lokale ip weiterleiten / natten

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
richie1985
Beiträge: 45
Registriert: 22 Jun 2012, 15:34

lokale ip weiterleiten / natten

Beitrag von richie1985 »

Hallo,

habe noch nie gehört das sowas überhaupt geht, aber vielleicht habe ich ja glück.

Mein LAN hat das Subnet 192.168.196.0/24.

Nun habe ich daraus 4 Adressen aus diesem Bereich die in ein anderes Netz genattet werden sollen und somit weitergeleitet werden in ein VPN Tunnel, der Versuch:
Bild

klappt so leider nicht... kann mich jemand in die richtige Richtung schubsen oder geht das grundsätzlich nicht?

Danke!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: lokale ip weiterleiten / natten

Beitrag von backslash »

Hi richie1985,

die Gegenstelle darf schonmal nicht "DEFAULT" heissen. Da muß zumindest der Name des VPN-Tunnels rein.

Dann stellt sich noch die Frage, was du mit "und somit weitergeleitet werden in ein VPN Tunnel" meinst.... Ein N:N-NAT setzt nur bei auf die Gegenstelle gesendeten Paketen die Quell-Adresse von der Quell-IP auf die Umgesetzte-IP um und bei von der Gegenstelle empfangenen Paketen die Ziel-Adresse von der Umgesetzten-IP auf die Quell-IP - mehr macht es nicht.



Gruß
Backslash
richie1985
Beiträge: 45
Registriert: 22 Jun 2012, 15:34

Re: lokale ip weiterleiten / natten

Beitrag von richie1985 »

okay ich versuche es mal anders zu beschreiben.

im lokalen 196.0/24 subnet gibt es ein server (196.9), der senden Daten an die IP 192.168.196.244 (das kann auch nicht geändert werden).
die zielmaschine steht jetzt aber nicht mehr im gleichen netz sondern in einem anderen standort im Netz 192.168.200.0/24.

mein wunsch: die lancom empfängt die packete für die 192.168.196.244 empfängt, wandelt diese um in 192.168.200.244 und schickt diese dann in den vpn tunnel zu dem anderen standort.

die vpn zwischen den standorten existiert bereits und läuft.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: lokale ip weiterleiten / natten

Beitrag von backslash »

Hi richie1985,

das wird so leider nicht funktionieren... Das N:N-NAT im LANCOM ist nur ein "Quell-NAT", d.h. du könntest die IP des Servers (192.168.166.9) natten, nicht aber die Adresse, die er anpricht.

Wenn der Server doch bei dir steht: Wieso kannst du ihn dann nicht umkonfigurieren, so daß der die richtige Adresse anspricht?
Wenn das wirklich nicht geht, dann mußt du dir einen Proxy für die Zieladresse in dein lokales Netz stellen, der dann das Ziel-NAT durchführt.

Gruß
Backslash
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: lokale ip weiterleiten / natten

Beitrag von Koppelfeld »

backslash hat geschrieben: 17 Apr 2019, 17:37 Wenn das wirklich nicht geht, dann mußt du dir einen Proxy für die Zieladresse in dein lokales Netz stellen, der dann das Ziel-NAT durchführt.
Eben, ein Standard - DNAT. Ach, was wäre es schön, wenn wir dieses Feature bekommen könnten!
Ich helfe mir in solchen Fällen immer so:
- Sonderroute im LANCOM für diese Fälle auf irgendeinen Linux-Server, der IP-Forwarder ist und 'iptables' installiert hat
- # iptables -t nat -A PREROUTING -s <TARGET> -j DNAT --to-destination <NEW_TARGET>

Das läuft bei uns aber zurecht unter "Gefrickel".

Und Ihr habt es im LANCOM (portbezogen) schon realisiert, im Interaktivmenü "TCP/IP - Tunnel erzeugen", ein Feature übrigens, das mir schon etliche Male den Arsch gerettet hat.
Wir wollen doch nix weiter als ein "DNAT" - Feature,
- eine zusätzliche Loopbackadresse auf dem Router
- optional ein Routing-Tag
- optional einen Port(range)
- die korrespondierende Zieladresse
- GANZ WICHTIG: Checkbox "Optional Source IP auf Loopback-Adresse umsetzen"

Das ist doch einfacher zu implementieren als eine "LMC" ?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: lokale ip weiterleiten / natten

Beitrag von backslash »

Hi Koppelfeld,

du hast ja recht...

Wenn's nach mir ginge, dann wäre der Schwerpunkt auch woanders... aber leider geht es nicht nach mir und die Ressourcen sind beschränkt...
Das ist doch einfacher zu implementieren als eine "LMC" ?
da wäre ich vorsichtig... Denn er Impact der Cloud in der FIrmware ist eher gering... Das meißte läuft alles auf den Cloud-Servern. Und Web-Entwickler sind nunmal keine Firmware-Entwickler...

Gruß
Backslash
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: lokale ip weiterleiten / natten

Beitrag von Koppelfeld »

backslash hat geschrieben: 17 Apr 2019, 18:06 Wenn's nach mir ginge, dann wäre der Schwerpunkt auch woanders... aber leider geht es nicht nach mir und die Ressourcen sind beschränkt...
Wo kann man den Wunsch denn 'mal einkippen?

Ich würde ja den Einwand akzeptieren, "baut doch einfach Euer Netz anständig um, dann braucht Ihr das nicht", bloß: Machmal geht es halt nicht. Ich kann mich an einen Fall erinnern, also jetzt nicht "Metallbau Meier und Sohn" um die Ecke, sondern ein Aushängeschild der deutschen Wirtschaft mit 17.000 Leuten und zwei fetten IBM AS/400. Die hatten den schlechtesten mir bekannten Netzwerkdienstleister, "DataErect", und den schlechtesten mir bekannten IBM-Dienstleister, Schmitz und Franziol. Der eine schmierte dem EDV-Leiter traditionell den Winterurlaub, der andere finanzierte das Pony für die Tochter. Irgendwann fiel auf: Der Zentralrechner braucht 0% CPU, 0% I/O und alles ist gut, aber die Anwender warten stundenlang. Ich gucke 'mal drüber und denke, der Himmel bricht ein:
Es war ein halbes Dutzend Netzwerkkarten verbaut, und bei der Installation hatte man die Leitungsbeschreibungen der Vorgängermaschinen 'geclont'. Wie auch 5 Jahre zuvor. Die Installation nach der Methode der "ewigen Suppe" hatte dafür gesorgt, daß alle Interfaces mit 10 MBit/s liefen, immerhin FDX. Kam hinzu: Die Idioten hatten alle NICs im gleichen Netz.
Ich gehe also hin und sage, "Wir müssen die Leitungsbeschreibungen der Karten auf Gigabit-Ethernet anpassen und die Interfaces aggregieren, dann werden auch alle sechs Karten genutzt, und zwar mit 1 GBit/s". Kriege ich zur Antwort: "Das würde aber ein sehr schlechtes Bild auf 'Data Erect' und 'Schmitz und Franziol' werfen". Der hat dann allen Ernstes die Karren 9 Monate durchlaufenlassen bis Sylvester, und am Neujahr, 01:00, durften wir die Kisten umkonfigurieren.
So läuft es in Deutschland. Protektionismus, Korruption, mangelnde Ausbildung, Leck-mich-am-Arsch - Einstellung. Oberstes Ziel: Kein User und erst recht kein Chef soll mich durch Meckern aus der Komfortzone vertreiben. Korrigiere: Einziges Ziel.
Über Ostern bauen wir ein größeres Netzwek um. Wenn ich dem EDV-Leiter gesagt hätte, was wir alles machen werden, dann würde er vor Angst so massiv einpinkeln, daß die Rheinauen überschwemmt wären.

In dieser Realität muß man auch die unsinnigsten, "hysterisch gewachsenen" Strukturen als unumstößliches UN-Weltkulturerbe aufrechterhalten.

Und DAFÜR bräuchten wir das DNAT - Feature.
Das ist doch einfacher zu implementieren als eine "LMC" ?
da wäre ich vorsichtig... Denn er Impact der Cloud in der FIrmware ist eher gering... Das meißte läuft alles auf den Cloud-Servern. Und Web-Entwickler sind nunmal keine Firmware-Entwickler...
Der geht an Dich:
https://www.heise.de/newsticker/meldung ... 10106.html
richie1985
Beiträge: 45
Registriert: 22 Jun 2012, 15:34

Re: lokale ip weiterleiten / natten

Beitrag von richie1985 »

Hi Koppelfeld,

scheitere schon am setzen der Sonderroute:

Bild

wird aber nicht zur 192.168.196.7 weitergeleitet. Muss ich noch was setzen?

Gruss!

Erik
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: lokale ip weiterleiten / natten

Beitrag von backslash »

Hi richie1985

auch das funktioniert nicht - allein schon, weil Pakete für die 192.168.196.244 bzw. .246 gar nicht beim LANCOM ankommen (siehe Grundlagen TCP/IP).
Hinzu kommt, daß, wenn die Pakete beim LANCOM ankämen, diese auf die Gegenstelle "DEFAULT" geroutet würden und dort dann - wenn es eine IPOE Verbindung wäre - ein ARP Request für die 192.168.196.7 gemacht würde. Beachte den Konjunktiv, denn:
Desweiten darf eine WAN-Gegenstelle nicht "DEFAULT" heissen, weil "DEFAULT" ein reservierter Name ist. Aber das habe ich ja schon mal geschrieben...

Dein gewünschtes Szenario läßt sich mit einem LANCOM nunmal nicht umsetzen.

Gruß
Backslash
Antworten