N:N Mapping oder IP Portforwarding

[NewD]

Moin Zusammen,

ich habe aktuell das Problem das ich keine Lösung zu meinem Problem finde. Die Einstellungen welche ich vorgenommen habe klappen nicht und ich benötige eure Hilfe.

Wunsch/Szenario:

Aktuell haben wir von der Zentrale (ISG5000) aus viele VPN Verbindung auf viele Standorte wo Lancom Router 1790(3)VA-4G(+) installiert sind.
Also eine IKEV2 VPN Verbindung ist hergestellt und läuft auch stabil.

Nun möchte ich ein privates Netzwerk (192.168.1.0/24) hinter dem Lancom Router aufstellen. An dem Lancom Router hängt dann z.B. ein kleiner Router der das private Netz bedient (alles statische IP's).
In diesem privatem Netz sind Rechner oder andere Endgeräte welche die Internetverbindung (LTE) des Lancom Router nutzen sollen.

Ziel: ist es, ein Zugriff aus der Zentrale auf dieses private Netz hinter dem Lancom Router wie z.b. Webinterfaces also http(s) der Endgeräte eine Verbindung aufzubauen.

Skizze:


Zentrale ISG5000----10.100.0.0/16<----------ikev2 VPN---------->10.100.1.254---1790VA-4G+-->192.168.1.254 (ETH4 Lancom)--->192.168.1.1 (Router)


Einstellungen am Lancom Router:

IP Adresse -Router.PNG

Routing-Router.PNG

Port-Forwarding-Router.PNG

Was genau muss ich einstellen damit der Zugriff von der Zentrale aus auf der private Netz durchgeht?
Ich hab mir schon die Dokus von Lancom und anderen durchgelesen und versucht einzustellen....aber irgendwie klappt es nicht!

Ich hatte als erstes N:N Mapping ausprobiert aber das wird mein Szenario nicht wirklich abdecken. Da passt das Port-Forwarding besser dazu, weil ich der IP vom privaten Netz einen Port zuweisen kann und mir Zugriff über z.B.: 10.100.1.254:1500 auf den 192.168.1.1 verschaffen kann...in der Theorie

Zusatz: Wenn ein Endgerät und ein Laptop aus dem privatem Netz am Lancom Router hängt, kann ich beide vom Lancom Router aus anpingen (wenn zusätzlich testweise auch ETH1 LAN3 ist).
-->Wenn ich dies von der Zentrale aus versuche...also im Lanconfig wo der Lancom Router zu sehen ist, dann klappt das mit dem Ping nicht...denke mir weil der Ping-Auftrag erstmal über die VPN Leitung gesendet werden muss!
Entweder ist die Firewall ein Problem auf beiden Seiten (Zentrale-Standort) oder ich hab mich total geirrt und so eine Konstellation funktioniert nicht!

Ich hoffe ich konnte es verständlich machen und hoffe das wir eine Lösung finden können.
Danke
Gruß

[NewD]

ich konnte leider die Skizze nicht ins Hauptfenster hinterlegen...daher in die Antwort

[Dr.Einstein]

Kannst du dem Fremdrouter nicht auf seinem WAN Interface eine z.B. 10.100.x.253/24 geben, als GW den Lancom 10.100.x.254, und als LAN hinter dem Fremdrouter weiterhin 192.168.1.x? Dann kannst du deine Portweiterleitungen einfach im Fremdrouter hinterlegen. Von der Zentrale aus steuerst du die IP des Fremdrouters an inkl. Portangabe (10.100.x.253:100). Am Fremdrouter musst du nur dafür sorgen, dass die Default Route oder eine statische Route 10.100.0.0/16 auf den lokalen Lancom zeigt.

Gruß Dr.Einstein

[NewD]

Hi Dr.Einstein,

an sich eine gute Idee. Doch die Sache ist, dass wir Standorte samt Hardware abkaufen und verschiedene Routerhersteller dann haben. Wollte das eigentlich alles über unsere Lancom Router abwickeln..
Ich werde das aber mal testen und berichten wie es war...

Vielleicht können wir eine Lancomseitige Lösung finden.

[Hagen2000]

Ping an Windows-Geräte führt gerne zu Analysefehlern, denn die Windows Firewall lässt oft nur Pings aus dem eigenen Subnetz zu!
Da bin ich auch schon drauf reingefallen. Besser ist es, irgendwelche Drucker oder Linux-Geräte anzupingen.

[NewD]

danke guter Hinweis!
der Ping ging an einen Industrie Router von Teltonika. Wenn ich direkt vom Lancom pinge klappt es wenn ich über die Zentrale pinge nicht(auf dem Server ist Lanconfig-> mit allen Stationen der Lancom Router 1790 und dem ISG5000).

Ich würde sehr gerne es so einstellen wollen, dass ich z.B. 10.100.1.254:15000 eingebe und beim 192.168.1.1 rauskomme. Es müssen keine Daten zurückgeschickt werden also wie FTP etc... lediglich der Zugriff auf das Webinterface der Endgeräte wird benötigt.

[Hagen2000]

In den Abbildungen in #1 hast Du nur Regeln für TCP+UDP Port 80 abgebildet, für ICMP sehe ich nichts, daher wird der ping ohnehin nicht gehen.

Beim Paketfluss muss man immer auch die Rückrichtung betrachten: Sprichst Du die Web-GUI von beispielsweise 192.168.1.1:80 über ein Port-Forwarding an, so sieht der Webserver als Quelle eine Adresse aus Deiner Zentrale, also aus 10.100.0.0/16. Dahin will er die Antwort schicken. Und hier wird es jetzt fehl schlagen, denn wenn der Rückweg nicht gerade auf deiner(n) Default-Route(n) liegt, biegt das Paket irgendwo falsch ab, salopp ausgedrückt.

[NewD]

Moin Leute,

sorry aktuell viel um die Ohren.
Danke erstmal für die Antworten...
Ich teste es heute nochmal durch.
Melde mich dann wieder..

edit: im Fenster "Port-Forwarding-Tabelle" kann ich als Protokoll nur (TCP) und/oder (UDP) auswählen. Müsste ICMP dann in der Firewall des Router einstellen damit pings weitergeleitet werden...oder?


Bis denne
NewD

[Hagen2000]

Wenn man das beim Port-Forwarding nicht eintragen kann, wird es prinzipiell nicht gehen.
Als Workaround könntest Du telnet benutzen und damit zumindest feststellen, ob Du eine Verbindung herstellen kannst.

Code: Alles auswählen

telnet <ip_address> <port_number>

Da es sich bei Dir um Port 80, also HTTP handelt, kannst Du natürlich gleich mit einem Browser zugreifen, aber ein Kommandozeilen-Utility ist vielleicht manchmal effizienter zu benutzen.

[NewD]

also lustigerweise kann ich von dem Laptop welcher am Teltonika Router hängt 192.168.1.61 unsere Zentrale anpingen 10.100.0.0/16. Also der "Rückweg" scheint zu funktionieren.

Ich komm aber noch nicht aus der Zentralenumgebung auf das Webinterface des Teltonika Routers!

[Hagen2000]

Wirf mal einen Blick ins Manual der Tektonika-Router: Der Zugriff über das WAN-Interface muss separat erlaubt werden. Um eine Umkonfiguration der Geräte kommst Du also nicht herum.

[NewD]

wantolan.PNG

Ich hab WAN zu LAN getauscht.

Also ein Ping vom Endgerät zu Zentrale geht durch, wenn ich direkt vom Teltonika aus ping klappt es nicht! Es bin ich verwirrter als vorher
Werde mal alles auf Werkseinstellung zurücksetzen und die ganze Konfig neuaufbauen... vielleicht hab ich einfach zu wild herumgeklickt...

[Hagen2000]

Greifst ja dennoch von einer WAN-Adresse zu.

[NewD]

Hi,
wäre diese Knowledge die richtige für meine Umsetzung?

https://support.lancom-systems.com/know ... d=32988863

Hier ist als Beispiel Netz A und Netz B im selben Netz und kommunizieren über VPN 1:1 NAT mit Maskierung zusammen.

ich hab zwar nicht auf beiden Seiten dasselbe Netz aber der Ansatz wäre schon mal richtig oder?


edit:
hier hab ich ein schönes Beispiel gefunden was mein Szenario gut widerspiegelt...zwar nicht von Lancom aber hier könnte ich was ableiten.