1:1 NAT - Öffentliche IP-Adressen aus Intranet erreichen?

[weed]

Hallo Lancom-Forum,

ich hoffe das das, was ich hier vorhabe so mit Lancom überhaupt funktioniert, hinbekommen habe ich es nicht. Vielleicht sehe ich ja nur den Wald vor lauter Bäumen nicht und jemand hat den goldenen Tipp für mich

Also:
Im LAN (=INTRANET) habe ich eine Hand voll Server, die müssen dringend via öffentlicher IP erreichbar sein und (wichtig) sich auch mit dieser IP im Internet herumtreiben. Klassischer Fall für 1:1 NAT via DMZ-IP-Netz, meine WAN-Adressen sind jetzt auch in der DMZ eingetragen und via Firewall beschränke ich den Zugriff. Funktioniert super (NAT nur Intranet), alles bestens (da gibt es auch einen guten KB-Artikel zu, ich hatte wohl alles richtig gemacht).

Was nicht geht, ist das die Server mit ihrer öffentlichen IP auch aus dem LAN (=Intranet) heraus erreichbar sind. Das ist allerdings sehr wichtig. Sprich: Ein 192.er Client aus dem LAN muss auf die WAN-Adresse die via 1:1 NAT auf einem Server landet zugreifen.

Es würde mir helfen, Diskussionen um das 'warum' weitestgehend zu vermeiden. Da die IP-Adressen via (sehr) vieler und dynamischer DNS-Namen aufgelöst werden scheidet lokales DNS-Stub-gehacke aus und das Konzept ist auch nicht änderbar weil sehr teuer und mindestens genauso flexibel
Bis vor kurzem hatten wir eine Sonicwall mit der das super funktionierte, davor eine Securepoint die das zwar kreativ ein "Hide-NAT" nennt, aber das selbe tut und davor Linksys-Platikrouter der damit auch kein Problem hatte (allerdings dafür andere). Jetzt benötigen wir das ISDN von dem 1724 (besagtes funktioniert ebenfalls hervorragend) und würden nun gerne auch den "Rest" damit machen. Bis auf diese eine Ausnahme klappt auch alles. Was mache ich falsch? Wo habe ich meinen Denkfehler? Hat jemand von euch eine hilfreiche Idee?

[backslash]

Hi weed

Klassischer Fall für 1:1 NAT via DMZ-IP-Netz, meine WAN-Adressen sind jetzt auch in der DMZ eingetragen und via Firewall beschränke ich den Zugriff. Funktioniert super (NAT nur Intranet)

was denn nun: NAT oder transparente DMZ?
BTW: es gibt entweder 1:N- (masquerading) oder N:N-NAT, aber kein 1:1-NAT...

bei einer transparenten DMZ (statische IP-Adressen, Maskierungs-Option auf "nur Intranet maskieren") muß das sofort funktionieren - es sei denn, du hättest Regeln in der Firewall, die das verbieten.

Bei einem 1:N-NAT gibt es immer wieder mal das Problem, daß das "kaputt" geht, sollte aber funktionieren, solange du keine Portforwardings auf anderen als der WAN-Adresse einrichtest

Gruß
Backlash

[weed]

Hi Backslash,

entschuldige die falsche Terminologie, du hast natürlich recht. Die 1:1 Benennung anstelle von N:N ist ein Überbleibsel aus der Sonicwall

Gemeint ist eine Kombination aus N:N und N:1 Mapping:
- Der Router ist für eine öffentliche DMZ konfiguriert
- Die Server befinden sich im Intranet
- Die öffentlichen Adressen sollen auf Intranet-Adressen gemappt sein
- Die (so gemappten) Intranet-Server sollen im Internet mit der gemappten Adresse herumlaufen
- Die (restlichen) Intranet-Adressen sollen mit diesen öffentlichen Adressen sprechen dürfen

Dazu habe ich gemacht (neben Intranet/Internet/Routing und so weiter):
- Eine DMZ nach http://www2.lancom.de/kb.nsf/19a2fb5f69 ... enDocument eingerichtet
- Das N:N nach http://www2.lancom.de/kb.nsf/19a2fb5f69 ... enDocument eingerichtet
- Firewall-Regeln gebaut:
- Internet->Intranet (geht)
- Intranet->Internet (geht)
Anmerkung: Der Reference Guide ist super. Leider hat der offensichtlich ein paar fiese Fehler; die KB ist deutlich besser, denn da waren genau diese Fehler nicht mehr drin

Probleme habe ich mit:
- Intranet->öffentliche Adressen

Ich habe probiert:
- Firewall-Regeln
- Intranet -> Internet-IPs
- Internet-IPs -> Intranet
- Intranet -> Internet-IPs

(Internet-IPs = Adressen der N:N Server)

Ich konnte aus dem Intranet heraus bisher nie die öffentlichen IP-Adressen ansprechen (ping geht schon nicht). Der Trace endet am Router (Intranet-IP), dann kommt einfach nichts mehr.

Du sagt das müsste out of the box klappen, doch wo liegt mein Fehler? Hast du einen Tipp wie ich meinen Fehler am besten jagen könnte? Ich bin ziemlich sicher das ich schuld bin und nicht der Router, aber ich weiss nicht wo ich ansetzen könnte.

[backslash]

Hi weed

- Die Server befinden sich im Intranet
- Die öffentlichen Adressen sollen auf Intranet-Adressen gemappt sein

genau das Szenario funktioniert beim LANCOM tatsächlich nicht, weil es letztendlich beim Senden auf die Internetverbindung nicht weiss, daß die angesprochenen IPs per N:N-NAT wieder ins LAN gemappt werden... Das N:N-NAT arbeitet stateless und ändert nur die IP-Adressen (bei gesendeten Paketen die Quell-, bei empfangenen die Ziel-IP), schickt das Paket aber nicht erneut über Router...

Aber selbst wenn das N:N-NAT die Pakete nochmal über den Router schicken würde - es schlägt hier gar nicht an, weil das Paket gesendet wird und somit nur die Quell-Adresse betrachtet wird, welche aber nicht gemappt wird...


Wieso stellst du die Server nicht einfach mit öffentlichen Adressen in die DMZ und läßt das ganze N:N-NAT sein - dann funktioniert das Ganze problemlos...

Desweiteren hast du damit auch den Vorteil, daß du auf den Servern auch noch siehst, wer aus deinem LAN zugegriffen hat - würde das mit dem N:N-NAT in der von dir gewünschten Form funktionieren, dann würden die Server immer nur die WAN-Adresse des LANCOMs sehen...

Oder du machst doch ein paar lokale DNS-Einträge für die Server im LANCOM, was die sinnvollste Lösung ist, wenn du die Server tatsächlich im Intranet betreiben willst, da in diesem Fall der lokale Traffic zu den Servern gar nicht mehr über das LANCOM müßte...


Gruß
Backslash

[langewiesche]

siehste weed habe ich dir doch gesagt

[weed]

@Lala: Naja, um genau zu sein hast du gesagt es kann sien das das geht und du musst nochmal fragen )

@Backslash:

Wieso stellst du die Server nicht einfach mit öffentlichen Adressen in die DMZ und läßt das ganze N:N-NAT sein - dann funktioniert das Ganze problemlos...

Zwei Gründe: 10goe (mit Last) und Buskoppler-Discovery (Ethernet-Broadcast). Letztere müssen dringed erreichbar sein, daher auch dieser blöde Umstand. Ersteres geht genrell nicht so richtig gut über den 1724

Desweiteren hast du damit auch den Vorteil, daß du auf den Servern auch noch siehst, wer aus deinem LAN zugegriffen hat - würde das mit dem N:N-NAT in der von dir gewünschten Form funktionieren, dann würden die Server immer nur die WAN-Adresse des LANCOMs sehen...

Naja, eigentlich würden die Server *beide* Adressen sehen. Die LAN-Adressen sowiso (lokal) und die WAN-(NAT-)Adresse halt bei Nutzung der DNS-Geschichte, wo das völlig OK und sogar so gewünscht ist. Genau das brauche ich eigentlich sogar.

Ich schüttele innerlich ein bisschen den Kopf das der 29€ Baumarktrouter das genau so tut und der 1724 das partout nicht will :-/ Ich glaube ich werde einfach eine Plastebox daneben stellen, als 2. WAN-Netz mit dem halben Subnet drauf. *Seufz* Ärgerlich.

Oder du machst doch ein paar lokale DNS-Einträge für die Server im LANCOM,

Es geht um ein paar Tausend Einträge die sich prinzipiell sekündlich ändern können (in der Regel tun Sie das 'nur' alle 10-50 Stunden). Und Lancom kann keine geschlossenen Stubeinträge, womit ich ganze Domänen unerreichbar machen würde. Zudem sind einige der Zonen gigntisch, eine der Opferzonen ist zum Beispiel lockere 5Mb groß ... :-/

was die sinnvollste Lösung ist, wenn du die Server tatsächlich im Intranet betreiben willst,

Willst? "Gezwungen bist" käme eher hin ...

da in diesem Fall der lokale Traffic zu den Servern gar nicht mehr über das LANCOM müßte...

Tut er sowiso nicht, der Maschinen stehe im LAN und werden da auch bleiben. Ideal wäre für mich in diesem Fall ein Portforwarding mit N:N Nat Absenderadressen

Ich teste das mal mit einem Plasterouter daneben und mede mich. Danke euch beiden für die Hilfe