Routing in ein VLAN vs routing in anderes IP Netz?

[Gu4rdi4n 58]

Hi,

 

ich habe eine Firewall mit mehreren Interfaces.

 

Auf ETH0 steckt ein LTE Router (192.168.1.0 / 24)

auf ETH3 VLAN 1 läuft unser "Hauptnetz" (10.10.0.0/16)

auf ETH3 VLAN100 läuft unser VoIP netz (10.11.0.0/16)

 

Jetzt zur dau frage.

 

Wenn ich eine Route von ETH 3 zu VLAN100 erstelle brauche ich kein NAT und komme auf alle weboberflächen

 

Wenn ich eine Route von ETH3 zu ETH0 erstelle, brauch ich NAT um auf die Oberfläche des Routers zu kommen. 

 

Warum? Ich stehe gerade wirklich auf dem Schlauch und weiß auch nicht nach was ich suchen soll.

[falkebo 21]

Grüß dich @Gu4rdi4n,

 

zunächst muss man hier ein paar Dinge klar voneinander differenzieren.

NAT spielt (in der Regel) erst dann für dich eine Rolle, wenn deine Pakete den Router verlassen.
Ein Router kennt seine angeschlossenen Netze (du musst ja vorher auch die Interfaces konfiguriert haben), dementsprechend müssen keine Routen manuell eingetragen werden.
 

Jetzt konkret zu deiner Frage.

Wenn ein Paket von 10.10.0.0/16 zu 10.11.0.0/16 möchte, wird kein NAT benötigt (wie oben erklärt, der Router kennt seine angeschlossenen Netze).

Wenn ein Paket von 10.10.0.0/16 zu 192.168.1.0/24 möchte, verlässt er den Router und kommt an einem weiteren Router an (hier der LTE Router, welcher wohl die Einwahl ins Internet macht).
Bis zum LTE Router gelangt das Paket, nur weis der LTE Router nicht wohin damit, da er selber für das Netzwerk 10.10.0.0/16 keine Route hat.
Hier könntest du mit 2 Methoden Abhilfe schaffen:

• Rückrouten auf dem LTE Router konfigurieren
• NAT einrichten (wenn du ins Internet kommunizierst wird dann schon mindestens 2 mal genattet)

 

Hoffe ich konnte deine Frage halbwegs beantworten.

[Gu4rdi4n 58]

Danke für die Rückmeldung! und die erklärung.

 

A

Ich glaube aber dass das nicht ganz das ist, was ich ausdrücken wollte.

In dem Fall hier möchte ich nicht über den LTE Router nach draußen kommen, sondern auf die Weboberfläche des LTE Routers

 

Spielt es hier überhaupt eine Rolle ob das Gerät, welches die Weboberfläche bereit stellt ein router ist oder ein z.B. Webserver?

 

Was ist denn der Unterschied ob ein Paket in ein VLAN geroutet wird oder in ein anderes Physisches Netz?

Im Prinzip wird doch ein VLAN nur mit einem weiteren Header Tag versorgt. Aber ansonsten sollte es doch gleich sein.

 

zudem hab ich mich oben leider einmal vertippt. Allerdings glaub ich nicht dass das groß was ändert. ETH3 VLAN100 ist 10.11.0.0/24

 

 

Ich will jetzt wie gesagt nur auf die Weboberfläche. 

 

Doppel NAT gibt's ja erst dann, wenn ich über die Firewall zum LTE Router und dann ins Internet gehe, richtig?

 

[testperson 1.677]

Hi,

 

in dem Fall musst du vermutlich nur auf dem LTE Router eine Route ins 10.10.0.0/16 anlegen. Dann solltest du ohne NAT bis zum Webinterface kommen.

 

Gruß

Jan

[Gu4rdi4n 58]

Auch auf die Gefahr hin dumm zu klingen, aber warum brauche ich dann keine route in der TK Anlage eintragen? (was ja nicht geht)

 

Sollte in dem Fall nicht der Router bzw das Netzwerkgerät die Anfrage von der Firewall zugestellt bekommen, das Gerät bekommt die Anfrage und sendet eine Rückantwort an die Firewall?

Ist in dem Fall nicht die Firewall dafür zuständig die Verbindung aufzubauen?

[NorbertFe 2.034]

Weil ein Router (lte) ein standardgateway zum lte Netz hat und deine tk Anlage vermutlich deine Firewall. ;)

[Gu4rdi4n 58]

Ach gott. Danke. Jetzt ist die Mauer gefallen. Ich war echt auf dem Schlauch gestanden, dabei war mir das irgendwie schon klar

 

man ist das peinlich

 

Mein fehler war den Router einfach nur als netzwerkgerät zu sehen und nicht als Gateway

 

Also nochmal danke euch allen!

bearbeitet 23. November 2018 von Gu4rdi4n