Site to Site mit Portweiterleitung

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Hallo liebe leute,

    ich bin neu hier und heiße Oli und freue mich schon auf euch.

    zu meinem Anliegen:

    Ich habe zwei Standorte die über Site-to-Site VPN (Magic SD-WAN) verbunden sind.

    Specs Standort A:

    UDM-SE mit öffentlicher, fester IPv4 (GPON Modul Zyxel Galsfaseranschluss)

    5x AP's (U7 Pro) mit 3 Netzen (Firma 192.168.210/24; Gast 10.10.0/24; Privat 192.168.211/24)

    3x AI Turret Kamera

    1x Mission Critical

    Specs Standort B:

    1x Windows Server mit DHCP Server (Firmennetz)


    UDM-Pro ohne öffentliche IPv4 (über Starlink)

    2x AP (U7 Pro) mit 2 Netzen (Firma: 192.168.211/24; Smarthome 192.168.212/24)

    2x AI Turret Kamera


    Kommunizieren dürfen über die Site-to-Site VPN ausschließlich die Firmennetze und das Smarthomenetz an Standort B.


    Frage:

    Dadurch das an Standort B keine öffentliche IP zur Verfügung Steht möchte ich den Port 6000 des Geräts 192.168.212.200 am Standort A freigeben

    der Ping aus dem Netz 192.168.210/24 von Standort A Klappt soweit auf die IP 192.168.210.200.

    Eine entsprechende Portfreigabe wurde an Standort A eingerichtet

    dennoch kann ich das Gerät nicht über die Externe IP xxx.xxx.xxx.xxx:6000 erreichen

    muss ich irgend ein Routing anpassen, irgendwie kann ich dem Standort A UDM nicht sagen das er das ins zweite netz weiterleitet oder ich bin zu doof zu lesen.

    hoffe ich habe das Problem ordentlich beschrieben und Ihr kommt mit meiner Fragestellung klar

    vielen dank schon mal :)

    grüße Oli

    Im Allgemeinen leitet man Ports nur in das lokale Netzwerk weiter. Theoretisch klappt das ggf. auch durch einen Tunnel ... aber nun überlege mal was das Gerät bekommt, an das die Weiterleitung gerichtet ist ... da kommt ein Paket mit einer beliebigen (also von dem der Zugreifen will) öffentlichen IP Adresse an. An diese wird dann geantwortet ... über den Standardgateway, also über Starlink und eine andere öffentliche IP...

    Der Initiator der Verbindung möchte aber keine Antwort von Standort B, sondern von A, denn der wurde angesprochen ...

    Du bräuchtest also für das Gerät auf das die Weiterleitung zeigt ein policy based routing für ALLES durch den Tunnel ... damit der Initiator seine Antwort überhaupt von der korrekten öffentlichen IP erhält. Und natürlich muss die Weiterleitung auch funktionieren ... Wenn man eine IP für die Weiterleitung benutzt, die nicht auf einem lokalen VLAN liegt, dann gibts zumindest schonmal die Meldung, dass man die Firewall selbst konfigurieren muss ... ob das routing an sich klappt steht ebenso in den Sternen, denn das Vorhaben ist alles andere als gewöhnlich ...

    Das wird so einfach also wohl nicht funktionieren. Ob das mit S2S vom SD-WAN überhaupt machbar ist ... da ist viel Automatismus und Feenstaub im Spiel.

    Vielleicht eher in Richtung VPS schauen ... Da könnte ich mir vorstellen, dass es relativ einfach klappt ... Wireguard Client von Standort B zum VPS, dazu eine policy based route für das Ziel der Portweiterleitung. Noch etwas iptables und dann könnte das klappen.Wie gesagt ... unüblich und von daher noch nie gemacht oder versucht.

    vielen dank schon mal, das werde ich mal ausprobieren, da ich bei VPS nicht wirklich im Thema bin lass ich das gleich mal, ist zum glück nur ne Übergangslösung bis das Gerät in 'nem halben Jahr getauscht wird. War ja eh klar das ich wieder so nenn besonderen scheiß brauch :D auf das policy based Routing bin ich schon gekommen, komischer weiße hat er am Standort A gar nicht gemeckert wegen der Firewall. das Prüfe ich gleich mal, sonst klappts ja mit dem Gerätetausch villeicht doch schneller als gedacht :saint:

    vielen dank auf jeden fall für deine Unterstüzung

    vG Oli

    Genutzte Hardware: UDM-SE; UDM-Pro, U7-Pro, AI Turrnet, Mission Critical, Pro Max 24 POE

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login