...
- LCOS ab Version 8.50 (download aktuelle Version)
- LANtools ab Version 8.50 (download aktuelle Version)
- SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
- Bereits eingerichtetes Portforwarding
...
- Anfangs-Port: Tragen Sie den Port ein, welcher weitergeleitet werden soll.
- End-Port: Tragen Sie den Port ein, welcher weitergeleitet werden soll. Sollen mehrere Ports weitergeleitet werden, können Sie auch einen höheren Port angeben. Dann wird die gesamte Port-Range weitergeleitet.
- Intranet-Adresse: Geben Sie die WAN-Adresse des Router 1 an (in diesem Beispiel die 10.0.0.254).
- Protokoll: Wählen Sie im Dropdownmenü das Protokoll aus (TCP, UDP oder TCP + UDP).
3. Erstellen einer Firewall-Regel zum Erlauben der eingehenden Kommunikation:
Sofern eine Firewall-Regel vorhanden ist, welche den eingehenden Datenverkehr des im Portforwarding verwendeten Ports blockt, muss eine Ausnahme-Regel erstellt werden, welche die Kommunikation erlaubt.
3.1 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
3.2 Erstellen Sie eine neue Firewall-Regel und vergeben einen aussagekräftigen Namen.
3.3 Wechseln Sie in den Reiter Aktionen, markieren das Objekt REJECT und löschen dieses mit einem Klick auf Entfernen.
3.4 Klicken Sie auf Hinzufügen und wählen das Objekt ACCEPT aus.
3.5 Wechseln Sie in den Reiter Stationen, wählen die Option Verbindungen an folgende Stationen und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
3.6 Wählen Sie die Option Eine IP-Adresse oder ein Bereich von IP-Adressen und hinterlegen bei Von IP-Adresse und Bis IP-Adresse die IP-Adresse des
4. Erstellen von Traces zur weiteren Analyse (Szenario 1 und 2):
...
Im Folgenden wird die Erstellung der Traces über die Konsole beschrieben:
34.1 Verbinden Sie sich mit der Konsole und geben den Befehl tr # ip-router @ <IP-Adresse> +"port: <Port>" ein (z.B. tr # ip-router @ 192.168.66.109 +"port: 46509").
...
Wichtig:
Durch ein Leerzeichen voneinander getrennte Such-Parameter müssen durch Anführungszeichen zusammengefasst werden (z.B. "port: 46509"), da ansonsten eine "Oder-Verknüpfung" greift und die Trace-Zeile ausgegeben wird, wenn einer der Parameter enthalten ist.
34.2 Führen Sie über das Internet einen Zugriff auf die öffentliche IP-Adresse (81.81.81.81:46509) bzw. den öffentlichen DNS-Namen (z.B. zentrale.test.de:46509) durch.
Wenn das Port-Forwarding nicht greift, bleibt der Trace leer (siehe Abbildung).
34.3 Eine weitere Fehlerquelle ist, dass das Port-Forwarding zwar greift, die Pakete auch im Router vom WAN ins LAN transportiert werden, diese aber vom Empfänger (z.B. dem Server) unbeantwortet bleiben.
...
Es sind nur SYN-Pakete zu sehen (zu erkennen am Flags: S), die vom WAN (Gegenstelle NETAACHEN) ins LAN (INTRANET) transportiert, jedoch nicht vom Empfänger mit einem SYN/ACK-Paket beantwortet werden.
34.4 Wird die Kommunikation durch eine Firewall-Regel geblockt, wird im IP-Router Trace die Meldung Filter (Port) ausgegeben.
In diesem Fall muss ein Firewall- Firewall Trace erstellt werden, um zu prüfen, welche Firewall-Regel die Kommunikation blockt.
Führen Sie dazu den Befehl tr # ip-router firewall @ "port: <port>" aus (z.B. tr # ip-router firewall @ "port: 46509").
In diesem Fall wird die Kommunikation durch die Firewall-Regel DENY-ALL geblockt.
34.5 Wenn das Port-Forwarding vollständig funktionsfähig ist, sehen Sie im IP-Router Trace u.A. den stattfindenden TCP-Handshake:
...