Netzwerkzugangsschutz blockiert interne IP-Adresse des Routers

  • Hallo zusammen,


    ich habe folgendes Problem und hoffe es kann mir jemand helfen: Ich habe die Portweiterleitung in meinem Router auf mein NAS über den Port 443 (HTTPS) auf meine QNAP TS-453 Pro eingerichtet und den Netzwerkzugangsschutz auf dem HTTPS-Port aktiviert. Bei 5 Falschanmeldungen soll 1 Tag die IP geblockt werden.


    Die Portweiterleitung funktioniert und der NAS ist außerhalb erreichbar. Nun hat ein externer Anwender mehrmals Benutzer / Kennwort falsch eingegeben. Blöderweise hat nun der NAS die interne LAN-IP meines Routers (192.168.10.2) geblockt anstatt die externe IP-Adresse des Anwenders. Blöderweise funktionierte dann bei keinem Anwender mehr von extern der Zugriff, da natürlich mein Router (Mikrotik Routerboard RB2011UiAS) intern geblockt wurde.


    WAN (externe IP) --> Router (intern 192.168.10.2) --> NAS (192.168.10.10)


    Wahrscheinlich interpretiert die TS-453, aufgrund der Portweiterleitung, die interne IP als Verursacher und nicht die externe IP des Anwenders.


    Hat jemand eine Idee woran das liegen könnte? Der Zustand ist natürlich recht suboptimal.



    Danke für Eure Hilfe und


    viele Grüße
    Mike

  • Merkwürdig. Ich habe das bei einem System für den FTP Zugang genauso eingerichtet, aber hier werden die externen IP Adressen gesperrt. Auf dem Mikrotik noch eine Firewall, IDS o.ä. aktiviert?

  • Danke für deine Antwort. Das Routerboard ist direkt am Kabelmodem und natürlich mit einer Firewall konfiguriert. Aber totaler Standard.


    Die Portweiterleitung ist eine Forward Rule (TCP, 443, accept) in der Firewall, sowie eine NAT-Chain (dstnat, Dst. Adress = "46.123.456.789", TCP, 443, Ethernet1 (WAN), dst-nat to Adress 192.168.10.10, Port 443).


    Mehr ist nicht konfiguriert.

  • Beim Verwenden von NAT (Netzwerkadressübersetzung) ist das Übersetzen von einer externen in eine interne Adresse im Normalfall ja gewollt.
    Die QNAP bekommt so die externe IP nicht mit, weil sie nur die des Routers sieht. Bei Dir führt dies eben zur kompletten Sperrung.

  • Warum ist das dann nicht so bei meinem FTP-System? Da hängt nen simpler Lancom vor, auf dem auch nichts wildes konfiguriert ist, wenn ich mich nicht irre.

  • Nein, der Anschluss verfügt zwar über eine statische IP, jedoch keinen DNS-Eintrag. Wobei der FTP-Dienst so konfiguriert ist, dass er mit der externen IP antwortet.

  • Ich hatte davor ne Synology DS-212+, allerdings hatte ich dort die Portweiterleitung in einer FritzBox 6360 eingerichtet, hier wurde auch jede externe IP geblockt oder protokolliert.

  • Und mittlerweile ist der Fehler gefunden... :D Hat auch nur 1,5 Jahre gedauert. Schuld war auf der Firewall eine falsche NAT-Regel, bzw. eine Loopback-Regel die übersteuert hat. Nun ist die Regel angepasst und die öffentliche IP wird auch im Verbindungsprotokoll, anstelle der internen Router-IP angezeigt und bei Bedarf geblockt.


    Fehler lag halt mal wieder vdT (vor der Tastatur).


    Grüße

    Mike

  • In dem Fall hat sich das Problem wohl eher per Zufall gelöst. Aber besser spät als nie. :)