Netzwerk-Routing Problem

Netzwerk-Routing Problem (24 Beiträge, 448 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo liebes Forum!

Ich steh hier nun leider irgendwie auf der Leitung und komme nicht weiter.
Der aktuelle Netzwerkaufbau sieht folgendermaßen aus:

Allgemeinbeschreibung:
Früher:
Internetanschluss mit fixer IP, war von außen erreichbar und alles hat geklappt.
Modem/Router ist ein Businessmodem und lies sich nicht konfigurieren.
Aktuell:
Internetanschluss wurde auf Dualpower umgestellt ( DSL und LTE ), der Aufbau soweit ein LTE-Router, und zwei DSL Router, alle aber nicht administrierbar.

So im Zuge der Umstellung wollte ich einen Unifi USG dazwischenhängen und den Anschluss auf NAT umstellen lassen um es zukünftig besser verwalten zu können.
Aktuelle IP-Verteilung sie Bild oben.
Was ich will ist eine VPN Verbindung einzurichten, dies würde ich am USG machen und habe ich auch erfolgreich schon bei einem anderen Netzwerk durchführen können ( bzw. überhaupt von außen erreichbar machen).
Im aktuellen Fall komme ich aber von außen nicht rein. Die Erste IP (was damals die öffentliche war ), geht gar nicht mehr, auf der IPextern.221 welche Provider Firewall managed sein soll, komme ich über die IP aufs Modeminterface, auf die IPextern.222 welche als NAT eingerichtet sein soll komme ich auf gar nix. Pingen lassen sich aber beide IP's.
VPN Verbindung bekomme ich aber keine zusammen.
Laut Internetprovider ist auf der IPextern.222 IP alles auf NAT geschalten und es sollte alles durchkommen.

Und jetzt steh ich dann irgendwie auf der Leitung. Kann es sein dass es einfach daran liegen dass das interne Subnetz auf 255.255.255.0 und das des Modem/Router auf 255.255.255.252 steht?

im UnfiController habe ich bei den WAN Einstellungen
IP Adresse die IPextern.222
Subnetz 255.255.255.252
Router IPextern.221

im LAN
Gateway 192.168.1.1/24
Subnetz 255.255.255.0

Ich habe keinen deut mehr an wie oder was es happert. Vielleicht hat wer einen Tipp für mich!? Vielen, vielen dank, sollte fragen offen sein, versuche ich natürlich diese noch zu beantworten.

mfg flomax

ok kurze info noch,
also von außen ist keine der drei öffentlichen ips erreichbar oder pingbar.
wenn ich "intern" auf einem client sitze, dann kann ich bei eingabe der öffentlichen ips pingen und zugreifen.
hmm

Wenn 'intern' alles funktioniert, aber du von außen nicht auf die Adressen draufkommst, liegts wohl daran dass die USG deine externen Pakete verwirft. Mit den Subnetzen hat das nix zu tun.

06.02.2020, 09:55 Uhr - Editiert von Kuzy, alte Version: hier

hmm, wie gesagt ich hab eine ähnliche konfig eigentlich am laufen und da klappt es mit der vpn verbindung und auch portforwarding für rdp, habe es hier dann mit den gleichen einstellungen probiert. mich macht das fertig, irgendetwas passt nicht, das ich sicher eine kleinigkeit und mich wurmt es dass ich nicht draufkomme

kann es den nicht mit Doppel-NAT zu tun haben? und ich muss eventuell eine statische route einstellen?

06.02.2020, 10:43 Uhr - Editiert von flomax, alte Version: hier

kann es den nicht mit Doppel-NAT zu tun haben?

Grundsätzlich nein, aber wenn du hier schreibst bei der einen IP kümmert sich der Provider um die 'Firewall', frage ich mich wie du da irgendwas konfigurieren möchtest?!

Aktivier mal die Remote-Administration (WAN) auf der USG, dann sollte diese ja über die öffentliche IP per HTTPS/SSH zu erreichen sein. Falls nicht, siehst du dann deine Zugriffe überhaupt im Log der USG?

06.02.2020, 14:59 Uhr - Editiert von Kuzy, alte Version: hier

noch mal zur verdeutlichung.
wir haben 3 öffentliche ip's zugeteilt, eine ip davon, ipextern.220 hat seit der umstellung keine funktion, also vergessen wir sie.
die zweite, ipextern.221
dirtte ipextern .222
je nachdem auf welchen LAN-Port des Modem/Routers des Providers ich unser internes Netzwerk an die "Außenwelt" anbinde, bekomme ich entweder IP .221, oder .222
Der Techniker damals beim Modem/Router damals die Einstellungen lt. seiner Aussage so eingestellt, dass wir wenn wir am Port 1 der für uns dann extern die IP .221 anzeigt, anstecken sind wir durch die Firewall des Modems/Router geschützt.
Hängen wir uns auf Port 2, wird uns extern die IP .222 angezeigt und wir wird alles durchgeroutet/NAT und wir müssen unsere eigene Firewall verwenden.

Ausschnitt aus der Logfile

Feb  6 15:09:30 USG kernel: [LAN_LOCAL-default-A]IN=eth1 OUT= MAC=01:00:5e:00:00:fb:58:e2:8f:28:87:bd:08:00 SRC=192.168.1.17 DST=224.0.0.251 LEN=143 TOS=0x00 PREC=0x00 TTL=255 ID=62514 PROTO=UDP SPT=5353 DPT=5353 LEN=123
Feb  6 15:09:30 USG kernel: [WAN_LOCAL-default-D]IN=eth0 OUT= MAC= SRC=xx.122.151.222 DST=224.0.0.251 LEN=114 TOS=0x00 PREC=0x00 TTL=255 ID=24172 DF PROTO=UDP SPT=5353 DPT=5353 LEN=94
Feb  6 15:09:30 USG kernel: [LAN_LOCAL-default-A]IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:9c:eb:e8:c2:44:7e:08:00 SRC=192.168.1.46 DST=192.168.1.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=8627 PROTO=UDP SPT=137 DPT=137 LEN=58
Feb  6 15:09:31 USG kernel: [LAN_LOCAL-default-A]IN=eth1 OUT= MAC=01:00:5e:00:00:fb:9c:eb:e8:c2:44:7e:08:00 SRC=192.168.1.46 DST=224.0.0.251 LEN=67 TOS=0x00 PREC=0x00 TTL=1 ID=6719 PROTO=UDP SPT=5353 DPT=5353 LEN=47
Feb  6 15:09:31 USG kernel: [WAN_LOCAL-default-D]IN=eth0 OUT= MAC= SRC=xx.122.151.222 DST=224.0.0.251 LEN=67 TOS=0x00 PREC=0x00 TTL=255 ID=24204 DF PROTO=UDP SPT=5353 DPT=5353 LEN=47

Meinst du unter Settings/Remote Access/ Enable Remote Access ?

sorry, aber das ist sowas von unverständlich beschrieben das einer Sau graust....

also jetzt Klartext, wie viele Router gibt's da jetzt, ist davon einer schon eine Art Firewall, wo genau ist da NAT konfiguriert, hat das USG eine offizielle IP, um welches VPN geht's überhaupt und lass alles was in der Vergangenheit mal war weg, das spielt jetzt keine Rolle
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

sorry, fürs komplizierte schreiben
es gibt
einen router A der ist nur für voip zuständig, hängt aber auf einer anderen leitung. --> also lass ich den weg an und für sich weg

dannn gibt es den gleichen router B nochmals der ist ans telefonnetz angeschlossen (dsl-leitung) sowie hängt an eben diesem router ein lte router C.

der router B wurde seitens provider so konfiguriert dass immer die bessere Verbindung gewählt wird ( meistens dann über das lte netz ). Wie gesagt auf diese router A/B/C kann ich aber nicht zugreifen und auch nichts verstellen.
jedenfalls ist an diesem router B unser netzwerk angeschlossen auf einem normalen LAN-Port
LANPORT 1 wäre es so konfiguriert --> NAT daher alles sollte durchgehen ( IP extern .222 )
LANPORT 2 --> Firewall aktiv seitens Provider ( IP Extern .221 )

Die Einwahl übernimmt aber der vom Provider gestellte Router, daher Bridge Modus nicht verfügbar.

Ich hab das ganze in einer ähnlichen Konfig woanders am laufen, der einzige unterschied, hier übernimmt der USG die Einwahl und der Provider-Router dient als Modem.

Es geht um eine direkte im Unif Controller erstellte VPN Verbindung (L2TP).

Der USG hat Intern die 192.168.1.1 und wenn ich von intern die IP extern .222 eingebe komme ich auf das Interface des USG

mfg

das ist noch immer großteils unverständliches Gefasel. Hol mal jemanden der sich entweder technisch auskennt oder dein Problem vernünftig darstellen kann. Ich nehme, so konfus ist auch dein Vorgehen beim Troubleshooting, daher klappt da nix

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

es tut mir leid wenn du dich nicht auskennst, aber viel mehr als bildlich den netzaufbau darstellen und dann auch noch beschreiben geht nicht. es müsste eigentlich verständlich sein, ich weiß nicht was du noch wissen willst, weil eben DU selbst nicht danach fragst...

jedoch ist das genau die antwort auf die ich schon gewartet habe, irgendwer kommt daher und sagt mir ich bin ein volldepp und kenne mich *TRÖT* aus und ich soll mir einen der sich besser auskennt suchen...

Welche IP hat das USG Extern? Ist der USG auf der neusten Firmware?

naja extern SOLLTE er über die .222 erreichbar sein. dies wird mir auch so bei den wan settings im controller angezeigt, daher das sollte passen.
als gateway ist aber im controller die .221 eingetragen
aber ich weiß nicht mehr wieso, das einrichten ist schon eine weile her, und es hat damals ein wenig gedauert bis es dann endlich lief, daher weiß ich nicht ob ich hier den gateway auf .222 ändern soll ohne mir wieder alles zu zerschießen

kann es einfach daran liegen:

setting - wan

ip adress 80.122.151.222
subnetz 255.255.255.252
router 80.122.151.221

von intern ist dann über die .222. der usg erreichbar, und auf .221 das modem

sollte ich dass eventuell auf ip adress 192.168.1.3 ( oder ähnlich )
subnetz belassen
router auf .222

nicht sollte, was ist der Zustand?
Du hast laut zeichnung einen Router vor dem USG, für mich heißt es der Router vor dem USG hat die Public IP.

der router B ( lt. Zeichnung MODEM/ROUTER ) ist von der .221 ip erreichbar
der USG ist über die .222 erreichbar hat daher auch diese öffentliche ip ( steht auch so in der wan anzeige )

der router b ist aber wie gesagt für die einwahl zuständig, und an diesem kann ich mich wie schon geschrieben auf einen von den zwei lan ports anhängen, je nachdem wo ich hänge habe ich unterschiedliche public IP's!!
die eine public ip sollte nat ( .222) sein und ich soll mich um die firewall kümmern, und die andere sollte durch den provider und deren firewall gemanaged werden.

ich gehe also davon aus dass am router b firewall bzw. dmz oder dergleichen eingestellt ist, kann ich aber nicht sagen weil ich da keinen zugriff habe ( passwortgeschützt )

kommst du von der USG ins internet?
kommst du vom internet aus auf die USG? (Ich meine nicht über den cloud key sondern direkt ip adresse port vom router für weboberfläche.

also wenn ich mich direkt am usg per ssh einlogge, dann kann ich darüber zb. google pingen, also ja!

von außen komme ich nicht auf die USG, bzw. auch nicht auf die controller software (diese läuft am win server)

"internet" sonst geht natürlich...

Also wenn "Router B" keine verbindungen zum USG zulässt, dann gibts wohl ein Problem auf "Router B"

Hallo!
Das, war eigentlich auch immer mein Ansatz, also Router B ( der des Providers ) blockt mich, jedoch hat mir der technische Kundendienst bei einer Nachfrage mitgeteilt dass alles durchgeleitet wird... aber gut, es bestätigt mich in meiner Annahme.

... ich versuche es einfach mal ...
Du hast eine öffentliche IP in deiner USG: 80.122.151.222
Wie die Route davor ist und über welches Medium die rennt - ist dem USG *#$$-egal
Auch wenn da 4 oder 5 Routen zusammen laufen macht das keinen Unterschied.

Bei einer solchen Kofiguration ist eine Firewall am Provider-Gerät extrem ungewöhnlich - max. für QoS oder um die Geschwindgkeit zu drosseln - aber sicher nicht um Verbinungen zu blockieren.

Ich gehe also davon aus, dass deine Konfiguration des VPN am USG nicht passt.
Der VPN Tunnel muss auf die Öffentliche IP Konfiguriert sein und in der Firewall des USG müssen auch eingehnede Verbindungen von "Allen" bzw. "Zulässigen" IPs erlaubt sein.
Welche zulässig sind kann man sich normalerweise konfigurieren.

Ich gehe davon aus, dass deine Firewall eingehende Verbindungen auf den VPN Port ablehnt (wenn diese aus dem Internet kommen) oder dass du versuchst dich auf "192.168.1.1" zu verbinden ... also eine im Internet mehrfach vorkommende Adresse ...

Sry ... konnte mich nicht zurück halten ... einfach aufhören hier zu lesen ...

Info ... weil es mich sonst nicht in Ruhe läßt:
Subnet: 255.255.255.252 => in Binär: *.11111100
Die Netzwerkgröße besteht aus 2 bit => 4 Adressen
Die erste Adresse ist die des Netzwerkes und kann nicht verwendet werden.
Die letzte Adresse ist die Broadcast-Adresse des Netzwerkes und kann nicht verwendet werden.
Du befindest dich also in einen Netzwerk mit genau 2 Teilnehmer.

Das ist Router B (221) und die USG (222).
Info Binär:
221 => 11011101
222 => 11011110
*.220 ... deine Netzwerkadresse ... die aber kein Gerät hat
*.223 ... Broadcastadresse ... auf welche der Router B und die USG sich theoretisch angesprochen fühlen solten, aber nicht tun.

Und noch eine Kleinigkeit ... weil du beide Schreibweisen verwendet hast:
IP/24 bedeuet: die ersten 24 Bit sind das Netzwerk die restlichen (8 Bit sind die Geräteadresse)
Also dass das Subnet: 255.255.255.0 ist ...
Es reicht also wenn du schreibst:
IP-Intern: 192.168.1.1/24
IP-Extern: 80.122.151.222/30
Da steht die Submask schon drinnen.

Hallo,
vorab danke dass du dir die Zeit genommen hast für deine lange Antwort, und ja ich hab sie bis zum Schluss gelesen

Eigentlich habe ich die VPN Verbindung gleich wie an einem anderen Standort eingerichtet, hier funktioniert alles problemlos mitsamt den gleichen Firewalleinstellungen. Ich werde das ganze aber nochmals überprüfen, bzw. anstatt des USG mit einem anderen Device. Mal schauen wie dann das Ergebnis aussieht.

mfg

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung