Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundlegende Frage(n) zum Portforwarding beim Bintec X2302

Frage Netzwerke Router & Routing

Mitglied: cybermarc

cybermarc (Level 1) - Jetzt verbinden

20.12.2006, aktualisiert 27.12.2006, 9995 Aufrufe, 5 Kommentare

Problem: Unwissenheit über richtige Vorgehensweise beim Forwarden einiger Ports am bintec X2302.

Hallo Leute,

unser oberstes LAN-Segment ist via bintec X2302 über DSL angebunden. Innerhalb des LAN's gibt es dann ein paar Clients, als auch nochmals 2 Router die via NAT die unterlagerten Segmente anbinden. Gewünscht ist letztlich ein Portforwarding auf einige Rechner im untersten Segment, was auch an den internen Routern korrekt eingestellt ist und funktioniert.
Mein Sorgenkind ist die bintec-Kiste, da ich einfach zu viele Masken- und Möglichkeiten habe etwas mit Ports zu veranstalten (oder auch nicht) und mir für diese Produkte einfach die Erfahrung fehlt.

Es gibt unter Security->Access-Filter/Regeln/Ketten Ports zum einstellen,aber auch unter IP->NAT INBOUND/OUTBOUND. Und dann gibts da ja auch noch die SPI.

Letztlich soll der bintec nur eine Handvoll Ports von extern auf den internen Router mit dem gleichen Port weiterleiten. DynDNS ist natürlich vorhanden und geht auch, Zugang vom obersten LAN auf die entsprechenden Services in die untere Segmente rein funktioniert ebenfalls.

Mir würde ein exemplarisches Beispiel zum konfigurieren des bintec reichen, sagen wir mal ssh-extern auf port 10376 wird weitergeleitet auf den internen Router 192.168.0.254, ebenfalls Port 10376.

Hier nochmals das Netz in vereinfachter Darstellung

{ INTERNET } -pppoE-> [ bintec x2302 ] -192.168.0.0/24-> [ Router 1 ] -192.168.3.0/24-> PC

Soll heissen, interne IP bintec: 192.168.0.1, interne IP Router: 192.168.0.254 und eigenes Subnetz hat dann 192.168.3.x .

Danke fürs Lesen (und natürlich auch fürs Antworten

Gruß, Marcus
Mitglied: aqui
20.12.2006 um 21:43 Uhr
Wozu wäre das denn gut ??? Dein Beispiel ist unverständlich denn reverses Port Forwarding mach man ja immer auf Engeräte.
Ich denke aber das der Router outbound NAT ins 0er Netz macht und du deshalb das NAT nochmals revers überwinden musst.
Gesetzt den Fall dein Zielclient der HTTP also Port 80 Daten bekommen soll hat die 192.168.3.22 und wird extern über die DynDNS Adresse mit HTTP Port 8080 angesprochen:

In die Port Forwarding Tabelle trägst du dann sowas ein wie HTTP Port 8080 incoming -> 192.168.0.254 Port 80 -> outgoing.
Das setzt der Router dann entsprechend Adress- und Porttechnisch im eingehenden Packet um, und schickt es an Router 1.

Macht der Router 1 outbound NAT in Richtung .0er Netz passiert gar nichts, denn er kann es sofort forwarden. In diesem Fall MUSS zwingend auch auf Router 1 eine Port Forwarding Tabelle existieren, die wieder eine eindeutige Adresszuordnung schafft.
Nachteil dieses ganzen Konstrukts ist das du jeweils nur eine einzige Anwendung pro Port auf Endgeräte forwarden kannst.
Auf alle Fälle müssen alles diese Daten im Bintec in einer Port Forwarding Tabelle konfiguriert werrden.
Bitte warten ..
Mitglied: cybermarc
20.12.2006 um 23:28 Uhr
Ok, spezifizieren wir mal die Router wie folgt:

Router 0 = WAN mit pppoE / LAN mit static ip 192.168.0.1 (LAN A)
Router 1 = WAN mit 192.168.0.254 / LAN mit static 192.168.3.1 (LAN B)

Router 1 ist nichts anderes als auch ein SOHO-DSL Router mit statischer IP am WAN-Port. Ich könnte meine Clients auch direkt ins LAN-A hängen, möchte dies aber nicht da von dort aus nur eingeschränkter Zugriff auf bestimmte Ressourcen meines Netzes verfügbar sein sollen. LAN-A ist das "Hausnetz" mit n Teilnehmern, LAN-B mein Entwicklungsnetz. Ausgehende Verbindungen gehen prinzipiell immer, bei beiden Routern gibt es keine Restriktionen.

Wie schon erwähnt, funktionert das Forwarding auf Router 1 ins LAN-Beinwandfrei. Dieser macht die entsprechende Zuweisung der Ports zum zugewiesenen Endgerät, daher können wir in unserem Szenario den Router 1 doch auch mal als Endgerät betrachten. Somit müsste mein Beispiel in Anfangspost etwas verständlicher sein und "revereses Port Forwarding" hinfällig.

Meine Intension war die, beim Router 0 folgendes Konstrukt zu nehmen (obiges Beispiel fuer ssh):

Externer Port: 10376
weiterleitung auf
Interner Port: 10376
Interne IP: 192.168.0.254

Nach diesem Prinzip ist es ja auch auf dem Router 1 eingerichtet, lediglich Ziel-Port und -IP sind andere. Wenn man Router 1 aus dem LAN-A mit ssh "192.168.0.254:10376" anspricht, forwarded er weiter auf eingestellten LAN-B Teilnehmer 192.168.3.10:22.

Es sind halt schon einige Ports in Router 1 konfiguriert, da dieser urspr. mal als DSL-Router hergehalten hat, abgesehen davon möchte ich im LAN-A keine Standard-Ports anbieten.

Wenn ich Dich also richtig verstanden habe aqui, dann müsste ich im bintec lediglich unter IP->NAT OUTBOUND die Weiterleitung von extern 8080 auf intern 192.168.0.254:8080 machen (der andere macht ja von 8080 auf 80).
Nun, sowas habe ich probiert, geht aber nicht. Letztlich erhalte ich am externen Client einen Timeout.
Und wenn ich es unter "IP->NAT OUTBOUND" eintrage, wozu ist dann "Security->Access-Filter/Regeln/Ketten" gut ?

Oder muss es in beide eingetragen werden ?
Bitte warten ..
Mitglied: aqui
22.12.2006 um 20:55 Uhr
Dein Beispiel würde nur funktionieren wenn der Router 1 auch einen NAT Prozess hat was vermutlich der Fall ist. Dann sollte das klappen, denn er würde wiederum eingehende Packete auf dem Port 10376 forwarden auf die IP Adresse die bei ihm konfiguriert ist.
Das alles klingt aber etwas "von hinten durch die Brust ins Auge...." Ich würde das NAT auf Router 1 komplett abschalten, den als normalen Router laufen lassen und mit ACLs den Port Traffic kontrollieren. Das ist erheblich einfacher von der Verwaltung-
Theoretisch klappt aber auch die umständliche Lösung...
Bitte warten ..
Mitglied: cybermarc
23.12.2006 um 16:52 Uhr
Ja, Router-1 hat NAT, auf das ich aber nicht verzichten kann, da es sein kann, dass ich auch mal per W-LAN im LAN-A auf meine Resourcen im LAN-B zugreifen möchte.

Du meinst jetzt ACL beim Router-0 ? Woher weiss der meine Infrastruktur in meinem Segment, schließlich soll genau dasss ja vermieden werden.

Das ganze hat sich heute aber mit dem Bintec wahrscheinlich sowieso erledigt, weil der wohl ein paar Macken hatte. Schaltete man beispielsweise über das web-Frontend die Seite SPI auf und schloss sie wieder (mit als auch ohne Änderungen) hängte sich die ganze Kiste auf.

Dennoch würde mich eines interessieren. In welchen Masken hätte ich denn nun die Einträge machen müssen?
Bitte warten ..
Mitglied: aqui
27.12.2006 um 15:25 Uhr
OK, wenn di die IP Adressaufteilung verschleiern willst musst du natürlich mit NAT arbeiten. Das Bintec SW Problem solltest du aber als erstes lösen ggf. mit einem Firmwareupdate auf die neueste Version. Du kannst dir ja sonst nie sicher sein wo der Fehler liegt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst HP Switches - Frage zu Spanning Tree bzw. Loop Back Protection (12)

Frage von chfran zum Thema LAN, WAN, Wireless ...

Hyper-V
Grundsatz Frage Anbindung Hyper V Hosts ans Netzwerk (7)

Frage von Eifeladmin zum Thema Hyper-V ...

Windows Netzwerk
gelöst Frage zu den Netzwerkfreigaben mit Bild (8)

Frage von M.Marz zum Thema Windows Netzwerk ...

Router & Routing
gelöst PfSense, Routing-Frage (10)

Frage von mrserious73 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...