Hallo,
Ich versuche gerade Ports an ein VPN-Netz weiter zu leiten.
Auf Seite A habe ich im Lancom dazu das Port-Forwarding auf die IPs von Seite B eingestellt und zusätzlich die Firewall-Regeln hinzu gefügt für den Traffic aus dem Netz an die IPs von Seite B in beide Richtungen. Und dennoch will das nicht.
Wo ist mein Denkfehler? Die beiden Netze sind untereinander erreichbar und der gegenseitige Zugriff läuft.
MfG Eric
Port Forwarding in VPN-Netz
Moderator: Lancom-Systems Moderatoren
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Port Forwarding in VPN-Netz
Hi,
Also so richtig verstehe ich nicht, was Du machen möchtest. Entweder man hat eine NAT Schnittstelle und dort macht man ein Portforwarding oder eben einen Site2Site VPN Tunnel mit banalen Routing. Bei letzterem muss man einfach in beiden Firewalls alle entsprechenden Ports durch lassen.
Sicher, es gibt auch VPN Tunnel wo ein NAT zwischen ist. Du meinst so etwas?
Vg Heiko
Also so richtig verstehe ich nicht, was Du machen möchtest. Entweder man hat eine NAT Schnittstelle und dort macht man ein Portforwarding oder eben einen Site2Site VPN Tunnel mit banalen Routing. Bei letzterem muss man einfach in beiden Firewalls alle entsprechenden Ports durch lassen.
Sicher, es gibt auch VPN Tunnel wo ein NAT zwischen ist. Du meinst so etwas?
Vg Heiko
Man lernt nie aus.
-
EricDraven666
- Beiträge: 16
- Registriert: 14 Okt 2010, 23:44
Re: Port Forwarding in VPN-Netz
Die beiden Netze sind ohne NAT miteinander verbunden. Von der Theorie war deine Idee auch mein Ansatz. Doch in der Praxis schein ich was vergessen zu haben. Die beiden Netze haben wie gesagt bereits schon uneingeschränkten zugriff auf einander und zusätzlich wurden pro Router jeweils Regeln eingerichtet die von allen Stationen auf die jeweiligen IPs leiten und andersrum. Dennoch schlägt der externe Zugriff von der externe Adresse von A auf die Ports der IPs von B fehl.
Wie sollten die Regeln denn aussehen? Hab ich die evtl falsch angelegt?
MfG Eric
Wie sollten die Regeln denn aussehen? Hab ich die evtl falsch angelegt?
MfG Eric
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Port Forwarding in VPN-Netz
Wenn aber der Zugriff zwischen beiden Netzen funktioniert, was soll dann noch erlaubt werden?
Das ist mir unklar wie es gemeint ist? Man geht von LAN A ins Internet auf die WAN Schnittstelle von B um dann wieder ins LAN von B und A und B sind noch per VPN verbunden?EricDraven666 hat geschrieben:Dennoch schlägt der externe Zugriff von der externe Adresse von A auf die Ports der IPs von B fehl.
Man lernt nie aus.
-
EricDraven666
- Beiträge: 16
- Registriert: 14 Okt 2010, 23:44
Re: Port Forwarding in VPN-Netz
Genau. Und trotzdem will das Port Forwarding nicht.
Das konkrete Beuspiel: Netz A: 192.168.4.0 / 255.255.255.0
Netz B: 192.168.11.0 / 255.255.255.0
Ein Portforwarding von zum Beispiel Port 987 WAN auf 192.168.4.147:443 LAN funzt in Netz A gut. Aber von z.b: 13001 WAN Netz A auf 192.168.11.200:443 Netz B nicht, obwohl ich von Netz A auf 192.168.11.200:443 Zugriff habe.
Ich möchte über die externe DynDns-Adresse von Netz A über z.B. Port 13001 einen Https Port in Netz B erreichen, da dieses eine Mobilfunk-Verbindung Nutzt und von Außen anders nicht zu erreichen ist.
MfG Eric
Das konkrete Beuspiel: Netz A: 192.168.4.0 / 255.255.255.0
Netz B: 192.168.11.0 / 255.255.255.0
Ein Portforwarding von zum Beispiel Port 987 WAN auf 192.168.4.147:443 LAN funzt in Netz A gut. Aber von z.b: 13001 WAN Netz A auf 192.168.11.200:443 Netz B nicht, obwohl ich von Netz A auf 192.168.11.200:443 Zugriff habe.
Ich möchte über die externe DynDns-Adresse von Netz A über z.B. Port 13001 einen Https Port in Netz B erreichen, da dieses eine Mobilfunk-Verbindung Nutzt und von Außen anders nicht zu erreichen ist.
MfG Eric
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Port Forwarding in VPN-Netz
Ok, so einigermaßen hab Ichs jetzt;)
Jetzt ergeben sich erst mal 2 Fragen. Erreicht man aus dem Internet (und hier meine ich einen Internet Zugriff C der nix mit dem Rest zu tun hat)
- WAN A:987 auf intern 443?
- WAN B:13001 auf intern 443?
Jetzt ergeben sich erst mal 2 Fragen. Erreicht man aus dem Internet (und hier meine ich einen Internet Zugriff C der nix mit dem Rest zu tun hat)
- WAN A:987 auf intern 443?
- WAN B:13001 auf intern 443?
Man lernt nie aus.
-
EricDraven666
- Beiträge: 16
- Registriert: 14 Okt 2010, 23:44
Re: Port Forwarding in VPN-Netz
WAN A:987 auf 443 geht.
WAN B 13001 auf 443 nicht, wegen der Mobilfunkverbindung. Über die VPN-Verbindung geht das aber und genau das wollt ich mir zu Nutze machen.
WAN B 13001 auf 443 nicht, wegen der Mobilfunkverbindung. Über die VPN-Verbindung geht das aber und genau das wollt ich mir zu Nutze machen.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Port Forwarding in VPN-Netz
Angenommen Router A hat als WAN IP a.b.c.d, dann möchtest Du mit a.b.c.d:987 im LAN A Port 443 landen und mit a.b.c.d:13001 über den VPN Tunnel im LAN B Port 443 landen.
Da habe ich im Moment keine Ahnung ob das so geht, aber zumindest ist es jetzt verständlicher was Du möchtest.
Vg Heiko
Da habe ich im Moment keine Ahnung ob das so geht, aber zumindest ist es jetzt verständlicher was Du möchtest.
Vg Heiko
Man lernt nie aus.
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: Port Forwarding in VPN-Netz
Habs nur überflogen aber folgendes Problem:
Paket von WAN A erreicht Client am Standort B. Quell-IP des Paketes ist eine Internet IP Adresse und keine VPN Adresse. Der Client benutzt für die Antwort sein Default-Gateway. Der Router am Standort B versendet sein Paket auch über seine Internet Route, da es keine VPN Zieladresse ist.
So, nun müsstest du den Client irgendwie dazu bewegen, die Rückpakete über den VPN zu schicken. Ich hatte den Fall damals so gelöst, dass ich die Default Route im Router Standort B auf den VPN gesetzt habe. Standort B hatte ausschließlich Clients / Anwendungen, die über WAN A erreichbar sein mussten und selbst kein Internet brauchten. Wenn du ein Mischbetrieb hast, musst du wohl über Firewallregeln mit Routing Tags und quellbasierenden Ports + IP Adressen verwenden. Dabei ist zu bedenken, dass dein Standort (falls Lancom Router) zwei zusätzliche VPN Regeln benötigen, als Quell IP ANY und Ziel-IP das Subnet von Standort B und diese Regel einmal über Kreuz.
Ich weiß, alles sehr wirr beschrieben, ist aber, wenn man länger drüber nachdenkt, TCP/IP Problem für Anfänger
Gruß Dr.Einstein
Paket von WAN A erreicht Client am Standort B. Quell-IP des Paketes ist eine Internet IP Adresse und keine VPN Adresse. Der Client benutzt für die Antwort sein Default-Gateway. Der Router am Standort B versendet sein Paket auch über seine Internet Route, da es keine VPN Zieladresse ist.
So, nun müsstest du den Client irgendwie dazu bewegen, die Rückpakete über den VPN zu schicken. Ich hatte den Fall damals so gelöst, dass ich die Default Route im Router Standort B auf den VPN gesetzt habe. Standort B hatte ausschließlich Clients / Anwendungen, die über WAN A erreichbar sein mussten und selbst kein Internet brauchten. Wenn du ein Mischbetrieb hast, musst du wohl über Firewallregeln mit Routing Tags und quellbasierenden Ports + IP Adressen verwenden. Dabei ist zu bedenken, dass dein Standort (falls Lancom Router) zwei zusätzliche VPN Regeln benötigen, als Quell IP ANY und Ziel-IP das Subnet von Standort B und diese Regel einmal über Kreuz.
Ich weiß, alles sehr wirr beschrieben, ist aber, wenn man länger drüber nachdenkt, TCP/IP Problem für Anfänger
Gruß Dr.Einstein
-
EricDraven666
- Beiträge: 16
- Registriert: 14 Okt 2010, 23:44
Re: Port Forwarding in VPN-Netz
Genau das isses. Könnte das Problem also nicht einfach gelöst werden, indem ich auf den in diesem Fall IP-Cams eine Ip-Adresse aus Netz B mit dem Gateway von Netz A vergebe?
MfG Eric
MfG Eric
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: Port Forwarding in VPN-Netz
Du weißt schon, dass ein Gateway den Sinn hat, sein eigenes Subnet zu verlassen um andere Subnetze zu erreichen? Wäre dann ziemlich sinnfrei, wenn man sein Gateway außerhalb des eigenen Netzwerkes setzen könnte, oder ? 
Wenns nur die IP Cam, die ausschließlich über den VPN erreichbar sein soll, kannst du einfach eine Default Route auf den VPN schreiben mit Routing Tag 1 z.B. Danach erzeugst du eine Firewallregel mit der Quell-IP der IP-Cam, Ziele beliebig und Routing Tag 1. Danach geht jeglicher Traffic der Cam über den Tunnel. Am "Zentral"-Router musst du dann nur noch die Portweiterleitung schreiben + zwei VPN Regeln (in + out) wie oben bereits beschrieben.
Gruß Dr.Einstein
Wenns nur die IP Cam, die ausschließlich über den VPN erreichbar sein soll, kannst du einfach eine Default Route auf den VPN schreiben mit Routing Tag 1 z.B. Danach erzeugst du eine Firewallregel mit der Quell-IP der IP-Cam, Ziele beliebig und Routing Tag 1. Danach geht jeglicher Traffic der Cam über den Tunnel. Am "Zentral"-Router musst du dann nur noch die Portweiterleitung schreiben + zwei VPN Regeln (in + out) wie oben bereits beschrieben.
Gruß Dr.Einstein
-
EricDraven666
- Beiträge: 16
- Registriert: 14 Okt 2010, 23:44
Re: Port Forwarding in VPN-Netz
Ich hab das denk ich halbwegs verstanden, versucht nachzuvollziehen, mich was mit dem Policy based routing auseinander gesetzt und hänge doch wieder.
Die Kameras im Bereich 192.168.11.200- 192.168.11.203 haben nun eine neue Default route 255.255.255.255 / 0.0.0.0 mit Router 192.168.4.250 und Routing-Tag 1 auf dem Router 192.168.11.1 eingerichtet bekommen als auch die dazugehörige Firewall-Regel 192.168.11.200 - 192.168.11.203 auf ANY und Routing Tag 1
In Router 192.168.4.250 sind 2 VPN Regeln von ANY auf 192.168.11.200 - 192.168.11.203 und von 192.168.11.200 - 192.168.11.203 auf ANY,
Als auch 4 Port Forwardings von http://WAN:13001 - 13004 auf jeweils 192.168.11.200 -192.168.11.203:443
Irgendwo muss ich noch nen Denkfehler haben.
MfG Eric
Die Kameras im Bereich 192.168.11.200- 192.168.11.203 haben nun eine neue Default route 255.255.255.255 / 0.0.0.0 mit Router 192.168.4.250 und Routing-Tag 1 auf dem Router 192.168.11.1 eingerichtet bekommen als auch die dazugehörige Firewall-Regel 192.168.11.200 - 192.168.11.203 auf ANY und Routing Tag 1
In Router 192.168.4.250 sind 2 VPN Regeln von ANY auf 192.168.11.200 - 192.168.11.203 und von 192.168.11.200 - 192.168.11.203 auf ANY,
Als auch 4 Port Forwardings von http://WAN:13001 - 13004 auf jeweils 192.168.11.200 -192.168.11.203:443
Irgendwo muss ich noch nen Denkfehler haben.
MfG Eric
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: Port Forwarding in VPN-Netz
Zur Info:
Lancom hat seit Jahren den Bug, dass für VPN Regeln keine IP Adressbereiche angewendet werden können. Du musst also 3 Einzeleinträge 192.168.11.200 + 192.168.11.201 + 192.168.11.202 + 192.168.11.203 in die Firewall eintragen statt Range.
Gruß Dr.Einstein
Lancom hat seit Jahren den Bug, dass für VPN Regeln keine IP Adressbereiche angewendet werden können. Du musst also 3 Einzeleinträge 192.168.11.200 + 192.168.11.201 + 192.168.11.202 + 192.168.11.203 in die Firewall eintragen statt Range.
Gruß Dr.Einstein
-
EricDraven666
- Beiträge: 16
- Registriert: 14 Okt 2010, 23:44
Re: Port Forwarding in VPN-Netz
Der Bug betrifft aber nur VPN regeln? Mein policy based Routing auf die neue Default Route kann mit einem Bereich arbeiten?
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: Port Forwarding in VPN-Netz
Nur Regeln, die zur VPN Regelerzeugung rangezogen werden (Häkchen bei der Firewall Regel).
Und die Default Route sollte nicht auf eine IP verweisen sondern auf die Gegenstelle VPN.
Und die Default Route sollte nicht auf eine IP verweisen sondern auf die Gegenstelle VPN.