IP-Alias NAT Full Range TCP/UDP - Problem

[almo]

Hallo Zusammen,

ich hab ein Problem, was ich nicht ganz verstehe oder vielleicht auch falsch mache.

Ich besitze ein öffentliches IPv4 WAN-Netzwerk /24 und hab eine IP-Alias auf dem WAN-Interface angelegt.

Ich möchte jetzt von diesem IP-Alias alle Ports TCP & UDP an das Ziel weiter leiten.

Ich hab ein 1:1-NAT versucht da hat garnichts reagiert.

Ich hab eine Port Alias erstellt von 1:65535 und in eine normale NAT-Regel gesteckt. Alles was TCP ist funktioniert wunderbar. Alles was UDP ist nicht. Obwohl beim NAT IPv4 TCP/UDP angegeben ist. Auch die Regel zu trennen also eine NAT TCP ein NAT UDP bringt keinen erfolg.

Kurz gesagt ich such die option eine Expressfreigabe wie man Sie aus der fritz.box kennt mit alles von der einen IPv4 Adresse des Alias an das Ziel egal ob TCP oder UDP.

Was mach ich falsch?

[micneu]

darf ich fragen bei welchem provider du ein Komplettes /24 netz auf deinem WAN bekommst, die meisten provider sind doch schon am zögern wenn man einen /29 haben will?

[almo]

Eigentlich hätte ich ja auch gerne etwas hilfe zu meiner Frage :)

Aber ja klar darfst du, ich hab zu einer Zeit wo Colocation im RZ noch eine andere Hausnummer war und IPv4 Adressen noch nicht knapp waren eine /24 Netz zum fixen Monatspreis bei Level 3 eingekauft. Und das hab ich seit dem "behalten" bei gleichem Preis. Manchmal lohnen sich entscheidungen aus den 2000er immer noch.

[Patrick M. Hausen]

Hast du bei der NAT Port Forward Regel auch bei Filter rule association "Pass" ausgewählt?

[almo]

Hast du bei der NAT Port Forward Regel auch bei Filter rule association "Pass" ausgewählt?

Folgende Versuche:

1. NAT erstellt automatisch eine Firewallregel -> kein erfolg bei UDP
2. NAT steht auf "Erlauben" -> kein erfolg bie UDP

Die NAT Regel tut auf TCP wunderbar, nur UDP nichts ...

[Patrick M. Hausen]

Zwei getrennte Regeln? Vielleicht kriegt die Firewall das nicht gebacken für beide Protokolle in einer?

[almo]

Zwei getrennte Regeln? Vielleicht kriegt die Firewall das nicht gebacken für beide Protokolle in einer?

Auch schon versucht, kein Erfolg. Selbst mal nur eine NAT-Regel nur auf UDP auf einen Fixen Port 161 kommt am Host nichts an. Auch finde ich nichts im Log oder ich schau falsch, warum die FW hier blocken würde.

[Patrick M. Hausen]

Wie genau sieht die NAT Regel aus?

[almo]

Siehe Anhang.

Interface: WAN /24-Netz

Ziel den IP-Alias IP-Adresse/32 der auf dem WAN sitzt bzw angelegt ist.
Da drin befindet sich ein Alias der Port 1:65535 und der selbe Alias ist auch beim NAT Ziel im Einsatz.

TCP: Läuft
UDP: Nix

Die Filter Rul hat die FW selbständig beim ersten Abspeichern der NAT-Regel erstellt. Auch das auf Erlauben um zu stellen bewirkt nur TCP und UDP nichts.


Oder anders gefragt wie würdet Ihr eine Nat Regele bauen die alles was auf einer bestimmte WAN IP aufläuft 1:1 ans Ziel übergibt egal ob TCP oder UDP.

[Patrick M. Hausen]

Und wie sieht die Rule aus, die du assoziiert hast?

[almo]

Und wie sieht die Rule aus, die du assoziiert hast?

Aus dem WAN:

Code Select Expand

IPv4 TCP/UDP * * 192.168.115.100 akquinetMGM * *

[Patrick M. Hausen]

Da muss die externe IP-Adresse als Ziel stehen, nicht die Redirect-Adresse.

[almo]

Da muss die externe IP-Adresse als Ziel stehen, nicht die Redirect-Adresse.

Okay, dann frage ich mich aber warum alle meine anderen NAT Regeln so funktionieren? Ist das TCP egal. Oder wie ist da eigentlich best way? NAT auf erlauben stellen und selber ne Regel bauen?

Ich werde das auf jedenfalls mal probieren ....

[almo]

Da muss die externe IP-Adresse als Ziel stehen, nicht die Redirect-Adresse.

Funktioniert leider auch nicht. Wie kann ich den per Dump feststellen ob das UDP Paket überhaupt durch geht oder wo es evtl gedroppt wird.

[Patrick M. Hausen]

Naja, einmal tcpdump auf dem externen, und einmal auf dem internen anwerfen. Z.B. in zwei separaten Terminal-Fenstern per SSH ...