Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 11 Nächste Version anzeigen »


Beschreibung:

In diesem Dokument wird beschrieben welche Konfigurations-Punkte überprüft und welche Traces erstellt werden können, wenn Portforwarding nicht funktioniert.


Voraussetzungen:


Szenario:

1. Der LANCOM Router stellt die Internet-Verbindung direkt her:

  • Der Datenbank-Server im Zentralgebäude soll über die öffentliche IP-Adresse bzw. den öffentlichen DNS-Namen der Zentale und dem Port 46509 angesprochen werden können.
  • Dazu wurde im LANCOM Router Zentrale ein Port-Forwarding auf die lokale IP-Adresse des Datenbank-Server (192.168.66.109) und den Port 46509 eingerichtet. 
  • Nach der Einrichtung kann der Datenbank-Server aber nicht unter der öffentlichen IP-Adresse (81.81.81.81:46509) bzw. dem öffentlichen DNS-Namen (z.B. zentrale.test.de:46509) erreicht werden.



2. Die Internet-Verbindung wird von einem weiteren Router vor dem LANCOM Router hergestellt:

  • Vor dem Haupt-Router in der Zentrale (Router 1) wird ein weiterer Router (Router 2) zur Bereitstellung der Internet-Verbindung eingesetzt.
  • Der Datenbank-Server im Zentralgebäude soll über die öffentliche IP-Adresse bzw. den öffentlichen DNS-Namen der Zentale und dem Port 46509 angesprochen werden können.
  • Dazu wurde im Router 1 ein Port-Forwarding auf die lokale IP-Adresse des Datenbank-Server (192.168.66.109) und den Port 46509 eingerichtet. 
  • Nach der Einrichtung kann der Datenbank-Server aber nicht unter der öffentlichen IP-Adresse (81.81.81.81:46509) bzw. dem öffentlichen DNS-Namen (z.B. zentrale.test.de:46509) erreicht werden.


Vorgehensweise:

1. Allgemeine Punkte (Szenario 1 und 2):

1.1 Hardware-NAT deaktivieren:

Auf einigen Routern steht das Feature Hardware-NAT zur Verfügung. Dadurch ist es theoretisch möglich Daten über eine maskierte Internet-Verbindung (NAT) mit der ausgehandelten Geschwindigkeit zu übertragen.

Da Hardware-NAT nicht korrekt arbeitet und im aktiven Zustand u.A. Portforwarding nicht funktioniert, empfiehlt LANCOM Systems Hardware-NAT grundsätzlich zu deaktivieren.

Folgende Geräte unterstützen die Funktion Hardware-NAT:

  • 1781EF+
  • 1781EW+
  • 1781VA
  • 1781VAW
  • 1781VA-4G
  • WLC-4006+

Sie finden das Feature unter Schnittstellen → LAN.


1.2 Prüfen des Default-Gateways auf dem Weiterleitungsziel:

Prüfen Sie auf dem Weiterleitungsziel im Netzwerk, ob das korrekte Default Gateway hinterlegt ist. Bei dem Default Gateway muss es sich um den LANCOM Router (Szenario 1) bzw. den Router 1 (Szenario 2) handeln.


1.3 Überprüfen der Übereinstimmung des per DNS-Name aufgelösten IP-Adresse mit der tatsächlichen öffentlichen IP-Adresse:

Erfolgt der Zugriff über einen DNS-Namen, muss sichergestellt sein, dass die über den DNS-Namen aufgelöste IP-Adresse mit der tatsächlichen öffentlichen IP-Adresse übereinstimmt. Sollte dies nicht der Fall sein, prüfen Sie, ob das Portforwarding bei Eingabe der öffentlichen IP-Adresse funktioniert.



2. Portforwarding auf vorgeschaltetem LANCOM Router einrichten (Szenario 2):

Wird ein weiterer vorgeschalteter Router verwendet, müssen die gewünschten Ports auf diesem an den Haupt-Router weitergeleitet werden.

Info:
Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

2.1 Öffnen Sie die Konfiguration des Router 2 in LANconfig und wechseln in das Menü IP-Router → Maskierung → Portforwarding-Tabelle.

2.2 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an (hier am Beispiel HTTPS):

  • Anfangs-Port: Tragen Sie den Port ein, welcher weitergeleitet werden soll.
  • End-Port: Tragen Sie den Port ein, welcher weitergeleitet werden soll. Sollen mehrere Ports weitergeleitet werden, können Sie auch einen höheren Port angeben. Dann wird die gesamte Port-Range weitergeleitet.
  • Intranet-Adresse: Geben Sie die WAN-Adresse des Router 1 an. Dabei kann es sich auch um eine IP-Adresse aus einem privaten Adressbereich handeln (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16).
  • Protokoll: Wählen Sie im Dropdownmenü das Protokoll aus (TCP, UDP oder TCP + UDP).


3. Erstellen von Traces zur weiteren Analyse (Szenario 1 und 2):

3.1 Mit dem LANtracer (in LANconfig) oder per Kommandozeile können Sie einen IP-Router Trace durchführen, welcher auf die zu erreichende lokale IP-Adresse (in diesem Beispiel 192.168.66.109) und den Port (in diesem Beispiel 46509) gefiltert werden kann:

  • Geben Sie dazu in der Kommandozeile den Befehl tr # ip-router @ <IP-Adresse> +"port: <Port>" ein (z.B. tr # ip-router @ 192.168.66.109 +"port: 46509").

Wichtig:
Durch ein Leerzeichen voneinander getrennte Such-Parameter müssen durch Anführungszeichen zusammengefasst werden (z.B. "port: 46509"), da ansonsten eine "Oder-Verknüpfung" greift und die Trace-Zeile ausgegeben wird, wenn einer der Parameter enthalten ist. 

3.2 Führen Sie über das Internet einen Zugriff auf die öffentliche IP-Adresse (81.81.81.81:46509) bzw. den öffentlichen DNS-Namen (z.B. zentrale.test.de:46509) durch.

Wenn das Port-Forwarding nicht greift, bleibt der Trace leer (siehe Abbildung).

3.3 Eine weitere Fehlerquelle ist, dass das Port-Forwarding zwar greift, die Pakete auch im Router vom WAN ins LAN transportiert werden, diese aber vom Empfänger (z.B. dem Server) unbeantwortet bleiben.

Ein Grund hierfür könnte z.B. sein, dass beim  Port-Forwarding die falsche lokale IP-Adresse angegeben wurde, oder ein Fehler in Ihrer internen LAN-Struktur vorliegt.

In diesem Fall kann ein  IP-Router Trace mit dem Befehl tr # ip-router @ "port: <port>" (z.B.  tr # ip-router @ "port: 46509") durchgeführt werden, der folgendes Ergebnis liefern würde (siehe Abbildung).

Es sind nur SYN-Pakete zu sehen (zu erkennen am Flags: S), die vom WAN (Gegenstelle NETAACHEN) ins LAN (INTRANET) transportiert, jedoch nicht vom Empfänger mit einem SYN/ACK-Paket beantwortet werden.

3.4 Wenn das Port-Forwarding vollständig funktionsfähig ist, sehen Sie im IP-Router Trace u.A. den stattfindenden TCP-Handshake:

  • Der anfragende Client sendet ein SYN-Paket (zu sehen am Flags: S) mit einer Sequenznummer an den Destination-Port (hier 46509).
  • Ist der Port geöffnet, bestätigt der Server den Erhalt des ersten SYN-Pakets und stimmt dem Verbindungsaufbau zu, indem er ein SYN/ACK-Paket (zu sehen am Flag: SA) zurückschickt.
  • Der Client bestätigt zuletzt den Erhalt des SYN/ACK-Pakets durch das Senden eines eigenen ACK-Pakets (zu sehen am Flag: A) mit der Sequenznummer.


  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH