6
Eingehende Verbindungen mit Dual Wan auf Bintec Routern
Hallo Allerseits,
ich habe einen Bintec Router (RS232). Dort 2 Wan Links (über PPPoE) und erstmal nur ein lokales 192.168.10.0/24 Netzwerk eingerichtet.
Sonst wurde an der Konfiguration (bis auf das Passwort, den Verwaltungszugriff und die IP-Adresse (192.168.10.1)) nichts verändert.
Der Router arbeitet hervoragend mit Load Balancing der beien WANs, nur eingehende Verbindungen (Portweiterleitungen / Incoming NAT) bekommen wir mit 2 Wan-Links nicht konfiguriert.
Mit nur einer eingerichteten WAN Verbindung klappt das mit eingehenden NAT-Regeln.
Falls sich hier jemand vielleicht mit den Funkwerk/Teldat/Bintec Routern auskennt:
Was muss man beachten / einstellen damit eingehende Verbindungen / Portweiterleitungen (von beiden WAN Verbindungen seperat) ins lokale Netzwerk auch mit zwei WAN Verbindungen funktionieren?
Danke vielmals schon im voraus
R.L. (natwer)
Sonst wurde an der Konfiguration (bis auf das Passwort, den Verwaltungszugriff und die IP-Adresse (192.168.10.1)) nichts verändert.
Der Router arbeitet hervoragend mit Load Balancing der beien WANs, nur eingehende Verbindungen (Portweiterleitungen / Incoming NAT) bekommen wir mit 2 Wan-Links nicht konfiguriert.
Mit nur einer eingerichteten WAN Verbindung klappt das mit eingehenden NAT-Regeln.
Falls sich hier jemand vielleicht mit den Funkwerk/Teldat/Bintec Routern auskennt:
Was muss man beachten / einstellen damit eingehende Verbindungen / Portweiterleitungen (von beiden WAN Verbindungen seperat) ins lokale Netzwerk auch mit zwei WAN Verbindungen funktionieren?
Danke vielmals schon im voraus
R.L. (natwer)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196583
Url: https://administrator.de/contentid/196583
Printed on: April 26, 2024 at 19:04 o'clock
6 Comments
Latest comment
Hallo Natwer,
Wie ist denn die WAN-Schnittstelle zu ereichen? Feste IP oder DYNDNS?
Bei letzterem muss man sehen, dass die Kunden eine oder eine andere IP bekommen um über die unterschiedlichen WAN-Ports rein zu kommen.
Wenn du weiter nichts konfiguriert hast, wirst du auch keinen 2ten WAN Port in Benutzung haben. Wie ist der zweite WAN Port verbunden? ISDN oder ADSL-Modem oder Kabelmodem? Der erste WAN-Port ist vermutlich der integrierte ADSL-Port.
Für die Portweiterleitung oder DMZ-Funktion benötigt es eben das Wissen um die WAN Konfiguration und wie die ensprechenden WAN-Ports logisch heißen. Also eine Konfiguration auf Layer3 Ebene fürs Routen und die DMZ und eine auf Layer 1 Ebene für die Nutzung der flexiblen Ports ETH1 bis ETH4
Also steht einer Installation von RTFM nichts im Wege. Siehe physikalische Schnittstellen Seite 134 (120).
Gruß
Netman
Wie ist denn die WAN-Schnittstelle zu ereichen? Feste IP oder DYNDNS?
Bei letzterem muss man sehen, dass die Kunden eine oder eine andere IP bekommen um über die unterschiedlichen WAN-Ports rein zu kommen.
Wenn du weiter nichts konfiguriert hast, wirst du auch keinen 2ten WAN Port in Benutzung haben. Wie ist der zweite WAN Port verbunden? ISDN oder ADSL-Modem oder Kabelmodem? Der erste WAN-Port ist vermutlich der integrierte ADSL-Port.
Für die Portweiterleitung oder DMZ-Funktion benötigt es eben das Wissen um die WAN Konfiguration und wie die ensprechenden WAN-Ports logisch heißen. Also eine Konfiguration auf Layer3 Ebene fürs Routen und die DMZ und eine auf Layer 1 Ebene für die Nutzung der flexiblen Ports ETH1 bis ETH4
Also steht einer Installation von RTFM nichts im Wege. Siehe physikalische Schnittstellen Seite 134 (120).
Gruß
Netman
Hallo!
Das ganze funktioniert, WENN Du statische IPs auf beiden Links hast. Dann musst Du eine Extended Route setzen (ist bei mir mehrfach so im Betrieb). Hast Du dynamische IPs, kannst Du das nur so machen, dass manche Dienste/Gegenstellen über WAN1 und manche über WAN2 reinkommen.
Gruß
Phil
Das ganze funktioniert, WENN Du statische IPs auf beiden Links hast. Dann musst Du eine Extended Route setzen (ist bei mir mehrfach so im Betrieb). Hast Du dynamische IPs, kannst Du das nur so machen, dass manche Dienste/Gegenstellen über WAN1 und manche über WAN2 reinkommen.
Gruß
Phil
Hallo,
ich habe ein ähnliches "Problem" und bekomme es nicht mit eigenen Versuchen zum Laufen.
Aufgabe:
2 öffentliche statische IP Adressen sollen auf (ein oder zwei, wäre egal) physische Ports eines Funkwerk RS120wu Routers (mit aktuellster Firmware) über NAT Dienste von unterschiedlichen internen Servern/Ports auf den unterschiedlichen externen Adressen anbieten.
Ich habe folgende Varianten der Konfiguration erfolglos versucht:
1) Ein WAN Interface mit 2 IP Adressen versehen (da habe ich das Problem, daß der ausgehende IP Traffic mal die eine, mal die andere Source IP erhält)
2) 2 logische Ports (en1-4 und en1-4-1) mit unterschiedlichen (statischen externen) Adressen
3) 2 physische Ports (en1-4 und en1-3) mit unterschiedlichen (statischen externen) Adressen
Bei 2)+3) funktioniert jeweils nur die en1-4 wie gewünscht, das jeweils andere Interface wird im Router nicht geroutet (trotz vorhandener NAT und offener Firewall).
Das Log des Routers zeigt, daß die Pakete vom NAT korrekt erkannt und entsprechend der Regeln weitergereicht werden, es kommte aber keine Antwort zurück (auch nicht Ping - der funktioniert bei identischer NAT Weiterleitung nur auf en1-4 (und ja, Admin Ping access ist auf allen Interfaces gesetzt))
Habt ihr dazu eine Idee, wie ich das Routing Problem weiter eingrenzen bzw. beheben kann
Der_Phil hat ja lt. eigenen Angaben eine derartige Konfiguration mehrfach am Laufen - was hast Du genau mit Extended Route gemacht?
herzlichen Dank für Eure Unterstützung,
Roman
ich habe ein ähnliches "Problem" und bekomme es nicht mit eigenen Versuchen zum Laufen.
Aufgabe:
2 öffentliche statische IP Adressen sollen auf (ein oder zwei, wäre egal) physische Ports eines Funkwerk RS120wu Routers (mit aktuellster Firmware) über NAT Dienste von unterschiedlichen internen Servern/Ports auf den unterschiedlichen externen Adressen anbieten.
Ich habe folgende Varianten der Konfiguration erfolglos versucht:
1) Ein WAN Interface mit 2 IP Adressen versehen (da habe ich das Problem, daß der ausgehende IP Traffic mal die eine, mal die andere Source IP erhält)
2) 2 logische Ports (en1-4 und en1-4-1) mit unterschiedlichen (statischen externen) Adressen
3) 2 physische Ports (en1-4 und en1-3) mit unterschiedlichen (statischen externen) Adressen
Bei 2)+3) funktioniert jeweils nur die en1-4 wie gewünscht, das jeweils andere Interface wird im Router nicht geroutet (trotz vorhandener NAT und offener Firewall).
Das Log des Routers zeigt, daß die Pakete vom NAT korrekt erkannt und entsprechend der Regeln weitergereicht werden, es kommte aber keine Antwort zurück (auch nicht Ping - der funktioniert bei identischer NAT Weiterleitung nur auf en1-4 (und ja, Admin Ping access ist auf allen Interfaces gesetzt))
Habt ihr dazu eine Idee, wie ich das Routing Problem weiter eingrenzen bzw. beheben kann
Der_Phil hat ja lt. eigenen Angaben eine derartige Konfiguration mehrfach am Laufen - was hast Du genau mit Extended Route gemacht?
herzlichen Dank für Eure Unterstützung,
Roman
Hallo!
Du brauchst in jedem Fall jeweils eine Extendedroute pro Interface, die sinngemäß sagt: Was auf Interface-1 reinkommt, soll dort auch raus.
Bei mir geht es aber nur um eingehende Verbindungen, die direkt auf dem Bintec terminieren. Ich weiß nicht, ob das auch klappt, wenn man nach intern "durchreicht".
Die Extended-Route sieht dann wie folgt aus:
Route Type Default route
Network LAN
Mode always
Gateway IP-Address 195.*.*.1
Metric 1
Source Interface don't verify
Source IP-Address 195.*.*.4
Source Mask 255.255.255.255
Type of Service (TOS) 00000000 TOS Mask 00000000
Protocol don't verify
Wobei 195.*.*.4 eben die IP des einen Interfaces ist (in meinem Fall en1-4).
und eine Zweite:
Route Type Default route
Network LAN
Mode always
Gateway IP-Address 87.*.*.9
Metric 1
Source Interface don't verify
Source IP-Address 87.*.***.10
Source Mask 255.255.255.255
Type of Service (TOS) 00000000 TOS Mask 00000000
Protocol don't verify
Wahrscheinlich benötigst Du dann noch eine Extended-Route pro Server und Dienst dahinter für alle Dienste, die NICHT über das Interface mit der niedrigeren Metrik sollen.
Gruß
Phil
Du brauchst in jedem Fall jeweils eine Extendedroute pro Interface, die sinngemäß sagt: Was auf Interface-1 reinkommt, soll dort auch raus.
Bei mir geht es aber nur um eingehende Verbindungen, die direkt auf dem Bintec terminieren. Ich weiß nicht, ob das auch klappt, wenn man nach intern "durchreicht".
Die Extended-Route sieht dann wie folgt aus:
Route Type Default route
Network LAN
Mode always
Gateway IP-Address 195.*.*.1
Metric 1
Source Interface don't verify
Source IP-Address 195.*.*.4
Source Mask 255.255.255.255
Type of Service (TOS) 00000000 TOS Mask 00000000
Protocol don't verify
Wobei 195.*.*.4 eben die IP des einen Interfaces ist (in meinem Fall en1-4).
und eine Zweite:
Route Type Default route
Network LAN
Mode always
Gateway IP-Address 87.*.*.9
Metric 1
Source Interface don't verify
Source IP-Address 87.*.***.10
Source Mask 255.255.255.255
Type of Service (TOS) 00000000 TOS Mask 00000000
Protocol don't verify
Wahrscheinlich benötigst Du dann noch eine Extended-Route pro Server und Dienst dahinter für alle Dienste, die NICHT über das Interface mit der niedrigeren Metrik sollen.
Gruß
Phil
Hllo Phil,
danke für die Unterstützung.
Habe es nun mit Deiner Anleitung hinbekommen.
Wichtig ist zu wissen, daß auch die Reihenfolge der Routes beachtet wird: zuerst die Extended Routes von "oben" nach "unten" (Tabelle im Web interface), danach die Standard Routes.
Die Weiterleitung nach intern (und wieder retour) ist möglich, wenn man folgende Konfigurationen durchführt:
hoffe das hilft anderen weiter.
lg
Roman
danke für die Unterstützung.
Habe es nun mit Deiner Anleitung hinbekommen.
Wichtig ist zu wissen, daß auch die Reihenfolge der Routes beachtet wird: zuerst die Extended Routes von "oben" nach "unten" (Tabelle im Web interface), danach die Standard Routes.
Die Weiterleitung nach intern (und wieder retour) ist möglich, wenn man folgende Konfigurationen durchführt:
- Eingehende NAT Regeln zur Weiterleitung von aussen (NAT auf jedem der externen Interfaces eingeschaltet und Regeln entsprechend pro Interface konfiguriert)
- Firewall Regel für Weiterleitung der Pakete korrekt angelegt
- Pro Dienst / Zielserver eine Regel wie von Phil oben beschrieben angelegt (hier als Source IP die interne IP des Zielservers angeben, da die Extended Route ja die Pakete auf dem Weg "nach draussen" auf das richtige Internet-Interface leiten muss) - ich habe dabei für jeden Dienst eine "Default Route" vom Quellserver/Dienst zum richtigen externen Interface / ISP Gateway angelegt
- Eigene Routing Regeln (extended) auch für IPSec ausgehend anlegen (AH, ESP, UDP 500, UDP 4500)
hoffe das hilft anderen weiter.
lg
Roman
Hallo Roman!
Freut mich, dass es geklappt hat!!
Gruß
Phil
Freut mich, dass es geklappt hat!!
Gruß
Phil