Hallo zusammen,
anbei mal meine Ausgangslage und Problembeschreibung mit der Hoffnung hier Hilfe zu bekommen:
SITE1 (1783VA-4G):
INTERNET-Route: LTE
INTRANET 10.82.9.0/24
IOT-Route: 10.82.10.0/24 als IPOE WAN ohne DHCP (Lancom statische IP 10.82.10.254) wegen NAT-Anforderung
VPN-Route: -> SITE2 10.82.1.0/24
SITE2 (1783VA):
Internet Route IPOE -> Kabelmodem
INTRANET 10.82.1.0/24
VPN-Route -> SITE1 10.82.9.0/24
Das IOT Netz muss NAT machen da ich dort ein Gerät habe dem kein Default Gateway zugewiesen werden kann, das aber von außerhalb des eigenen Subnetzts erreicht werden muss. Mit NAT konnte das nun gelöst werden. Ich kann von SITE1/INTRANET aber auch von SITE2 auf das Gerät in SITE1 IOT geNATtet zugreifen.
Problemstellungen:
1) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server in SITE2 erreichen (MQTT Broker)
2) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server (mit Namensauflösung) im INTERNET erreichen (http)
Hier scheitere ich nun an der Konfiguration des Port-Forwardings für Problemstellung 1 und 2 und hoffe auf Hilfestellung.
Danke schonmal und beste Grüße,
Uwe
Port-Forwarding zu einem Host an einer anderen Site
Moderator: Lancom-Systems Moderatoren
Port-Forwarding zu einem Host an einer anderen Site
Profil stillgelegt -> Neues Profil: cybersmart
Re: Port-Forwarding zu einem Host an einer anderen Site
Hi Uwe,ub99 hat geschrieben: 04 Sep 2023, 16:04 Hallo zusammen,
anbei mal meine Ausgangslage und Problembeschreibung mit der Hoffnung hier Hilfe zu bekommen:
SITE1 (1783VA-4G):
INTERNET-Route: LTE
INTRANET 10.82.9.0/24
IOT-Route: 10.82.10.0/24 als IPOE WAN ohne DHCP (Lancom statische IP 10.82.10.254) wegen NAT-Anforderung
VPN-Route: -> SITE2 10.82.1.0/24
SITE2 (1783VA):
Internet Route IPOE -> Kabelmodem
INTRANET 10.82.1.0/24
VPN-Route -> SITE1 10.82.9.0/24
Das IOT Netz muss NAT machen da ich dort ein Gerät habe dem kein Default Gateway zugewiesen werden kann, das aber von außerhalb des eigenen Subnetzts erreicht werden muss. Mit NAT konnte das nun gelöst werden. Ich kann von SITE1/INTRANET aber auch von SITE2 auf das Gerät in SITE1 IOT geNATtet zugreifen.
Problemstellungen:
1) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server in SITE2 erreichen (MQTT Broker)
2) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server (mit Namensauflösung) im INTERNET erreichen (http)
Hier scheitere ich nun an der Konfiguration des Port-Forwardings für Problemstellung 1 und 2 und hoffe auf Hilfestellung.
Danke schonmal und beste Grüße,
Uwe
kannst Du mal eine Grafik erstellen?
Das lässt sich besser drüber reden.
Viele Grüße
ts
PS: wenn Du willst, komm in den Community Call. Daten schicke ich Dir per PN
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Port-Forwarding zu einem Host an einer anderen Site
Hi ub99,
Oder du hast Geräte, denen du kein Gateway zuweisen kannst und daher hinter dem NAT landen. Die können aber keine Server in Internet ansprechen (und natürlich ist bei ihnen auch eine Namensauflösung nicht möglich)...
Oder du hast beide Arten von Geräte - dann stellst du die einen in das separate LAN-Netz und die anderen hinter das NAT.
Die Geräte hinter dem NAT können dann aber auch nicht mit einem MQTT Broker sprechen (denn der sitzt eigentlich in einem anderen Netz, daß mangels Gateway nicht erreichbar ist), weshalb du am Ende gar keine Portforwardings brauchst...
Und wenn die dummen Geräte ohne Gateway doch mit einen MQTT-Brocker im eigegen LAN sprechen können, dann trägst du auf denen die IP-Adresse des LANCOMs als MQTT-Brocker ein und trägst im LANCOM ein Portforwarding für Port 8883 oder 1883 ein, daß auf den am Ende genuzten MQTT-Brocker verweist...
Gruß
Backslash
kurz und kanpp: das geht nicht zusammen wegen:Problemstellungen:
1) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server in SITE2 erreichen (MQTT Broker)
2) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server (mit Namensauflösung) im INTERNET erreichen (http)
Entweder du hast Geräte, die entfernte Server ansprechen können - dann kannst du auf ihnen auch eine Gateway konfigurieren und kannst sie einfach in ein getrenntes LAN-Netz (aka "DMZ") setzen.Das IOT Netz muss NAT machen da ich dort ein Gerät habe dem kein Default Gateway zugewiesen werden kann,
Oder du hast Geräte, denen du kein Gateway zuweisen kannst und daher hinter dem NAT landen. Die können aber keine Server in Internet ansprechen (und natürlich ist bei ihnen auch eine Namensauflösung nicht möglich)...
Oder du hast beide Arten von Geräte - dann stellst du die einen in das separate LAN-Netz und die anderen hinter das NAT.
Die Geräte hinter dem NAT können dann aber auch nicht mit einem MQTT Broker sprechen (denn der sitzt eigentlich in einem anderen Netz, daß mangels Gateway nicht erreichbar ist), weshalb du am Ende gar keine Portforwardings brauchst...
Und wenn die dummen Geräte ohne Gateway doch mit einen MQTT-Brocker im eigegen LAN sprechen können, dann trägst du auf denen die IP-Adresse des LANCOMs als MQTT-Brocker ein und trägst im LANCOM ein Portforwarding für Port 8883 oder 1883 ein, daß auf den am Ende genuzten MQTT-Brocker verweist...
Gruß
Backslash
Re: Port-Forwarding zu einem Host an einer anderen Site
Mach ich gerne wenn es noch Sinn macht, einen Teil des Forwardings habe ich jetzt gelöst / Problemstellung 1)Hi Uwe,
kannst Du mal eine Grafik erstellen?
Das lässt sich besser drüber reden.
Zuletzt geändert von ub99 am 04 Sep 2023, 18:53, insgesamt 1-mal geändert.
Profil stillgelegt -> Neues Profil: cybersmart
Re: Port-Forwarding zu einem Host an einer anderen Site
So wäre es wenn nicht eines der Geräte (Modbus Gateway + Access Point) kein Default Gateway eintragen lassen würde (das Gerät ist ein USR-W610)backslash hat geschrieben: 04 Sep 2023, 17:27kurz und knapp: das geht nicht zusammen wegen:Problemstellungen:
1) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server in SITE2 erreichen (MQTT Broker)
2) IOT-Geräte aus dem SITE1 IOT Netz müssen auch einen Server (mit Namensauflösung) im INTERNET erreichen (http)Entweder du hast Geräte, die entfernte Server ansprechen können - dann kannst du auf ihnen auch eine Gateway konfigurieren und kannst sie einfach in ein getrenntes LAN-Netz (aka "DMZ") setzen.Das IOT Netz muss NAT machen da ich dort ein Gerät habe dem kein Default Gateway zugewiesen werden kann,
Ich vermute das mit dem "Internet" kann ich wirklich vergessen, das wird nix, aber ich habe es nun am Laufen, dass ich in das Zielnetz auf der anderen Site komme und MQTT-Broker wird nun erreicht per Port-Forwarding.Oder du hast Geräte, denen du kein Gateway zuweisen kannst und daher hinter dem NAT landen. Die können aber keine Server in Internet ansprechen (und natürlich ist bei ihnen auch eine Namensauflösung nicht möglich)...
Das Blöde hier ist eben, dass der problematische Modbus-Gateway (kein Default Gateway konfigurierbar) auch Access Point ist. Der MQTT Server kann nur WLAN und muss sich über genau diesen einen AP verbinden und kann daher nicht selbst in ein anderes Netz. Saublöde Ausgangslage das Ganze.Oder du hast beide Arten von Geräte - dann stellst du die einen in das separate LAN-Netz und die anderen hinter das NAT.
Die Geräte hinter dem NAT können dann aber auch nicht mit einem MQTT Broker sprechen (denn der sitzt eigentlich in einem anderen Netz, daß mangels Gateway nicht erreichbar ist), weshalb du am Ende gar keine Portforwardings brauchst...
Genau so hat es jetzt für den MQTT-Teil funktioniert. Danke schonmal!Und wenn die dummen Geräte ohne Gateway doch mit einen MQTT-Brocker im eigenen LAN sprechen können, dann trägst du auf denen die IP-Adresse des LANCOMs als MQTT-Brocker ein und trägst im LANCOM ein Portforwarding für Port 8883 oder 1883 ein, daß auf den am Ende genuzten MQTT-Brocker verweist...
Um die Statusmeldung eines Geräts aus dem IOT LAN dann ins Internet zu bekommen muss ich mir einen anderen Weg suchen.
Besten Dank auf jeden Fall.
Uwe
Profil stillgelegt -> Neues Profil: cybersmart