Zwei öffentliche IP-Blöcke über einen DSL-Router

[wollmers]

Hallo,

wir haben hier einen Lancom 1681V verbunden mit einem DSL-Router an ETH-2 -> DSL-2:

Code: Alles auswählen

Configuration -> communication -> remote sites -> remote sites DSL

Name:       IPX 
Short hold: 9999
VPI: 0
VCI: 0
Access concentrator:
Service:
Layer name: IPX 
MAC address type: Local   
MAC address: 000000000000
DSL ports: 2
VLAN ID: 0

Code: Alles auswählen

communication -> protocols -> IP-Parameters

Remote site                    IPX
IP address                      47.11.13.2   (beispielhaft)
Netmask                        255.255.255.128 
Masquerading IP address 0.0.0.0        
Default gateway             47.11.13.1

Nun will der Provider den Block tauschen gegen

Code: Alles auswählen

IP address                      8.15.13.2   (beispielhaft)
Netmask                        255.255.255.128 
Masquerading IP address 0.0.0.0        
Default gateway             8.15.13.1

und routet diesen Block bereits in den DSL-Router. Ich würde gerne fliessend umstellen, d.h. beide Blöcke parallel zur Verfügung haben. Geht das überhaupt? Und wenn, wie?

Meine bisherigen Versuche waren erfolglos. Auch eine einfache Rekonfiguration der IP-Parameter auf den neuen Block hatte keinen Erfolg.

TIA

Helmut Wollmersodrfer

[backslash]

Hi wollmers

dazu mußt du im DSL-Router eine Route setzen, die das neue Netz an das LANCOM leitet (an die "alte" Adresse, also die beispielhafte 47.11.13.2) Dann kannst du im LANCOM zwei LAN Nezte als DMZ aufziehen und beide Adreßbereiche nutzen...

Oder aber du richtest eine zweite DSL-Gegenstelle auf einem eigenen Ethernet-Port ein. Dann mußt du aber entweder über die Firewall oder mit Routing-Tags dafür sorgen, daß die Pakete der jeweiligen DMZs auch auf dem richtigen Interface rausgehen. Achte dabei darauf, daß du beiden DSL-Verbindugen eigene MAC-Adressen zuteilst, denn sonst dürfe der DSL-Router davor extrem ungehalten reagieren

Gruß
Backslash

[wollmers]

Hi backslash,

auf den DSL-Router habe ich keinen Konfigurations-Zugriff, könnte aber den Provider um Konfiguration bitten.

Zweite DSL-Gegenstelle kann ich nicht konfigurieren, da DSL-1 und DSL-2 (zwei verschiedene Provider) bereits belegt sind. Der dritte Provider hängt direkt am VDSL-Interface.

ETH-4 wäre noch frei, aber kann ich für die Gegenstelle z.B. LAN-4 verwenden?

TIA

Helmut Wollmersdorfer

[backslash]

Hi wollmers,

da mußt du wohl deinen Provider um eine passende Konfiguration des DSL-Routers bitten...

Gruß
Backslash

[stefanbunzel]

Hallo backslash,
ich habe hier gerade fast das gleiche Szenario:

1 x Festverbindung mit neuem zweiten IP-Block, nicht fortlaufend, gleicher Provider

Im L-7100 habe ich eine transparente Verbindung zum Provider mit dazugehörigen IP-Parametern des ersten Blocks.
Der neue zweite IP-Block hat natürlich ein anderes Gateway als der erste IP-Block.

Nach deiner Anleitung habe ich ein zweites DMZ-Netz angelegt. Aber wie bringe ich jetzt den L-7100 dazu, dass er die Daten der Clients aus dem neuen Block an das richtige Gateway schickt?

Ich kann ja zu einer Gegenstelle nicht zwei mal IP-Parameter anlegen - oder?

Viele Grüße
Stefan

[stefanbunzel]

Hallo Lancom-Forum,
mein Problem war eigentlich ganz einfach lösbar:

- neues DMZ-Netz zusätzlich anlegen
- Route im L-7100 des neuen IP-Blocks auf die IP des ersten IP-Blocks
- Provider bitten, dass er den neuen IP-Block auf die IP des Gateways vom ersten IP-Block routet

Also, eigentlich ganz einfach. Aber: Der Provider muss eben davon überzeugt werden, es einfach zu machen.

Vielen Dank für die Unterstützung (per PM).

Stefan

[stefanbunzel]

Hallo LANCOMer,

in Ergänzung zum gelösten Thema "Zwei öffentliche IP-Blöcke" noch eine ergänzende Frage:

Wie schaffe ich es, dass ich dann per DHCP in der DMZ IP-Adressen aus beiden IP-Blöcken vergeben kann?

Erster Versuch: DHCP von den Netzen DMZ1 und DMZ2 einfach ktivieren und unter BootP einfach die reservierten IP's je MAC incl. Netz eintragen.

Funktioniert leider nicht richtig! Der L-7100 vergibt dann trotz BootP-Eintrag mal aus der einen und mal aus der anderen DMZ eine IP.

Wie bekomme ich das hin?

Viele Grüße
Stefan

[backslash]

Hi stefanbunzel,

das kann nur funktionieren, wenn du die beiden DMZs auf verschiedenen LAN-Interfaces gebunden hast. Wenn die beide an ein Interface (z.B LAN-1) gebunden sind, dann funktioniert nur der DHCP-Servber auf des ersten Netzes, da an das Interface gebunden ist.

Die Angabe des Netzes ist in der BOOTP-Tabelle nur dann nötig, wenn der Host zwischen den Netzen "wandern" kann - dann kannst du ihm damit für in jedem Netz eine andere IP zuweisen.

Gruß
Backslash

[stefanbunzel]

Hallo backslash,

diese Antwort hatte ich ja bereits befürchtet...

Daher mein geäußerter Wunsch nach Verbesserung der Situation. Das wäre doch bestimmt mit Hilfe von ARF und der Netzzuordnugn in BootP relativ leicht machbar???
So könnte man dann auch mehrere unterschiedliche Netze an einem Interface problemlos nutzen.

Viele Grüße
Stefan

Edit: siehe http://www.lancom-forum.de/aktuelle-lan ... 12628.html , was die gleiche Problematik - aber ausführlicher - beschreibt.

[backslash]

Hi stefanbunzel,

das Problem bei DHCP ist, daß das DHCPDISCOVER als gloabler Broadcast (255.255.255.255) mit der Absenderadresse 0.0.0.0 kommt ud somit einzig das LAN-Interface (und ggf. noch ein VLAN-Tag) zur Unterscheidung übrig bleibt. Daher kann pro LAN-Interface/VLAN auch nur ein DHCP-Server arbeiten...

Die Netzzuordnung im BOOTP dient - wie schon erwähnt - dazu, einem zwischen den Netzen wandernden Host im jeweiligen Netz eine andere IP zuordnen zu können - dafür muß das Netz aber trotzdem eindeutig erkannt werden (siehe oben...)

Was spricht denn dagegen die zweite DMZ einfach an ein anderes LAN-Interface zu binden - außer, daß du getrennte Switche für die DMZs brauchst.
Wenn du VLAN-fähige Switche hast, dann kannst du die zweite DMZ auch in ein anderes VLAN hängen und die Trennung in den Switchen vollziehen

Gruß
Backslash

[stefanbunzel]

Hallo backslash,

es geht leider nur eine Schnittstelle. Erstens habe ich nur noch eine frei und zweitens geht eine physikalische Trennung nicht, da alle (WLAN-) Hosts gemischt im gleichen weit verzweigten (WLAN-) Netz sind.

VLAN scheint eine mögliche Variante zu sein. Damit werde ich mich mal beschäftigen...

Muss ich dafür VLAN aktivieren oder reicht es, wenn ich an den jeweiligen LANCOM WLAN-AP's in der Stationstabelle das gewünschte VLAN eintrage sowie im Gateway dann beide DHCP-Server auf diese beiden VLANs binde?

Viele Grüße, Stefan

[backslash]

Hi stefanbunzel,

es geht leider nur eine Schnittstelle. Erstens habe ich nur noch eine frei und zweitens geht eine physikalische Trennung nicht, da alle (WLAN-) Hosts gemischt im gleichen weit verzweigten (WLAN-) Netz sind.

VLAN scheint eine mögliche Variante zu sein. Damit werde ich mich mal beschäftigen...

Muss ich dafür VLAN aktivieren oder reicht es, wenn ich an den jeweiligen LANCOM WLAN-AP's in der Stationstabelle das gewünschte VLAN eintrage sowie im Gateway dann beide DHCP-Server auf diese beiden VLANs binde?

nun ja, an den APs solltest du schon getrennte SSIDs für die beiden DMZs einrichten und diese an verschiedene VLANs binden - d.h. in den APs mußt du VLAN aktiv haben... Am Gateway hingegen reicht es den ARF-Netzen die VLAN-ID zu verpassen - solange sichergestellt ist, daß nur getaggte Pakete empfangen werden...

Achte darauf, daß du *gleichzeitig* mit dem aktivieren des VLANs auch dem ARF-Netzen eine VLAN-ID verpassen *mußt*, denn sonst hast du dir den Ast abgesägt, auf dem du gerade sitzt und du kommst nur noch seriell an das Gerät...

Gruß
Backlsash

[stefanbunzel]

... irgendwie mag ich kein VLAN...

Vielen Dank backslash, für die Info.

Also, die VLAN-Zuweisung geht in den AP's ohne allgemeine VLAN-Aktivierung über die Stations-Tabelle. Habe ich eben getestet. Der AP zeigt dann in seiner Stationsliste die Clients mit der jeweils zugewiesenen VLAN-ID. Das ging relativ einfach.
Da die WLAN-AP's zukünftig nicht mehr routen sondern nur noch als Bridge arbeiten sollen, will ich dort keine eigenen Netze je SSID und VLAN nutzen. Es müsste doch auch so gehen, dass jeder WLAN-Station über die Stations-Tabelle ein VLAN zugewiesen wird.

Das mit dem Aussperren hatte ich eben mal getestet - hat funktioniert
Dank weiterer IP-Netze ohne VLAN war aber ein Zugriff auch ohne Kabel wieder möglich...

Es wird aber noch etwas komplizierter:
- aktuelle Situation: Alle WLAN-Clients bekommen eine Intranet-Adresse 10.x.x.x und werden im Gateway auf die öffentlichen IP's gemappt
- geplante neue Situation: alle WLAN-Clients bekommen direkt per DHCP die öffentliche IP ohne Mapping.

Wenn ich jetzt in der Übergangsphase den beiden DMZ-Netzen VLAN-ID's zuweise und trotzdem noch das Mapping aktiv habe - geht das?
Das würde ja bedeuten, dass Datenpakete mit VLAN-ID 0 am Gateway ankommen, welche dann auf eine öffentliche IP gemappt werden, für die es eine DMZ mit der VLAN-ID X gibt. Oder hat das Mapping nichts mit dem DMZ-Netz zu tun? Früher hatte ich das Mapping auch ohne DMZ genutzt, was ja auch ging.

Mein Problem ist, dass ich das nicht so einfach hier testen kann, da doch recht viele User ständig online sind und sich gleich beschweren, wenn es nicht mehr geht...

Viele Grüße, Stefan

[backslash]

Hi stefanbunzel,

Wenn ich jetzt in der Übergangsphase den beiden DMZ-Netzen VLAN-ID's zuweise und trotzdem noch das Mapping aktiv habe - geht das?
Das würde ja bedeuten, dass Datenpakete mit VLAN-ID 0 am Gateway ankommen, welche dann auf eine öffentliche IP gemappt werden, für die es eine DMZ mit der VLAN-ID X gibt. Oder hat das Mapping nichts mit dem DMZ-Netz zu tun? Früher hatte ich das Mapping auch ohne DMZ genutzt, was ja auch ging.

ja, das geht.... VLAN ist erstmal nur eine Layer-2 Geschichte... Sobald das Paket in den Router geht, gibt es kein VLAN mehr - und wenn du es dann beim Senden ins Internet einem N:N-NAT unterziehtst, ist das auch kein Problem. Du mußt nur darauf achten, daß du beim N:N-NAT keine Adreß-Überlappung mit nativ in der DMZ stehenden Hosts hast.

Gruß
Backslash

[REPTILE]

Am besten du nimmst nen Cisco dafür, machen wir auch. Alle Lancom APs hängen im gleichen physikalischen Netz (haben alle eine private IP) (sind ca. 50 APs), die hängen dann auch einen Interface am Cisco, und der macht das DHCP (sprich clients bekommen die öffentliche IP, was ja auch sinn macht, du willst ja auch keinen Internetzugang mit ner privaten IP).

Und im Cisco kannst du mehrere Netze für einen DHCP Server eingeben, bzw für ein Netz, der cisco schaut dann nach wo noch was frei ist und vergibt diese dann, inkl. der verschiedenen gateways etc...)