Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VDSL mit 8 fixen IPs an Cisco Pix 506e

Frage Netzwerke Router & Routing

Mitglied: stonee76

stonee76 (Level 1) - Jetzt verbinden

01.02.2010, aktualisiert 22:08 Uhr, 6035 Aufrufe, 8 Kommentare

Hallo

wir haben hier einen VDSL Anschluss der einen fixen IP Block (/29) beinhaltet. Der VDSL Router hängt im Bridge-Modus vor einer PIX 506e welche das PPPoE erledigt.
Das ganze funktioniert leider nur "Teilweise"....

Auf dem outside Interface bekommt die PIX per PPPoE eine statische IP (212.129.xxx.yyy/32) zugewiesen. auf dem inside interface ist ein privates Netz (172.24.0.0/24) konfiguriert. Der 8-er Block beinhaltet das Netz 62.167.4.136/29.
Ich habe einige IPs aus dem 62er Block per statischem NAT auf interne Adressen konfiguriert auf welchen Mail usw laufen. Leider sind diese Adressen nicht von überall erreichbar, so kann man z.B. von (172.24.0.28 / 62.167.4.139) auf golem.de zugreifen nicht aber auf heise.de.

Traceroute von (172.24.0.28 / 62.167.4.136 ) auf die Beispiele von oben:

www.golem.de
1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 22 ms 21 ms 20 ms 212.161.251.186
5 22 ms 25 ms 21 ms ae-1-1.bbr1.fra3.de.inetbone.net [80.81.192.

6 38 ms 38 ms 38 ms l0.core1.fra3.inetbone.net [83.220.157.66]
7 38 ms 39 ms 39 ms vl331.dh65.ls.b.all.de [212.21.76.114]
8 52 ms 38 ms 38 ms vz-srv28.syseleven.de [193.164.134.28]
9 38 ms 37 ms 38 ms server-z160.syseleven.de [193.164.134.160]


www.heise.de
1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 21 ms 37 ms 20 ms 212.161.251.186
5 * * * Zeitüberschreitung der Anforderung.
6 21 ms 21 ms 20 ms heise2.f.de.plusline.net [82.98.98.106
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
..... bis Hop 30 so weiter....

Das ganze setzt sich für beliebige Netze fort.

Hier die Config der PIX

01.
Building configuration... 
02.
: Saved 
03.
04.
PIX Version 6.3(3) 
05.
interface ethernet0 auto 
06.
interface ethernet1 auto 
07.
nameif ethernet0 outside security0 
08.
nameif ethernet1 inside security100 
09.
enable password *** encrypted 
10.
passwd *** encrypted 
11.
hostname pix 
12.
domain-name xxx.yy 
13.
clock timezone CEST 1 
14.
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 
15.
fixup protocol dns maximum-length 512 
16.
fixup protocol ftp 21 
17.
fixup protocol h323 h225 1720 
18.
fixup protocol h323 ras 1718-1719 
19.
fixup protocol http 80 
20.
fixup protocol pptp 1723 
21.
fixup protocol rsh 514 
22.
fixup protocol rtsp 554 
23.
fixup protocol sip 5060 
24.
fixup protocol sip udp 5060 
25.
fixup protocol skinny 2000 
26.
fixup protocol smtp 25 
27.
fixup protocol sqlnet 1521 
28.
fixup protocol tftp 69 
29.
names 
30.
name 172.24.0.35 dev 
31.
name 172.24.0.33 monolith 
32.
name 172.24.0.75 dev2 
33.
name 172.24.0.28 mail 
34.
object-group service MailServer tcp 
35.
  port-object eq https 
36.
  port-object eq www 
37.
  port-object eq smtp 
38.
access-list outside_access_in permit icmp any any  
39.
access-list outside_access_in permit tcp any host 62.167.4.139 object-group MailServer  
40.
access-list outside_access_in permit tcp any host 62.167.4.140 eq ssh  
41.
access-list outside_access_in permit tcp any host 62.167.4.140 eq www  
42.
access-list vpn_members_splitTunnelAcl permit ip 172.24.0.0 255.255.255.0 any  
43.
access-list inside_outbound_nat0_acl permit ip 172.24.0.0 255.255.255.0 10.24.42.0 255.255.255.0  
44.
access-list outside_cryptomap_dyn_20 permit ip any 10.24.42.0 255.255.255.0  
45.
pager lines 24 
46.
logging on 
47.
logging host inside 172.24.0.79 
48.
icmp permit any outside 
49.
mtu outside 1500 
50.
mtu inside 1500 
51.
ip address outside pppoe setroute 
52.
ip address inside 172.24.0.1 255.255.255.0 
53.
ip audit info action alarm 
54.
ip audit attack action alarm 
55.
ip local pool vpn_ch 10.24.42.1-10.24.42.254 
56.
pdm location dev 255.255.255.255 inside 
57.
pdm location monolith 255.255.255.255 inside 
58.
pdm location 10.24.42.0 255.255.255.0 inside 
59.
pdm location mail 255.255.255.255 inside 
60.
pdm location dev2 255.255.255.255 inside 
61.
pdm location 172.24.0.79 255.255.255.255 inside 
62.
pdm location 62.167.4.136 255.255.255.248 outside 
63.
pdm logging informational 100 
64.
pdm history enable 
65.
arp timeout 14400 
66.
global (outside) 1 interface 
67.
global (outside) 2 62.167.4.138 
68.
nat (inside) 0 access-list inside_outbound_nat0_acl 
69.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
70.
static (inside,outside) 62.167.4.139 mail netmask 255.255.255.255 0 0  
71.
static (inside,outside) 62.167.4.140 dev netmask 255.255.255.255 0 0  
72.
access-group outside_access_in in interface outside 
73.
timeout xlate 0:05:00 
74.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
75.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
76.
timeout uauth 0:05:00 absolute 
77.
aaa-server TACACS+ protocol tacacs+  
78.
aaa-server RADIUS protocol radius  
79.
aaa-server RADIUS (inside) host monolith success88 timeout 5 
80.
aaa-server LOCAL protocol local  
81.
ntp server 77.109.137.140 source inside prefer 
82.
http server enable 
83.
http 172.24.0.0 255.255.255.0 inside 
84.
no snmp-server location 
85.
no snmp-server contact 
86.
snmp-server community public 
87.
no snmp-server enable traps 
88.
floodguard enable 
89.
sysopt connection permit-ipsec 
90.
sysopt connection permit-pptp 
91.
sysopt connection permit-l2tp 
92.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  
93.
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 
94.
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 
95.
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map 
96.
crypto map outside_map client authentication RADIUS 
97.
crypto map outside_map interface outside 
98.
isakmp enable outside 
99.
isakmp nat-traversal 30 
100.
isakmp policy 20 authentication pre-share 
101.
isakmp policy 20 encryption 3des 
102.
isakmp policy 20 hash md5 
103.
isakmp policy 20 group 2 
104.
isakmp policy 20 lifetime 86400 
105.
vpngroup vpn_members address-pool vpn_ch 
106.
vpngroup vpn_members dns-server mail 
107.
vpngroup vpn_members default-domain xxx.yy 
108.
vpngroup vpn_members split-tunnel vpn_members_splitTunnelAcl 
109.
vpngroup vpn_members idle-time 1800 
110.
vpngroup vpn_members password ******** 
111.
telnet 172.24.0.0 255.255.255.0 inside 
112.
telnet timeout 5 
113.
ssh 172.24.0.0 255.255.255.0 inside 
114.
ssh timeout 5 
115.
console timeout 0 
116.
vpdn group pppoe_group request dialout pppoe 
117.
vpdn group pppoe_group localname dslUSer  
118.
vpdn group pppoe_group ppp authentication mschap 
119.
vpdn username dslUSer password ********* store-local 
120.
terminal width 80 
121.
Cryptochecksum:5e63725911e2e60ed963863338802e78 
122.
: end 
123.
[OK]
Hier noch der Output von show route der PIX

01.
 outside 0.0.0.0 0.0.0.0 212.161.209.109 1 PPPOE static 
02.
 inside 172.24.0.0 255.255.255.0 172.24.0.1 1 CONNECT static 
03.
 outside 212.161.129.234 255.255.255.255 212.161.129.234 1 CONNECT static
Das selbe betrifft auch die dynamischen Client wenn das NAT mit einer 62er Adresse gemacht wird, mache ich das NAT für die dynamischen Clients jedoch mit der PPPoE Adresse funktionieren diese ohne Probleme.

Ich finde hier leider den Fehler nicht, falls also jemand einen Tipp hat was hier falsch konfiguriert ist wäre ich sehr dankbar.

Gruss Stonee76
Mitglied: aqui
02.02.2010 um 08:55 Uhr
Nur nochmal dumm nachgefragt: Das Outside Interface und der öffentliche IP Block können ja, da sie in vollkommen unterschiedlichen IP Netzen liegen, niemals auf einem physischen Interface arbeiten !!
In so fern ist unklar wo dein öffentliches Subnetz liegt. Kann ja eigentlich dann nur ein DMZ Segment an der PIX sein was dann im Design so aussieht:

5203d1ec07c9413bbf50821c948fa566 - Klicke auf das Bild, um es zu vergrößern

Ist dem so ??? Das DMZ Segment wird dann logischerweise nicht geNATtet, richtig ??
Wenn das alles so ist dann kannst du niemals die 62er Adressen als statische IPs auf dem Outside Interface konfigurieren. Damit rennst du in ein Routing Problem...logisch. Der Providerrouter geht davon aus das dein Subnetz 62.167.4.136 /29 hinter der festen Gateway IP 212.129.x.y liegt und hat diese als next Hop konfiguriert.
Du legst diese 62er IPs dann aber fälschlich direkt in sein 212.129er Subnetz Folglich ist es klar das damit durch dein falsches IP Adressdesign dann diese Probleme entstehen !
Fazit: Korrigiere dein IP Design wie es richtig ist und vom Providerrouter erwartet wird nach obigem Bild und dann verschwinden deine Probleme auf Schlag !
Bitte warten ..
Mitglied: stonee76
02.02.2010 um 16:50 Uhr
Hallo

Besten Dank für deine Antwort. Leider hat die PIX nur 2 Interfaces und kann auch keine VLANs wo ich eine DMZ hätte konfigurieren können.

Ich habe mittlerweile das DSL-Modem wieder in den Routing-Modus versetz und den 62er block im LAN konfiguriert. NAT ist auf den DSL Router deaktiviert und dass sollte laut Zyxel Support auch so passen. Leider geht das Routing zu diversen Netzen immer noch ins Nirvana, auch ohne angeschlossene PIX mit nur einem Testrechner.

Die Konfig sieht nun so aus.
f6132c78b7f52306c76eb773d89860a2 - Klicke auf das Bild, um es zu vergrößern

Leider klappts auch so nicht.
Kann es sein dass da was am Routing bein Provider vermurkst ist.
Bitte warten ..
Mitglied: aqui
02.02.2010 um 19:05 Uhr
Bist du dir ganz sicher das der Zyxel auch VDSL supportet ?? VDSL erfordert ein VLAN Tagging auf dem DSL Link. Kann der Zyxel das ??
http://de.wikipedia.org/wiki/T-Home_Entertain --> Technik, VDSL2
Bitte warten ..
Mitglied: stonee76
02.02.2010 um 20:26 Uhr
Ja der 2802HWL ist VDSL tauglich, der DSL Teil hat ja auch immer korrekt funktionert.

Das ganze funktionert auch wenn ich das NAT mit der WAN Adresse mache, sobald aber der 62er Block ins Spiel kommt haperts.
Bitte warten ..
Mitglied: aqui
08.02.2010 um 11:30 Uhr
Ja, das ist klar, denn dann darfst du KEIN NAT mehr machen. Am einfachsten ist du machst den Zugang z.B. mit Pfsense mit 3 Interfaces (z.B. ALIX Board) oder einer anderen Firewall/Router mit 3 Segmenten:
http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html
und benutzt den 62er Block wie es sich eigentlich für solche Szenarien gehört als sauberes DMZ Segment.
Alles andere ist Fricklei und schafft dir Probleme...
Bitte warten ..
Mitglied: stonee76
08.02.2010 um 13:22 Uhr
Mittlrweile läuft alles so wie es sollte. Nach längerem telefonat mit der Support-Hotline des Providers stellte sich heraus, dass sie den 62er Block doppelt vergeben hatten. Nachdem Sie das nun bereinigt haben passts mit den routing.

Danke für deine Hilfe.
Bitte warten ..
Mitglied: EvilToken
17.06.2011 um 18:24 Uhr
Hallo,

darf ich an dieser Stelle mal Fragen bei welchen Provider VDSL mit 8 statischen IPs möglich ist?
Ich suche schon etwas länger nach potentiellen Providern die das anbieten und bis jetzt kenne ich nur einen:
MK Netzdienste. Die Telekom bietet es leider nicht an. Bei denen ist ein VDSL Business Anschluss immer mit
einer statischen IP.

Wie funktioniert das eigentlich technisch?
- Der VDSL Router macht eine PPPoE Verbindung nach draußen auf
- Intern ist dann eine vom Provider statisch Konfigurierte IP Range
- Die erste Adresse der IP Range ist dann das Standard-Gateway?

Ich wünsch euch noch ein schönes WE

Gruß EvilToken
Bitte warten ..
Mitglied: aqui
17.06.2011 um 21:48 Uhr
Genau richtig ! Welche IP Adresse der IP Range du aber als Gateway vergibst ist völlig egal. Ausnahme der Provider stellt dir auch einen vorgekauten Router vor die Nase wo du nix drauf konfigurieren kannst.
Dann musst du natürlich mit dem leben was der Provider dir vorgibt !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Router & Routing
gelöst Proxmox WAN IPs (13)

Frage von sebastian2608 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...