irixuser
Goto Top

Webserver hinter 2tem Router - keine Verbindung über dynDNS -

Ich möchte einen Webserver hinter einem zweiten Router betreiben, bekomme aber keine Verbindung in die DMZ.
Internet funktioniert, aber der Webserver ist nicht zu erreichen.
Skizze meines Vorhabens liegt bei...

Hallo,

ich hoffe, dass mir hier jemand helfen kann...

Die Lage ist wie folgt:
Ich betreibe ein Netzwerk mit zwei Routern. Der Erste ist ein Speedport W700V und der Zweite ein Longshine LCS-883R.
Ich nutze einen Ausgang des W700V für den TV, einen weiteren für PC1, und möchte an Ausgang 3 oder 4 den Longshine Router anschließen.
An dem Longshine sind drei weitere PC´s angeschlossen. Einer davon ist ein Apache Webserver und FTP Server auf dem zusätzlich ein Bittorrent läuft.

Soweit sogut:
Ich habe die IP des Longshine auf 192.168.2.22 gesetzt und diese auch auf dem W700V freigegeben (Firewall offen für diese IP)
Der Webserver hat die Adresse 192.168.1.146 und diese IP ist auf dem Longshine als DMZ eingerichtet.
Apache meldet "alles klar". NOIP meldet " alles klar" Internet läuft.

aber ich kann aus dem Internet nicht auf den Webserver zugreifen und kann auch keine FTP Verbindung zu diesem PC herstellen.
BitComet meldet: blocked: IP (button ist orange)

Bevor ich den W700V bekommen habe, lief alles wunderbar. DMZ, FTP, Apache, BitComet alles bestens.!!!
Unter Linux oder auch Windows alles war super.
Jetzt habe ich eine 25.000 VDSL Leitung und muss leider den Speedport W700V betreiben, sonst kann ich kein TV glotzen.

Ich habe mal eine Skizze (*.PDF) zur Visualisierung gemacht und hoffe, dass ich euch damit das Problem etwas besser verständlich machen kann.
http://www.plsystem.de/skizze-schaltung.pdf
9386adb84b016d97f1e2a998af1269d5-skizze-schaltung

Ich würde mich sehr freuen, wenn mir jemand Hilfestellung bei diesem Problem geben könnte.

Mit freundlichen Grüßen
Patric

Content-Key: 70661

Url: https://administrator.de/contentid/70661

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: SteinBeiser
SteinBeiser 11.10.2007 um 11:26:23 Uhr
Goto Top
wie ist deine netmask wenn sie 255.255.255.0 lautet kann es nicht funktionieren da rechner und router in unterschiedlichen netzen liegen.
Mitglied: IRIXuser
IRIXuser 11.10.2007 um 11:30:33 Uhr
Goto Top
Hallo,

ja! Die Maske ist 255.255.255.0

Wie kann ich das verstehen? Unterschiedliche Netze?

Was kann ich als Alternative für die Maske benutzen?


PL
Mitglied: SteinBeiser
SteinBeiser 11.10.2007 um 11:34:21 Uhr
Goto Top
bei maske 255.255.252.0 sollte es funken
oder du änderst alle ips aus 192.168.2.xxx oder 192.168.1.xxx dann gehts auch mit der vorhadenen maske.
genauere infos ip/mask findest du hier über die suche
Mitglied: IRIXuser
IRIXuser 11.10.2007 um 18:32:55 Uhr
Goto Top
hallo,
also ich habe alle IP Adressen auf 192.168.2.xxx gesetzt.
Nun kann ich den Router wieder erreichen, aber ich komme nicht mehr ins Internet.
Irgendwas läuft da falsch...

Ich bin mir auch mit den Einstellungen des Speedport unsicher.
Ich habe dem Longshine Router die IP 192.168.2.22 gegeben.
Welche Einstellungen bekommt er denn nun? Muss ich die Portfreigaben für Webserver und FTP
für die IP des Routers oder für den Rechner der an dem Router gängt (192.168.2.111)?

Ich kriege Plack mit den T-online Produkten.....

Hilfäääää!!!
Mitglied: aqui
aqui 11.10.2007 um 21:38:50 Uhr
Goto Top
Das kann niemals so funktionieren die IP Adressen in ein Netz zu ändern. Erstmal sind 192.168er Adressen feste Class C IP Adressen die per Definition eine 24 Bit Maske voraussetzen, da kann man nicht einfach 16 Bit benutzen. (Wenn dann auch nur mit einem Class B Netzwerk wie z.B. 172.16.0.0)
Deine Adressierung war schon ok wie sie in der Skizze steht. Router sollen ja routen zwischen unterschiedlichen IP Netzen und das können sie nicht mehr wenn diese Netze durch Adresstrickserei nicht mehr da sind. Klar also das das von vorn herein eine Sackgasse gewesen ist !

Dein Problem ist ein ganz anderes:
Der Longshine macht auf dem WAN Port mit dem er im Speedport Netz hängt NAT (Network Adress Translation) Er versteckt dir also dein gesamtes Longshine Netz hinter einer IP Adresse 192.168.2.22, da er durch NAT diese lokalen 192.168.1.x Adressen des Longshine Netzes ersetzt mit der seines WAN Interfaces !
Das ist genau das gleiche Prinzip wie es alle Router zum Internet hin machen wie auch dein Speedport zum VDSL Netz.
Die NAT Firewall verhindert nun aber wie sie das auch bei DSL Verbindungen macht, eingehende Verbindungen am WAN Interface in das dahinterliegen (Longshine) LAN zu forwarden. Genau das ist die NAT Firewall Funktion sämtlicher DSL Router die ja auch gewollt ist, dir aber nun das Verbindungsproblem ins Longshine Netz bereitet !
Folgende Punkte sollten das Szenario zum Spielen Bringen:
  • DynDNS Client muss zwingend auf dem Speedport aktiv sein und dort laufen. Der DynDNS Client hat auf dem Server nichts zu suchen, denn die relevante IP Adresse um in dein Netz zu kommen hält der Speedport auf deinem VDSL Interface (öffentliche Provider IP) und die muss folglich an DynDNS geschickt werden. Der Server hinter 2 mal NAT Firewalls ist so oder so für den DynDNS Prozess unerreichbar und nicht sichtbar. Dort ist der Client also Unsinn ! Deine 192.168er Netze sind RFC 1918 Netze die im Internet nicht geroutet werden (private IP) deshalb machen die Router ja auch NAT um sie umzusetzen.
*Der Speedport braucht ein Port Forwarding von TCP 80 und TCP 443 auf die IP Adresse des Longshine 192.168.2.22
  • Dieser wiederum benötigt ein Portforwarding dieser Ports auf den Server 192.168.1.146

Damit geht dann vorerst erstmal nr HTTP und HTTPS deine anderen Ports mit dem du den Server erreichen willst musst du nun analog so zusätzlich in die PFW Listen auf beiden Routern übernehmen !
Mitglied: IRIXuser
IRIXuser 14.10.2007 um 15:53:08 Uhr
Goto Top
hallo aqui,

ich hatte am freitag schon einmal geantwortet, aber leider ist der text verloren gegangen.

erstmal vielen dank für die mühe, die du dir gemacht hast.

im moment habe ich den webserver an den speedport geschaltet. am dienstag ist eine wichtige klausur.

aber mal zu deiner antwort.
kann ich denn auf dem longshine NAT deaktivieren? oder wie kann ich das problem umgehen?
die IP adressen habe ich wieder auf den alten stand gesetzt. ist nur noch die frage warum ich den dynDNS aktivieren soll? den hatte ich auf dem router noch nie eingeschaltet.
ich war bisher immer der meinung, dass ich mich ja in einer DMZ befinde und der dynClient ( NO-IP) die IP auflöst. hat ja auch immer so funktioniert.

als ich den longshine das erste mal an den speedport angeschlossen hatte, wude meine internet IP auch von NO-IP gefunden und aufgelöst.

warum muss ich den port 443 freigeben? das ist mir auch noch nicht so richtig klar.

würde mich freuen, wenn du mich weiter bei der lösung meines anliegens unterstützt.

gruß patric
Mitglied: aqui
aqui 15.10.2007 um 12:48:34 Uhr
Goto Top
...kann ich denn auf dem longshine NAT deaktivieren? Was fragst du DAS hier ??? Dein Handbuch bzw. das Setup des Longshine sollte das genau beschreiben oder sollten wir hier für dich besser das Handbuch lesen ???
Das NAT sollte in jedem Falle besser deaktiviert werden wenn du nicht mit Port Forwarding Tabellen arbeiten willst. Das geht auch, ist aber umständlicher und unflexibler !!

Port TCP 443 ist HTTPS ! (Secure HTTP) Wenn du also nur Port TCP 80 in der PFW Liste freigibst funktioniert kein HTTPS remote auf deinen Webserver. Wenn du es nicht brauchst, dann reicht natürlich auch nur einzig Port TCP 80 für den Webzugang !

Nochmal zum Thema DynDNS:
Sicher wird das funktionieren mit dem Client auf dem Server denn für den dyn DNS Dienst zählt letztlich das Packet was von deinem Speedport Router kommt, also was letztlich die öffentliche IP hat auf dem DSL Port das ist ja die relevante IP Adresse um Zugang zu deinem internen Netz zu bekommen. Aus diesem Grunde ist es also letztlich egal wer das dyn DNS Packet sendet. Es gibt nur einen sehr wichtigen Unterschied:
Ein Host hinter dem Router hat keine Ahnung vom Connect Status der DSL PPPeE Session auf dem Router, weiss also niemals genau ob diese Dyn DNS IP Adresse auch immer sauber aktualisiert ist.
Der Client auf dem Router macht das aber aktiv bei jeder Änderung am PPPoE Status.
So ist es also vollkommener Blödsinn den Dyn DNS Client auf einem Gerät hinter dem NAT Router laufen zu lassen sondern es macht nicht nur aus kosmetischen Gründen erheblich mehr Sinn den Client auch an dieser Maschine zu platzieren die selber DIREKT diese relevante dynamische IP Adresse hält !!
Das ist nun mal zweifelsohne der Router selber und niemals ein Host der hinter der NAT Firewall sitzt !
Mitglied: IRIXuser
IRIXuser 16.10.2007 um 09:32:02 Uhr
Goto Top
moin,

/*...kann ich denn auf dem longshine NAT deaktivieren?*/
die frage war evtl. nicht eindeutig gestellt od. verstanden worden. ich meinte damit, ob die rechner pc2 & pc3, welche am longshine hängen, davon nicht beeinträchtigt werden? pc2 & pc3 sind linux rechner, die mit einem samba clienten ausgestattet sind. aber da auf dem speedport NAT aktiv ist, erübrigt sich wohl die frage, oder kann es dann mit samba konflikte geben? pc1 hängt ja am speedport und dort ist der samba server installiert.

ich hatte es ja mit den PWT probiert, aber das hat ja leider nichts gebracht. kann natürlich auch ein folgefehler der einstellungen gewesen sein. ich werde beides noch einmal testen.

HTTPS werde ich nicht nutzen, so dass port 80 ausreichend ist.

zu dynDNS : wenn ich das richtig verstehe, sollte ich also dynDNS auf dem speedport aktivieren, meine zugangsdaten zu NO-IP dort eintragen und kann dann den NO-IP-clienten auf dem server weglassen? ist das so richtig?

gruß
patric
Mitglied: aqui
aqui 16.10.2007 um 16:31:20 Uhr
Goto Top
Letzteres ist so richtig !

Das NAT auf dem Longshine ist intern bei dir im Netz ja eigentlich überflüssig dort (...reicht ja wenn der SP das macht zum Internet) und behindert dich auch. Auf Samba und alle anderen Dinge hat das keinerlei Einfluss.
Es bewirkt lediglich das die IP Adressen von PC2, PC3 und Webserver also alles im 192.168.1.0er Netz nie oben im .2.0er Segment auftauchen, denn der Longshine Router NATet die alle auf seine externe 192.168.2.22 Adresse.
Das kannst du dir auch sehr einfach mal mit einem Wireshark Packet Sniffer (www.wireshark.org) ansehen.
Eine Verbindung von allen externen Netzen ins 192.168.1.0er Segment ist deshalb auch so schwierig, weil es nur über PFW auf dem Longshine via seiner .2.22 Adresse portbasierend funktionieren kann. (Die NAT Firewall muss ja überwunden werden)
Fällt das NAT weg, hast du diese Problematik nicht mehr !!
Falls der Longshine kein NAT disablen kann solltest du mal sehen ob man dort ggf. ein alternatives Firmware Image aufspielen kann sofern die HW das supportet.
Ein Router der das kann ist z.B. ein Linksys WRT54 mit dd-wrt.de Firmware.
Mitglied: IRIXuser
IRIXuser 17.10.2007 um 07:22:02 Uhr
Goto Top
hallo aqui,

danke für deine antwort. heute habe ich zeit das zu testen.
sollte der longshine das nicht mit machen, habe ich noch zwei andere geräte, mit denen ich das auch versuchen könnte. das sind zwei 19``hubs von Baynetworks; BayStack 203 & 204.
nur waren die mir bisher immer zu groß um sie in meinem wohnzimmer zu betreiben.
ich habe auch eine tolle internetseite zu diesem thema gefunden: hoffe ich kann den link hier mal einfach so posten (www.netzmafia.de/skripten/netze/netz8.html).

ich hoffe, dass ich dann heute nach einer erfolgreichen verkabelung das system so konfigurieren kann das alles meinen wünschen entspricht und ich den thread dann schliessen kann.

noch eimal, vielen dank für deine hilfe!!!

mfg
Patric
Mitglied: aqui
aqui 17.10.2007 um 11:12:00 Uhr
Goto Top
Ok, die Skripten der Netzmafia sind sehr gut (...aber auch nichts Neues für einen Netzwerker face-wink )
Wichtig ist das deine Baystacks Layer 3 fähig sind also routen können.
Können sie das, wären sie die perfekten Geräte um deine Problematik schnell und einfach zu lösen. Wie gesagt kleiner und lüfterfrei wäre ein Linksys WRT mit dd-wrt SW.... oder:


Ggf. musst du dann noch 100 Ohm Widerstand parallel in die Stromversorgung der Baystack Lüfter einlöten, damit dich diese nicht so doll nerven... (..oder in der Abseite verstecken und lange Kabel ziehen ?!)
Mitglied: IRIXuser
IRIXuser 17.10.2007 um 14:21:25 Uhr
Goto Top
hallo,

wenn ich die geräte hier habe, dann kann ich sie auch verwenden. leider habe ich kein handbuch dafür und auf der internetseite habe ich nichts über layer 3 gefunden. nur level 3 - das ist bestimmt etwas ganz anderes oder?

der gedanke die baystacks einzusetzen ist mir bis heute morgen noch gar nicht gekommen. :-]

mit 100 Ohm meinst du sicher einen widerstand .. richtig?

heute abend werde ich das projekt in angriff nehmen .... melde mich dann wieder

mfg
patric
Mitglied: aqui
aqui 18.10.2007 um 12:57:50 Uhr
Goto Top
Da hast du dann wohl nicht richtig gesucht....
Die komplette Doku findest du hier:

http://support.nortel.com/go/main.jsp?cscat=DOCUMENTATION&poid=8119 ...|1

Scheinbar sind das sogar nur dumme Hubs und noch nichtmal Switches. Da ist natürlich gar nix dann in Bezug auf Layer 3 (Routing) !
Mitglied: IRIXuser
IRIXuser 29.10.2007 um 07:37:25 Uhr
Goto Top
hallo,

infolge der hilfestellungen aus diesem forum, habe ich das problem lösen können.
ich möchte mich nochmal bei allen beteiligten bedanken und betrachte diesen beitrag nun als abgeschlossen.

viele grüße aus hannover......
patric
Mitglied: adasadas
adasadas 03.05.2009 um 17:59:31 Uhr
Goto Top
Hallo Patric,
Ich habe das gleiche Problem allerdings mit einem anderen Web Server bzw. Net receiver.
Wie hast du dein Problem gelöst...?
Wie ist der Ensstand
Danke
Adel