5
Lancom DMZ und öffentliche IPs!
Hallo zusammen,
folgendes Problem habe ich hier und benötige mal Eure Kompetenzen. Folgendes Szenario:
- Neuer Kabelanschluss mit 5 öffentlichen IP's x.x.x.242 - x.x.x.246, Subnetzmaske 255.255.255.248
- Direkt auf dem Gateway (Kabelmodem) x.x.x.241 getestet, sind alle öffentlichen IP's von extern erreichbar!
- Hinter dem Gateway läuft an ETH-1 ein Lancom 1781 (x.x.x.242)
Mein Problem:
Egal wie ich ihn konfiguriere, auf dem Lancom ist NUR die primäre öffentliche IP erreichbar (x.x.x.242) und keine der anderen öffentliche IP's!
Da es direkt am Gateway aber funktioniert, habe ich am Lancom wohl ein Routingproblem. Nur wo?
Meine Konfig der IP-Parameter sieht folgendermaßen aus:
Da wir mehr Server als feste IP's haben, möchte ich jeder öffentlichen IP ein eigenes privates IP-Netzwerk zuordnen:
Passend dazu die Routing Tabelle:
Ich habe auch schon versucht, per Port Forwarding die nächste öffentliche IP direkt auf den Server zu routen:
bzw. per NAT zu routen:
Nichts davon funktioniert allerdings, grundsätzlich sind keine der Öffentlichen IP's auf dem Lancom verfügbar bzw. pingbar außer der Primären.
Ich stehe grad etwas auf dem Schlauch. Wie muss die Konfig auf dem Lancom denn aussehen, damit das Routing der festen IP's funktioniert?
Danke und Gruß
folgendes Problem habe ich hier und benötige mal Eure Kompetenzen. Folgendes Szenario:
- Neuer Kabelanschluss mit 5 öffentlichen IP's x.x.x.242 - x.x.x.246, Subnetzmaske 255.255.255.248
- Direkt auf dem Gateway (Kabelmodem) x.x.x.241 getestet, sind alle öffentlichen IP's von extern erreichbar!
- Hinter dem Gateway läuft an ETH-1 ein Lancom 1781 (x.x.x.242)
Mein Problem:
Egal wie ich ihn konfiguriere, auf dem Lancom ist NUR die primäre öffentliche IP erreichbar (x.x.x.242) und keine der anderen öffentliche IP's!
Da es direkt am Gateway aber funktioniert, habe ich am Lancom wohl ein Routingproblem. Nur wo?
Meine Konfig der IP-Parameter sieht folgendermaßen aus:
Da wir mehr Server als feste IP's haben, möchte ich jeder öffentlichen IP ein eigenes privates IP-Netzwerk zuordnen:
Passend dazu die Routing Tabelle:
Ich habe auch schon versucht, per Port Forwarding die nächste öffentliche IP direkt auf den Server zu routen:
bzw. per NAT zu routen:
Nichts davon funktioniert allerdings, grundsätzlich sind keine der Öffentlichen IP's auf dem Lancom verfügbar bzw. pingbar außer der Primären.
Ich stehe grad etwas auf dem Schlauch. Wie muss die Konfig auf dem Lancom denn aussehen, damit das Routing der festen IP's funktioniert?
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270946
Url: https://administrator.de/contentid/270946
Printed on: May 4, 2024 at 00:05 o'clock
5 Comments
Latest comment
Moin,
kann der Lancom Virtual IP ?
Gruß,
Uwe
kann der Lancom Virtual IP ?
Gruß,
Uwe
Ein "Routing Problem" hast du de facto nicht, denn wie du ja ohne Router siehst werden die IPs des Subnetzes schon richtig geroutet.
Das Problem ist das der Lancom sich gar nicht angesprochen fühlt. Wie auch, denn er selber hat ja nur die .242 konfiguriert.
Warum sollte er also auf eine .243 oder .244 antworten, wenn er diese IPs gar nicht konfiguriert hat ?
Du musst ihm ja mindestens mal ein statisches N:N NAT Mapping konfigurieren mit diesen Adressen und die auf interne IPs umsetzen.
Dann wird auch der Lancomm auf diese IPs antworten !
Das Problem ist das der Lancom sich gar nicht angesprochen fühlt. Wie auch, denn er selber hat ja nur die .242 konfiguriert.
Warum sollte er also auf eine .243 oder .244 antworten, wenn er diese IPs gar nicht konfiguriert hat ?
Du musst ihm ja mindestens mal ein statisches N:N NAT Mapping konfigurieren mit diesen Adressen und die auf interne IPs umsetzen.
Dann wird auch der Lancomm auf diese IPs antworten !
Hallo GL-Lion,
ich habe ein ähnliches Setup: LANCOM und CompanyConnect. Daher mehrere Server, die über von außen per HTTP bzw. HTTPs erreichbar sein müssen.
Die Adresse, die unter IP-Parameter angegeben ist, ist die Adresse, die standardmäßig von außen sichtbar ist.
Im Bereich Port-Forwarding definierst Du die Weiterleitungen für alle Server mit der zugehörigen WAN-Adresse. Wenn Du keine WAN-Adresse angibst, dann wird immer die verwendet, die beim IP-Parameter hinterlegt ist.
z.B.
IP-Parameter:
Gegenstelle: T-Combo
IP-Adresse: aaa.bbb.ccc.242
Subnetmaske: 255.255.255.248
Gateway: aaa.bbb.ccc.241
Port-Forwarding-Tabelle
Gegenstelle: T-Combo
Anfangs-Port: 443
End-Port: 443
Adresse: 192.168.122.10
Protokoll: TCP-UDP
WAN-Adresse: aaa.bbb.ccc.242
Gegenstelle: T-Combo
Anfangs-Port: 443
End-Port: 443
Adresse: 192.168.122.11
Protokoll: TCP-UDP
WAN-Adresse: aaa.bbb.ccc.243
Gegenstelle: T-Combo
Anfangs-Port: 443
End-Port: 443
Adresse: 192.168.122.20
Protokoll: TCP-UDP
WAN-Adresse: aaa.bbb.ccc.244
Ich habe in meinem Setup nicht mit N:N NAT oder ähnliches gemacht.
Natürlich ist eine gute Firewall mit eingehenden und ausgehenden Regeln Pflicht.
Ich hoffe, das hilft weiter
VG Dieter
ich habe ein ähnliches Setup: LANCOM und CompanyConnect. Daher mehrere Server, die über von außen per HTTP bzw. HTTPs erreichbar sein müssen.
Die Adresse, die unter IP-Parameter angegeben ist, ist die Adresse, die standardmäßig von außen sichtbar ist.
Im Bereich Port-Forwarding definierst Du die Weiterleitungen für alle Server mit der zugehörigen WAN-Adresse. Wenn Du keine WAN-Adresse angibst, dann wird immer die verwendet, die beim IP-Parameter hinterlegt ist.
z.B.
IP-Parameter:
Gegenstelle: T-Combo
IP-Adresse: aaa.bbb.ccc.242
Subnetmaske: 255.255.255.248
Gateway: aaa.bbb.ccc.241
Port-Forwarding-Tabelle
Gegenstelle: T-Combo
Anfangs-Port: 443
End-Port: 443
Adresse: 192.168.122.10
Protokoll: TCP-UDP
WAN-Adresse: aaa.bbb.ccc.242
Gegenstelle: T-Combo
Anfangs-Port: 443
End-Port: 443
Adresse: 192.168.122.11
Protokoll: TCP-UDP
WAN-Adresse: aaa.bbb.ccc.243
Gegenstelle: T-Combo
Anfangs-Port: 443
End-Port: 443
Adresse: 192.168.122.20
Protokoll: TCP-UDP
WAN-Adresse: aaa.bbb.ccc.244
Ich habe in meinem Setup nicht mit N:N NAT oder ähnliches gemacht.
Natürlich ist eine gute Firewall mit eingehenden und ausgehenden Regeln Pflicht.
Ich hoffe, das hilft weiter
VG Dieter
Hallo zusammen,
Danke Euch für Euer rasches Feedback!
@transocean: Meinst Du mit Virtual IP die Möglichkeit, Cluster zu adressieren?...oder um mehrere Router zu einem logischen virtuellen Router zu bündeln?
Letzteres sagt mir was, aber nur aus Gründen der Verfügbarkeit bzw. um mehrere Router als Master/Backup mit ihren eigenen Internetverbindungen zusammenzufassen. Seitdem die Router Load-Balancing für bis zu 4 Internetverbindungen beherrschen, mache ich das aber nicht mehr.
@acui:
Womit Du den Nagel auf den Kopf triffst!...Genau das verstehe ich nicht, laut Lancom reicht die Angabe der .248er Subnetzmaske um die restlichen IP's eben bekannt und sofort erreichbar zu machen! Ansonsten müsste man ja für jede IP eine eigene DMZ anlegen!?
Hatte ich ja versucht, siehe oben, läuft aber leider auch nicht. Er reicht die IP's partout nicht durch.
Hast Du vielleicht mal eine Beispielkonfiguration, wie das genau auszusehen hat?...Ich Danke Dir schon im Voraus!
@Dkuehlborn: Hatte ich auch schon probiert, siehe oben, allerdings direkt zu einem Server in einem getrennten IP-Netz. Ich versuche das nochmal im gleichen IP-Netz und gebe Feedback!
Bis hierhin schonmal Danke für die Hilfe und Gruß
Danke Euch für Euer rasches Feedback!
@transocean: Meinst Du mit Virtual IP die Möglichkeit, Cluster zu adressieren?...oder um mehrere Router zu einem logischen virtuellen Router zu bündeln?
Letzteres sagt mir was, aber nur aus Gründen der Verfügbarkeit bzw. um mehrere Router als Master/Backup mit ihren eigenen Internetverbindungen zusammenzufassen. Seitdem die Router Load-Balancing für bis zu 4 Internetverbindungen beherrschen, mache ich das aber nicht mehr.
@acui:
Ein "Routing Problem" hast du de facto nicht, denn wie du ja ohne Router siehst werden die IPs des Subnetzes schon richtig geroutet.
Das Problem ist das der Lancom sich gar nicht angesprochen fühlt. Wie auch, denn er selber hat ja nur die .242 konfiguriert.
Warum sollte er also auf eine .243 oder .244 antworten, wenn er diese IPs gar nicht konfiguriert hat ?
Das Problem ist das der Lancom sich gar nicht angesprochen fühlt. Wie auch, denn er selber hat ja nur die .242 konfiguriert.
Warum sollte er also auf eine .243 oder .244 antworten, wenn er diese IPs gar nicht konfiguriert hat ?
Womit Du den Nagel auf den Kopf triffst!...Genau das verstehe ich nicht, laut Lancom reicht die Angabe der .248er Subnetzmaske um die restlichen IP's eben bekannt und sofort erreichbar zu machen! Ansonsten müsste man ja für jede IP eine eigene DMZ anlegen!?
Du musst ihm ja mindestens mal ein statisches N:N NAT Mapping konfigurieren mit diesen Adressen und die auf interne IPs umsetzen.
Dann wird auch der Lancomm auf diese IPs antworten !
Dann wird auch der Lancomm auf diese IPs antworten !
Hatte ich ja versucht, siehe oben, läuft aber leider auch nicht. Er reicht die IP's partout nicht durch.
Hast Du vielleicht mal eine Beispielkonfiguration, wie das genau auszusehen hat?...Ich Danke Dir schon im Voraus!
@Dkuehlborn: Hatte ich auch schon probiert, siehe oben, allerdings direkt zu einem Server in einem getrennten IP-Netz. Ich versuche das nochmal im gleichen IP-Netz und gebe Feedback!
Bis hierhin schonmal Danke für die Hilfe und Gruß
@Dkuehlborn
Der TO will ja genau ALLE diese IPs seines öffentlichen Subnetzes auch aktiv nutzen das die einen Sinn haben.
Was du ihm beschreibst ist simples Port Address Translation nur einzig über die eine IP Adresse des Routers.
Damit läge ja dann das gesamte öffentliche IP Netz was der TP besitzt brach.
Vom gravierenden Nachteil das er dedizierte Ports eben nur ein einziges Mal forwarden kann gar nicht geredet.
Versteht man den Thread des TOs jetzt richtig ist es genau das nicht was er will.
Er wird um statisches N:N NAT also nicht drumrumkommen. Nebenbei ist das gängige Praxis was alle anderen Router Hersteller auch so machen.
Logischerweise muss du mit einer entsprechenden Regel dann auch dieses /29er Subnetz freigeben das das nicht geblockt ist !
Sieh immer in das Router Log !
https://www2.lancom.de/kb.nsf/a5ddf4817397fe77412569eb00329ec2/4669fded0 ...
Für dich ist hier lediglich NUR "Schritt 2" relevant.
Ich habe in meinem Setup nicht mit N:N NAT oder ähnliches gemacht.
Und genau DAS ist der Fehler in deiner Beschreibung !Der TO will ja genau ALLE diese IPs seines öffentlichen Subnetzes auch aktiv nutzen das die einen Sinn haben.
Was du ihm beschreibst ist simples Port Address Translation nur einzig über die eine IP Adresse des Routers.
Damit läge ja dann das gesamte öffentliche IP Netz was der TP besitzt brach.
Vom gravierenden Nachteil das er dedizierte Ports eben nur ein einziges Mal forwarden kann gar nicht geredet.
Versteht man den Thread des TOs jetzt richtig ist es genau das nicht was er will.
Er wird um statisches N:N NAT also nicht drumrumkommen. Nebenbei ist das gängige Praxis was alle anderen Router Hersteller auch so machen.
Hatte ich ja versucht, siehe oben, läuft aber leider auch nicht. Er reicht die IP's partout nicht durch.
Das ist vermutlich klar wenn auf dem Router noch eine Firewall aktiv ist !!!Logischerweise muss du mit einer entsprechenden Regel dann auch dieses /29er Subnetz freigeben das das nicht geblockt ist !
Sieh immer in das Router Log !
Lancom reicht die Angabe der .248er Subnetzmaske um die restlichen IP's eben bekannt und sofort erreichbar zu machen!
Nein, das stimmt nicht in Bezug auf NAT. Da muss man fein trennen. Vermutlich meint Lancom das im Routing Kontext, dann macht es auch Sinn.Ansonsten müsste man ja für jede IP eine eigene DMZ anlegen!?
Jetzt nichts raten im freien Fall. DMZ ist wieder was ganz anderes und andere Baustelle. Vergessen und beim Thema bleiben...https://www2.lancom.de/kb.nsf/a5ddf4817397fe77412569eb00329ec2/4669fded0 ...
Für dich ist hier lediglich NUR "Schritt 2" relevant.
