Maskieren von IP im LAN

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
fri.sch
Beiträge: 6
Registriert: 21 Apr 2023, 14:10

Maskieren von IP im LAN

Beitrag von fri.sch »

Hallo,

ich habe ein Gerät (Heizungssteuerung), das eine feste IP 192.168.30.10 hat und nur auf Adressen aus 192.168.30.0/24 antwortet. Ich möchte den Server auf diesem Gerät aber innerhalb des LANs von verschiedenen Clients aus einem anderen Netz (192.168.10.0/24) erreichen können. Der LANCOM Router routet korrekt zwischen den Netzen. Andere Geräte sind z. B. per Ping erreichbar.

Die Heizungssteuerung entgegen lässt sich nicht anpingen. Im Router sehe ich im Trace eingehende ICMP-Requests aber keine Antworten. Ich vermute, dass ich die Source-IP des Clients maskieren müsste, damit die Heizungssteuerung Pakete aus 192.168.30.0/24 sieht. Gibt es dazu eine Möglichkeit im LANCOM? Die NAT-Optionen in der Firewall oder im Router scheinen nur zwischen LAN und WAN, aber nicht innerhalb des LANs zu funktionieren, oder?

Vielen Dank schon mal für Hilfe und Tipps!

Viele Grüße
Frieder
fri.sch
Beiträge: 6
Registriert: 21 Apr 2023, 14:10

Re: Maskieren von IP im LAN

Beitrag von fri.sch »

Auf den zweiten Blick ergibt das irgendwie keinen Sinn. Die Heizungssteuerung dürfte ja nur sowieso nur Pakete vom Router sehen, also mit Source 192.168.30.1, oder? Vielleicht hat die Steuerung ein falsch konfiguriertes Gateway?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Maskieren von IP im LAN

Beitrag von tstimper »

fri.sch hat geschrieben: 21 Apr 2023, 15:01 Auf den zweiten Blick ergibt das irgendwie keinen Sinn. Die Heizungssteuerung dürfte ja nur sowieso nur Pakete vom Router sehen, also mit Source 192.168.30.1, oder? Vielleicht hat die Steuerung ein falsch konfiguriertes Gateway?
Oder gar kein Gateway eingetragen…

Du könntest ins Steuerungsnetz einen „Internetzugang“ über IPoE mit NAT und fester IP erstellen. Der Port, an dem
die Steuerung hängt wäre dann ein logischer DSL Uplink

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
fri.sch
Beiträge: 6
Registriert: 21 Apr 2023, 14:10

Re: Maskieren von IP im LAN

Beitrag von fri.sch »

Danke für die Antwort!
tstimper hat geschrieben: 21 Apr 2023, 15:23 Oder gar kein Gateway eingetragen…
Stimmt, das wäre noch wahrscheinlicher.
tstimper hat geschrieben: 21 Apr 2023, 15:23 Du könntest ins Steuerungsnetz einen „Internetzugang“ über IPoE mit NAT und fester IP erstellen. Der Port, an dem
die Steuerung hängt wäre dann ein logischer DSL Uplink
Ich stecke (noch) nicht so tief drin in der Materie. Könntest du das noch ein bisschen erläutern?
Den Grundgedanken dahinter verstehe ich (bilde ich mir zumindest ein :wink:). Wo müsste ich in LCOS ungefähr hinfassen um das umzusetzen?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Maskieren von IP im LAN

Beitrag von tstimper »

fri.sch hat geschrieben: 21 Apr 2023, 17:06 Danke für die Antwort!
tstimper hat geschrieben: 21 Apr 2023, 15:23 Oder gar kein Gateway eingetragen…
Stimmt, das wäre noch wahrscheinlicher.
tstimper hat geschrieben: 21 Apr 2023, 15:23 Du könntest ins Steuerungsnetz einen „Internetzugang“ über IPoE mit NAT und fester IP erstellen. Der Port, an dem
die Steuerung hängt wäre dann ein logischer DSL Uplink
Ich stecke (noch) nicht so tief drin in der Materie. Könntest du das noch ein bisschen erläutern?
Den Grundgedanken dahinter verstehe ich (bilde ich mir zumindest ein :wink:). Wo müsste ich in LCOS ungefähr hinfassen um das umzusetzen?
Du erstellst mit Lanconfig mittels Assistenten einen weiteren „Internetschluss“ Plain Ethernet mit fester IP
Z.B . 192.168.30.1 über z.B. DSL-2 auf ETH 2 ( je nachdem was frei ist)

Default Route nicht setzen.
Dann legst Du im der Routing Tabelle einen
Route ins
Netz 192.168.30.0/24 mit Masquerading Eingeschaltet
an.

Dann in der Firewall noch den nötigen Traffic erlauben.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
fri.sch
Beiträge: 6
Registriert: 21 Apr 2023, 14:10

Re: Maskieren von IP im LAN

Beitrag von fri.sch »

tstimper hat geschrieben: 21 Apr 2023, 17:23 Du erstellst mit Lanconfig mittels Assistenten einen weiteren „Internetschluss“ Plain Ethernet mit fester IP
Z.B . 192.168.30.1 über z.B. DSL-2 auf ETH 2 ( je nachdem was frei ist)

Default Route nicht setzen.
Dann legst Du im der Routing Tabelle einen
Route ins
Netz 192.168.30.0/24 mit Masquerading Eingeschaltet
an.
Vielen Dank! Soweit so gut. Die Heizungssteuerung hänge ich dann physisch an den ETH-2 Port statt wie bisher an einen Switch-Port an dem das Heizungsnetz konfiguriert ist?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Maskieren von IP im LAN

Beitrag von tstimper »

fri.sch hat geschrieben: 21 Apr 2023, 17:40
tstimper hat geschrieben: 21 Apr 2023, 17:23 Du erstellst mit Lanconfig mittels Assistenten einen weiteren „Internetschluss“ Plain Ethernet mit fester IP
Z.B . 192.168.30.1 über z.B. DSL-2 auf ETH 2 ( je nachdem was frei ist)

Default Route nicht setzen.
Dann legst Du im der Routing Tabelle einen
Route ins
Netz 192.168.30.0/24 mit Masquerading Eingeschaltet
an.
Vielen Dank! Soweit so gut. Die Heizungssteuerung hänge ich dann physisch an den ETH-2 Port statt wie bisher an einen Switch-Port an dem das Heizungsnetz konfiguriert ist?
Ja genau.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
fri.sch
Beiträge: 6
Registriert: 21 Apr 2023, 14:10

Re: Maskieren von IP im LAN

Beitrag von fri.sch »

Also das funktioniert tatsächlich! :D

Ich musste allerdings eine Route für 192.168.30.10/32 anlegen. Mit einer Route für 192.168.30.0/24 ging es nicht. Erscheint mir auch irgendwie logischer. Ich will ja nur den Traffic für die Steuerung überhaupt an das WAN Interface routen und der Rest vom 192.168.30.0/24 Netz soll im LAN bleiben.

Vielen Dank für die Hilfe! Ich wäre niemals selber auf diesen Lösungsweg gekommen!
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Maskieren von IP im LAN

Beitrag von tstimper »

fri.sch hat geschrieben: 22 Apr 2023, 12:45 Also das funktioniert tatsächlich! :D

Ich musste allerdings eine Route für 192.168.30.10/32 anlegen. Mit einer Route für 192.168.30.0/24 ging es nicht. Erscheint mir auch irgendwie logischer. Ich will ja nur den Traffic für die Steuerung überhaupt an das WAN Interface routen und der Rest vom 192.168.30.0/24 Netz soll im LAN bleiben.

Vielen Dank für die Hilfe! Ich wäre niemals selber auf diesen Lösungsweg gekommen!
Klasse 😀

Ich verstehe zwar nicht ganz, warum die /32 er Route erforderlich war und nicht die /24 funktionierte.

Wir hatten kürzlich auch ein unverständliches Verhalten
mit einer Heizungssteuerung am LANCOM LTE Router.
Da war def Zugriff nur von einer einzigen IP möglich.

Weitere Infos von der Steuerung hatten wir auch nicht.

Viele Grüße

ts

PS: Config Backup nicht vergessen 😀
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: Maskieren von IP im LAN

Beitrag von Hagen2000 »

tstimper hat geschrieben: 22 Apr 2023, 15:19 Ich verstehe zwar nicht ganz, warum die /32 er Route erforderlich war und nicht die /24 funktionierte.
Ich würde vermuten, dass 192.168.30.0/24 sein lokales Netz ist und er kann ja nicht das gesamte Netz "umbiegen".
Falls das der Fall ist, funktioniert jetzt der Zugriff auf die Heizungssteuerung nur noch von Clients aus, die über den LANCOM-Router laufen (also solche, die beispielsweise aus dem Netz 192.168.10.0/24 kommen). Teilnehmer aus dem lokalen Netzwerk 192.168.30.0/24 könnten jetzt ausgesperrt sein, denn die haben ja normalerweise keine Veranlassung, überhaupt den LANCOM-Router im eigenen Netz anzusprechen.
Vielleicht wird die Route auch per IP-RIP bekannt gemacht, aber ich würde in diesem Fall vermuten, dass das nicht erfolgt.

Ich würde daher eine Konfiguration empfehlen, in der sich hinter DSL-2 ein weiteres Netz befindet (die Heizungssteuerung muss dann entsprechend konfiguriert werden) und der LANCOM-Router auch für lokale Clients das Routing übernimmt. Sofern die Default-Route zum LANCOM-Router verweist, müssen lokale Clients dafür nicht besonders konfiguriert werden.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Maskieren von IP im LAN

Beitrag von tstimper »

Hagen2000 hat geschrieben: 23 Apr 2023, 09:38
tstimper hat geschrieben: 22 Apr 2023, 15:19 Ich verstehe zwar nicht ganz, warum die /32 er Route erforderlich war und nicht die /24 funktionierte.
Ich würde vermuten, dass 192.168.30.0/24 sein lokales Netz ist und er kann ja nicht das gesamte Netz "umbiegen".

Ich würde daher eine Konfiguration empfehlen, in der sich hinter DSL-2 ein weiteres Netz befindet (die Heizungssteuerung muss dann entsprechend konfiguriert werden) und der LANCOM-Router auch für lokale Clients das Routing übernimmt. Sofern die Default-Route zum LANCOM-Router verweist, müssen lokale Clients dafür nicht besonders konfiguriert werden.
Ok ich hatte es so missverstanden, das sich im 192.168.30.0/24 Netz keine Clients befinden.

Deshalb funktioniert es jetzt mit einer Route für 192.168.30.10/32 , da wird sozusagen ein Submetz ausgekoppelt.

Sauber und auch übersichtlicher bei der Fehlersuche is natürlich ein separates IP Netz für die Steuerung.

Ich hatte es so verstanden, das er an der Steuerung netzwerktechnisch nichts umstellen kann.
Sonst hätte er ja einfach das Gateway richtig auf den LANCOM Router setzen können.

Viele Grüße

ts

PS: Device Config Backup nicht vergessen
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
fri.sch
Beiträge: 6
Registriert: 21 Apr 2023, 14:10

Re: Maskieren von IP im LAN

Beitrag von fri.sch »

Hagen2000 hat geschrieben: 23 Apr 2023, 09:38 Ich würde vermuten, dass 192.168.30.0/24 sein lokales Netz ist und er kann ja nicht das gesamte Netz "umbiegen".
Falls das der Fall ist, funktioniert jetzt der Zugriff auf die Heizungssteuerung nur noch von Clients aus, die über den LANCOM-Router laufen (also solche, die beispielsweise aus dem Netz 192.168.10.0/24 kommen). Teilnehmer aus dem lokalen Netzwerk 192.168.30.0/24 könnten jetzt ausgesperrt sein, denn die haben ja normalerweise keine Veranlassung, überhaupt den LANCOM-Router im eigenen Netz anzusprechen.
Ja, das klingt für mich logisch. Komischerweise hat mit einer Route für 192.168.30.0/24 nicht mal der Traffic der über den Router ging funktioniert. Warum genau weiß ich aber nicht.
tstimper hat geschrieben: 23 Apr 2023, 10:13 Ok ich hatte es so missverstanden, das sich im 192.168.30.0/24 Netz keine Clients befinden.
Doch, da gibt es z. B. noch ein Bedienpanel für die Lüftung, etc.
tstimper hat geschrieben: 23 Apr 2023, 10:13 Deshalb funktioniert es jetzt mit einer Route für 192.168.30.10/32 , da wird sozusagen ein Submetz ausgekoppelt.
Genau, ich denke so ist es.
tstimper hat geschrieben: 23 Apr 2023, 10:13 Ich hatte es so verstanden, das er an der Steuerung netzwerktechnisch nichts umstellen kann.
Sonst hätte er ja einfach das Gateway richtig auf den LANCOM Router setzen können.
Richtig. Wenn ich wüsste wo sich genau die Steuerung befindet und wie man die konfiguriert wäre das sicher die beste Lösung. Im Idealfall findet sich in Zukunft jemand (Heizungsbauer?), der das machen kann und dann kann der Workaround wieder zurückgebaut werden.
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

Re: Maskieren von IP im LAN

Beitrag von ub99 »

Hab gerade diesen Beitrag gefunden, der meinem Beitrag sehr ähnlich ist:
fragen-zur-lancom-systems-routern-und-g ... ml#p114642

Die Lösung hier ist also durch Nutzung eines WAN-Interface NAT zu ermöglichen (was zwischen LAN oder auch zwischen LAN und einer DMZ NICHT funktioniert). So sieht das Gerät (das auch bei mir keine Eintragung eines Default GW erlaubt) eine IP aus seinem eigenen Subnetz.

In meinem Fall bietet dieses Gerät aber selbst auch noch einen AP den ich nutzen muss, der würde dann aber in dem (fake) WAN Netz aufgespannt und dort verbundene Clients hätten dann keine Routen mehr ins tatsächliche Internet :-(

Ärgerlich, dass manche IoT Geräte einfach nicht erlauben eine Default Route zu hinterlegen - was sich die Entwickler dabei nur denken.
Profil stillgelegt -> Neues Profil: cybersmart
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Maskieren von IP im LAN

Beitrag von tstimper »

ub99 hat geschrieben: 27 Aug 2023, 17:42 In meinem Fall bietet dieses Gerät aber selbst auch noch einen AP den ich nutzen muss, der würde dann aber in dem (fake) WAN Netz aufgespannt und dort verbundene Clients hätten dann keine Routen mehr ins tatsächliche Internet :-(

Ärgerlich, dass manche IoT Geräte einfach nicht erlauben eine Default Route zu hinterlegen - was sich die Entwickler dabei nur denken.
Aber den WLAN Clients kannst Du doch eine Route ins Internet eintragen, nur dem Controller selbst nicht.
Also bekommen die Clients die Public IP des Lancom als Gateway. Müsste eigentlich funktionieren.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten