Hi,
habe einen Lancom 1721 VPN. Dieser liefert dem ddwrt eine lokale ip über dhcp(geht auch mit fest eingetragen) an den wan port des ddwrt. hierrüber macht der ddwrt Internet für dahinter stehende devices. Wie kann ich diese devices über ssh von aussen(Internet) erreichen?
Wolke->externe IP>Lancom->lokale IP>ddwrt->client
Ich will den Client über SSH ansprechen. Das klappt derzeit nicht. wenn dieser client an Lancom hängt mit entsprechendem Forward ist es kein Problem.
Danke im vorraus
LC1721VPN DDWRT WRT54GL1.1 SSH Zugriff
Moderator: Lancom-Systems Moderatoren
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hallo,
mir fallen da zwei Möglichkeiten ein.
a) im Lancom einen Port Forward auf den ddwrt Einrichtungen und in diesem wiederum einen Forward auf den gewünschten Client Rechner.
b) im Lancom einen Forward auf den Client Rechner hinter dem ddwrt einrichten und um ddwrt die Firewall für den gewünschten Port öffnen. Hier muss aber im Lancom eine Route für das Netz hinter dem ddwrt vorhanden sein.
Grüße
Tom
mir fallen da zwei Möglichkeiten ein.
a) im Lancom einen Port Forward auf den ddwrt Einrichtungen und in diesem wiederum einen Forward auf den gewünschten Client Rechner.
b) im Lancom einen Forward auf den Client Rechner hinter dem ddwrt einrichten und um ddwrt die Firewall für den gewünschten Port öffnen. Hier muss aber im Lancom eine Route für das Netz hinter dem ddwrt vorhanden sein.
Grüße
Tom
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi,
also a) klappt leider nicht. Ich bin mit meinem NB welches am Lancom angebunden ist und sich ebenfalls im gleichem Netz befindet wie der ddwrt, oder wo der ddwrt über seinen WAN Port eine gleiche IP bekommt wie mein NB. Dieser forward auf dem LC auf die IP des WAN_Anschlusses:Port ist gesetzt. Im DDWRT ist wiederrum ein forward auf die gewünschteIP:Port gesetzt. Trotzdem komme ich von aussen nicht rein.
b) wie einen forward auf eine IP hinter dem ddwrt einrichten wenn der LC nur die IP des WAN_Anschlusses des DDWRT kennt? Wie im DDWRT ports über die Firewall öffnen? Und jetzt die wichtigste Frage
Wie diese Route definieren??
Gruß Raphael
also a) klappt leider nicht. Ich bin mit meinem NB welches am Lancom angebunden ist und sich ebenfalls im gleichem Netz befindet wie der ddwrt, oder wo der ddwrt über seinen WAN Port eine gleiche IP bekommt wie mein NB. Dieser forward auf dem LC auf die IP des WAN_Anschlusses:Port ist gesetzt. Im DDWRT ist wiederrum ein forward auf die gewünschteIP:Port gesetzt. Trotzdem komme ich von aussen nicht rein.
b) wie einen forward auf eine IP hinter dem ddwrt einrichten wenn der LC nur die IP des WAN_Anschlusses des DDWRT kennt? Wie im DDWRT ports über die Firewall öffnen? Und jetzt die wichtigste Frage
Wie diese Route definieren??Gruß Raphael
Hallo,
also zu dem Punkt a)
• Nehmen wir an der ddwrt hat die WAN IP 192.168.1.2 vom Lancom bekommen
• Der Client der per SSH erreichbar sein soll ist hinter dem ddwrt mit der IP 192.168.2.4
• Hierzu müsste dann im Lnacom ein Forward auf die IP 192.168.1.2 mit dem Port 22 (oder lieber einem freien hohen Port, da der ddwrt bestimmt auch per SSH erreichbar ist) eingerichtet werden
• Im ddwrt wieder wird der Forward von dem freien Port (oder 22) auf den Client mit der IP 192.168.2.4 Port 22 eingerichtet
Zu b) hier muss ich zugeben das ich im ersten Ansatz die Idee nicht komplett durchdacht hatte
. b) würde funktionieren wenn der ddwrt als Router arbeiten würde und auf dem WAN Interface kein NAT mehr machen würde. Dann bräuchte man den Forward auf dem ddwrt nicht und könnte den ganzen Traffic zwischen den Netzen (die ja eh Privat sind und somit NAT nicht notwendig ist) mit der Firewall auf den ddwrt filtern.
Stellt sich halt die Frage ob die den ddwrt um konfigurieren willst, oder ob es andere grüne gibt die für das NAT sprechen.
Befinden sich den in dem Netz zwischen Lancom und ddwrt noch andere Stationen oder ist das ein reines transfernetz zwischen den Routern?
Grüße
Tom
also zu dem Punkt a)
• Nehmen wir an der ddwrt hat die WAN IP 192.168.1.2 vom Lancom bekommen
• Der Client der per SSH erreichbar sein soll ist hinter dem ddwrt mit der IP 192.168.2.4
• Hierzu müsste dann im Lnacom ein Forward auf die IP 192.168.1.2 mit dem Port 22 (oder lieber einem freien hohen Port, da der ddwrt bestimmt auch per SSH erreichbar ist) eingerichtet werden
• Im ddwrt wieder wird der Forward von dem freien Port (oder 22) auf den Client mit der IP 192.168.2.4 Port 22 eingerichtet
Zu b) hier muss ich zugeben das ich im ersten Ansatz die Idee nicht komplett durchdacht hatte
. b) würde funktionieren wenn der ddwrt als Router arbeiten würde und auf dem WAN Interface kein NAT mehr machen würde. Dann bräuchte man den Forward auf dem ddwrt nicht und könnte den ganzen Traffic zwischen den Netzen (die ja eh Privat sind und somit NAT nicht notwendig ist) mit der Firewall auf den ddwrt filtern. Stellt sich halt die Frage ob die den ddwrt um konfigurieren willst, oder ob es andere grüne gibt die für das NAT sprechen.
Befinden sich den in dem Netz zwischen Lancom und ddwrt noch andere Stationen oder ist das ein reines transfernetz zwischen den Routern?
Grüße
Tom
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi,
also a)
hier habe ich es so eingestellt. Mein LC vergibt dem WAN Iface des ddwrt die 10.19.6.150. Auf dem LC ist ein forward auf dieseIP:2216 gelegt. Am DDWRT ist ein forward auf 192.168.1.105:2216 gelegt. Ich komme aber mit meinem Android über UMTS nicht rein. Die konfig. ohne ddwrt sondern direkt am LC klappt ohne Probleme.
b) werd ich gleich beleuchten, hab jetzt ein meeting
LG Raphael
also a)
hier habe ich es so eingestellt. Mein LC vergibt dem WAN Iface des ddwrt die 10.19.6.150. Auf dem LC ist ein forward auf dieseIP:2216 gelegt. Am DDWRT ist ein forward auf 192.168.1.105:2216 gelegt. Ich komme aber mit meinem Android über UMTS nicht rein. Die konfig. ohne ddwrt sondern direkt am LC klappt ohne Probleme.
b) werd ich gleich beleuchten, hab jetzt ein meeting
LG Raphael
Hi,
hast du mal gecheckt wenn du dich mit deinen Laptop in das Netz zwischen Lancom und ddwrt hängst, und versuchst per ssh auf der IP des ddwrt (10.19.6.150) mit dem geforwardeten Port (2216) zu verbinden ob das funktioniert?
Dann hättest du das Problem eingekreist, zu einem Problem mit dem Forward auf dem ddwrt
Grüße
Tom
hast du mal gecheckt wenn du dich mit deinen Laptop in das Netz zwischen Lancom und ddwrt hängst, und versuchst per ssh auf der IP des ddwrt (10.19.6.150) mit dem geforwardeten Port (2216) zu verbinden ob das funktioniert?
Dann hättest du das Problem eingekreist, zu einem Problem mit dem Forward auf dem ddwrt
Grüße
Tom
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi,
Ok, kann den DDWRT auf seiner 10.19.6.150 weder pingen noch per ssh(22) ansprechen?! Somit kann ich auch den wired client hinter dem ddwrt auf dem forward port 2216 nicht erreichen Es ist kein Transfernetz zwischen dem DDWRT und dem LC. In diesem 10.19.6.0 Netz befinden sich einige Clients und Server.
Auf dem ddwrt ist bis dato ein seperate lan und wlan durchgeführt, wie in der doku von ddwrt beschrieben. d.h. die wlan clients am ddwrt kommen über wan ins internet sind aber in einem anderem Netz als die wired clients.
Ok, kann den DDWRT auf seiner 10.19.6.150 weder pingen noch per ssh(22) ansprechen?! Somit kann ich auch den wired client hinter dem ddwrt auf dem forward port 2216 nicht erreichen Es ist kein Transfernetz zwischen dem DDWRT und dem LC. In diesem 10.19.6.0 Netz befinden sich einige Clients und Server.
Auf dem ddwrt ist bis dato ein seperate lan und wlan durchgeführt, wie in der doku von ddwrt beschrieben. d.h. die wlan clients am ddwrt kommen über wan ins internet sind aber in einem anderem Netz als die wired clients.
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi,
hast du mal den Forward Port 2216 auf den WAN IP des ddwrt per SSH Probiert?
Das Ping auf dem WAN Port könntest du ddwrt laut Doku unter folgenden Punkt aktivieren.
go to Security -> Firewall -> uncheck Block Anonymous WAN requests (ping) -> Apply
Wobei das ja keinen Einfluss auf den Forward hat.
Grüße
Tom
hast du mal den Forward Port 2216 auf den WAN IP des ddwrt per SSH Probiert?
Das Ping auf dem WAN Port könntest du ddwrt laut Doku unter folgenden Punkt aktivieren.
go to Security -> Firewall -> uncheck Block Anonymous WAN requests (ping) -> Apply
Wobei das ja keinen Einfluss auf den Forward hat.
Grüße
Tom
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi,
Also ich fasse noch mal zusammen
• Ping geht nun auf der WAN Seite des ddwrt
• SSH Connect aus dem Netz zwischen Lancom und ddwrt auf die IP 10.19.6.150 Port 2216 geht nicht (Somit wissen wir das der Forward in dem ddwrt das Problem ist, hast du evtl. einen screenshot des Forward Eintrags im ddwrt )
Zu dem Thema gleiches Netz hinter dem ddwrt wie nach dem Lancom, ja das sollte gehen wenn du im ddwrt eine bridge zwischen dem WAN Port und den Switch Ports einrichtest. Ob das allerdings im Webinterface geht muss ich passen.
Allerdings würde ich ein geroutes Subnetz vorziehen, da du hier noch die Möglichkeit hast auf dem ddwrt mit der Firewall zu filtern.
Grüße
Tom
Also ich fasse noch mal zusammen
• Ping geht nun auf der WAN Seite des ddwrt
• SSH Connect aus dem Netz zwischen Lancom und ddwrt auf die IP 10.19.6.150 Port 2216 geht nicht (Somit wissen wir das der Forward in dem ddwrt das Problem ist, hast du evtl. einen screenshot des Forward Eintrags im ddwrt )
Zu dem Thema gleiches Netz hinter dem ddwrt wie nach dem Lancom, ja das sollte gehen wenn du im ddwrt eine bridge zwischen dem WAN Port und den Switch Ports einrichtest. Ob das allerdings im Webinterface geht muss ich passen.
Allerdings würde ich ein geroutes Subnetz vorziehen, da du hier noch die Möglichkeit hast auf dem ddwrt mit der Firewall zu filtern.
Grüße
Tom
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi,
Also es sieht derzeit so aus:
Wolke-->ExterneIP-->WANport_ddwrt/samt forward auf Client:2216 . SSH von aussen OK.
Wolke-->ExterneIP-->Lancom/samt forward auf interneIP_ddwrt:2216-->interneIP-->WANport_ddwrt/samt forward auf Client:2216 . SSH von aussen OK.
Das mit dem gleichem Netz wäre hier nur intern bei uns ein Versuch für mich gewesen um zu lernen, verstehen .
So, was wäre denn wenn ich z.b. bei der o.b. Variante mit dem LC, ich mit meinem NB aus dem 10.19.6.0 Netz auch das WebInterface auf der IP des ddwrt 10.19.6.150 erreichen möchte. Derzeit klappt es nicht.
Danke für deine Hilfe
Also es sieht derzeit so aus:
Wolke-->ExterneIP-->WANport_ddwrt/samt forward auf Client:2216 . SSH von aussen OK.
Wolke-->ExterneIP-->Lancom/samt forward auf interneIP_ddwrt:2216-->interneIP-->WANport_ddwrt/samt forward auf Client:2216 . SSH von aussen OK.
Das mit dem gleichem Netz wäre hier nur intern bei uns ein Versuch für mich gewesen um zu lernen, verstehen
. So, was wäre denn wenn ich z.b. bei der o.b. Variante mit dem LC, ich mit meinem NB aus dem 10.19.6.0 Netz auch das WebInterface auf der IP des ddwrt 10.19.6.150 erreichen möchte. Derzeit klappt es nicht.
Danke für deine Hilfe
Hi,
verstehe ich das richtig SSH geht nun ? =)
Darf man fragen was das Problem war?
Wenn ich es richtig verstehe willst du das Webinterface an dem WAN Interface des ddwrt aktiveren?
Siehe hierzu folgenden Link, unter dem Punkt Remotely:
http://www.dd-wrt.com/wiki/index.php/Web_Interface
Grüße
Tom
verstehe ich das richtig SSH geht nun ? =)
Darf man fragen was das Problem war?
Wenn ich es richtig verstehe willst du das Webinterface an dem WAN Interface des ddwrt aktiveren?
Siehe hierzu folgenden Link, unter dem Punkt Remotely:
http://www.dd-wrt.com/wiki/index.php/Web_Interface
Grüße
Tom
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi, ja alles klappt sowohl über eine Externe IP am wan port des ddwrt als auch wenn der lancom dazwischen ist (er simuliert hier das Kundengerät) und wir am WAN port des ddwrt eine lokale ip haben. beide male konnte ich mich via Android smartphone undumts als externe quelle, auf den Server hinter dem ddwrt per ssh aufschalten.
Das Problem war das ich zuviel auf einmal rumkonfig. habe und mir einfach die Erfahrung fehlt. Diese ganzen Sachen welche am am ddwrt doch nut via cmd erledigen kann sind lästig. Iptables kann ich LEIDER garnicht. Muss deswegen vieles erlesen und erfragen , und probieren. Aber gut nur so lernt man.
Das mit dem Webinterface aus dem internen Netz werd ich gleich beleuchten.
LG Raphael
Das Problem war das ich zuviel auf einmal rumkonfig. habe und mir einfach die Erfahrung fehlt. Diese ganzen Sachen welche am am ddwrt doch nut via cmd erledigen kann sind lästig. Iptables kann ich LEIDER garnicht. Muss deswegen vieles erlesen und erfragen
, und probieren. Aber gut nur so lernt man. Das mit dem Webinterface aus dem internen Netz werd ich gleich beleuchten.
LG Raphael