Weiterleitung TCP-Pakete

Mitglied: IP-PUPPI

IP-PUPPI (Level 1) - Jetzt verbinden

19.02.2021 um 10:17 Uhr, 495 Aufrufe, 13 Kommentare

Liebe Mitbestreiter ...

ich suche eine Lösung für mein kleines Problem einer Software.

Kurz zum Szenario ...

Es gibt eine Firmenzentrale (Standort A) und eine Liegenschaft (Standort B). Beide sind über einen IPSec-Tunnel(IKEv2) verbunden.
Die beiden Endgeräte LANCom R88 und Mikrotik CCR1016 arbeiten sauber und es gibt soweit Netzwerktechnisch keine Probleme.

Der Tunnel wird über 2 externe IP-Adressen (v4) aufgebaut. Zum Standort A gehört das lokale Netz 192.168.99.0/24 und im Standort B verteilen sich die zu erreichenden Endgeräte (TCS, Sontex) in ein 10.255.0.0/16 Netz.

Das Routing funktioniert sauber und "fehlerfrei". Die lokalen IP-Adressen (10.255.0.0/16) an Standort B sind auf einer LAN-Bridge aufgesetzt. In diese befinden sich alle nötigen Interfaces.
Wenn ich also einen Ping sende von einem PC(Standort A) mit der IP 192.168.99.99 an eine IP (10.255.205.2) an Standort B kommt es sauber sichtbar auf der Bridge nach 29ms an.
Auch andere Dienste laufen sauber auf der LAN-Bridge auf.

Nun habe ich aber eine Software, bei dem kommen die Pakte(für Destination TCP/Port 966) nicht auf der Bridge an, sondern auf dem physikalischen Interface vom WAN-Port an ... also als Input .
Somit können die Anfragen natürlich nicht die IP-Bereiche der LAN-Bridge erreichen.

Nun suche ich eine Möglichkeit über NAT ... die INPUT-Pakete vom Interface SFP1 in die LAN-Bridge (10.255.0.0/16) weiterzuleiten.
Gibt es dafür eine Möglichkeit ... also über eine NAT-Regel ... oder muss ich schon am PC etwas ändern?

Vielen Dank für eure Anstöße ...
Mitglied: SchmitzKatz
19.02.2021, aktualisiert um 10:31 Uhr
Nennt sich DSTNAT und wird mit einem Eintrag auf der PREROUTING Chain vorgenommen.
https://mikrotik-blog.de/mikrotik-port-forwarding-portweiterleitung-anle ...
Wenn die FORWARD Chain zusätzlich blockt auch hier eine Filterregel anlegen die den Traffic ans Zieldevice zulässt.

Gruß SK
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021 um 10:36 Uhr
...Guten Morgen ...

...erst einmal DANKE ... habe ich schon versucht ...

add action=dst-nat chain=dstnat comment="Weiterleiten Sontex" dst-port=966 in-interface=sfp1 protocol=tcp to-addresses=10.255.205.2 to-ports=966

Er zählt auch ... aber ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ... denn funktionieren tut es nicht!

Danke !
Bitte warten ..
Mitglied: SchmitzKatz
19.02.2021, aktualisiert um 10:41 Uhr
Nein eine Rückroute braucht es nicht wenn der Router Default GW vom Ziel ist und der Router den NAT Eintrag ja in der NAT State Tabelle führt, aber wie gesagt musst du auch die FORWARD Chain im Filter beachten und dort den Traffic auch freischalten, sonst bleibt der in der Forward Chain hängen.
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021 um 10:44 Uhr
... ich habe auch diesen Chain-Eintrag ... welche auch sauber zählt .

add action=accept chain=forward dst-address-list=INTERN-Sontex src-address-list=EXTERN-Sontex

Am Interface ... wo es zum Endgerät geht (SFP11) ... kommen auch die Pakete an .Aber trotzdem ... ich kann das Gerät nicht auslesen ...!

.... hmmmm, noch ne Idee ß
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021, aktualisiert um 10:49 Uhr
... wenn ich am PC einen L2TP-Tunnel nutze, um mich am CCR1016 am Standort B anzumelden ... dann funktioniert es. Denn dann habe ich ein Interface ... was wohl zur LAN-Bridge gehört ... auf Grund der lokalen IP der Tunnels.
Bitte warten ..
Mitglied: SchmitzKatz
19.02.2021, aktualisiert um 11:18 Uhr
Dann blockt das Device alles was nicht aus dem selben Subnetz kommt, also die Firewall des Devices selbst checken!
Wenn dem so wäre (was bei solchen Dingern oft konfiguriert ist) und du kannst die Firewall des Devices selbst nicht beeinflussen musst du ein zusätzliches SRCNAT am Mikrotik für diese Pakete vornehmen was dann die Absenderadresse der Pakete auf die des Routers umschreibt so das das Device denkt die Pakete kommen aus dem selben Subnetz.

Ein einfaches tracert und ein zus. Wireshark Mitschnitt zeigt dir sofort was Sache ist , und du musst nicht mehr rum raten!
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021, aktualisiert um 11:25 Uhr
... eine Firewall hat das Gerät nicht ! (Sontex 646)

Das mit dem Subnetz ... ist ein Ansatz,... aber die IP vom L2TP-Tunnel ist auch außerhalb der 10.255.205.2/24 ... und das auslesen geht ja da auch.

Die Pakete vom PC kommen in der Lokalen Bridge direkt am Port auch an. Ich denke, dass die Antwort wieder als Input raus geht ... also nicht als forward in das Bridge-Interface ...

Versuche noch eine Regel am Router wo das Endgerät angeschlossen ist .

Danke dir ...

Tracert und Ping komme ja auch sauber über die Bridge an.
Bitte warten ..
Mitglied: SchmitzKatz
19.02.2021, aktualisiert um 11:24 Uhr
Kennt hier leider keiner den exakten Aufbau deines Netzes :-/ face-confused
Versuche noch eine Regel am Router wo das Endgerät angeschlossen ist .
Ach nee, noch ne Info die fehlt, dann verwundert das nicht .... Freitag 🐟
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021 um 11:29 Uhr
....grundlegend ist ja das Interface, an dem der Sontex Knoten angeschlossen ist, ... Teil der Bridge. Daher müsste ich keine Regel schreiben.

Aber sollte das Interface (Sontex) in Interface (CRS) senden ...(input) ... dann brauche ich dort auch eine Regel ... oder irre ich?
Bitte warten ..
Mitglied: SchmitzKatz
19.02.2021, aktualisiert um 11:35 Uhr
Mach eine Zeichnung vom Aufbau und poste deine Mikrotik Settings in Textform. Sonst müssen wir hier nur rumraten und bis zum nimmerleinstag raten was tatsächlich Sache ist! Fakten zählen.
Aber sollte das Interface (Sontex) in Interface (CRS) senden ...(input) ... dann brauche ich dort auch eine Regel ... oder irre ich?
Den Satz verstehe ich leider nicht, bitte verständlich beschreiben, sonst bin ich raus.
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021, aktualisiert um 11:37 Uhr
... ich hatte vorhin gefragt : ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ...

... da bekam ich die Antwort : Nein ...

... zum Thema "sonst bin ich raus : Wenn ein Interface (auch Mitglied Bridge) ein Input bekommt, erzeugt er dann auch gleichzeitig ein Forward?
Bitte warten ..
Mitglied: SchmitzKatz
19.02.2021, aktualisiert um 11:50 Uhr
Zitat von @IP-PUPPI:

... ich hatte vorhin gefragt : ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ...
... da bekam ich die Antwort : Nein ...
Genau, das ist aber wie ich geschrieben habe abhängig davon welchen Router das Device als DefaultGW nutzt. Wäre der Mikrotik nämlich nicht das Default GW des Devices, müsste man entweder dem anderen GW sagen wohin es die Pakete schicken muss oder dem Device in seiner Routing-Tabelle dies mitteilen. Bei normalem DSTNAT ist im Normalfall keine weitere NAT Regel nötig weil der Router eine NAT-State Table führt in der er die Rückpakete entsprechend die Absenderadresse des Routers automatisch wieder umschreibt!
... zum Thema "sonst bin ich raus : Wenn ein Interface (auch Mitgleid Bridge) ein Input bekommt, erzeugt er dann auch gleichzeitig ein Forward?
Erst einmal INPUT ist alles was an den ROUTER selbst gerichtet ist! Die FORWARD-Chain passieren alle Pakete die der Router weiterleitet also das Ziel ein anderes als der Router selbst oder ein anderes Interface ist. Schau dir die Packet-Flow Grafik einmal ganz genau an dann verstehst du auch was da intern passiert. Dieses Verständnis ist essentiell um Firewalls wirklich zu verstehen
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Bei einer Bridge fließt am Ende alles aus dem Bride-Interface selbst wenn es an ein anderes Subnetz geht (außer wir sprechen wir von VLANs auf der Bridge das ist dann nochmal was anderes).

Hast du das verstanden und dann noch Zweifel hilft wie gesagt ein einfacher Wireshark Trace deine Zweifel oder evt. Fehlverhalten/Misskonfiguration aufzuklären.
Bitte warten ..
Mitglied: IP-PUPPI
19.02.2021 um 12:25 Uhr
... mein Fehler, hätte ich sagen müssen, dass der Datenknoten an einem weiteren RouterSwitch angeschlossen ist. Sorry.

Das FlowDiagram schaue ich mir an ...
aufbau - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 14 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...