Verfasst am: 24.10.2006 01:07 Titel: DI-304 NAT-Einstellungen, hier OPEN PORTS SETUP
Betreffende Geräte (incl. Hersteller-, Hard- und Firmware Versions Angaben): DI-304 FW:2.1; DI-624+ FW:1.22 B23
Betreffender WLAN-Client Adapter (incl. Hersteller-, Hard- und Firmware Versions Angaben):
Welche WLAN-Verschlüsselung ist aktiviert?: Es ist kein WLAN vorhanden!
--------------------------------------------------------------------------------------------------------------------
Betriebssystem & ServicePack: Windows XP Professionel SP2 / Windows 2000 SP4
I-Net Browser: Firefox 1.5.0.7
--------------------------------------------------------------------------------------------------------------------
Provider & Zugangsart: Versatel ISDN 64K
MTU-Wert im Router:
MRU-Wert im Modem/Modem-Router:
VPI-Wert im Modem/Modem-Router:
VCI-Wert im Modem/Modem-Router:
--------------------------------------------------------------------------------------------------------------------
Ist eine Software-Firewall vorhanden (auch wenn deaktiviert)?: Ja, nur die von XP SP-2 ist aktiv
Software-Firewall: Nein
--------------------------------------------------------------------------------------------------------------------
Ist Filesharing im Einsatz?: Nein
Filesharing-Programm u. Vers.:
--------------------------------------------------------------------------------------------------------------------
Wie bezeichnest Du Deinen LAN/WLAN Wissensstand?: Einsteiger (= ich habe noch keinen bzw. schon mal einen PC an das Internet angeschlossen)
--------------------------------------------------------------------------------------------------------------------
Was hast Du gemacht und/oder installiert, bevor das Problem aufgetreten ist?:
Vor dem Auftreten des Problems gab es keine Soft-/Hardwareänderung, kein Wechsel des Betriebssystems oder Down-/Upgrade der Firmware
Was hast Du bereits versucht, um das Problem zu lösen?:
Deaktivierung der ersten OPEN PORTS Reservierung in der NAT
--------------------------------------------------------------------------------------------------------------------
Und hier nun meine detailierte Fehlerbeschreibung und Nachricht:
Moin, Moin aus dem Norden,
Kurze Konfigurationsbeschreibung: DI-304 mit Flatrate ISDN 64K (danke an die Telekom für KEIN DSL), daran hängt im Untergeschoss ein 3COM Access Point 11MBit, im Obergeschoss ein DI-624+ mit 54MBit.
Ein PC im Obergeschoss muss auf eine spezielle Seite/Software im Internet zugreifen, die spezielle Ports verwendet. Diese habe ich vor ewigen Zeiten im DI-304 im Menü NAT / OPEN PORTS für den PC eingerichtet, Status steht auf v (aktiv). Zugriff auf die Seite habe ich von dem oberen PC wahlweise über WLAN (3Com oder DI-624+) oder über die Ethernet-Ports des DI-624+. Über WLAN war vor einem Jahr nur ein Test, im Dauerbetrieb läuft die Verbindung natürlich über RJ45. Soweit, so gut.
Jetzt benötige aus verschiedenen Gründen einen weiteren PC im Obergeschoss, der auf diese Software im Internet zugreift. Also habe ich brav den DI-304 konfiguriert und die gleichen Ports freigeschaltet wie für das erste Gerät. Status zeigt auch v für aktiv an. Nur ist ein Zugriff über den zweiten PC nicht möglich.
Mehrere Versuche, ob Umschalten auf WLAN des DI-624+ oder des 3Com und ähnliches brachten keinen Erfolg.
Folgendes konnte ich aber feststellen: Gebe ich dem ersten PC, der bisher erfolgreich lief, die statische IP des zweiten, kann auch er sich nicht mehr verbinden. Gebe ich ihm seine alte, ist alles wieder OK. Gebe ich ihm die neue IP und deaktiviere im DI-304 die erste PORT Reservierung, sodass nur noch die zweite (neue) aktiv ist, funktioniert wieder alles.
Frage von daher: Liest der DI-304 nur die erste OPEN PORT Reservierung und ignoriert alle weiteren ?
Alle Versuche dahingehend, auch Hinzunahme eines Laptops etc, zeigen, das immer nur das Gerät, welches die IP der ersten aktiven OPEN PORT Reservierung hat, die Anwendung im Internet ausführen kann.
Hat jemand dazu einen Workaround ?
Es ist leider nicht möglich, ein ganzes Netzwerk durch Eingabe einer 0 als vierte Ziffer zu aktivieren, jede private IP muss einzeln eingegeben werden. Versuche mit DHCP und einer unendlichen Lease brachten auch keinen Erfolg, es wird weiterhin nur die erste aktive PORT Reservierung beachtet.
Ein Firmwareupgrade auf FW2.2 beim DI-304 ist leider nicht möglich, da ich die VTA-Funktion des DI-304 für Fax und SMS benötige, wobei ich auch nicht weiss, ob der in Bezug auf mein Problem etwas bringen würde.
Anmeldungsdatum: 08.01.2005
Beiträge: 5465
Wohnort: Berlin
Verfasst am: 24.10.2006 08:05 Titel:
Woody hat folgendes geschrieben: Also habe ich brav den DI-304 konfiguriert und die gleichen Ports freigeschaltet wie für das erste Gerät. Status zeigt auch v für aktiv an. Nur ist ein Zugriff über den zweiten PC nicht möglich.
Das kann so auch nicht gehen. Eine Portweiterleitung kann immer nur auf eine interne IP gesetzt werden. Wie soll den der Router bei einer eingehenden Anfrage auf einen bestimmten Port unterscheiden ob er die interne IP "A" oder "B" ansprechen soll?
Deshalb wird die erste Regel verwendet und die zweite wird ignoriert.
Woody hat folgendes geschrieben: Ein PC im Obergeschoss muss auf eine spezielle Seite/Software im Internet zugreifen, die spezielle Ports verwendet.
Wieso eine Portregel für ausgehenden Datenverkehr? Alles was aus dem internen Netz eine Anfrage nach draussen (externes Netz) stellt wird doch von der NAT des Routers ohnehin erlaubt und rausgelassen.
Mich würde es nicht wundern wenn Du alle Regeln löscht und der Zugriff trotzdem funktioniert. Und zwar mit beiden Geräten.
Das macht Sinn, das der Router nicht weiss, an welchen PC er eine eingehende Anfrage leiten soll, es sei denn, der PC selbst hätte eine losgeschickt und dazu eine Antwort erhalten. Die sollte er dann schon an den richtigen PC weiterleiten.
Die Router-interne Hilfe sagt dazu "Only one computer on your LAN can use each Index." D.h. in jeder Index-Zeile kann auch nur ein PC angesprochen werden. Soweit so gut. In jedem Index kann ich bis zu 10 Einträge vornehmen. Wozu gibt es dann überhaupt die Möglichkeit, mehrere Indexe zu befüllen, wenn sowieso nur der erste gelesen wird?
Es geht dabei nicht um den ausgehenden Datenverkehr (habe ich mich falsch ausgedrückt), die Anwendung antwortet auf bestimmten Ports, und die werden auf der 2ten IP geblockt. Ein Löschen aller Regeln bewirkt, das kein PC mehr mit der Anwendung arbeiten kann (gerade nochmal zur Sicherheit ausprobiert).
Eine Möglichkeit ist es, auf dem 1sten PC ICS einzuschalten und den zweiten crossed anzuschliessen, würde aber erfordern, das der 1ste immer läuft. Nicht der Hit. Habe ich gerade dennoch probiert, funktioniert zumindest.
Anmeldungsdatum: 08.01.2005
Beiträge: 5465
Wohnort: Berlin
Verfasst am: 24.10.2006 17:57 Titel:
Woody hat folgendes geschrieben:
Das macht Sinn, das der Router nicht weiss, an welchen PC er eine eingehende Anfrage leiten soll, es sei denn, der PC selbst hätte eine losgeschickt und dazu eine Antwort erhalten. Die sollte er dann schon an den richtigen PC weiterleiten.
Falsch.......Die Anfrage geht nicht mit der internen IP auf Reisen sondern mit der externen WAN-IP. Und die ist für alle hinter dem DSL-Anschluss gleich.
Woody hat folgendes geschrieben: Die Router-interne Hilfe sagt dazu "Only one computer on your LAN can use each Index." D.h. in jeder Index-Zeile kann auch nur ein PC angesprochen werden. Soweit so gut. In jedem Index kann ich bis zu 10 Einträge vornehmen. Wozu gibt es dann überhaupt die Möglichkeit, mehrere Indexe zu befüllen, wenn sowieso nur der erste gelesen wird?
Du kannst schon mehrere Regeln hintereinander schreiben die auch alle einwandfrei arbeiten. Aber eben für eine interne IP nur eben diesen Port. Eine Mehrfachvergabe ist nicht möglich das hatte ich oben schon erklärt.
Woody hat folgendes geschrieben: Es geht dabei nicht um den ausgehenden Datenverkehr (habe ich mich falsch ausgedrückt), die Anwendung antwortet auf bestimmten Ports, und die werden auf der 2ten IP geblockt.
Das wird, so sehe ich das im Moment nicht geblockt, sondern ignoriert da der Port per Regel auf ein andere IP weist.
Woody hat folgendes geschrieben: Ein Löschen aller Regeln bewirkt, das kein PC mehr mit der Anwendung arbeiten kann (gerade nochmal zur Sicherheit ausprobiert).
Jetzt werde ich langsam neugierig. Was ist den das für eine Anwendung?
OK, hier war mein Verständnisfehler.
Ein (ein) OPEN PORT nur für eine IP möglich, nicht für mehrere. Für die zweite oder folgende IP kann ich aber andere Ports öffenen.
Daraufhin habe ich in etwas mit der PORT REDIRECTION herumexperiementiert und für den zweiten PC andere Ports definiert. Und siehe da, es funktioniert tadellos.
Vielen Dank für deine Hilfe, ohne die ich auf meinem Verständnisfehler sitzen geblieben wäre.
Die Anwendung ist eine Art web-basierte Finanzsoftware, für die ich mich über einen RAS-Server in das Intranet unsere Institution einwählen muss. Mehr möchte ich dazu nicht sagen.
Hallo,
vielen Dank für deine Rückmeldung und schön zu hören, dass es nun funktioniert.
Hiermit ist dann auch dieser :closed:
Und wenn du mit unserem Support zufrieden warst, kannst du dir auch mal diese Seite anschauen.
Anmeldungsdatum: 08.01.2005
Beiträge: 5465
Wohnort: Berlin
Verfasst am: 25.10.2006 08:04 Titel:
Woody hat folgendes geschrieben:
OK, hier war mein Verständnisfehler.
Ein (ein) OPEN PORT nur für eine IP möglich, nicht für mehrere. Für die zweite oder folgende IP kann ich aber andere Ports öffenen.
Daraufhin habe ich in etwas mit der PORT REDIRECTION herumexperiementiert und für den zweiten PC andere Ports definiert. Und siehe da, es funktioniert tadellos.
Vielen Dank für deine Hilfe, ohne die ich auf meinem Verständnisfehler sitzen geblieben wäre.
Die Anwendung ist eine Art web-basierte Finanzsoftware, für die ich mich über einen RAS-Server in das Intranet unsere Institution einwählen muss. Mehr möchte ich dazu nicht sagen.
Nochmals danke.
Woody
@Woody
Das kommt nicht oft vor das jemand seine Gedankenfehler offen eingesteht. Dafür gibt es ein
Telefon Support
|
