Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundlegende Frage(n) zum Portforwarding beim Bintec X2302

Frage Netzwerke Router & Routing

Mitglied: cybermarc

cybermarc (Level 1) - Jetzt verbinden

20.12.2006, aktualisiert 27.12.2006, 10052 Aufrufe, 5 Kommentare

Problem: Unwissenheit über richtige Vorgehensweise beim Forwarden einiger Ports am bintec X2302.

Hallo Leute,

unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.

Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.

Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.

Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.

Hier nochmals das Netz in vereinfachter Darstellung

{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC

Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .

Danke fürs Lesen (und natürlich auch fürs Antworten

Gruß, Marcus
Mitglied: aqui
20.12.2006 um 21:43 Uhr
Wozu wäre das denn gut ??? Dein Beispiel ist unverständlich denn reverses Port Forwarding mach man ja immer auf Engeräte.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:

In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.

Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Bitte warten ..
Mitglied: cybermarc
20.12.2006 um 23:28 Uhr
Ok, spezifizieren wir mal die Router wie folgt:

Router 0 = WAN mit pppoE / LAN mit static ip 192.168.0.1 (LAN A)
Router 1 = WAN mit 192.168.0.254 / LAN mit static 192.168.3.1 (LAN B)

Router 1 ist nichts anderes als auch ein SOHO-DSL Router mit statischer IP am WAN-Port. Ich könnte meine Clients auch direkt ins LAN-A hängen, möchte dies aber nicht da von dort aus nur eingeschränkter Zugriff auf bestimmte Ressourcen meines Netzes verfügbar sein sollen. LAN-A ist das "Hausnetz" mit n Teilnehmern, LAN-B mein Entwicklungsnetz. Ausgehende Verbindungen gehen prinzipiell immer, bei beiden Routern gibt es keine Restriktionen.

Wie schon erwähnt, funktionert das Forwarding auf Router 1 ins LAN-Beinwandfrei. Dieser macht die entsprechende Zuweisung der Ports zum zugewiesenen Endgerät, daher können wir in unserem Szenario den Router 1 doch auch mal als Endgerät betrachten. Somit müsste mein Beispiel in Anfangspost etwas verständlicher sein und "revereses Port Forwarding" hinfällig.

Meine Intension war die, beim Router 0 folgendes Konstrukt zu nehmen (obiges Beispiel fuer ssh):

Externer Port: 10376
weiterleitung auf
Interner Port: 10376
Interne IP: 192.168.0.254

Nach diesem Prinzip ist es ja auch auf dem Router 1 eingerichtet, lediglich Ziel-Port und -IP sind andere. Wenn man Router 1 aus dem LAN-A mit ssh "192.168.0.254:10376" anspricht, forwarded er weiter auf eingestellten LAN-B Teilnehmer 192.168.3.10:22.

Es sind halt schon einige Ports in Router 1 konfiguriert, da dieser urspr. mal als DSL-Router hergehalten hat, abgesehen davon möchte ich im LAN-A keine Standard-Ports anbieten.

Wenn ich Dich also richtig verstanden habe aqui, dann müsste ich im bintec lediglich unter IP->NAT OUTBOUND die Weiterleitung von extern 8080 auf intern 192.168.0.254:8080 machen (der andere macht ja von 8080 auf 80).
Nun, sowas habe ich probiert, geht aber nicht. Letztlich erhalte ich am externen Client einen Timeout.
Und wenn ich es unter "IP->NAT OUTBOUND" eintrage, wozu ist dann "Security->Access-Filter/Regeln/Ketten" gut ?

Oder muss es in beide eingetragen werden ?
Bitte warten ..
Mitglied: aqui
22.12.2006 um 20:55 Uhr
Dein Beispiel würde nur funktionieren wenn der Router 1 auch einen NAT Prozess hat was vermutlich der Fall ist. Dann sollte das klappen, denn er würde wiederum eingehende Packete auf dem Port 10376 forwarden auf die IP Adresse die bei ihm konfiguriert ist.
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...
Bitte warten ..
Mitglied: cybermarc
23.12.2006 um 16:52 Uhr
Ja, Router-1 hat NAT, auf das ich aber nicht verzichten kann, da es sein kann, dass ich auch mal per W-LAN im LAN-A auf meine Resourcen im LAN-B zugreifen möchte.

Du meinst jetzt ACL beim Router-0 ? Woher weiss der meine Infrastruktur in meinem Segment, schließlich soll genau dasss ja vermieden werden.

Das ganze hat sich heute aber mit dem Bintec wahrscheinlich sowieso erledigt, weil der wohl ein paar Macken hatte. Schaltete man beispielsweise über das web-Frontend die Seite SPI auf und schloss sie wieder (mit als auch ohne Änderungen) hängte sich die ganze Kiste auf.

Dennoch würde mich eines interessieren. In welchen Masken hätte ich denn nun die Einträge machen müssen?
Bitte warten ..
Mitglied: aqui
27.12.2006 um 15:25 Uhr
OK, wenn di die IP Adressaufteilung verschleiern willst musst du natürlich mit NAT arbeiten. Das Bintec SW Problem solltest du aber als erstes lösen ggf. mit einem Firmwareupdate auf die neueste Version. Du kannst dir ja sonst nie sicher sein wo der Fehler liegt.
Bitte warten ..
Ähnliche Inhalte
Sonstige Systeme
OsTicket - Grundlegende Fragen
Frage von Dragan123Sonstige Systeme8 Kommentare

Guten Morgen zusammen, Ich habe eine Frage an euch und hoffe jemand hat eine Antwort. Ich bin auf der ...

Hyper-V
Remote App - Grundlegende Fragen
gelöst Frage von 118080Hyper-V9 Kommentare

Habe nun einen neuen Plan für unser Netzwerk: Und zwar möchte ich so viele Programme wie möglich via Remote ...

Windows Server
Windows Server - Grundlegende Fragen
Frage von Dragan123Windows Server21 Kommentare

Hallo zusammen, ich habe mehrere Fragen, die ich hoffe hier beantwortet zu bekommen. Erst mal zu mir: Ich habe ...

Debian
Debian Pakete - Anfänger Frage(n)
gelöst Frage von InvisibleQuantumDebian2 Kommentare

Hay, ich benutze seit kurzer Zeit Debian Jessie auf meinem Raspi3, vorher hatte ich eher wenig mit Linux zutun ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet4 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.