Hallo liebe Forumsmitglieder,
wir haben ein Port-Forwarding eingerichtet um auf einen hausinternen Server via https zugreifen zu können. Dazu wird beispielsweise die Port-Nummer 51000 auf einen bestimmten hausinternen Server <server-ip>:443 weitergeleitet.
Der LANCOM-Router ist im Internet über einen Dyndns-Namen erreichbar.
Aus dem Internet funktionieren diese Zugriffe einwandfrei. Wird aber aus dem LAN auf diesen Server zugegriffen und dabei der "Umweg" über die URL <dyndns-name>:51000 genommen, so tritt das Problem auf, dass nach ca. 100-200 Zugriffen weitere Zugriffe für einige Minuten geblockt werden, dann sind wieder weitere 100-200 Zugriffe möglich usw. Ein "curl" in einer Schleife ausgeführt blockt zuverlässig nach der genannten Anzahl von Zugriffen. Ein anderer Client kann während dieser Blockade zunächst zugreifen, blockt dann aber seinerseits auch nach ca. 100-200 Zugriffen.
Natürlich kann man aus dem LAN direkt auf den entsprechenden Server über seine LAN-IP zugreifen, aber das ist hier nicht die Frage.
Offensichtlich laufen im Router irgendwelche Tabellen voll (die Verbindungsliste des IP-Routers wächst zumindest um einige Dutzend Einträge) oder irgendein Schutzmechanismus springt an.
Gibt es bekannte Probleme mit der beschriebenen Betriebsart?
Kann bzw. muss man im Router irgendetwas konfigurieren, um das Problem zu umgehen?
Wir hatten schon daran gedacht, im DNS einfach einen Eintrag vorzunehmen, der den externen DNS-Namen einfach auf die LAN-IP "umbiegt", aber das funktioniert nicht richtig. Erschwerend kommt hinzu, dass es weitere Port-Forwarding-Regeln gibt, die zu anderen Rechnern im LAN führen.
Port-Forwarding und Zugriff vom LAN auf externe IP
Moderator: Lancom-Systems Moderatoren
Port-Forwarding und Zugriff vom LAN auf externe IP
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
-
Dr.Einstein
- Beiträge: 3222
- Registriert: 12 Jan 2010, 14:10
Re: Port-Forwarding und Zugriff vom LAN auf externe IP
Ja, immer mal wieder. Primär funktioniert das NAT-Loopback, oder wie man das auch immer nennt, bei IPoE Verbindungen nicht. Größere Chancen hat man bei ADSL/VDSL (PPP)Verbindungen. Laut Usern hier im Forum soll das ein Bug sein, der aber meiner Meinung immer mal wieder die letzten 10 Jahre aufgetreten ist.Hagen2000 hat geschrieben: Gibt es bekannte Probleme mit der beschriebenen Betriebsart?
Meine persönliche Aussage gegenüber Kunden ist dadurch: Lancom unterstützt kein NAT-Loopback...
Gruß Dr.Einstein
P.S. zur Not benutze ich auch nach Möglichkeit den DNS Trick. Trotzdem doof.
Re: Port-Forwarding und Zugriff vom LAN auf externe IP
Hallo Dr.Einstein,
wir haben hier VDSL und kein IPoE.
Ich habe ein bisschen recherchiert und getestet. "NAT-Loopback" ist wohl die richtige Bezeichnung und nach anderen Aussagen hier im Forum sollte das wohl auch prinzipiell funktionieren.
Ich habe jetzt allerdings bemerkt, dass die Firewall regelmäßig eine DoS protection meldet! Das scheint der Grund für die Aussetzer zu sein. Die Meldung lautet ungefähr so:
Also erkennt die Firewall einen internen Rechner als Angreifer. Vermutlich muss eine passende Firewall-Regel konfiguriert werden. Wer kennt den Trick?
wir haben hier VDSL und kein IPoE.
Ich habe ein bisschen recherchiert und getestet. "NAT-Loopback" ist wohl die richtige Bezeichnung und nach anderen Aussagen hier im Forum sollte das wohl auch prinzipiell funktionieren.
Ich habe jetzt allerdings bemerkt, dass die Firewall regelmäßig eine DoS protection meldet! Das scheint der Grund für die Aussetzer zu sein. Die Meldung lautet ungefähr so:
Code: Alles auswählen
02/02/2016 17:24:28 DoS protection - TCP-Paket von <interne Server-IP>:45314 nach <WAN-IP>:51000 - Paket verworfenLANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
-
Dr.Einstein
- Beiträge: 3222
- Registriert: 12 Jan 2010, 14:10
Re: Port-Forwarding und Zugriff vom LAN auf externe IP
Hallo Hagen2000,
bei VDSL solltest du an sich gute Karten haben, zur Not mal auf was älteres gehen, z.B. 8.84.
IDS komplett ausschalten wäre ziemlich doof :/ Vielleicht reicht schon eine reine Allow Regel, nach dem Muster: Allow - Quelle Server IP, Ziel any; Quell Port any; Ziel Port any.
Gruß Dr.Einstein
bei VDSL solltest du an sich gute Karten haben, zur Not mal auf was älteres gehen, z.B. 8.84.
IDS komplett ausschalten wäre ziemlich doof :/ Vielleicht reicht schon eine reine Allow Regel, nach dem Muster: Allow - Quelle Server IP, Ziel any; Quell Port any; Ziel Port any.
Gruß Dr.Einstein
Re: Port-Forwarding und Zugriff vom LAN auf externe IP
Nee, das mache ich bestimmt nicht! Zumal der Fehler auch mit einem LANCOM 1722 VoIP auftritt und der hat ohnehin eine ältere Firmware.Dr.Einstein hat geschrieben: bei VDSL solltest du an sich gute Karten haben, zur Not mal auf was älteres gehen, z.B. 8.84.
DoS ist das Problem, nicht IDS. Eine Firewall-Regel hilft leider nicht. Offenbar findet die DoS-Erkennung vor der Auswertung der Firewall-Regeln statt.Dr.Einstein hat geschrieben: IDS komplett ausschalten wäre ziemlich doof :/ Vielleicht reicht schon eine reine Allow Regel, nach dem Muster: Allow - Quelle Server IP, Ziel any; Quell Port any; Ziel Port any.
Ich habe das Testszenario leicht modifiziert und jetzt tritt die Blockade nach exakt 100 Zugriffen auf. Das entspricht der Einstellung der DoS-Erkennung (Maximalzahl halboffener Verbindungen). Trage ich hier einen anderen Wert ein, dann sind entsprechend mehr oder weniger Zugriffe bis zur Blockade möglich. Stelle ich das Verhalten auf "Übertragen" statt "Verwerfen", dann gibt es überhaupt keine Blockade mehr, aber damit wäre dann ja wohl der Dos-Schutz defacto ausgeschaltet.
Fazit: Für mich sieht das im Moment wie ein Bug von LCOS aus (hier 9.10.530RU5 vom 09.12.2015).
Kann ich noch irgendetwas anderes versuchen?
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen