Portfreigabe bei kaskadiertem Router
vor 10 Jahren
Hallo Community,
Frage: Wie richte ich eine Portfreigabe ein, um auf ein NAS im Heimnetz zugreifen zu können. Achtung, hört sich leichter an als es vermutlich ist.
Zur Konfiguration:
Ich habe an einer be.IP/Digitalisierungsbox einen Netzwerkbereich eingerichtet (192.100.18.0), der sich allerdings von einem zweiten Bereich unterscheidet (192.100.19.0), da im zweiten Bereich eine Fritzbox läuft, die Kindersicherungsfunktionen bietet, was die Box so erst mal nicht kann.
Internetzugang klappt, sowohl vom WLAN-Netz der Fritzbox als auch von den per LAN angeschlossenen Geräten im 19er Netz. Weiterhin ist ein externer Zugriff möglich auf die Box und auch die Fritzbox. Was mir fehlt, ist der externe Zugriff auf das NAS im 19er Bereich (da soll es auch bleiben). Wenn ich versuche, eine Portweiterleitung in der Fritzbox einzurichten, dann klappt das nicht mit dem Hinweis, dass das Ziel nicht im Heimnetzbereich liegt (die FB hat eine feste IP-Adresse im 18er Bereich, sonst würde es nicht klappen mit dem Internetzugang, das NAS aber hat ja eine feste IP aus dem 19er Bereich). Ich habe nun eine der Schnittstellen an der Box aus der Bridge herausgenommen und ihr eine IP aus dem 19er Bereich gegeben, Schnittstelle ist im Routing-Modus. Wie muss ich nun die Box einstellen, dass Anfragen von extern über eben diese eigene IP an das NAS weitergeleitet werden, gleichzeitig diese Schnittstelle aber soweit "dicht" ist, dass z.B. Internetanfragen (Surfen im Browser) nicht über diese Schnittstelle "raustelefonieren"?
Falls ich noch Screenshots liefern soll, dann bitte sagt mir, welche benötigt werden.
Vielen Dank schon mal.
Ralph
Hinweis:
Hinweis:
1440
0
0
Das könnte Ihnen auch weiterhelfen
vor 7 Jahren
2230
0
2
vor 4 Jahren
527
0
5
vor einem Jahr
318
0
6
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 10 Jahren
@rams.schmidt
So ganz klar wird mir die Situation noch nicht.
"Box" ist bei mir eine Bezeichung für sowohl Fritzbox als auch Digibox.
0
von
vor 10 Jahren
Mit Box meine ich in diesem Fall immer die Digibox.
0
vor 10 Jahren
Das 19 er Netz befindet sich einmal hinter der Fritzbox mit NAT, und das gleiche nochmal direkt als geroutetes Interface der DigiBox? Das geht nicht.
Eine Schnittstelle "dicht" zu machen, ist bei der DigiBox kein Problem. Das regelt man alles in der Firewall.
Die DigiBox kennt keine fertige "Kindersicherung" im eigentlichen Sinne, aber man kann z.B. jedem Kind eine eigene SSID im WLAN geben, und diese in der Nutzung über das Scheduling zeitlich limitieren als auch über die Firewall in den Möglichkeiten begrenzen.
0
0
von
vor 10 Jahren
Etwas genauer noch:
Die Digibox hat an der 2. physikalischen Schnittstelle eine IP aus dem 19er Bereich. Diese Schnittstelle soll dann ja auch das "Tor" aus dem WAN in den 19er Bereich sein, ohne erst über die Fritzbox gehen zu müssen (die ich ja, wie im ersten Beitrag erwähnt, nicht mit Portweiterleitungen konfigurieren kann zwecks "nicht im Heimnetzbereich).
Die 3.-5. Schnittstelle sind als Bridge-Gruppe konfiguriert und liegen im 18er Bereich. auf eine dieser Schnittstellen ist die Fritzbox angeschlossen und als kaskadierter Router konfiguriert, damit eben die Filterfunktionen der Fritzbox genutzt werden können.
Nachdem ich ja nun bei einem externen Zugriff auf das NAS an der Fritzbox (ja, und dem darin enthaltenen, aber nicht konfigurierbaren NAT)
scheitere, möchte ich (für nur einige bestimmte Ports) sozusagen eine Umleitung einrichten. Soll heißen, eine Anfrage von außen über z.B. Port 8089 soll über die 2. Schnittstelle in das 19er Netz gelangen können.
Ergänzung: an der Digibox ist DHCP ausgeschaltet
Diese Funktion macht die Fritzbox im Bereich 192.100.19.60 bis...99
Konfigurationsskizze.jpg
0
von
vor 10 Jahren
@rams.schmidt
Na das ist aber mal eine interessante Konfiguration.
Der DHCP der Fritzbox verteilt die Info, dass die Fritzbox das Gateway für alle 19er Clients ist.
Hast Du es denn schon einmal probiert, das NAS an der Digibox im 18er Bereich laufen zu lassen bzw. im 19er den Digibox DHCP laufen zu lassen - und einfach die Verbindung der Fritzbox zum Switch gänzlich zu kappen? Der DHCP der Fritzbox sollte dann Adressen wie z.B. 192.168.178.1 verteilen.
0
von
vor 10 Jahren
Hallo,
danke an alle, die geantwortet haben.
Ich konnte das Problem inzwischen lösen, und zwar folgendermaßen:
- Die Schnittstelle en1-1 ist im Routing-Modus,
Sie erhält eine IP aus dem 19er Netz
- Unter Netzwerk-->NAT wird für die Schnittstelle LAN_EN1-1 NAT aktiviert
- Unter Netzwerk-->Routen habe ich einen Eintrag erstellt mit Ziel 192.100.19.0 und Gateway die IP der Schnittstelle EN1-1
- Unter Firewall-->Dienste habe ich die benötigten Ports angelegt und auch in eine Gruppe zusammengefasst
- Unter Firewall-->Adressen habe ich einen Eintrag für das NAS erstellt mit Angabe der IP-Adresse des NAS (aus dem 19er Bereich)
- Unter firewall-->Richtlinien habe ich zwei Einträge gemacht: Einmal von "Internet" zum NAS mit der neu angelegten Dienstegruppe und zum Andern das Ganze auch natürlich wieder zurück (Also von "NAS" zum WAN mit der neuen Dienstegruppe.
Fazit: damit klappt es
--> Problem gelöst
0
vor 10 Jahren
Bei einer echten Kaskadierung benötigt man zwei Regeln in den beiden beteiligten Routern. Annahmen:
1. der Router #1 der die Verbindung zum Internet hält, spannt auf der privaten Seite ein Netz 192.168.18.0 auf und besitzt die Adresse 192.168.18.1.
2. in diesem Netz befindet sich ein zweiter Router #2, der WAN-seitig, d. h. im Netz des Routers #-, die IP 192.168.18.254 besitzt. Das vom 2. Router kontrollierte Netz ist 192.168.19.0. Das Gateway für Router #2 ist der Router #1 (192.168.18.1).
3. im Netz des 2. Routers #2 befindet sich ein Server, der auf der IP 192.168.19.10 auf Port X lauscht.
Man richtet im Router #1 eine Portweiterleitung für Port X auf die Adresse 192.168.18.254 des Routers #2 ein. Im Router #2 richtet man eine Portweiterleitung für Port X auf die Adresse 192.168.19.10 ein.
Pakete für Port X aus dem Internet werden von Router #1 an den Router #2 übergeben. Router #2 leitet diese dann an den Server an der Adresse 192.168.19.10 weiter.
Ich betreibe eine solche Kaskade, wobei "Router #2" bei mir eine Firewall auf Basis ipFire ist. Das Netz des ersten Routers ist praktisch eine DMZ, ich plaziere darin ausschließlich Server, die z. B. für Kundentests genutzt werden. Private Server für Mail, Fileservice etc. befinden sich in einem Netz hinter der Firewall. Auf diese Dienste kann ich teils auch aus dem Internet zugreifen, wobei für die meisten meiner Zwecke ein VPN , welches in obiger Form kaskadiert wird, ausreicht. Insgesamt leite ich ca. 10 Ports auf Server hinter der Firewall. Funktioniert einwandfrei. Mit einem handelsüblichen Router funktioniert dies m. E. nur dann, wenn der WAN-Port direkt IP spricht, also kein DSL-Modem nutzt.
0