Netgate SG-1000 microFirewall

Author Topic: Portforwarding 1:1 NAT  (Read 280 times)

0 Members and 1 Guest are viewing this topic.

Offline exchaner

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Portforwarding 1:1 NAT
« on: December 14, 2017, 05:38:24 am »
Hallo,

ich weiß um ehrlich zu sein nicht ob ich hier richtig bin, allerdings hoffe ich das ihr mir helfen könnt.

Folgendes: Seit 2 Monaten wohne ich in Polen und habe hier einen Internetanschluss, alles funktioniert bis auf das Portforwarding.

Im meinem Router ( ASUS RT-AC66U ) wird mir folgende öffentliche IP angezeigt: 10.30.30.110

Währenddessen meine echte öffentliche IP eine ganz andere ist, dann habe ich selber nachgeforscht und herausgefunden das dies vielleicht "CGNAT or NAT444" sein könnte und deswegen mein Portforwarding nicht funktioniert.
Ich habe dann bei meinem Internetanbieter hier nachgefragt welcher mir sagte das sie 1:1 Nat benutzen würde und mir den Link zur erklärung geschickt hat: https://doc.pfsense.org/index.php/1:1_NAT

Daraufhin habe ich mich hier angemeldet und schreibe jetzt den Beitrag.

Woran kann es jetzt genau liegen, dass mein Portforwarding nicht funktioniert?

Mein Router habe ich genau so eingestellt wie es vorher in Deutschland der Fall war, allerdings hat es dort funktioniert, hier aber nicht.... Dort wurde mir auch meine reale öffentliche IP im Router angezeigt.

Was muss ich im Router ändern, bzw. muss der Internetanbieter irgendwas machen damit es funktioniert?


Mit freundlichen Grüßen

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +1/-0
  • Geburtstag: Ich lass mich nicht mehr Schätzen:-)
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #1 on: December 14, 2017, 12:58:31 pm »

Moin,

Im meinem Router ( ASUS RT-AC66U ) wird mir folgende öffentliche IP angezeigt: 10.30.30.110
Währenddessen meine echte öffentliche IP eine ganz andere ist, dann habe ich selber nachgeforscht und herausgefunden das dies vielleicht "CGNAT or NAT444" sein könnte und deswegen mein Portforwarding nicht funktioniert.

abgesehen davon das eine 10.x.x.x keine öffentliche IP Adresse ist, sondern zu den privaten (RFC1918) gehört, hört sich das für mich wirklich nach CGN (https://de.wikipedia.org/wiki/Carrier-grade_NAT) an.


Kommen die gewünschten Pakete vom Internet noch am Router an?
Wenn nicht natet der Provider bereits "für" dich. Dies wird genutzt um IPv4 Adressen zu Sparen. Dadurch "teilst" Du dir eine öffentliche IPv4 Adresse mit deinen "lieben Nachbarn". Das private Netz 10.30.30.110 deutet ebenfalls darauf hin. Damit ist es leider nicht möglich vom Internet via NAT auf die heimischen Dienste zuzugreifen. So ganz unbekannt ist das in DE auch nicht, z.B. setzt die deutsche Glasfaser dieses Verfahren für die Standard Kunden ein :-(.
Vielleicht gibt es einen anderen Tarif, der Dir eine eigene IP ohne CGN beschert?

HornetX11

// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3336
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #2 on: December 15, 2017, 02:39:10 am »
> So ganz unbekannt ist das in DE auch nicht, z.B. setzt die deutsche Glasfaser dieses Verfahren für die Standard Kunden ein :-(.

Um hier zu ergänzen: Gerade neue Anbieter wie u.a. die DG oder eben auch die Kabelanbieter, die keine großen v4 Adressräume mehr bekommen haben, sind darauf angewiesen Adressen zu sparen und primär per v6 zu arbeiten. Bekannt ist das "Problem" damit schon. Sinnvolle Lösung wäre ja alles langsam mal auf v6 zu bekommen ;) aber das wird leider auch sehr durch die ISPs verschleppt.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline exchaner

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #3 on: December 15, 2017, 06:29:27 am »
Naja das war genau das was ich auch gedacht habe und die Antwort vom Anbieter ist folgende:

 2. We don't use CGNAT.
> > > We use 1:1 NAT (https://wiki.untangle.com/index.php/1:1_NAT  or
> > > https://doc.pfsense.org/index.php/1:1_NAT)
> > > So all the services which need Public IP works fine, because customer has
> > > got his own Public IP, not shared with anyone else.

Ich habe auch öfters danach gefragt, warum mir meine richtige IP nicht angezeigt wird in meinem Router darauf kommt folgende Antwort:

That option with
public IP which You can see on router is unavailable. This is due to our network security settings.

Ich sagte sogar, das ich extra dafür zahlen würde, das mir eine eigene IP zugewiesen wird, aber naja die verweisen darauf das sie 1:1 Nat benutzen.

Gibt es für mich jetzt noch eine andere Möglichkeit, die Ports zu öffnen?

Mit freundlichen Grüßen

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 429
  • Karma: +63/-7
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #4 on: December 15, 2017, 06:45:39 am »
Gibt es für mich jetzt noch eine andere Möglichkeit, die Ports zu öffnen?

Provider wechseln, He.net Tunnel und alles über IPv6 laufen lassen oder VPN Tunnel zu einem Anbieter, der auch eingehende Verbindungen erlaubt, mieten.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3336
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #5 on: December 15, 2017, 07:39:48 am »
> Gibt es für mich jetzt noch eine andere Möglichkeit, die Ports zu öffnen?

Dann frage sie doch einfach folgendes:

> So all the services which need Public IP works fine, because customer has
> got his own Public IP, not shared with anyone else.

If that is the case then please tell me WHAT public IP I am allocated and if this IP is openend for external connections. Otherwise it's irrelevant if you're using CGN or 1:1 NAT because if you block all traffic from external sources AND don't forward it to my router's private IP address, I can't use it for incoming connections like IPSec tunnels.

Wenn Sie schon drauf beharren, dass es kein CGN sondern 1:1 NAT ist, dann sollte es ja in drei Teufels Namen nicht schwer sein, dir die externe IP zu nennen und dir zu beantworten, ob eingehend bei ihnen gefiltert wird oder nicht. Bzw solltest du bei Aufruf von bspw. checkip.dnydns.org ja deine externe Adresse sehen können und testen, ob du bei Verbindung darauf bei dir am Router was ankommen siehst.

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline exchaner

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #6 on: December 18, 2017, 05:31:53 am »
Hallo,

ich habe es an meinem Internetanbieter geschrieben und erhielt folgende Rückmeldung:

You've got IP 185.7.XXXXX.
We set port 43247 to connect with router. If You try to connect with this IP - http://185.7.XXXX:43247 from outside Our network You would connect with router - and this means that traffic from external sources is working correctly as well as UPnP/Port Forwarding should.

Also Remote Access von außen auf den Router funktioniert, das ist deren Argumentation.

Jedoch funktioniert kein Portforwarding, was soll ich da jetzt antworten?

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2822
  • Karma: +310/-1
    • View Profile
Re: Portforwarding 1:1 NAT
« Reply #7 on: December 18, 2017, 06:08:13 am »
Hallo,

die Frage von HornetX11, ob die erwarteten Pakete am WAN Interface deines Routers ankommen, wäre dennoch interessant zu klären.
Keine Ahnung, ob das zu überprüfen mit dem ASUS Router möglich ist. Wenn nicht, hänge anstatt diesem einen Rechner ans WAN und prüfe es mit Wireshark oder TCPDump oder Ähnlichem.

Sollte alles zu dir weitergeleitet werden, musst du die Pakete damit sehen können.

Die Einrichtung eines 1:1 NAT auf der pfSense erlaubt übrigens nicht automatisch die Weiterleitung. Dies muss durch Anlegen einer Firewall-Regel gesondert geschehen.

Grüße