Maskieren von IP im LAN

[fri.sch]

Hallo,

ich habe ein Gerät (Heizungssteuerung), das eine feste IP 192.168.30.10 hat und nur auf Adressen aus 192.168.30.0/24 antwortet. Ich möchte den Server auf diesem Gerät aber innerhalb des LANs von verschiedenen Clients aus einem anderen Netz (192.168.10.0/24) erreichen können. Der LANCOM Router routet korrekt zwischen den Netzen. Andere Geräte sind z. B. per Ping erreichbar.

Die Heizungssteuerung entgegen lässt sich nicht anpingen. Im Router sehe ich im Trace eingehende ICMP-Requests aber keine Antworten. Ich vermute, dass ich die Source-IP des Clients maskieren müsste, damit die Heizungssteuerung Pakete aus 192.168.30.0/24 sieht. Gibt es dazu eine Möglichkeit im LANCOM? Die NAT-Optionen in der Firewall oder im Router scheinen nur zwischen LAN und WAN, aber nicht innerhalb des LANs zu funktionieren, oder?

Vielen Dank schon mal für Hilfe und Tipps!

Viele Grüße
Frieder

[fri.sch]

Auf den zweiten Blick ergibt das irgendwie keinen Sinn. Die Heizungssteuerung dürfte ja nur sowieso nur Pakete vom Router sehen, also mit Source 192.168.30.1, oder? Vielleicht hat die Steuerung ein falsch konfiguriertes Gateway?

[tstimper]

Auf den zweiten Blick ergibt das irgendwie keinen Sinn. Die Heizungssteuerung dürfte ja nur sowieso nur Pakete vom Router sehen, also mit Source 192.168.30.1, oder? Vielleicht hat die Steuerung ein falsch konfiguriertes Gateway?

Oder gar kein Gateway eingetragen…

Du könntest ins Steuerungsnetz einen „Internetzugang“ über IPoE mit NAT und fester IP erstellen. Der Port, an dem
die Steuerung hängt wäre dann ein logischer DSL Uplink

Viele Grüße

ts

[fri.sch]

Danke für die Antwort!

Oder gar kein Gateway eingetragen…

Stimmt, das wäre noch wahrscheinlicher.

Du könntest ins Steuerungsnetz einen „Internetzugang“ über IPoE mit NAT und fester IP erstellen. Der Port, an dem
die Steuerung hängt wäre dann ein logischer DSL Uplink

Ich stecke (noch) nicht so tief drin in der Materie. Könntest du das noch ein bisschen erläutern?
Den Grundgedanken dahinter verstehe ich (bilde ich mir zumindest ein ). Wo müsste ich in LCOS ungefähr hinfassen um das umzusetzen?

[tstimper]

Danke für die Antwort!

Oder gar kein Gateway eingetragen…

Stimmt, das wäre noch wahrscheinlicher.

Du könntest ins Steuerungsnetz einen „Internetzugang“ über IPoE mit NAT und fester IP erstellen. Der Port, an dem
die Steuerung hängt wäre dann ein logischer DSL Uplink

Ich stecke (noch) nicht so tief drin in der Materie. Könntest du das noch ein bisschen erläutern?
Den Grundgedanken dahinter verstehe ich (bilde ich mir zumindest ein ). Wo müsste ich in LCOS ungefähr hinfassen um das umzusetzen?

Du erstellst mit Lanconfig mittels Assistenten einen weiteren „Internetschluss“ Plain Ethernet mit fester IP
Z.B . 192.168.30.1 über z.B. DSL-2 auf ETH 2 ( je nachdem was frei ist)

Default Route nicht setzen.
Dann legst Du im der Routing Tabelle einen
Route ins
Netz 192.168.30.0/24 mit Masquerading Eingeschaltet
an.

Dann in der Firewall noch den nötigen Traffic erlauben.

Viele Grüße

ts

[fri.sch]

Du erstellst mit Lanconfig mittels Assistenten einen weiteren „Internetschluss“ Plain Ethernet mit fester IP
Z.B . 192.168.30.1 über z.B. DSL-2 auf ETH 2 ( je nachdem was frei ist)

Default Route nicht setzen.
Dann legst Du im der Routing Tabelle einen
Route ins
Netz 192.168.30.0/24 mit Masquerading Eingeschaltet
an.

Vielen Dank! Soweit so gut. Die Heizungssteuerung hänge ich dann physisch an den ETH-2 Port statt wie bisher an einen Switch-Port an dem das Heizungsnetz konfiguriert ist?

[tstimper]

Du erstellst mit Lanconfig mittels Assistenten einen weiteren „Internetschluss“ Plain Ethernet mit fester IP
Z.B . 192.168.30.1 über z.B. DSL-2 auf ETH 2 ( je nachdem was frei ist)

Default Route nicht setzen.
Dann legst Du im der Routing Tabelle einen
Route ins
Netz 192.168.30.0/24 mit Masquerading Eingeschaltet
an.

Vielen Dank! Soweit so gut. Die Heizungssteuerung hänge ich dann physisch an den ETH-2 Port statt wie bisher an einen Switch-Port an dem das Heizungsnetz konfiguriert ist?

Ja genau.

Viele Grüße

ts

[fri.sch]

Also das funktioniert tatsächlich!

Ich musste allerdings eine Route für 192.168.30.10/32 anlegen. Mit einer Route für 192.168.30.0/24 ging es nicht. Erscheint mir auch irgendwie logischer. Ich will ja nur den Traffic für die Steuerung überhaupt an das WAN Interface routen und der Rest vom 192.168.30.0/24 Netz soll im LAN bleiben.

Vielen Dank für die Hilfe! Ich wäre niemals selber auf diesen Lösungsweg gekommen!

[tstimper]

Also das funktioniert tatsächlich!

Ich musste allerdings eine Route für 192.168.30.10/32 anlegen. Mit einer Route für 192.168.30.0/24 ging es nicht. Erscheint mir auch irgendwie logischer. Ich will ja nur den Traffic für die Steuerung überhaupt an das WAN Interface routen und der Rest vom 192.168.30.0/24 Netz soll im LAN bleiben.

Vielen Dank für die Hilfe! Ich wäre niemals selber auf diesen Lösungsweg gekommen!

Klasse

Ich verstehe zwar nicht ganz, warum die /32 er Route erforderlich war und nicht die /24 funktionierte.

Wir hatten kürzlich auch ein unverständliches Verhalten
mit einer Heizungssteuerung am LANCOM LTE Router.
Da war def Zugriff nur von einer einzigen IP möglich.

Weitere Infos von der Steuerung hatten wir auch nicht.

Viele Grüße

ts

PS: Config Backup nicht vergessen

[Hagen2000]

Ich verstehe zwar nicht ganz, warum die /32 er Route erforderlich war und nicht die /24 funktionierte.

Ich würde vermuten, dass 192.168.30.0/24 sein lokales Netz ist und er kann ja nicht das gesamte Netz "umbiegen".
Falls das der Fall ist, funktioniert jetzt der Zugriff auf die Heizungssteuerung nur noch von Clients aus, die über den LANCOM-Router laufen (also solche, die beispielsweise aus dem Netz 192.168.10.0/24 kommen). Teilnehmer aus dem lokalen Netzwerk 192.168.30.0/24 könnten jetzt ausgesperrt sein, denn die haben ja normalerweise keine Veranlassung, überhaupt den LANCOM-Router im eigenen Netz anzusprechen.
Vielleicht wird die Route auch per IP-RIP bekannt gemacht, aber ich würde in diesem Fall vermuten, dass das nicht erfolgt.

Ich würde daher eine Konfiguration empfehlen, in der sich hinter DSL-2 ein weiteres Netz befindet (die Heizungssteuerung muss dann entsprechend konfiguriert werden) und der LANCOM-Router auch für lokale Clients das Routing übernimmt. Sofern die Default-Route zum LANCOM-Router verweist, müssen lokale Clients dafür nicht besonders konfiguriert werden.

[tstimper]

Ich verstehe zwar nicht ganz, warum die /32 er Route erforderlich war und nicht die /24 funktionierte.

Ich würde vermuten, dass 192.168.30.0/24 sein lokales Netz ist und er kann ja nicht das gesamte Netz "umbiegen".

Ich würde daher eine Konfiguration empfehlen, in der sich hinter DSL-2 ein weiteres Netz befindet (die Heizungssteuerung muss dann entsprechend konfiguriert werden) und der LANCOM-Router auch für lokale Clients das Routing übernimmt. Sofern die Default-Route zum LANCOM-Router verweist, müssen lokale Clients dafür nicht besonders konfiguriert werden.

Ok ich hatte es so missverstanden, das sich im 192.168.30.0/24 Netz keine Clients befinden.

Deshalb funktioniert es jetzt mit einer Route für 192.168.30.10/32 , da wird sozusagen ein Submetz ausgekoppelt.

Sauber und auch übersichtlicher bei der Fehlersuche is natürlich ein separates IP Netz für die Steuerung.

Ich hatte es so verstanden, das er an der Steuerung netzwerktechnisch nichts umstellen kann.
Sonst hätte er ja einfach das Gateway richtig auf den LANCOM Router setzen können.

Viele Grüße

ts

PS: Device Config Backup nicht vergessen

[fri.sch]

Ich würde vermuten, dass 192.168.30.0/24 sein lokales Netz ist und er kann ja nicht das gesamte Netz "umbiegen".
Falls das der Fall ist, funktioniert jetzt der Zugriff auf die Heizungssteuerung nur noch von Clients aus, die über den LANCOM-Router laufen (also solche, die beispielsweise aus dem Netz 192.168.10.0/24 kommen). Teilnehmer aus dem lokalen Netzwerk 192.168.30.0/24 könnten jetzt ausgesperrt sein, denn die haben ja normalerweise keine Veranlassung, überhaupt den LANCOM-Router im eigenen Netz anzusprechen.

Ja, das klingt für mich logisch. Komischerweise hat mit einer Route für 192.168.30.0/24 nicht mal der Traffic der über den Router ging funktioniert. Warum genau weiß ich aber nicht.

Ok ich hatte es so missverstanden, das sich im 192.168.30.0/24 Netz keine Clients befinden.

Doch, da gibt es z. B. noch ein Bedienpanel für die Lüftung, etc.

Deshalb funktioniert es jetzt mit einer Route für 192.168.30.10/32 , da wird sozusagen ein Submetz ausgekoppelt.

Genau, ich denke so ist es.

Ich hatte es so verstanden, das er an der Steuerung netzwerktechnisch nichts umstellen kann.
Sonst hätte er ja einfach das Gateway richtig auf den LANCOM Router setzen können.

Richtig. Wenn ich wüsste wo sich genau die Steuerung befindet und wie man die konfiguriert wäre das sicher die beste Lösung. Im Idealfall findet sich in Zukunft jemand (Heizungsbauer?), der das machen kann und dann kann der Workaround wieder zurückgebaut werden.

[ub99]

Hab gerade diesen Beitrag gefunden, der meinem Beitrag sehr ähnlich ist:
fragen-zur-lancom-systems-routern-und-g ... ml#p114642

Die Lösung hier ist also durch Nutzung eines WAN-Interface NAT zu ermöglichen (was zwischen LAN oder auch zwischen LAN und einer DMZ NICHT funktioniert). So sieht das Gerät (das auch bei mir keine Eintragung eines Default GW erlaubt) eine IP aus seinem eigenen Subnetz.

In meinem Fall bietet dieses Gerät aber selbst auch noch einen AP den ich nutzen muss, der würde dann aber in dem (fake) WAN Netz aufgespannt und dort verbundene Clients hätten dann keine Routen mehr ins tatsächliche Internet

Ärgerlich, dass manche IoT Geräte einfach nicht erlauben eine Default Route zu hinterlegen - was sich die Entwickler dabei nur denken.

[tstimper]

In meinem Fall bietet dieses Gerät aber selbst auch noch einen AP den ich nutzen muss, der würde dann aber in dem (fake) WAN Netz aufgespannt und dort verbundene Clients hätten dann keine Routen mehr ins tatsächliche Internet

Ärgerlich, dass manche IoT Geräte einfach nicht erlauben eine Default Route zu hinterlegen - was sich die Entwickler dabei nur denken.

Aber den WLAN Clients kannst Du doch eine Route ins Internet eintragen, nur dem Controller selbst nicht.
Also bekommen die Clients die Public IP des Lancom als Gateway. Müsste eigentlich funktionieren.

Viele Grüße

ts