Masquerading(vorher:Port-Forwarding oder Firewall-Problem??)

[marceldelux]

Hallöchen!

nachdem meine begeisterung für das Gerät mitterweile etwas gelitten hat und ich mich vielleicht auch einfach nur zu blöd anstelle frag ich hier einfach mal nach:

Ich würde gern einen Webserver über den 821+ veröffentlichen.

Eingestellt habe ich hierfür die Firewall:
ALLOW-SERVER-HTTP
Aktion: Übertragen; sofort
Verbindungs-Quelle: Alle Stationen
Verbindungs-Ziel: IP-Adresse XXX.XXX.XXX.XXX (Webserver)
Dienste: Benutzerdefiniert -> Ziel-Ports 80 (TCP)

soweit so gut, nun noch den Port forwarden:

Anfangsport: 80
End-Port: 80
Gegenstelle: ALL-LINES (Load-Balancing Bündelung)
Intranet-Adresse: XXX.XXX.XXX.XXX (Webserver)
Map-Port:0
Protokoll: TCP
WAN-Adresse: 0.0.0.0 (richtig?)


Es will aber einfach nicht klappen. Ich komme nicht zu meinem Webserver durch. Der Router hängt im gleichen Netz und ein Ping mit dem LANmonitor kommt auch zu dem Webserver durch.

Denkfehler? Defektes Gerät?

[backslash]

Hi marceldelux

die Regeln sind eigentlich in Ordnung...

Gegenstelle: ALL-LINES (Load-Balancing Bündelung)

funktioniert es denn, wenn du statt des gesamten Bündels nur jeweils eine Leitung angibst?

Kannst du das Gerät überhaupt unter (einer) seiner WAN-Adresse(n) erreichen (z.B. per Telnet oder SSH)?

Was sagen ein Firewall-, IP-Router- und MasqueradingTrace (im Telnet: trace # fi ip-ro ip-masq eingeben) bei dem Versuch, auf den Server zuzugreifen?

Gruß
Backslash

[marceldelux]

ich habe auch schon eine einzelne Leitung versucht, ohne Erfolg.

Von außen kann ich weder per Telnet noch SSH etc. drauf zugreifen, trotz freigabe hierfür.

trace # fi ip-ro ip-masq liefert:

Code: Alles auswählen

Filter info: packet received from invalid interface DSL2
send SNMP trap
packet dropped
[Firewall] 2007/09/27 17:17:48,070 : Packet matched rule intruder detection
DstIP: [DestIP], SrcIP: [SourceIP von anderer leitung], Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 61621, Flags: S

das Interface DSL2 hängt am ETH4... muss man hier vielleicht was spezielles beachten?
Ich habe jedenfalls nicht die "private"-restriktion für die ETH-Ports...

tante Edit: raus komme ich ja über den Router, also scheinen die verbindungen zumindest zu stehen...

Edit2: Muss mich gerade korrigieren:
Ich komme über das ADSL-Interface (also nicht über DSL2) per Telnet auf den Router. Jedoch immernoch nicht auf den Webserver...

[backslash]

Hi

ich hab es gerade mal ausprobiert: und es funktioniert einfach:

Die eine Leitung hat die IP 10.0.0.110 und die andere die IP 1.2.3.4. Das Portforwarding ist wie bei dir an den Loadbalancer geheftet. Der Webserver hat die Adresse 172.16.1.70.

Wenn von einem PC im Intranet (IP 192.168.1.65) die öffentliche Adresse der zweiten Loadbalancer-Verbindung (also die 1.2.3.4) angesprochen wird, dann zeigt ein Loadbalancer- und IP-Router-Trace folgendes:

Code: Alles auswählen

[Load-Balancer] 1900/01/01 00:00:39,890 : Add session 1 for channel INTERNET on bundle LOADBAL
[IP-Router] 1900/01/01 00:00:39,890
IP-Router Rx (LAN-4, WIN2K, RtgTag: 5): 
DstIP: 1.2.3.4, SrcIP: 192.168.1.65, Len: 52, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 2393, Flags: S
Route: WAN Tx (INTERNET)

[Load-Balancer] 1900/01/01 00:00:39,890 : Add session 1 for channel MULTI on bundle LOADBAL
[IP-Router] 1900/01/01 00:00:39,890
IP-Router Rx (MULTI, RtgTag: 0): 
DstIP: 172.16.1.70, SrcIP: 10.0.0.110, Len: 52, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 59568, Flags: S
Route: LAN-2 Tx (DMZ): 

[IP-Router] 1900/01/01 00:00:39,900
IP-Router Rx (LAN-2, DMZ, RtgTag: 0): 
DstIP: 10.0.0.110, SrcIP: 172.16.1.70, Len: 44, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 59568, SrcPort: 80, Flags: SA
Route: WAN Tx (MULTI)

[IP-Router] 1900/01/01 00:00:39,900
IP-Router Rx (INTERNET, RtgTag: 5): 
DstIP: 192.168.1.65, SrcIP: 1.2.3.4, Len: 44, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 2393, SrcPort: 80, Flags: SA
Route: LAN-4 Tx (WIN2K): 

[IP-Router] 1900/01/01 00:00:39,900
IP-Router Rx (LAN-4, WIN2K, RtgTag: 5): 
DstIP: 1.2.3.4, SrcIP: 192.168.1.65, Len: 40, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 80, SrcPort: 2393, Flags: A
Route: WAN Tx (INTERNET)

Warum bei dir das IDS der Firewall zuschlägt, kann ich dir nicht sagen. ggf. stimmt deine Routing-Tabelle nicht (z.B. weil für die "Source-IP der anderen Leitung" eine andere Routre eingetragen ist).

Als Workaround kannst du natürlich beim IDS als Aktion "übertragen" einstellen...

Gruß
Backslash

[marceldelux]

Ich werde mir die Routing-Tabelle nochmal genauer ansehen... vermutlich liegt hier der hund begraben.

ich melde mich dann nochmal.

Vielen dank schonmal!

[marceldelux]

So...

ich hab den "Fehler":

Mein Webserver hat als Standard-Gateway nicht den Lancom-Router. Die Requests kommen zwar beim Webserver an, werden aber anschließend an das Standard-Gateway des Webservers zurück geschickt. Dadurch bekommt der Client die Pakete nicht zurück.

Vielleicht bin ich auch blind oder blöd aber wie bitte stelle ich den 821+ so ein, dass er sich nicht mit der urspünglichen Client-IP an den Webserver sondern mit seiner eigenen, internen IP an den Webserver wendet?

Das ist doch im Grunde nix anderes wie einfachstes NAT oder nich?

[backslash]

Hi marceldelux

Das ist doch im Grunde nix anderes wie einfachstes NAT oder nich?

im Prinzip ja, nur hast hast du das Problem, daß NAT nur auf WAN-Verbidnungen geht... Wenn du also willst, daß das LANCOM in Richtung Webserver ebenfalls NATtet, dann mußt du dafür eine IPOE WAN-Verbindung einrichen

Gruß
Backslash

[marceldelux]

Hab das jetzt mal probiert nur leider führt das bei mir zum gleichen Ergebnis... Der 821+ offeriert dem Webserver immernoch die öffentliche IP des Clients und nicht seine eigene...

[backslash]

Hi marceldelux

hast du auf der IPOE-Verbindung auch die Maskirerung aktiviert?

Gruß
Backslash

[marceldelux]

ja, definitv. selbst wenn ich es deaktiviere sehe ich kein bisschen Veränderung an den Paketen...

[backslash]

Hi marceldelux,

ja, definitv. selbst wenn ich es deaktiviere sehe ich kein bisschen Veränderung an den Paketen...

irgendwie fehlt mir dabei der Glaube...

Verwendest du im LAN und auf der IPOE-Verbindung das gleiche Netz? Wenn ja, dann mußt du noch Proxy-ARP aktivieren - sonst gehen die Daten für den Server aufs LAN - was ich eh vermute, daher auch folgende Frage:

Hast du den Server auch an den Port gehängt, über den die IPOE-Verbindung aufgebaut wird?

Gruß
Backslash

[marceldelux]

hab jetzt einfach mal ein Testszenario mit einem Rechner an dem Router aufgesetzt.

Leider ist es aber so, dass ich in keiner Konstellation dazu komme, dass er NATet...

Vor allem mit IPoE gehts nich...

langsam übersteigt die Konfigurationszeit dem wert dieses Gerätes. aus diesem grunde wird das ding nun verkauft und es kommt ein Cisco/Linksys-Gerät ins haus.

dennoch vielen dank an dich backslash

[backslash]

Hi marceldelux

die Konfiguration ist doch völlig trivial (alles, was hier nicht aufgeführt ist, einfach auf Default lassen)

Schnittstellen -> LAN -> Ethernetports -> Port an dem der Server hängt:

Interface-Verwendung: DSL


Schnittstellen -> WAN -> Interface-Einstellungen -> DSL

[x] aktiviert


Kommunikation -> Gegenstellen -> Gegenstellen(DSL)

Name: Name der IPOE-Verbindung
Haltezeit: 9999
Layername: IPOE


Kommunikation -> Protokolle -> IP-Parameter:

Gegenstelle: Name der IPOE-Verbindung
IP-Adresse: Adresse aus Netz in dem der Server steht (!= der, die das LANCOM im LAN hat)
Netzmaske: Netzmaske dieses Netzes


IP-Router -> Allgemein:

[x] entfernte Stationen per Proxy-ARP einbinden


IP-Router -> Allgemein -> Routing-Tabelle:

IP-Adrese: IP des Servers
Netzmaske: 255.255.255.255
Router: Name der IPOE-Verbindung
Maskierung: Intranet und DMZ maskieren


fertig...


Wenn du das nicht hinbekommst - wieso glaubst du, daß es mit einem Cisco schneller zu schaffen wäre? OK ein Cisco ist teurer - da kann man dann länger dran verzweifeln...

Gruß
Backslash

[marceldelux]

Wenn du das nicht hinbekommst - wieso glaubst du, daß es mit einem Cisco schneller zu schaffen wäre?

weil Cisco von der Bedienung imho intuitiver ist...
wie dem so sei, hab das jetzt mal versucht, wie du es beschrieben hast aber dabei sind mir Fragen aufgekommen:

Wir reden aber schon darüber, dass der Server sich nicht selbst in Internet einwählen soll, sondern der Lancom, oder?

Denn dann sind mir Schritt 1 und 2 dabei nicht so ganz klar:
Wieso soll ich dem Server nen Port am 821+ geben, der auf DSL eingestellt ist? das macht für mich keinen Sinn da es ja ein LAN-Port ist/sein soll...

Edit: Ich habe mal den Titel geändert da das Problem ja offensichtlich ist...

[backslash]

Hi marceldelux

Wir reden aber schon darüber, dass der Server sich nicht selbst in Internet einwählen soll, sondern der Lancom, oder?

genau.

Denn dann sind mir Schritt 1 und 2 dabei nicht so ganz klar:
Wieso soll ich dem Server nen Port am 821+ geben, der auf DSL eingestellt ist? das macht für mich keinen Sinn da es ja ein LAN-Port ist/sein soll...

weil das LANCOM asymmetrisch ist und NAT nur auf WAN-Verbindungen möglich ist.

Für den Server ist es völlig egal, ob der Ethernet-Port an dem er hängt, im LANCOM als LAN- oder als WAN-Port bezeichnet wird.

Wegen der Asymmetrie ist es dem LANCOM aber nicht egal. Dir wiederum kann es aber wieder egal sein, daß der Port als DSL-Port bezeichnet wird - das ist nur ein Name...

Gruß
Backslash