Classical Routing SRX5308

BChris · ‎2017-01-03

Hallo Zusammen!

zunächst einmal wünsche ich auf diesem Wege ein "Frohes neues Jahr"!

Zu meinem Problem:

Ich habe kürzlich eine vorhandene VPN-Firewall wegen defekt gegen eine SRX5308 getauscht. Ich habe bereits die aktuellste Firmware geladen und einen Reset durchgeführt. Es läuft nur ipv4. Aktuell wird nur ein WAN und ein LAN-Port genutzt. Auf der LAN Seite ist das Netz 192.168.11.0 /24 und auf der WAN Seite 192.168.2.0 /24. Der Router für die INet-Verbindung hängt auf der LAN-Seite an 192.168.2.0 /24. Den vorhandenen Router entfernen geht leider nicht, da dieser eine "Hybrid-Verbindung (DSL+LTE)" aufbaut und somit praktisch nicht ersetzt werden kann.

Bisher habe ich per Routing bzw. Routingtabelle die WAN und LAN-Seite "verbunden" (auf der WAN-Seite ist ein Router mit NAT, der die INet-Verbindung aufbaut). Der Versuch, das beim SRX5308 auch so zu regeln, schlugen bisher fehl. Die Standardeinträge in der Routingtabelle sind ja bereits vom Gerät automatisch vorgnommen worden (kann ich unter "diagnostics" ansehen). Ich habe testweise alles an inbound und outbound zugelassen.

Nun kann ich aber weder von der LAN-Seite das Netz auf der WAN-Seite oder umgekehrt, noch Adressen im Internet erreichen. Eine "Tracerout" endet jeweils am SRX. Mit dem Testtool unter diagnostics kann ich den jeweiligen LAN und WAN Port "anpingen"

Nach längerer Recherche im Netz habe ich Berichte gefunden, wonach das Routing mit einer 3.X Firmware funktionieren soll., mit einer 4.X Firmware aber nicht mehr. Warum das so ist bzw. was in der aktuellen Firmware anders sein soll wurde dort leider nicht geklärt. Andere Quellen berichten von Problemen beim "protokoll binding", was bei mir aber keine Rolle spielt und auch nicht aktiv ist.

Aktuell habe ich auf NAT geändert, womit der Internetzugang funktioniert.

Kann dieses Verhalten jemand bestätigen? Was mache ich möglicherweise falsch? Was könnte ich ausprobieren?

Vielen Dank im Voraus!

Slas · ‎2017-01-04

Hallo @BChris

und willkomen in der NETGEAR Community.

Teile mir bitte mit aus welchen Gründen möchtest Du Classical Routing statt NAT verwenden?
Beachte, dass bei Classical Routing alle LAN Hosts öffentliche IP Adressen benötigen um Zugriff auf Internet zu bekommen.

Laut Deiner Beschreibung passt NAT für den Setup besser.

Du hast leider nicht gesagt welcher DSL+LTE Router für die Internetverbindung verwendet wird (Modell und Hersteller).
Ich vermute aber, dass es sich um einen Router mit Firewall und NAT handelt. Wenn ja, dann funktioniert die aktuelle Internetverbindung in einem Doubel-NAT.

Die Double-NAT Verbindung wird so automatisch funktionieren. Die Ausnahme ist, wenn Du bestimmte Services hinter SRX5308 vom Internet aus erreichen möchtest.
Dann wird eine Portfreigabe auf dem DSL+LTE Router in Richtung SRX5308 nötig sein.

Grüße

Slas

NETGEAR Community Team

BChris · ‎2017-01-04

Hallo @Slas

ich danke Dir für die Rückmeldung.

Nochmal kurz zur Klarstellung des Netzwerks 0.0.0.0----SpeedportHybrid----192.168.2.0----SRX5308----192.168.11.0

Der Router zum eigentlichen WAN ist also ein Speedport Hybrid.

Warum Classical Routing? Im Grunde gibt es keinen zwingenden Grund, allerdings war der vorherige Router/Firewall so konfiguriert. Ich habe es daher zunächst übernommen. Ich könnte also einfach auf "double NAT" wechseln und es so lassen........aber, dass es mit Classical Routing nicht funktioniert hat doch mein Interesse geweckt, d.h. warum geht es eigentlich nicht? Und 1x NAT durch den Speedport sollte doch funktionieren, d.h. ich brauche dann doch keine öffentlichen IP´s für die hosts, oder?

Möglicherweise ist es auch meinem begrenzten Wissen zur Thematik geschuldet....

Jedenfalls habe ich mir mal die automatisch konfigurierte Routing Tabelle angesehen:

Warum gibt es hier keinen Eintrag mit Destination: 192.168.2.0 Gateway:192.168.2.xxx(wird hier per DHCP von Speedport vergeben) Genmask:255.255.255.0 Flag: UG Metric: 1 ???

Manuell eintragen kann ich diese Route nicht, da nur Metric >=2 möglich ist. Ein ping aus 192.168.11.0 nach WAN Port mit 192.168.2.xxx funktioniert. Ein ping zu 192.168.2.254 (Speedport) ist nicht möglich. Wenn ich nicht ganz auf dem "Holzweg" bin, kann es auch nicht funktionieren, da die Route nicht bekannt ist, oder?

Viele Grüße!

Slas · ‎2017-01-05

Hallo @BChris

die Routing Tabelle sieht normal aus.

Bei mehreren öffentlichen IP Adressen vom ISP (für Router und LAN Hosts) würde das Classical Routing funktionieren.

Wenn es keine Ping Antworten von Speedport gibt, dann erstelle eine statische Route auf dem Speedport in die Richtung von SRX5308 LAN.

Überprüfe zu erst, ob diese Option auf dem Speedport verfügbar ist. Die Firmware von Speedport könnte soweit eingeschränkt sein, dass die Konfiguration von statischen Routen nicht vorhanden ist.

Was heute leider oft der Fall ist, wird das Static Routing Feature von bestimmten Hybrid Routern nicht mehr unterstützt.

Grüße

Slas

NETGEAR Community Team

BChris · ‎2017-01-06

Hallo @Slas

ich habe mir die Optionen des Speedport angesehen. Leider kann ich dort keine zusätzliche Route eingeben. Der Speedport Hybrid bietet insgesamt leider nur sehr begrenzte Möglichkeiten. Auch z.b. prefix delegation für ipv6 gibt leider es nicht.

Dennoch Vielen Dank für die Hilfe!

Slas · ‎2017-01-09

Hallo @BChris

ich habe befürchtet, dass das Static Routing nicht unterstützt wird.

Falls Du noch weitere Fragen hättest, dann melde dich wieder.

Grüße

Slas

NETGEAR Community Team

Classical Routing SRX5308

Classical Routing SRX5308

Betreff: Classical Routing SRX5308

Betreff: Classical Routing SRX5308

Betreff: Classical Routing SRX5308

Betreff: Classical Routing SRX5308

Betreff: Classical Routing SRX5308