Lancom 1781EF+ als Gateway Router (mit 16 festen IP Adresse)

[JRU]

Hallo Forum,

wir haben einen neuen Glasfaser Anschluss bekommen. Dieser Anschluss beinhaltet 16 feste IP Adressen.
Vom Provider habe ich folgende Informationen bekommen:
Feste IP: 127.228.244.6 (IP adressen habe ich verändert)
16er Netz: 127.228.244.240 bis 127.228.244.255 (IP adressen habe ich verändert)

Vor dem 1781EF+ sitz ein Glasfaser Modem und geht dann auf den WAN Anschluss.
Der Router ist bereits über PPOE online.

Nun sollen hinter dem ETH1 ein Netzwerkswitch und dann weitere Router von Verschiedenen Firmen/Hersteller hängen.
Jeder Router bekommt eine eigenne IP Adresse. Ich habe das ganze, mal als Zeichnung skizziert (siehe Anhang).

Könnt ihr mir Tipps zur Einrichtung geben?


Viele Grüße
Jürgen

[JRU]

Kann mir dazu niemand Tipps geben?

[Koppelfeld]

Kann mir dazu niemand Tipps geben?

Netzwerker hassen "Smileys" und schreiben "Tip" richtig ...

Jetzt ernsthaft:
Klar geht das, aber was willst Du eigentlich erreichen ?

Bevor man das nicht klärt, ist jede Beratung kontraproduktiv.


Mindestens sollte geklärt werden, ob wirklich der ganze Traffic durch den 1781EF+ gehen soll (das kann wg. QoS sinnvoll sein, kann aber auch nicht), ob man da, am gleichen Netz (denn Du hast keine 16 "feste IPs" bekommen, und auch kein "16er Netz", sonder ein /28er) nicht vielleich einen zweiten LANCOM anflanscht, in VRRP - Konfiguration ...


Dazu muß man wissen, wozu das Netz und die Router da sind und welche Server sie bedienen.

Ohne Kenntnis der Server weiß man nichts hinsichtlich des Schutzbedarfs.

Dazu müßte man sich euren Laden einfach einmal angucken.


ODER Du buchst bei Lancom, Herrn Wolfgang Ohn, den "Netzdesign-Lehrgang", den er seit knapp vier Jahren verspricht.

[Dr.Einstein]

Hi Jürgen,

kurze Antwort:

https://www2.lancom.de/kb.nsf/1275/A2E9 ... enDocument

Mir gefällt nur nicht deine Gatewayadresse aus dem Beispiel im Verhältnis zum vergebenen Netzwerk.

Gruß Dr.Einstein

[PappaBaer]

Hallo Jürgen,

ohne Dir zu Nahe treten zu wollen... Ich denke auch, hier mangelt es bei Dir noch an grundlegenden Netzwerkkenntnissen, vor allem was TCP/IP angeht.
Beispiele?
- Wie Koppelfeld schon schrieb: Du hast weder 16 öffentliche IP-Adressen noch ein 16er Netz. Es ist ein 28er Netz mit 14 öffentlichen IP-Adressen, von denen eine das Gateway auf Providerseite ist, bleiben Dir also 13 Adressen.
- Wie Dr. Einstein schrieb: Gateway-IP 217.229.244.6 gehört nicht zum Subnetz 217.229.244.240/28, ist also aus diesem Netz als Gateway gar nicht erreichbar.
- Bei Deinen Routern auf der linken Seite steht jeweils als Gateway-IP die 217.229.244.239. Auch das ist eine IP aus einem anderen Subnetz und somit von den Routern gar nicht erreichbar.
- Beim "WEB SCADA System" steht als Cisco Router IP: 217.229.224.240. Das ist in Deinem zugewiesenen Subnetz aber keine für Hosts verwendbare Adresse, sondern die Netzadresse.
- Wozu genau dienen die eingezeichneten VPN-Tunnel und wo werden die terminiert?
Die ganze Zeichnung ist so leider nicht nur nutzlos, sondern zeigt eben auch deutlich, dass Du noch mehr oder weniger Zeit investieren musst, um Dich mit den Netzwerk-Basics zu beschäftigen.

Grüße,
Torsten

[Koppelfeld]

Hallo PappaBaer,

hier mangelt es bei Dir noch an grundlegenden Netzwerkkenntnissen, vor allem was TCP/IP angeht.

Meines Wissens sind das die "ganz normalen Netzwerkkenntnisse", die "man" so hat. "Es gibt Class A, Class B und Class C". Und es ist etwa 25 Jahre her nach der Einführung von CIDR.

Der Schuldige ist: Dr. Einstein !

Und nein, ich meine damit nicht den hiesigen Forumsteilnehmer, sondern das SIEMENS - Schulungsmaskottchen, mit dem jeder malträtiert wurde, der sich jemals mit Automationstechnik aus diesem Hause beschäftigen mußte. Da gab es lustige Dinge wie den "Unterprogrammkeller", weniger lustige wie den "KOP-Editor", womit man Boolesche Logik in der Art von Schaltbildern ausdrücken konnte, und wirklich peinliche wie den "Netzwerktutor" Albert E. Er erinnerte, wohl absichtlich, an "Daniel Düsentrieb". Jeder, der maximal ein Vierteljahr irgendeine Maschine programmiert hatte, sei es nun ein Taschenrechner, eine NC-Maschine oder irgendeinen Minicomputer, wandte sich kreidebleich von dem Mist ab, denn er barg und birgt eine furchtbare Fehlerquelle: Das "Programmiersystem" beherrschte nämlich keinerlei Symbolnamentabelle, wo zugeordnet werden konnte, "Ausgang 2.7 ist Wegeventil Schüttgutschieber, XV-07-02". Man war also gezwungen, hunderte von Zeilen mit absoluten Adressen zu codieren und WEHE, etwas änderte sich. Irgendein kleiner Unterlassungsfehler, und der verheerende Menschen- oder Maschinenschaden war geboren.
Blöd war aber, wer z.B. für "VW" arbeitete, war gezwungen, diesen Müll zu benutzen und mußte sogar den Besuch der völlig sinnlosen Leergänge nachweisen. Und dort präsentierten sich dann drei Platzhirsche, SIEMENS, CISCO und T-Systems, ich glaube, die hatten sogar einen eigenen Laden namens DEBIL oder so.
Da muß ich jetzt einmal eine Lanze für die Elektriker brechen. In der Regel sind das intelligente Bürschchen, die mit komplexen Aufgabenstellungen klarkommen. Gut klarkommen. Aber diese Veranstaltungen wurde von Kalfaktoren gestaltet, die nicht einmal einen Kindergottesdienst hätten organisieren können. Total abgehalfterte alte Tattergreise, fast so alt wie ich, erklärten jungen, interessierten Elektrikern und E-Technikern die Welt. Es hätte auch keinen Zweck gehabt, aufzustehen und auf den Putz zu hauen, denn schon das Leermaterial war derart hanebüchen falsch, da kann man nix mehr ändern außer mit einem Caterpillar.
An den Berufsschulen lernen die Schüler immer noch "Class A, Class B und Class C". Aber nicht den Unterschied zwischen L1, L2 und L3.. Da sind dann ganze Generationen dauerhaft versaut worden. Dieses "Fachwissen" ist hernach fast so schwierig auszurotten wie "Allah" oder der "liebe Gott".

Auch in der SIEMENS - Entwicklung hatte man ein Problem, "TCP/IP" gab es dort nicht, denn man hatte ja das hauseigene "TRANSDATA", und das einzige, was man noch akzeptierte, war "SNA", die Netzwerk-Protokollgruppe von IBM. Und beides war sehr verbreitet. Zur Interoperabilität gab es bei Siemens noch "SNATCH", "SNA over Transdata Connection Handling", und ich erinnere mich noch daran, daß ein Kollege in den USA seinen Vortrag "Let's go deep into SNATCH" nicht genehmigt bekam, denn "Snatch" ist im amerikanischen wohl ein Synonym für "Fot ze".

Irgendwann stellte man bei Siemens fest, "Wir leben in einem Paralleluniversum". Und es war klar, da waren weder Kunden noch Mitarbeiter wegzubekommen. Und so entstanden die "SCADA" - Systeme, "System Control And Data Acquisition", die man von ein paar Studenten auf der bewährten "Windows 95" - Plattform zusammendelirieren ließ und die zum Ziel hatten, dem E-Techniker und Steuerungsbauer alles "Netzwerktechnische" abzunehmen.
An so etwas wie "Sicherheit" hatte man damals natürlich nicht gedacht. Wozu auch? Es werden doch bloß Großkraftwerke, Walzwerke, Hochöfen und so 'ne Dinge damit betrieben. Speaking of which: Vor gut zwei Jahren mußte Tyssen in Duisburg den modernsten Hochofen der Welt für ein halbes Jahr stillegen und aufwendig sanieren, denn ein paar Wettbewerber hatten das Ding "gehackt". Genauergesagt: Das SCADA - System eines "großen" Automatisierungstechnikherstellers.

Leider ist es auch heute noch so, daß diejenigen, die Steuerungen bauen, konfigurieren und monitoren, sehr häufig auf einem Informationsstand irgendwo in den Achtzigern stecken.


Die Leute wie der Ursprungsposter handeln da eigentlich gutgläubig und können nix dazu. Regelmäßig wird kontrolliert, ob man auch alle "Lehrgänge" besucht hat und schon vergibt der "TÜV" die "Zertifizierung".


Deswegen fand ich auch den Tip von "unserem" Dr. Einstein kritisch, eine Anleitung aus der "Knowledge Base" zu zaubern.
Am Ende führt das zu einer Lösung, die irgendwann einmal von Polen oder Rumänien aus ferngewartet wird.

[Dr.Einstein]

Hi zusammen,

man könnte natürlich das ganze noch verzaubern mit https://www2.lancom.de/kb.nsf/a5ddf4817 ... enDocument

Gruß Dr.Einstein

P.S. den Design Workshop hatte ich vor 4 Jahren schon gebucht inkl Einladung, und dann kam die Stornierung.

[JRU]

Hallo zusammen,

vielen Dank für eure Rückmeldung und sachliche Kritik. Finde ich super, besser als ignorieren oder Pöbeln.
Ich bin wirklich kein IT´ler. Ich habe damals Elektriker gelernt und bin seit vielen Jahren in der IT unterwegs ABER eher auf der Software Seite.

Nun habe ich das Vergnügen durch meinen Arbeitgeber, auch einige Bereiche zu betreuen.
So habe ich von unseren neuen Breitband Anbieter folgende Informationen bekommen:

Ihre Zugangsdaten für Ihr nordischnet-Produkt

Sehr geehrter Herr

vielen Dank für Ihr Vertrauen in nordischnet.
Anbei erhalten Sie die Zugangsdaten für Ihr gewähltes Produkt bei nordischnet:

Benutzername: XXXXXX@NN-INTERNET
Passwort: 4b043XXXXX
Feste IP: 127.228.244.6
16er Netz: 127.228.244.240 bis 127.228.244.255

Im Gegenzug habe ich eine gute Nachricht für Sie: Wir bieten Ihnen das
16er IP-Netz zum gleichen Preis wie das 8er IP-Netz an.

Daher bin ich fälschlicher Weise von einen 16er IP Netz ausgegangen und das die IP 227.228.244.239 das Gateway sein müsste.
Der gesamte Traffic soll durch den Lancom Router zu den Kunden bzw. Hersteller-Router gehen. Die jeweiligen Hersteller-Router sind fast alle von Cisco und bauen ihr jeweiliges eigenes Netz dahinter via VPN auf. Kein Hersteller möchte daher mit dem anderen Datenaustauschen.

Jeder Hersteller bekommt folgende Informationen zum Anmelden am Lancom:
Jeweilige IP (z.B.): 127. 228.244.240
Gateway: 127.228.244.239
Subnetz: 255.255.255.240
Damit kann sich der jeweilige Hersteller mit dem Lancom Verbinden und Online gehen.

@Koppelfeld
Was meinst du denn genau mit Schutzbedarf. Reicht es nicht, wenn die Hersteller jeweils ihre eigene VPN Verbindung zum Konzernsitz aufbauen? Gerne können wir auch mal via PN oder Telefon darüber Schnacken.

@PappaBaer
Okay ich habe also ein 28 Subnetz mit 14 möglichen Adressen. Wie passen da aber nun die Informationen vom Provider zu? Ich bin immer davon ausgegangen, dass ich folgende 16 adressen habe: 127.228.244.240-255. Deswegen bin ich dann mit dem Gyteway von 127.228.244.239 ausgegangen. Ich habe ja die 127.228.244.6 als IP Adresse für den Lancom Router. Daher sind die anderen IP Adressen so zusagen für das interne Netzwerk.
Die ganzen VPN Verbindungen bauen jeweils eine eigene Verbindung zum Konzernsitz auf.


Würde mich über weitere Hilfe sehr freuen.

Viele Grüße
Jürgen

[backslash]

Hi JRU,

Okay ich habe also ein 28 Subnetz mit 14 möglichen Adressen. Wie passen da aber nun die Informationen vom Provider zu? Ich bin immer davon ausgegangen, dass ich folgende 16 adressen habe: 127.228.244.240-255.

genaugenommen hats du sogar nur 13 Adressen, denn das lANCOM brauhct ja auch eine... Zu den spezifischen Adressen:


127.228.244.240 ist die Netzadresse und sollte nicht vergeben werden, weil diese früher mal als Broadcastadresse definiert wurde.
127.228.244.255 ist die Broadcastadresse in dem 127.228.244.240/28 Netz.

Jetzt braucht dein LANCOM eine Adresse in dem Netz, z.B. die 127.228.244.241. Diese Adresse stellst du dann auf allen anderenen Routern als Gateway ein. Den Routern selbst kannst du nun die Adressen 127.228.244.242...127.228.244.254 vergeben jeweils mit /28er Netzmaske (also 255.255.255.240)

Damit die Adressen auch öffentlich verfügbar sind, mußt du das interne Netz im LANCOM als DMZ markieren und an der Default-Route die Maskierungsoption auf "nur Intranet maskieren" stellen (wie in Dr. Einsteins erstem Posting beschrieben)...

Gruß
Backslash

[PappaBaer]

genaugenommen hats du sogar nur 13 Adressen, denn das lANCOM brauhct ja auch eine... Zu den spezifischen Adressen:

Ganz genau genommen hat er dann nur 12, denn eine dieser Adressen muss ja auf dem Provider-Router liegen, damit das Lancom den als Gateway in seiner Default-Route ansprechen kann.

Und was wie gesagt die 127.228.244.6 soll, erschliesst sich mir nach wie vor nicht, da diese Adresse wie gesagt nicht im Netz 127.228.244.240/28 liegt und somit von Clients aus diesem Netz direkt gar nicht erreicht wird. Oder soll die Adresse auf die WAN-Schnittstelle des Lancom? Dann bräuchte man aber noch die Info über die Netzmaske dieses Netzes und die IP des Provider-Routers in diesem Netz. Das würde dann auch voraussetzen, dass der Provider-Router eine Route ins Netz 127.228.244.240/28 über 127.228.244.6 hat. Dann hättest Du in Deinem zugewiesenen Netz auch wieder 13 Adressen übrig.

(IP adressen habe ich verändert)

Oder kommt mir das alles nur so kryptisch vor, da Du die Adressen zum Zwecke der Anonymisierung hier verändert hast und Dir dabei ein Fehler unterlaufen ist?

Grüße,
Torsten

[JRU]

@PappaBaer
Ich habe wirklich zu Anonymisierung die IP Adresen leicht angepasst. Aber im große und ganzen nur Zahlen gedreht/tauscht.
Die IP: 127.228.244.6 ist wirklich die WAN IP Adresse und laut LANmonitor habe ich als Subnetz vom Provider die: 255.255.255.255 bekommen.

Lancom Gateway Einstellung.PNG

Folgender Aufbau habe ich nun im Router:
127.228.244.240 Broadcastadresse
127.228.244.241 Gateway vom Lancom Router
127.228.244.242 Ein Rechner mit 2. Netzwerkkarte
127.228.244.243 - Aktuell frei
127.228.244.244 - Aktuell frei
127.228.244.245 - Aktuell frei
127.228.244.246 - Aktuell frei
127.228.244.247 - Aktuell frei
127.228.244.248 - Aktuell frei
127.228.244.249 - Aktuell frei
127.228.244.250 - Aktuell frei
127.228.244.251 - Aktuell frei
127.228.244.252 - Aktuell frei
127.228.244.253 - Aktuell frei
127.228.244.254 - Aktuell frei
127.228.244.255 - Broadcastadresse

Nun habe ich noch wie backslash und Dr. Einstein sagte, die IP Maskierungsoption auf Nur Intranet gestellt

IP Maskierungsoption.PNG

Nun werden die IP Adressen noch über DHCP geregelt. Das kann ich ja umstellen auf: Aktiv, DHCP-gesteuert (aktuelle Einstellung) und Aus.
Da wäre dann aus die richtige wahl oder? Dann kann ich an die IP ja fest am Rechner vergeben und mich wieder mit dem Lancom verbinden, denke ich mal.


PS: vielen Dank Backslash, Koppelfeld und PappaBaer!

[backslash]

Hi PappaBaer,

Ganz genau genommen hat er dann nur 12, denn eine dieser Adressen muss ja auf dem Provider-Router liegen, damit das Lancom den als Gateway in seiner Default-Route ansprechen kann.

Aber nur, wenn das Netz auch auf der (direkten) WAN-Seite anliegt... Da aber die öffentliche Adresse des LANCOMs mit 127.228.244.6 angegeben ist, gehe ich davon aus, daß hier eine PPP-Verbindung vorliegt (das passt auch zu der WAN-seitigen Netzmaske von 255.255.255.255). Da wird auf der WAN-Seite kein weiteres Gateway mehr benötigt...

Gruß
Backslash

[Koppelfeld]

Ich bin wirklich kein IT´ler. Ich habe damals Elektriker gelernt und bin seit vielen Jahren in der IT unterwegs ABER eher auf der Software Seite.

Habe ich's mir fast gedacht. Und es gibt kein einziges Buch, das in einfacher und nachvollziehbarer Weise schildert, wie ein Netzwerk funktioniert. Eigentlich geht es darum, "wie nutze ich ein Signalkabel mehrfach", sei es nun durch Zeitmultiplex, Raummultiplex, Frequenzmultiplex, Paketvermittlung oder eine Kombination. Und eigentlich muß man da früher ansetzen, beim nachrichtentechnischen Kampf um Einseitenbandmodulation und Echokompensation. Es sind Geschichten, teilweise sequentiell, teilweise überlappend. Und die muß man so erzählen, daß sie zum jeweils historischen Weltbild passen. So, wie Karl Aloys Schenzinger seine Werke "ATOM" und "METALL" verfaßt hat.
Da hat es die ältere Generation heute etwas besser, in Ermangelung elektronischer Zerstreuung mußten wir uns die Welt selber spannend machen und die Physiklehrer erzählten Geschichten zum Beispiel von Leo Pungs bei Firma SEL und seiner "Pungsdrossel", die er mit NF beaufschlagen konnte, um sie bedarfshalber in die magnetische Sättigung zu fahren (und damit HF-durchlässig machte) oder eben nicht, sodaß die hohe Induktivität eine faktische HF-Sperre bildete. Das war die Geburt der Amplitudenmodulation. Und ich habe als Junge Wochen gebraucht, bis es "klick" machte und mir klar wurde, was für eine geniale Idee das war.
Whatever, die Bücher, die es gibt, nehmen wir den ultrascheußlichen "Stockebrandt", sind solche Lesehindernisse, da bleibt einfach nix hängen.

Im Gegenzug habe ich eine gute Nachricht für Sie: Wir bieten Ihnen das
16er IP-Netz zum gleichen Preis wie das 8er IP-Netz an.[/color]

Un-faßbar. Das bekommen aber auch andere, größere und rosafarbene Provider hin. Frage ich am Tisch einen aus der Großkundensparte, "Was kommt denn jetzt beim Kunden an? Ein /29er ?" Die Antwort war, "So ein Produkt haben wir nicht, er bekommt MPLS mit INTRA-SELECT".

Der gesamte Traffic soll durch den Lancom Router zu den Kunden bzw. Hersteller-Router gehen. Die jeweiligen Hersteller-Router sind fast alle von Cisco und bauen ihr jeweiliges eigenes Netz dahinter via VPN auf. Kein Hersteller möchte daher mit dem anderen Datenaustauschen.

Da hindert ihn erstmal keiner! Die Mitglieder im öffentlichen /28er erreichen sich grundsätzlich ohne Probleme untereinander erreichen. Innerhalb eines Netzes wird eben NICHT IP gesprochen, sondern jeder bekommt den Traffic von jedem mit und filtert sich das heraus, was er braucht.

Gefährlicher finde ich es, wo die "Sekundärseite" der Router zusammenfällt.

@Koppelfeld
Was meinst du denn genau mit Schutzbedarf. Reicht es nicht, wenn die Hersteller jeweils ihre eigene VPN Verbindung zum Konzernsitz aufbauen? Gerne können wir auch mal via PN oder Telefon darüber Schnacken.

Mit dem Sprechen hapert es, weil ich mit einer Virusinfektion im Bett liege. Deswegen sind zur Verärgerung des Forumsbetreibers auch gerade meine Beiträge so lang, weil es mit nicht gelingt, geradewegs zum Punkt zu kommen.


Wenn ich jetzt nur 2016 nehme, dann haben wir bei nur einem einzigen Kunden vier CISCO ASA aus dem Räck genommen, alle angeblich unbedingt notwendig: Dakosy, ATLAS, Infoniqua, VW Gedas. Und jeder berechnete eine gesalzene Monatsmiete für das Ding. Es war keine einziger auch nur sinnvoll. Mir gefällt insbesondere dabei nicht, daß Du mit dem VPN einen "Bypass" vorbei an Deiner eigenen Firewall zu Deinen Produktionssystemen legst.

Noch viel gefährlicher ist es auf der Gegenseite, beim Dienstleister: Der braucht nur irgendwo eine kompromittierte Maschine haben und schwupp, die Willkommenskultur ist etabliert.

[PappaBaer]

@backslash
Jetzt habe ich im Eingangspost auch gelesen "Der Router ist bereits über PPPoE online" (<- das fehlende "P" habe ich gestiftet.). Ist mir vorher vor lauter Irritation über die angegebenen Infos komplett durchgerutscht.

@Koppelfeld
Gute Besserung!

@JRU
Nimm Dir die Sicherheitsbedenken von Koppelfeld zu Herzen! Wenn Du jetzt nicht ganz genau verstehst, worin die "Gefahr" bei den Koppelfeld genannten Beispielen besteht, dann solltest Du im eigenen Interesse gegenüber Deinem Vorgesetzten an dieser Stelle die Reißleine ziehen.
Keine Ahnung, wie kritisch die Systeme und Netze sind, die Du über diese Konfiguration verbindest, aber im worst case bist Du am Ende der Verantwortliche, frei nach dem Motto: "Sie hätten ja Bedenken anmelden können/müssen".
Auch sehe ich nicht wirklich, dass Du auch verstanden hast, was Du genau mit den Anleitungen von Dr. Einstein und backslash konfiguriert hast und warum.
Ist zwar ein Erfolgserlebnis, wenn etwas nach "sturem" Abarbeiten einer Anleitung funktioniert, birgt aber auch Risiken, wenn man die Materie nicht versteht. Will Dir damit wie erwähnt nicht zu Nahe treten, sondern nur vor Dir selber schützen. Wir alle haben mal klein angefangen und das alles ist keine Raketentechnik. Aber man muss eben auch mal den Mut haben, seinem Chef zu sagen: "Sorry, ist mir zu heikel, kann ich nicht." Und dann gleich folgenden Satz hinterher: "Ich würde es aber gerne lernen. Wie sieht es denn mit einer von der Firma bezahlten Fortbildung in diese Richtung aus?"

In diesem Sinne: Allen ein schönes Wochenende.

Grüße,
Torsten

[COMCARGRU]

@Koppelfeld: Ebenfalls gute Besserung!

Ich allerdings finde den Zustand - leider - gerade sehr Sympathisch, weil deine Beiträge praktisch immer sehr Lesenswert sind. Des "Schenzinger's Atom" habe ich in jungen Jahren bei meinem Vater aus dem Bücherregal "entwendet" - damals war der mir aber zu heftig - also nicht fertig gelesen und irgendwann in Vergessenheit geraten. Aber haben tu ich ihn noch - jetzt hast du schon zum zweiten mal diese Woche "alte Bekannte" hervorgeholt - auweia...