nicht angemeldet
Kaskadierte Router - Webserver nicht von aussen zugaenglich
Hallo
ich hatte vor einiger Zeit hier angefragt, wie man ein vom LAN getrenntes WLAN einrichten kann: Forumsarchiv.
Daraufhin ist mir geraten worden, noch einen extra Router zu benutzen, an dem dann der Wlan-Router und der LAN-Router hängen. Das habe ich gestern endlich auch mal ausprobieren können. Die Trennung von WLAN und LAN hat mit diesem Setup wundervoll geklappt, leider hat sich aber ein anderes Problem ergeben:
Im LAN hängt noch ein Server, der unter anderem als IMAP-Server und HTTP-Server dient und außerdem noch ein paar Shares zur Verfügung stellt. Sowohl der HTTP- als auch der IMAP-Server müssen von ausserhalb zugänglich sein.
Seit aber der extra Router vor dem LAN-Router steht, kann ich den Server nicht mehr mit seiner externen Adresse erreichen, weder von außen noch vom LAN aus (intern geht es aber noch über die LAN-IP). Leider kenne ich mich nicht genug mit Netzwerken aus, um die Ursache des Problems zu ermitteln oder das ganze richtig zu troubleshooten.
Ich habe auf dem Internetrouter ein Port-forwarding (für IMAP und HTTPS) auf den LAN-Router eingerichtet, der wiederum diese Ports auf den Server weiterleitet. Leider erfolglos.
Zum Testen habe ich dann mal auf dem Internetrouter die Adresse des LAN-Routers als DMZ angegeben, leider auch erfolglos.
Auch zum Testen (aber ohne wirklich zu wissen, was das macht) habe ich auf dem Internet-Router eine statische Route auf die IP 192.168.1.4 über das Gateway 192.168.0.3 eingerichtet, was aber auch nicht geholfen hat und dementsprechend rückgängig gemacht wurde.
Hier das Setup:
Internetrouter:
Typ: Netgear RP614
LAN-IP: 192.168.0.1
LAN-Router:
Typ: RV042
Der WAN-Port ist an einen Ethernet-Port vom Internetrouter angeschlossen.
WAN-IP: 192.168.0.3
LAN-IP: 192.168.1.1
Man kann bei dem Gerät zwischen der Funktionsweise als Gateway oder als Router wählen. Momentan ist da Gateway eingestellt. Ich habe testhalber mal Router ausgewählt, dann aber keinen Internetzugang vom LAN aus gehabt, sodass ich das wieder zurück auf Gateway gestellt habe.
Server:
IP: 192.168.1.4
Der LAN-Router macht Port-Forwarding für IMAP und HTTPS auf die IP-Adresse vom Server.
Der Zugang von außen erfolgt über eine DynDns-Domain.
Kann mir jemand Tipps geben, wie man das Problem angehen kann?
Herzlichen Dank
Claudia
-
Hello Claudia,
_die_ Server (Plural) auf dem ehemals öffentlich zugänglichen Host haben ja nun keine direkte öffentliche IP mehr, es sei denn, diese wäre an eine separate Netzwerkkarte gebunden und zwischen dieser und der internen Netzwerkkarte würde dann kein Routing stattfinden... (Sonst hättest Du Dir die Kaskadierung der Router schenken können)
Eine andere Möglichkeit wäre das Portforwarding auf den Routern zu nutzen. Die Anfragen an die ehemals öffentliche IP (die jetzt die öffentliche des Internetrouters sein müsste), die die Ports von IMAP und HTTP betreffen, müssen dann umgelenkt werden auf die neue (interne) IP des Hosts.
Also müssten Anfragen von außen auf die Ports 143 und 993 (für IMAPS) und 80 und 443 (für HTTPS) entsprechend auf die gleichen Ports, aber die interne IP des Hosts umgeleitet werden.
Hierbei ist jetzt aber zu beachten, dass dann über einen korrumpierten HTTP-Server Requests "von innen nach innen" durchgeführt werden könnten. Wenn das Ding also Scripte als Upload von Usern zulässt, hast Du schon wieder eine Lücke im System.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo Tom
Eine andere Möglichkeit wäre das Portforwarding auf den Routern zu nutzen. Die Anfragen an die ehemals öffentliche IP (die jetzt die öffentliche des Internetrouters sein müsste), die die Ports von IMAP und HTTP betreffen, müssen dann umgelenkt werden auf die neue (interne) IP des Hosts.
Also müssten Anfragen von außen auf die Ports 143 und 993 (für IMAPS) und 80 und 443 (für HTTPS) entsprechend auf die gleichen Ports, aber die interne IP des Hosts umgeleitet werden.
Das sehe ich ein, aber leider weiss ich nicht, wie genau ich das einrichten muss. Ich hatte folgendes Setup getestet:
Der Internetrouter leitet alle Anfragen fuer diese Ports an den LAN-Router weiter (also an die IP 192.138.0.3). Der LAN-Router wiederum leitet diese Ports an 192.168.1.4 weiter. Leider fuehrte das eben dazu, dass der Server nicht mehr zugaenglich war (von aussen gar nicht und vom LAN nur ueber die interne IP-Adresse). Kann das was damit zu tun haben, dass der LAN-Router eigentlich ein Gateway?Gibt es vielleicht irgendwelche Tools, mit denen ich checken kann, was wo haengenbleibt? Zum Testen koennte ich den Server mal kurzfristig durch
ein Notebook ersetzen, auf dem ich zusaetzliche Testsoftware installieren kann (vorzugsweise WinXP, sonst muss ich das Notebook neu installieren).Hierbei ist jetzt aber zu beachten, dass dann über einen korrumpierten HTTP-Server Requests "von innen nach innen" durchgeführt werden könnten. Wenn das Ding also Scripte als Upload von Usern zulässt, hast Du schon wieder eine Lücke im System.
Danke fuer den Hinweis. Allerdings laesst sich das nicht aendern, da der Server IMAP und SVN (ueber Apache) zur Verfuegung stellt, was von ueberall her zugaenglich sein muss. Wir hatten mal probiert, das ueber VPN zu machen, da hatten aber zuviele meiner Kollegen Probleme damit, das auf ihren Heimrechnern einzurichten.
Liebe Grüße aus dem schönen Oberharz
Schoene Gruesse aus Luxembourg und danke fuer deine Hilfe
Claudia
-
Hello,
Der Internetrouter leitet alle Anfragen fuer diese Ports an den LAN-Router weiter (also an die IP 192.138.0.3).
"138" ist hoffentlich nur ein Schreibfehler.
Der Internetrouter sollte als interne Adresse auf jeden Fall eine vom Internet-Routing ausgenommene Adresse haben, also eine aus dem VPN-Bereich, z.B. 192.168.1.1, wenn Du Dir das Leben nicht unnötig schwer machen willst.
Dann müssen die beiden anderen Router R1 und R2 auch jeweils ein Bein in diesem Netz haben, also z.B. 192.168.1.2 und 192.168.1.3
Diese sollten dann in die beiden anderen Netze weiterleiten, die möglichst auch abgeschlossen sind.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo Tom
"138" ist hoffentlich nur ein Schreibfehler.
Ja, das war es, sorry.
Der Internetrouter sollte als interne Adresse auf jeden Fall eine vom Internet-Routing ausgenommene Adresse haben, also eine aus dem VPN-Bereich, z.B. 192.168.1.1, wenn Du Dir das Leben nicht unnötig schwer machen willst.
Sorry, aber diesen Satz verstehe ich leider nicht. Was ist eine 'vom Internet-Routing ausgenommene Adresse'?
Dann müssen die beiden anderen Router R1 und R2 auch jeweils ein Bein in diesem Netz haben, also z.B. 192.168.1.2 und 192.168.1.3
Diese sollten dann in die beiden anderen Netze weiterleiten, die möglichst auch abgeschlossen sind.
Meinem Verstaendnis nach habe ich das so. Hier nochmal eine Uebersicht ueber das Setup:
Internetrouter:
WAN-IP: kommt vom DSL-Provider
LAN-IP: 192.168.0.1LAN-Router:
WAN-IP: 192.168.0.3 (diese ist im Internetrouter auch reserviert fuer die MAC-Adresse vom LAN-Router)
LAN-IP: 192.168.1.1Alle Rechner, die an dem LAN-Router haengen, haben Adressen aus dem Bereich 192.168.1.xxx
WLAN-Router:
WAN-IP: 192.168.0.2 (diese ist im Internetrouter auch reserviert fuer die MAC-Adresse vom WLAN-Router)
LAN-IP: 192.168.2.1Alle Rechner, die an dem WLAN-Router haengen, haben Adressen aus dem Bereich 192.168.2.xxx
Der WLAN-Router ist momentan abgeklemmt, da ich erstmal das Problem mit dem Server loesen will.
Eingestellte Portweiterleitungen:
Internetrouter hat eine Weiterleitung der Ports an die IP 192.168.0.3 (also den LAN-Router), der LAN-Router hat eine Weiterleitung der Ports an die IP 192.168.1.4 (also den Server).Claudia
-
Hello Claudia,
Hallo Tom
"138" ist hoffentlich nur ein Schreibfehler.
Ja, das war es, sorry.
Der Internetrouter sollte als interne Adresse auf jeden Fall eine vom Internet-Routing ausgenommene Adresse haben, also eine aus dem VPN-Bereich, z.B. 192.168.1.1, wenn Du Dir das Leben nicht unnötig schwer machen willst.
Sorry, aber diesen Satz verstehe ich leider nicht. Was ist eine 'vom Internet-Routing ausgenommene Adresse'?
http://w3-o.hm.edu/zak/infopool/veranstaltungen/2003-12-linux/node106.html
Die sogenannten privaten Adressen sollte kein Internet-Router weiterleiten über seinen Gateway, wenn er in Ordnung ist.
Alles andere sieht so ganz sinnvoll aus. Da fällt mir jetzt nicht ein, was fehlen könnte, es sei denn, dass Deine Router auch eine Protokollfilterung vornehmen oder z.B. eine Firewall eingeschaltet ist, die alle Pakete von außen verwirft, wenn sie nicht als Antwort auf einen Request kommen.
Welche Router hattest Du doch gleich benutzt? Typen?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo Tom
Alles andere sieht so ganz sinnvoll aus. Da fällt mir jetzt nicht ein, was fehlen könnte, es sei denn, dass Deine Router auch eine Protokollfilterung vornehmen oder z.B. eine Firewall eingeschaltet ist, die alle Pakete von außen verwirft, wenn sie nicht als Antwort auf einen Request kommen.
Das kann eventuell die Ursache sein, da ich als LAN-Router genau den Router (bzw. das Gateway) benutze, welchen ich vorher als Internetrouter genommen habe - nur die Konfiguration fuer den Internetzugang wurde von PPPOE auf statische IP umgestellt. Da der LAN-Router meines Erachtens aber genau den gleichen Job machen soll wie vorher (nur dass halt die WAN-Verbindung jetzt noch ueber eine andere Verbindung kommt), hoffe ich, dass das so in Ordnung ist.
Leider ist es physisch etwas umstaendlich, die Router auszutauschen, sodass ich das nur dann testen will, wenn es keine andere Wahl gibt...
Kann man irgendwie testen, ob und wo irgendwelche Pakete verworfen werden?
Welche Router hattest Du doch gleich benutzt? Typen?
Der InternetRouter ist ein einfacher Netgear RP614.
Der LAN Router ist ein LinkSys RV042.Claudia
-
-
-
-
-
-
Yerf!
LAN-Router:
Typ: RV042
Der WAN-Port ist an einen Ethernet-Port vom Internetrouter angeschlossen.
WAN-IP: 192.168.0.3
LAN-IP: 192.168.1.1Server:
IP: 192.168.1.4
Der LAN-Router macht Port-Forwarding für IMAP und HTTPS auf die IP-Adresse vom Server.Kann mir jemand Tipps geben, wie man das Problem angehen kann?
Das Problem ist, dass sich der Server im "inneren" LAN befindet. Deshalb muss das Forwarding 2 mal stattfinden.
Der Internetrouter muss auf die IP des 2. Routers leiten (192.168.0.3) und im Internetrouter muss ein Forwarding der Ports auf die Serveradresse (192.168.1.4) eingerichtet werden.
Gruß,
Harlequin
--
<!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->-
Hallo Harlequin
Danke fuer die Antwort.
Das Problem ist, dass sich der Server im "inneren" LAN befindet. Deshalb muss das Forwarding 2 mal stattfinden.
Der Internetrouter muss auf die IP des 2. Routers leiten (192.168.0.3) und im Internetrouter muss ein Forwarding der Ports auf die Serveradresse (192.168.1.4) eingerichtet werden.
Das verstehe ich nicht so richtig. Der Internetrouter soll die Ports auf den LAN-Router und gleichzeitig auf die IP-Adresse von Server forwarden? Meines Erachtens kommt der InternetRouter doch gar nicht auf die IP vom Server, da das ein anderes Subnetz ist, oder?
Claudia
-
Hello Claudia,
|
Internet-Router
|
+-----+------+
| |
R1 R2
| |
| |
AP switch
/ \ | | | |
K1 K2 M1 M2 M3 S1R1,2 = Router
AP = Access-Point
K1,2 = Kundenrechner
M1,... = Mitarbeiterrechner
S1 = FirmenserverDas Problem ist, dass sich der Server im "inneren" LAN befindet. Deshalb muss das Forwarding 2 mal stattfinden.
Der Internetrouter muss auf die IP des 2. Routers leiten (192.168.0.3) und im Internetrouter muss ein Forwarding der Ports auf die Serveradresse (192.168.1.4) eingerichtet werden.
Das verstehe ich nicht so richtig. Der Internetrouter soll die Ports auf den LAN-Router und gleichzeitig auf die IP-Adresse von Server forwarden? Meines Erachtens kommt der InternetRouter doch gar nicht auf die IP vom Server, da das ein anderes Subnetz ist, oder?
Da hat er sich wohl nur mit dem Namen des Gerätes vertan.
Der Internetrouter soll die Port-Requests auf die IP von R2 forwarden und dieser soll sie dann auf die IP von S1 forwarden.
Und ich hatte dann noch zu bedenken gegeben, dass dann S1 missbraucht werden könnte per Scripten, die durch User auf den S1-HTTP-Server hochgeladen worden sind.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Yerf!
Da hat er sich wohl nur mit dem Namen des Gerätes vertan.
Nach nochmaligem durchlesen... stimmt. Das 2. Weiterleiten zum Webserver muss natürlich der LAN-Router machen.
Und ich hatte dann noch zu bedenken gegeben, dass dann S1 missbraucht werden könnte per Scripten, die durch User auf den S1-HTTP-Server hochgeladen worden sind.
Wegen so etwas richtet man normalerweise eine DMZ ein, aber das macht das ganze noch etwas komlizierter.
Gruß,
Harlequin
--
<!--[if IE]>This page is best viewed with a webbrowser. Get one today!<![endif]-->
-
-
-
-
Hi,
die Lösung für Probleme dieser Art:
VLANs (Virtuelle LANs), Router on the stick (Routing zwischen VLANs) und ACLs (Access Control Lists). An Hardware bräuchtest Du dazu nur _einen_ Layer-3-Switch, der entsprechend konfiguriert werden kann. Für WLAN (wireless) noch einen Access-Point.Hotte
--
San FranCISCO ist schön.