FAQ Zum Endgerät wird nicht die ursprüngliche Absender IP-Adresse übermittelt

Problem

Ich habe im mdex Router eine Port-Weiterleitung zu einem Endgerät eingerichtet, um dieses über die mdex public.IP aus dem Internet zu erreichen. Allerdings wird zum Endgerät nicht die ursprüngliche (externe) IP-Adresse des Absenders übermittelt, sondern die lokale IP-Adresse des mdex Routers. Für meinen Anwendungsfall muss aber die urspüngliche IP-Adresse des Absenders zum Endgerät durchgereicht werden.

Mögliche Anwendungsfälle:
  • Zur Herstellung einer IPsec-Verbindung zum angeschlossenen Endgerät (Firewall / IPsec-VPN-Router).
  • SMTP Request an einen angeschlossenen Mailserver.
  • Bei speziellen Datenübertragungsprotokollen, die die ursprüngliche IP-Adresse des Absenders erfordern.
  • Die Firewall des Endgeräts erkennt die Zugriffe nicht als "externen Zugriff aus dem Internet", sondern als "lokalen Zugriff aus dem LAN". Speziell bei einer Weiterleitung aller Ports zum Endgerät (host forwarding / dmz configuration) sind dann sämtliche Ports aus dem Internet erreichbar, die eigentlich nur bei Zugriffen aus dem LAN erreichbar sein sollten.

Ursache

Der mdex Router ersetzt durch die Funktion "LAN Masquerade" die ursprüngliche IP-Adresse des Absenders durch die eigene IP-Adresse. Aus folgenden Gründen ist das "LAN Masquerade" im mdex Router aktiviert:
  • Das Endgerät ist immer erreichbar, auch wenn im Endgerät kein Standardgateway eingestellt wurde.
  • MX200: Wenn das Endgerät als Standardateway z.B. den LTE-Router verwendet, werden nur die Zugriffe zur public.IP über den MX200 geroutet. Der sonstige Internetverkehr wird direkt (ohne Bandbreitenbegrenzung des MX200) über den LTE-Router geroutet.

Für einige Datenübertragungsprotokolle ist allerdings die ursprüngliche IP-Adresse des Absenders erforderlich (z.B. IPsec Verbindung oder SMTP Request an den Mailserver). In dem Fall muss das "Masquerade" im mdex Router deaktiviert werden.

Bei mdex Routerns der nachfolgenden Pakete ist das "LAN Masquerade" als Voreinstellung deaktiviert:

Lösung

Wenn zum Endgerät die ursprüngliche IP-Adresse des Absenders übermittelt werden soll, muss das (voreingestellte) "LAN Masquerade" im mdex Router deaktiviert werden:
"Masquerade" deaktivieren:
  1. Loggen Sie sich auf die Weboberfläche des MX200 / MRT150N ein.
  2. Klicken Sie auf Router, dann oben auf NAT.
    Wenn in der NAT-Table der Eintrag NAT on brwan (MX200), bzw. NAT on vlan0 (MRT150N) angezeigt wird, wird die Absender-IP-Adresse durch die IP-Adresse des MX200 / MRT150N ersetzt.
  3. Klicken Sie zunächst oben rechts auf Remove und entfernen dann mit Klick auf Remove den Eintrag NAT on brwan.
  4. Klicken Sie unten auf Save, damit die neue Einstellung dauerhaft gespeichert wird.
  5. Machen Sie ein Reboot des MX200 / MRT150N.

ALERT! Wichtige Hinweise
  • Im Endgerät, welches über die public.IP erreicht werden soll, muss als Standardgateway die IP-Adresse des MX200 / MRT150N eingestellt werden. Ansonsten ist das Endgerät nicht über die public.IP erreichbar.
  • Der abgehende Datenverkehr von diesem Endgerät wird dann über den MX200 / MRT150N ins Internet geroutet.
  • Der MX200 hat einen max. Datendurchsatz von ca. 10-15 MBit/s (Upload und Download), der MRT150N von ca. 8-10 MBit/s (Upload und Download). Es sollten nur die Endgeräte den MX200 / MRT150N als Standardgateway verwenden, die über die mdex public.IP erreichbar sein müssen oder abgehend mit der mdex public.IP auf das Internet zugreifen sollen.

"Masquerade interface" (LAN zone) im MX530/560/880 deaktivieren:
  1. Loggen Sie sich auf der Weboberfläche ein (http://192.168.0.1:8080).
  2. Klicken Sie auf Network MOVED TO... Firewall.
  3. Deaktivieren Sie bei den Firewall Zone Policies für die LAN zone die Checkbox Masquerade interface (MX530/880) bzw. Masquerading (MX560).
    MX530/880
    MX880_Masquerade-deaktivieren.png
    MX560
    MX560_Masquerading.png
  4. Klicken Sie auf Save.
  5. Im Endgerät muss als Gateway die LAN IP-Adresse des MX530/880 (192.168.0.1) eingestellt werden.
Die IP-Adresse des Absenders wird nun transparent bis zum Endgerät durchgereicht und nicht mehr durch die LAN IP-Adresse des MX530/880 ersetzt.