Portmapping Problem bei UMTS-Router

[Jensolo]

Hallo,

ich als bin Praktikant mit der Aufgabe betraut worden ein kleines Netzwerk mit Messsensoren per UMTS-Router mit einem UMTS-Surfstick zu verbinden. Hierzu habe ich zwei UMTS-SIM-Karten für die ich einen APN erhalten hab.

Was da genau ausgehandelt wurde kann ich leider nicht sagen, weil ich die Aufgabe von meinem Vorgänger übernommen habe. Ich weiss jedenfalls, dass die UMTS-Sticks in einem "extra" Netzwerk zu sein scheinen, da ich von diesem Login keinen Zugang zum Internet bekomme. Ich gehe also davon aus, dass sich beide in einem abgetrenntem Netzwerk befinden. Zudem hat mein Vorgänger es geschafft mit PCanywhere einen VPN-Tunnel zwischen zwei Laptops mit Surfsticks mit den beiden SIM-Karten aufzubauen. Es scheint also viel möglich zu sein mit dem Vertrag.

Ich habe es jetzt geschafft meinen Welotec TK701U Router so einzubinden, dass ich vom Laptop mit UMTS-Stick aus darauf zugreifen kann (also das Menü einstellen usw.). Nächster Schritt wäre gewesen mit Portmapping auf das hinter dem Router liegende Netzwerk zuzugreifen. Und jetzt kommt das Problem.

Es geht nicht. Ich habe zuvor gelesen, dass die UMTS-Provider bei sowas Probleme machen können, bin aber davon ausgegangen, dass ich dabei nicht einmal auf den Router zugreifen hätte können. Schließlich bin ich ja schon am Router und mit dem Zugriff auf einen weitergeleiteten Port müsste er ja klar kommen.

Liegt das evtl. tatsächlich am Provider? Könnte ich einfach etwas falsch eingestellt haben? Oder sollte ich das ganze gleich über VPN realisieren?

So... das war jetzt viel Info, viel Text und viel Blabla. Wäre sehr dankbar wenn mir dabei jemand helfen kann.

Gruß,

Jensolo

[Crash2001]

Hallo,

leider sagst du nicht, welches Netz du benutzt, sonst könnte man evtl mehr Aussagen dazu tätigen.

Ich kenne es eigentlich so, dass ich wenn ich per UMTS online bin eine 10.x.x.x IP-Adresse habe (also eine private) und dann über den Router des Providers ins Internet geroutet werde. Auf diesen Router hat man natürlich keinen Zugriff.

Wie greifst du denn auf den Welotec TK701U zu? Per http/https oder über einen anderen Weg? :confused:

Wenn es über den Weg nicht geht, du aber eine VPN-Verbindung zwischen den beiden Stationen hinbekommst, dann würde ich das darüber laufen lassen. Damit hast du dann in einem auch noch Verschlüsselung (wenn du willst) und umgehst das Portweiterleitungs-Problem.

P.S.:

Du hast zwar viel geschrieben, aber einige ausschlaggebende Informationen fehlen dennoch.

[Jensolo]

Hallo,

ich wusste, dass ich etwas wichtiges vergessen habe 8). Also den APN habe ich bei t-mobile bekommen. Es ist tatsächlich hier auch eine 10.xx.xx.xx Adresse. Habe ich demnach womöglich gar keine öffentliche IP? Ich dachte, wenn ich einen festen APN erteilt bekomme, habe ich automatisch eine öffentliche IP?

Auf den Router greife ich mit HTTP zu.

Danke schon einmal,

Gruß,

Jensolo

Bearbeitet 1. Dezember 2010 von Jensolo

[Crash2001]

Du gehst über eine öffentliche IP ins Netz, aber diese ist der T-Mobile-Router anstatt deinem eigenen Router, da noch ein privates Netz vorgeschaltet ist.

Stell es dir einfach so vor, wie wenn du einen DSL-Router hast, dort dann dein privates Netz (z.B. 192.168.1.0/24) hast. Wenn du an diesen Router dann einen weiterenRouter dran hängen würdest, das wäre dann dein UMTS-Router.

Um direkt von aussen zugreifen zu können müsste also dann T-Online auf ihrem Router einen bestimmten Port auf deine Router-IP weiterleiten (was sie nicht machen werden) und du müsstest auf deinem Router dann den entsprechenden Port auch wieder weiterleiten.

P.S.:

Was soll das "APN" da heissen? :confused:

[Jensolo]

Also erst mal danke für deine Hilfe, Crash. Mit APN meinte ich eigentlich Access Point Name. Entschuldige, das nächste mal werde ich da keine Kürzel verwenden, die ich im Routereinstellungsmenü auswendig gelernt habe.

Damit die anderen auch was von meiner Lösung haben, nun noch mal ein kleines Resumee:

Mein Vorgänger hat bei der Telekom anscheinend so ne Art aussergewöhnlichen Sondertarif ausgehandelt. Dadurch habe ich jetzt 2 feste Access Point Names in einem gesonderten Netzwerk. Somit kann ich, wenn ich mich in dieses Netzwerk einwähle nur diese 2 IPs sehen, vom Internet sehe ich absolut gar nichts.

Was du mit dem zweiten Router meinst verstehe ich, allerdings meinte ich schon tatsächlich den UMTS-Router der bei mir vorort steht.

So, der direkte Zugriff auf den Router geht gut, allerdings hat T-Mobile das Portmapping wohl irgendwie deaktiviert. Deshalb habe ich jetzt mit einem VPN-Tunnel per openVPN meinen UMTS-Router mit dem Computer am Surfstick verbunden und voila es geht, denn der Router kann openVPN-Tunnel.

Also nochmal danke für deine Mühe,

Gruß,

Jensolo

[Crash2001]

[...]Was du mit dem zweiten Router meinst verstehe ich, allerdings meinte ich schon tatsächlich den UMTS-Router der bei mir vorort steht.

So, der direkte Zugriff auf den Router geht gut, allerdings hat T-Mobile das Portmapping wohl irgendwie deaktiviert. [...]

Anscheinend hast du es grad nicht richtig verstanden.

Wenn man über einen Router auf ein privates Netzwerk zugreifen will, muss man mittels statischem PAT (Port-Address-Translation) einen bestimmten Port festlegen, der dann auf einen bestimmten Port auf eine bestimmte IP-Adresse weitergeleitet wird. Kommt dann z.B. auf Port 5000 ein Paket an, wird es an IP-Adresse 10.x.x.x auf Port 21 weitergeleitet.

Genau das müsste T-Online für dich auf deren Router einrichten, damit es von dir auf deinem Router dann nutzbar wäre. Du könntest dann z.B. auf deinem Router festlegen, dass alles was auf Port 21 reinkommt, auf die IP deines FTP-Servers weitergeleitet wird auf Port 21.

Da du jedoch keinerlei Einflussmöglichkeit hast, das bei T-Online zu verstellen (logisch, da das ja sonst jeder machen wollen würde und nur begrenzt IP-Adressen zur Verfügung stehen für den Internetübergang), wird es auch nicht funktionieren.

Wenn ich das richtig verstehe, sind die APNs DNS-Namen wie z.B. mycompany.mnc02.mcc283.gprs . Richtig?

[Jensolo]

Jetzt glaub ich habe ich es richtig verstanden. Wenn ich also per http auf meinen Router zugreifen kann, heißt das zunächst mal nur dass der port 80 für meinen Router freigeschalten ist und alle anderen mit hoher wahrscheinlichkeit gesperrt sind. somit komme ich zwar auf meinen Router (scheinbar vollständig) kann aber im endeffekt kein PAT verwenden, weil ich dafür einen anderen Port als den HTTP Port 80 freigeschaltet bräuchte...

oder? 8)

Danke noch einmal für deine ausführliche Hilfe

Gruß,

Jensolo

[Crash2001]

Dann müsste Port 80 weitergeleitet sein - genau.

Die anderen Ports sind aber nicht gesperrt, sondern einfach nur nicht weitergeleitet und somit weiss der Router bei einem eingehenden Paket dann nicht, welcher internen IP er das Paket ausliefern soll.

Also wenn der APN direkt zu dir auflöst fest, dann könnte es evtl dennoch gehen, da das dann nciht portbezogen wäre. Da ich das mit den APNs aber nicht wirklich kenne, müsste man es evtl mal testen und nciht die öffentliche IP, sondern den APN benutzen. Vorausgesetzt, dass der aufgelöst wird...