Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

wie kann ich ein LAN über einen Router mit öffentlicher ip Adresse ins WAN bringen?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: hyperion

hyperion (Level 1) - Jetzt verbinden

30.05.2006, aktualisiert 24.09.2006, 5517 Aufrufe, 7 Kommentare

Hallo,

da in unserer Firma kein ADSL möglich ist, habe ich schweren Herzens bei der t-com SDSL bestellt.
Wir sollen nun einen cisco 2600 Router bekommen und 8 statische ip-adressen.

Ich nutze ein LAN mit 1 x w2k-Server/16 XPP Clients - Domäne mit DHCP und Weiterleitung auf einen ISDN-Router,
die Clients kennen als Gateway den ISDN Router und als DNS den w2k-server.

Der SDSL-Router soll den ISDN-Router ablösen. Kann ich denn einfach die ip-Adresse (statische) des neuen Routers
bei den Clients und im Server eintragen(die ip-Adresse liegt ja nicht im gleichen Segment wie das LAN)? oder muss ich in den Server eine 2. NIK einbauen und mit
statischer Route arbeiten??
Kann mir jemand einen Tip geben???

Vielen Dank!
-Gerd
Mitglied: Neuer
30.05.2006 um 14:15 Uhr
Hallo Gerd!

Ganz einfach, Du musst nur DNS- & DHCP-Server richtig einrichten, die Clients auf "atomatisch" stellen in den TCP/IP-Einstellungen und los geht's.
DHCP betreibst Du ja schon.

Als Beispiel sei gegeben:

IP-Range Deines Netzwerkes: 192.168.1.1 bis 192.168.1.255
Server vergibt IP-Adressen an Clients via DHCP
Subnetzmaske: 255.255.255.0
1. Nameserver (DNS) des Providers: 194.8.194.60
2. Nameserver des Providers: 213.168.112.60
Die Angaben zu den Nameserver bekommst Du beim Provider (Webseite/Anruf)

Router
IP-Adresse manuell einstellen auf 192.168.1.200
DNS-Server des Providers evtl. eintragen.
DHCP deaktivieren

Clients
Bei den TCP/IP-Einstellungen alles auf "automatisch" einstellen

Server

TCP/IP-Einstellungen:
Manuelle IP-Adresse einstellen: 192.168.1.100
Als DNS-Server die eigene DNS-Adresse einstellen
Als Gateway die IP-Adresse des Routers (192.168.1.200) einstellen

DNS-Server - Einstellungen:
Konsole des DNS-Servers mit START - VERWALTUNG - DNS aufrufen.
Findest Du dort einen Zoneneintrag der mit einem Punkt (.) gekennzeichnet ist - löschen.
Reiter Schnittstellen:
Die IP-Adresse des Servers eintragen
Reiter Weiterleitung:
Weiterleitung aktivieren "Alle anderen Domänen"
Die IP-dressen der DNS-server des Providers (im Beispiel s.o.) eintragen
KEINE Rekursion aktivieren
Restliche Reiter bleiben bei Standard-Einstellungen

DHCP-Server - Einstellungen:
Konsole des DHCP-Server mit START - VERWALTUNG - DHCP aufrufen
Bereich aufklappen
rechter Mausklick auf "Bereichsoptionen", "Optionen konfigureiren" auswählen
ROUTER: IP-Adresse des Servers eintragen (192.168.1.100)
DNS-SERVERS: IP-Adresse des Servers eintragen (192.168.1.100)
DNS-DOMAIN NAME: Der Name deiner Domain (meinedomain.local, AD-Name, nicht Internetdomain!!)
WINS-SERVER: IP-Adresse des Servers (192.168.1.100)

Nach einem heilsamen Neustart von
1. Server
2. Clients nachdem der Server sauber hochgelaufen ist


Sollte alles wunderbar funktionieren.
Diese Einstellungen kannst Du auch jetzt schon mit dem vorhandenen ISDN-Router prüfen, daran ändert SDSL (ausser vielleicht die DNS-Server des Providers) eigentlich nix.

Die dargestellte Konfiguration is allerdings sicherheitsmässig eher "Light".
Etwas besser wäre eine IP-seitige Trennung von Router und Domain durch den Einbau einer zweiten Netzwerkkarte im Server und Vergane unterschiedlicher Segmente für Router (externes Netz) und internem Netzwerk. Dann muss aber zwischen den Netzen (Karten) geroutet werden.
Sicher gehört bei einer solchen dauerhaften Verbindung auch zwingend eine vernünftige Firewall dazu. Entweder eine Appliance als Hardwarelösung oder eine vernünftige Softwarelösung, vielleicht integriert mit Virenschutz.

Ohne diese Dinge halte ich es sicherheitsmässig für Harakiri ...

Empfehlen kann ich Dir hierzu, für eine solche kleine Domäne den MS Small Business-Server 2003 in der Premium-Version, vor allem wenn du auch kein hautberuflicher Admin bist,
Die Einrichtung und Verwendung ist einfach und assistentengesteuert.
SBS 2003 Premium bringt

Windows Small Business 2003 Server SP1
MS Exchange 2003 Mailserver
ISA Server 2004 Firewall
SQL Server 2000 SP4


Alle Komponenten sind unter einer einheitlichen Verwaltungsoberfläche vereint und die Assistenten bringen auch ungeübte Admins zum Ergebnis.
Kann ich nur empfehlen.


Gruß aus Köln

Peter



p.s.

Für die sicherlich kommenden Kommentare :
Ja - es geht auch billiger
Ja - es gibt besseres
Ja - kaum jemand braucht den SQL-Server

Wenn es aber schnell und einigermassen einfach gehen soll, ist das meines Erachtens ziemlich konkurrenzlos. In Anbetracht von Mailserver und hochwertigster Firewall allerdings m.E. mehr als preiswert, man versuche bloss einmal die Einzelprodukte anderer Firmen incl. Lizenzen und das Netzwewrkbetriebssystem incl. Lizenzen zusammenrechenen und wird zweifelsohne auf einen immens höheren Preis kommen.
Bitte warten ..
Mitglied: filippg
30.05.2006 um 14:18 Uhr
Hallo,

ich bin mir nicht ganz sicher, ob ich das Problem ganz richtig verstanden habe. Aber grundsätzlich hat der Router zwei IP-Adressen. Einmal die externe, statische, die dir von T-Com bereitgestellt wird. Und dann kannst du noch eine interne zuweisen, die im Segment des LANs liegen muss. Bei dem bisherigen ISDN-Router ist das genauso, nur dass die externe nicht statisch ist, sondern bei jeder Einwahl neu zugeteilt wird. Der Router funktioniert damit als Gateway zwischen zwei Netzen (LAN und Internet bzw. LAN und T-Com-Netz, hier gibt es dann weitere Router (Gateways) zu anderen Internetsegmenten).
Das ist zumindest die einfache Variante. Du kannst auch in den Server eine zweite Netzwerkkarte einbauen, und dann ihn als Gateway für ein neues Netz nehmen, das nur aus Server und Router besteht. Clients müssen dann über den Server auf den Router und damit das Internet zugreifen. Das hätte den Vorteil, dass du dort den Netzwerkverkehr nochmal überwachen/steuern kannst. Dafür nimmt man dann aber meist einen dedizierten Rechner (der sich dann wiederrum Router nennt).
War das deine Frage?

Filipp

Edit: nochmal klarstellen: grundsätzlich funktioniert deine Netzwerkinfrastruktur mit dem neuen Router genauso wie mit dem alten ISDN-Router. Im Idealfall tauschst du die Geräte einfach gegeneinander aus und keiner merkts. Die externe statische Adresse ist nur dafür da, dass du damit einen Server betreiben kannst, der dann auch von extern unter einer immer gleichen IP-Adresse erreichbar ist.
Bitte warten ..
Mitglied: Neuer
30.05.2006 um 14:28 Uhr
Stimmt, habe ich vergessen zu schreiben, der Router bringt natürlich die statische IP nur für den externen Verkehr mit .
Die interne ist frei bestimmbar.

Nur würde ich die Lösung mit dem Austausch nicht wirklich empfehlen, da ich die DNS-Auflösung nicht clientseitig betreiben würde (indem dort der Router als Gateway eingetragen ist) sondern eher serverseitig, wie ich beschrieben habe.
Bei einer SDSL-Ansbindung dürfte auch kein Geschwindigkeitsvorteil bei einer clientseitigen DNS-Auflösung gegeben sien.
Zudem ist es sicherheitsmässig eher bedenklich, die Clients "direkt" ans Internet zu hängen ohne jegliche Steuerung und Filterung.
Bitte warten ..
Mitglied: hyperion
30.05.2006 um 16:47 Uhr
Vielen Dank für die schnellen Antworten!

ja, mit 2 ip-Adressen hätte ich das auch verstanden.

Auf dem Router steht adressrange :
xxx.xxx.xxx.48-xxx.xxx.xxx.55 Subnet Mask 255.255.225.248
Gateway xxx.xxx.xxx.49

Wenn ich mein Notebook nehme und den Router direkt per crosslink anschließe ip auf
x.x.x.50 GW auf x.x.x.49 mask 255.255.225.248 komme ich problemlos ins Internet (übrigens auch mit x.x.x.51 bis .54.

Ich bin nicht der grosse Netzwerkexperte, habe wohl schon ein paar Router konfiguriert aber nicht in der Grössenordnung cisco 2600, d.h. ich nächstes Problem -- wie die Kiste administrieren.
Deshhalb auch die Idee den Router erstmal nicht anzufassen und mein Netz anzupassen.

-Gerd
Bitte warten ..
Mitglied: aqui
31.05.2006 um 23:54 Uhr
Du kannst den Router ganz normal "telnetten" zum konfigurieren oder gehst über seinen Konsolport (RJ45 Buchse) mit einem Terminalprogramm (TeraTerm, Hyperterm etc. mit 9600 Baud N81 keine Flowcontrol) und bist dann auf dem Command Line Interface.

Wenn du schreibst das du schon eine Internetverbindung realisiert hast dann ist der Router ja schon fertig konfiguriert von der T-Com. Scheinbar wird er dann auch von denen gemanaged und du hast sowieso keinerlei Chance an der Konfig etwas zu verändern da der mit einem Passwort der T-Com gesichert ist. Man kann zwar pfiffigerweise mal auf der Cisco Seite nach "password recovery 2600" suchen und wird fündig aber das wird dir den geballten Zorn der T-Com bescheren...
Normalerweise ist auf dem Router eine Network Adress Translation konfiguriert, denn wie solltest du sonst mit einem internen Netz ins Internet kommen wenn dies eine RFC 1918 Adressierung hat wie eurer Netz vermutlich. Außerdem würden deine 8 öffentlichen Adressen ja nicht reichen für deine 16 Clients und den Server.
Leider schreibst du gar nichts welches 2600er Model das ist denn die 8 öffentlichen Adressen würden brach liegen und man könnte damit ein offenes Segment am Router bedienen, was aber eine 3 Ethernet Schnittstelle voraussetzt. Dies kann man sehr gut nutzen für ein VPN Gateway zum Remote Zugriff wenn man dies nicht mit dem Router selber erledigen will.
Ein einfacher Tausch der Router ist das einfachste. Die T-Com wird die interne Adresse ja sicher auf eure Adressierung angepasst haben. Wenn du schlau bist hast du denen gleich die IP des ISDN Routers mitgeteilt.
Hast du das nicht musst du lediglich die Gateway Adresse in eurem DHCP Server ändern auf die des Routers und auch den DNS Server auf den des Carriers (Bei T-Online z.B. 194.25.2.129). Das sollte es dann gewesen sein.
Das Szenario hat aber einen Haken. Sollte der Router T-Com gemanged sein seit ihr vollständig davon abhängig das die Kollegen keinen Fehler in der Konfig machen. Übrprüfen ob eurer Netzwerk wirklich sicher hinterm NAT hängt könnt ihr ja nicht durch den Zugangsschutz des Routers. In solchem Falle ist es also zwingend angeraten sich zusätzlich mit einer Firewall die man SELBER administriert abzusichern zumal es ein Unternehmensnetz mit sicherheitsrelevanten Daten ist. die T-Com wird in Ihren AGBs eine Haftung sicherloch ausschliessen !!!

Sollte der 2600er wider Erwarten doch eurer eigenes System sein hilft dir folgende Konfig weiter: (IP Adressen auf deine Belange anpassen)

clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero

interface Ethernet 0
description Lokales Ethernet
ip address 172.16.1.254 255.255.255.0
ip access-group 103 in
ip nat inside
no cdp enable
!
interface Ethernet 1
description SDSL Leitung T-Com
ip address 212.123.123.123 255.255.255.248
ip nat outside
no cdp enable
!
ip nat inside source list 101 interface ethernet1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 (next hop router ip Carrier)
no ip http server
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 103 deny udp any any range netbios-ns netbios-ss
access-list 103 deny udp any any range 1433 1434
access-list 103 deny udp any any eq 135
access-list 103 deny tcp any any eq 135
access-list 103 deny udp any any eq tftp
access-list 103 deny tcp any any eq 445
access-list 103 deny tcp any any eq 593
access-list 103 deny tcp any any eq 4444
access-list 103 permit ip 172.16.1.0 0.0.0.255 any
access-list 103 deny ip any any

Die ACL 103 filtert Windows Broadcasts und die wichtigsten Malware Protokolle. ACL 101 bestimmt wer ins Internet darf.
Bitte warten ..
Mitglied: hyperion
07.06.2006 um 08:49 Uhr
Vielen Dank für die antworten und Anregungen!

Ich habe jetzt doch einen LAN-Router genommen.
GW - ip-Adresse ist lokale Routeradresse.
Im Router dann als feste WAN eine von den zugewiesenen t-online ip-Ardessen, Subnet und die GW steht auf dem Cisco-Router. - Hatte dann sofort Verbindung ins www.
Router im LAN ist übrigens ein ALL-1294VPN.
VPN funktionierte auch auf Anhieb. Die Konf. des Cisco ist also völlig Transparent und im Moment sehe ich auch keinen Grund da etwas zu konfigurieren.

- Gerd
Bitte warten ..
Mitglied: Midivirus
24.09.2006 um 13:55 Uhr
Zu den IP-Adressen ... es gibt die Maske 32 (nur eine IP) oder halt ein 8ter Netz,
Netzadresse und Broadcast Adresse!

Du hast halt die Möglichkeit, 6 verschiedene Server auf der gleichen Leitung zu betreiben ... eigentlich ist das zwar zuviel overhead, was du da hast, aber nich schlimm!

...

Naja, Beitrag ist wahrscheinlich gelöst und sollte dementsprechend markiert werden, danke!

Midivirus
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

E-Mail
gelöst Falsche SMTP Server IP Adresse (6)

Frage von laster zum Thema E-Mail ...

Batch & Shell
Hostname bzw IP-Adresse in Excel eintragen (12)

Frage von EgonFrenz zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...