Internetzugang Plain Ethernet und Zugang von außerhalb

[RalphT]

Moin,

ich habe in einem Lancom einen Plain Ethernet Zugang eingerichtet. Das LAN dahinter hat auch Internet, soweit alles ok. Jetzt möchte ich aus dem LAN vor dem Lancomrouter einen Zugriff auf das LAN hinter dem Lancom haben. Ein Ping auf einem Rechner hinter dem Lancom sagt: Zielnetz nicht gefunden.

Ich komme gerade nicht drauf, wo ich noch etwas einstellen muss. Kann hier jemand helfen?

[Dr.Einstein]

Hi,

Blockrouten entfernen? z.B. 192.168.0.0/16 -> 0.0.0.0

Gruß Dr.Einstein

[RalphT]

Hallo, ja die habe ich entfernt. Sonst würde der Internetzugang auch nicht funktionieren.

[PappaBaer]

Moin,

Du musst in dem Router VOR dem Lancom auch eine Route zum Netz HINTER dem Lancom anlegen.

Grüße,
Torsten

[RalphT]

Hallo PapaBaer, auch das habe ich gemacht. Wenn ich im LAN davor eine IP-Adresse aus dem LAN hintern dem Lancomrouter anpinge (pathping) dann meldet die IP-Adresse vom Ethernetport des Lancoms (DSL-1): Zielnetz nicht erreichbar.
D.h., die Pakete kommen am richtigen Ethernetport des Lancoms an. Nur der Lancom kann mit dem Zielnetz nichts anfangen. Übrigens im Lancom-Monitor kommt auch nichts an. Ich habe mal probehalber eine Regel dort eingebaut, wo alles nach any erlaubt ist.

[PappaBaer]

Dann würde ich mal schauen, ob die Pakete in der Firewall vom Lancom hängen bleiben, bzw. mal explizit eine Firewall-Regel erstellen, die jeglichen Verkehr mit Quelle "Netz vor Lancom" und Ziel "Netz hinter Lancom" erlaubt.

Grüße,
Torsten

EDIT: Sehe gerade, dass Du schon eine Regel erstellt hast. Wie lautet die denn konkret?
EDIT 2: Hast Du im Lancom auf der WAN-Schnittstelle NAT aktiv?

[RalphT]

Hi, die Regel sieht so aus:

Quelle - any Ziel -any und alle Protokolle. Unter Aktionen Trigger Accept. Also genauso wie die Deny all- Regel, nur das hier Accept steht.

[RalphT]

Nochmal ich:

Ich hatte auch mal testweise eine Regel erzeugt, die so aussieht, als wenn man einen ganz normalen DSL-Zugang nutzt. Also als Quelle die Gegenstelle (hier INTERNET) und als Ziel das interne LAN hinter dem Lancom. Zusätzlich hatte ich mal einen Testeintrag unter Maskierung und Port-Forwardimgtabelle erstellt. Aber das half auch nichts.

[PappaBaer]

Portforwarding hilft Dir in diesem Fall auch nichts, da ICMP ein eigenes Protokoll ist, also weder einen TCP noch UDP-Port benutzt.

Dein Problem ist ganz einfach, dass Du vermutlich NAT auf der WAN-Schnittstelle im Lancom aktiv hast. Somit versteckst Du ja das komplette Netz hinter dem Lancom hinter der WAN-IP-Adresse.

Hat das einen tieferen Sinn, dass Du hier NAT benutzt, oder ist das einfach so, weil der Assistent das per Default auf der WAN-Schnittstelle aktiviert? Wenn Du das nicht mit Absicht so haben möchtest, dann gehe in die Routing-Tabelle und schalte dort bei der Default-Route die Maskierung aus.

Danach einmal die WAN-Verbindung zum vorgeschalteten Router kurz trennen und die Wiese dürfte grün sein.

NAT in Richtung Internet macht ja nach wie vor Dein vorgeschalteter Router, der am Internet hängt. Somit sehe ich keinen wirklich Grund für dieses doppelte Natting.

Grüße,
Torsten

[RalphT]

Hi PappaBaer, jetzt ist die Wiese wieder grün!

An das NAT hatte ich überhaupt nicht gedacht. Das wird natürlich per default gesetzt.
Alles klar, danke für die Hilfe!

[RalphT]

Leider etwas zu früh gefreut. Der Zugriff läuft jetzt, jedoch haben jetzt die Clients hinter der Lancom kein Internet mehr. Ein Ping aus dem hinterem Bereich zu einen der Clients, die vor der Firewall befinden, funktioniert. Alles was jedoch nach draußen soll, findent den Weg nicht mehr.
Gibt es noch eine Idee dazu?

[Bernie137]

Hi,

wenn NAT nicht notwendig ist, warum dann Plain Ethernet?
Warum nicht stinknormales Routing?

Gruß Bernie

[PappaBaer]

Moin,

davon abgesehen, scheint es jetzt doch eher ein Problem mit der Firewall des vorgeschaltetem Router zu geben.
Mit eingeschaltetem NAT am Lancom gingen die Pakete aus LAN2 mit Quell-IP aus LAN1 zum Router1 Richtung Internet. Mit ausgeschaltetem NAT haben die Pakete aus LAN2 nun natürlich als Quell-IP eine Adresse aus LAN2 und wollen damit im Router1 Richtung Internet. Wenn das nun nicht mehr klappt, würde ich mir als erstes die Firewall in Router1 anschauen.

Grüße,
Torsten

[RalphT]

Guten Morgen,

ich habe alle Einträge der Gegenstelle INTERNET gelöscht und das Ganze über normales Routing gemacht. Anfangs lief der Zugriff nur zwischen den beiden Netzen, jedoch nicht der Zugriff zum Internet. Wie schon PappaBaer vermutet hatte, lag es an einer fehlenden Regel in der vorgeschalteten Firewall.
So, jetzt ist alles in Ordnung.

[Lancom X]

Hallo zusammen,

ich bin auf diesen Beitrag gestossen, da ich gerade ein ähnliches Szenario vor mir habe (LANCOM 1781VA hinter FB 7490).
Ich habe den LANCOM eingebunden, um sichere VPN-Verbindungen via myVPN und Advanced VPN Client zum Server, etc. zu schaffen.

Da auf allen Seiten nur der Internetzugang via Plain Ethernet beschrieben wird, habe ich mich zunächst auf diesen beschränkt. Allerdings stelle ich mir die Frage, ob es nicht ein wenig too much ist, da doch relativ viel nachkonfiguriert werden muss, wenn man das Netz vor dem Lancom erreichen möchte. Warum nicht also einfach den LANCOM "normal" an die FRITZ!Box anschließen und gut ist!?

Hier wird gesagt, dass NAT wegfällt. Gut, wird nicht benötigt, da die FB den Zugang zum Internet regelt. Was hätte ich noch für Nachteile, wenn ich also "einfach route" (ich hoffe, das meint ihr damit)? Ich würde mich freuen, wenn ihr mir Pro & Contra geben könntet, da ich mir unsicher bin, welchen Weg ich einschlagen soll.

Viele Dank & Gruß an alle LANCOM-Forumler,
euer Neuer