Routing-Problem/Frage L-1784

Familienvater · Beitrag von **Familienvater** » 26 Okt 2019, 12:53

Hallo,

ich habe versucht zu suchen, aber evtl. nach dem falschen gesucht oder es gibt halt nix.
Ich habe einen L-1784, an dem WAN-seitig ein VDSL der Telekom am internen Modem hängt, und ein Vodafone DSL mit statischer IP an einem externen Modem, das ganze per Loadbalancer auf dem Lancom. Funktioniert auch alles, sehe ich zur Zeit weniger als Problem. Dazu kommt, das am VDSL MagentaTV läuft, nutze ich zur Zeit nicht, sollte aber auch soweit OK sein, dafür gibt es für das Multicast-Routing noch die Routing-Tags 101 und 102.

Des weiteren habe ich ein WLAN-Gästenetzwerk auf L-322, was dort per VLAN absegmentiert wird, und im L-1784 per Routing-Tag 1 getaggt wird, das immer hart auf den VDSL geroutet. Die Routing-Tabelle sieht so aus:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.101.1    255.255.255.255  0        GUI-EXT-MODEM     0         on          Yes      fuer Zugriff aus Intranet auf ext DSL-Modem
192.168.0.0      255.255.0.0      1        0.0.0.0           0         No          Yes      block private networks: 192.168.x.y
192.168.0.0      255.255.0.0      0        0.0.0.0           0         No          Yes      block private networks: 192.168.x.y
172.16.0.0       255.240.0.0      1        0.0.0.0           0         No          Yes      block private networks: 172.16-31.x.y
172.16.0.0       255.240.0.0      0        0.0.0.0           0         No          Yes      block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0        1        0.0.0.0           0         No          Yes      block private network: 10.x.y.z
10.0.0.0         255.0.0.0        0        0.0.0.0           0         No          Yes      block private network: 10.x.y.z
224.0.0.0        224.0.0.0        102      192.168.1.2       0         No          Yes      MultiCast: WAN->LAN???
224.0.0.0        224.0.0.0        101      T-CLSURF          0         on          Yes      MultiCast: LAN->WAN
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          102      T-CLSURF          0         on          Yes      MultiCast: Force T-Kom dyn IP
255.255.255.255  0.0.0.0          1        T-CLSURF          0         on          Yes      Gaeste-Netz
255.255.255.255  0.0.0.0          0        LOAD-BALANCER     0         on          Yes      Intranet

Netzwerk-Liste

Code: Alles auswählen

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment
==================-------------------------------------------------------------------------------------------------------------------
DMZ               0.0.0.0          255.255.255.0    0        LAN-2               loose          DMZ       0        demilitarized zone
INTRANET          192.168.1.2      255.255.255.0    1        LAN-1               loose          Intranet  0        local intranet
GUEST             192.168.2.2      255.255.255.0    2        LAN-1               loose          Intranet  1        VLAN Guest

Gäste im Gast-Netz bekommen 192.168.2.x-Adressen vom DHCP auf dem L-1784, das Intranet hat 192.168.1.x, der L-1784 ist die 192.168.1.2
Wie gewünscht haben Gäste absolut keinen Zugriff auf irgendwelche Ressourcen im Intranet, das möchte ich jetzt aber gerne ein ganz kleines bisschen Aufweichen, die Gäste sollen auf genau eine IP-Adresse im Intranet (192.168.1.222) zugreifen können, da läuft ein Reverse-Proxy, auf den auch Port 443 aus dem Internet kommend weitergeleitet wird.

Mit zwei neuen zugefügten Routen

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.1.222    255.255.255.255  1        192.168.1.2       0         No          Yes      fuer Zugriff aus Gastnetz auf ReverseProxy, +FW-Regel https only
192.168.2.0      255.255.255.0    0        192.168.2.2       0         No          Yes      Pakete zurueck aus Intranet nach Gast-Netzwerk

klappt es aber nicht... Hiiilfe???

Danke,

Christian

hyperjojo · Beitrag von **hyperjojo** » 27 Okt 2019, 08:20

hallo,

die Block-Routen mit Routing-Tag kannst du dir übrigens sparen. Die brauchst du m.E. nicht.
Auch die beiden neu hinzugefügten Routen brauchst du nicht.

Du brauchst eine Firewall-Regel mit entsprechenden Bedingungen (von Gastnetz auf 192.168.1.222) mit dem Routing Tag 65535.
Damit wird Routing-Tag 0 für diese Pakete gesetzt.

Gruß hyperjojo

Familienvater · Beitrag von **Familienvater** » 27 Okt 2019, 11:59

Moin,

super, danke, der Schubs hat funktioniert...
Der Support meinte auch schon mal, das ich die Block-Rrouten entfernen könnte, da hatte ich aber alle entfernt (Rtg-Tag 0+1), und dann gab es IIRC irgendwelche (komischen) Probleme, das manche Inbound-Portforwardings ärger gemacht hatten, weshalb ich die Block-Routen wieder aktiviert hatte.

Ich habe jetzt mal die für Routing-Tag 1 rausgeworfen, und auf den ersten Blick funktioniert das Inbound-Portforwarding noch. Das ist halt so ein Thema, das fällt mir ggf. nicht sofort auf, ich bin normalerweise ja auf der "hellen" Seite und im Intranet, und nur wenn ich irgendwann mal von unterwegs zufällig ohne VPN mal auf meine Ressourcen zugreifen will, dann merke ich, das es nicht geht, und andere nutzen das bis jetzt nur versuchsweise sporadisch, und wenn es dann nicht geht, dann bekomme ich davon ggf. auch nichts mit.

Danke, und noch ein schönes Rest-Wochenende!

Christian

LANCOM-Forum.de

Routing-Problem/Frage L-1784

Routing-Problem/Frage L-1784

Re: Routing-Problem/Frage L-1784

Re: Routing-Problem/Frage L-1784