Portweiterleitung Intern (Kaskadierter Router)

[runnerschreck92]

Hallo zusammen,



ich sehe heute den Wald vor lauter Bäumen nicht mehr.

Daher hoffe ich, dass Ihr mir helfen könnt.



Es existiert ein Netzwerk worin sich ein zweites Netzwerk befindet mit neuer Hardware.

DSL
Fritzbox 7590 (192.168.0.1)
UDM Pro mit WAN IP (192.168.0.10)
UDM Client Netz 192.168.140.X
Synology NVR (192.168.140.100)



Das NRV sowie die Kameras sollen migriert werden. Es werden in der Übergangszeit jedoch weiter Clients im Fritzbox Netz hängen, die auf den NVR zugreifen müssen.

Ich dachte mir, easy.
Ich brauche ja nur auf der UDM eine Portweiterleitung für die HTTP/HTTPS sowie RTMP hinzufügen.

Zuhause also zum Testen eine Fritzbox und im Nachgang noch einen TP-Link Router an meine Opensense gesteckt, eine Syno hinter, und wie beschrieben konfiguriert.

Die Router beziehen sauber einer Dynamische IP vom „Hauptrouter“.
Ich komme aber nicht auf das NAS aus dem vorgelagerten Netz. z.B. https://udmip:5001/
Auch auf die Fritzbox selber komme ich aus dem „so gesehen“ WAN nicht.

Die Fritzbox kann ich sauber anpingen.

Habe ich einen Denkfehler?

 

[VDC]

Eine Route zu 192.168.140.0/24 über 192.168.0.10 gesetzt?

 

[runnerschreck92]

Nein das habe ich nicht gemacht.

Ich wollte es ganz Oldschool mittels der Portweiterleitung aus dem vorgelagerten Netz erreichbar machen. Hat man ja früher auch so gemacht. Die drei Portfreigaben, und dann die Öffentliche IP (in meinem Fall ja die 192.168.0.10) im Surveillance Station Programm mit dem HTTPS-Port eintragen.

 

[redjack1000]

Ich kann keine Portweiterleitungen an die UDM erkennen und ich sehe keine Firewalleinstellungen an der UDM für den NVR.

CU
redjack

 

[runnerschreck92]

Ich habe das eben nicht Gescreenshotet

Ich habe in dem Router (Testaufbau zuhause)
Auf der IP vom NVR die drei Ports freigegeben.
Eigentlich sollte auch nur der HTTPS Port reichen.

Altes Netzwerk 192.168.0.1
-
Client im alten Netzwerk z.B. 192.168.0.55
-
Ruft Software für NVR auf
-
IP 192.168.0.10:5001 eingetragen (UDM)
-
UDM wird angesprochen --> WAN: Port 5001
-
Portweiterleitung an der UDM TCP 5001 zu IP vom NVR 192.168.140.100

 

[redjack1000]

Das ist dein gedachter Verlauf, sind das auch die Einstellungen?

Cu
redjadk

 

[Tenthar]

So weit ich verstehe hast du eine Fritzbox an der dein DSL hängt und eine UDM Pro hinter der Fritzbox, und die UDM ist der Router für ein separates Netz. Das funktioniert problemlos und habe ich auch selbst am Laufen, aber wie bereits oben erwähnt brauchst du eine statische Route vom Fritz-Netz in das UDM Netz. Ausserdem würde ich auf der UDM Pro NAT ausschalten da double natting problematisch sein kann, aber da reden wir von Zugriffen von aussen (aus dem Internet), zB für Games.

Auf der Fritzbox: Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4 Routen
Da eine neue Route hinzufügen mit Netzwerk 192.168.140.0, Subnet 255.255.255.0 und Gateway 192.168.0.10. Damit wird dein Zugriff bereits funktionieren, aber du darfst natürlich nicht 192.168.0.10:5001 ansprechen, sondern 192.168.140.100:5001.
Die Portweiterleitung brauchst du dann nicht.

So sieht das in meiner Fritzbox aus und damit funktioniert der Durchgriff zwischen den Netzen bereits, Portweiterleitung kommt hier nicht zum Tragen:

In der Theorie sollte dein Portweiterleitungsmodell auch funktionieren, aber ich sehe den Vorteil nicht wirklich. Es sei denn du möchtest die Netze getrennter halten.
In deinem Screenshot sprichst du 192.168.140.100:5001 an - das würde mit der Portweiterleitung natürlich nicht funktionieren. Mit der statischen Route in der Theorie schon. Hast du auch 192.168.0.10:5001 versucht?

Dass du die Fritzbox aus dem 192.168.140.0 Netz nicht erreichst liegt meines Ermessens nach daran dass dich der Return Traffic nicht erreicht, d.h. die Fritzbox weiß nicht wohin sie die Antwort schicken soll. Der ursprüngliche Request kommt wahrscheinlich schon an. Auch das wirst du nur mit der statischen Route fixen können.

 

[runnerschreck92]

Hi,

ja die Screenshots habe ich eben nur auf die Schnelle gemacht.
Die sind nicht ganz richtig.
Ich bin ja auch bei mir, und habe die UDM nicht vor Ort.
Ich baue heute Abend nochmal ein Setup auf, und teste das nochmal.

 

[norKoeri]

Greifst Du vielleicht per IPv6 auf das Netz zu? Oder sicher IPv4?

UDM Pro

Können wir einen Schritt zurückgehen: Warum überhaupt die Router-Kaskade?

 

[RealQuality]

Den gewollten Nutzen dieses Netzaufbaus kann ich nicht nachvollziehen.
Warum nicht alle Clients in die UDM Pro?
Mit entsprechenden Netzwerken/VLANS einfacher wie deine gewollte Lösung.

 

[runnerschreck92]

Greifst Du vielleicht per IPv6 auf das Netz zu? Oder sicher IPv4?

Können wir einen Schritt zurückgehen: Warum überhaupt die Router-Kaskade?

nein alles rein IPV4

Den gewollten Nutzen dieses Netzaufbaus kann ich nicht nachvollziehen.
Warum nicht alle Clients in die UDM Pro?
Mit entsprechenden Netzwerken/VLANS einfacher wie deine gewollte Lösung.

Hinter der UDM wird alles neu aufgebaut.
Dann wird im laufe des nächsten Jahres umgezogen.
Ich habe das vorgelagerte Netz ja in der UDM als VLAN, das soll da aber raus.
Es müssen die Rechner aus dem vorgelagerten Netz nur auf die Syno hinter der UDM zugreifen. Sonst nichts.

Ich habe hier zuhause nochmal mit meiner opnsense sowie einer Fritzbox 4020 gebastelt.
Kriege ich mit statischen Routen nicht zum laufen. Warum auch immer...

Es soll nur wie folgt abgebildet werden.

 

[redjack1000]

Ich kann immer noch keine Portweiterleitungen und Firewalleinstellungen erkennen!.

Cu
redjack

 

[norKoeri]

Dann wird im laufe des nächsten Jahres umgezogen.

Bitte hole Dir jetzt ein DSL-Modem und dann erzeuge in UniFi ein weiteres Heim-Segment. Dann ist das quasi nur umstöpseln. Dann wird das automatisch einfacher, weil Du keine zwei Port-Freigaben brauchst.

 

[h00bi]

Entweder was norKoeri schreibt, oder konfiguriere die UDM in der Fritzbox als Exposed Host statt ein DSL Modem zu kaufen. Dann auf der UDM ein zweites Netz bauen.
dazu musst du vermutlich die Netzadresse der FB ändern, aber das spielt ja keine Rolle mehr, wenn die Geräte bereits an der UDM im separierten Netz hängen.

Warum sind die UDM Käufer eigentlich immer die schlimmsten Routerkaskadenmurker? Hundere von Euro ausgeben und dann verkrüppelt betreiben wollen.

 

[runnerschreck92]

Kunde ist König sagt man doch immer.
Ist zwar von privater Natur, aber mehr als sagen kann ich es ja nicht.
Ich würde es gerne auch anders machen, da gibts aber aktuell leider eine Absage, und das kann ich auch nachvollziehen.
Daher geht es einfach um eine einfache Lösung, um auf das NVR zu kommen.

Mehr wird nicht benötigt.

Zuhause habe ich meine opnsene usw. Ich basteln am Wochenende nochmal etwas und reiche hier meine Erfahrungen ein.

 

[Tenthar]

Ich habe das vorgelagerte Netz ja in der UDM als VLAN, das soll da aber raus.

Den Teil verstehe ich ehrlich gesagt nicht ganz, das vorgelagerte Netz ist das 192.168.0.0/24 Netz der Fritzbox? Das verwaltet doch die Fritzbox, nicht das UDM, was kann da also in der UDM konfiguriert sein? Hast du das an deinem UDM WAN Port mit einer VLAN ID getaggt (und wenn ja, wieso)?

Ich habe hier zuhause nochmal mit meiner opnsense sowie einer Fritzbox 4020 gebastelt.
Kriege ich mit statischen Routen nicht zum laufen. Warum auch immer...

Das klingt vielleicht blöd, aber die Route (du brauchst ja nur eine) war in der Fritzbox auch als aktiv markiert? Eigentlich muss das schon gehen, wie gesagt, ich habe genau diese Konfiguration am Laufen, nur dass es bei mir ein Cloud Gateway Max hinter der Fritzbox ist (was sich aber in Sachen config nicht vom UDM unterscheidet). Daher kann ich nur sagen es ist definitiv möglich und braucht abgesehen von der einen Route erst mal nichts in der Fritzbox konfiguriert.
In der UDM den Gateway Port für das WAN als IPv4 Configuration sicherstellen dass nicht PPPoE oder so was eingestellt ist, ich würde DHCP nehmen und den Lease in der Fritzbox fixieren.

Damit solltest du aus dem UDM Netz auf die Fritzbox und auch ins Internet kommen, da die Standardregeln der Zone Based Firewall auf der UDM schon entsprechend konfiguriert sind. Hier mal am Beispiel wie das bei mir aussieht. Core ist mein Netz das das Cloud Gateway verwaltet, das Fritzbox Netz ist automatisch Teil der External Zone da es ja über den WAN Port kommt. Das Allow Return für External nach Internal ist wichtig, damit die Antworten auf deine Requests auch bei dir ankommen.

Damit ein Client aus dem Fritzbox Netz das NVR erreicht musst du das jetzt natürlich noch in der Firewall der UDM erlauben. Erstell eine neue Policy mit Source Zone External, Destination Zone Internal und Action Allow. Source IP ist entweder das ganze Fritzbox Netz oder halt nur die Client IP die auf die NVR zugreifen soll.

Das würde ich jetzt an deiner Stelle mal am richtigen Objekt ausprobieren, statt in deinem Testszenario. Dann kannst du auch in den UDM Insights schauen obs in der Firewall hängengeblieben ist, oder woanders hapert.

 

[h00bi]

Ist zwar von privater Natur, aber mehr als sagen kann ich es ja nicht.

"Entweder wir machen das jetzt richtig oder du sucht dir jemand anderen, der den Pfusch einrichtet"

Musst mal schauen wie schnell da ein DSL Modem bestellt wird.

Der Besitzer würde vermutlich nichtmal merken, dass du ihn von der Fritzbox in ein separates UDM Netz transferiert hast.

 

[runnerschreck92]

Den Teil verstehe ich ehrlich gesagt nicht ganz, das vorgelagerte Netz ist das 192.168.0.0/24 Netz der Fritzbox? Das verwaltet doch die Fritzbox, nicht das UDM, was kann da also in der UDM konfiguriert sein? Hast du das an deinem UDM WAN Port mit einer VLAN ID getaggt (und wenn ja, wieso)?

Das klingt vielleicht blöd, aber die Route (du brauchst ja nur eine) war in der Fritzbox auch als aktiv markiert? Eigentlich muss das schon gehen, wie gesagt, ich habe genau diese Konfiguration am Laufen, nur dass es bei mir ein Cloud Gateway Max hinter der Fritzbox ist (was sich aber in Sachen config nicht vom UDM unterscheidet). Daher kann ich nur sagen es ist definitiv möglich und braucht abgesehen von der einen Route erst mal nichts in der Fritzbox konfiguriert.
In der UDM den Gateway Port für das WAN als IPv4 Configuration sicherstellen dass nicht PPPoE oder so was eingestellt ist, ich würde DHCP nehmen und den Lease in der Fritzbox fixieren.
Anhang anzeigen 1684188
Damit solltest du aus dem UDM Netz auf die Fritzbox und auch ins Internet kommen, da die Standardregeln der Zone Based Firewall auf der UDM schon entsprechend konfiguriert sind. Hier mal am Beispiel wie das bei mir aussieht. Core ist mein Netz das das Cloud Gateway verwaltet, das Fritzbox Netz ist automatisch Teil der External Zone da es ja über den WAN Port kommt. Das Allow Return für External nach Internal ist wichtig, damit die Antworten auf deine Requests auch bei dir ankommen.
Anhang anzeigen 1684189

Damit ein Client aus dem Fritzbox Netz das NVR erreicht musst du das jetzt natürlich noch in der Firewall der UDM erlauben. Erstell eine neue Policy mit Source Zone External, Destination Zone Internal und Action Allow. Source IP ist entweder das ganze Fritzbox Netz oder halt nur die Client IP die auf die NVR zugreifen soll.
Anhang anzeigen 1684195

Das würde ich jetzt an deiner Stelle mal am richtigen Objekt ausprobieren, statt in deinem Testszenario. Dann kannst du auch in den UDM Insights schauen obs in der Firewall hängengeblieben ist, oder woanders hapert.

Danke!

Ich habe heute nochmal drauf geschaut.
Und was soll ich sagen, es läuft!
Danke und viele Grüße.