Weiterleitung TCP-Pakete
Liebe Mitbestreiter ...
ich suche eine Lösung für mein kleines Problem einer Software.
Kurz zum Szenario ...
Es gibt eine Firmenzentrale (Standort A) und eine Liegenschaft (Standort B). Beide sind über einen IPSec-Tunnel(IKEv2) verbunden.
Die beiden Endgeräte LANCom R88 und Mikrotik CCR1016 arbeiten sauber und es gibt soweit Netzwerktechnisch keine Probleme.
Der Tunnel wird über 2 externe IP-Adressen (v4) aufgebaut. Zum Standort A gehört das lokale Netz 192.168.99.0/24 und im Standort B verteilen sich die zu erreichenden Endgeräte (TCS, Sontex) in ein 10.255.0.0/16 Netz.
Das Routing funktioniert sauber und "fehlerfrei". Die lokalen IP-Adressen (10.255.0.0/16) an Standort B sind auf einer LAN-Bridge aufgesetzt. In diese befinden sich alle nötigen Interfaces.
Wenn ich also einen Ping sende von einem PC(Standort A) mit der IP 192.168.99.99 an eine IP (10.255.205.2) an Standort B kommt es sauber sichtbar auf der Bridge nach 29ms an.
Auch andere Dienste laufen sauber auf der LAN-Bridge auf.
Nun habe ich aber eine Software, bei dem kommen die Pakte(für Destination TCP/Port 966) nicht auf der Bridge an, sondern auf dem physikalischen Interface vom WAN-Port an ... also als Input .
Somit können die Anfragen natürlich nicht die IP-Bereiche der LAN-Bridge erreichen.
Nun suche ich eine Möglichkeit über NAT ... die INPUT-Pakete vom Interface SFP1 in die LAN-Bridge (10.255.0.0/16) weiterzuleiten.
Gibt es dafür eine Möglichkeit ... also über eine NAT-Regel ... oder muss ich schon am PC etwas ändern?
Vielen Dank für eure Anstöße ...
ich suche eine Lösung für mein kleines Problem einer Software.
Kurz zum Szenario ...
Es gibt eine Firmenzentrale (Standort A) und eine Liegenschaft (Standort B). Beide sind über einen IPSec-Tunnel(IKEv2) verbunden.
Die beiden Endgeräte LANCom R88 und Mikrotik CCR1016 arbeiten sauber und es gibt soweit Netzwerktechnisch keine Probleme.
Der Tunnel wird über 2 externe IP-Adressen (v4) aufgebaut. Zum Standort A gehört das lokale Netz 192.168.99.0/24 und im Standort B verteilen sich die zu erreichenden Endgeräte (TCS, Sontex) in ein 10.255.0.0/16 Netz.
Das Routing funktioniert sauber und "fehlerfrei". Die lokalen IP-Adressen (10.255.0.0/16) an Standort B sind auf einer LAN-Bridge aufgesetzt. In diese befinden sich alle nötigen Interfaces.
Wenn ich also einen Ping sende von einem PC(Standort A) mit der IP 192.168.99.99 an eine IP (10.255.205.2) an Standort B kommt es sauber sichtbar auf der Bridge nach 29ms an.
Auch andere Dienste laufen sauber auf der LAN-Bridge auf.
Nun habe ich aber eine Software, bei dem kommen die Pakte(für Destination TCP/Port 966) nicht auf der Bridge an, sondern auf dem physikalischen Interface vom WAN-Port an ... also als Input .
Somit können die Anfragen natürlich nicht die IP-Bereiche der LAN-Bridge erreichen.
Nun suche ich eine Möglichkeit über NAT ... die INPUT-Pakete vom Interface SFP1 in die LAN-Bridge (10.255.0.0/16) weiterzuleiten.
Gibt es dafür eine Möglichkeit ... also über eine NAT-Regel ... oder muss ich schon am PC etwas ändern?
Vielen Dank für eure Anstöße ...
13 Antworten
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 10:23:19 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 10:36:37 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 10:38:45 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 10:44:49 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 10:46:57 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:10:13 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 11:21:32 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:23:07 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 11:29:44 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:32:13 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 11:36:45 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:42:16 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 12:25:23 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:42:16 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 11:36:45 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:32:13 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 11:29:44 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:23:07 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 11:21:32 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 11:10:13 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 10:46:57 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 10:44:49 Uhr
- LÖSUNG SchmitzKatz schreibt am 19.02.2021 um 10:38:45 Uhr
- LÖSUNG IP-PUPPI schreibt am 19.02.2021 um 10:36:37 Uhr
LÖSUNG 19.02.2021, aktualisiert um 10:31 Uhr
Nennt sich DSTNAT und wird mit einem Eintrag auf der PREROUTING Chain vorgenommen.
https://mikrotik-blog.de/mikrotik-port-forwarding-portweiterleitung-anle ...
Wenn die FORWARD Chain zusätzlich blockt auch hier eine Filterregel anlegen die den Traffic ans Zieldevice zulässt.
Gruß SK
https://mikrotik-blog.de/mikrotik-port-forwarding-portweiterleitung-anle ...
Wenn die FORWARD Chain zusätzlich blockt auch hier eine Filterregel anlegen die den Traffic ans Zieldevice zulässt.
Gruß SK
LÖSUNG 19.02.2021 um 10:36 Uhr
...Guten Morgen ...
...erst einmal DANKE ... habe ich schon versucht ...
add action=dst-nat chain=dstnat comment="Weiterleiten Sontex" dst-port=966 in-interface=sfp1 protocol=tcp to-addresses=10.255.205.2 to-ports=966
Er zählt auch ... aber ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ... denn funktionieren tut es nicht!
Danke !
...erst einmal DANKE ... habe ich schon versucht ...
add action=dst-nat chain=dstnat comment="Weiterleiten Sontex" dst-port=966 in-interface=sfp1 protocol=tcp to-addresses=10.255.205.2 to-ports=966
Er zählt auch ... aber ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ... denn funktionieren tut es nicht!
Danke !
LÖSUNG 19.02.2021, aktualisiert um 10:41 Uhr
LÖSUNG 19.02.2021 um 10:44 Uhr
... ich habe auch diesen Chain-Eintrag ... welche auch sauber zählt .
add action=accept chain=forward dst-address-list=INTERN-Sontex src-address-list=EXTERN-Sontex
Am Interface ... wo es zum Endgerät geht (SFP11) ... kommen auch die Pakete an .Aber trotzdem ... ich kann das Gerät nicht auslesen ...!
.... hmmmm, noch ne Idee ß
add action=accept chain=forward dst-address-list=INTERN-Sontex src-address-list=EXTERN-Sontex
Am Interface ... wo es zum Endgerät geht (SFP11) ... kommen auch die Pakete an .Aber trotzdem ... ich kann das Gerät nicht auslesen ...!
.... hmmmm, noch ne Idee ß
LÖSUNG 19.02.2021, aktualisiert um 10:49 Uhr
LÖSUNG 19.02.2021, aktualisiert um 11:18 Uhr
Dann blockt das Device alles was nicht aus dem selben Subnetz kommt, also die Firewall des Devices selbst checken!
Wenn dem so wäre (was bei solchen Dingern oft konfiguriert ist) und du kannst die Firewall des Devices selbst nicht beeinflussen musst du ein zusätzliches SRCNAT am Mikrotik für diese Pakete vornehmen was dann die Absenderadresse der Pakete auf die des Routers umschreibt so das das Device denkt die Pakete kommen aus dem selben Subnetz.
Ein einfaches tracert und ein zus. Wireshark Mitschnitt zeigt dir sofort was Sache ist , und du musst nicht mehr rum raten!
Wenn dem so wäre (was bei solchen Dingern oft konfiguriert ist) und du kannst die Firewall des Devices selbst nicht beeinflussen musst du ein zusätzliches SRCNAT am Mikrotik für diese Pakete vornehmen was dann die Absenderadresse der Pakete auf die des Routers umschreibt so das das Device denkt die Pakete kommen aus dem selben Subnetz.
Ein einfaches tracert und ein zus. Wireshark Mitschnitt zeigt dir sofort was Sache ist , und du musst nicht mehr rum raten!
LÖSUNG 19.02.2021, aktualisiert um 11:25 Uhr
... eine Firewall hat das Gerät nicht ! (Sontex 646)
Das mit dem Subnetz ... ist ein Ansatz,... aber die IP vom L2TP-Tunnel ist auch außerhalb der 10.255.205.2/24 ... und das auslesen geht ja da auch.
Die Pakete vom PC kommen in der Lokalen Bridge direkt am Port auch an. Ich denke, dass die Antwort wieder als Input raus geht ... also nicht als forward in das Bridge-Interface ...
Versuche noch eine Regel am Router wo das Endgerät angeschlossen ist .
Danke dir ...
Tracert und Ping komme ja auch sauber über die Bridge an.
Das mit dem Subnetz ... ist ein Ansatz,... aber die IP vom L2TP-Tunnel ist auch außerhalb der 10.255.205.2/24 ... und das auslesen geht ja da auch.
Die Pakete vom PC kommen in der Lokalen Bridge direkt am Port auch an. Ich denke, dass die Antwort wieder als Input raus geht ... also nicht als forward in das Bridge-Interface ...
Versuche noch eine Regel am Router wo das Endgerät angeschlossen ist .
Danke dir ...
Tracert und Ping komme ja auch sauber über die Bridge an.
LÖSUNG 19.02.2021, aktualisiert um 11:24 Uhr
LÖSUNG 19.02.2021 um 11:29 Uhr
LÖSUNG 19.02.2021, aktualisiert um 11:35 Uhr
Mach eine Zeichnung vom Aufbau und poste deine Mikrotik Settings in Textform. Sonst müssen wir hier nur rumraten und bis zum nimmerleinstag raten was tatsächlich Sache ist! Fakten zählen.
Aber sollte das Interface (Sontex) in Interface (CRS) senden ...(input) ... dann brauche ich dort auch eine Regel ... oder irre ich?
Den Satz verstehe ich leider nicht, bitte verständlich beschreiben, sonst bin ich raus.LÖSUNG 19.02.2021, aktualisiert um 11:37 Uhr
LÖSUNG 19.02.2021, aktualisiert um 11:50 Uhr
Zitat von @IP-PUPPI:
... ich hatte vorhin gefragt : ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ...
... da bekam ich die Antwort : Nein ...
Genau, das ist aber wie ich geschrieben habe abhängig davon welchen Router das Device als DefaultGW nutzt. Wäre der Mikrotik nämlich nicht das Default GW des Devices, müsste man entweder dem anderen GW sagen wohin es die Pakete schicken muss oder dem Device in seiner Routing-Tabelle dies mitteilen. Bei normalem DSTNAT ist im Normalfall keine weitere NAT Regel nötig weil der Router eine NAT-State Table führt in der er die Rückpakete entsprechend die Absenderadresse des Routers automatisch wieder umschreibt!... ich hatte vorhin gefragt : ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ...
... da bekam ich die Antwort : Nein ...
... zum Thema "sonst bin ich raus : Wenn ein Interface (auch Mitgleid Bridge) ein Input bekommt, erzeugt er dann auch gleichzeitig ein Forward?
Erst einmal INPUT ist alles was an den ROUTER selbst gerichtet ist! Die FORWARD-Chain passieren alle Pakete die der Router weiterleitet also das Ziel ein anderes als der Router selbst oder ein anderes Interface ist. Schau dir die Packet-Flow Grafik einmal ganz genau an dann verstehst du auch was da intern passiert. Dieses Verständnis ist essentiell um Firewalls wirklich zu verstehenhttps://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Bei einer Bridge fließt am Ende alles aus dem Bride-Interface selbst wenn es an ein anderes Subnetz geht (außer wir sprechen wir von VLANs auf der Bridge das ist dann nochmal was anderes).
Hast du das verstanden und dann noch Zweifel hilft wie gesagt ein einfacher Wireshark Trace deine Zweifel oder evt. Fehlverhalten/Misskonfiguration aufzuklären.
LÖSUNG 19.02.2021 um 12:25 Uhr