Webserver hinter 2tem Router - keine Verbindung über dynDNS -
Ich möchte einen Webserver hinter einem zweiten Router betreiben, bekomme aber keine Verbindung in die DMZ.
Internet funktioniert, aber der Webserver ist nicht zu erreichen.
Skizze meines Vorhabens liegt bei...
Hallo,
ich hoffe, dass mir hier jemand helfen kann...
Die Lage ist wie folgt:
Ich betreibe ein Netzwerk mit zwei Routern. Der Erste ist ein Speedport W700V und der Zweite ein Longshine LCS-883R.
Ich nutze einen Ausgang des W700V für den TV, einen weiteren für PC1, und möchte an Ausgang 3 oder 4 den Longshine Router anschließen.
An dem Longshine sind drei weitere PC´s angeschlossen. Einer davon ist ein Apache Webserver und FTP Server auf dem zusätzlich ein Bittorrent läuft.
Soweit sogut:
Ich habe die IP des Longshine auf 192.168.2.22 gesetzt und diese auch auf dem W700V freigegeben (Firewall offen für diese IP)
Der Webserver hat die Adresse 192.168.1.146 und diese IP ist auf dem Longshine als DMZ eingerichtet.
Apache meldet "alles klar". NOIP meldet " alles klar" Internet läuft.
aber ich kann aus dem Internet nicht auf den Webserver zugreifen und kann auch keine FTP Verbindung zu diesem PC herstellen.
BitComet meldet: blocked: IP (button ist orange)
Bevor ich den W700V bekommen habe, lief alles wunderbar. DMZ, FTP, Apache, BitComet alles bestens.!!!
Unter Linux oder auch Windows alles war super.
Jetzt habe ich eine 25.000 VDSL Leitung und muss leider den Speedport W700V betreiben, sonst kann ich kein TV glotzen.
Ich habe mal eine Skizze (*.PDF) zur Visualisierung gemacht und hoffe, dass ich euch damit das Problem etwas besser verständlich machen kann.
http://www.plsystem.de/skizze-schaltung.pdf
Ich würde mich sehr freuen, wenn mir jemand Hilfestellung bei diesem Problem geben könnte.
Mit freundlichen Grüßen
Patric
Internet funktioniert, aber der Webserver ist nicht zu erreichen.
Skizze meines Vorhabens liegt bei...
Hallo,
ich hoffe, dass mir hier jemand helfen kann...
Die Lage ist wie folgt:
Ich betreibe ein Netzwerk mit zwei Routern. Der Erste ist ein Speedport W700V und der Zweite ein Longshine LCS-883R.
Ich nutze einen Ausgang des W700V für den TV, einen weiteren für PC1, und möchte an Ausgang 3 oder 4 den Longshine Router anschließen.
An dem Longshine sind drei weitere PC´s angeschlossen. Einer davon ist ein Apache Webserver und FTP Server auf dem zusätzlich ein Bittorrent läuft.
Soweit sogut:
Ich habe die IP des Longshine auf 192.168.2.22 gesetzt und diese auch auf dem W700V freigegeben (Firewall offen für diese IP)
Der Webserver hat die Adresse 192.168.1.146 und diese IP ist auf dem Longshine als DMZ eingerichtet.
Apache meldet "alles klar". NOIP meldet " alles klar" Internet läuft.
aber ich kann aus dem Internet nicht auf den Webserver zugreifen und kann auch keine FTP Verbindung zu diesem PC herstellen.
BitComet meldet: blocked: IP (button ist orange)
Bevor ich den W700V bekommen habe, lief alles wunderbar. DMZ, FTP, Apache, BitComet alles bestens.!!!
Unter Linux oder auch Windows alles war super.
Jetzt habe ich eine 25.000 VDSL Leitung und muss leider den Speedport W700V betreiben, sonst kann ich kein TV glotzen.
Ich habe mal eine Skizze (*.PDF) zur Visualisierung gemacht und hoffe, dass ich euch damit das Problem etwas besser verständlich machen kann.
http://www.plsystem.de/skizze-schaltung.pdf
Ich würde mich sehr freuen, wenn mir jemand Hilfestellung bei diesem Problem geben könnte.
Mit freundlichen Grüßen
Patric
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 70661
Url: https://administrator.de/contentid/70661
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
15 Kommentare
Neuester Kommentar
Das kann niemals so funktionieren die IP Adressen in ein Netz zu ändern. Erstmal sind 192.168er Adressen feste Class C IP Adressen die per Definition eine 24 Bit Maske voraussetzen, da kann man nicht einfach 16 Bit benutzen. (Wenn dann auch nur mit einem Class B Netzwerk wie z.B. 172.16.0.0)
Deine Adressierung war schon ok wie sie in der Skizze steht. Router sollen ja routen zwischen unterschiedlichen IP Netzen und das können sie nicht mehr wenn diese Netze durch Adresstrickserei nicht mehr da sind. Klar also das das von vorn herein eine Sackgasse gewesen ist !
Dein Problem ist ein ganz anderes:
Der Longshine macht auf dem WAN Port mit dem er im Speedport Netz hängt NAT (Network Adress Translation) Er versteckt dir also dein gesamtes Longshine Netz hinter einer IP Adresse 192.168.2.22, da er durch NAT diese lokalen 192.168.1.x Adressen des Longshine Netzes ersetzt mit der seines WAN Interfaces !
Das ist genau das gleiche Prinzip wie es alle Router zum Internet hin machen wie auch dein Speedport zum VDSL Netz.
Die NAT Firewall verhindert nun aber wie sie das auch bei DSL Verbindungen macht, eingehende Verbindungen am WAN Interface in das dahinterliegen (Longshine) LAN zu forwarden. Genau das ist die NAT Firewall Funktion sämtlicher DSL Router die ja auch gewollt ist, dir aber nun das Verbindungsproblem ins Longshine Netz bereitet !
Folgende Punkte sollten das Szenario zum Spielen Bringen:
Damit geht dann vorerst erstmal nr HTTP und HTTPS deine anderen Ports mit dem du den Server erreichen willst musst du nun analog so zusätzlich in die PFW Listen auf beiden Routern übernehmen !
Deine Adressierung war schon ok wie sie in der Skizze steht. Router sollen ja routen zwischen unterschiedlichen IP Netzen und das können sie nicht mehr wenn diese Netze durch Adresstrickserei nicht mehr da sind. Klar also das das von vorn herein eine Sackgasse gewesen ist !
Dein Problem ist ein ganz anderes:
Der Longshine macht auf dem WAN Port mit dem er im Speedport Netz hängt NAT (Network Adress Translation) Er versteckt dir also dein gesamtes Longshine Netz hinter einer IP Adresse 192.168.2.22, da er durch NAT diese lokalen 192.168.1.x Adressen des Longshine Netzes ersetzt mit der seines WAN Interfaces !
Das ist genau das gleiche Prinzip wie es alle Router zum Internet hin machen wie auch dein Speedport zum VDSL Netz.
Die NAT Firewall verhindert nun aber wie sie das auch bei DSL Verbindungen macht, eingehende Verbindungen am WAN Interface in das dahinterliegen (Longshine) LAN zu forwarden. Genau das ist die NAT Firewall Funktion sämtlicher DSL Router die ja auch gewollt ist, dir aber nun das Verbindungsproblem ins Longshine Netz bereitet !
Folgende Punkte sollten das Szenario zum Spielen Bringen:
- DynDNS Client muss zwingend auf dem Speedport aktiv sein und dort laufen. Der DynDNS Client hat auf dem Server nichts zu suchen, denn die relevante IP Adresse um in dein Netz zu kommen hält der Speedport auf deinem VDSL Interface (öffentliche Provider IP) und die muss folglich an DynDNS geschickt werden. Der Server hinter 2 mal NAT Firewalls ist so oder so für den DynDNS Prozess unerreichbar und nicht sichtbar. Dort ist der Client also Unsinn ! Deine 192.168er Netze sind RFC 1918 Netze die im Internet nicht geroutet werden (private IP) deshalb machen die Router ja auch NAT um sie umzusetzen.
- Dieser wiederum benötigt ein Portforwarding dieser Ports auf den Server 192.168.1.146
Damit geht dann vorerst erstmal nr HTTP und HTTPS deine anderen Ports mit dem du den Server erreichen willst musst du nun analog so zusätzlich in die PFW Listen auf beiden Routern übernehmen !
...kann ich denn auf dem longshine NAT deaktivieren? Was fragst du DAS hier ??? Dein Handbuch bzw. das Setup des Longshine sollte das genau beschreiben oder sollten wir hier für dich besser das Handbuch lesen ???
Das NAT sollte in jedem Falle besser deaktiviert werden wenn du nicht mit Port Forwarding Tabellen arbeiten willst. Das geht auch, ist aber umständlicher und unflexibler !!
Port TCP 443 ist HTTPS ! (Secure HTTP) Wenn du also nur Port TCP 80 in der PFW Liste freigibst funktioniert kein HTTPS remote auf deinen Webserver. Wenn du es nicht brauchst, dann reicht natürlich auch nur einzig Port TCP 80 für den Webzugang !
Nochmal zum Thema DynDNS:
Sicher wird das funktionieren mit dem Client auf dem Server denn für den dyn DNS Dienst zählt letztlich das Packet was von deinem Speedport Router kommt, also was letztlich die öffentliche IP hat auf dem DSL Port das ist ja die relevante IP Adresse um Zugang zu deinem internen Netz zu bekommen. Aus diesem Grunde ist es also letztlich egal wer das dyn DNS Packet sendet. Es gibt nur einen sehr wichtigen Unterschied:
Ein Host hinter dem Router hat keine Ahnung vom Connect Status der DSL PPPeE Session auf dem Router, weiss also niemals genau ob diese Dyn DNS IP Adresse auch immer sauber aktualisiert ist.
Der Client auf dem Router macht das aber aktiv bei jeder Änderung am PPPoE Status.
So ist es also vollkommener Blödsinn den Dyn DNS Client auf einem Gerät hinter dem NAT Router laufen zu lassen sondern es macht nicht nur aus kosmetischen Gründen erheblich mehr Sinn den Client auch an dieser Maschine zu platzieren die selber DIREKT diese relevante dynamische IP Adresse hält !!
Das ist nun mal zweifelsohne der Router selber und niemals ein Host der hinter der NAT Firewall sitzt !
Das NAT sollte in jedem Falle besser deaktiviert werden wenn du nicht mit Port Forwarding Tabellen arbeiten willst. Das geht auch, ist aber umständlicher und unflexibler !!
Port TCP 443 ist HTTPS ! (Secure HTTP) Wenn du also nur Port TCP 80 in der PFW Liste freigibst funktioniert kein HTTPS remote auf deinen Webserver. Wenn du es nicht brauchst, dann reicht natürlich auch nur einzig Port TCP 80 für den Webzugang !
Nochmal zum Thema DynDNS:
Sicher wird das funktionieren mit dem Client auf dem Server denn für den dyn DNS Dienst zählt letztlich das Packet was von deinem Speedport Router kommt, also was letztlich die öffentliche IP hat auf dem DSL Port das ist ja die relevante IP Adresse um Zugang zu deinem internen Netz zu bekommen. Aus diesem Grunde ist es also letztlich egal wer das dyn DNS Packet sendet. Es gibt nur einen sehr wichtigen Unterschied:
Ein Host hinter dem Router hat keine Ahnung vom Connect Status der DSL PPPeE Session auf dem Router, weiss also niemals genau ob diese Dyn DNS IP Adresse auch immer sauber aktualisiert ist.
Der Client auf dem Router macht das aber aktiv bei jeder Änderung am PPPoE Status.
So ist es also vollkommener Blödsinn den Dyn DNS Client auf einem Gerät hinter dem NAT Router laufen zu lassen sondern es macht nicht nur aus kosmetischen Gründen erheblich mehr Sinn den Client auch an dieser Maschine zu platzieren die selber DIREKT diese relevante dynamische IP Adresse hält !!
Das ist nun mal zweifelsohne der Router selber und niemals ein Host der hinter der NAT Firewall sitzt !
Letzteres ist so richtig !
Das NAT auf dem Longshine ist intern bei dir im Netz ja eigentlich überflüssig dort (...reicht ja wenn der SP das macht zum Internet) und behindert dich auch. Auf Samba und alle anderen Dinge hat das keinerlei Einfluss.
Es bewirkt lediglich das die IP Adressen von PC2, PC3 und Webserver also alles im 192.168.1.0er Netz nie oben im .2.0er Segment auftauchen, denn der Longshine Router NATet die alle auf seine externe 192.168.2.22 Adresse.
Das kannst du dir auch sehr einfach mal mit einem Wireshark Packet Sniffer (www.wireshark.org) ansehen.
Eine Verbindung von allen externen Netzen ins 192.168.1.0er Segment ist deshalb auch so schwierig, weil es nur über PFW auf dem Longshine via seiner .2.22 Adresse portbasierend funktionieren kann. (Die NAT Firewall muss ja überwunden werden)
Fällt das NAT weg, hast du diese Problematik nicht mehr !!
Falls der Longshine kein NAT disablen kann solltest du mal sehen ob man dort ggf. ein alternatives Firmware Image aufspielen kann sofern die HW das supportet.
Ein Router der das kann ist z.B. ein Linksys WRT54 mit dd-wrt.de Firmware.
Das NAT auf dem Longshine ist intern bei dir im Netz ja eigentlich überflüssig dort (...reicht ja wenn der SP das macht zum Internet) und behindert dich auch. Auf Samba und alle anderen Dinge hat das keinerlei Einfluss.
Es bewirkt lediglich das die IP Adressen von PC2, PC3 und Webserver also alles im 192.168.1.0er Netz nie oben im .2.0er Segment auftauchen, denn der Longshine Router NATet die alle auf seine externe 192.168.2.22 Adresse.
Das kannst du dir auch sehr einfach mal mit einem Wireshark Packet Sniffer (www.wireshark.org) ansehen.
Eine Verbindung von allen externen Netzen ins 192.168.1.0er Segment ist deshalb auch so schwierig, weil es nur über PFW auf dem Longshine via seiner .2.22 Adresse portbasierend funktionieren kann. (Die NAT Firewall muss ja überwunden werden)
Fällt das NAT weg, hast du diese Problematik nicht mehr !!
Falls der Longshine kein NAT disablen kann solltest du mal sehen ob man dort ggf. ein alternatives Firmware Image aufspielen kann sofern die HW das supportet.
Ein Router der das kann ist z.B. ein Linksys WRT54 mit dd-wrt.de Firmware.
Ok, die Skripten der Netzmafia sind sehr gut (...aber auch nichts Neues für einen Netzwerker )
Wichtig ist das deine Baystacks Layer 3 fähig sind also routen können.
Können sie das, wären sie die perfekten Geräte um deine Problematik schnell und einfach zu lösen. Wie gesagt kleiner und lüfterfrei wäre ein Linksys WRT mit dd-wrt SW.... oder:
Ggf. musst du dann noch 100 Ohm Widerstand parallel in die Stromversorgung der Baystack Lüfter einlöten, damit dich diese nicht so doll nerven... (..oder in der Abseite verstecken und lange Kabel ziehen ?!)
Wichtig ist das deine Baystacks Layer 3 fähig sind also routen können.
Können sie das, wären sie die perfekten Geräte um deine Problematik schnell und einfach zu lösen. Wie gesagt kleiner und lüfterfrei wäre ein Linksys WRT mit dd-wrt SW.... oder:
Ggf. musst du dann noch 100 Ohm Widerstand parallel in die Stromversorgung der Baystack Lüfter einlöten, damit dich diese nicht so doll nerven... (..oder in der Abseite verstecken und lange Kabel ziehen ?!)
Da hast du dann wohl nicht richtig gesucht....
Die komplette Doku findest du hier:
http://support.nortel.com/go/main.jsp?cscat=DOCUMENTATION&poid=8119 ...|1
Scheinbar sind das sogar nur dumme Hubs und noch nichtmal Switches. Da ist natürlich gar nix dann in Bezug auf Layer 3 (Routing) !
Die komplette Doku findest du hier:
http://support.nortel.com/go/main.jsp?cscat=DOCUMENTATION&poid=8119 ...|1
Scheinbar sind das sogar nur dumme Hubs und noch nichtmal Switches. Da ist natürlich gar nix dann in Bezug auf Layer 3 (Routing) !