uglymr
Goto Top

Zwei Level one Router hinter Zywall 2 im internen Netzwerk - Duplicate port error

Hallo,

in unserer Firma wurde uns eingerichtet:
Zwei getrennte Netzwerke mit je einem Level One WBR 1418TX Router hinter einer Zywall 2 plus. Üblicherweise erfolgt der Zugriff auf die WBR 1418 über DSL, nur leider in unserem Fall nicht. Hier erfolgt der Zugriff über das interne Netzwerk.

Damit eine bestimmte Software auf je einen Rechner hinter den WBR 1418 zugreifen kann muss jeweils Port 80 freigegeben sein. Dies ist in den WBR 1418 auch eingerichtet.

Nun gebe ich in der Zywall 2 + (Advanced - NAT - Port Forwarding) einmal Port 80 frei auf IP-Adresse aaa.bbb.c.222 (dies ist die WAN-IP des einen WBR 1418) , was auch möglich ist.
Sobald ich aber in der Zywall 2 + einen weiteren Eintrag vornehme, mit Port 80 auf die WAN-IP des zweiten WBR 1418 (aaa.bbb.c.223) gibt die Zywall 2 + eine Fehlermeldung aus: duplicate port error.

Hat jemand eine Idee, wie dieses Problem gelöst werden kann? Im Voraus schon einmal Danke für Eure Bemühungen.

Content-Key: 206548

Url: https://administrator.de/contentid/206548

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.05.2013 aktualisiert um 00:28:52 Uhr
Goto Top
Hallo uglymr,

du kannst keine zwei gleichen Portforwardings auf eine öffentliche IP legen.

Grüße.

certified IT
Mitglied: uglymr
uglymr 16.05.2013 um 00:36:10 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.
Hast Du nicht doch irgendeine Idee, wie ich das doch noch zum Laufen kriege? Durchaus auch mit anderer Hardware als Zywall 2 plus?
Kann ich evtl. den zweiten Rechner mit WAN-IP aaa.bbb.c.223 irgendwie dazu bringen nicht auf Port 80 sondern auf einem anderen Port zu antworten?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.05.2013 um 00:39:45 Uhr
Goto Top
Hallo und bitte sehr,

Natürlich geht eine Port Umlenkung. Ob das mit einer Zywall geht weiss ich momentan nicht, da ich noch nie mit einer gearbeitet hab. Wie Sicherheitssensibel sind die Netzwerke dahinter denn?

Gruß
Mitglied: uglymr
uglymr 16.05.2013 um 00:50:42 Uhr
Goto Top
Wie und mit welcher Hardware würde denn eine solche Portumlenkung funktionieren?

Üblicherweise erfolgt ja der Zugriff auf die WBr1418 über DSL, also extern. Dummerweise ist das bei uns anders und ich habe momentan nur ein internes Netzwerk zur Verfügung.
Als Laie sage ich mal, dass die Sicherheitsrelevanz nicht höher ist, als in einem normalen Bürobetrieb. Wir sind in diesem Sinne also kein hochsicherheitsrelevantes Unternehmen face-wink

Immmerhin hat die Zywall 2 + eine konfigurierbare Firewall und ich hoffe damit einigermassen sicher zu sein. Ansonsten könnte man durchaus die Firewalls der jeweiligen PC's dahinter bemühen, oder?
Mitglied: sk
sk 16.05.2013 um 15:36:18 Uhr
Goto Top
Zitat von @uglymr:
Wie und mit welcher Hardware würde denn eine solche Portumlenkung funktionieren?

Port-Translation kann auch die 2plus. Dafür benötigst Du keine andere Hardware.


Zitat von @uglymr:
Immmerhin hat die Zywall 2 + eine konfigurierbare Firewall und ich hoffe damit einigermassen sicher zu sein.
Ansonsten könnte man durchaus die Firewalls der jeweiligen PC's dahinter bemühen, oder?

Wie sicher diese ist, hängt ist erster Linie vom Kenntnisstand desjenigen ab, der sie konfiguriert. Und da habe ich hier so meine Zweifel. Wovor soll eine Paketfilter-Firewall denn schützen, wenn Du eine Verbindung zulässt? Der angesprochene Dienst muss sicher programmiert (gepatcht) und konfiguriert sein! Da das nicht immer gewährleistet werden kann, trennt man eigentlich seine öffentliche Dienste von seinen Kronjuwelen (hier dem internen Netz)!


Gruß
sk
Mitglied: uglymr
uglymr 17.05.2013 um 13:22:56 Uhr
Goto Top
Also erstmal vielen Dank für die verschiedenen Meldungen und die Gedanken zur Sicherheit.

Trotzdem bitte ich um kurze Anleitung, wie ich die Portumleitung in der Zywall2+ realisieren kann für zwei verschiedene PC aber auf denselben Port80. Da reicht mein laienhaftes Wissen einfach nicht aus.

Im zweiten Schritt könnte ich dann herausfinden, ob es eine andere Konfiguration gibt, die mir den Zugang zu den beiden PC nur über das interne Netzwerk ermöglicht, obwohl die neue Software, die uns installiert wurde das so gar nicht vorsieht.

Versteht ihr mein Problem?

Vielen Dank und Gruss an alle "Mitstreiter" Martin
Mitglied: sk
sk 17.05.2013 um 13:37:37 Uhr
Goto Top
Zitat von @uglymr:
Versteht ihr mein Problem?

Ehrlich gesagt nicht. Wer greift nun von wo nach wo zu? Am besten machst Du ein kleine Skizze.

Gruß
sk
Mitglied: uglymr
uglymr 17.05.2013 um 18:17:27 Uhr
Goto Top
Bislang gab es nur die Zywall2+ im Büro. Nun gibt es zusätzlich hinter der Zywall2+ einmal Router 1 (LevelOne WBR1418) mit einem dahinterliegenden Netzwerk1 und einen weiteren Router 2 (ebenfalls LevelOne WBR1418) mit einem dahinterliegenden Netzwerk2.
Im Büro läuft auf einem WIN XP Pro Rechner eine neue Software mit der ich Daten abhole von einem Rechner1 in Netzwerk1 und ebenso von einem Rechner in Netzwerk2.
Normalerweise sind Netzwerk1 und Netzwerk2 entfernte Netzwerke, die per DSL ins Internet eingebunden sind. Also ist die Software mit der ich die Daten hole so konfiguriert, dass sie über das Internet (Zywall2+) auf den Router1 zugreift um die Daten von Rechner1 zu holen (analog läuft das für Netzwerk2).
Bei mir ist das allerdings alles intern verkabelt und bis jetzt habe ich in der Software keine Möglichkeit gefunden das für internes Netzwerk zu konfigurieren.
Daten abholen kann ich über die Software von Rechner1 mit NAT Port80 auf IP-Adresse des Rechner1. Die Zywall2+ lässt mich aber nicht noch einmal NAT Port80 auf die IP-Adresse des Rechner2 eintragen sondern schreibt Duplicate Port Error.

Ich hoffe jetzt wird es verständlich. Wie lädt man hier ein Bild hoch? Ich kann in den FAQ dazu nichts finden.

Vielen Dank und Gruss Martin
Mitglied: sk
sk 18.05.2013 aktualisiert um 23:43:35 Uhr
Goto Top
Zitat von @uglymr:
Bislang gab es nur die Zywall2+ im Büro. Nun gibt es zusätzlich hinter der Zywall2+ einmal Router 1 (LevelOne
WBR1418) mit einem dahinterliegenden Netzwerk1 und einen weiteren Router 2 (ebenfalls LevelOne WBR1418) mit einem
dahinterliegenden Netzwerk2.

Welcher Zweck wird mit diesem Aufbau verfolgt? Die Zywall könnte problemlos selbst 3 interne Netze verbinden und/oder gegeneinander abgrenzen. Dafür bedarf es die zwei weiteren Router nicht.


Zitat von @uglymr:
bis jetzt habe ich in der Software keine Möglichkeit gefunden das für internes Netzwerk zu konfigurieren.

Irgendwo wird man ja wohl angeben können, von wo er die Daten abholen soll. Z.B. durch Eingabe einer IP-Adresse oder eines Hostnamens. Oder wie findet die Anwendung sonst die Gegenstelle?


Gruß
sk
Mitglied: uglymr
uglymr 19.05.2013 um 17:54:24 Uhr
Goto Top
Das Thema ist einfach, dass die Firma, die uns das aufgebaut hat einfach davon ausgeht, dass alles über extern verbunden wird und der "Spezialist" mit dem ich sprach mir glatt erzählt hat, dass es anders nicht geht. Ich bin ja auch der Meinung, dass es immer noch einen anderen Weg gibt und das ist ja auch der Grund warum ich mich hier im Forum gemeldet habe. Ich werde jetzt mal eine Zeichnung anfertigen und irgendwo hochladen, damit Du Dir das mal anschauen kannst. (Ich kann in den FAQ nichts finden, wie ich in einem bereits laufenden Thread ein Bild hochlade, oder bin ich zu doof dafür?)

Danke für die Geduld und die Ausdauer Martin
Mitglied: uglymr
uglymr 19.05.2013 um 18:33:03 Uhr
Goto Top
So, hier der Link zum pdf mit der Zeichnung: http://www.c2u.ch/Zywall2+.pdf

Nun zur Erklärung:
PC1 in Netzwerk1 sammelt Daten von den weiteren PC welche sich in Netzwerk1 befinden. Nun muss ich von einem PC im Büro zugreifen auf PC1 in Netzwerk1 , um die dort gesammelten Daten abzuholen. In der Software auf diesem PC im Büro geben ich als Standort die IP-Adresse von PC1 in Netzwerk1 an.
Weiterhin benötigt PC2 eine Portöffnung, um von aussen erreichbar zu sein, weil er einmal am Tag eine Lizenzabfrage macht.

Für Netzwerk2 ist es der identische Ablauf.

Wichtig ist wohl, daß Netzwerk1 und Netzwerk2 in irgendeiner Weise getrennt voneinander sind, da es sonst zu Datensalat zwischen Netzwerk1 und Netzwerk2 kommt.

Martin
Mitglied: sk
sk 20.05.2013 aktualisiert um 13:37:14 Uhr
Goto Top
Zitat von @uglymr:
PC1 in Netzwerk1 sammelt Daten von den weiteren PC welche sich in Netzwerk1 befinden. Nun muss ich
von einem PC im Büro zugreifen auf PC1 in Netzwerk1 , um die dort gesammelten Daten abzuholen. In der
Software auf diesem PC im Büro geben ich als Standort die IP-Adresse von PC1 in Netzwerk1 an.

Wirklich die interne IP-Adresse des PC1 in Netzwerk1? Und das funktioniert? Das würde bedeuten, dass am Router1 kein NAT (Adressübersetzung) erfolgt und zwischen Netzwerk1 und dem Büro-Netz an der Zywall ein funktionierendes Routing stattfindet. Ein Portforwarding wäre dann weder auf der Zywall noch auf dem Router1 nötig. Wo ist also das Problem?
Der Zugriff auf Netzwerk2 würde analog funktionieren - selbstverständlich vorausgesetzt, dass Netzwerk2 ein anderes IP-Netz verwendet.
Bitte vervollständige die Skizze um die genutzen IP-Adressen, Subnetzmasken und Standardgateways!


Zitat von @uglymr:
Weiterhin benötigt PC2 eine Portöffnung, um von aussen erreichbar zu sein, weil er
einmal am Tag eine Lizenzabfrage macht.

Ein Portforwarding dürfte auch hier kaum erforderlich sein, da der PC2 zwecks Lizenzabgleich die Verbindung wohl von intern nach extern aufbauen wird. Nicht umgekehrt.


Zitat von @uglymr:
Wichtig ist wohl, daß Netzwerk1 und Netzwerk2 in irgendeiner Weise getrennt voneinander sind, da es sonst zu
Datensalat zwischen Netzwerk1 und Netzwerk2 kommt.

Wie gesagt: Wenn alle 3 Netze verschiedene IP-Netze verwenden, zwischen den Netzen keine Adressübersetzung erforderlich ist und die 3 Netze bzw. der Zugriff darauf nicht unter getrennter administrativer Kontrolle stehen sollen, könnte man die Konstruktion auf einen Router (nämlich die Zywall) reduzieren. Man bräuchte je nach benötigter Portanzahl lediglich einen größeren VLAN-fähigen Switch oder halt 2-3 kleine Switche - wobei man die vorhandenen LevelOne-Router ggf. auch als Switche weiternutzen könnte, sofern deren Portanzahl dann noch ausreicht (-1 für Uplink).


Gruß
Steffen
Mitglied: uglymr
uglymr 08.06.2013 um 21:43:00 Uhr
Goto Top
Problem gelöst. Vielen Dank für Eure Bemühungen einem Netzwerk-Laien zu helfen.

Das Problem war einmal, dass die beiden Level One Router dieselbe IP-Adresse hatten und noch dazu vergessen worden war bei einer Portweiterleitung das "Aktiv" Häkchen zu setzen. Soviel zu Profis, die Netzwerke einrichten face-wink