurer Umfeld entsprechend konfiguriert und eingerichtet ist, kann das sein ?Den möchten wir auch gerne als Modem nutzen, da wir die Telefonie Funktion nutzen wollen.
Das wäre technischer Unsinn, denn ein reines Modem kann niemals als VoIP Endpunkt arbeiten. Ein reines Modem ist nichts als ein passiver Medienwandler der rein gar nichts mit dem IP Forwardings, sprich Routing zu tun hat, schon gar nicht VoIP.Nur ein Router kann SIP und RTP sprechen und damit VoIP terminieren. Ein reines Modem niemals.
Bisher gab es nur den dsl modem und mein zyxel.
Es ist in der Tat ein Unterschied ob man an der Zyxel ein reines Modem betreibt und damit die Provider IP und PPPoE Authentisierung direkt auf der FW betreibt oder ob man das mit einem davor kaskadierten NAT Router macht wie z.B. HIER beschrieben und es bei dir jetzt der Fall mit dem DS ist.Da das bei dir der Fall war ist es dann eindeutig ein reines Modem gewesen.
Keine gute Lösung mit doppeltem NAT aus technischer Sicht. Es wäre besser bei dem reinen Modembetrieb zu bleiben, denn das DS ist nicht zwingend für VoIP. Das kann man auch mit einem VoIP Adapter z.B. Cisco SPA 112 etc. oder einer VoIP Anlage machen im internen Netz.
dass ich NAT Regel auf dem DS hinterlege und zwar alle Dienste von wan auf die IP Adresse von meinem Zyxel weiterleite.
Ja, das ist richtig ! Sehr wichtig ist dann natürlich das die Zyxel FW eine feste statische IP Adresse am WAN Port bekommt aus dem DS LAN und der PPPoE Modus dort deaktiviert wird !!und die wan einstellung auf eine ip adresse im subnet von dem DS eingestellt.
Das ist auch genau richtig so !Aber nur wenn diese IP außerhalb des DHCP Bereichs des DS liegt. Die Default Route der Zyxel und auch den DNS Eintrag musst du ebenfalls auf die LAN IP des DS ändern. Hast du das auch gemacht ?
Ich bin sicher dass das Problem auf meinem Zyxel ist.
Davon ist auszugehen wenn es direkt am DS klappt.... Es ist dann ein reines Port Forwarding Problem bzw. das einer fehlenden Firewall NAT Regel.Deine Public IP ist die IP die am ISP Port des DS anliegt ! Die Adresse die du siehst wenn du auf http://www.wieistmeineip.de gehst.
Im DS muss also für HTTPS ein Port Forwarding von dieser IP auf die WAN Port IP der Zyxel FW eingerichtet sein.
An der Zyxel FW muss ein Port Forwarding genau derselben IP (DS ISP Port) an den Webserver im lokalen Segment eingerichtet sein.
Klar denn die eingehenden TCP 443 Pakete an die WAN IP Adresse des DS werden so wie sie sind dann an die WAN IP des Zyxel geforwardet.
Der wiederum "sieht" die öffentliche WAN Port IP des DS und muss diesen Frame dann an den lokalen Webserver weiterleiten.
Im Zweifel immer einen Wireshark Sniffer nehmen und sehen ob das Paket wirklich dort ankommt.
Zyxel Log sollte man auch mal ansehen....
Zitat von @mzda1234:
Bisher gab es nur den dsl modem und mein zyxel. Das heisst auf meinem zyxel habe ich mein public ip als wan eingestellt und das wars.
Bisher gab es nur den dsl modem und mein zyxel. Das heisst auf meinem zyxel habe ich mein public ip als wan eingestellt und das wars.
Machst doch weiter so. Die Digitalisierungsbox kannst Du auch hinter Deine Zyxel höngen. Mußt nur dafür sorgen, daß der gesamte VOIP-traffic zu Ihr gelangt. funktioniert normalerweise auch einwandfrei.
lks
Hi aqui,
Vielen Dank für die sehr ausführliche Antwort.
Zu deiner Frage:
Die Default Route der Zyxel und auch den DNS Eintrag musst du ebenfalls auf die LAN IP des DS ändern. Hast du das auch gemacht ?
Das habe ich nich nicht gemacht. Aber internet von zyxel clients gehen einwandfrei. Kann es trotzdem die Ursache meines Problems sein ?
Diese Anmerkung habe ich nicht genau verstanden:
Davon ist auszugehen wenn es direkt am DS klappt.... Es ist dann ein reines Port Forwarding Problem bzw. das einer fehlenden Firewall NAT Regel.
Welche firewall nat regel könnte fehlen ?
Ausserdem alle anderen Sache habe ich genauso wie du beschrieben hast eingerichtet.
Vielen Dank für die sehr ausführliche Antwort.
Zu deiner Frage:
Die Default Route der Zyxel und auch den DNS Eintrag musst du ebenfalls auf die LAN IP des DS ändern. Hast du das auch gemacht ?
Das habe ich nich nicht gemacht. Aber internet von zyxel clients gehen einwandfrei. Kann es trotzdem die Ursache meines Problems sein ?
Diese Anmerkung habe ich nicht genau verstanden:
Davon ist auszugehen wenn es direkt am DS klappt.... Es ist dann ein reines Port Forwarding Problem bzw. das einer fehlenden Firewall NAT Regel.
Welche firewall nat regel könnte fehlen ?
Ausserdem alle anderen Sache habe ich genauso wie du beschrieben hast eingerichtet.
Hi lks,
ich glaube mein Nezwerkkenntnis reicht da nicht aus um diese Konstellation abzubilden.
Was muss ich denn einstellen damit ich alle voip darüber routen kann ? Ausserdem zählt skype for business Anrufe auch als voip? Wenn ja dann kann man diese voip traffic mit dem voip traffic von telekom für dan Festnetzanschluss unterscheiden?
Danke
ich glaube mein Nezwerkkenntnis reicht da nicht aus um diese Konstellation abzubilden.
Was muss ich denn einstellen damit ich alle voip darüber routen kann ? Ausserdem zählt skype for business Anrufe auch als voip? Wenn ja dann kann man diese voip traffic mit dem voip traffic von telekom für dan Festnetzanschluss unterscheiden?
Danke
Wenn du lync/skype for business und die digitalusierungsbox paralell nutzen willst, wirst du, egal in welcher konstellation ein problem mut der zuordnung der sip-ports bekommen.
Lks
Lks
