Portforwarding/ Routing Digitalisierungsbox Smart

B

Bademeister

New member
Hallo zusammen,
ich habe 2 IP Adressbreiche 192.168.2.xxx und 192.168.0.xxx
ich will ein VNC Server erreichen der die 192.168.0.30 hat aus dem IP breich der 192.168.2.xxx
z.b. alles was auf 192.168.2.99 ankommt soll nach 192.168.0.30 für VNC sollte auch nur Port5900 reichen.
Es soll nicht aus dem Internet/öffentlich erreichbar sein, lediglich nur intern alles auf die 0.30 weiterleiten.
Leider komme ich mit den Nat und Portregeln nicht weiter oder bin zu doof dazu ;)
Kann mir jemand kurz erklären wie ich die Weiterleitung genau einstellen kann auf einer Digitalisierungsbox Smart

Vielen Dank im vorraus
 
Mit Deinen Angaben allein kann man Dich schlecht beraten.
Du müsstest schon etwas dazu verraten, wie Du diese beiden Subnetze aufgebaut hat.
Hast Du zwei Router? Oder einen Layer-3 Switch?
 
Es ist ein Router, es gibt mehere Geräte die feste IPs habe unter 192.168.2.xxx und GEräte unter 192.168.0.xxx alle mit fester IP
Ich möchte lediglich mit einem Smartphone das in 192.168.2.xxx auf den VNC zufgreifen der die 192.168.0.30 hat.
 
Vermutlich gibt es hier keine wirkliche Netztrennung, außer, dass expliztit ein paar Feste IPs in einem anderen Bereich vergeben wurden.
Dann reicht es wahrscheinlich schon den Client mit Subnetzmaske 255.255.0.0 laufen zu lassen?
 
Es gibt keine Netztrennung, fürher hatte ich ein Server mit netsh. das war kein Porblem und sollte auch jetzt einfach lösbar sein
 
Barungar schrieb:
wie Du diese beiden Subnetze aufgebaut hat.
Zum Vergrößern anklicken....
Das "wie" dürfte entscheidend sein, daher hat @Barungar auch danach gefragt 🙃 Einfach "nichts" am Router konfiguriert und den Geräten statische IPs aus verschiedenen Bereichen gegeben, die Router-Interfaces einzeln konfiguriert (Netzbereiche/ggf. Bridges), worüber die Geräte dann angeschlossen sind?
 
Bademeister schrieb:
Es gibt keine Netztrennung
Zum Vergrößern anklicken....
Wenn es keine Netztrennung gibt, bleibt da eher nur 2 Optionen... a) der zugreifende Client muss IPs aus "beiden" Netzen haben, oder b) ein anderes Gerät im Netz spielt "Router" und hat Zugriff auf beide Netze. Der Client müsste dann über dieses Gerät gehen, damit er Zugriff auf den anderen IP-Bereich bekommt.

Eine andere - nicht schöne - Lösung wäre natürlich noch, dass man die Subnetzmaske anpassen könnte, damit beide IP-Kreise innerhalb des gleichen Subnetzes liegen. Das wäre bei 0 und 2 dann halt /22 (aka 255.255.252.0).

/24 = 192.168.0.0 (255.255.255.0)
/23 = 192.168.0-1.0 (255.255.254.0)
/22 = 192.168.0-3.0 (255.255.252.0)

Besser wäre es aber die Netzbereiche sauber zu trennen (via Router-Interfaces), dann kannst Du da auch entsprechende Firewall-Regeln definieren.

Bademeister schrieb:
fürher hatte ich ein Server mit netsh. das war kein Porblem und sollte auch jetzt einfach lösbar sein
Zum Vergrößern anklicken....
"netsh" ist ein Netzwerk-Konfigurations-Tool unter Windows. Mag sein, dass da o.g. Variante "B" mit umgesetzt wurde. Dann bleibt es aber auch dabei - Du brauchst dann irgendwas im Netz, was auch beide Netze kennt.
 
Bademeister schrieb:
Es ist nicht konfiguriert es sind wie vermutet einfach verschieden IP adressen vergeben. subnet ist gleich
Zum Vergrößern anklicken....
Nein, das ist falsch. Das Subnetz ist verschieden! Was gleich ist, ist die Subnetzmaske.
Du brauchst aber für jedes dieser Subnetze ein Standard-Gateway (Router), das im gleichen Subnetz ist.
Dieser Router könnte dann zwischen den beiden Subnetzen vermitteln.
 
Kann man halt "irgendwie" machen, oder halt richtig (letzteres wäre allein schon aufgrund des Lerneffekts nicht verkehrt), dazu einen Blick ins Handbuch werfen, dabei einen Blick auf folgende Punkte (und Unterpunkte) werfen:

- 7.1.2 (Schnittstellenmodus / Bridge-Gruppen)
- 11.1 (Physikalische Schnittstellen)
- 11.2.1 (Ethernet-Ports)
- 11.3.1 (Routen) [... mal drüber schauen, sollte aber eigentlich alles direkt funktionieren, von daher nur zwecks "Info"]
- 11.3.3 (NAT) [... falls Du da was für das 2. Netz nachziehen musst, da kann man aber ggf. noch später drüber reden]
- 11.7 (Firewall) [... damit Du auch von einem ins andere Netz darfst bzw. bestimmt, wer wie wohin darf]

Dazu ggf. für das zusätzliche Netz noch die üblichen Dinge wie DHCP/DNS konfigurieren, aber erstmal würde eine "saubere" Trennung durchaus Sinn machen.
 
D.h. is muss erstmal sehen das ich die beiden Netzwerke Physikalisch voneinander Trenne und nur über die Ethernetports an der Digitalisierungbox verbunden sind.? und dann die entprechenden Schnitstellen und Routen etc einrichten?
 
Korrekt... in erster Instanz würdest Du halt hingehen und bestimmte Ports vom Rest lösen. Um das jetzt mal ganz einfach auszudrücken:

So eine Bridge - ganz grob formuliert - agiert wie ein "Verteiler" (bzw. Switch). Dieser Bridge zuwiesen sind zum einen die derzeitige IP vom Router, als auch physikalische Ports. Heisst - egal was Du da wo ansteckst, Du landest auf diesem Verteiler und alles an diesem Verteiler kann den Router auch über seine aktuelle IP erreichen.

Jetzt kommt es halt darauf an, was Du wie regeln möchtest. Du kannst z.B. einen Port (z.B. den letzten) aus der aktuellen Bridge rausnehmen (vermutlich sowas wie "br0"), eine neue Bridge erstellen (z.B. "br1") und vorher gelösten Port dieser Bridge zuweisen. Damit ist das Ding erstmal komplett eigenständig. Steckst Du dort etwas an, wird es nicht mehr mit dem Rest des Netzwerks kommunzieren können. Es geht aber auch nix raus, nix rein, aber wie sollte es - zu diesem Zeitpunkt - auch. Somit brauchst Du dort auch noch eine IP für den Router. Ebenso Dinge wie DHCP und DNS. Dazu kommt dann ggf. noch NAT (damit Pakete ins Internet auch mit der WAN-IP des Routers maskiert werden). Damit hättest Du dann erstmal den Status Quo erreicht - 2 getrennte Netze, verhält sich dann "ein bisschen" wie 2 einzelne Router (mal ganz grob formuliert), da die beiden Netze noch immer nicht miteinander reden können.

Dann bist Du allerdings auch an dem Punkt, wo Du Dein "eigentliches" Vorhaben umsetzen kannst. Wenn alles steht, kannst Du halt hingehen und gewissen Traffic zwischen diesen beiden Netzen erlauben. Ich kenne nun die Firewall der Digitalisierungsbox nicht, aber halt mal so ganz grob etwas in die Richtung:

Quelle: 192.168.2.0/24
Ports: 5900-5905
Protokoll: TCP
Ziel: 192.168.0.30/32
Aktion: Erlauben

Habe beim VNC mal ein paar Ports mehr mitgegeben... So erlaubst Du dann dem gesamten 2er Netz den Zugriff über die entsprechenden Ports via TCP auf den einzelnen (VNC)-Host.

Dazu muss man sich halt auch überlegen, was in welche Netze soll und wieviele physikalischen Ports man dazu benötigt. Wenn Dein VNC-Server der einzige Host in dem anderweitigen Netz ist, kann man das sicherlich einfach über einen einzigen Port am Router lösen. Sind aber mehrere Geräte in dem Netz, brauchst Du mitunter auch mehrere Ports. Nun kann man vom Router z.B. noch mehrere Ports auf die 2. Bridge legen, oder man schliesst an dem einen umkonfigurierten Port einfach noch einen kleinen (oder grösseren) Switch an.

EDIT: Zusätzliche Routen musst Du übrigens "nicht" eintragen, der Router weiss schon, was da an welcher Schnittstelle ist, solange er "direkt" damit verbunden ist. Hättest Du nun z.B. einen "Server" irgendwo im Netz und dieser spannt "hinter" sich (z.B. via 2. NIC) noch ein anderes Netz aus, vom welchem der Router wiederum nichts weiss, müsstest Du dem Router dann halt sagen, dass sich hinter der Server-IP (aus dem gemeinsamen Netz wo sich Router und Server befinden) noch ein zusätzliches Netz befindet. Das ist aber nochmal ein anderes Thema.

EDIT2: Probier das o.g. vielleicht erstmal mit einem ungenutzten Port am Router (sofern vorhanden) aus :)
 
Vielen Dank für die Antworten, macht Sinn und es sollte machbar sein alles zu trennen. Ich werde das die nächsten Tage versuchen und melede mich mit dem Ergebniss.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 140 (Mitglieder: 3, Gäste: 137)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.661
Beiträge
63.891
Mitglieder
6.915
Neuestes Mitglied
Butzi49

Teilen

Zurück
Oben