27
Statisches Routing
Hallo,
Ich habe ein statisches Routing eingerichtet damit ich von meinem Test-Netzwerk in mein produktives Netzwerk komme.
Test-Netz : 192.168.2.1
Produktives Netz: 192.168.1.1
Nun komme ich trotz statischem Routing komischerweise von meinem Test-Netz nicht auf mein NAS mit IP 192.168.1.5.. Verstehe nicht wieso. Vom Test-Netz komme ich hingegeben auf meinen Router 1932.168.1.1 jedoch nicht auf mein NAS mit IP 192.168.1.5.
Auch ein Tracert vom Test-Netzwerk auf das NAS mit IP 192.168.1.5 geht nicht weiter und bleibt im Test-Netz stecken. Wieso?!
Test-Netz konfig
Produktive Netz:
Das Test-Netzwerk (Fritz.Box) hat die WAN-IP: 192.168.1.2 per LAN1 Kabel mit dem produktischen Netz (Zyxel USG 20W ) direkt verbunden.
Habe noch per WebGUI von der USG (Netz mit 192.168.1.0) versucht auf die IP 192.168.2.16 (mein PC) zu pingen klappte auch nicht.
Hoffe ihr könnt mir helfen.
Ich habe ein statisches Routing eingerichtet damit ich von meinem Test-Netzwerk in mein produktives Netzwerk komme.
Test-Netz : 192.168.2.1
Produktives Netz: 192.168.1.1
Nun komme ich trotz statischem Routing komischerweise von meinem Test-Netz nicht auf mein NAS mit IP 192.168.1.5.. Verstehe nicht wieso. Vom Test-Netz komme ich hingegeben auf meinen Router 1932.168.1.1 jedoch nicht auf mein NAS mit IP 192.168.1.5.
Auch ein Tracert vom Test-Netzwerk auf das NAS mit IP 192.168.1.5 geht nicht weiter und bleibt im Test-Netz stecken. Wieso?!
Test-Netz konfig
Produktive Netz:
Das Test-Netzwerk (Fritz.Box) hat die WAN-IP: 192.168.1.2 per LAN1 Kabel mit dem produktischen Netz (Zyxel USG 20W ) direkt verbunden.
Habe noch per WebGUI von der USG (Netz mit 192.168.1.0) versucht auf die IP 192.168.2.16 (mein PC) zu pingen klappte auch nicht.
Hoffe ihr könnt mir helfen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378961
Url: https://administrator.de/contentid/378961
Ausgedruckt am: 26.11.2024 um 15:11 Uhr
27 Kommentare
Neuester Kommentar
Hi,
haste mal deine Firewalleinstellungen gecheckt? ;) Für die Fritte brauchst du theoretisch keine statische Route sondern nur auf dem Router vom Produktiven Netz. Für solche Spielereien würde ich an deiner Stelle eher ein seperates VLAN auf dem Zyxel Router oder wenn du eine Routerkaskade haben möchtest dann kannst du ja auch zum beispiel ein Gerät von MikroTik einsetzen (z.B. hAP Lite). Da hast du auch mehr möglichkeiten was Routing etc. angeht. Schau dir zu dem gesamten Thema doch einfach mal diesen Beitrag von Aqui an.
VG
haste mal deine Firewalleinstellungen gecheckt? ;) Für die Fritte brauchst du theoretisch keine statische Route sondern nur auf dem Router vom Produktiven Netz. Für solche Spielereien würde ich an deiner Stelle eher ein seperates VLAN auf dem Zyxel Router oder wenn du eine Routerkaskade haben möchtest dann kannst du ja auch zum beispiel ein Gerät von MikroTik einsetzen (z.B. hAP Lite). Da hast du auch mehr möglichkeiten was Routing etc. angeht. Schau dir zu dem gesamten Thema doch einfach mal diesen Beitrag von Aqui an.
VG
Hallo
Du brauchst Routen auf ein Interface, nicht auf ein Gateway und zwar an einem der beiden Geräte.
Grüße
lcer
Du brauchst Routen auf ein Interface, nicht auf ein Gateway und zwar an einem der beiden Geräte.
Grüße
lcer
Nochmal, war vorhin etwas zu kurz dabei.
einer der Router: Router1 braucht einen Anschluss an beide Netze. Der hat dann auch 2 IP-Adressen:
192.168.50.1 und 192.168.40.1
dort sind automatisch Routen angelegt - auf ein Netzwerkinterface, nicht auf ein Gateway
192.168.50.0 -> LAN-Interface 1A
192.168.40.0 -> LAN-Interface 1B
der zweiter Router2 hat nur eine IP 192.168.40.2
Auf diesem Router gibt es eine Interface-Route
192.168.40.0 -> Interface 2A
Dieser Router2 hat keine 2 verschiedenen Netzwerkinterfaces!!! (Ausser du verwendest noch ein getrenntes "Transportnetz" zwischen den 2 Routern, das ist aber komplizierter.)
und eine statische Route auf das Gateway
192.168.50.0 -> 192.168.40.1
Eventuell brauchst Du noch eine neue Standardroute - also
entweder
auf Router 1
0.0.0.0 -> 192.168.40.2 wenn das Internet an Router2 anliegt oder
auf Router 2
0.0.0.0 -> 192.168.40.1 wenn das Internet an Router1 anliegt
fertig.
Grüße
lcer
einer der Router: Router1 braucht einen Anschluss an beide Netze. Der hat dann auch 2 IP-Adressen:
192.168.50.1 und 192.168.40.1
dort sind automatisch Routen angelegt - auf ein Netzwerkinterface, nicht auf ein Gateway
192.168.50.0 -> LAN-Interface 1A
192.168.40.0 -> LAN-Interface 1B
der zweiter Router2 hat nur eine IP 192.168.40.2
Auf diesem Router gibt es eine Interface-Route
192.168.40.0 -> Interface 2A
Dieser Router2 hat keine 2 verschiedenen Netzwerkinterfaces!!! (Ausser du verwendest noch ein getrenntes "Transportnetz" zwischen den 2 Routern, das ist aber komplizierter.)
und eine statische Route auf das Gateway
192.168.50.0 -> 192.168.40.1
Eventuell brauchst Du noch eine neue Standardroute - also
entweder
auf Router 1
0.0.0.0 -> 192.168.40.2 wenn das Internet an Router2 anliegt oder
auf Router 2
0.0.0.0 -> 192.168.40.1 wenn das Internet an Router1 anliegt
fertig.
Grüße
lcer
... und noch was
Du hast jetzt aber kein NAT von deinem Test-Netzwerk eingerichtet? Das wird nicht funktionieren!
Grüße
lcer
Zitat von @nicuhu:
Das Test-Netzwerk (Fritz.Box) hat die WAN-IP: 192.168.1.2 per LAN1 Kabel mit dem produktischen Netz (Zyxel USG 20W ) direkt verbunden.
Das Test-Netzwerk (Fritz.Box) hat die WAN-IP: 192.168.1.2 per LAN1 Kabel mit dem produktischen Netz (Zyxel USG 20W ) direkt verbunden.
Du hast jetzt aber kein NAT von deinem Test-Netzwerk eingerichtet? Das wird nicht funktionieren!
Grüße
lcer
Zitat von @AMD9558:
Hi,
haste mal deine Firewalleinstellungen gecheckt? ;) Für die Fritte brauchst du theoretisch keine statische Route sondern nur auf dem Router vom Produktiven Netz. Für solche Spielereien würde ich an deiner Stelle eher ein seperates VLAN auf dem Zyxel Router oder wenn du eine Routerkaskade haben möchtest dann kannst du ja auch zum beispiel ein Gerät von MikroTik einsetzen (z.B. hAP Lite). Da hast du auch mehr möglichkeiten was Routing etc. angeht. Schau dir zu dem gesamten Thema doch einfach mal diesen Beitrag von Aqui an.
VG
Hi,
haste mal deine Firewalleinstellungen gecheckt? ;) Für die Fritte brauchst du theoretisch keine statische Route sondern nur auf dem Router vom Produktiven Netz. Für solche Spielereien würde ich an deiner Stelle eher ein seperates VLAN auf dem Zyxel Router oder wenn du eine Routerkaskade haben möchtest dann kannst du ja auch zum beispiel ein Gerät von MikroTik einsetzen (z.B. hAP Lite). Da hast du auch mehr möglichkeiten was Routing etc. angeht. Schau dir zu dem gesamten Thema doch einfach mal diesen Beitrag von Aqui an.
VG
Firewall nein mache ich noch, das klappte schon damals nicht wo ich noch keine Firewall hatte. VLANs verwende ich zur Zeit keine. Ich kenne dieses MikroTik nicht verwende alles von ZyXEL. Die USG genügend Routing Protokolle an das sollte mein Vorhaben nicht scheitern.
Es muss doch immer auch einen Rückweg vom Routing haben deswegen habe ich das statische Routing beiden Orten eingerichtet.
Hallo, Icer00
Danke für deine Hilfe Icer00.> Zitat von @lcer00:
Nochmal, war vorhin etwas zu kurz dabei.
einer der Router: Router1 braucht einen Anschluss an beide Netze. Der hat dann auch 2 IP-Adressen:
192.168.50.1 und 192.168.40.1
Also müsste ich an dem 1. Router LAN 1 (produktives Netz) die IP 192.168.1.1 vergeben und dem selben Router LAN 2 (Test-Netz) 192.168.2.1. Damit das klappt? So wie ich das habe ist das also nicht gut?
dort sind automatisch Routen angelegt - auf ein Netzwerkinterface, nicht auf ein Gateway
192.168.50.0 -> LAN-Interface 1A
192.168.40.0 -> LAN-Interface 1B
der zweiter Router2 hat nur eine IP 192.168.40.2
Auf diesem Router gibt es eine Interface-Route
192.168.40.0 -> Interface 2A
Dieser Router2 hat keine 2 verschiedenen Netzwerkinterfaces!!! (Ausser du verwendest noch ein getrenntes "Transportnetz" zwischen den 2 Routern, das ist aber komplizierter.)
und eine statische Route auf das Gateway
192.168.50.0 -> 192.168.40.1
Eventuell brauchst Du noch eine neue Standardroute - also
entweder
auf Router 1
0.0.0.0 -> 192.168.40.2 wenn das Internet an Router2 anliegt oder
auf Router 2
0.0.0.0 -> 192.168.40.1 wenn das Internet an Router1 anliegt
fertig.
Was ich mit Router 2 anstellen muss ist mir nicht ganz klar mit diesem ich muss nur dort eine statische Route erstellen? Der Standard Gateway ist doch automatisch vergeben oder nicht? Anhand des WAN-Ports vom 2.Router welcher die IP-Adresse am 1. Router bezieht?
Nein, spezielle NAT ist auf beiden Routern nicht eingerichtet. Was muss den da genau eingerichtet werden?
Danke für deine Hilfe Icer00.> Zitat von @lcer00:
Nochmal, war vorhin etwas zu kurz dabei.
einer der Router: Router1 braucht einen Anschluss an beide Netze. Der hat dann auch 2 IP-Adressen:
192.168.50.1 und 192.168.40.1
Also müsste ich an dem 1. Router LAN 1 (produktives Netz) die IP 192.168.1.1 vergeben und dem selben Router LAN 2 (Test-Netz) 192.168.2.1. Damit das klappt? So wie ich das habe ist das also nicht gut?
dort sind automatisch Routen angelegt - auf ein Netzwerkinterface, nicht auf ein Gateway
192.168.50.0 -> LAN-Interface 1A
192.168.40.0 -> LAN-Interface 1B
der zweiter Router2 hat nur eine IP 192.168.40.2
Auf diesem Router gibt es eine Interface-Route
192.168.40.0 -> Interface 2A
Dieser Router2 hat keine 2 verschiedenen Netzwerkinterfaces!!! (Ausser du verwendest noch ein getrenntes "Transportnetz" zwischen den 2 Routern, das ist aber komplizierter.)
und eine statische Route auf das Gateway
192.168.50.0 -> 192.168.40.1
Eventuell brauchst Du noch eine neue Standardroute - also
entweder
auf Router 1
0.0.0.0 -> 192.168.40.2 wenn das Internet an Router2 anliegt oder
auf Router 2
0.0.0.0 -> 192.168.40.1 wenn das Internet an Router1 anliegt
fertig.
Was ich mit Router 2 anstellen muss ist mir nicht ganz klar mit diesem ich muss nur dort eine statische Route erstellen? Der Standard Gateway ist doch automatisch vergeben oder nicht? Anhand des WAN-Ports vom 2.Router welcher die IP-Adresse am 1. Router bezieht?
Grüße
lcer
lcer
Zitat von @lcer00:
... und noch was
Du hast jetzt aber kein NAT von deinem Test-Netzwerk eingerichtet? Das wird nicht funktionieren!
Grüße
lcer
... und noch was
Zitat von @nicuhu:
Das Test-Netzwerk (Fritz.Box) hat die WAN-IP: 192.168.1.2 per LAN1 Kabel mit dem produktischen Netz (Zyxel USG 20W ) direkt verbunden.
Das Test-Netzwerk (Fritz.Box) hat die WAN-IP: 192.168.1.2 per LAN1 Kabel mit dem produktischen Netz (Zyxel USG 20W ) direkt verbunden.
Du hast jetzt aber kein NAT von deinem Test-Netzwerk eingerichtet? Das wird nicht funktionieren!
Grüße
lcer
Nein, spezielle NAT ist auf beiden Routern nicht eingerichtet. Was muss den da genau eingerichtet werden?
Zitat von @nicuhu:
Also müsste ich an dem 1. Router LAN 1 (produktives Netz) die IP 192.168.1.1 vergeben und dem selben Router LAN 2 (Test-Netz) 192.168.2.1. Damit das klappt?
Also müsste ich an dem 1. Router LAN 1 (produktives Netz) die IP 192.168.1.1 vergeben und dem selben Router LAN 2 (Test-Netz) 192.168.2.1. Damit das klappt?
genau. Dann gibt es 2 Möglichkeit.
Entweder stellst Du in beiden Netzen das Gateway für die Clients (im DHCP) auf Router 1 also auf 192.168.1.1 im Prod.Netz und 192.168.2.1 im Test.Netz.
Dann brauchst Du Router 2 gar nicht mehr und er arbeitet nur noch als Switch, falls mehrere Kabel drinstecken. Oder die Netze behalten ihre Gateways und Du musst eine Route auf Router 2 hinzufügen: 192.168.1.0 -> 192.168.2.1
Nein, spezielle NAT ist auf beiden Routern nicht eingerichtet. Was muss den da genau eingerichtet werden?
Na kein NAT!
Grüße
lcer
Zitat von @lcer00:
genau. Dann gibt es 2 Möglichkeit.
Entweder stellst Du in beiden Netzen das Gateway für die Clients (im DHCP) auf Router 1 also auf 192.168.1.1 im Prod.Netz und 192.168.2.1 im Test.Netz.
Dann brauchst Du Router 2 gar nicht mehr und er arbeitet nur noch als Switch, falls mehrere Kabel drinstecken. Oder die Netze behalten ihre Gateways und Du musst eine Route auf Router 2 hinzufügen: 192.168.1.0 -> 192.168.2.1
Zitat von @nicuhu:
Also müsste ich an dem 1. Router LAN 1 (produktives Netz) die IP 192.168.1.1 vergeben und dem selben Router LAN 2 (Test-Netz) 192.168.2.1. Damit das klappt?
Also müsste ich an dem 1. Router LAN 1 (produktives Netz) die IP 192.168.1.1 vergeben und dem selben Router LAN 2 (Test-Netz) 192.168.2.1. Damit das klappt?
genau. Dann gibt es 2 Möglichkeit.
Entweder stellst Du in beiden Netzen das Gateway für die Clients (im DHCP) auf Router 1 also auf 192.168.1.1 im Prod.Netz und 192.168.2.1 im Test.Netz.
Dann brauchst Du Router 2 gar nicht mehr und er arbeitet nur noch als Switch, falls mehrere Kabel drinstecken. Oder die Netze behalten ihre Gateways und Du musst eine Route auf Router 2 hinzufügen: 192.168.1.0 -> 192.168.2.1
Ok, dass kenn ich. Möchte, im Test-Netzwerk einen eigenen DHCP-Server haben (Windows Server DHCP), darum habe ich auch ein Test-Netzwerk gemacht damit ich getrennt vom produktiven Netzwerk (DHCP auf Firewall) einen eigenen 2. DHCP-Server habe.
Nein, spezielle NAT ist auf beiden Routern nicht eingerichtet. Was muss den da genau eingerichtet werden?
Na kein NAT!
Grüße
lcer
Ich meine so wie ich es zur Zeit eingerichtet habe wie müsste da das NAT eingerichtet sein, dass das Routing funktioniert? Hatte in meinem Beitrag zum Thema geschrieben wie ich das installiert habe und wie es eben nicht funktioniert.
Hallo,
OK, da fehlen Dir wohl alle Basics.
1) Vergiss NAT, brauchst Du nicht, das kommt erst später dran.
2) Poste mal als Bild die Seite "Interfaces" von Zyxel sowie die Seite der Fritzbox, auf der die IP-Adresse(n) der Fritzbox angezeigt werden.
Grüße
lcer
OK, da fehlen Dir wohl alle Basics.
1) Vergiss NAT, brauchst Du nicht, das kommt erst später dran.
2) Poste mal als Bild die Seite "Interfaces" von Zyxel sowie die Seite der Fritzbox, auf der die IP-Adresse(n) der Fritzbox angezeigt werden.
Grüße
lcer
Ja leider, bin nur ein einfacher IT Supporter und kenne mich nicht speziel gut mit Netzwerktechnik aus und was die Möglichkeiten sind. 
2) Poste mal als Bild die Seite "Interfaces" von Zyxel sowie die Seite der Fritzbox, auf der die IP-Adresse(n) der Fritzbox angezeigt werden.
Hier die geforderten Screenshots:
Interfaces von der ZyWALL USG 20W. LAN2 wird nur als Outgoing Zone benutzt damit Guest-WLANS Client nicht im gleichen Subnetz sind. Die LAN 3 + 4 Subnetze sind gar nicht in Verwendung. Ueber 192.168.1.0 Netz läuft der gesamte Traffic auf dem produktiven Netzwerk.
Konfiguration meines Test-Netzwerks hier zu sehen die LAN-Konfig.
Hier zu sehen die WAN-IP-Adresse bezogen vom produktiven Netzwerk der USG mit WAN-IP: 192.168.1.2. Diese Adresse hat eine DHCP-Reveriserung auf der USG
1) Vergiss NAT, brauchst Du nicht, das kommt erst später dran.
Ok!2) Poste mal als Bild die Seite "Interfaces" von Zyxel sowie die Seite der Fritzbox, auf der die IP-Adresse(n) der Fritzbox angezeigt werden.
Hier die geforderten Screenshots:
Hallo,
war im Urlaub ....
Gibt es auf dem Zyxel noch einen freien LAN-Anschluss der separat konfiguriert werden kann?
Grüße
lcer
war im Urlaub ....
Zitat von @nicuhu:
Hier zu sehen die WAN-IP-Adresse bezogen vom produktiven Netzwerk der USG mit WAN-IP: 192.168.1.2. Diese Adresse hat eine DHCP-Reveriserung auf der USG
Die Frage ist hier, ob die die Fritzbox zwischen dem WAN-Interface und dem LAN(192.168.2.0) ein NAT konfiguriert hat. WAN klingt so. Wenn JA, dann wird das so nicht gehen.Hier zu sehen die WAN-IP-Adresse bezogen vom produktiven Netzwerk der USG mit WAN-IP: 192.168.1.2. Diese Adresse hat eine DHCP-Reveriserung auf der USG
Gibt es auf dem Zyxel noch einen freien LAN-Anschluss der separat konfiguriert werden kann?
Grüße
lcer
Ah, hatte ich mir schon gedacht . Hoffe du hattest einen tollen Aufenthalt.
Gibt es auf dem Zyxel noch einen freien LAN-Anschluss der separat konfiguriert werden kann?
Grüße
lcer
Also auf der FritzBox (Net 192.168.2.0) habe ich nur einige Port-Freigaben also fuer Destination NAT gemacht (zur Zeit aber nicht in verwendung, da ich keine Test-Server mehr benutzte). Source NAT verwende ich dort nicht bzw. ist spezifisch keines konfiguriert worden. Auf der USG ist weder Source noch Destination NAT konfiguriert. Das einzige was läuft ist halt das normale Source NAT damit überhaupt das Netzwerk funktioniert...
Könnte also Source NAT das Problem sein? Muss ich das irgendwie konfigurieren? Eigentlich müsste doch die Adresse Translation bidirektional automatisch funktionieren oder nicht? Kenne Source NAT nicht wirklich gut. Das einzige wo ich benutzt habe ist destination NAT. In der USG lassen sich destination NAT konfigurieren.
Die ZyXEL Firewall hat zur Zeit keine freien Ports.
. Hoffe du hattest einen tollen Aufenthalt.Zitat von @nicuhu:
Hier zu sehen die WAN-IP-Adresse bezogen vom produktiven Netzwerk der USG mit WAN-IP: 192.168.1.2. Diese Adresse hat eine DHCP-Reveriserung auf der USG
Die Frage ist hier, ob die die Fritzbox zwischen dem WAN-Interface und dem LAN(192.168.2.0) ein NAT konfiguriert hat. WAN klingt so. Wenn JA, dann wird das so nicht gehen.Hier zu sehen die WAN-IP-Adresse bezogen vom produktiven Netzwerk der USG mit WAN-IP: 192.168.1.2. Diese Adresse hat eine DHCP-Reveriserung auf der USG
Gibt es auf dem Zyxel noch einen freien LAN-Anschluss der separat konfiguriert werden kann?
Grüße
lcer
Also auf der FritzBox (Net 192.168.2.0) habe ich nur einige Port-Freigaben also fuer Destination NAT gemacht (zur Zeit aber nicht in verwendung, da ich keine Test-Server mehr benutzte). Source NAT verwende ich dort nicht bzw. ist spezifisch keines konfiguriert worden. Auf der USG ist weder Source noch Destination NAT konfiguriert. Das einzige was läuft ist halt das normale Source NAT damit überhaupt das Netzwerk funktioniert...
Könnte also Source NAT das Problem sein? Muss ich das irgendwie konfigurieren? Eigentlich müsste doch die Adresse Translation bidirektional automatisch funktionieren oder nicht? Kenne Source NAT nicht wirklich gut. Das einzige wo ich benutzt habe ist destination NAT. In der USG lassen sich destination NAT konfigurieren.
Die ZyXEL Firewall hat zur Zeit keine freien Ports.
Hallo,
back to the roots:
https://de.wikipedia.org/wiki/Routingtabelle
https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
https://de.wikipedia.org/wiki/OSI-Modell
NAT (egal welches) ist in einem Netzwerk normalerweise nicht erforderlich wenn alle Geräte eindeutige IP-Adressen haben. Das ist bei einem normalen gerouteten Netzwerk der Fall. In deinem Fall braucht es für die Kommunikation zwischen deinen 192.168.* -Netzen kein NAT. Falls da doch eins konfiguriert ist, ist das falsch. Ebenso ist kein Portforwarding zwischen diesen Netzen erforderlich.
Das NAT wurde erfunden, um einen Weg zu finden zwischen öffentlichen Netzen und privaten Netzen zu kommunizieren und zwar in Fällen, bei denen im öffentlichen Netz nur eine IP für das gesamte private Netz zur Verfügung steht. Das ist beim klassischen Internetanschluss der Fall.
Portforwardings wurden dann erfunden, um bestimmte Dienste (etwa einen Webserver der im privaten netz steht und keine eigene öffentliche IP hat), öffentlich bereitzustellen.
Du solltest wie folgt vorgehen:
- obrige Artikel lesen
- mit Stift eine Zeichnung deiner Netzwerktopographie anfertigen.
Auf die Zeichnung gehören:
- das Internet
- die Router
- die PCs/Netzwerke
An jeden Router gehören:
- alle Interfaces die bereitgestellt werden,
Jedes Interface beschriftest Du mit seiner IP-Adresse.
Diese Interfaces verbindest Du entsprechend deiner Verkabelung mit Strichen.
- jeder Strich hat an jedem Ende nur und genau ein Interface oder das entsprechende Subnetz
- die IP-Adressen müssen aus dem gleichen Subnetz stammen
- 192.168.1.1 -kabel- 192.168.9.5 ist falsch!
- 192.168.1.1 -kabel- 192.168.1.99 ist möglich (Direktverbindung zwischen Geräten)
- 192.168.1.1 -kabel- 192.168.1.0 ist möglich (Anschluss an Switch / WLAN)
Wenn Du das fertig hast überprüfst Du, ob deine Router auch so konfiguriert sind.
NAT/Portforwarding darf nur an den Internet-Interfaces konfiguriert werden.
Grüße
lcer
back to the roots:
https://de.wikipedia.org/wiki/Routingtabelle
https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
https://de.wikipedia.org/wiki/OSI-Modell
NAT (egal welches) ist in einem Netzwerk normalerweise nicht erforderlich wenn alle Geräte eindeutige IP-Adressen haben. Das ist bei einem normalen gerouteten Netzwerk der Fall. In deinem Fall braucht es für die Kommunikation zwischen deinen 192.168.* -Netzen kein NAT. Falls da doch eins konfiguriert ist, ist das falsch. Ebenso ist kein Portforwarding zwischen diesen Netzen erforderlich.
Das NAT wurde erfunden, um einen Weg zu finden zwischen öffentlichen Netzen und privaten Netzen zu kommunizieren und zwar in Fällen, bei denen im öffentlichen Netz nur eine IP für das gesamte private Netz zur Verfügung steht. Das ist beim klassischen Internetanschluss der Fall.
Portforwardings wurden dann erfunden, um bestimmte Dienste (etwa einen Webserver der im privaten netz steht und keine eigene öffentliche IP hat), öffentlich bereitzustellen.
Du solltest wie folgt vorgehen:
- obrige Artikel lesen
- mit Stift eine Zeichnung deiner Netzwerktopographie anfertigen.
Auf die Zeichnung gehören:
- das Internet
- die Router
- die PCs/Netzwerke
An jeden Router gehören:
- alle Interfaces die bereitgestellt werden,
Jedes Interface beschriftest Du mit seiner IP-Adresse.
Diese Interfaces verbindest Du entsprechend deiner Verkabelung mit Strichen.
- jeder Strich hat an jedem Ende nur und genau ein Interface oder das entsprechende Subnetz
- die IP-Adressen müssen aus dem gleichen Subnetz stammen
- 192.168.1.1 -kabel- 192.168.9.5 ist falsch!
- 192.168.1.1 -kabel- 192.168.1.99 ist möglich (Direktverbindung zwischen Geräten)
- 192.168.1.1 -kabel- 192.168.1.0 ist möglich (Anschluss an Switch / WLAN)
Wenn Du das fertig hast überprüfst Du, ob deine Router auch so konfiguriert sind.
NAT/Portforwarding darf nur an den Internet-Interfaces konfiguriert werden.
Grüße
lcer
Hab mal ein Beispiel gebastelt:
Das geht aber schneller per Hand mit Stift. Auf dieser Basis kannst Du dann auch überlegen, welche Routen vorhanden sein müssen.
Grüße
lcer
Das geht aber schneller per Hand mit Stift. Auf dieser Basis kannst Du dann auch überlegen, welche Routen vorhanden sein müssen.
Grüße
lcer
Zitat von @lcer00:
Hallo,
back to the roots:
https://de.wikipedia.org/wiki/Routingtabelle
https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
https://de.wikipedia.org/wiki/OSI-Modell
Die Links kenne ich eigentlich bestens. Das habe ich mir während Wochen bereits durchgelesen.Hallo,
back to the roots:
https://de.wikipedia.org/wiki/Routingtabelle
https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
https://de.wikipedia.org/wiki/OSI-Modell
NAT (egal welches) ist in einem Netzwerk normalerweise nicht erforderlich wenn alle Geräte eindeutige IP-Adressen haben. Das ist bei einem normalen gerouteten Netzwerk der Fall. In deinem Fall braucht es für die Kommunikation zwischen deinen 192.168.* -Netzen kein NAT. Falls da doch eins konfiguriert ist, ist das falsch. Ebenso ist kein Portforwarding zwischen diesen Netzen erforderlich.
Also ohne Port-forwarding um auf meinen RDP-Server zugreifen zu können welche an der Fritz Box hängt ging das nicht wie soll es auch?Das NAT wurde erfunden, um einen Weg zu finden zwischen öffentlichen Netzen und privaten Netzen zu kommunizieren und zwar in Fällen, bei denen im öffentlichen Netz nur eine IP für das gesamte private Netz zur Verfügung steht. Das ist beim klassischen Internetanschluss der Fall.
Ich kenne NAT relativ gut. Aber habe es selten konfigurirert bzw. gut kennen tu ich Destination NAT also Port Forwarding.Portforwardings wurden dann erfunden, um bestimmte Dienste (etwa einen Webserver der im privaten netz steht und keine eigene öffentliche IP hat), öffentlich bereitzustellen.
Du solltest wie folgt vorgehen:
- obrige Artikel lesen
- mit Stift eine Zeichnung deiner Netzwerktopographie anfertigen.
Auf die Zeichnung gehören:
- das Internet
- die Router
- die PCs/Netzwerke
Auch das habe ich (eventuell nicht mehr ganz aktuell)Du solltest wie folgt vorgehen:
- obrige Artikel lesen
- mit Stift eine Zeichnung deiner Netzwerktopographie anfertigen.
Auf die Zeichnung gehören:
- das Internet
- die Router
- die PCs/Netzwerke
An jeden Router gehören:
- alle Interfaces die bereitgestellt werden,
Jedes Interface beschriftest Du mit seiner IP-Adresse.
Diese Interfaces verbindest Du entsprechend deiner Verkabelung mit Strichen.
- jeder Strich hat an jedem Ende nur und genau ein Interface oder das entsprechende Subnetz
- die IP-Adressen müssen aus dem gleichen Subnetz stammen
- 192.168.1.1 -kabel- 192.168.9.5 ist falsch!
- 192.168.1.1 -kabel- 192.168.1.99 ist möglich (Direktverbindung zwischen Geräten)
- 192.168.1.1 -kabel- 192.168.1.0 ist möglich (Anschluss an Switch / WLAN)
Wenn Du das fertig hast überprüfst Du, ob deine Router auch so konfiguriert sind.
NAT/Portforwarding darf nur an den Internet-Interfaces konfiguriert werden.
Grüße
lcer
- alle Interfaces die bereitgestellt werden,
Jedes Interface beschriftest Du mit seiner IP-Adresse.
Diese Interfaces verbindest Du entsprechend deiner Verkabelung mit Strichen.
- jeder Strich hat an jedem Ende nur und genau ein Interface oder das entsprechende Subnetz
- die IP-Adressen müssen aus dem gleichen Subnetz stammen
- 192.168.1.1 -kabel- 192.168.9.5 ist falsch!
- 192.168.1.1 -kabel- 192.168.1.99 ist möglich (Direktverbindung zwischen Geräten)
- 192.168.1.1 -kabel- 192.168.1.0 ist möglich (Anschluss an Switch / WLAN)
Wenn Du das fertig hast überprüfst Du, ob deine Router auch so konfiguriert sind.
NAT/Portforwarding darf nur an den Internet-Interfaces konfiguriert werden.
Grüße
lcer
Das habe ich alles schon mehrfach kontrolliert und ich finde ja den Fehler nicht darum habe ich mich an dieses Forum gewendet. Es funktioniert ja nur das Routing nicht von der Fritz Box zu der USG (ausgenommen USG ist pingpar von der FritzBox aus) welche sich im produktiven Netzwerk befindet. Du hast von mir ja bereits alle Infos bekommen wie das bei mir aussieht.
Hallo,
Da die Fritzbox offenbar die IP 192.168.1.2 hat müsste die Route folgendes beinhalten:
Ziel: 192.168.2.0/24 -> Gateway: 192.168.1.2
das wars hier!
Konfiguration meines Test-Netzwerks hier zu sehen die LAN-Konfig.
Hier zu sehen die WAN-IP-Adresse bezogen vom produktiven Netzwerk der USG mit WAN-IP: 192.168.1.2. Diese Adresse hat eine DHCP-Reveriserung auf der USG
Die Fritzbox sollte (ist aber nicht Pflicht!) eine feste IP im 192.168.1.0 Netzwerk haben.
Was mich an der Anzeige stört, ist die Aussage "Internet, IPv4". Auf diesem Interface darf auf keinen Fall NAT aktiviert sein! Dann wäre das Netzwerk nicht routbar. Kannst Du das prüfen?
Grüße
lcer
Zitat von @nicuhu:
Interfaces von der ZyWALL USG 20W. LAN2 wird nur als Outgoing Zone benutzt damit Guest-WLANS Client nicht im gleichen Subnetz sind. Die LAN 3 + 4 Subnetze sind gar nicht in Verwendung. Ueber 192.168.1.0 Netz läuft der gesamte Traffic auf dem produktiven Netzwerk.
Das dürfte stimmen. Am ZyWALL liegt lokal nur das 192.168.0.0/24 Netz an. Auf diesem Ding müsste dann eine Route auf die Fritzbox eingestellt sein.Da die Fritzbox offenbar die IP 192.168.1.2 hat müsste die Route folgendes beinhalten:
Ziel: 192.168.2.0/24 -> Gateway: 192.168.1.2
das wars hier!
Was mich an der Anzeige stört, ist die Aussage "Internet, IPv4". Auf diesem Interface darf auf keinen Fall NAT aktiviert sein! Dann wäre das Netzwerk nicht routbar. Kannst Du das prüfen?
Grüße
lcer
Zitat von @lcer00:
Hallo,
Hallo,
Zitat von @nicuhu:
Interfaces von der ZyWALL USG 20W. LAN2 wird nur als Outgoing Zone benutzt damit Guest-WLANS Client nicht im gleichen Subnetz sind. Die LAN 3 + 4 Subnetze sind gar nicht in Verwendung. Ueber 192.168.1.0 Netz läuft der gesamte Traffic auf dem produktiven Netzwerk.
Das dürfte stimmen. Am ZyWALL liegt lokal nur das 192.168.0.0/24 Netz an. Auf diesem Ding müsste dann eine Route auf die Fritzbox eingestellt sein.Okay, das hatte ich alles bereits genau so konfiguriert siehe zur Kontrolle:
Da die Fritzbox offenbar die IP 192.168.1.2 hat müsste die Route folgendes beinhalten:
Ziel: 192.168.2.0/24 -> Gateway: 192.168.1.2
das wars hier!
Was mich an der Anzeige stört, ist die Aussage "Internet, IPv4". Auf diesem Interface darf auf keinen Fall NAT aktiviert sein! Dann wäre das Netzwerk nicht routbar. Kannst Du das prüfen?
- Auch die Fest-IP-Adresse ist konfiguriert also die 192.168.1.2 wird per DHCP-Server von der USG von ZyXel bezogen. Ich weiss halt nicht ob es schlauer wäre das WAN-Interface der Fritz.Box auf statisch einzustellen oder nicht.
- Punkt 2 bereitet mir etwas mehr Probleme und zwar habe ich keine wirkliche Möglichkeit nur NAT auf WAN-Interface zu deaktivieren. Was ich aber gefunden habe, würde die Fritz Box in einen "IP-Client-Modus" setzten dadurch wäre die Frirewall, NAT und PAT deaktiviert. Ich stellte danach jedoch fest, dass mein Laptop die gleichen Einstellungen hatte als wie wenn ich mich per WLAN an der USG angemeldet hatte sprich: gleicher Gateway, DNS und gleicher IP-Adresse. Weisst du ob es möglich ist nur NAT zu deaktivieren?
Als ich auf der Fritz.Box auf statische WAN setzte klappte keine Internet verbindung mehr also muss dies wohl auf DHCP von der USG beziehen bleiben:
Was mich noch interessieren würde ist, weshalb NAT überhaupt deakiviert werden muss ohne NAT geht doch nichts ausser es ist IPv6 dort gibt NAT ja nicht mehr bzw. wird nicht mehr gebraucht, da genügend Adressen für Jedermann verfürbar sind.
Hallo,
Na weil Routing durch NAT eben nicht so einfach funktioniert. Ein unaufgefordert eingehendes Paket am NAT-WAN-Port wird vom NAT-Router verworfen oder im Falle von Portweiterleitungen an einen- Host weitergeleitet (wobei das auch der Router selbst sein kann, quasi localhost). Er wird das Paket nicht allgemein an das Ziel-Netzwerksegment weiterleiten - was Routing ohne NAT tun würde.
Lösungsmöglichkeiten:
- Fritzbox NAT dektivieren - wie auch immer
- Fritzbox durch richtigen Router ersetzen
- Das ganze umkehren: Fritzbox mit WAN=Internet. ZyWall ohne WAN=Internet. Dann muss auf der Fritzbox nur die Route zu den anderen Netzwerken am Zywall gesetzt werden. und auf dem Zywall die Standartroute auf die Fritzbox.
Grüße
lcer
Zitat von @nicuhu:
- Punkt 2 bereitet mir etwas mehr Probleme und zwar habe ich keine wirkliche Möglichkeit nur NAT auf WAN-Interface zu deaktivieren. Was ich aber gefunden habe, würde die Fritz Box in einen "IP-Client-Modus" setzten dadurch wäre die Frirewall, NAT und PAT deaktiviert. Ich stellte danach jedoch fest, dass mein Laptop die gleichen Einstellungen hatte als wie wenn ich mich per WLAN an der USG angemeldet hatte sprich: gleicher Gateway, DNS und gleicher IP-Adresse. Weisst du ob es möglich ist nur NAT zu deaktivieren?
Weiss ich nicht. Hab auch keine Fritzbox da um es auszuprobieren.- Punkt 2 bereitet mir etwas mehr Probleme und zwar habe ich keine wirkliche Möglichkeit nur NAT auf WAN-Interface zu deaktivieren. Was ich aber gefunden habe, würde die Fritz Box in einen "IP-Client-Modus" setzten dadurch wäre die Frirewall, NAT und PAT deaktiviert. Ich stellte danach jedoch fest, dass mein Laptop die gleichen Einstellungen hatte als wie wenn ich mich per WLAN an der USG angemeldet hatte sprich: gleicher Gateway, DNS und gleicher IP-Adresse. Weisst du ob es möglich ist nur NAT zu deaktivieren?
Was mich noch interessieren würde ist, weshalb NAT überhaupt deakiviert werden muss ohne NAT geht doch nichts ausser es ist IPv6 dort gibt NAT ja nicht mehr bzw. wird nicht mehr gebraucht, da genügend Adressen für Jedermann verfürbar sind.
Na weil Routing durch NAT eben nicht so einfach funktioniert. Ein unaufgefordert eingehendes Paket am NAT-WAN-Port wird vom NAT-Router verworfen oder im Falle von Portweiterleitungen an einen- Host weitergeleitet (wobei das auch der Router selbst sein kann, quasi localhost). Er wird das Paket nicht allgemein an das Ziel-Netzwerksegment weiterleiten - was Routing ohne NAT tun würde.
Lösungsmöglichkeiten:
- Fritzbox NAT dektivieren - wie auch immer
- Fritzbox durch richtigen Router ersetzen
- Das ganze umkehren: Fritzbox mit WAN=Internet. ZyWall ohne WAN=Internet. Dann muss auf der Fritzbox nur die Route zu den anderen Netzwerken am Zywall gesetzt werden. und auf dem Zywall die Standartroute auf die Fritzbox.
Grüße
lcer
Hallo,
habe was ähnliches gefunden. https://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehr ...
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Grüße
lcer
habe was ähnliches gefunden. https://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehr ...
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Grüße
lcer
Zitat von @lcer00:
Hallo,
Schade, Fritz Box bestätigt mir, dass es zur Zeit keine Möglichkeit gibt... Dann scheitert wohl das Vorhaben.Hallo,
Zitat von @nicuhu:
- Punkt 2 bereitet mir etwas mehr Probleme und zwar habe ich keine wirkliche Möglichkeit nur NAT auf WAN-Interface zu deaktivieren. Was ich aber gefunden habe, würde die Fritz Box in einen "IP-Client-Modus" setzten dadurch wäre die Frirewall, NAT und PAT deaktiviert. Ich stellte danach jedoch fest, dass mein Laptop die gleichen Einstellungen hatte als wie wenn ich mich per WLAN an der USG angemeldet hatte sprich: gleicher Gateway, DNS und gleicher IP-Adresse. Weisst du ob es möglich ist nur NAT zu deaktivieren?
Weiss ich nicht. Hab auch keine Fritzbox da um es auszuprobieren.- Punkt 2 bereitet mir etwas mehr Probleme und zwar habe ich keine wirkliche Möglichkeit nur NAT auf WAN-Interface zu deaktivieren. Was ich aber gefunden habe, würde die Fritz Box in einen "IP-Client-Modus" setzten dadurch wäre die Frirewall, NAT und PAT deaktiviert. Ich stellte danach jedoch fest, dass mein Laptop die gleichen Einstellungen hatte als wie wenn ich mich per WLAN an der USG angemeldet hatte sprich: gleicher Gateway, DNS und gleicher IP-Adresse. Weisst du ob es möglich ist nur NAT zu deaktivieren?
Was mich noch interessieren würde ist, weshalb NAT überhaupt deakiviert werden muss ohne NAT geht doch nichts ausser es ist IPv6 dort gibt NAT ja nicht mehr bzw. wird nicht mehr gebraucht, da genügend Adressen für Jedermann verfürbar sind.
Na weil Routing durch NAT eben nicht so einfach funktioniert. Ein unaufgefordert eingehendes Paket am NAT-WAN-Port wird vom NAT-Router verworfen oder im Falle von Portweiterleitungen an einen- Host weitergeleitet (wobei das auch der Router selbst sein kann, quasi localhost). Er wird das Paket nicht allgemein an das Ziel-Netzwerksegment weiterleiten - was Routing ohne NAT tun würde.
Lösungsmöglichkeiten:
- Fritzbox NAT dektivieren - wie auch immer
- Fritzbox durch richtigen Router ersetzen
- Das ganze umkehren: Fritzbox mit WAN=Internet. ZyWall ohne WAN=Internet. Dann muss auf der Fritzbox nur die Route zu den anderen Netzwerken am Zywall gesetzt werden. und auf dem Zywall die Standartroute auf die Fritzbox.
Grüße
lcer
Achso sowas habe ich mir gedacht nur bin ich selber nicht darauf gekommen. Wann sowas benutzt werden muss also ohne NAT und mit NAT. Wann muss was eingesetzt werden? Welches die Einsatz Szenarien sind... Weisst du unter welchem Begriff ich da mehr über dieses Thema lese kann? Ich kenne NAT und Routing etwas... aber wann es was braucht, dass weiss ich nicht.
Also wird erstmals ein Datenpaket durch NAT / PAT aussortiert danach passiert es durch das Routing? Was muss ich eigentlich beim Erstellen von NAT beachten (sollte ich einen Webserver in meinem LAN betreiben, mein Router ist eine Firewall USG 20W )? Ich hatte mal statt NAT eine entsprechende Regel in der Firewall erstellt und trotzdem klappte das Forwarding durch NAT / PAT. Hingegen als ich in der Firewall keine entsprechende Regal dafür erstellte, sondern nur im NAT eine Regel erstellte, kam ich per Browser nicht auf meinen Server.
Zitat von @lcer00:
Hallo,
habe was ähnliches gefunden. https://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehr ...
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Grüße
lcer
Hallo,
habe was ähnliches gefunden. https://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehr ...
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Grüße
lcer
Ich habe mir den Artikel durchgelesen und meine nicht wirklich eine Lösung darin gesehen zu haben. Was hat mein Anliegen mit open VPN zu tun?
Hallo,
Lies mal die Infos zu iptables
Man kann die Firewall so einstellen, dass Pakete beim eintreffen geprüft werden, oder nach der Routingentscheidung. Beispiel:
- alle eingehenden Pakete von 192.168.99.0/24 verwerfen
- alle nach 192.168.20.0./24 gerouteten Pakete verwerden
- alle Pakete verwerfen, die von 192.168.99.0/24 kommen und nach 192.168.20.0./24 geroutet werden sollen
Statt IPs gehen natürlich auch Schnittstellen.
Ich habe mir den Artikel durchgelesen und meine nicht wirklich eine Lösung darin gesehen zu haben. Was hat mein Anliegen mit open VPN zu tun?
nur am Rande etwas, aber in dem Artikel steht, wie man per telnet auf die Shell-Ebene der Fritzbox kommt und dort Netzwerkeinstellungen bearbeiten kann. Das setzt etwas Linux-Grundwissen voraus. Falls Du die Möglichkeit hast eine virtuellle Linux-Kiste aufzusetzen (z.B. auf Windows Hyper-V) mach das doch mal: Installier ein z.B: Debian Linux ohne grafische Oberfläche und Binde die VM mit einer festen IP in dein LAN ein. Dann installiere und konfiguriere eine Firewall. Dann verstehst Du auch einige der Netzwerkgrundlagen besser und kannst vielleicht an der Fritzbox weiterbasteln.
Grüße
lcer
Schade, Fritz Box bestätigt mir, dass es zur Zeit keine Möglichkeit gibt... Dann scheitert wohl das Vorhaben.
naja - außer siehe unten...Achso sowas habe ich mir gedacht nur bin ich selber nicht darauf gekommen. Wann sowas benutzt werden muss also ohne NAT und mit NAT. Wann muss was eingesetzt werden? Welches die Einsatz Szenarien sind... Weisst du unter welchem Begriff ich da mehr über dieses Thema lese kann? Ich kenne NAT und Routing etwas... aber wann es was braucht, dass weiss ich nicht.
Ist eigentlich simpel. Zuerst schuf Gott das Internet nur mit Routing. Das lief ein Weile super. Dann wollten immer mehr Geräte ins Internet und damit mit beim Internetprovider nur eine IP pro Firma/Haushalt zuteilen muss und nicht wie vorher eine pro Gerät, hat Gott dann das NAT geschaffen. Damit können sich (fast) beliebig viele Geräte einen Internetanschluss teilen. Und nebenbei hat das noch einen super Sicherheitsvorteil: Nur Geräte aus dem LAN können komplett und frei mit dem Internet kommunizieren. Geräte von außerhalb kommen nur hinein, wenn vorab Regel definiert worden, die sagen zu welchem LAN-Gerät das eingehende Paket geschickt werden soll. Das verhindert allerdings das normale Routing. Bei Routing ist nämlich im Paket die Ziel-IP enthalten, und ist bei von aussen kommenden Paketen gleich der IP des NAT-Gerätes (Pakete aus dem Internet, die die Fritzbox geschickt werden). Die Zuordnung z.B. an einen Webserver im LAN erfolgt über einen vorabdefinierte NAT-Regel. Wenn an diesem Internetanschluss nun Pakete mir einer ZielIP aus dem LAN ankommen, weiss das NAT damit nix anzufangen und verwirft sie.Also wird erstmals ein Datenpaket durch NAT / PAT aussortiert danach passiert es durch das Routing?
Kommt drauf an.Lies mal die Infos zu iptables
Man kann die Firewall so einstellen, dass Pakete beim eintreffen geprüft werden, oder nach der Routingentscheidung. Beispiel:
- alle eingehenden Pakete von 192.168.99.0/24 verwerfen
- alle nach 192.168.20.0./24 gerouteten Pakete verwerden
- alle Pakete verwerfen, die von 192.168.99.0/24 kommen und nach 192.168.20.0./24 geroutet werden sollen
Statt IPs gehen natürlich auch Schnittstellen.
habe was ähnliches gefunden. https://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehr ...
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Ich habe mir den Artikel durchgelesen und meine nicht wirklich eine Lösung darin gesehen zu haben. Was hat mein Anliegen mit open VPN zu tun?
Grüße
lcer
Zitat von @lcer00:
Achso sowas habe ich mir gedacht nur bin ich selber nicht darauf gekommen. Wann sowas benutzt werden muss also ohne NAT und mit NAT. Wann muss was eingesetzt werden? Welches die Einsatz Szenarien sind... Weisst du unter welchem Begriff ich da mehr über dieses Thema lese kann? Ich kenne NAT und Routing etwas... aber wann es was braucht, dass weiss ich nicht.
Ist eigentlich simpel. Zuerst schuf Gott das Internet nur mit Routing. Das lief ein Weile super. Dann wollten immer mehr Geräte ins Internet und damit mit beim Internetprovider nur eine IP pro Firma/Haushalt zuteilen muss und nicht wie vorher eine pro Gerät, hat Gott dann das NAT geschaffen. Damit können sich (fast) beliebig viele Geräte einen Internetanschluss teilen. Und nebenbei hat das noch einen super Sicherheitsvorteil: Nur Geräte aus dem LAN können komplett und frei mit dem Internet kommunizieren. Geräte von außerhalb kommen nur hinein, wenn vorab Regel definiert worden, die sagen zu welchem LAN-Gerät das eingehende Paket geschickt werden soll.Bisher nichts neues alles soweit klar und verständlich.
Das verhindert allerdings das normale Routing. Bei Routing ist nämlich im Paket die Ziel-IP enthalten, und ist bei von aussen kommenden Paketen gleich der IP des NAT-Gerätes (Pakete aus dem Internet, die die Fritzbox geschickt werden). Die Zuordnung z.B. an einen Webserver im LAN erfolgt über einen vorabdefinierte NAT-Regel. Wenn an diesem Internetanschluss nun Pakete mir einer ZielIP aus dem LAN ankommen, weiss das NAT damit nix anzufangen und verwirft sie.
Gut auch das Verstehe ich, ist ja das Prinzip von Destination NAT. Durch NAT wird ja aus WAN-IP die LAN IP mit Port abgebildet...
Also reicht immer pro Netzwerk ein Destination NAT ist das die Erklärung. Obwohl ich die Definition von NAT kenne wusste ich trotzdem nicht das auf der Fritz Box kein NAT aktiviert sein darf. Oder habe ich NAT einfach nicht verstanden?
Also wird erstmals ein Datenpaket durch NAT / PAT aussortiert danach passiert es durch das Routing?
Kommt drauf an.Lies mal die Infos zu iptables
Man kann die Firewall so einstellen, dass Pakete beim eintreffen geprüft werden, oder nach der Routingentscheidung. Beispiel:
- alle eingehenden Pakete von 192.168.99.0/24 verwerfen
- alle nach 192.168.20.0./24 gerouteten Pakete verwerden
- alle Pakete verwerfen, die von 192.168.99.0/24 kommen und nach 192.168.20.0./24 geroutet werden sollen
Statt IPs gehen natürlich auch Schnittstellen.
Also das hängt mit der Implementierung der Firewall zusammen welche Funktionen diese bietet so wie ich dich Verstehe.
Wie ist den das mit meinem Beispiel als ich kein NAT konfiguriert hatte und nur eine Firewall-Regel und ich trotzdem per WAN-IP auf mein WebGUI der Firewall gekommen bin? Wie lässt sich sowas erklären. Hat mich etwas erstaut...
habe was ähnliches gefunden. https://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehr ...
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Die Fritzbox ist im Grunde eine linuxkiste, da kann man dran rumbasteln - wenn man das will.
Ich habe mir den Artikel durchgelesen und meine nicht wirklich eine Lösung darin gesehen zu haben. Was hat mein Anliegen mit open VPN zu tun?
Grüße
lcer
Okay, nun ich hatte mal ein Deban Squezze installiert auf meinem PC auch nur mit CLI (ohne Grafik) aber ganz so einfach ohne GUI ist es auch nicht. Iptablets kenne ich nicht scheint wohl sowas ähnliches zu sein wie unter Cisco, da kann man so ACLs erstellen für die Firewall... Danke aber für deine Tipps.
Kannst du mir da bitte noch die restlichen Fragen beantworten.
Danke dir.
Danke dir.
Na dann schreib nochmal welche Fragen das genau sind.
Ist es das:?
Grüße
lcer
Ist es das:?
Wie ist den das mit meinem Beispiel als ich kein NAT konfiguriert hatte und nur eine Firewall-Regel und ich trotzdem per WAN-IP auf mein WebGUI der Firewall gekommen bin? Wie lässt sich sowas erklären. Hat mich etwas erstaut...
Wie war denn genau die Konfiguration zu dem Zeitpunkt? NAT und Firewall? Von wo aus wurde sie aufgerufen?Grüße
lcer
Genau, genau und der 2. Abschnitt mit Zitat
Wie ist den das mit meinem Beispiel als ich kein NAT konfiguriert hatte und nur eine Firewall-Regel und ich trotzdem per WAN-IP auf mein WebGUI der Firewall gekommen bin? Wie lässt sich sowas erklären. Hat mich etwas erstaut...
Wie war denn genau die Konfiguration zu dem Zeitpunkt? NAT und Firewall? Von wo aus wurde sie aufgerufen?Grüße
lcer
Ganz Simpel nur einen Router habe ich im Betrieb ohne doppel NAT oder so:
Ich habe mit meinem Laptop der via Mobilfunk sich ins Internet verbindet auf meine Firewall (WebGUI) einloggen wollen. Die Firewall ist dabei ohne doppel NAT oder so erreichbar.
Ich habe dazu nur eine entsprechende Firewall Regel erstellt ohne NAT zu konfigurieren. Aber ich habe glaube soebene selber verstanden, weshalb es ohne NAT geht und ich auf die WEb OBerfläche kommt. Ich brauche NAT nur, wenn ich vom Internet ins LAN will, da die Firewall nicht im LAN ist brauche ich nur eine Firewall Regel zu erstellen und keine NAT-Regel?
Stimmt das also?
Zitat von @lcer00:
Das verhindert allerdings das normale Routing. Bei Routing ist nämlich im Paket die Ziel-IP enthalten, und ist bei von aussen kommenden Paketen gleich der IP des NAT-Gerätes (Pakete aus dem Internet, die die Fritzbox geschickt werden). Die Zuordnung z.B. an einen Webserver im LAN erfolgt über einen vorabdefinierte NAT-Regel. Wenn an diesem Internetanschluss nun Pakete mir >einer ZielIP aus dem LAN ankommen, weiss das NAT damit nix anzufangen und verwirft sie.
Gut auch das Verstehe ich, ist ja das Prinzip von Destination NAT. Durch NAT wird ja aus WAN-IP die LAN IP mit Port abgebildet...
Also reicht immer pro Netzwerk ein Destination NAT ist das die Erklärung. Obwohl ich die Definition von NAT kenne wusste ich trotzdem nicht das auf der Fritz Box kein NAT aktiviert sein darf. Oder habe ich NAT einfach nicht verstanden?
Hallo,
Nein, falsch. Neuer versuch der Erklärung. Begrifflichkeiten siehe https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
Die Anbindung ans Internet per klassischem "Einwahl-Provider" wie sie z.B: per Fritzbox am Telekom-Anschluss erfolgt hat folgende Merkmale:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht.
*kein Destination NAT
Möchte man nun Zugriffe z.B. auf den Wohnzimmer-PC vom Internet aus erlauben, um z.B. auf dem PC einen Webserver zu betreiben (**WAS MAN NICHT TUN SOLLTE") sieht die Konfiguration so aus:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht
Grüße
lcer
Gut auch das Verstehe ich, ist ja das Prinzip von Destination NAT. Durch NAT wird ja aus WAN-IP die LAN IP mit Port abgebildet...
Also reicht immer pro Netzwerk ein Destination NAT ist das die Erklärung. Obwohl ich die Definition von NAT kenne wusste ich trotzdem nicht das auf der Fritz Box kein NAT aktiviert sein darf. Oder habe ich NAT einfach nicht verstanden?
Also reicht immer pro Netzwerk ein Destination NAT ist das die Erklärung. Obwohl ich die Definition von NAT kenne wusste ich trotzdem nicht das auf der Fritz Box kein NAT aktiviert sein darf. Oder habe ich NAT einfach nicht verstanden?
Nein, falsch. Neuer versuch der Erklärung. Begrifflichkeiten siehe https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
Die Anbindung ans Internet per klassischem "Einwahl-Provider" wie sie z.B: per Fritzbox am Telekom-Anschluss erfolgt hat folgende Merkmale:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht.
*kein Destination NAT
Möchte man nun Zugriffe z.B. auf den Wohnzimmer-PC vom Internet aus erlauben, um z.B. auf dem PC einen Webserver zu betreiben (**WAS MAN NICHT TUN SOLLTE") sieht die Konfiguration so aus:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht
- UND
Grüße
lcer
Zitat von @lcer00:
Hallo,
Nein, falsch. Neuer versuch der Erklärung. Begrifflichkeiten siehe https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
Die Anbindung ans Internet per klassischem "Einwahl-Provider" wie sie z.B: per Fritzbox am Telekom-Anschluss erfolgt hat folgende Merkmale:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht.
*kein Destination NAT
Möchte man nun Zugriffe z.B. auf den Wohnzimmer-PC vom Internet aus erlauben, um z.B. auf dem PC einen Webserver zu betreiben (**WAS MAN NICHT TUN SOLLTE") sieht die Konfiguration so aus:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht
Grüße
lcer
Hallo,
Gut auch das Verstehe ich, ist ja das Prinzip von Destination NAT. Durch NAT wird ja aus WAN-IP die LAN IP mit Port abgebildet...
Also reicht immer pro Netzwerk ein Destination NAT ist das die Erklärung. Obwohl ich die Definition von NAT kenne wusste ich trotzdem nicht das auf der Fritz Box kein NAT aktiviert sein darf. Oder habe ich NAT einfach nicht verstanden?
Also reicht immer pro Netzwerk ein Destination NAT ist das die Erklärung. Obwohl ich die Definition von NAT kenne wusste ich trotzdem nicht das auf der Fritz Box kein NAT aktiviert sein darf. Oder habe ich NAT einfach nicht verstanden?
Nein, falsch. Neuer versuch der Erklärung. Begrifflichkeiten siehe https://de.wikipedia.org/wiki/Netzwerkadressübersetzung
Die Anbindung ans Internet per klassischem "Einwahl-Provider" wie sie z.B: per Fritzbox am Telekom-Anschluss erfolgt hat folgende Merkmale:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht.
*kein Destination NAT
Möchte man nun Zugriffe z.B. auf den Wohnzimmer-PC vom Internet aus erlauben, um z.B. auf dem PC einen Webserver zu betreiben (**WAS MAN NICHT TUN SOLLTE") sieht die Konfiguration so aus:
*Source-NAT, wobei hier ein "Restricted-Cone" NAT gemeint ist, die "Clients" sind die PCs im Wohnzimmer, der Server alles was im Internet steht
- UND
Grüße
lcer
Ja das ist mir klar vom LAN ins WAN ist Source NAT und Destination NAT um vom Internet ins LAN zu kommen. Das weiss ich. Also in der Regel reicht ein NAT pro Netzwerk? Das ist das Beispiel mit einem einzigen Router mit NAT was ist aber wenn ich wie in meinem Beispiel 2 NAT Router habe. Da verstehe ich nicht weshalb ein NAT deaktiviert werden muss.
Zur Frage welche du nicht Zitiert hast:
Meine Frage lautet: Weshalb komme ich ohne NAT-Regel aus dem Internet auf meine Firewall. Ich habe nur eine Firewall-Regel erstellt mehr nicht. Ist wohl deswegen weil meine Firewall nicht im LAN ist sondern im WAN und deshalb kein NAT braucht?
