ip-puppi
Goto Top

Weiterleitung TCP-Pakete

Liebe Mitbestreiter ...

ich suche eine Lösung für mein kleines Problem einer Software.

Kurz zum Szenario ...

Es gibt eine Firmenzentrale (Standort A) und eine Liegenschaft (Standort B). Beide sind über einen IPSec-Tunnel(IKEv2) verbunden.
Die beiden Endgeräte LANCom R88 und Mikrotik CCR1016 arbeiten sauber und es gibt soweit Netzwerktechnisch keine Probleme.

Der Tunnel wird über 2 externe IP-Adressen (v4) aufgebaut. Zum Standort A gehört das lokale Netz 192.168.99.0/24 und im Standort B verteilen sich die zu erreichenden Endgeräte (TCS, Sontex) in ein 10.255.0.0/16 Netz.

Das Routing funktioniert sauber und "fehlerfrei". Die lokalen IP-Adressen (10.255.0.0/16) an Standort B sind auf einer LAN-Bridge aufgesetzt. In diese befinden sich alle nötigen Interfaces.
Wenn ich also einen Ping sende von einem PC(Standort A) mit der IP 192.168.99.99 an eine IP (10.255.205.2) an Standort B kommt es sauber sichtbar auf der Bridge nach 29ms an.
Auch andere Dienste laufen sauber auf der LAN-Bridge auf.

Nun habe ich aber eine Software, bei dem kommen die Pakte(für Destination TCP/Port 966) nicht auf der Bridge an, sondern auf dem physikalischen Interface vom WAN-Port an ... also als Input .
Somit können die Anfragen natürlich nicht die IP-Bereiche der LAN-Bridge erreichen.

Nun suche ich eine Möglichkeit über NAT ... die INPUT-Pakete vom Interface SFP1 in die LAN-Bridge (10.255.0.0/16) weiterzuleiten.
Gibt es dafür eine Möglichkeit ... also über eine NAT-Regel ... oder muss ich schon am PC etwas ändern?

Vielen Dank für eure Anstöße ...

Content-ID: 653900

Url: https://administrator.de/contentid/653900

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

147669
147669 19.02.2021 aktualisiert um 10:31:39 Uhr
Goto Top
Nennt sich DSTNAT und wird mit einem Eintrag auf der PREROUTING Chain vorgenommen.
https://mikrotik-blog.de/mikrotik-port-forwarding-portweiterleitung-anle ...
Wenn die FORWARD Chain zusätzlich blockt auch hier eine Filterregel anlegen die den Traffic ans Zieldevice zulässt.

Gruß SK
IP-PUPPI
IP-PUPPI 19.02.2021 um 10:36:37 Uhr
Goto Top
...Guten Morgen ...

...erst einmal DANKE ... habe ich schon versucht ...

add action=dst-nat chain=dstnat comment="Weiterleiten Sontex" dst-port=966 in-interface=sfp1 protocol=tcp to-addresses=10.255.205.2 to-ports=966

Er zählt auch ... aber ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ... denn funktionieren tut es nicht!

Danke !
147669
147669 19.02.2021 aktualisiert um 10:41:26 Uhr
Goto Top
Nein eine Rückroute braucht es nicht wenn der Router Default GW vom Ziel ist und der Router den NAT Eintrag ja in der NAT State Tabelle führt, aber wie gesagt musst du auch die FORWARD Chain im Filter beachten und dort den Traffic auch freischalten, sonst bleibt der in der Forward Chain hängen.
IP-PUPPI
IP-PUPPI 19.02.2021 um 10:44:49 Uhr
Goto Top
... ich habe auch diesen Chain-Eintrag ... welche auch sauber zählt .

add action=accept chain=forward dst-address-list=INTERN-Sontex src-address-list=EXTERN-Sontex

Am Interface ... wo es zum Endgerät geht (SFP11) ... kommen auch die Pakete an .Aber trotzdem ... ich kann das Gerät nicht auslesen ...!

hmmmm, noch ne Idee ß
IP-PUPPI
IP-PUPPI 19.02.2021 aktualisiert um 10:49:27 Uhr
Goto Top
... wenn ich am PC einen L2TP-Tunnel nutze, um mich am CCR1016 am Standort B anzumelden ... dann funktioniert es. Denn dann habe ich ein Interface ... was wohl zur LAN-Bridge gehört ... auf Grund der lokalen IP der Tunnels.
147669
147669 19.02.2021 aktualisiert um 11:18:08 Uhr
Goto Top
Dann blockt das Device alles was nicht aus dem selben Subnetz kommt, also die Firewall des Devices selbst checken!
Wenn dem so wäre (was bei solchen Dingern oft konfiguriert ist) und du kannst die Firewall des Devices selbst nicht beeinflussen musst du ein zusätzliches SRCNAT am Mikrotik für diese Pakete vornehmen was dann die Absenderadresse der Pakete auf die des Routers umschreibt so das das Device denkt die Pakete kommen aus dem selben Subnetz.

Ein einfaches tracert und ein zus. Wireshark Mitschnitt zeigt dir sofort was Sache ist , und du musst nicht mehr rum raten!
IP-PUPPI
IP-PUPPI 19.02.2021 aktualisiert um 11:25:18 Uhr
Goto Top
... eine Firewall hat das Gerät nicht ! (Sontex 646)

Das mit dem Subnetz ... ist ein Ansatz,... aber die IP vom L2TP-Tunnel ist auch außerhalb der 10.255.205.2/24 ... und das auslesen geht ja da auch.

Die Pakete vom PC kommen in der Lokalen Bridge direkt am Port auch an. Ich denke, dass die Antwort wieder als Input raus geht ... also nicht als forward in das Bridge-Interface ...

Versuche noch eine Regel am Router wo das Endgerät angeschlossen ist .

Danke dir ...

Tracert und Ping komme ja auch sauber über die Bridge an.
147669
147669 19.02.2021 aktualisiert um 11:24:21 Uhr
Goto Top
Kennt hier leider keiner den exakten Aufbau deines Netzes face-confused
Versuche noch eine Regel am Router wo das Endgerät angeschlossen ist .
Ach nee, noch ne Info die fehlt, dann verwundert das nicht .... Freitag 🐟
IP-PUPPI
IP-PUPPI 19.02.2021 um 11:29:44 Uhr
Goto Top
grundlegend ist ja das Interface, an dem der Sontex Knoten angeschlossen ist, ... Teil der Bridge. Daher müsste ich keine Regel schreiben.

Aber sollte das Interface (Sontex) in Interface (CRS) senden ...(input) ... dann brauche ich dort auch eine Regel ... oder irre ich?
147669
147669 19.02.2021 aktualisiert um 11:35:54 Uhr
Goto Top
Mach eine Zeichnung vom Aufbau und poste deine Mikrotik Settings in Textform. Sonst müssen wir hier nur rumraten und bis zum nimmerleinstag raten was tatsächlich Sache ist! Fakten zählen.
Aber sollte das Interface (Sontex) in Interface (CRS) senden ...(input) ... dann brauche ich dort auch eine Regel ... oder irre ich?
Den Satz verstehe ich leider nicht, bitte verständlich beschreiben, sonst bin ich raus.
IP-PUPPI
IP-PUPPI 19.02.2021 aktualisiert um 11:37:16 Uhr
Goto Top
... ich hatte vorhin gefragt : ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ...

... da bekam ich die Antwort : Nein ...

... zum Thema "sonst bin ich raus : Wenn ein Interface (auch Mitglied Bridge) ein Input bekommt, erzeugt er dann auch gleichzeitig ein Forward?
147669
147669 19.02.2021 aktualisiert um 11:50:41 Uhr
Goto Top
Zitat von @IP-PUPPI:

... ich hatte vorhin gefragt : ... benötige ich für die Rückrichtung,... also vom Gerät auch eine NAT-Regel ...
... da bekam ich die Antwort : Nein ...
Genau, das ist aber wie ich geschrieben habe abhängig davon welchen Router das Device als DefaultGW nutzt. Wäre der Mikrotik nämlich nicht das Default GW des Devices, müsste man entweder dem anderen GW sagen wohin es die Pakete schicken muss oder dem Device in seiner Routing-Tabelle dies mitteilen. Bei normalem DSTNAT ist im Normalfall keine weitere NAT Regel nötig weil der Router eine NAT-State Table führt in der er die Rückpakete entsprechend die Absenderadresse des Routers automatisch wieder umschreibt!
... zum Thema "sonst bin ich raus : Wenn ein Interface (auch Mitgleid Bridge) ein Input bekommt, erzeugt er dann auch gleichzeitig ein Forward?
Erst einmal INPUT ist alles was an den ROUTER selbst gerichtet ist! Die FORWARD-Chain passieren alle Pakete die der Router weiterleitet also das Ziel ein anderes als der Router selbst oder ein anderes Interface ist. Schau dir die Packet-Flow Grafik einmal ganz genau an dann verstehst du auch was da intern passiert. Dieses Verständnis ist essentiell um Firewalls wirklich zu verstehen
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Bei einer Bridge fließt am Ende alles aus dem Bride-Interface selbst wenn es an ein anderes Subnetz geht (außer wir sprechen wir von VLANs auf der Bridge das ist dann nochmal was anderes).

Hast du das verstanden und dann noch Zweifel hilft wie gesagt ein einfacher Wireshark Trace deine Zweifel oder evt. Fehlverhalten/Misskonfiguration aufzuklären.
IP-PUPPI
IP-PUPPI 19.02.2021 um 12:25:23 Uhr
Goto Top
... mein Fehler, hätte ich sagen müssen, dass der Datenknoten an einem weiteren RouterSwitch angeschlossen ist. Sorry.

Das FlowDiagram schaue ich mir an ...
aufbau