IP-Masquerading auf internen Dienst funktioniert nicht mehr

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

IP-Masquerading auf internen Dienst funktioniert nicht mehr

Beitrag von beki »

Servus,

es geht um folgendes Setup:

Code: Alles auswählen

S1 <--(LAN)--> 1781VA <--(Internet)--> 1781VA <--(LAN)--> S2
Server S1 und S2 sollen jeweils per SSH und HTTPS auf den Standardports per IPv4 erreichbar sein. Deshalb gibt es entsprechende NAT-Regeln auf den LANCOMs und die funktionieren auch. Trotzdem möchte ich gerne die LANCOMs im Zweifel per SSH und HTTPS aus dem Internet erreichen, weshalb beide diese Regeln haben (Intranet-Adresse jeweils angepasst):

Code: Alles auswählen

12/20/2021 10:49:57 beki on knuth in /Setup/IP-Router/1-N-NAT/Service-Table
> l

D-port-from  D-port-to    Protocol   Peer              WAN-Address      Intranet-Address  Map-Port     Active   Comment                                                         
========================================================================--------------------------------------------------------------------------------------------------------
8022         8022         TCP        1UND1WAN          0.0.0.0          192.168.15.3      22           Yes      direct IPv4 WAN SSH access to this box                          
8443         8443         TCP        1UND1WAN          0.0.0.0          192.168.15.3      443          Yes      direct IPv4 WAN HTTPS access to this box
Damit konnte ich die Boxen auf Port 8022 bzw. 8443 erreichen. Das funktioniert aber leider seit unbekannter Zeit nicht mehr.

Am Beispiel SSH: Ich sehe im VDSL-Packet-Capture des einen LANCOM das ausgehende TCP SYN an Zielport 8022, und als Antwort kommt ein SYN,ACK von Quellport 22. Dieses SYN,ACK kommt dann nicht bei meinem Client an, der die SSH-Verbindung aufbauen möchte.

Ich bin mir einigermaßen sicher dass der Fehler im LANCOM passiert, das die TCP-Verbindung annimmt. Hier müsste beim NAT'ing des ausgehenden SYN,ACK der Quellport umgestellt werden auf 8022.

Nicht geholfen hat es als Intranet-Adresse 127.0.0.1 zu verwenden, das Verhalten ist das gleiche.

Vielleicht ist ja jemand bei LANCOM der Auffassung dass das ein Fehler ist und kann sich um eine Korrektur bemühen. Bis dahin behelfe ich mir mit IPv6 :wink:

Grüße
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IP-Masquerading auf internen Dienst funktioniert nicht mehr

Beitrag von Dr.Einstein »

Hey,

die Portweiterleitung auf interne Dienste geht schon ewig nicht mehr bzw. ging je nach WAN Anbindung nie richtig stabil. Du kannst dir meines Wissens nach nur aushelfen, wenn du die Dienstports abänderst, wann dann auch zur Folge hat, dass die Geräte via LAN nicht mehr über 443/22 erreichbar sind:

Code: Alles auswählen

set /Setup/Config/SSH/Port 8022
set /Setup/HTTP/SSL/Port 8443
Gruß Dr.Einstein
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: IP-Masquerading auf internen Dienst funktioniert nicht mehr

Beitrag von beki »

Hi Dr. Einstein,

schön dass das noch jemand bemerkt hat! Es spricht natürlich nicht für irgendeine Dringlichkeit wenn ich sage, dass ich das lange Zeit nicht bemerkt habe und zuletzt monatelang ignoriert habe, aber es ist lästig. Und ich glaube dass dein Vorschlag, den ich auch schon in Betracht gezogen habe, mittelfristig die Lösung sein wird falls der Fehler (zumindest aus meiner Sicht ist es ein Fehler) nicht behoben wird.

Bei SSH ist das nicht so tragisch, dann trage ich eben eine Zeile in meine SSH-config nach. Aber Wenn ich die WebUI nutzen will aus dem LAN (meistens) und ich mich dann wundere warum die Verbindung nicht klappt und ich dann jedes mal den Port dazubasteln muss wenn ich mich dann dran erinnere was das Problem ist... Das ist halt lästig.

Gruß
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: IP-Masquerading auf internen Dienst funktioniert nicht mehr

Beitrag von hyperjojo »

hi,

finde das Verhalten nicht so dragisch. Ich starte sowohl die SSH- wie auch die Web-Session immer über LANconfig. Dann wird der Port direkt mit übergeben, wenn er in LANconfig korrekt hinterlegt ist und man den Pfad zum externen Programm entsprechend angepasst hat.

Gruß hyperjojo
Antworten