router mit 2 Intranets + WAN - Portforwarding

[therministrator]

hallo,

habe an einem 1781EF+ mit LCOS 10.42xxx folgendes Problem:

Konfiguration 2 LANS (z.B. 192.168.1.x , 10.10.20.x )
VDSL-Anschluss (Gegenstelle INTERNET)

routing zwischen den beiden Netzen funktioniert.
In jedem der Netze ist ein Host , auf den ich jeweils Port Forwarding machen will.

Test 1 )
Port-Forwarding (port 25 WAN -Adresse) auf 192.168.1.11 port 25 funktioniert
Habe in der Portforwarding-Tabelle einen entsprechenden Eintrag, ausserdem eine Firewall-Regel die den Zugriff
von der Gegenstelle INTERNET
zum Stationsobjekt HOST1 (192.168.1.11)
von allen Diensten (Quelle) zum Ziel Dienstobjekt- (Port 25) erlaubt

Test 2)
Das gleiche mit einem HOST2 aus dem 2. Netz (10.10.20.11) funktioniert NICHT
Ich habe natürlich die Firewall-Regel und die Portforwarding-Tabelle angepasst.
HOST1 und HOST 2 können sich pingen, ich kann auch von HOST1 ein Telnet auf HOST2 port 25 machen.
nur von aussen über die WAN-Schnittstelle geht es nicht.

Was mache ich falsch ?
Bin dankbar f. jeden Tipp

[5624]

Also du willst an einem Internetanschluss, bei dem ich mal behaupte, dass dieser nur eine IP-Adresse haben kann, zweimal den Port 25 auf zwei verschiedene IP-Adressen weiterleiten?
Wie sind die IP-Netzwerke konfiguriert? Ist eins ein Intranet, eins eine DMZ oder beide Intranet? Wie sieht die Routingtabelle dazu aus? Was besagt ein trace?

[therministrator]

Hallo

Also du willst an einem Internetanschluss, bei dem ich mal behaupte, dass dieser nur eine IP-Adresse haben kann, zweimal den Port 25 auf zwei verschiedene IP-Adressen weiterleiten?

Natürlich nicht gleichzeitig
ich will den Port 25 in das 2. LAN weiterleiten. Nachdem das nicht geklappt hat, habe ich (um das Routing und die FW-Regeln zu testen ) den Versuch gemacht, den Port 25 (Probeweise !) auf den HOST1 aus dem ERSTEN Lan umzuleiten - und das hat funktioniert

Wie sind die IP-Netzwerke konfiguriert? Ist eins ein Intranet, eins eine DMZ oder beide Intranet?

Beide Netze sind als Intranet konfiguriert. Für das 1. Netz ist der Lancom der def-GW, f. das 2. Nicht

Wie sieht die Routingtabelle dazu aus?

in der Routingtabelle ist zu keinem der beiden Netze ein Eintrag . Da der Router ein "Beinchen" in jedem der beiden Netze hat (ein Port ist als LAN-2 konfiguriert) geschieht das Routing über die impliziten Routen (im Cisco-Jargon heisst das "connected route" bei Lancom weiss ich nicht genau wie die Bezeichnung dafür heisst)
Das Routing zwischen den beiden Netzen funktioniert auch (in beiden Richtungen) die Hosts aus Netz 2 haben eine statische Route auf den Lancom für Netz 1

Was besagt ein trace?

Ein IP-Router trace (gefiltert auf port: 25 ) zeigt mir, dass das Paket mit der Absenderadresse "entfernter-Host" und der Ziel Adresse aus Netz2 an LAN-2 (Netz2) geschickt wird
Einzige Erklärung für mich ware, dass das Rückpaket irgendwie von der FW unterdrückt wird? Muss ich dafür eine eigene Regel machen?
Gruss

[therministrator]

Noch ein Nachtrag:
Könnte das mein Problem sein ? Wenn das Paket vom Lancom an HOST2 die Absenderadresse "entfernter-Host" (aus dem internet) hat - und nicht - wie ich angenommen hatte - die vom "forwardenden Router" , wird das Rückpaket natürlich an den default GW gehen, und nicht (über die statische Route) zurück an den Lancom ...
muss ich auf dem Lancom irgendwo noch sepparat ein "Masquerading" f. das 2 Netz einstellen ?
Gruß

[5624]

Beide Netze sind als Intranet konfiguriert. Für das 1. Netz ist der Lancom der def-GW, f. das 2. Nicht

Das ist das Problem. Es kann nur ein Default-Gateway geben und das wird genutzt. Der Host kann das Paket nicht korrekt bearbeiten. Trag auf dem Host im 2. LAN den LANCOM als Default-Gateway ein, dann wird es gehen.

[therministrator]

Ja, ich hatte gehofft, dass beim Portforwarding (ähnlich wie bei der Gegenrichtung mit NAT) die SRC-Adresse auf die des Routers gesetzt wird, und der Router die Verbindungen verwaltet... Na ja, wieder was gelernt.
Dann muss ich das anders lösen, da es in dem 2. Netz schon einen def-GW gibt.
Vielen Dank für die Unterstützung.