Wie muss die NAT Regel lauten?

ThomasW_830e8c · 21. September 2018 um 02:32

Hallo, ich möchte in meiner Digitalbox Premium (192.168.200.1) folgende Netzwerkumsetzung machen:

In meinem Netzwerk 192.168.200.0/24 gibt es mehrere Geräte die über eine IP und TCP Port 1000 von aussen angesprochen werden sollen. (z.B. telnet 192.168.200.30 1000 und telnet 192.168.200.31 1000)
Das entfernte Netzwerk 192.168.201.0/24 macht quasi eine eingehende Verbindung. Wie muss hier die NAT-Regel lauten, damit die telnet-Verbindung (siehe oben) aus dem entfernten Netzwerk möglich ist.
Vielen Dank, Thomas

sweber · 23. September 2018 um 19:53

Hallo!

Ich kenne diese Geräte nicht, und kann dir keine Tipps geben, wie das konkret bei dir einzustellen ist.

Aber: Wenn du mit NAT arbeitest, ist es nicht möglich, die einzelnen Geräte über ihre IP und den gleichen Port anzusprechen. Es wird statt dessen eine Verbindung zum Router aufgebaut, und über den Port weiß der dann, an welches Gerät er das weiterleiten muß.

Du würdest also z.B. einstellen:

Eingehende TCP-Verbindung auf Port 1000 weiterleiten an 192.168.200.30:1000
Eingehende TCP-Verbindung auf Port 1001 weiterleiten an 192.168.200.31:1000
Eingehende TCP-Verbindung auf Port 1002 weiterleiten an 192.168.200.32:1000

und von außen dann telnet <Box-IP> 1001 aufrufen, um dich mit dem zweiten Gerät auf Port 1000 zu verbinden Die Box-IP ist dann eine aus dem 201er Netz.

Jetzt hast du da dieses 201er-Netz, schreibst aber nicht genau, was es damit aufsich hat. Es klingt, als wäre da ein Modem oder anderer Router für den Internetzugang, und du willst aus dem Internet auf die Geräte zugreifen.

Hier kannst du die eingehenden Verbindungen 1:1 weiterleiten:

Eingehende TCP-Verbindung auf Port 1000 weiterleiten an :1000
Eingehende TCP-Verbindung auf Port 1001 weiterleiten an :1001
Eingehende TCP-Verbindung auf Port 1002 weiterleiten an :1002

Alternativ wäre es möglich, die Box in dem äußeren Router als DMZ einzutragen, dann werden ALLE Verbindungsversuche aus dem Internet 1:1 an die Box weitergeleitet. Man mag hier über Sicherheit nachdenken, andererseits hängt die Box normalerweise ja auch direkt am DSL.

Wie gesagt, der letzte Teil ist etwas spekulativ, weil nicht klar ist, wie das Netz außerhalb der Box aussieht.

Da die Konstellation aus zwei Routern häufig genutzt wird, um nen guten (DSL-)Router per billigem Kabel-Router mit Kabel-Internet zu nutzen: wenn dein Kabelanschluss nur IPv6 hat, kommst du so nicht aus dem Internet auf deine Geräte. Du brauchst schon DualStack, also eine echte IPv4 neben der IPv6. Es ist natürlich möglich, auch per IPv6 auf deine Geräte zuzugreifen. Leiter kommt man aus dem Internet da dann nicht drauf, wenn man nicht auch IPv6 nutzt. Und das ist bei den meisten Mobilfunkanbietern heute immernoch so, und man kann aus dem Handy-Netz dann nicht auf das heimische Netzwerk zugreifen, wenn man keine echte IPv4 zu Hause hat.

steve_m · 21. September 2018 um 08:38

Hallo,

gibt es zwischen den beiden Netzen überhaupt NAT, bzw. wenn ja, warum?

Gruß,
Steve

Anonym_0f2f9bea226b · 21. September 2018 um 08:41

Das können nicht die richtigen IP sein, da es sich hierbei um nicht geroutete Nummern handelt, die nirgendwo im Internet weitergeleitet werden. Da nutzt eine Weiterleitung genau gar nichts.

Vielleicht mal über NAT informieren:

Ja, das IST kompliziert. Vielleicht wäre es sclau, mal das komplette Problem hier zu schildern.

ThomasW_830e8c · 21. September 2018 um 09:54

Hab das wichtigste vergessen, zwischen den beiden Standorten ist ein VPN IPSec Tunnel aufgebaut.

ThomasW_830e8c · 21. September 2018 um 09:55

Ich habe die wichtigste Information vergessen, zwischen den beiden Standorten ist ein VPN IPSec Tunnel aufgebaut.

Anonym_0f2f9bea226b · 21. September 2018 um 11:25

Und was genau willst du dann mit NAT erreichen?

steve_m · 21. September 2018 um 12:54

Das beantwortet die Frage nach dem NAT halt nicht.

Stimmt denn dein Routing?

X_Strom · 22. September 2018 um 07:54

Falls der korrekt aufgebaut wurde und falls die beteiligten Router korrekt arbeiten, so besteht für NAT keine Notwendigkeit.

Der Router, in dessen privaten Netz der Client ist, bekommt eine Anfrage:
192.168.201.10 wünscht Verbindung zu 192.168.200.30.
Der Router würde als Standard sagen: Das ist ne private IP Adresse, die route ich nicht nach draußen.
Jemand hat aber den Tunnel eingerichtet und dazu gehört eben ein Routingeintrag, der dem Gerät sagt:
„Clients im Bereich 192.168.200.0/24 sind über den VPN Tunnel erreichbar, Pakete dorthin schicken.“
Auf der Gegenseite passiert das selbe anders herum.
Über den Tunnel kommen Pakete zu 192.168.200.30 ein. Eigentlich werden Pakete zu privaten IP Adressen, die von außen ankommen, direkt verworfen. Auch hier muss ein Routingeintrag existieren, der eine Ausnahme zu dieser Regel bildet.

Wenn das bei dir nicht klappt, dann ist der VPN Tunnel nicht den Anforderungen entsprechend programmiert worden. Oder die Anforderungen waren falsch.

Da ich die Router von TELDAT S.A., Espana, zwar nicht gerade für die höchste Evolutionsstufe halte, sie aber grundsätzlich als brauchbar einschätze, denke ich, dass hier eher kein Fehler der Hardware vorliegt.

ThomasW_830e8c · 23. September 2018 um 19:54

Hallo,
genau hier lag das Problem, ich kann nicht alles über den selben Port laufen lassen!
Jetzt klappt es super!
Danke!!!

ThomasW_830e8c · 23. September 2018 um 19:55

Problem gelöst, ich habe jedem Gerät einen eigenen Port gegeben und schon hat es funktioniert. Alles über den selben Port klappt nicht.
Danke an Alle!!!