NAT/PATing zu anderen VLANs

[Riseofdead]

Hallo

Wie viele schon wissen, mach ich meine ersten Gehversuche mit VLANs und Netzwerke

Das Netzwerk mit den verschiedenen VLANs funktioniert schon. Ich komm also von jedem VLAN in ein anderes und auch ins Internet. Später werde ich noch definieren in welches VLAN die einzelnen VLANs dürfen.

Was jedoch noch nicht funktioniert ist das Port Forwarding oder NATing. Ich habe ein 10.0.0.0/24 Netz mit dem Gateway 10.0.0.138 das nur das LTE "Modem" ist. Also ein LTE Cube den ich zum Vertrag dazubekommen hab. Dieser kann fast nix, nur DMZ was ja schon ausreicht. Auf dem Cube habe ich also eine DMZ auf die WAN Seite (10.0.0.250) meines Routers eingestellt. Es wird also alles ohne Ausnahme auf den Router weitergeleitet.

Der Router (TP Link TL-ER6120 v2) hat die LAN IP 192.168.0.1/24
Der Switch (TP Link T2600G-28TS v2) hat die IP Adresse 192.168.0.2/24

Ich bin nach dieser Anleitung vorgegangen (https://www.tp-link.com/us/support/faq/887/ )

Was ich eingestellt habe seht ihr an den angehängten Bildern

router_multi.png = Da habe ich die (Virtuellen) Netzwerke eingetragen. Das ausgegraute ist das "physische" Netz.

Ich hab also ein "mario" Netz welches mein Privates Netz für meine Vertrauenswürdigen Geräten ist. Das Netz ist mit 192.168.3.0/24 definiert. Dann habe ich ein Netz "guest" welches für Gäste ist und nicht ins "mario" Netz kommen soll (werde ich später angehen) sowie ein "Management" Netz wo derzeit ein Ubiquiti Access Point und ein PC läuft der als Controller für diesen Access Point fungiert. Es wird wahrscheinlich noch ein IoT Netz dazukommen. Aber auch das ist noch Zukunftsmusik.

router_stat.png = Da habe ich die statischen Routen zu den einzelnen Netzwerken eingetragen. Der Nächste Hop ist immer der Switch.

nat.png = Ja das sind die Portfreigaben. Eine geht zu einem Gerät ins "mario" Netz und eine geht zum Access Point Controller im "management" Netz. Die Ports bzw. Protokolle stimmen alle, denn wenn ich die Geräte ins gleiche Netz hänge wo auch Router und Switch sind, gehen die Freigaben ganz normal. Nur wenn die Geräte in anderen VLANs sind, geht die Weiterleitung nicht mehr. Das ist auch die Kernfrage wieso das nicht geht.

switch.png = die Statische Routingtabelle vom Switch. Sagt nur das alles von den einzelnen VLANs zum Router weitergeschickt werden soll.

netzwerkplan.jpg = Mein Physisches Netzwerk mit Paint aufgezeichnet. Mit dem Packet Tracer kenn ich mich hinten und vorne nicht aus. Scheint als könnte der mit Switches die eine IP Adresse haben, nicht umgehen kann.

Gibt es irgendwas das ich übersehen hätte? Hab alles doppelt und dreifach gecheckt ob Fehler drinnen sind aber alles andere geht ja auch. Wie gesagt ich kann im LAN alles zwischen den VLANs machen. Ich kann vom "mario" VLAN über RDP zum "Management" VLAN Rechner usw.

 

[Raijin]

Was jedoch noch nicht funktioniert ist das Port Forwarding oder NATing.

Was funktioniert nicht? Wie testest du?

Grundsätzlich funktioniert Portforwarding bzw. DNAT auch über Subnetzgrenzen hinweg. Es wird ja lediglich die Ziel-IP der Pakete geändert und dann nimmt das Paket den Weg durch das Netzwerk gemäß der Routingtabelle(n). Das heißt, dass der Router, bei dem die externe Verbindung reinkommt, über die notwendigen Routen verfügen muss.

Kommt über WAN eine Verbindung zu WANIP:12345 an, ändert der Router die Ziel-IP in zB 192.168.3.123 und schickt das Paket weiter an das Gateway, welches 192.168.3.0/24 verbindet. Dieses wiederum gibt das Paket dann entweder seinerseits an das Gateway Richtung 192.168.3.0/24 oder wenn es bereits selbst einen Fuß in 192.168.3.0/24 hat direkt an 192.168.3.123. An dieser Stelle kann dann die Firewall des Ziel-Geräts aber einen Strich durch die Rechnung machen. Beim Ziel-Gerät kommt nun ein Paket von einer öffentlichen IP an und das wird evtl. von der Firewall (zB Windows Firewall) geblockt. Dazu muss die eingehende Regel in der Firewall so angepasst werden, dass auch Pakete von "fremden" IPs akzeptiert werden.

Wenn Portweiterleitungen nicht funktionieren, muss man also schrittweise vorgehen. Als erstes würde ich am Ziel-Gerät mittels WireShark oder tcpdump prüfen ob Pakete ankommen. Ist das der Fall, aber es klappt trotzdem nicht, ist die lokale Firewall schuld. Kommen keine Pakete an, dann muss man an jedem Gateway inkl. dem Internet-Router prüfen ob dort Pakete ankommen. Wie genau das geht hängt vom jeweiligen Gerät ab. Schau mal in die GUI vom Switch/Router ob dort auch ein Paketsniffer, -capture oder ähnliche Funktion vorhanden ist.


Übrigens: Deine VLAN-Bezeichnung ist nicht konsistent. Zwar kann man technisch gesehen beliebige VLAN-IDs bei beliebigen Subnetzen vergeben, aber eine ungeschriebene Regel ist, dass man die VLANs entsprechend dem Subnetz nummeriert. Bei VLAN 3 / 4 / 10 hast du das auch getan, aber VLAN 2 fällt aus der Rolle. Darüber hinaus sind die Subnetze in den niedrigen 192.168er Bereichen nicht unproblematisch, wenn du später mal einen Fernzugriff via VPN hinzufügst. Ich würde daher mindestens 192.168.10/20/30/40 für VLAN10/20/30/40 nehmen. Der für private Subnetze reservierte Bereich ist allerdings so groß, dass es absolut keinen Grund gibt, sich überhaupt so einzuschränken. Folgende Bereiche sind für private Subnetze reserviert und man kann sich nach Belieben austoben und sollte es ein Stück weit auch tun:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Man sieht also, dass der 192er Bereich sogar der kleinste der drei Bereiche ist. Dennoch tummeln sich geschätzt 98% aller privaten Subnetze in diesem Bereich.

 

[Riseofdead]

ok habs nach langem testen jetzt geschafft. Es hätte alles funktioniert wenn das editieren des Port Forwardings nicht verbuggt gewesen wäre. Editiert man nämlich die IP Adresse wo das Paket hin soll, wird die neue IP auch übernommen. Startet man hingegen den Router neu, ist die IP wieder die alte. Man muss also bei jeder Änderung den alten Eintrag komplett rauslöschen und dann anschließend neu eintragen. Da muss man erstmal draufkommen xD

Hab jetzt auch diese VLAN Regel eingeführt. 192.168.10.0 ist das "Physische Netz" mit VLAN10
192.168.20.0 "Mario" mit VLAN20
192.168.30.0 "Gast" mit VLAN30
192.168.255.0 "Management" mit VLAN255

Dann kann ich ja mit den ACLs beim Switch/Router anfangen (je nachdem welches Gerät das kann)

 

[Raijin]

wenn das editieren des Port Forwardings nicht verbuggt gewesen wäre. Editiert man nämlich die IP Adresse wo das Paket hin soll, wird die neue IP auch übernommen. Startet man hingegen den Router neu, ist die IP wieder die alte.

Wenn das reproduzierbar ist, möchte ich dich im Interesse der anderen und künftigen Besitzer des gleichen Routers darum bitten, dies als Bugreport an den Hersteller zu schicken. Gegebenenfalls ist der Fehler schon bekannt, aber vielleicht auch nicht.