...
- LCOS ab Version 8.50 (download aktuelle Version)
- LANtools ab Version 8.50 (download aktuelle Version)
- SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
- Bereits eingerichtetes Portforwarding
Szenario:
1. Der LANCOM Router stellt die Internet-Verbindung direkt her:
...
Wird ein weiterer vorgeschalteter Router verwendet, müssen die gewünschten Ports auf diesem an den Haupt-Router weitergeleitet werden.
...
| Info |
|---|
Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller. |
2.1 Öffnen Sie die Konfiguration des Router 2 in LANconfig und wechseln in das Menü IP-Router → Maskierung → Portforwarding-Tabelle.
...
2.2 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an (hier am Beispiel HTTPSdes TCP-Ports 46509):
- Anfangs-Port: Tragen Sie den Port ein, welcher weitergeleitet werden soll.
- End-Port: Tragen Sie den Port ein, welcher weitergeleitet werden soll. Sollen mehrere Ports weitergeleitet werden, können Sie auch einen höheren Port angeben. Dann wird die gesamte Port-Range weitergeleitet.
- Intranet-Adresse: Geben Sie die WAN-Adresse des Router 1 an (in diesem Beispiel die 10.0.0.254).
- Protokoll: Wählen Sie im Dropdownmenü das Protokoll aus (TCP, UDP oder TCP + UDP).
...
3.6 Wählen Sie die Option Eine IP-Adresse oder ein Bereich von IP-Adressen und hinterlegen bei Von IP-Adresse und Bis IP-Adresse die IP-Adresse des
des Weiterleitungsziels (in diesem Beispiel die 192.168.66.109).
3.7 Wechseln Sie in den Reiter Dienste, wählen die Option folgende Protokolle/Ziel-Dienste und klicken auf Hinzufügen → Benutzerdefinierten Dienst hinzufügen.
3.8 Passen Sie folgende Parameter an:
- Wählen Sie das IP-Protokoll aus (in diesem Beispiel TCP).
- Tragen Sie den/die verwendeten Port(s) ein (in diesem Beispiel der Port 46509).
3.9 Die Konfiguration der Firewall-Regel ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
4. Trennen und Neuaufbau der Internet-Verbindung:
In einigen Fällen kann es erforderlich sein die Internet-Verbindung nach Einrichtung des Portforwarding zu trennen, damit diese neu aufgebaut wird. Dies kann etwa erforderlich sein, wenn ein Portforwarding durch einen VPN-Tunnel erfolgen soll.
Um die Internet-Verbindung zu trennen, gehen Sie wie folgt vor:
Verbinden Sie sich per LANmonitor mit dem Router, markieren die Internet-Verbindung, führen einen Rechtsklick aus und wählen im Kontextmenü Verbindung trennen aus.
| Info |
|---|
Alternativ können Sie die Internet-Verbindung auch über die Konsole mit dem Befehl do Other/Manual-Dialing/Disconnect <Name der Internet-Gegenstelle> trennen (z.B. do Other/Manual-Dialing/Disconnect INTERNET). |
5. 4. Erstellen von Traces zur weiteren Analyse (Szenario 1 und 2):
...
| Info |
|---|
Bei Szenario 2 und Verwendung zweier LANCOM Router muss der Trace auf beiden Routern erstellt werden. |
Mit dem LANtracer (in LANconfig) oder per Konsole können Sie einen IP-Router Trace durchführen, welcher auf die zu erreichende lokale IP-Adresse (in diesem Beispiel 192.168.66.109) und den Port (in diesem Beispiel 46509) gefiltert werden kann:
...
View file name Port-Forwarding.lcg height 250150
Die Trace-Konfiguration enthält den IP-Router und den Firewall Trace. Diese sind bereits mit dem Filter-Parameter "port: 46509" auf den Port 46509 gefiltert. Ändern Sie diesen mit einem Texteditor entsprechend im Vorfeld ab.
...
Im Folgenden wird die Erstellung der Traces über die Konsole beschrieben:
45.1 Verbinden Sie sich mit der Konsole und geben den Befehl tr # ip-router @ <IP-Adresse> +"port: <Port>" ein (z.B. tr # ip-router @ 192.168.66.109 +"port: 46509").
...
| Info |
|---|
In Szenario 2 muss auf dem Router 2 der IP-Router Trace auf die IP-Adresse des Routers 1 im Transfernetz gefiltert werden. |
...
| Hinweis |
|---|
Durch ein Leerzeichen voneinander getrennte Such-Parameter müssen durch Anführungszeichen zusammengefasst werden (z.B. |
...
"port: 46509"), da ansonsten eine "Oder-Verknüpfung" greift und die Trace-Zeile ausgegeben wird, wenn einer der Parameter enthalten ist. |
45.2 Führen Sie über das Internet einen Zugriff auf die öffentliche IP-Adresse (81.81.81.81:46509) bzw. den öffentlichen DNS-Namen (z.B. zentrale.test.de:46509) durch.
Wenn das Port-Forwarding nicht greift, bleibt der Trace leer (siehe Abbildung).
45.3 Eine w eitere Fehlerquelle ist, dass das Port-Forwarding zwar greift, die Pakete auch im Router vom WAN ins LAN transportiert werden, diese aber vom Empfänger (z.B. dem Server) unbeantwortet bleiben.
...
Es sind nur SYN-Pakete zu sehen (zu erkennen am Flags: S) , die vom WAN (Gegenstelle NETAACHEN) ins LAN (INTRANET) transportiert, jedoch nicht vom Empfänger mit einem SYN/ACK-Paket beantwortet werden.
45.4 Wird die Kommunikation durch eine Firewall-Regel geblockt, wird im IP-Router Trace die Meldung Filter (Port) ausgegeben.
...
In diesem Fall wird die Kommunikation durch die Firewall-Regel DENY-ALL geblockt.
| Info |
|---|
In diesem Fall muss die eingehende Kommunikation über eine Ausnahme-Regel in der Firewall erlaubt werden (siehe Schritt 3.). |
45.5 Wenn das Port-Forwarding vollständig funktionsfähig ist , sehen Sie im IP-Router Trace u.A. den stattfindenden TCP-Handshake :
...