1821/LCOS 6.23: Portforwarding auf ein anderes Subnet?

Anmeldungsdatum: 14.01.2005 Beiträge: 23

Vorgeschichte:
Nach einem Gewitter hat sich der ADSL Teil in meinem 1821 (Modemrelease C aus 2004) offensichtlich verabschiedet: ADSL State wechselt ständig zwischen Handshake und Training und es kommt kein Sync mehr zustande (T-DSL 3000 Business). Nachdem ein alter DSL-WLAN Router ohne Probleme einen Sync bekam, und mir der Lancom Support die freudige Mitteilung gemacht hat, daß:
1. Bei einem Gerät dieser Preisklasse ein Vorabaustausch nicht ohne eine "Serviceoption" (~ EUR 80,--) möglich ist (die ich nicht gekauft habe) und
2. Bei einem Blitzschlag das Gerät nicht mehr rentabel zu reparieren ist und
3. Ein Austausch der Hardwarerelease C gegen E (ADSL2+) gegen entsprechende Rechnung nicht mehr angeboten wird

habe ich mir ein Speedtouch 536iv6 gekauft und einen LAN Port als DSL Port konfiguriert. Das klappt auch wunderbar und nachdem ich diesen Thread (Modemdaten hinter Router auslesen) gelesen hatte, kann ich das als Bridge konfigurierte DSL Modem (IP 192.168.1.254) auch aus meinem LAN erreichen (Subnet 192.168.1.0/24).

Die Frage ist nun:
Ich habe ein Portforwarding an 192.168.1.254 konfiguriert um die Weboberfläche des DSL Modem auch von ausserhalb erreichen zu können. Ein entsprechender Eintrag in der Firewall ist auch vorhanden. Dennoch kann ich aus dem Internet die Weboberfläche meines DSL Modems nicht erreichen. Liegt das vielleicht daran, dass die IP Adresse des Modems nicht im gleichen Subnet liegt obwohl das aus dem LAN funktioniert?

Über Tipps würde ich mich freuen und bedanke mich im Voraus,
Marcus

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4571 Wohnort: Aachen

Hi marcmerz

Zitat:

Ich habe ein Portforwarding an 192.168.1.254 konfiguriert um die Weboberfläche des DSL Modem auch von ausserhalb erreichen zu können. Ein entsprechender Eintrag in der Firewall ist auch vorhanden. Dennoch kann ich aus dem Internet die Weboberfläche meines DSL Modems nicht erreichen. Liegt das vielleicht daran, dass die IP Adresse des Modems nicht im gleichen Subnet liegt obwohl das aus dem LAN funktioniert?

eigentlich sollte das funktionieren.. Mach mal einen IP-Router und einen Firewall-Trace von dem Versuch.

Gruß
Backslash

Anmeldungsdatum: 14.01.2005 Beiträge: 23

Hi backslash,

Zuerst aus dem Internet (Port 4081 forwarded an Port 80 IP 192.168.1.254):

Code:

[IP-Router] 2006/10/11 21:50:42,780
IP-Router Rx (LAN):
DstIP: 217.95.187.104, SrcIP: 192.168.0.1, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 4081, SrcPort: 2378, Flags: S
Route: WAN Tx Peer: T-DSLBIZ

[IP-Router] 2006/10/11 21:50:42,780
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.1.254, SrcIP: 217.95.187.104, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 57827, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/11 21:50:42,790
IP-Router Rx (SPEEDTOUCH):
DstIP: 217.95.187.104, SrcIP: 192.168.1.254, Len: 44, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 57827, SrcPort: 80, Flags: SA
Route: WAN Tx Peer: T-DSLBIZ

[IP-Router] 2006/10/11 21:50:45,770
IP-Router Rx (LAN):
DstIP: 217.95.187.104, SrcIP: 192.168.0.1, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 4081, SrcPort: 2378, Flags: S
Route: WAN Tx Peer: T-DSLBIZ

[IP-Router] 2006/10/11 21:50:45,770
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.1.254, SrcIP: 217.95.187.104, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 57827, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

[Firewall] 2006/10/11 21:50:49,250
remove Rx minimum of 448 kBit/s from T-DSLBIZ (result 0 kBit/s)

[IP-Router] 2006/10/11 21:50:51,700
IP-Router Rx (LAN):
DstIP: 217.95.187.104, SrcIP: 192.168.0.1, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 4081, SrcPort: 2378, Flags: S
Route: WAN Tx Peer: T-DSLBIZ

[IP-Router] 2006/10/11 21:50:51,700
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.1.254, SrcIP: 217.95.187.104, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 57827, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

Add Rx minimum of 448 kBit/s to T-DSLBIZ (result 448 kBit/s)
packet accepted

Die Meldung der Firewall habe ich vorher noch nicht gesehen und ich bin mir auch nicht sicher, daß es etwas damit zu tun hat.

Nun aus dem LAN:

Code:

[IP-Router] 2006/10/11 21:51:22,970
IP-Router Rx (LAN):
DstIP: 192.168.1.254, SrcIP: 192.168.0.1, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2383, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/11 21:51:22,970
IP-Router Rx (SPEEDTOUCH):
DstIP: 192.168.0.1, SrcIP: 192.168.1.254, Len: 44, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 2383, SrcPort: 80, Flags: SA
Route: LAN Tx

[IP-Router] 2006/10/11 21:51:22,970
IP-Router Rx (LAN):
DstIP: 192.168.1.254, SrcIP: 192.168.0.1, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2383, Flags: A
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/11 21:51:22,970
IP-Router Rx (LAN):
DstIP: 192.168.1.254, SrcIP: 192.168.0.1, Len: 254, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2383, Flags: PA
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/11 21:51:22,980
IP-Router Rx (SPEEDTOUCH):
DstIP: 192.168.0.1, SrcIP: 192.168.1.254, Len: 57, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 2383, SrcPort: 80, Flags: PA
Route: LAN Tx

[IP-Router] 2006/10/11 21:51:23,000
IP-Router Rx (SPEEDTOUCH):
DstIP: 192.168.0.1, SrcIP: 192.168.1.254, Len: 1500, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 2383, SrcPort: 80, Flags: A
Route: LAN Tx

[IP-Router] 2006/10/11 21:51:23,000
IP-Router Rx (LAN):
DstIP: 192.168.1.254, SrcIP: 192.168.0.1, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2383, Flags: A
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/11 21:51:23,000
IP-Router Rx (SPEEDTOUCH):
DstIP: 192.168.0.1, SrcIP: 192.168.1.254, Len: 157, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 2383, SrcPort: 80, Flags: PA
Route: LAN Tx

[IP-Router] 2006/10/11 21:51:23,010
IP-Router Rx (LAN):
DstIP: 192.168.1.254, SrcIP: 192.168.0.1, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2384, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

.
.
.

Edit
Was mir bei einem trace von IP-MASQUERADING noch aufgefallen ist: Bei einem Aufruf aus dem Internet steht dies:

Code:

[IP-Masquerading] 2006/10/12 00:10:53,280
masquerading failed for port 80

im Logfile?! Ich tappe wirklich im dunkeln. An der Firewall des DSL Modems selbst kann es nicht liegen, denn die ist nicht aktiviert.
/Edit

Gruß,
Marcus

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4571 Wohnort: Aachen

Hi marcmerz,

Zitat:

Zuerst aus dem Internet (Port 4081 forwarded an Port 80 IP 192.168.1.254):

Bersuch es doch mal bitte aus dem "echten" Internet, also nicht indem du das LANCOM aus dem LAN auf seiner WAN-Adresse ansprichst.
Es scheint da wohl ein Problem mit der (doppelten) Rückmaskierung zu geben, denn die Antwort kommt ja noch vom Modem und geht wieder ins Internet raus. - nur die erneute Rückführung ins LAN fehlt. Sie müßte so aussehen:

Code:

[IP-Router] 2006/10/11 21:50:42,790
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.0.1, SrcIP: 217.95.187.104, Len: 44, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 2378, SrcPort: 4081, Flags: SA
Route: LAN Tx

Gruß
Backslash

Anmeldungsdatum: 14.01.2005 Beiträge: 23

Hi backslash,

hmmm... Shocked

Um ehrlich zu sein verstehe ich Dich nicht so richtig. Ich versuche das DSL Modem unter seiner IP anzusprechen wobei ich das Routing (und eine Gegenstelle -> SPEEDTOUCH mit Layer IPOE) wie in dem oben zitierten Link beschrieben konfiguriert habe. Wenn ich jetzt von zu Hause meine dyndns URL aufrufe (http://blafaselblubb.dyndns.org:4081) dann ist es doch normal das ich meine WAN IP aus dem LAN aufrufe. Es sei denn ich wähle mich von einem anderen Rechner ins Internet ein...

Oder bekomme ich gerade etwas nicht mit...?

Gruß (und Danke für Deine Mühe),
Marcus

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4571 Wohnort: Aachen

Hi marcmerz

Zitat:

Wenn ich jetzt von zu Hause meine dyndns URL aufrufe (http://blafaselblubb.dyndns.org:4081) dann ist es doch normal das ich meine WAN IP aus dem LAN aufrufe

aber u.U. ist ganau das das Problem. das solltest du testen...

Zitat:

Es sei denn ich wähle mich von einem anderen Rechner ins Internet ein...

und zwar ganau damit.

Gruß
Backslash

Anmeldungsdatum: 14.01.2005 Beiträge: 23

backslash,

ich habe mich jetzt über ISDN (IP: 217.246.211.232) eingewählt und mit der URL http://irgendwas.dyndns.org:4081 dieses bekommen:

Code:

[IP-Router] 2006/10/12 21:45:25,540
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.1.254, SrcIP: 217.246.211.232, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1390, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/12 21:45:25,550
IP-Router Rx (SPEEDTOUCH):
DstIP: 217.246.211.232, SrcIP: 192.168.1.254, Len: 44, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1390, SrcPort: 80, Flags: SA
Route: WAN Tx Peer: T-DSLBIZ

[IP-Router] 2006/10/12 21:45:28,660
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.1.254, SrcIP: 217.246.211.232, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1390, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

[IP-Router] 2006/10/12 21:45:34,760
IP-Router Rx (T-DSLBIZ):
DstIP: 192.168.1.254, SrcIP: 217.246.211.232, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 1390, Flags: S
Route: WAN Tx Peer: SPEEDTOUCH

Ich stehe immer noch auf dem Schlauch... Confused

Gruß,
Marcus