Port Forwarding vom WLAN funktioniert nicht

Feubireuy41
Level 1
1 von 25

Ich habe folgendes Setup:

 

Öffentliche IP A.B.C.D --> Swisscom Router --> 192.168.2.2 --> 192.168.2.1 --> Firewall/DMZ --> Reverse Proxy --> Microservices.

 

Auf dem Router habe ich Weiterleitungen für die Ports konfiguriert, die ich benötige, z.B. Port 80 / 443, um den gesamten Verkehr, der nach A.B.C.D geht, an 192.168.2.1 weiterzuleiten, was von extern oder von innerhalb der DMZ einwandfrei funktioniert. Ich benutze das WLAN des Swisscom Routers für Gäste im Büro. Wenn ich versuche, auf einen Dienst zuzugreifen, der an A.B.C.D weiterleitet, erhalte ich einen Timeout. Es ist, als ob der Swisscom Router die Port-Weiterleitungen nicht auf den Verkehr anwendet, der vom WLAN kommt. Kann mir jemand helfen, was ich hier einrichten muss?

24 Kommentare 24
kaetho
Super User
2 von 25

@Feubireuy41  schrieb:

...Ich benutze das WLAN des Swisscom Routers für Gäste im Büro. ...


das separate Gäste WLAN, das vom Router zur Verfügung gestellt werden kann?

Feubireuy41
Level 1
3 von 25

Hi @kaetho, nein das WLAN 1.

Feubireuy41
Level 1
4 von 25

@kaetho Habe es jetzt auch mit dem Seperate WLAN probiert, da besteht das gleiche Problem.

kaetho
Super User
5 von 25

Ja, die Frage zielte darauf ab, dass das mit dem Gast-WLAN nicht geht. Warum es so wie du es beschreibst, nicht funktioniert, kann ich momentan nicht nachvollziehen. Muss bei mir zu Hause mal prüfen, ob ich dieselben Probleme habe.

 

Du hast den nachgeschalteten Router in der DMZ. Und du hast Portweiterleitungen darauf eingerichtet. Ich habe zusätzlich noch eine statische Route auf den nachgeschalteten Router in der DMZ gemacht (macht aus sicherheitstechnischen Überlegungen eigentlich keinen Sinn, aber momentan will ich aus dem IB3-Netz auch auf das nachgeschaltete separate Netz zugreifen können).

-> Statische Route einrichten, und dann wieder versuchen?

Werner
Super User
6 von 25

@Feubireuy41 


Wie @kaetho glaube ich Deine Frage hat mit dem Thema WLAN gar nichts zu tun, sondern Du versuchst in einem kaskadierten Netz vom hierarchisch höher stehenden Netz in ein nachgeschaltetes Netz reinzugreifen.

 

Genau das will man ja eigentlich durch eine Routerkaskade  verhindern, aber mit einer statischen Route vom höheren Netz ins tiefere Netz kann man es natürlich auch wieder aushebeln.

 

Wenn Du zum Test übrigens ein Gerät nicht via Swisscom-WLAN, sondern direkt an einem LAN-Port des Swisscom-Routers anschliesst, solltest Du übrigens ohne statische Route auch nicht ins kaskadierte Netz reinkommen.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Feubireuy41
Level 1
7 von 25

@kaetho Der DMZ/nachgelagerte Router funktioniert einwandfrei, wenn ich z.B. vom Internet her über den Swisscom Router über den nachgelagerten Router auf die Microservices zugreife.

 

Statische Routers habe ich versucht, aber bisher erfolglos. Vielleicht mache ich hier was falsch?

 

Ich habe folgendes probiert:

 

Destination subnet: A.B.C.D

Subnet mask: 255.255.255.255

Gateway: 192.168.2.1

 

und

 

Destination subnet: A.B.C.D

Subnet mask: 

Gateway: 192.168.2.1

Feubireuy41
Level 1
8 von 25

@Werner Ich gehe aktuell stark davon aus, dass es etwas mit dem WLAN Routing des Swisscom Routers zu tun hat, denn NUR dann passiert der Fehler. Meine Port Forwardings funktionieren z.B. von extern über den Swisscom Router --> Nachgelagerter Router --> Microservice (z.B. Port 80). Sobald ich mit dem WLAN von Swisscom connecte geht das nicht mehr. Eigentlich müsste der Router die Anfrage für Domains mit der externen Domain A.B.C.D umleiten auf 192.168.2.1, das passiert aber nicht.

kaetho
Super User
9 von 25

@Feubireuy41 

meine eingerichtete statische Route auf der Internetbox sieht so aus:

 

29.06-kaetho.jpg

 

Die UDMpro (nachgeschalteter Rouer) bezieht per DHCP von der Internetbox die 192.168.1.6 

Editiert
Feubireuy41
Level 1
10 von 25

Hm, bei mir sieht das anders aus.. Ich habe gerade geprüft, dass ich die neuste Version der Firmware installiert habe. Bist du direkt auf dem Router? Oder wo stellst du das ein? Ich habe einen Centro Business 2.0

 

Feubireuy41_0-1624970863876.png

 

Werner
Super User
11 von 25

Und nicht vergessen, nach dem Eintrag der statischen Route jeweils den Router neu starten.

 

@Feubireuy41 

 

Ein gesondertes WLAN-Routing gibt es nicht.

Routing passiert immer auf der Netzwerkebene.

 

Sonst mache mal mit dem Swisscom-Router den Testvergleich wischen WLAN-connected und LAN-connected.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Feubireuy41
Level 1
12 von 25

Reboot hat leider nicht geholfen.

kaetho
Super User
13 von 25

@Feubireuy41 ok, ich habe die Internetbox 3. Centro Business kenne ich nicht.

Trotzdem: auch da sollte eine Subnetmaske eingetragen sein, oder?

Feubireuy41
Level 1
14 von 25

Hi @kaetho , ich gebe als Subnetmaske 255.255.255.255 ein, das verschwindet aber sobald ich auf speichern klicke. Eigentlich will ich ja kein Subnet weiterleiten, sondern eine einzelne IP Adresse.

kaetho
Super User
15 von 25

bei mir ist die 255.255.255.0

 

... ich dachte, du willst aus dem WLAN-Netz des Centro Business auf dein Netz hinter dem nachgeschalteten Router zugreifen? Dann musst du dem Centro Business mit einer statischen Route sagen, an welches Gerät er die Anfrage weiterleiten soll.

Feubireuy41
Level 1
16 von 25

@kaetho Der Swisscom Router kennt die Geräte hinter der DMZ nicht und muss grundsätzlich jeglichen Traffic an 192.168.2.1 weiterleiten, dort gibt es weitere Port-Forwardings die dann innerhalb des internen Netzwerks die Verteilung machen. 

 

z.B.

A.B.C.D:80 --> Swisscom Router (Port Forward Port 90 zu 192.168.2.1) --> Nachgeschalteter Router (Port Forward Port 90 zu meinMicroservices:80) --> meinMicroservice:80.

Mit 255.255.255.0 habe ich es auch probiert, da wird dann automatisch die IP im Feld "Destination subnet" von A.B.C.D auf A.B.C.0 umgeschrieben. Funktionieren tut es auch nicht. Ich will, dass jegliche Requests, die vom WLAN Swisscom an meine Public Adresse A.B.C.D einfach an 192.168.2.1 weitergeleitet werden, dann handelt dort der interne Router alle Port-Forwards. Leider routet es einfach nicht dahin und blockiert.

kaetho
Super User
17 von 25

@Feubireuy41  schrieb:

@kaetho Der Swisscom Router kennt die Geräte hinter der DMZ nicht und muss grundsätzlich jeglichen Traffic an 192.168.2.1 weiterleiten, dort gibt es weitere Port-Forwardings die dann innerhalb des internen Netzwerks die Verteilung machen. ....


Ja, das ist ja eigentlich der Sinn der DMZ. Nur: der Router leitet nur die Anfragen von aussen, also diejenigen, die über die WAN-Schnittstelle des Routers kommen (DSL, Glas), an die DMZ weiter. Das WLAN des Routers liegt bereits hinter der WAN-Schnittstelle und wird deshalb erst mal nicht weitergeleitet.

Dazu gibt es die statischen Routen, so habe ich das jedenfalls bis jetzt verstanden und danach gehandelt.

PowerMac
Super User
18 von 25

Wenn ich die Diskussion hier richtig verstehe könnte das Problem auch im offenbar nicht unterstützten NAT-Loopback des Centro Business 2 begründet sein.

Bei den Internetboxen konnte (kann?) man dem mittels der DMZ-Host-Funktion abhelfen. Das Pendant beim Centro Business wäre ein 1:1-NAT auf den nachgeschalteten Router. Probier das doch mal mindestens testweise aus.

have you tried turning it off and on again?
have you tried turning it off and on again?
Feubireuy41
Level 1
19 von 25

@kaetho korrekt, ich versuche das auch. leider lässt der Swisscom Router das irgendwie nicht zu 🙂

@PowerMac das sieht laut Doku ziemlich gut aus! Leider ist bei mir die funktion wohl deaktiviert. Liegt es daran, dass ich nicht 4 öffentliche IP adressen habe? Ich habe eine.

 

Feubireuy41_0-1624977268435.png

Argh, sehr frustrierend, dass man als Kunde nicht mal einfachste Funktionen einstellen kann. Naja, wenns nicht klappt, wechsle ich halt den Anbieter, da geht sowas immer problemlos.

 

Werner
Super User
20 von 25

@Feubireuy41 

 

Weil das CPE ein Centro Business ist, stellt sich auch noch die Frage in welchem Betriebsmodus der überhaupt eingerichtet ist.

 

Dazu gibt es ja den in Zwischenzeit zum Standardwerk erhobenen Blog-Beitrag von @Tux0ne:

https://www.tuxone.ch/2019/06/swisscom-centro-business-20-rollen-und.html 

 

Falls Du den noch nicht kennst, würde ich empfehlen da auch mal noch reinzuschauen. 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Nach oben