malcolmcgn
Goto Top

Mehrere öffentliche IPs in Firewall VPN

Hallo zusammen,

ich habe folgendes Problem mit meinem neuen Firewall VPN Gerät für die Firma.

Wir haben von unserem ISP mehrer öffentliche IPs bekommen und diese möchte ich jetzt gerne in der Firewall VPN eintragen. Die Firewall hängt hinter dem ISP Modem/Router.

Die IPs sehen zum Beispiel so aus: 1.2.1.2 - 1.2.1.6 /29 mit dem Gateway vom ISP 1.2.1.1.
Wenn ich für einen WAN Port z.bsp die 1.2.1.2 mit entsprechendem Gateway nehme funktioniert der Internetzugriff einwandfrei.

Aber ich möchte jetzt auf dem zweiten WAN Port die 1.2.1.3 und GW 1.2.1.1 eintragen. Dies ist anscheinend nicht möglich, da dass Gerät eine Fehlermehldung rausbringt die IPs würden sich überschneiden.

Ist mein Vorgehen generell einfach technisch nicht möglich oder mache ich etwas falsch?

Schönen Abend noch...

Content-Key: 164628

Url: https://administrator.de/contentid/164628

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Arch-Stanton
Arch-Stanton 14.04.2011 um 21:40:21 Uhr
Goto Top
Du hast doch bloß einen WAN-Port, kannst also auch nur einen definieren. Was Du brauchst ist ein transparentes Routing. Da kannst Du verschiedene Server über deren offizielle IP-Adressen von außen erreichen, alles läuft aber über die WAN-Adresse.

Grß, Arch Stanton
Mitglied: MalcolmCGN
MalcolmCGN 14.04.2011 um 21:53:24 Uhr
Goto Top
Auf der Firewall habe ich mehrere WAN Ports zur Verfügung also dachte ich, dass ich dort auch die verschiedenen öffentlichen IP's "abgreifen kann. Das Modem vom ISP hat auch insgesamt 4 WAN Ports. Da müsste es doch möglich sein jeden Port des Modems mit den jeweiligen Port der Firewall zu verbinden und auf jede eine andere IP zu legen?!?

Danach muss ich dann routen zu unserem Trusted Lan oder dem DMZ mit Webserver. DMZ und Trusted Lan sollen mit unterschiedlichen öffentlichen IP's ins Netz gehen.

Grüße
Mitglied: schuhi69
schuhi69 14.04.2011 um 22:15:55 Uhr
Goto Top
Hallo MalcolmCGN,

warum schreibst Du das alles häppchenweise und nicht so wie es sein sollte, nämlich so das Dir möglichst viele Leute helfen und nicht nur diesen Post aufrufen und weiter ziehen ohne was zu posten.

z. B. Router mit Modem vom ISP xxxx
Firewall Netgear SRXN5308
Welches Ziel verrfogst Du denn damit Failover oder Loadbalancing ?
Klar Netgear Produkte sind hier wohl etwas in verruf geraten um es mal nett zu umschreiben, aber je mehr die Leute hier wissen desto eher können Sie Dir zielgerichtet helfen.

MfG schuhi69
Mitglied: MalcolmCGN
MalcolmCGN 14.04.2011 um 22:56:47 Uhr
Goto Top
Hallo Schuhi69,

ok, dann werd ich mal alles auflisten.

Cisco Router/Modem vom ISP welches ich selber nicht konfigurieren kann.
Firewall VPN Watchguard XTM 505

Ziel wäre es:

Eine öffentliche IP auf mein Trusted Lan zu legen. Das heißt alle PC's und Server (DC/EX) sind dort drin und sollen z.bsp mit der 1.2.1.2 nach draussen gehen. 1x WAN und 1x Lan Anschluss benötigt.

Zwei weitere öffentliche IP's auf mein DMZ zu legen in welchem sich Webserver befinden. 1x. WAN mit der 1.2.1.3 und evtl zusätzl. 1.2.1.4 (IP Alias) belegt und 1x LAN belegt.

Problem ist halt zur Zeit wie oben beschrieben, dass die Box es nicht zulässt eine öffentliche IP, aus Eingangs beschriebener Range, auf jeweils einen Externen Port zu legen. Das lässt die Box nicht zu und ich bin mir nicht sicher ob es einfach generell nicht möglich ist oder ob ich einen Fehler mache.

Grüße
Mitglied: schuhi69
schuhi69 15.04.2011 um 00:24:13 Uhr
Goto Top
Hallöle MalcolmCGN,

niemand kann alles, angreifen wollte ich Dich damit auch nicht, aber wenn Du Dich mit der Cisco nicht auskennst, kannst Du doch auch gar nicht sagen ob Du etwas falsch machst, sorry aber wenn Dir die Leute hier nun helfen und es funtioniert nicht dann kannst Du das doch garnicht nachvollziehen.

Ich klink mich dann mal aus.

Trotzdem viel Erfolg ;)

MfG schuhi69
Mitglied: MalcolmCGN
MalcolmCGN 15.04.2011 um 08:23:07 Uhr
Goto Top
Hi Schuhi,

ich fühl mich auch nicht angegriffen. Alles im grünen Bereich...

An der Cisco kann ich eh nichts einstellen. Es geht um die Watchguard die Problemchen macht.

Wenn sich damit einer auskennt und mir weiterhelfen kann wäre ich dankbar.

Grüße
Mitglied: aqui
aqui 16.04.2011 um 16:07:47 Uhr
Goto Top
Benutze schlicht und einfach statisches 1:1 NAT auf der Watchguard. Damit kannst du die restlichen IP Adressen aus deinem öffentlichen Subnetz transparent 1:1 auf interne IPs umstellen.
Die Watchguard antwortet auf ARPs an diese Adressen auf dem WAN Port und setzt diese dann mit 1:1 NAT transparent um.
Ein simples Standardszenario was alle FWs und auch bessere Router supporten und wie man diese Problematik (...die keine ist !) im Handumdrehen löst.