One-to-One Mapping

Hi

Hab folgende Konfig:

Internet
|
WLAN-Router->FBR-1417TX->LAN
|
WLAN

Der WLAN Router geht übers eingebaute Modem ins I-Net
Daran können sich Notebooks per WLAN anbinden
Der Levelone FBR-1417TX WAN-Anschluss hängt am einzigen LAN-Anschluss des WLAN-Routers
Static IP ist am 1417TX eingestellt
WLAN 192.168.1.x
LAN 192.168.2.x

FW/Port Forwarding ist auf beiden eingestellt
Routing vom 1417TX geht auf WLAN Router

Netze hängen somit schön getrennt und WLAN kann nicht auf LAN zugreifen.
Alles funktioniert eigentlich gut, ausser dass halt ein PC aus dem WLAN Subnetz nicht auf das LAN und umgekehrt zugreifen kann.

Ich will dies aber 2 speziellen erlauben.

Jetzt die Frage:

Der 1417TX hat die Möglichkeit:

„Virtual Computers" ermöglicht Ihnen die Nutzung des originalen NAT-Features und die Einrichtung des One-to-One Mappings einer Vielzahl von globalen und lokalen IP-Adressen.

Kann ich darüber dies ermöglichen, ohne die Sicherheit des LANs einzuschränken ?
Es soll halt nur der definierte PC von 192.168.1.x auf 192.168.2.x zugreifen können.

Beste Grüsse
ppm007

Ich verstehe zwar nicht so genau was du eigentlich fragen willst, aber ich kann die sagen was dieser „Virtual Computers" ist. Mit Virtual Computer ist ziemlich sicher das selbe gemeint wie DMZ. Und ein DMZ (Demilitarized Zone = Entmilitarisierte Zone bzw. zu deutsch "ungesicherte Zone") ist ein Rechner im Lan den du in der NAT (indirekt in der Firewall) deines Routers festlegst an den alle Pakete vom Internet weitergeleitet werden für die es intern von einem deiner PCs keine Anfrage gab. D.h.: Im Normalfall wird bei deinem Router vom PC1 z.B. die Internetseite www.powerforen.de angefordert. Wenn nun dein Router die Seite beim Server von powerforen anfordert und der Server von powerforen dann die Seite liefert weis dein Router genau das PC1 die wollte. Das ist grob die NAT-Funktion eines jeden Routers. Wenn nun jedoch von extern z.b.: von meinem FTP-Client dein Router angesprochen wird guckt der in seiner NAT-Tabelle nach und sagt: Momentmal, von dir hat ja garkeiner was angefragt! Also: Du kummst hier nicht rein ;-) Wenn du nun aber deinen DMZ bzw. Virtual Computer gesetzt hast (z.B.: 192.168.2.50) dann sagt dein Router: Du, dich hat zwar keiner angefordert, aber der 192.168.2.50 nimmt ja alles <hehe> ;-)
Und somit wird alles was extern ankommt und nicht von einem anderen PC angefordert wurde an den DMZ / Virtual Computer / Virtual Server und was auch immer sich die Industrie hierfür noch für Namen ausgedacht hat weitergeleitet.
Das heißt aber im Rückschluss das ein DMZ sozusagen unter "Dauerfeuer" aus dem Inet steht da ja jeder Scheiß (Portscan, Trojanerangriff, DOS-Atacke, Virusangriff, usw...) an diesen weitergeleitet wird. Wenn der DMZ nun nicht sauber gepatcht ist und keine eigenen Firewall hat ist der schnell Platt, infiziert oder übernommen. Also Finger weg von dieser Funktion!
Wenn du nun über das Internet einen Dienst anbieten willst so das du z.B. von einem anderen PC aus auf deinen FTP-Server zugreifen kannst, dann nutze lieber ein gezieltes Portforwarding für die Ports die du wirklich benötigst!

So, ich hoffe das hilft dir weiter sonst hätte ich mir die Finger umsonst wund geschrieben...

Hi LoboNr1

Danke für Deine ausführliche Antwort

Das One-to-One-mapping hat den Sinn, dass ich vom WLAN aufs LAN zugreifen kann.
Ich dachte der Unterschied zur DMZ ist, dass trotzdem Firewallregeln gelten.
Der Router kann auch noch einen DMZ Host verarbeiten.

Wenn ich einen PC aus dem LAN als Virtuellen Server angebe, dann funktioniert kein NAT über diesen Router mehr. Eigentlich klar, da er ja eine IP aus der "WAN-Seite" hat. Aber NAT braucht er dann ja auch nicht.

Der Router, der das Mapping macht hängt über einen 2.Router am Internet.
Also von daher wärs kein Problem, da der 2.Router das böse Internet "blockt".
Von draussen dürfte doch keiner an die IP des LAN PCs kommen, da der 2.Router nattet.

Ich frage, ob ich einen Fallstrick übersehen habe bei dieser Konfiguration.

Der Vorteil dieser Konfig ist, dass ich das Mapping nur öffne, wenn ichs brauch und sonst das LAN vom WLAN abgeschirmt.

Beste Grüsse
ppm007

P.S.: kleine Korrektur: LAN kann schon auf WLAN-PCs zugreifen

Wenn ich das richtig verstehe hast du einen Router als Gateway zum Internet und einen Router um dein LAN, dein Gateway (den Internetrouter) und dein Wlan zu verbinden!? Richtig? Und nun willst du das Wlan und das LAN via der Firewall des Wlan-Routers sicher trennen?

Und nun willst du das Wlan und das LAN via der Firewall des Wlan-Routers sicher trennen?

Zum Vergrößern anklicken....

via FW des Routers

WLAN Router schützt vorm bösen Internet.

Beste Grüsse
ppm007

ppm007 schrieb:

via FW des Routers

WLAN Router schützt vorm bösen Internet.

Beste Grüsse
ppm007

Zum Vergrößern anklicken....

Also stimmt meine Annahme nun oder nicht? Ein einfaches Ja oder Nein bringt meist weniger Missverständnisse <hehe>

Hi LoboNr1

Fast richtig

Tausch

via der Firewall des Wlan-Routers sicher trennen

mit

via Firewall des Routers (LAN) sicher trennen

Dann passts

Beste Grüsse
ppm007

Verstehe ich nicht. Mal ma ne Anschlussskizze was wo per Kabel oder Funk angeschlossen ist inklusive Geräte / PCs...

Skizze ist eigentlich ganz oben im 1.Thread

Internet - WLANRouter (WLAN-PCs+LANRouter) - LANRouter (LAN-PCs)

Beste Grüsse
ppm007

OK, wie / an welchen Anschlüssen hast du den LAN-Router (das ist der letzte!?) an den Wlan-Router (der am Internet hängt) angeschlossen?

Er hängt völlig alleine dran

Das sagt mir leider garnichts!

Dein WLAN-Router, hat der einen Hub/Switch drin an dem der LAN-Router hängt oder hat der nur einen Anschluss (RJ45 / LAN) für deinen LAN-Router? Und wo ist dann das Kabel in den LAN-Router eingesteckt? In den Hub/Switch deines LAN-Routers oder an der Buchse WAN deines LAN-Routers? Hat dein LAN-Router ein DSL-Modem eingebaut oder nicht?

Hi LoboNr1

WLAN-ROUTER_LAN - Kabel - ROUTER_WAN

ppm007 schrieb:

Hi LoboNr1

WLAN-ROUTER_LAN - Kabel - ROUTER_WAN

Zum Vergrößern anklicken....

Schon klar! Nur in welche "Dosen" hast du das Kabel an welchem Gerät gesteckt und hat der Router (nicht der WLAN-Router) ein eingebautes DSL-Modem oder nicht?

Nur der WLAN Router hat ein Modem

Internet - WLAN_WAN x WLANROUTER x WLAN_LAN - ROUTER_WAN x ROUTER x ROUTER_LAN - PC

Aber wir kommen glaub ich am Thema vorbei.

Hab jetzt mal Portscans aus dem LAN und WLAN gemacht.

So wie es aussieht lässt die Funktion Virtuelle Computer (VC) alle Anfragen aus dem WLAN (nicht aus dem Internet) auf das LAN durch. Irgendwie auch logisch, da ja nur die IP gemapt wird und somit der VC jetzt eine IP des WLANs hat.

Ich glaub jetzt hab ich den Sinn auch verstanden:
DMZ lässt alles aus dem WAN zu, das auf die IP des WAN geht.
VC lässt alles aus dem WAN zu, das auf die IP des VC geht.

Der VC kann über Inbound-Packetfilter geschützt werden.
Aber jetzt wirds für mich zum komplex.

Ich schalt den VC halt nur ein, wenns nötig ist.

@LoboNr1: Danke für Deine Beteiligung

Beste Grüsse
ppm007

Bitte