Port-Forwarding an WAN mit fester IP

[mschmid@gmx.eu]

Hallo Zusammen,

erstmal vorweg - ich bin leider kein Profi, aber auch kein blutiger Anfänger.

Unsere Konstellation an unserem 1781VAW ist etwas komplizierter.
Wir haben 3 Internetzugänge:
1x VDSL von der Telekom - hängt am VDSL-Anschluss des Lancom
1x Glasfaseranschluß von R-Kom mit Router von R-Kom - am Ethernet-Port mit Internetzugang DHCP
1x ADSL bzw. seit letzter Woche VDSL-Anschluss von Vodafone
früher über Modem und Verbindungsaufbau durch Lancom, jetzt über die PlusBox340 von Vodafone

Bisher und auch aktuell ist der R-Kom-Anschluss das Default Gateway.
Der Telekom-Anschluss wurde und wird für VPN-Verbindungen genutzt und es gibt auch paar weitergeleitete Ports, was auch noch funktioniert.

Am ADSL-Anschluss von Vodafone gab es früher auch ein paar Portweiterleitungen, die funktioniert haben.
Durch die Umstellung des Anschlusses und "Umkonfiguration" des Vodafone-Anschlusses auf Internet mit DHCP sind sie Weiterleitungen nicht mehr gegangen.
Ich hab das eigentlich erstmal auf die PlusBox von Vodafone geschoben, aber das ist wohl nicht ganz das Problem.

Anscheinend funktionieren bei mir keine Portweiterleitungen an Anschlüssen mit "vorgeschalteten" Routern!?
Ich hab nämlich jetzt auch versucht, am R-Kom-Anschluss eine Portweiterleitung einzurichten, die aber auch nicht funktioniert.
An den vorgeschalteten Routern dürfte es auch nicht liegen, da es z.B. mit einer Fritzbox an dem R-Kom-Anschluss reibungslos funktioniert.

Ich weiß - es ist auch kompliziert beschrieben, aber hat vlt. jemand einen Tipp?!?

Vielen Dank schon mal im Voraus
Markus

[Koppelfeld]

Hi,

das k-a-n-n eigentlich nicht funktionieren. Hinein in den Router kommst Du schon. Aber heraus müssen die Antwortpakete über die Default-Route. Das wäre unschön und gerade noch vertretbar, weil wir es mit einer unsymmetrischen Verbindung zu tun hätten. Aber: Das NAT auf dem entfernten System bricht das. Sprich: Es klappt von einer "echten" IP sehr gut, aber nicht, wenn der entfernte Partner hinter einem NAT hängt.

Da fehlt ein "Feature", welchen man im Linux-Kernel leicht nachbilden kann, "merke Dir, woher ein Paket kam, identifiziere eventuelle Antwortpakete und schicke diese genau dorthin, von wo die Anfrage herkam.

Beim LANCOM wäre eine Option schön, "Setze einen Tag auf das Paket, welches der Regel entspricht. Halte den Verbindungsstatus nach und übernehme dieses Tag auch für die Antwortpakete".

Damit bekämest Du das hin. Dr. E. und Jirka behaupten allerdings, "früher ging das". Ich wüßte nicht wie.

Es gäbe noch eine weitere Möglichkeit, nach der tausende User schon seit Jahren schreien (aber wen interessieren die, LANCOM führt lieber die Cloudservices und die Layer-8-Erkennung ein):

Destination - NAT.

Sprich: Eine auf Port xxxxx eingehende Verbindung wird auf eine (natürlich zu spezifizierende) LOKALE Adresse gemappt. Damit "versteckst" Du zwar für den Zieldienst die öffentliche Adresse, aber die Rückroute ist natürlich jetzt möglich.

[mschmid@gmx.eu]

Ich würde das mit dem NAT und dem entfernten System ja schon verstehen, also vor allem mit der "komischen" PlusBox von Vodafone...

Aber bei dem R-Kom-Anschluss bekommt der Lancom-Router ja sogar die öffentliche IP über DHCP und da funktioniert es eben auch nicht?!?

[Jirka]

Hallo Markus,

aber hat vlt. jemand einen Tipp?!?

ja, was sagt denn die Firewall im LANCOM dazu? Erlaubt die das?

Bei dem Vodafone-Anschluss hätte man lieber ein VDSL-Modem vor den LANCOM gehangen... (Aber wer keine Arbeit hat, macht sich welche...)

Viele Grüße,
Jirka

[Koppelfeld]

Ich würde das mit dem NAT und dem entfernten System ja schon verstehen, also vor allem mit der "komischen" PlusBox von Vodafone...

Aber bei dem R-Kom-Anschluss bekommt der Lancom-Router ja sogar die öffentliche IP über DHCP und da funktioniert es eben auch nicht?!?

Ach du Sch... An die "Vodafone Prollbox" habe ich gar nicht gedacht. Da nimmt man den dicksten Fäustel, holt gehörig aus und kloppt drauf, sodaß das Ekelwerk zerspratzt und sich in alle Richtungen verteilt.
Aber auch, wenn Du ordnungsgemäß ein Modem dranhängst, sodaß die Vodafone-IP im Router liegt -- Deine Route wird unsymmetrisch:
Über VF 'rein, über den qua Default-Route bezeichneten Provider 'raus. Und das bricht dann am NAT der ENTFERNTEN Gegenstelle, denn die erwartet eine andere Quell-IP.

Sprich: Von einer "echten" IP hättest Du Zugriff auf Dein Portforwarding.

[Jirka]

Koppelfeld, ich glaube wir müssen uns mal unterhalten, wofür die Spalte Src-Route in der Connection-List ist