Maskieren zwischen 2 LAN Interfaces / Subnetzen

[ub99]

Hallo Forumskolleg:innen,

ich habe hier ein etwas ungewöhnliches Problem und hoffe es irgendwie mit dem Lancom LTE-Router 1783VA-4G lösen zu können.

Die Konfiguration an sich ist aktuell sehr einfach, ich habe eine Intranet-Zone 10.82.9.0/24.
In diesem Netzwerk befindet sich ein Modbus-Gateway (USR-W610 mit LAN-Interface und WLAN).

Das Besondere:
Das LAN-Interface des USR-W610 lässt sich zwar mit einer statischen IP-Adresse in das 10.82.9.0/24er Netz einbinden, aber es lässt sich kein Default Gateway definieren.

Der Modbus Port 502 des USR-W610 ist von Clients aus dem 10.82.9.0/24er Netz zu sehen, ebenso wie das Webinterface des USR-W610.
Mein Modbus Client, der die Anfragen an das USR-W610 über Port 502 triggert befindet sich aber in einem entfernten Subnetz 10.82.1.0/24 das über Site-2-Site VPN mit 10.82.9.0/24 verbunden ist. Funktioniert alles wie es soll für andere Geräte, aber mangels der Möglichkeit dem USR-W610 ein Default Gateway mitzugeben bekomme ich keine Kommunikation hin aus dem entfernten Netz 10.82.1.0/24 zum USR-W610

Meine Überlegung war nun, durch NAT das Problem zu lösen, indem Pakete aus dem remote Netzwerk 10.82.1.0/24 maskiert werden und damit das USR-W610 eine Anfrage einer IP-Adresse aus dem lokalen Netz sieht und diese korrekt beantworten kann. Ich würde einfach ein Port 502 TCP Port Forwarding dann einrichten.

Aber ich scheite hier daran wie ich das konfiguriere kann.

Am anderen Ende des VPN (10.82.1.0/24) ist ein 1783VA im Einsatz.

USR Modbus TCP Server (10.82.9.100) <-LAN-> Lancom 1783VA-4G (10.82.9.1) <--- VPN---> Lancom 1783VA (10.82.1.1) <--> Modbus TCP Client (10.82.1.212)

Vielleicht hat jemand ja auch schon so ein Thema gehabt, das ein Endgerät keine Default Route kennt und nur im lokalen Subnetz kommunizieren kann aber aus anderen Subnetzen erreichbar sein muss. Scheint bei manchen IoT Geräten so zu sein.

Das USR-W610 könnte ich auch in ein anderes Subnetz (eine DMZ oder weiteres Intranet) am LTE-Router (1783VA-4G) hängen, aber NAT zwischen zwei Internet Zonen ist ja auch nicht möglich. Mit N:N NAT/Mappings kenne ich mich bisher nicht aus.

Wenn das garnicht geht, dann ist das auch hilfreich als Auskunft und ich muss einen komplett anderen Weg wählen und leider dann ein weiteres Gerät noch einsetzen.



Beste Grüße,

Uwe

[tstimper]

Vielleicht hilft es Dir,
das Du bei LCOS temporär HTTPS Tunnel aufbauen kannst?

Zumindest um mal was zu konfigurieren?
Geht nur im Webconfig soweit ich weiß.

Viele Grüße

ts

[UKernchen]

[ub99]

Danke für den Hinweis, den ich mal im Hinterkopf behalte. Ich habe jetzt einen anderen Lösungsweg eingeschlagen bei dem es aber andere Fragen gibt zu denen ich ein eigenes Thema eröffne.

VG

Uwe

[sixty]

Das einfachste dürfte sein, die Management-Station mittels Proxy-ARP ins Netzwerk des Gateways zu bringen.

Allerdings sollte das W610 schon das Konzept eines Gateways verstehen, es fehlt lediglich in der Web-Oberfläche eine Einstellmöglichkeit.
Auch andere Konfigurationen (DNS, Zeitserver,...) gehen bei derartigen Geräten oft nur wenn sie von einem DHCP kommen:

W610.JPG

[ub99]

In der AP+WAN Einstellung macht das 610 selbst NAT, ist aber dafür auf dem WAN Interface direkt erreichbar.

Nachteil: Die mit dem AP. verbundenen Geräte sind nicht über das WAN Interface erreichbar

Meine Lösung ist nun, dass ich ein IoT Subnetz als weiteres WAN am Lancom Router angelegt und angebunden habe, Maskierung aktiviert und so vom Intranet als auch Subnetzen (u.a. die per VPN angebundene Site) problemlos die Geräte am 610er AP (LAN Modus) als auch den 610er per Modbus TCP erreiche.
Für die Richtung zum INTRANET / Subnetze / Remote Sites funktioniert Port-Forwarding gut. Lediglich können Geräte am AP des 610er nicht das Internet erreichen - Löse ich über Proxy oder spezielles Gateway in einem per Port Forwarding erreichbaren Netz.

Das ist jetzt stabil im Einsatz. Wieder einiges gelernt auch Dank der Hilfe hier.