Doppelte Portweiterleitung mit 1906 VA

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

Doppelte Portweiterleitung mit 1906 VA

Beitrag von Werniman »

Hallo,
ich brauche mal wieder eure Hilfe. Wir haben in unserer "Zentrale" einen Lancom 1906VA stehen, der das Netz 192.168.1.0/24 verwaltet. Dieser Router hat eine feste externe IP. In einer unserer Außenstellen steht ebenfalls ein 1906VA, hier ist das lokale Netz die 192.168.10.0/24, allerdings hat er nur eine dynamische externe IP. Beide sind per VPN miteinander verbunden und die Netze können sich auch gegenseitig erreichen. Über den VPN-Tunnel läuft allerdings nur die firmeninterne Kommunikation, d.h. surfen im Internet wird direkt vom Router der Außenstelle abgewickelt und nicht erst an die Zentrale gesendet.

Da die Internetanbindung der Außenstelle eher bescheiden ist (1,5Mbit Downstream), steht der Terminalserver, auf dem die User dieser Außenstelle arbeiten, nicht in der Zentrale,sondern dort vor Ort in der Außenstelle. Nun wurde auf dem Terminalserver dort vor Ort ein Programm zur Verwaltung von Großküchen installiert. Allerdings möchte der Hersteller eine feste IP haben, an die er über Port 14252 wichtige Dokumente (z.B. Rechnungen) an die Software sendet. Sozusagen als eine Art "Elektronisches Einschreiben" :-).

Da die Außenstelle keine feste IP hat, kommt da nun wieder die Zentrale ins Spiel, die über eine feste IP verfügt. Auf den ersten Blick scheint das einfach zu sein, aber irgendwo hängts wohl noch. Nun habe ich auf beiden Routern identische Einstellungen gemacht: Firewall für Port 14252 aufgemacht und Portforwarding auf die IP des Terminalservers in der Außenstelle (Mapping-Port jeweils 14252). Wenn ich nun die externe IP des Routers in der Außenstelle mit einem Portscanner prüfe, wird mir der offene Port 14252 auch angezeigt.
Mache ich gleiches mit der externen IP des Routers in der Zentrale ist es hingegen ein Fehlschlag. Auch wenn ich im Portforwarding in der Zentrale als Ziel nicht die IP des Terminalservers,sondern testweise mal die externe IP des Außenstellenrouters eingebe,ändert sich nix. Irgendwo auf dem Weg von der Zentrale zur Außenstelle geht also das Forwarding verloren.
Hat jemand eine Idee, woran das liegen könnte und wie ich den Port quasi "doppelt weiterleiten" kann ?
Nach oben
backslash
Moderator
Moderator
Beiträge: 7011
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Doppelte Portweiterleitung mit 1906 VA

Beitrag von backslash »

Hi Werniman,

so wird das nicht funktionieren...
In der Aussenstelle kannst du dir das Portforwarding komplett sparen, da du ja schon in der Zentrale auf die (interne) IP des Terminal-Servers weiterleitest.
Das Problem ist hier das VPN, bez. dessen Netzbeziehungen... In der Aussenstelle mußt du eine (getaggte) Defaultroute auf die VPN-Verbindung legen und in der Zentrale mußt du in der Firewall eine VPN-Regel erstellen, die Pakete mit Quell-Adressen aus dem Internet im VPN erlaubt:

Code: Alles auswählen

Name:     ALLOW-INTERNET-VPN
[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wirdzur Erzeugung von VPN-Netzberiehungen (SAs) verwendet

Aktion:   übertragen
Quelle:   alle Stationen
Ziel:     VPN-Gegenstelle
Dienste:  alle Dienste
Wenn die IP-Adresse des Servers des Dienstleisters bekannt ist, dann reicht in der Aussenstelle auch eine Host-Route (Netzmaske 255.255.255.255) auf diese Adresse und in der Firewallregel kannst du die Quelle auch auf diese eine Adresse beschränken

Gruß
Backslash
Nach oben
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

Re: Doppelte Portweiterleitung mit 1906 VA

Beitrag von Werniman »

Danke für Deine Ausführungen, klingt logisch. Momentan hab ich mir anders ausgeholfen, funktioniert ebenfalls. Mir ist gestern eingefallen, dass der DSL-Anschluß in der Außenstelle ein Businessanschluß ist...und da ist eine feste IP im Leistungsumfang, man muss sie allerdings erst manuell aktivieren. Gesagt, getan. Jetzt läufts erstmal.

Trotzdem möchte ich nochmal kurz auf das von dir Geschriebene antworten: Die Firewall in der Zentrale entsprechend einzurichten war kein Problem. Aber wie bitte leg ich in der Außenstelle eine getaggte Defaultroute an ? Momentan sind dort 3 Routen eingetragen:
192.168.0.0/24, Routingtag 0, Ziel: VPN zur Zentrale, Maskierung ausgeschaltet und die "Standardrouten" 224.0.0.0 und 255.255.255.255. Speziell beim Tagging versteh ich da gerade nur Bahnhof.
Nach oben
backslash
Moderator
Moderator
Beiträge: 7011
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Doppelte Portweiterleitung mit 1906 VA

Beitrag von backslash »

Hi Werniman,
Aber wie bitte leg ich in der Außenstelle eine getaggte Defaultroute an ? Momentan sind dort 3 Routen eingetragen:
192.168.0.0/24, Routingtag 0, Ziel: VPN zur Zentrale, Maskierung ausgeschaltet und die "Standardrouten" 224.0.0.0 und 255.255.255.255. Speziell beim Tagging versteh ich da gerade nur Bahnhof.
eigentlich ganz einfach... Mit LANconfig einfach unter IP-Router -> Routing -> IPv4_Routing-Tabelle... auf die Default-Route (die mit 255.255.255.255) gehen und "kopieren" drücken. Danach im sich dann öffnenden Dialog für die Route das Routing-Tag z.B. auf 1234 setzen und die Gegenstelle ("Router") auf die VPN-Verbindung setzen - fertig....

oder im CLI:

Code: Alles auswählen

cd /Setup/IP-Router/IP-Routing-Table
add 255.255.255.255 0.0.0.0 1234 VPN-GEGENSTELLE
Gruß
Backslash
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“