Hallo zusammen.
Ich habe 2 Internet Gegenstellen.
Eine Gegenstelle ist mit Tag "5" getagged.
Über diese Gegenstelle möchte ich einen Server, über den Port 443 von außen ansprechen.
IP-Masquerading ist eingerichtet und zeigt auf die Server IP.
Wenn ich von außen zugreife kommt über das Trace eine Meldung
"block-route for 10.0.9.4@5, packet rejected"
10.0.9.4 ist die interne IP des Servers...
und
[IP-Router] 2021/01/13 01:44:55,861 Devicetime: 2021/01/13 01:45:04,941
IP-Router Rx (T-CLSURF, RtgTag: 5):
DstIP: 10.0.9.4, SrcIP: 5.xxx.xx.xx, Len: 52, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 54450, Flags: S
"Network unreachable (no route) => Discard"
Was läuft falsch ?
Problem besteht erst sei LCOS 10.40, davor mit der gleichen Konfiguration kein Problem.
Habe ich was übersehen ?
10.40 RU3 ist installiert.
Router ist ein ISG-1000.
Vielen Dank für eure Hilfe...
Gegenstelle
Moderator: Lancom-Systems Moderatoren
Re: Gegenstelle
Hi geforce28
Wenn das Netz, in dem der Server steht, ein anderes Tag hast, dann brauchst du eine Firewall-Regel, die den Traffic umtaggt.
Wenn das Server-Netz das Tag 0 hat, dann mußt du in der Regel als Routing-Tag 65535 eintragen
Es stellt sich aber doch die Frage, weshalb du die Internetverbindung überhaupt taggst...
GRuß
Backslash
Damit zwingst du über diese Gegenstelle einkommende Sessions in den Kontext 5- wie man auch shön am Router-Trace sieht....Eine Gegenstelle ist mit Tag "5" getagged.
Wenn das Netz, in dem der Server steht, ein anderes Tag hast, dann brauchst du eine Firewall-Regel, die den Traffic umtaggt.
Code: Alles auswählen
Name: ALLOW_SERVER_ACCESS
Routing-Tag: Tag des Netzes, in dem der Server steht
Aktion: übertragen
Quelle: alle Statinen
Ziel: IP des ServersEs stellt sich aber doch die Frage, weshalb du die Internetverbindung überhaupt taggst...
GRuß
Backslash
Re: Gegenstelle
Super danke, das war es scheinbar.
Ist das neu seit der 10.40 ??
Habe jetzt meine Firewallregeln, die das Portforwarding regeln, wo der TAG 5 hinterlegt ist einfach den Tag 65535 eingetragen und es läuft jetzt erstmal wieder. - Hoffe das ist so auch im Sinne des Erfinders, oder ?
Habe auch QoS Regeln, da ich z.B. RTP Ports und 5060 für SIP von außen nach innen offen habe für unsere Telefonanalge.
Da habe ich jetzt auch den 5er TAG oder 65535 ersetzt. - Scheint alles zu funktionieren, aber so richtig verstanden habe ich das leider nicht... ?!
Heißt 65535 einfach, dass er alle einkommenden Pakete, egal mit welchem Tag verarbeitet und an den 0er TAG leitet in dem sich meine Server, usw. befinden ?
Warum ich den 2. Internet Zugrang tagge ?
Nunja um die 2 Internet Zugänge trennen zu können, bzw. speziellen Geräten den Zugang über ISP A und anderen über ISP B laufen zu lassen.
Dazu ist das doch notwendig oder ?
Ist das neu seit der 10.40 ??
Habe jetzt meine Firewallregeln, die das Portforwarding regeln, wo der TAG 5 hinterlegt ist einfach den Tag 65535 eingetragen und es läuft jetzt erstmal wieder. - Hoffe das ist so auch im Sinne des Erfinders, oder ?
Habe auch QoS Regeln, da ich z.B. RTP Ports und 5060 für SIP von außen nach innen offen habe für unsere Telefonanalge.
Da habe ich jetzt auch den 5er TAG oder 65535 ersetzt. - Scheint alles zu funktionieren, aber so richtig verstanden habe ich das leider nicht... ?!
Heißt 65535 einfach, dass er alle einkommenden Pakete, egal mit welchem Tag verarbeitet und an den 0er TAG leitet in dem sich meine Server, usw. befinden ?
Warum ich den 2. Internet Zugrang tagge ?
Nunja um die 2 Internet Zugänge trennen zu können, bzw. speziellen Geräten den Zugang über ISP A und anderen über ISP B laufen zu lassen.
Dazu ist das doch notwendig oder ?
Re: Gegenstelle
hallo,
in der WAN-Tag-Tabelle musstest du keine Einträge vornehmen?
Ich habe es bisher noch nicht nachstellen können. Wundert mich aber irgendwie ein bisschen, dass das Thema bisher hier noch nicht aufgekommen ist - sind ja doch einige solche Konstellationen bei Kunden zu finden...
Gruß hyperjojo
in der WAN-Tag-Tabelle musstest du keine Einträge vornehmen?
Ich habe es bisher noch nicht nachstellen können. Wundert mich aber irgendwie ein bisschen, dass das Thema bisher hier noch nicht aufgekommen ist - sind ja doch einige solche Konstellationen bei Kunden zu finden...
Gruß hyperjojo
Re: Gegenstelle
JA doch in der WAN-TAG Tabelle war auch ein Eintrag nötig, aber den hatte ich schon vorher getätigt.
Re: Gegenstelle
Hi geforce28
Und für "ausgehende" Sessins sind nur die Schittstellen-Tags an den LAN-Interfaces zur Trennung nötig - oder mann trennt das über Firewall-Regeln, die passend taggen.
Einträge in der WAN-Tag-Tabelle sind eigentlich nur nötig, wenn man unmaskierte WAN-Verbindugen hat, um darüber eingenegde Sessions in den richtigen Kontext zu zwingen.
Gruß
Backslash
erstmal nicht... Denn zumindest bei Internetzugängen kann man wegen der dort vorhandnen Maskierung "einkommende" Sessions ja einfach Portforwardings separieren.Nunja um die 2 Internet Zugänge trennen zu können, bzw. speziellen Geräten den Zugang über ISP A und anderen über ISP B laufen zu lassen.
Dazu ist das doch notwendig oder ?
Und für "ausgehende" Sessins sind nur die Schittstellen-Tags an den LAN-Interfaces zur Trennung nötig - oder mann trennt das über Firewall-Regeln, die passend taggen.
Einträge in der WAN-Tag-Tabelle sind eigentlich nur nötig, wenn man unmaskierte WAN-Verbindugen hat, um darüber eingenegde Sessions in den richtigen Kontext zu zwingen.
Gruß
Backslash