16
Zwei Netzwerke miteinander verbinden?!
Hallo,
Folgendes Szenario:
Router 1 (Fritzbox 7390)
IP: 192.168.178.1
Router 2 (NETGEAR-WGR614V9)
WAN IP: 192.168.178.2
Gateway: 192.168.178.1
LAN IP: 192.168.2.1
Netzwerkdrucker (via LAN verbunden im Router 2)
IP: 192.168.2.10
wie kann ich jetzt aus Netz 1 auf den Drucker im Netz 2 zugreifen?
Und was muss ich einstellen, damit sich alle Rechner erreichen können?
Danke im vorraus
Folgendes Szenario:
Router 1 (Fritzbox 7390)
IP: 192.168.178.1
Router 2 (NETGEAR-WGR614V9)
WAN IP: 192.168.178.2
Gateway: 192.168.178.1
LAN IP: 192.168.2.1
Netzwerkdrucker (via LAN verbunden im Router 2)
IP: 192.168.2.10
wie kann ich jetzt aus Netz 1 auf den Drucker im Netz 2 zugreifen?
Und was muss ich einstellen, damit sich alle Rechner erreichen können?
Danke im vorraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185132
Url: https://administrator.de/contentid/185132
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
16 Kommentare
Neuester Kommentar
Erstelle in der Fritz-Box eine IP-Route (Heimnetz / Netzwerk / Netzwerkeinstellungen / "Hier können Sie die statische Routing-Tabelle der FRITZ!Box ändern. " ) zum 192.168.2.1 Netz:
IP-Adresse 192.168.2.0
Subnetzmaske 255.255.255.0
Gateway 192.168.178.2
dann passiert folgendes:
Computer im Netz 1 kennen lediglich den Weg über die Fritzbox aus ihrem Netz heraus (das wird automatisch per DHCP eingetragen)
Die FB leitet alles, ausser halt Verkehr für das 192.168.2.x Netzwerk raus ins Internet. Die Pakete für das Netzwerk 2 werden aber zur WAN-IP des Routers geleitet.
Der Router routet dann und leitet die Pakete an den Drucker weiter.
Wichtig ist noch ein Eintrag für den Rückweg der Pakete:
Auf allen Druckern / PCs / Geräten im Netzwerk 2 muss entweder der Standardgateway auf 192.168.2.1 gestellt sein, oder zumindest der Weg in das andere Netz als Route eingetragen sein wenn die Geräte nicht ins Internet kommen sollen:
route add -p 192.168.178.0 MASK 255.255.255.0 192.168.2.1
Hope that helps
LG
Andreas
IP-Adresse 192.168.2.0
Subnetzmaske 255.255.255.0
Gateway 192.168.178.2
dann passiert folgendes:
Computer im Netz 1 kennen lediglich den Weg über die Fritzbox aus ihrem Netz heraus (das wird automatisch per DHCP eingetragen)
Die FB leitet alles, ausser halt Verkehr für das 192.168.2.x Netzwerk raus ins Internet. Die Pakete für das Netzwerk 2 werden aber zur WAN-IP des Routers geleitet.
Der Router routet dann und leitet die Pakete an den Drucker weiter.
Wichtig ist noch ein Eintrag für den Rückweg der Pakete:
Auf allen Druckern / PCs / Geräten im Netzwerk 2 muss entweder der Standardgateway auf 192.168.2.1 gestellt sein, oder zumindest der Weg in das andere Netz als Route eingetragen sein wenn die Geräte nicht ins Internet kommen sollen:
route add -p 192.168.178.0 MASK 255.255.255.0 192.168.2.1
Hope that helps
LG
Andreas
Hier findest du alle Antworten auf deine Fragen:
Grundlagen und Umsetzung mit einem Router:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Achtung ! bei Routern die ein nicht abschaltbares NAT auf dem WAN Port haben:
Kopplung von 2 Routern am DSL Port
Generell hast du oben alles richtig gemacht. Deine Falle lauert aber bei der NetGear Gurke, denn dort kann man vermutlich das NAT (Adress Translation) nicht abschalten auf dem WAN Port.
Damit ist dort die NAT Firewall aktiv und das Routing damit eine Einbahnstrasse, denn so kommst du nur vom .2.0er Netz ins .178.0er Netz aber nicht umgekehrt, denn das blockiert die NAT Firewall.
In so fern ist der obige Rat von kannix wenig hilfreich mit einer Route zu arbeiten denn die löst logischerweise dein Problem nicht. Sein Denkfehler ist das er schlicht das NAT des NG nicht beachtet hat !
Alle Daten aus dem .2.0er Netz kommen ja durch die Adress Translation mit der 192.168.178.2er IP Adresse im FB Netz an. Die FB "merkt" also gar nicht das sie routen muss folglich ist die Route Unsinn.
Sie macht nur Sinn wenn das NAT am NetGear ausgeschaltet werden kann was vermutlich nicht möglich ist, da Standard bei Billigroutern.
Siehe auch erstes Tutorial oben zu den Grundlagen dort wird das ausführlich erklärt !
Deine einzige Chance ist mit Port Forwarding am NG zu arbeiten, löst dein Problem aber nur sclecht.
Investier lieber in einen 35 Euro Mikrotik Router 750 oder einen DD-WRT Router (z.B. D-Link DIR-300 für 25 Euro) der löst dir das NAT Problem einfach und schnell da es dort abschaltbar ist.
Grundlagen und Umsetzung mit einem Router:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Achtung ! bei Routern die ein nicht abschaltbares NAT auf dem WAN Port haben:
Kopplung von 2 Routern am DSL Port
Generell hast du oben alles richtig gemacht. Deine Falle lauert aber bei der NetGear Gurke, denn dort kann man vermutlich das NAT (Adress Translation) nicht abschalten auf dem WAN Port.
Damit ist dort die NAT Firewall aktiv und das Routing damit eine Einbahnstrasse, denn so kommst du nur vom .2.0er Netz ins .178.0er Netz aber nicht umgekehrt, denn das blockiert die NAT Firewall.
In so fern ist der obige Rat von kannix wenig hilfreich mit einer Route zu arbeiten denn die löst logischerweise dein Problem nicht. Sein Denkfehler ist das er schlicht das NAT des NG nicht beachtet hat !
Alle Daten aus dem .2.0er Netz kommen ja durch die Adress Translation mit der 192.168.178.2er IP Adresse im FB Netz an. Die FB "merkt" also gar nicht das sie routen muss folglich ist die Route Unsinn.
Sie macht nur Sinn wenn das NAT am NetGear ausgeschaltet werden kann was vermutlich nicht möglich ist, da Standard bei Billigroutern.
Siehe auch erstes Tutorial oben zu den Grundlagen dort wird das ausführlich erklärt !
Deine einzige Chance ist mit Port Forwarding am NG zu arbeiten, löst dein Problem aber nur sclecht.
Investier lieber in einen 35 Euro Mikrotik Router 750 oder einen DD-WRT Router (z.B. D-Link DIR-300 für 25 Euro) der löst dir das NAT Problem einfach und schnell da es dort abschaltbar ist.
Sein Denkfehler ist das er schlicht das NAT des NG nicht beachtet hat !
Stimmt ^^ Sorry das hatte ich nicht auf dem Zeiger.
LG
Andreas
das ist echt schade, ich hatte das schon mit meinem alten Router versucht aber der hatte ein DSL-Modem und deswegen habe ich mir den Netgear geholt, weil der KEIN DSL-Modem hat und dachte das würde mit dem funktionieren. Ich habe folgendes Tutorial als Hilfe benutzt:
http://pit-homepage.de/RouterSeite2.html
da steht "Rechner aus dem Netz1 kommen nicht ohne weiteres in das Netz2. Dazu müssten erst die entsprechenden Portfreigaben im Router2 erfolgen."
In der WAN-Konfiguration des Netgears stehen folgende Optionen:
1. SPI-Firewall deaktivieren
2. DMZ-Standardserver
3. Auf Ping-Anforderungen am Internet-Port reagieren
4. MTU-Größe (in Byte)
5. NAT Filterung: Sicher oder Offen
6. SIP ALG deaktivieren
dann werde ich ihn wohl als Switch verwenden müssen, wenn sich die NAT-Funktion nicht auschalten lässt.
Kann ich denn den WAN-Port benutzen, um einen LAN-Anschluss zu sparen?
http://pit-homepage.de/RouterSeite2.html
da steht "Rechner aus dem Netz1 kommen nicht ohne weiteres in das Netz2. Dazu müssten erst die entsprechenden Portfreigaben im Router2 erfolgen."
In der WAN-Konfiguration des Netgears stehen folgende Optionen:
1. SPI-Firewall deaktivieren
2. DMZ-Standardserver
3. Auf Ping-Anforderungen am Internet-Port reagieren
4. MTU-Größe (in Byte)
5. NAT Filterung: Sicher oder Offen
6. SIP ALG deaktivieren
dann werde ich ihn wohl als Switch verwenden müssen, wenn sich die NAT-Funktion nicht auschalten lässt.
Kann ich denn den WAN-Port benutzen, um einen LAN-Anschluss zu sparen?
Du hast ganz genau den falschen NetGear gekauft !! Der WGR614 wird zwar generell supportet aber die Version 9 gerade nicht !! leider 
Kannst du dir auch selber in der Router Database von DD-WRT ansehen !
http://www.dd-wrt.com/site/support/router-database
Den dann als Switch zu missbrauchen ist Perlen vor die Säue, denn einen billigen 5 Port Switch bekommst du für 6 Euronen im Blödmarkt, der kann das einfacher und besser !
Das Szenario ist ein Router Kaskade und wird nicht nur in deinem o.a. URL beschrieben sondern auch hier:
Kopplung von 2 Routern am DSL Port
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Dort ist die NAT Problematik auch ganz genau angesprochen ! Bei vielen dieser Billigsysteme ist das eben nicht abschaltbar und dann hast du ein problem weil du mit NAT eben eine Routing Einbahnstrasse hast durch die dann aktive Firewall ! Bei DSL ja auch durchaus gewünscht nur eben in deinem Szenario grad nicht. Du brauchst also was wo du die NAT Funktion im Setup abschalten kannst.
Fazit: Besorg dir einen billigen Mikrotik 750 oder einen D-Link DIR 300.
Die kosten um die 30 Euronen also eher ein Taschengeld und lösen dein Problem umfassend.
Das sollte dir ein funktionierendes Netzwerk ja allemal wert sein, oder ??
Zu deiner Frage:
Der Router ist KEIN Switch, folglich ist der WAN Port immer ein separates IP Netz und kann damit logischerweise niemals als weiterer Switchport fungieren !
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Kannst du dir auch selber in der Router Database von DD-WRT ansehen !
http://www.dd-wrt.com/site/support/router-database
Den dann als Switch zu missbrauchen ist Perlen vor die Säue, denn einen billigen 5 Port Switch bekommst du für 6 Euronen im Blödmarkt, der kann das einfacher und besser !
Das Szenario ist ein Router Kaskade und wird nicht nur in deinem o.a. URL beschrieben sondern auch hier:
Kopplung von 2 Routern am DSL Port
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Dort ist die NAT Problematik auch ganz genau angesprochen ! Bei vielen dieser Billigsysteme ist das eben nicht abschaltbar und dann hast du ein problem weil du mit NAT eben eine Routing Einbahnstrasse hast durch die dann aktive Firewall ! Bei DSL ja auch durchaus gewünscht nur eben in deinem Szenario grad nicht. Du brauchst also was wo du die NAT Funktion im Setup abschalten kannst.
Fazit: Besorg dir einen billigen Mikrotik 750 oder einen D-Link DIR 300.
Die kosten um die 30 Euronen also eher ein Taschengeld und lösen dein Problem umfassend.
Das sollte dir ein funktionierendes Netzwerk ja allemal wert sein, oder ??
Zu deiner Frage:
Der Router ist KEIN Switch, folglich ist der WAN Port immer ein separates IP Netz und kann damit logischerweise niemals als weiterer Switchport fungieren !
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Hallo zusammen,
der Thread ist zwar schon älter passt aber genau zu meinem Szenario.
Ich habe eine FritzBox 7270 mit einem TP-Link WR841N V9 verbunden. Das Kabel läuft von einer LAN Buchse der Fritzbox in die WAN Buchse des TP-Link. Auf beiden ist der DHCP Server aktiv.
Router 1:
FritzBox
IP 192.168.1.1
Router 2:
TP-Link
IP 192.168.2.1
WAN IP 192.168.1.3
Gateway 192.168.1.1
Eine Route von der FritzBox zum TP-Link. Datenpakete mit Ziel-Netzwerk 192.168.2.0 über IP 192.168.1.3.
Ich hatte das gleiche Problem mit der Firewall mit TP-Link.
"Damit ist dort die NAT Firewall aktiv und das Routing damit eine Einbahnstrasse, denn so kommst du nur vom .2.0er Netz ins .178.0er Netz aber nicht umgekehrt, denn das blockiert die NAT Firewall."
Bei mir genügte es die SPI-Firewall im TP-Link zu deaktivieren und dann gingen die Datenpakete korrekt von der Fritzbox ins Netzwerk des TP-Link. Die NAT Firewall hatte ich nicht angerührt bzw. habe ich keine Möglichkeit gefunden, die gesondert zu deaktivieren.
Wie kann das sein? Handelt es sich hierbei um einen Fehler in der Router Firmware?
der Thread ist zwar schon älter passt aber genau zu meinem Szenario.
Ich habe eine FritzBox 7270 mit einem TP-Link WR841N V9 verbunden. Das Kabel läuft von einer LAN Buchse der Fritzbox in die WAN Buchse des TP-Link. Auf beiden ist der DHCP Server aktiv.
Router 1:
FritzBox
IP 192.168.1.1
Router 2:
TP-Link
IP 192.168.2.1
WAN IP 192.168.1.3
Gateway 192.168.1.1
Eine Route von der FritzBox zum TP-Link. Datenpakete mit Ziel-Netzwerk 192.168.2.0 über IP 192.168.1.3.
Ich hatte das gleiche Problem mit der Firewall mit TP-Link.
"Damit ist dort die NAT Firewall aktiv und das Routing damit eine Einbahnstrasse, denn so kommst du nur vom .2.0er Netz ins .178.0er Netz aber nicht umgekehrt, denn das blockiert die NAT Firewall."
Bei mir genügte es die SPI-Firewall im TP-Link zu deaktivieren und dann gingen die Datenpakete korrekt von der Fritzbox ins Netzwerk des TP-Link. Die NAT Firewall hatte ich nicht angerührt bzw. habe ich keine Möglichkeit gefunden, die gesondert zu deaktivieren.
Wie kann das sein? Handelt es sich hierbei um einen Fehler in der Router Firmware?
Ja, das muss de facto ein Bug in der Firmware sein. Und auch noch ein recht gefährlicher.
Die SPI Firewall Funktion hat ja erstmal per se NICHTS mit dem NAT Prozess zu tun. In Billigrouter wird das meistens als "Gateway Mode" und "Router Mode" bezeichnet sofern denn überhaupt konfigurierbar supportet. (Gateway = NAT aktiv)
Die Firewall Funktion ist davon getrennt oder sollte es zumindestens sein.
TP-Link ist allerbilligster China Schrott der untersten Kategorie. Es ist gut möglich das die die Firewall an den NAT Mode koppeln, was aber bei seriösen Produkten natürlich nicht der Fall ist.
Daher kann es sein das mit dem Deaktivieren der Firewall auch gleichzeitig die NAT Funktion deaktiviert wird.
Vermutlich ist das bei dir der Fall. Muss ja denn wäre es nicht so würde es nicht funktionieren wäre NAT noch aktiv.
Die SPI Firewall Funktion hat ja erstmal per se NICHTS mit dem NAT Prozess zu tun. In Billigrouter wird das meistens als "Gateway Mode" und "Router Mode" bezeichnet sofern denn überhaupt konfigurierbar supportet. (Gateway = NAT aktiv)
Die Firewall Funktion ist davon getrennt oder sollte es zumindestens sein.
TP-Link ist allerbilligster China Schrott der untersten Kategorie. Es ist gut möglich das die die Firewall an den NAT Mode koppeln, was aber bei seriösen Produkten natürlich nicht der Fall ist.
Daher kann es sein das mit dem Deaktivieren der Firewall auch gleichzeitig die NAT Funktion deaktiviert wird.
Vermutlich ist das bei dir der Fall. Muss ja denn wäre es nicht so würde es nicht funktionieren wäre NAT noch aktiv.
Ok. Danke für die Antwort!
In diesem Thread heißt es zwar, dass die NAT-Firewall deaktiviert werden muss. Aber wenn in einem Router nur die NAT-Firewall deaktiviert wird, bleibt die SPI-Firewall aktiv. Blockt diese das Datenpaket nicht ab? Immerhin ist doch vorher noch keine Anfrage aus dem anderen Netz gestellt worden.
Und so ganz verstehe ich das nicht mit der NAT-Firewall. Leider finde ich im Internet auch Meinungen wie: "Es gibt keine NAT-Firewall". http://www.lookbeyond.de/showthread.php?t=46360
Warum blockt die NAT-Firewall überhaupt?
In diesem Thread heißt es zwar, dass die NAT-Firewall deaktiviert werden muss. Aber wenn in einem Router nur die NAT-Firewall deaktiviert wird, bleibt die SPI-Firewall aktiv. Blockt diese das Datenpaket nicht ab? Immerhin ist doch vorher noch keine Anfrage aus dem anderen Netz gestellt worden.
Und so ganz verstehe ich das nicht mit der NAT-Firewall. Leider finde ich im Internet auch Meinungen wie: "Es gibt keine NAT-Firewall". http://www.lookbeyond.de/showthread.php?t=46360
Warum blockt die NAT-Firewall überhaupt?
Moin Exzel,
du solltest dir erst mal klar machen was NAT bedeutet: Network Address Translation, das bedeutet alles was an Anfragen des TP-Links über seinen WAN-Port hinaus gehen deren Quelladresse wird auf die des TP-Links geändert(SRC-NAT) um mehreren Endgeräten hinter dem TP-Link den Netzzugang zu ermöglichen. Der TP-Link hat intern eine NAT-Tabelle mit der er eingehende Pakete den ausgehenden wieder zuordnen kann und nur solche Pakete lässt er passieren! Neue Anfragen auf den WAN Port von der Fritte aus werden bei aktiviertem NAT ohne entsprechende Forwarding-Regel(DST-NAT) auf dem TP-Link nicht weitergeleitet und bleiben somit an ihm hängen.
Bei den meistenTP-Links kannst du das NAT auf dem WAN Port nicht abschalten, also ist bei Nutzung der TP-Link-Firmware auch kein transparentes Routing möglich so wie du es vorhast.
Einzig eine Alternativ-Firmware wie DD-WRT oder OpenWRT auf den TP-Links ermöglicht dir das gewünschte, das ist FAKT!!
Also: Entweder mit einer offenenen Firmware arbeiten, den China-Plastikmüll in die Tonne kloppen oder einen vernünftigen Router besorgen!
Gruß grexit
du solltest dir erst mal klar machen was NAT bedeutet: Network Address Translation, das bedeutet alles was an Anfragen des TP-Links über seinen WAN-Port hinaus gehen deren Quelladresse wird auf die des TP-Links geändert(SRC-NAT) um mehreren Endgeräten hinter dem TP-Link den Netzzugang zu ermöglichen. Der TP-Link hat intern eine NAT-Tabelle mit der er eingehende Pakete den ausgehenden wieder zuordnen kann und nur solche Pakete lässt er passieren! Neue Anfragen auf den WAN Port von der Fritte aus werden bei aktiviertem NAT ohne entsprechende Forwarding-Regel(DST-NAT) auf dem TP-Link nicht weitergeleitet und bleiben somit an ihm hängen.
Bei den meistenTP-Links kannst du das NAT auf dem WAN Port nicht abschalten, also ist bei Nutzung der TP-Link-Firmware auch kein transparentes Routing möglich so wie du es vorhast.
Einzig eine Alternativ-Firmware wie DD-WRT oder OpenWRT auf den TP-Links ermöglicht dir das gewünschte, das ist FAKT!!
Also: Entweder mit einer offenenen Firmware arbeiten, den China-Plastikmüll in die Tonne kloppen oder einen vernünftigen Router besorgen!
Gruß grexit
1
Hallo,
"Der TP-Link hat intern eine NAT-Tabelle mit der er eingehende Pakete den ausgehenden wieder zuordnen kann und nur solche Pakete lässt er passieren!"
ok. Aber die SPI-Firewall prüft auch (und noch einiges mehr), ob eingehende Datenpakete auch vorher angefordert wurden. Also wäre es evtl. nötig diese auch zu deaktivieren, oder?
Nur interessehalber.
"Der TP-Link hat intern eine NAT-Tabelle mit der er eingehende Pakete den ausgehenden wieder zuordnen kann und nur solche Pakete lässt er passieren!"
ok. Aber die SPI-Firewall prüft auch (und noch einiges mehr), ob eingehende Datenpakete auch vorher angefordert wurden. Also wäre es evtl. nötig diese auch zu deaktivieren, oder?
Nur interessehalber.
Zitat von @Exzel:
ok. Aber die SPI-Firewall prüft auch (und noch einiges mehr), ob eingehende Datenpakete auch vorher angefordert wurden. Also wäre es evtl. nötig diese auch zu deaktivieren, oder?
Nur interessehalber.
Ja, sicher, da es ein Gateway ist kann sie eben auch alles Filtern oder eben nicht. Das sind alles normalerweise separate Funktionen, nur TP-Link meint eben, sie zusammenfassen zu müssen, zum Leidwesen von Usern die mehr wollen als Standardkost...ok. Aber die SPI-Firewall prüft auch (und noch einiges mehr), ob eingehende Datenpakete auch vorher angefordert wurden. Also wäre es evtl. nötig diese auch zu deaktivieren, oder?
Nur interessehalber.
Eine Firewall kann man aber auch konfigurieren anstatt alles immer nur abzuschalten, man sollte halt grundlegendes Verständnis von Netzwerkprotokollen haben, was ich bei deinem Setup und deiner Erfahrung nicht vermute, wenn man sie aber definitiv nicht benötigt abschalten.
Alles klar! Danke!
Aber wenn in einem Router nur die NAT-Firewall deaktiviert wird, bleibt die SPI-Firewall aktiv. Blockt diese das Datenpaket nicht ab?
Kommt auf den Router drauf an. Manche machen das manche nicht...ist eine Frage des Herstellers.Warum blockt die NAT-Firewall überhaupt?
Da gibt es eine herrliche Lektüre dazu hier im Forum:Experte für VPN - VPN-Verbindung herstellen
Es reicht wenn man die letzten 20 Einträge liest. Der Kollege dort war etwas schwer von Begriff...
Einfach gesagt:
Ein NAT Prozess lässt keinerlei eingehnde Sessions vom Outbound Interface zu sofern es dazu keine Einträge in der Session Tablle vom Inbound Interface gibt.
Ein NAT funktioniert also quasi so wie eine einbeinige Firewall auf dem Outbound Interface.
Eigentlich logisch wenn man mal etwas über den Paket Flow nachdenkt.
Da die "NAT Firewall" in dem Sinne keine Firewall ist weil sie zudem auch nicht stateful ist meinen manche es wäre keine.
Technisch ist das richtig aber Laien können es sich so besser vorstellen.
Hallo!
Die NAT und die SPI überschneiden sich dahingehend, dass beide eingehende Verbindungen, die keiner ausgehenden zugeordnet werden können, blocken. Ist das so richtig? Die SPI ist aber stateful und hat weitergehende Funktionen. Sie prüft den Paketstrom beispielsweise auf mögliche Hackerangriffe wie DoS etc.
Einfach gesagt:
Ein NAT Prozess lässt keinerlei eingehnde Sessions vom Outbound Interface zu sofern es dazu keine Einträge in der Session Tablle vom Inbound Interface gibt.
Ein NAT funktioniert also quasi so wie eine einbeinige Firewall auf dem Outbound Interface.
Eigentlich logisch wenn man mal etwas über den Paket Flow nachdenkt.
Da die "NAT Firewall" in dem Sinne keine Firewall ist weil sie zudem auch nicht stateful ist meinen manche es wäre keine.
Technisch ist das richtig aber Laien können es sich so besser vorstellen.
Ein NAT Prozess lässt keinerlei eingehnde Sessions vom Outbound Interface zu sofern es dazu keine Einträge in der Session Tablle vom Inbound Interface gibt.
Ein NAT funktioniert also quasi so wie eine einbeinige Firewall auf dem Outbound Interface.
Eigentlich logisch wenn man mal etwas über den Paket Flow nachdenkt.
Da die "NAT Firewall" in dem Sinne keine Firewall ist weil sie zudem auch nicht stateful ist meinen manche es wäre keine.
Technisch ist das richtig aber Laien können es sich so besser vorstellen.
Die NAT und die SPI überschneiden sich dahingehend, dass beide eingehende Verbindungen, die keiner ausgehenden zugeordnet werden können, blocken. Ist das so richtig? Die SPI ist aber stateful und hat weitergehende Funktionen. Sie prüft den Paketstrom beispielsweise auf mögliche Hackerangriffe wie DoS etc.
Zitat von @Exzel:
Die NAT und die SPI überschneiden sich dahingehend, dass beide eingehende Verbindungen, die keiner ausgehenden zugeordnet werden können, blocken. Ist das so richtig?
Pakete werden einfach nicht an den Packetfilter geroutet wenn kein Entry in der NAT-Tabelle vorhanden ist.Die NAT und die SPI überschneiden sich dahingehend, dass beide eingehende Verbindungen, die keiner ausgehenden zugeordnet werden können, blocken. Ist das so richtig?
Schau dir einfach mal das Schaubild der Default-Firewall unter Linux-Systemen iptables an, dann sollte die Funktionsweise klar sein:
http://www.linuxhomenetworking.com/wiki/images/f/f0/Iptables.gif
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_ ...
Wie gesagt, das alles wird dich aber deinem Ziel nicht näher bringen die TP-Link-Firmware dazu zu überreden kein NAT auf dem WAN zu machen, spiele DD-WRT oder OpenWRT auf die Kiste, dann hast du alle Möglichkeiten!
Alles klar! Herzlichen Dank!
