Folgendes Problem, was sich bei allen Lancom Routern gleich abzeichnet und ich habe da schon einige probiert.
Ausgangssituation: Ich habe z.B. einen 1823 VoIP als Router zwischen dem Internet (Vodafone SDSL Standleitung - Cellpipe Modem, Gateway 213.23.x.65) und dem internen Netz, welches bei mir ein 10er Netz (Subnet 255.255.248.0) ist. Richte ich nun den Router ganz standardmäßig (nach Werkseinstellungen) ein, funktionieren alle Verbindungen wie erwartet. Mein Kunde hat nun eine Fritzbox Fon, welche extern ebenfalls als Router konfiguriert in meinem 10er Netz hängt. Er hat einen Sipgate Account und möchte über die Fritzbox raustelefonieren.
Das funktioniert so leider nicht. Die Fritzbox meldet DNS Fehler und kann die Nummern nicht registrieren, obwohl eine DNS Weiterleitung (?*) eingerichtet ist. Gebe ich in der Fritzbox die DNS Server von Vodafone direkt an, werden die Nummern registriert und man kann raustelefonieren. Wenn man von außen versucht die Nummern zu erreichen, gelingt dies nicht.
Ich habe nun lt. Lancom Support Knowledgebase Dokument-Nr. 0506.1609.1040.MBAG - V1.00 (Möglichkeit Nr. 2) die DMZ mit meinem öffentlichen Netz (213.23.x.71 - externe Router IP) konfiguriert. In der Routing Tabelle nur Intranet maskieren ausgewählt und beim NAT Mapping, der Fritzbox mit der internen Adresse 10.x.x.2, die öffentliche IP 213.23.x.102 zugeordnet. Internetverbindung getrennt, neu aufgebaut und schon konnte ich die Fritzbox direkt über die öffentliche IP erreichen. Die Telefonnummern wurden auch alle korrekt registriert und man konnte nun auch raus wie rein telefonieren. Das Problem war, Webseiten wurden nicht mehr angezeigt, obwohl der Zugang an sich tadellos funktionierte. Das Problem habe ich momentan umgangen, indem ich beim Kunden den Browser mit einem Proxy konfiguriert habe. Das ist aber keine Dauerlösung. Es ist mir ein großes Rätsel, warum Webseiten nicht angezeigt werden. Der Versuch einen Exposed Host einzurichten, d.h. alle Ports zur Fritzbox forwarden, brachte auch keinen Erfolg. Zwar wurden da Webseiten angezeigt, aber telefonieren war wieder ein Problem. Das merkwürdige, ich habe bei meinem Kontrollrechner mal das Gateway der Netzwerkkarte direkt auf den Router gesetzt, entsprechend ein NAT Mapping gleich zur Fritzbox eingerichtet und schon konnte ich ins Internet. Bei diversen Testseiten wird mir dann auch die korrekt konfigurierte IP angezeigt. Ich denke also, es gibt hier Probleme beim "Doppel-NAT".
Übrigens beim tracert www.google.de kam als erstes die Fritzbox, dann Sternchen und dann das Vodafone Gateway. Eigentlich hätte als zweites der 1823 kommen müssen und ich habe kein Stealth Modus etc. eingerichtet.
Wäre schön, wenn mir mal ein Spezialist weiterhelfen könnte.
Meine einzige Idee, die ich im Moment noch habe: Ich bekomme an dem Standort, wo der Router steht in Kürze noch eine 16 MBit ADSL Leitung. Ich würde dann versuchen, über policy based routing allen HTTP Verkehr auf diese Leitung zu legen, was mir aber momentan eher wie eine Bastellösung vorkommt. Und wer weiß, obs überhaupt funktioniert.
Ach ja, für "nicht DMZ" konfigurierte Geräte ist der Zugang über den 1823 nach wie vor problemlos möglich.
Danke schonmal fürs mitdenken!
DMZ, Routing, exposed Host und öffentliche SIP Provider
Moderator: Lancom-Systems Moderatoren
-
crypticvision
- Beiträge: 157
- Registriert: 22 Mai 2009, 21:58
Re: DMZ, Routing, exposed Host und öffentliche SIP Provider
Hallo crypticvision,
Viele Grüße,
Jirka
Die würde ich schon mal rausnehmen.crypticvision hat geschrieben:obwohl eine DNS Weiterleitung (?*) eingerichtet ist.
Viele Grüße,
Jirka
Hi crypticvision
Gruß
Backslash
ja, das ist das Problem des 1823 (bzw. aller VoIP-LANCOMs). Hier avanciert ein feature zum Bug... Wenn der Callmanager im LANCOM aktiv ist , dann fängt es alle Service-Location Records für SIP ab und beantwortet sie mit seiner eigenen Adresse, mit der Folge, daß sich die Fritzbox nicht mehr bei Sipgate registriert, sondern es beim LANCOM versucht, was natürlich schiefgeht...Das funktioniert so leider nicht. Die Fritzbox meldet DNS Fehler und kann die Nummern nicht registrieren, obwohl eine DNS Weiterleitung (?*) eingerichtet ist.
Das ist auch klar, denn das 1823 fängt ja einkommende SIP-Pakete an den Port 5060 ab und gibt sie an den Callmanager... Es ist nunmal so, daß es auf einem Port immer nur einen Abnehmer geben kann...Gebe ich in der Fritzbox die DNS Server von Vodafone direkt an, werden die Nummern registriert und man kann raustelefonieren. Wenn man von außen versucht die Nummern zu erreichen, gelingt dies nicht.
Wieso machst du für die Fritzbox überhaupt ein N:N-NAT... Gib ihr doch einfach auf der WAN-Seite direkt die öffentliche IP. Auf der LAN-Seite der Fritzbox ändert sich dadurch gar nichts, denn die maskiert ja sebst auch. Dadurch umgehst du aber alle Probleme, die sich u.U. durch das doppelte NAT ergeben könnten.Ich habe nun lt. Lancom Support Knowledgebase Dokument-Nr. 0506.1609.1040.MBAG - V1.00 (Möglichkeit Nr. 2) die DMZ mit meinem öffentlichen Netz (213.23.x.71 - externe Router IP) konfiguriert. In der Routing Tabelle nur Intranet maskieren ausgewählt und beim NAT Mapping, der Fritzbox mit der internen Adresse 10.x.x.2, die öffentliche IP 213.23.x.102 zugeordnet. Internetverbindung getrennt, neu aufgebaut und schon konnte ich die Fritzbox direkt über die öffentliche IP erreichen. Die Telefonnummern wurden auch alle korrekt registriert und man konnte nun auch raus wie rein telefonieren. Das Problem war, Webseiten wurden nicht mehr angezeigt, obwohl der Zugang an sich tadellos funktionierte.
Gruß
Backslash
-
crypticvision
- Beiträge: 157
- Registriert: 22 Mai 2009, 21:58
Danke erstmal für die Antworten, die einiges erklären. Das mit der Weiterleitung rausnehmen hat nichts geändert. Die Telefonie funktioniert ja nun auch mit der von mir eingerichteten Installation. Nur beim Internet haperts. Gebe ich z.B. ping www.google.de ein, wird zwar die Adresse aufgelöst, aber dann kommt es zur Zeitüberschreitung. Das ist merkwürdig.
Was die N:N-NAT Problematik angeht, so habe ich da schon drüber nachgedacht, der Fritzbox direkt eine öffentliche IP zu verpassen. Das Problem bei der Sache ist aber, daß ich dann mein "LAN", also das 10er Netz, mit dem Cellpipe Modem direkt verbinden müsste. Ich hätte dann als Unterscheidungsmerkmal eigentlich nur die Subnetmaske. Sollte ich aus irgendwelchen Gründen mal ein 10er Subnetz mit der gleichen Subnetmaske machen wie die von meinem öffentlichen Adressbereich, fangen die Probleme an. Ich hab da irgendwie Bauchschmerzen, wenn ich intern und extern einfach zusammen auf eine physikalische Leitung packe, wenngleich es geht. Falls es hier einen anderen Lösungsansatz gibt, bin ich ganz Ohr.
Was mich ja im Moment am meisten beschäftigt, warum klemmt der Internetzugang, sobald ich der Fritzbox bzw. dem Gerät über N:N-NAT eine öffentliche Adresse zuweise?
Danke für die Mithilfe!
Was die N:N-NAT Problematik angeht, so habe ich da schon drüber nachgedacht, der Fritzbox direkt eine öffentliche IP zu verpassen. Das Problem bei der Sache ist aber, daß ich dann mein "LAN", also das 10er Netz, mit dem Cellpipe Modem direkt verbinden müsste. Ich hätte dann als Unterscheidungsmerkmal eigentlich nur die Subnetmaske. Sollte ich aus irgendwelchen Gründen mal ein 10er Subnetz mit der gleichen Subnetmaske machen wie die von meinem öffentlichen Adressbereich, fangen die Probleme an. Ich hab da irgendwie Bauchschmerzen, wenn ich intern und extern einfach zusammen auf eine physikalische Leitung packe, wenngleich es geht. Falls es hier einen anderen Lösungsansatz gibt, bin ich ganz Ohr.
Was mich ja im Moment am meisten beschäftigt, warum klemmt der Internetzugang, sobald ich der Fritzbox bzw. dem Gerät über N:N-NAT eine öffentliche Adresse zuweise?
Danke für die Mithilfe!
Hi crypticvision
Dann gibt es auch kein Sicherheitsproblem mehr...
Gruß
Backslash
Das Problem ist bei dir, daß du einen der beiden Ethernet-Ports schon für deinen Internetzugang nutzt...Aber dennoch kannst du dein Intranet von der DMZ physikalisch trennen, wenn du an den verbleibenden Ethernet-Port einen VLAN-fähigen Switch hängst und Intranet und DMZ in verschiedene VLANs hängst. Zwischen Switch und LANCOM hast du dann natürlich beide Netze auf einem Kabel, aber der Switch selbst separiert die VLANs dann sauber, so daß es keine Möglichgeit gibt von der DMZ ins Intranet zu kommen - zumindest nicht auf Layer-2 Ebene... Daher mußt du als letzes noch über eine Firewallregel im LANCOM festlegen, daß jeder Traffic von der DMZ ins Intranet geblockt wird:Ich hab da irgendwie Bauchschmerzen, wenn ich intern und extern einfach zusammen auf eine physikalische Leitung packe, wenngleich es geht. Falls es hier einen anderen Lösungsansatz gibt, bin ich ganz Ohr.
Code: Alles auswählen
Aktion: zurückweisen
Quelle: DMZ-Netz
Ziel: Intranet
Dienste: alle DiensteGruß
Backslash
-
crypticvision
- Beiträge: 157
- Registriert: 22 Mai 2009, 21:58
@backslash: Das ist zwar eine Möglichkeit, jedoch klärt das nicht, warum der Rechner nicht mehr Webseiten abrufen kann, sobald er in der DMZ steht. Ich warte nun erstmal ab, bis die neue Leitung geschaltet ist und probiere es dann mit policy based routing. Das andere was Du vorgeschlagen hast, werde ich, wenn ich mal ein wenig Zeit habe, ausprobieren, denke aber nicht, daß ich das produktiv einsetzen werde. Naja, mal sehen...