Vom 2. Subnetz aus über WAN IP aufs 1. Subnetz zugreifen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Vom 2. Subnetz aus über WAN IP aufs 1. Subnetz zugreifen

Beitrag von Bernie137 »

Hallo allerseits,

ich bin nicht so recht fündig geworden hier im Forum zu folgendem Problem:

- LC 1900EF mit 10.42RU3
- 2 WAN Verbindungen mit festen IPv4
- Subnetz 1 benutzt WAN1 mit IP 1.2.3.4
- Subnetz 2 benutzt WAN2 mit IP 5.6.7.8
- die Subnetze sind per VLAN- und Schnittstellen-Tag voneinander getrennt
- per Portforwardings sind Zugriffe vom Internet auf Ressourcen ins Subnetz 1 möglich

Von Subnetz 2 (ein Testnetz) soll es nun wieder möglich sein (das ging schon mal!) über die externe IP 1.2.3.4 auf Ressourcen im Subnetz 1 zuzugreifen. Klar könnte man jetzt einfach zwischen den beiden lokalen Subnetzen routen. Aber genau das ist nicht gewollt. Es soll eine Testumgebung für den Zweck Testzugriff - wie wenn ich von einem entfernten Home Netz aus auf die IP 1.2.3.4 zugreife - sein. Diese Konstellation hat meiner Meinung nach auch noch mit Firmware in 10.3x funktioniert. Seit neueren Releases 10.4x geht das nicht mehr. Sicherlich sind neue Funktionen hinzugekommen. Was müsste ich denn nachkonfigurieren? Oder was übersehe ich?

Vielen Dank schonmal,
Bernie
Man lernt nie aus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Vom 2. Subnetz aus über WAN IP aufs 1. Subnetz zugreifen

Beitrag von backslash »

Hi Bernie137,

das ist am Ende erstmal nur ein Hair-Pin-NAT und das funktioniert mit der 10.4x definitiv

Du könntest aber in das Problem laufen, daß du die WAN-IP 1 aus dem Subnetz 2 wegen unterschiedlicher Routing-Tags gar nicht erreichen kannst. Dann mußst du in der Firewall den Traffic aus Subnetz2 an die WAN-IP-1 umtaggen.
Oder aber das Paket kann aufgrund de falschen Tags (Tag des Netz 2) nach dem Haipin-NAT das Subnetz 1 nicht erreichen. Dann mußt du in der Firewall den Traffic von der WAN-IP-1 in das Subnetz 1 umtaggen.

An welcher Stelle das scheitert sollte dir der Firewall und IP-Router-Trace sagen. Ebenso könnte dir "show ipv4-fib" sagen, welche Routen in welchem Tag existieren.

Aber ganz ehrlich: wieso willst du das über ein Hairpin.Nat lösen, wenn du doch einfach direkt die interne Adresse in Subnetz 1 ansprechen kannst. Die Firewall-Regel, die den Traffic umtaggt brauchst du in jedem Fall.
Eine direkte Verbindung hat zudem den Vorteil, daß du am Server in Subnetz-1 siehst, wer aus Subnetz-2 zugegriffen hat, während du beim Hair-Pin-NAT ja immer nur die öffentliche WAN-IP 1 als Quelle siehst...

Zudem treibt das Hair-Pin-NAT die Load des Routers nur unnötig in die Höhe...

Gruß
Backslash
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Vom 2. Subnetz aus über WAN IP aufs 1. Subnetz zugreifen

Beitrag von Bernie137 »

Hi Backslash,

danke für Deine Hilfe.
Ok, Hair-Pin-Nat, ich wusste nicht (mehr) wie das heißt. Ja, das funktioniert nun in der 10.4x.

Du hast mir auf die Sprünge geholfen mit dem Firewall Trace und dem Traffic auf die WAN-IP-1.
Vermutlich waren es auch einige Firewall Änderungen, die im Laufe der Zeit passiert sind und nebenher Firmware Updates.
Wenn man es nicht sauber konfiguriert, fällt einem das manchmal auf die Füße.

Wozu das Hair-Pin-Nat? Nun es verhielt sich ganz ähnlich mit den VPN-Client IPSec-Tunneln. Die konnten auch nicht mehr aus dem Testnetz aufgebaut und an die WAN-IP-1 terminiert werden. Jetzt kann ich wieder diverse Notebooks für den Homeoffice Bereich hier vor Ort testen, als würde ich aus der Ferne zugreifen inkl. Namensauflösung auf die korrekte externe WAN-IP-1 und allem drum und dran - Danke Dir!

Gruß,
Bernie
Man lernt nie aus.
Antworten