Topologie: Eingehender Datenverkehr > Modem > Router > Switch > Rest des Netzwerks. Beachten Sie in diesem Bild IEAS-FILESVR. Eingehender Datenverkehr geht über die geöffneten Ports zum Modem/Router „IEASOFFICE“ in den Switch und zum FILESVR. Aufgrund des doppelten NAT-Konflikts zwischen Modem und Router können die Ports jedoch nicht geöffnet werden.
Auf der Einrichtungsseite des Modems wird eine DMZ eingerichtet, die es dem Router ermöglicht, außerhalb der Firewall als WAN-IP des Modems zu erscheinen. Wenn diese Option aktiviert oder deaktiviert ist, bleiben die Ports weiterhin geschlossen. NAT selbst ist sowohl auf dem Modem als auch auf dem Router aktiviert, da die Verbindung zum Internet verloren geht, wenn sie auf einem von beiden deaktiviert ist.
Das Modem (ActionTec R1000H) wird vom ISP bereitgestellt und kann nicht ersetzt werden, da es keine Modems unterstützt, die nicht vom ISP bereitgestellt werden, und es sich bei dem betreffenden Router um den TP-Link TL-ER604W handelt.
Auf der Registerkarte „Portweiterleitung“ des Modems sind die Ports 443 und 80 auf der IP von IEAS-FILESVR geöffnet. Der ISP blockiert das Öffnen dieser Ports nicht. Bei Verwendung eines Online-Portprüftools ist Port 23 der einzige, der geöffnet erscheint, und nirgends wird angegeben, dass er geöffnet werden soll. Im Abschnitt „Portauslösung“ des TP-Link werden die Ports 443 und 80 ausgelöst, wenn sie eingehenden Datenverkehr empfangen.
Es wurde versucht, dieses Problem durch die Verwendung eines PPPoE-Netzwerks zwischen Modem und Router zu lösen, aber dies schlug fehl. Firewalls wurden deaktiviert, um zu prüfen, ob sie das Problem verursachen oder dazu beitragen.
Wie kann dieses doppelte NAT zwischen Modem und Router behoben werden? Das Deaktivieren von NAT auf dem einen oder anderen Gerät funktioniert nicht.
Antwort1
Mit Pauls Hilfe habe ich das Problem gefunden. Das ActionTec-Gateway und der Router waren (offensichtlich) die Ursache für das doppelte NAT, also habe ich den Router in die DMZ von ActionTec gestellt, sodass alles vom Router an ActionTec weitergeleitet wird. Obwohl dies vielleicht nicht die organisierteste oder beste Lösung ist, hat es seinen Zweck erfüllt. Den Router ganz zu entfernen, wäre eine weitere Option gewesen, aber aufgrund der bereits im Gebäude vorhandenen DHCP-Server und Ethernet-Konfigurationen wäre das zu viel Ärger gewesen.