Mapping, Dyndns funktioniert nicht....

[wappilot]

Hallo,

ich habe ein Dyndns Account eingerichtet - und beim Routing auch ein entsprechendes Mapping auf einen Rechner mit fester IP gelegt. Den Port kann ich intern ohne Probleme ansprechen. Auch ein Ping auf die Dyndns Adresse funktioniert - trotzdem komme ich mit der dyndns Adresse nicht auf den Port - hat jemand einen Tipp?

Lancom 1821, Annex B, V 6.07

DANKE!

Gruß,

Christian

[filou]

Hi!

Hast du gemappt oder nur weitergeleitet?
Also wie z.B. Eingangsport 80 auf Rechnerport 1080...?!

Ist der Port in der Firewall freigeschaltet?

[wappilot]

Hallo Jens,

Danke für Deine Antwort.

unter IP-Router, Maskierung, Service Tabelle habe ich z.B. den Port 80 auf eine interne IP Adresse 192.168.1.1 und Port 81 umgelenkt... wobei ich den Port auf dem HTML Server als Adresse und Port angegeben habe.

Ich dachte, mit dem Mapping nehme ich das automatisch aus der Firewall raus... (??) - auch mit ausgeschalteter Firewall funktioniert es nicht...

Gruß,

Christian

[filou]

Hallo Christian,

Anfangsport: 80
Endport: 80
Intranet: 192.168.1.1
Map-Port: 81
aktiv

? ...hmmm? ....sollte eigentlich gehen

Ich dachte, mit dem Mapping nehme ich das automatisch aus der Firewall raus...

Bei nur NAT ...ja!
Aber nicht, wenn die (richtige)Firewall aktiv ist und eine Deny_all-Strategie verfolgt wird.
Du brauchst also eine Regel, die den eigehenden http-Verkehr von (Quelle) allen Stationen an deinen Webserver(Ziel) erlaubt.

[wappilot]

Hallo,

das umrouten klappt ja auch nicht, wenn ich die Firewall ausschalte - in diesem Falle müsste ja nicht mal eine Regel erforderlich sein.....

[filou]

Hi,

ich habe das jetzt selbst mal nachvollzogen.... und es geht!

Ist deine Firewall nun mit Deny_All-Strategie aufgebaut ...hast du eine Deny_All-Regel

Dann brauchst du definitiv eine Regel:
-Sofort übertragen
-Quelle: Alle Stationen
-Ziel: 192.168.1.1
-Dienste TCP
-Zielports 80

Mapping bleibt, wie geschrieben.

Eventuell musst du noch herausfinden, auf welchen Ports dein Webserver antwortet und diese Ports an deiner FW freimachen ...ausgehend.
Lass dich von deiner, wenn vorhanden, Deny-All-Regel dazu per SNMP o.a. benachrichtigen. Womöglich musst du eine ganze Reihe(Ranges) von Ports ausgehend(Quelle) für deinen Webserver freischalten...
Das hängt von den angebotenen Diensten deines Servers ab.

[wappilot]

Hallo Jens,

vielen Dank für Deine ausführliche Antwort - ich muss ehrlich sein: ich bin überfordert. Als reiner Anwender hat mir die DV den Lancom Router empfohlen, um mit einem entlegenen Netzwerk eine VPN Verbindung aufzubauen. In der Konfiguration ist die Firewall eingeschaltet; eine Regel mit dem Kommentar "block NetBIOS/WINS name resolution via DNS" ist aktiviert; ich habe es mit einer alten Konfig Datei probiert; auch da klappt es nicht. Und das, obwohl ich mir sicher bin, dass die Sache letzte Woche funktioniert hat. Na ja - muss ich wohl mal die Jungs aus der DV fragen, ob die da was geschraubt haben. Mit Deiner Regelbeschreibung bin ich nur leider überfordert - ich Danke Dir sehr für Deine Hilfe.

Gruß,

Christian

[filou]

eine Regel mit dem Kommentar "block NetBIOS/WINS name resolution via DNS" ist aktiviert

Dann gibt es auch noch keine Deny_all, denn die steht standardmäßig drin.
Somit sollte das Portmapping ausreichend sein
Da patzt irgendetwas anderes....
Kannst du nochmal genau mitteilen, was in der "Service-Tabelle" beim Portmapping bei dir eingetragen ist?
Stimmt die von Ping auf deine dyndns zurückgegebene IP mit deiner aktuellen WAN-IP überein?

[wappilot]

Hallo,

ja - wenn ich anpinge wird die Adresse in die WAN IP Adresse aufgelöst, die auch im Monitor zu sehen ist.

Beispiel für Routing:

Ich möchte gerne auf dem Server 192.168.1.99 auf den Port 9000 (Web Frontend Twonky Server)
Intern komme ich bei 192.168.1.99:9000 auch sofort drauf.

Gebe ich nun ein:

test.dyndns.org:9000
wobei test.dyndns.org bei ping mit der WAN Adresse richtig aufgelöst wird und

Mit Routing Eintrag
Anfangs-Port 9000
End-Port 9000
Intranet Adresse 192.168.1.99
Map-Port 9000
Aktiv "ja"

- müsste es doch nach meiner Meinung funktionieren. Oder mache ich was falsch?

Gruß,

Christian

[LoUiS]

Hi,

Oder mache ich was falsch?

jau, den MAP Port stellst Du auf "0", da Du ja garnicht mappen willst!


Ciao
LoUiS

[filou]

Intern komme ich bei 192.168.1.99:9000 auch sofort drauf.
.............
test.dyndns.org:9000

Wie LoUiS schon schrieb, wenn dein Server von außen auch über Port 9000 erreichbar sein soll, dann ist das kein Mapping sondern Portweiterleitung, was ich weiter oben ja schon nachfragte und du mit dem Beispiel Port 80 zu 81 geantwortet hast.

Das wäre Portmapping ...dein Server läuft intern auf Port 81 und wäre extern über Port 80 erreichbar, d.h. der Port 80 wird auf Port 81 umgelenkt.

Licht im Dunkeln?

[wappilot]

Hallo,

so ganz verstanden habe ich es nicht:

Da kommen Daten von einer IP Adresse mit einem Port; wobei die IP Adresse im Vorfeld nicht bekannt ist. Die Anfrage geht an die IP Adresse, die bei DynDNS gerade "gemeldet" ist - intern muss ich doch nun auflösen, wohin die Anfrage geht; da ich aber im Vorfeld die ankommende IP nicht kenne, kann ich doch auch nicht routen - wenn ich aber weiß, da kommt Traffic auf Port 9000 - dann kann ich den noch auch auf eine andere IP umlegen... sicher ist das seh laienhaft dargestellt - aber ich bringe Euch gerne zum schmunzeln

Gruß,

Christian

[filou]

Moin,
Deine WAN-IP wird über dyndns aufgelöst, ist damit über einen Namen "deinname.dyndns.org" erreichbar und intern wird an

Intranet Adresse 192.168.1.99

weitergeleitet ...geroutet.
Nach außen ist ja nur die WAN-IP bekannt.
Dein Router übersetzt an die Intranet-IPs.