9
Verständnisproblem Modem-Router-Firewall
Hallo.
Ich glaube, ich habe nur ein kleines Verständisproblem.
Mein Netzwerk: (mangels Visio nicht ganz state of the art
)
Zu meiner Frage:
Wenn ich an einem der Clients ein Browser-Fenster öffne und meine externe IP "1.1.1.202" eingebe lande ich am Weblogin der ZyWALL.
So als ob kein Router/Modem zwischen WAN und Firewall existieren würde.
Meine Erwartung wäre, dass ich mit der externen IP gar nirgends bzw. wenn schon dann am Router-Weblogin lande.
Ich glaube ich habe einen sehr einfachen Denkfehler, steh aber im Moment wie der Ochs vormTor.
Danke für eure Hilfe,
nobs.
ps: Vom Inernet aus sind beide Weblogins nicht erreichbar - Ferwartung ist sowohl am Router als auch an der ZyWall aus Sicherheitsgründen deaktiviert.
edit: 20.01.2015 - 22:27 Bild aktualisiert
Ich glaube, ich habe nur ein kleines Verständisproblem.
Mein Netzwerk: (mangels Visio nicht ganz state of the art
)Zu meiner Frage:
Wenn ich an einem der Clients ein Browser-Fenster öffne und meine externe IP "1.1.1.202" eingebe lande ich am Weblogin der ZyWALL.
So als ob kein Router/Modem zwischen WAN und Firewall existieren würde.
Meine Erwartung wäre, dass ich mit der externen IP gar nirgends bzw. wenn schon dann am Router-Weblogin lande.
Ich glaube ich habe einen sehr einfachen Denkfehler, steh aber im Moment wie der Ochs vormTor.
Danke für eure Hilfe,
nobs.
ps: Vom Inernet aus sind beide Weblogins nicht erreichbar - Ferwartung ist sowohl am Router als auch an der ZyWall aus Sicherheitsgründen deaktiviert.
edit: 20.01.2015 - 22:27 Bild aktualisiert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 260412
Url: https://administrator.de/contentid/260412
Printed on: April 18, 2024 at 12:04 o'clock
9 Comments
Latest comment
Hi,
ist das nun ein Router oder ein Modem ?
Hast Du vom Provider ein Transfer-Netz/mehrere IPs ?
Ein Modem hat wohl keine IP, wenn die Firewall es zB nur mit PPPoe benutzt.
Von innen sollte sich die Firewall auf Ihrer lokalen IP melden, von aussen auf ihrer PublicIP
Gruss RS
ist das nun ein Router oder ein Modem ?
Hast Du vom Provider ein Transfer-Netz/mehrere IPs ?
Ein Modem hat wohl keine IP, wenn die Firewall es zB nur mit PPPoe benutzt.
Von innen sollte sich die Firewall auf Ihrer lokalen IP melden, von aussen auf ihrer PublicIP
Gruss RS
Hi,
Router:
nach dem Router solltest du schon im 192.168.0.xxx netz sein, danach kann es keine 1.1.1.x ip geben
Modem:
nach dem Modem 1.1.1.201 -> ZyWALL 1.1.1.202 ->192.168.0.xxx
wenn du 1.1.1.202 eingibst kommt logisch ZyWALL webif ...ist ja auch eine seiner IP´s weil das Modem alles durchschleift
da Modem nur eine IP durch Subnet 255.255.255.252
ist leichter zu verstehen wenn man es von aussen betrachtet...würde es von aussen funktionieren dann : internet bsp. (8.8.8.8 öffentlicheip) -> (1.1.1.202öip) -> (modemgateway1.1.1.201öip) -> (ZyWALL 1.1.1.202öip - 192.168.0.xxxinterneip)
Hab sowas schon mal gehabt mit AUT/Telekom cisco 327 "modem" aufbohren und ZyWALL überflüssig
mgf dax
Router:
nach dem Router solltest du schon im 192.168.0.xxx netz sein, danach kann es keine 1.1.1.x ip geben
Modem:
nach dem Modem 1.1.1.201 -> ZyWALL 1.1.1.202 ->192.168.0.xxx
wenn du 1.1.1.202 eingibst kommt logisch ZyWALL webif ...ist ja auch eine seiner IP´s weil das Modem alles durchschleift
da Modem nur eine IP durch Subnet 255.255.255.252
ist leichter zu verstehen wenn man es von aussen betrachtet...würde es von aussen funktionieren dann : internet bsp. (8.8.8.8 öffentlicheip) -> (1.1.1.202öip) -> (modemgateway1.1.1.201öip) -> (ZyWALL 1.1.1.202öip - 192.168.0.xxxinterneip)
Hab sowas schon mal gehabt mit AUT/Telekom cisco 327 "modem" aufbohren und ZyWALL überflüssig
mgf dax
Hi,
- Ist das nun ein Modem oder ein Router, der dem ZyWall vorgeschaltet ist ?
- sind das nun 2 öffentliche IP´s die Du bekommst ?
Vielleicht könnte ein Blick in Deinen Vertrag und eine Info, welchen Provider Du hast(Kabel/DSL, Hardware etc.), schon einiges abklären.
Gruß orcape
Ich glaube, ich habe nur ein kleines Verständisproblem.
Das geht mir bei Deinen Schilderungen auch so...- Ist das nun ein Modem oder ein Router, der dem ZyWall vorgeschaltet ist ?
- sind das nun 2 öffentliche IP´s die Du bekommst ?
Vielleicht könnte ein Blick in Deinen Vertrag und eine Info, welchen Provider Du hast(Kabel/DSL, Hardware etc.), schon einiges abklären.
Wenn ich an einem der Clients ein Browser-Fenster öffne und meine externe IP "1.1.1.202" eingebe lande ich am Weblogin der ZyWALL.
Ist bei mir auch so, wenn ich den WebGUI nicht blocke.Gruß orcape
Moin,
die 1.1.1.201 bzw 1.1.1.202 wird mit großer Wahrscheinlichkeit nicht Deine externe Adresse sein sondern ein Transit-Netz. Daher erreichst Du die Adressen zwar von intern, jedoch nicht von extern. (schau doch mal bei http://www.wieistmeineip.de was da als externe Adresse angezeigt wird)
Deine Zywall müsste auch noch eine Adresse aus dem 192.168.0.x haben, die auch bei den Rechnern als Default-Gateway hinterlegt sein sollte bzw per DHCP verteilt wird.
btw finde ich Deine Zeichnung relativ gut, damit kann man deutlich mehr anfangen als mit den sonst sehr verbreiteten Text-Beschreibungen. Du solltest sie allerdings um mindestens folgende Infos ergänzen:
- Subnetz-Maske (ggf auch im Kurzformat 192.168.0.1/24 wenn es eine 255.255.255.0 ist)
- Default-Gateway der Geräte (dabei wäre Dir dann wohl auch aufgefallen, wo Dein Denkfehler liegt)
- DNS-Server (sehr informativ wenn es mit der Namensauflösung hapert)
- Sofern ein DHCP-Server im Netz ist, sollte man auch die Einstellungen vom DHCP irgendwo vermerken
und für den Router evtl noch eingetragene Routen.
Gruß
Bernhard
die 1.1.1.201 bzw 1.1.1.202 wird mit großer Wahrscheinlichkeit nicht Deine externe Adresse sein sondern ein Transit-Netz. Daher erreichst Du die Adressen zwar von intern, jedoch nicht von extern. (schau doch mal bei http://www.wieistmeineip.de was da als externe Adresse angezeigt wird)
Deine Zywall müsste auch noch eine Adresse aus dem 192.168.0.x haben, die auch bei den Rechnern als Default-Gateway hinterlegt sein sollte bzw per DHCP verteilt wird.
btw finde ich Deine Zeichnung relativ gut, damit kann man deutlich mehr anfangen als mit den sonst sehr verbreiteten Text-Beschreibungen. Du solltest sie allerdings um mindestens folgende Infos ergänzen:
- Subnetz-Maske (ggf auch im Kurzformat 192.168.0.1/24 wenn es eine 255.255.255.0 ist)
- Default-Gateway der Geräte (dabei wäre Dir dann wohl auch aufgefallen, wo Dein Denkfehler liegt)
- DNS-Server (sehr informativ wenn es mit der Namensauflösung hapert)
- Sofern ein DHCP-Server im Netz ist, sollte man auch die Einstellungen vom DHCP irgendwo vermerken
und für den Router evtl noch eingetragene Routen.
Gruß
Bernhard
Die Frage ist generell ob das ominöse Modem / Router ein wirklich reines Modem ist oder ein Router ?! Wie immer vermischt der TO hier die Begriffe Modem und Router laienhaft in freier Willkür.
Leider ist der TO auch nicht in der Lage das klar zu benennen, denn technisch ist das ein himmelweiter Unterschied ob man mit einem wirklichen nur Modem das Internet direkt an der FW terminiert (PPPoE Provider Zugangsdaten direkt auf der Firewall konfiguriert !) oder...
ob die Firewall eine Router Kaskade bildet (Zugangsdaten auf dem davorliegenden Router) wie es hier in der Alternative-2 beschrieben ist ?!
Für die Klärung der Frage ist das essentiell wichtig zu wissen. Siehe auch Frage des Kollegen Orcape oben !
P.S.: Für nicht Visio ist die Zeichnung schon sehr gut
Leider ist der TO auch nicht in der Lage das klar zu benennen, denn technisch ist das ein himmelweiter Unterschied ob man mit einem wirklichen nur Modem das Internet direkt an der FW terminiert (PPPoE Provider Zugangsdaten direkt auf der Firewall konfiguriert !) oder...
ob die Firewall eine Router Kaskade bildet (Zugangsdaten auf dem davorliegenden Router) wie es hier in der Alternative-2 beschrieben ist ?!
Für die Klärung der Frage ist das essentiell wichtig zu wissen. Siehe auch Frage des Kollegen Orcape oben !
P.S.: Für nicht Visio ist die Zeichnung schon sehr gut
Hi.
Vielen Dank erstmal für das reichliche Feedback.
@schmitzi:
Danke für den Tipp.
Mein vom ISP bereitgestellter Router besitzt eine Modemfunktion, fungiert aber offensichtlich nur als Modem.
Wenn ich jetzt alles richtig verstanden habe leitet das Modem die IP 1.1.1.201 nur an die ZyWall (1.1.1.202) weiter.
@dax4fun:
Danke für die Beschreibung. Dadurch konnte ich mein Bild vervollständigen.
@orcape:
Vertrag hat aufschluss gebracht. Danke.
@BernhardMeierrose:
1.1.1.201 und 1.1.1.202 sind öffentliche IPs. Laut wieistmeineip.de haben alle Clients die ext. IP 1.1.1.202
Deine Anregung die Zeichnung um die von dir vorgeschlagenen Punkte zu erweitern hat mir fürs Verständnis sehr geholfen. Danke!
@aqui:
Ich bin naiverweiße davon ausgegangen, dass mein vom ISP bereitgestellter Router mit Modemfunktion als Router in meinem Netzwerk fungiert.
Offensichtlich ist das nicht der Fall. Das war es auch was mich selbst verwirrt hat.
Wenn ich alles richtig verstanden habe, stimmen folgende zwei Aussagen:
- Mein Router mit Modemfunktion ist nur als Modem konfiguriert und "routet" nicht, sonder leitet nur die IP vom ISP (1.1.1.201) an die ZyWall (1.1.1.202) weiter
- Meine Zywall fungiert als Router und ist deshalb auch als Gateway bei den Clients eingetragen. Wenn ich im LAN an einem Client meine externe IP (1.1.1.202) in den Broswer eingebe lande ich deshalb auch beim Zywall-WebIF und nicht beim Modem. Das Modem schleust meine Anfrage ja nur durch.
ps: kleine Anmerkung zu meiner Zeichnung. Der graue Ausschnitt links neben der Firewall zeigt die Einstellung im Zywall-WebIF "WAN IP Address Assignment" und damit die Weiterleitung von 1.1.1.201 -> 1.1.1.202.
Danke nochmal an alle. Echt eine super community.
gruß nobs.
Vielen Dank erstmal für das reichliche Feedback.
@schmitzi:
Danke für den Tipp.
Mein vom ISP bereitgestellter Router besitzt eine Modemfunktion, fungiert aber offensichtlich nur als Modem.
Wenn ich jetzt alles richtig verstanden habe leitet das Modem die IP 1.1.1.201 nur an die ZyWall (1.1.1.202) weiter.
@dax4fun:
Danke für die Beschreibung. Dadurch konnte ich mein Bild vervollständigen.
@orcape:
Vertrag hat aufschluss gebracht. Danke.
@BernhardMeierrose:
1.1.1.201 und 1.1.1.202 sind öffentliche IPs. Laut wieistmeineip.de haben alle Clients die ext. IP 1.1.1.202
Deine Anregung die Zeichnung um die von dir vorgeschlagenen Punkte zu erweitern hat mir fürs Verständnis sehr geholfen. Danke!
@aqui:
Ich bin naiverweiße davon ausgegangen, dass mein vom ISP bereitgestellter Router mit Modemfunktion als Router in meinem Netzwerk fungiert.
Offensichtlich ist das nicht der Fall. Das war es auch was mich selbst verwirrt hat.
Wenn ich alles richtig verstanden habe, stimmen folgende zwei Aussagen:
- Mein Router mit Modemfunktion ist nur als Modem konfiguriert und "routet" nicht, sonder leitet nur die IP vom ISP (1.1.1.201) an die ZyWall (1.1.1.202) weiter
- Meine Zywall fungiert als Router und ist deshalb auch als Gateway bei den Clients eingetragen. Wenn ich im LAN an einem Client meine externe IP (1.1.1.202) in den Broswer eingebe lande ich deshalb auch beim Zywall-WebIF und nicht beim Modem. Das Modem schleust meine Anfrage ja nur durch.
ps: kleine Anmerkung zu meiner Zeichnung. Der graue Ausschnitt links neben der Firewall zeigt die Einstellung im Zywall-WebIF "WAN IP Address Assignment" und damit die Weiterleitung von 1.1.1.201 -> 1.1.1.202.
Danke nochmal an alle. Echt eine super community.
gruß nobs.
Offensichtlich ist das nicht der Fall. Das war es auch was mich selbst verwirrt hat.
Deshalb immer der wohlgemeinte Tipp hier von uns sich immer VORHER (also vor dem Tippen des Threads) mit einem Wireshark oder mindestens durch einen kurzen Blick in die Konfiguration der Komponenten einen Überblick zu verschaffen WIE alle diese Komponenten zusammenspielen.Das hilft der Forums Community ungemein beim Troubleshooting. Je detailierter desto besserer !
Sind aber ja alles Binsenweisheiten....die eigentlich jeder kennen sollte, denn in einem Forum sieht man sich nicht optisch umso wichtiger ist eine fundierte Beschreibung.
Zurück zum Thema....
Mein Router mit Modemfunktion ist nur als Modem konfiguriert und "routet" nicht, sonder leitet nur die IP vom ISP (1.1.1.201) an die ZyWall (1.1.1.202) weiter
Das müssen wir dir ja mal glauben wenn du das sagst. Kannst du aber ganz einfach überprüfen wenn du ins Web Setup der Zywall gehst, dir einmal den Status des WAN Ports ansiehst und wenn du dort PPPoE als Modus siehst und eine negotiatete öffentliche Provider IP dann ist dem so.Wenn du noch einen Screenshot postest dann ist das wasserdicht !
Meine Zywall fungiert als Router und ist deshalb auch als Gateway bei den Clients eingetragen. Wenn ich im LAN an einem Client meine externe IP (1.1.1.202) in den Broswer eingebe lande ich deshalb auch beim Zywall-WebIF und nicht beim Modem. Das Modem schleust meine Anfrage ja nur durch.
Ja das ist so ! Das Modem oder ein zum nur Modem gemachter Router ist dann nur noch ein passiver Medien (Format) Wandler wie früher die guten alten analogen telefonmodems die so schön trillerten wie ein Fax.Die IP Adresse des Modems dien dann ausschliesslich nur noch dem Management. Am IP Routing sprich Layer Paket Forwarding ist ein nur Modem NICHT mehr beteiligt sondern reicht nur noch transparent durch.
Der graue Ausschnitt links neben der Firewall zeigt die Einstellung im Zywall-WebIF "WAN IP Address Assignment" und damit die Weiterleitung von 1.1.1.201 -> 1.1.1.202.
Das ist technsicher Blödsinn, denn das ist stinknormales Routing und hat nichts mit einer "Weiterleitung" zu tun.Die eine IP ist der Provider Router und die andere IP deine Host IP Adresse der Firewall in diesem Provider IP Segment.
Wobei wir hier mal davon ausgehen das du die IP 1.1.1.202 anonymisiert hast, denn die hat mit Sicherheit KEIN Provider in der EU.
Hm...
Beschreibungstechnisch ists jetzt ja klarer, da ist das Wesentliche gesagt, was ich hier aber immer noch nicht verstehe, ist, wie der TO aus seinem internen Netz über die externe IP Zugriff auf seine Firewall erhält, gleichzeitig aber aus dem "Internet" über seine öffentliche IP nicht darauf zugreifen kann und die Fernwartung deaktiviert hat.
Das passt doch nicht zusammen. Bitte mal diese Einstellungen checken, lieber nobo147.
Ich habe das eben mal spasseshalber an meiner Fritte getestet und die lässt mich mitnichten von innen über aussen drauf, wenn ich die Fernwartung abschalte.
El Buco
Edit: Ups, der Beitrag war ja uralt und der TO verstummt... Sei's drum: Kommt der Hase aus dem Pfeffer?
Nochmal Edit: Hase war sprichwörtlich. Ähnlichkeiten mit verdienten Foristen rein zufällig und bedeutungslos...
Beschreibungstechnisch ists jetzt ja klarer, da ist das Wesentliche gesagt, was ich hier aber immer noch nicht verstehe, ist, wie der TO aus seinem internen Netz über die externe IP Zugriff auf seine Firewall erhält, gleichzeitig aber aus dem "Internet" über seine öffentliche IP nicht darauf zugreifen kann und die Fernwartung deaktiviert hat.
Das passt doch nicht zusammen. Bitte mal diese Einstellungen checken, lieber nobo147.
Ich habe das eben mal spasseshalber an meiner Fritte getestet und die lässt mich mitnichten von innen über aussen drauf, wenn ich die Fernwartung abschalte.
El Buco
Edit: Ups, der Beitrag war ja uralt und der TO verstummt... Sei's drum: Kommt der Hase aus dem Pfeffer?
Nochmal Edit: Hase war sprichwörtlich. Ähnlichkeiten mit verdienten Foristen rein zufällig und bedeutungslos...
die lässt mich mitnichten von innen über aussen drauf,
Das geht so oder so niemals weil so gut wie alle diese billigen Consumer Router KEIN Hairpin NAT supporten:http://wiki.mikrotik.com/wiki/Hairpin_NAT
Wenn dann, ist nur ein Test von wirklich außerhalb möglich ! Niemals aber von intern indem man die externe IP verwendet das können all die billigen Plaste Elaste Router (Ausnahme Mikrotik) nicht !
