zsraider
Goto Top

Router CISCO 1700 und LAN

Hallo liebe Gemeinde face-smile

eine ganze Weile lese ich hier schon mit. Ein Problem hat mich nun dazu gebracht, mich anzumelden und Euch mit folgenden
Problemen bzw. mit folgenden Fragen zu "nerven" face-smile

Heute haben wir eine 2Mbit Standleitung bekommen. Neben dem Netzabschluss der Marke "Marconi" wurde uns auch ein Cisco Router 1700 gestellt. Auf diesen Router habe ich keinen Adminzugriff. Das regelt unser Provider. Dieser sagte mir auch, das ich mich selbst um eine Firewall kümmern muss. Der Router hat einen 10/100 Mbit EthernetPort. Diesen Router kann ich auch vom WAN aus anpingen.
Wir haben 6 IP Nummern bestellt. Diese sehen wie folgt aus: x.x.x.81 ; x.x.x.82 usw.

Problem 1: Die 81 kann ich ohne Probleme anpingen. Aber die Pingversuche 82 bis 86 gehen ins leere.
Woran kann das liegen. Meiner Meinung nach ist doch in diesem Fall der Provider in der Pflicht oder?
Wie gesagt, Adminzugriff habe ich nicht auf diesen Router.

Problem 2: Mit diesen typischen Konfigurationen in Sachen LAN, DSL, W-LAN und Servern kenne ich mich aus.
Mit WAN habe ich noch keine Erfahrungen. Somit weiss ich nicht so richtig wie es hier weitergeht.
Firewall: Kann ich an den Ethernetport des CISCO Routers einen weiteren Router hängen und diesen dann
nach meinen Anforderungen einrichten? Oder macht es mehr Sinn die Firewall meines Providers zu nutzen,
die ich A) bezahlen muss und B) nicht selbst konfigurieren kann?

Problem 3: An den ersten drei IP-Nummern (81;82;83) die mir mein Provider gestellt hat, möchte ich drei verschiedene Server
für unsere Außenstellen bereit stellen. Mal abgesehen davon das ich im Moment die IP 82 und 83 nicht anpingen kann,
wie sollte ich da vorgehen? Einen eigenen Router an das CISCO-Gerät anschließen und an diesen Ethernetports
die drei Server betreiben?

Mein Provider gibt mir bei solchen Fragen kaum eine Auskunft. Da wird nur rumgestottert. Ich habe auch den Eindruck
das dort so eine Arte "Sold & Customer Away" Mentalität herscht. Support ist da ein Fremdwort. Es hat allein 4 Anrufe
gebraucht, bis man mir endlich meine IP-Nummern mitgeteilt hat. Eine Domain habe ich da auch beantragt.
Da war dann plötzlich die fünfte Seite des Antrages verschwunden. Nach 2 weiteren Anrufen stellte sich heraus,
das wir die fünfte Seite eigentlich nicht benötigen. Ein Router für meinen 19" Serverschrank sollte ich bekommen.
Sagte man mir jedenfalls. Der Techniker brachte dann eine Tischgerät, das sicherlich schon einige verschiedene
Serverschränke gesehen hat. Das aber nur am Rande.

Hier noch einige Angaben zu meinem Netzwerk:
- 1x Win-Server 2003
- 2x Win-Server 2000
- 25x Client mit Win XP Pro
- kein DHCP
- noch Arbeitsgruppe (Umstellung auf Domän kommt demnächst)
- Verbindungen laufen über eine 48 Port 3com Switch
- 3 A-DSL Anschlüsse mit Router

Für Antworten, Anregungen, Lösungsvorschläge wäre ich sehr dankbar.
Falls es zu meinen Ausführungen noch Fragen gibt, beantworte ich diese natürlich gern.

Vielen Dank im Voraus.

MfG
Alex

Content-Key: 3497

Url: https://administrator.de/contentid/3497

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: linkit
linkit 27.10.2004 um 10:17:03 Uhr
Goto Top
Also zunächst mal, auch wenn es sich hart anhört, aber das íst nicht das Problem des Providers.... tut mir leid, wenn ich es so hart formulieren muß, aber du kannst auch nicht zum Autohändler gehen, ein Auto kaufen und dann ihn fragen, wie man damit fahren muß. Hierzu mußt du schon eine Fahrschule besuchen.

*


So jetzt zu deinem Problem, 6 IP Adressen ist eigentlich untypisch, normalerweise ist es 1, 8, 16, 32 usw.... aber gut....

daß du nur eine anpingen kannst ist klar, daß wird in dem Fall wahrscheinlich dein Router sein.
Alle andere dienen dafür, um intern eine Verbindung zu dem Router herzustellen, denn diese müssen ja in der selben IP-Gruppe und Subnetzmaske liegen.

Beispiel: dein Router hat 204.280.10.81 .... und die Subnetmaske 255.255.255.240, so haben die anderen IP-Adressen, die du bekommen hast, die selbe Maske und die ersten drei Ziffern gleich nur die letzte zählt hoch: 82, 83, 84 usw....

Um dein Netz nun anzubinden und mit einer Firewall zu versorgen gehst du am besten folgendermaßen vor:

Du benötigst du einen Rechner mit zwei Netzwerkkarten. Die erste Netzwerkkarte versorgst du mit einer statischen lokalen IP-Adresse. Die zweite Netzwerkkarte bekommt eine öffentliche IP, also beispielsweise 204.280.10.82, eine die also noch frei ist und die nicht anpingen kannst.
Vergiß nicht, die Subnetmaske richtig einzutragen. Darüberhinaus trägst du ebenfalls auf dieser Netzwerkkarte als Gateway die Adresse des Routers ein: 204.280.10.81.
Falls du keine eigene DNS Verwaltung machst, benötigst du vom Provider noch den DNS und Secondry DNS, die du ebenfalls auf diesen Netzwerkkarten einträgst.


Wenn das alles gemacht ist, solltest du von diesem Rechner aus schon einen Ping auf www.heise.de machen können. Eventuell kannst du auch schon über deN Internetexplorer Seiten aufrufen. Wenn das alles geht, dann erst kannst du weitermachen.

Jetzt benötigst du noch eine Firewall, die mit 2 Netzwerkkarten umgehen und filtern kann.
besonders sichere Netze haben noch eine 3 Netzwerkkarte oder eine DMZ. Als Beispiel (auch wenn samtpfote jetzt aufschreit face-wink ) kann ich dir beispielweise den ISA Server von MS nennen.

Der Vorteil der Software ist, daß diese Software gleichzeitig auch noch als Proxyserver dient, daß heißt, er stellt die Webdienste bzw. den Webcache im Netz zur Verfügung.

Es gibt aber auch andere kostengünstigere Varianten bis hin auf Linux ebene zu kostenlosen Derivaten.
Mitglied: Samtpfote
Samtpfote 27.10.2004 um 15:42:17 Uhr
Goto Top
*grins*
ich schreie nur, weil Du dem armen unkundigen eine Softwarefirewall antun willst, obwohl er mit TCP/IP offensichtliche grundlegende Verständnis-Probleme hat....
(Deinen Vergleich mit dem Autofahren finde ich einfach wunderbar, face-smile

also lieber Alex, hier ist Deine erste Fahrstunde:

aus 8 mach 6: bei einem 8er netz (Subnetmask 248) sind 2 Adressen futsch für Broadcast und Network und eine fürs Gateway

Ich nehme mal an, daß Dein Router als Bridge konfiguriert ist, das heißt der Provider stopft ein Netz hinein und am anderen Ende kommen 8 IP Adressen raus. Die x.x.x.81 kannst Du deshalb anpingen, weil sie als Gateway konfiguriert ist und als eigene IP Adresse des Routers eingetragen ist; Die maximale Anzahl an IP Adressen, die Du jetzt für Hosts verwenden kannst ist 5 (also .82 .83 .84 .85 .86) .80 ist Network und .87 ist Broadcast.

Ob ich recht habe kannst Du einfach testen, nimm einen Client, der im selben Netz wie Dein Router hängt, (pass auf, daß er einen Antivirus und die Windows Firewall am laufen hat) und ändere seine IP Adresse auf x.x.x.82 nimm als Subnetmaske 255.255.255.248 und als Gateway die x.x.x.81 nimm als DNS irgendeinen externen DNS Deines Providers
Er sollte über Internet unter .82 anpingbar sein (wenn die Firewall kein ICMP blockt) und Du solltest ein Traceroute von diesem Client zu einem Internethost machen können. (Befehl tracert + Adresse (zB www.microsoft.com)

Dein Provider tut also nichts anderes als eines seiner Netze zu Dir durchzurouten. Ob da nun jemand auf die Adressen 82.-86 hallo schreit, hängt von DEINER Konfiguration ab, nicht von seiner. Grundsätzlich solltest Du auf keinen Server eine öffentliche IP Adresse drauftun, es sei denn, Du hast eine Firewall (entweder softwaremäßig - gerne mit ISA Server + 2. Netzwerkkarte) oder Hardwaremäßig mit einem kleinen NAT Router.

Was möchtest Du denn genau machen? Wenn es drei Webserver werden sollen die ganz im Internet sind, würde ich da nicht unbedingt Active Directory draufmachen, wenn es ein RAS Server werden soll, wo sich Benutzer übers Internet reinwählen, brauchst Du nicht unbedingt eigene IP Adressen für jeden Server.

Wenns mein Netz wäre:
Konfiguration Internet für die 25 Clients + die internen Server:
1. Cisco an einen eigenen Switch hängen (Switch A)
2. an Switch A einen kleinen NAT Router mit externer Konfiguration:
IP Adresse 82(oder 83,84,85,86).x.x.x Subnetmask 255.255.255.248 Gateway 81.x.x.x
Interner Konfig: 192.168.x.254 (abhängig von Deinen Internen IP Adressen)
den Nat Router mit dem Externen Interface an Switch A hängen
mit dem Internen an den Switch B (Switch wo alle Clients und deine internen Server draufhängen, 3com)

3. Server, der am internen Switch B (3com) hängt mit DHCP konfigurieren, den Clients als DNS den internen server, als Gateway 192.168.x.254 geben, IP Adresse im internen Range 192.168.x.y)

4. Die externen Server an Switch A hängen und als IP Adressen die weiteren öffentlichen nehmen (dann aber UNBEDINGT Firewall software drauf) oder für jeden Server einen kleinen NAT-Router nehmen, der die Ports blockt und den Servern jeweils eine IP Adresse in einem eigenen privates C-Klasse Netz. 192.168.x.1

Ist das soweit noch klar, oder wars zu unverständlich formuliert? Wir helfen Dir gerne weiter, aber Du müßtest Deine genauen Anforderungen beschreiben, dann können wir Dir ein hübsches Netzwerdesign entwerfen. face-smile gell Christian?

Hope this Helps
A.