Lieber LANCOM-Freundeskreis,
nach vielen Jahren der Beschäftigung mit Routing, Firewall und Lancom stoße ich auf ein neues Problem, das ich nicht gelöst bekomme.
Ich bin als externer Dienstleister für einen externen Dienstleister "dazugerufen" worden. Es gibt ein Firmennetz (Industriebetrieb) 192.168.178.x. Es muss nun noch ein Host installiert werden mit einem Webdienst, der jedoch eine Adresse hat, die im Netz jedoch schon für eine andere Maschine vorhanden ist. Die jeweiligen Adressen können nicht beeinflusst oder geändert werden, das liegt nicht in unserer Hand. Ziel ist am Ende ein Zugriff auf diese "neue" Maschine aus dem Internet via Portfreigabe.
Also machte ich mir Gedanken und holte aus dem Regal mal 2 alte 1631, für Netzwerkrouting sind sie ja noch gut. Mein Plan ist, ein doppeltes NAT zu machen und damit die "neue" Maschine unter einer freien Adresse im Firmennetzwerk abzubilden (vorzugaukeln): Doppeltes NAT ist ja trotz aller Ekligkeit eine übersichtlich zu stemmende Aufgabe.
Erst mal Bild:
Host-Netz: 192.168.178.0/24 - Internet-Zugriff funktioniert auch sauber. Tracert klappt auch prima durch alle Router. Im Routing ist jeweils eingestellt, dass die Intranets maskiert werden.
Nun will ich von außen nach innen:
Auf dem ersten (linken) Lancom wird ein NAT gemacht, Port 8000 nach 192.168.233.2.
Auf dem zweiten (rechten) Lancom wird ein NAT gemacht, Port 8000 nach 192.168.178.10
Problem: Ich komme nicht von außen nach innen zum Host auf Port 8000, Zeitüberschreitung. Ein Test auf den inneren Lancom (Verwaltung https auf Port 1000 freigegeben) funktioniert, bis hierhin muss das Routing also schon stimmen. Da es meine Testumgebung ist, habe ich die Firewalls auch erst mal vollständig ausgeschaltet. Vom Host aus komme ich ins Internet, ins Firmennetz natürlich nicht (wegen der Adressbereiche).
Möglicherweise bin ich schon betriebsblind, andererseits ist das mit 2 gleichen Netzen bisher auch noch nie von mir gemacht worden (VPN mit gleichen Netzen und N:N-NAT ist ja was anderes). Oder ist doch ein N:N-NAT ein Ansatz. Hat jemand eine hilfreiche Idee?
Thomas
Routing bzw. doppeltes NAT zwischen zwei gleichen IP-Netzen
Moderator: Lancom-Systems Moderatoren
-
Thomas der Router
- Beiträge: 2
- Registriert: 18 Feb 2022, 15:57
Routing bzw. doppeltes NAT zwischen zwei gleichen IP-Netzen
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Routing bzw. doppeltes NAT zwischen zwei gleichen IP-Netzen
Hi Thomas der Router,
das sollte so funktionieren...
Ist denn auf dem Host für den Webdienst auch die 192.168.172.1 als Default-Gateway eingetragen? Gerade wenn du sagt, daß du dessen Adresse nicht ändern darfst, könnte es sein, daß dort auch das Gateway falsch steht. Ggf. mußt du die LAN-Adresse des rechten LANCOMs so anpasssen, daß der Webdienst es als Gateway nutzen kann.
Läuft auf dem Host für den Webdienst ggf. eine Firewall, die Zugriffe aus fremden Netzen verbietet? (das ist z.B. bei NAS-Boxen oift der Fall)
Wenn das beides nicht der Fall ist, bleibt dir am Ende nur der IP-Router-Trace, um festzustellen, ob Pakete für den Webdienst auch wirklich richtig geroutet werden (und ob auch Antworten kommen)
Gruß
Backslash
das sollte so funktionieren...
Ist denn auf dem Host für den Webdienst auch die 192.168.172.1 als Default-Gateway eingetragen? Gerade wenn du sagt, daß du dessen Adresse nicht ändern darfst, könnte es sein, daß dort auch das Gateway falsch steht. Ggf. mußt du die LAN-Adresse des rechten LANCOMs so anpasssen, daß der Webdienst es als Gateway nutzen kann.
Läuft auf dem Host für den Webdienst ggf. eine Firewall, die Zugriffe aus fremden Netzen verbietet? (das ist z.B. bei NAS-Boxen oift der Fall)
Wenn das beides nicht der Fall ist, bleibt dir am Ende nur der IP-Router-Trace, um festzustellen, ob Pakete für den Webdienst auch wirklich richtig geroutet werden (und ob auch Antworten kommen)
Gruß
Backslash
-
Thomas der Router
- Beiträge: 2
- Registriert: 18 Feb 2022, 15:57
Re: Routing bzw. doppeltes NAT zwischen zwei gleichen IP-Netzen
So, Problem gelöst. Im Grunde ohne etwas zu machen 
Der Ärger kam wohl eher von meinem Testsystem, auf meinem Basteltisch musste dafür ein Netzwerkdrucker herhalten (also mein Host:8000). Ist ja unkompliziert, kein Firewall-Ärger auf dem Gerät und ähnliches. Aber das Gerät scheint dumm genug zu sein, nicht mit einem Router zurechtzukommen, obwohl er eingetragen wird. Nachdem mich die Situation so in Weißglut brachte, habe ich alles auf Anfang gesetzt. Nur schnell den Drucker rausgeworfen und durch einen (managebaren) Switch ersetzt, lag gerade herum. Und: funktioniiiiiert!
Aber danke für die Bestätigung meines Grundkonzeptes
Das schloss zumindest die Betriebsblindheit aus. Die Kollegen sahen das zwar genauso, aber was Externes ist ja manchmal nicht schlecht.
Der Ärger kam wohl eher von meinem Testsystem, auf meinem Basteltisch musste dafür ein Netzwerkdrucker herhalten (also mein Host:8000). Ist ja unkompliziert, kein Firewall-Ärger auf dem Gerät und ähnliches. Aber das Gerät scheint dumm genug zu sein, nicht mit einem Router zurechtzukommen, obwohl er eingetragen wird. Nachdem mich die Situation so in Weißglut brachte, habe ich alles auf Anfang gesetzt. Nur schnell den Drucker rausgeworfen und durch einen (managebaren) Switch ersetzt, lag gerade herum. Und: funktioniiiiiert!
Aber danke für die Bestätigung meines Grundkonzeptes
Das schloss zumindest die Betriebsblindheit aus. Die Kollegen sahen das zwar genauso, aber was Externes ist ja manchmal nicht schlecht.