Routing und NAT auf sich selbst
Hallo zusammen,
ich stehe mal wieder etwas auf dem Schlauch, vielleicht denke ich auch nur zu kompliziert um die Ecke, der Titel trifft es auch nicht genau.
An meinem Router habe ich aus dem Internet eingehende DNS & Dyndns-Ports (53/8245) weitergeleitet auf einen "DMZ"-Host (soll heißen sparates VLAN, per Firewall separiert vom Rest des LAN). Klappt alles ganz gut.
ExterneIP -> Router
Router -> DMZ
Router -> LAN
NAT: Port 53 der Schnittstelle Internet egal woher -> DMZHost:53
Jetzt geht es um die Überwachung bzw. Überprüfen der korrekten Funktion "von innen heraus".
Ping aus dem LAN auf die ExterneIP funktioniert.
nslookup aus dem LAN auf die ExterneIP funktioniert nicht. Wie auch, die NAT-Weiterleitung ist ja nicht für die LAN-Schnittstelle eingerichtet. Eine zusätzliche Weiterleitung für die LAN-Schnittstelle will ich nicht einrichten.
Gibt es überhaupt eine Möglichkeit, von "innen heraus" zu testen, ob die Weiterleitung funktioniert (außer am Protokoll des DMZ-Host)? Wenn ich das hier so schreibe würde ich ja sagen nein. Wenn ich die DNS-Funktion von extern her testen will, muss ich das auch von externen Host machen - oder? Es gibt da keinen Loopback-Trick - nicht wahr?
Grüße
lcer
ich stehe mal wieder etwas auf dem Schlauch, vielleicht denke ich auch nur zu kompliziert um die Ecke, der Titel trifft es auch nicht genau.
An meinem Router habe ich aus dem Internet eingehende DNS & Dyndns-Ports (53/8245) weitergeleitet auf einen "DMZ"-Host (soll heißen sparates VLAN, per Firewall separiert vom Rest des LAN). Klappt alles ganz gut.
ExterneIP -> Router
Router -> DMZ
Router -> LAN
NAT: Port 53 der Schnittstelle Internet egal woher -> DMZHost:53
Jetzt geht es um die Überwachung bzw. Überprüfen der korrekten Funktion "von innen heraus".
Ping aus dem LAN auf die ExterneIP funktioniert.
nslookup aus dem LAN auf die ExterneIP funktioniert nicht. Wie auch, die NAT-Weiterleitung ist ja nicht für die LAN-Schnittstelle eingerichtet. Eine zusätzliche Weiterleitung für die LAN-Schnittstelle will ich nicht einrichten.
Gibt es überhaupt eine Möglichkeit, von "innen heraus" zu testen, ob die Weiterleitung funktioniert (außer am Protokoll des DMZ-Host)? Wenn ich das hier so schreibe würde ich ja sagen nein. Wenn ich die DNS-Funktion von extern her testen will, muss ich das auch von externen Host machen - oder? Es gibt da keinen Loopback-Trick - nicht wahr?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397629
Url: https://administrator.de/forum/routing-und-nat-auf-sich-selbst-397629.html
Ausgedruckt am: 04.04.2025 um 17:04 Uhr
4 Kommentare
Neuester Kommentar
Hi,
wenn Du rein die Funktion des Servers in der DMZ prüfen willst, dann kannst Du auch ohne NAT von intern diese prüfen, wenn der Router entsprechende ACLs hat. Aber wenn Du die Funktion des Servers bei Zugriff von Extern über die öffentliche IP prüfen willst, dann musst Du auch von Extern aus testen. Das geht nun mal nicht anders. Alles andere wäre Selbsttäuschung.
E.
wenn Du rein die Funktion des Servers in der DMZ prüfen willst, dann kannst Du auch ohne NAT von intern diese prüfen, wenn der Router entsprechende ACLs hat. Aber wenn Du die Funktion des Servers bei Zugriff von Extern über die öffentliche IP prüfen willst, dann musst Du auch von Extern aus testen. Das geht nun mal nicht anders. Alles andere wäre Selbsttäuschung.
E.
Hallo,
Und zum testen deines internen DNServers braucht es keine externen IP gefrickel, sondern nur ein DNS weiterleitung nach aussen wenn die externe Resource nicht in einer IP aufgelöst werden kann.
Erkläre uns was du genau willst bzw. meinst.
Gruß,
Peter
Zitat von @lcer00:
Jetzt geht es um die Überwachung bzw. Überprüfen der korrekten Funktion "von innen heraus".
Ping aus dem LAN auf die ExterneIP funktioniert.
nslookup aus dem LAN auf die ExterneIP funktioniert nicht.
Wir kennen deinen Router nicht, also wissen wir auch nicht ob Hairpin-NAT kann oder nicht. Einige können es, andere wiederum nicht. Es ist auch kein gefordertes Leistungsmerkmal, sondern Hersteller und Modelabhängig. Und was soll dir ein NSLookup ExterneIPdeinesRouters bringen? Mach das mal von einen Rechner der auch nach aussen darf oder ohne laufenden Proxy.Jetzt geht es um die Überwachung bzw. Überprüfen der korrekten Funktion "von innen heraus".
Ping aus dem LAN auf die ExterneIP funktioniert.
nslookup aus dem LAN auf die ExterneIP funktioniert nicht.
Wie auch, die NAT-Weiterleitung ist ja nicht für die LAN-Schnittstelle eingerichtet. Eine zusätzliche Weiterleitung für die LAN-Schnittstelle will ich nicht einrichten.
Und wie bekommen deine Clients im LAN dann Internet bzw. Verbindungen zu externen Geräte, Websites usw.?Gibt es überhaupt eine Möglichkeit, von "innen heraus" zu testen, ob die Weiterleitung funktioniert (außer am Protokoll des DMZ-Host)?
Da einige Router einen Zugriff von Innen auf die eigene Externe IP erkennen schalten die intern ein abkürzung ein. Wie der Hersteller das umgesetzt hat? Hairpin-Nat ist wie gesagt weder Standard noch vorgeschrieben noch als ein muss für Router. https://tools.ietf.org/html/rfc5128 oder https://en.wikipedia.org/wiki/HairpinningWenn ich die DNS-Funktion von extern her testen will, muss ich das auch von externen Host machen - oder?
Was willst du von extern in deine DMZ oder LAN denn DNS-mäßig von Extern testen. Betreibst du externe DNS oder was oder warum willst du ein Portforwarding für DNS einrichten. Dein DNS braucht nur raustelefonieren können und die Antwort lesen dürfen. Da reicht ein erlaubter ausgehender Traffic auf Port 53 dein deinen internen DNS Server.Und zum testen deines internen DNServers braucht es keine externen IP gefrickel, sondern nur ein DNS weiterleitung nach aussen wenn die externe Resource nicht in einer IP aufgelöst werden kann.
Erkläre uns was du genau willst bzw. meinst.
Gruß,
Peter