NAT/PAT vom WAN zum LAN

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Champus
Beiträge: 1
Registriert: 26 Nov 2018, 20:19

NAT/PAT vom WAN zum LAN

Beitrag von Champus »

Hi,

frisch angemeldet und schon eine Frage. Wahrscheinlich fehlt mir für mein Problem der passende Zubegriff, aber ich stehe zur Zeit noch völlig im Regen.

Folgendes Szenario.

In einem LAN (10.60.36.0) befindet sich eine Linux (10.60.36.11) mit dem Default-Gateway 10.60.36.1. Auf der Linux ist der PORT 3333 frei gegeben, der via Port-Forwarding aus dem Internet über das Gateway zur Linux läuft. Alles ok, läuft.

Nun gibt es noch 2 LANCOM (1783) Router mit den LAN IPs .13 und .14. Diese sind jeweils mit einem eigenen VDSL Anschluss mit dem Internet verbunden. Nun soll auf den LANCOMs jeweils auch der Port 3333 frei geschaltet werden und intern auf die LINUX weiter geleitet werden. Leider kann die Linux aber nichts mit den Paketen der beiden LANCOMs anfangen, da sie immer davon ausgeht, das die Daten vom Default-Gateway kommen. Nun suche ich eine Möglichkeit, wie ich für den einen Port ein NAT auf den LANCOMs aktiviere, so das die Linux weiß, wohin sie antworten soll.

Irgendwie fehlt mir da der Lösungsansatz. Ich dachte schon an N:N Routing, was ich aber scheinbar nicht auf einen Port begrenzen kann. Auch in den Firewall-Einstellungen finde ich nichts.

Wahrscheinlich ist die Lösung total simpel, aber ich komme nicht drauf.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: NAT/PAT vom WAN zum LAN

Beitrag von 5624 »

Einfacher Weg: Verschieb die Linux-Maschine in ein eigenes Subnetz, welches über den Router mit der 10.60.36.1 geroutet wird. Die beiden 1783 müssen dann lernen (statisch oder über ein Routingprotokoll), dass das neue Subnetz über den Router mit der 10.60.36.1 erreicht werden kann.
LCS NC/WLAN
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: NAT/PAT vom WAN zum LAN

Beitrag von Maurice »

Moin,

Bist Du dir sicher, dass das Problem die eingehenden Pakete sind und nicht die ausgehenden? Mal ein Packet Capture gemacht? Der Linux-Kiste sollte es egal sein, von welchem lokalen Router die Pakete kommen. Die Quell-Adresse ist immer die öffentliche Adresse des Anfragenden und die Ziel-Adresse ist immer die 10.60.36.11.

Da die Linux-Kiste aber nur das Default-Gateway kennt schickt sie alle Antworten über dieses. Der Anfragende bekommt daher die Antwort (wenn überhaupt) immer von der öffentlichen Adresse dieses Gateways. Hat er die Anfrage nicht dorthin geschickt, sondern an einen der Lancoms, dann kommt die Antwort nicht von der Adresse an die die Anfrage geschickt wurde. Spätestens dann macht beim Anfragenden das NAT oder die Firewall dicht.

Eine sinnvolle Lösung wäre, die drei Router durch EINEN Multi-WAN-Router zu ersetzen (das kann auch einer der 1783 sein). Der trackt dann die eingehenden Verbindungen und schickt die Antworten über die richtige Leitung raus.

Grüße

Maurice
Antworten