 |
|
|
|
  |
LANCOM-Forum.de Foren-Übersicht » LANCOM ADSL/ISDN: 821, 1621, 1521 Wireless, 1821 Wireless, 821+, 1721 VPN, 1722 VoIP, 1724 VoIP, 1723 VoIP, 1724 VoIP, 1823 VoIP, 1821+ Wireless ADSL, |
|
| Autor |
Nachricht |
inetd
Anmeldungsdatum: 17.09.2006
Beiträge: 8
Wohnort: Aachen
|
 Verfasst am:
Mo 18 Sep, 2006 01:16 |
  |
|
Moin, moin!
schlagt mich, wenn das schon tausendfach hier oder in der FAQ abgefrühstückt wurde, aber ich scheitere offenbar an einem Standardfall und hab' das konkrete Problem so hier nicht gefunden:
Ein 1821 (HW Rev E; LCOS 6.15) soll zwei Netze (beides Ethernet-Segmente) bedienen. Das eine Netz soll via VPN an ein Firmennetz angebunden werden. Das zweite soll nur an's Internet. Die Netze sollen getrennt sein, d.h. keine gemeinsame Broadcast Domain, natürlich ebenso getrennte IP-Netze.
Da ich bislang glaubte, das Prinzip verstanden zu haben, habe ich schnell mal folgendes gemacht:
1.) LANConfig->TCP/IP->Allgemein:
Für Intranet und DMZ je eine IP-Adresse (aus getrennten Netzen) vergeben und für Intranet das Interface LAN-1, für DMZ das Interface DMZ-1 ausgewählt (Standard ist 'any' für beide Netze, was IMHO Blödsinn ist, aber OK).
2.) Interfaces->LAN->Ethernet-Ports:
Für Port LAN 1 und LAN 2: Interface-Verwendung auf 'LAN'
Für Port LAN 3 und LAN 4: Interface-Verwendung auf 'DMZ'
Wenn ich jetzt z.B. am Port LAN 3 hänge und mir eine IP aus dem zuvor konfigurierten DMZ-Netz gebe, sollte ich doch zumindest mal die IP des Routers in der DMZ anpingen können, geht aber nicht. Das Intranet mit den Ports LAN 1 und 2 funktioniert aber einwandfrei.
Ein "trace + bridge" brachte es dann zu Tage:
[Bridge] 2006/09/18 00:01:22,650
Bridge frame coming from ifc DMZ-1:
00:01:02:d2:df:5d (3COM d2:df:5d)-->ff:ff:ff:ff:ff:ff
-->discarded because forwarding disabled for this port
Wenn ich das richtig deute, kommen die Pakete erst gar nicht zum Router geschweige denn zur Firewall, sondern der gute Switch verwirft alles sofort.
Gegenprobe: Bei einem "trace + firewall" bleibt der Output leer.
Dann habe ich noch mit dem Haken 'private Mode' rumgespielt, was aber logischerweise nichts brachte. Anschließend habe ich unter TCP/IP für beide Netze das Interface wieder auf any umgestellt, was aber auch nichts brachte. D.h. sobald ich bei einen Switchport die Interface-Verwendung auf DMZ umstelle, ist der Port isoliert, und zwar komplett.
Das Thema VLAN habe ich bisher nicht angetestet, da ich der Meinung bin, das es auch ohne VLANs gehen muss.
Stehe total auf dem Schlauch. Was mus ich tun, um einen Switchport in die DMZ zu bekommen und einen anderen in's Intranet?
Schonmal Danke für's Lesen bis hierher. Bin für jeden Hinweis dankbar.
cu |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4496
Wohnort: Aachen
|
| Verfasst am:
Mo 18 Sep, 2006 11:05 |
|
|
Moin,
| Zitat:
|
[Bridge] 2006/09/18 00:01:22,650
Bridge frame coming from ifc DMZ-1:
00:01:02:d2:df:5d (3COM d2:df:5d)-->ff:ff:ff:ff:ff:ff
-->discarded because forwarding disabled for this port
|
Diese Meldung kann eigentlich nur unter zwei Bedingungen
kommen:
(1) Du hast Spanning Tree aktiviert und der Algorithmus hat
dern Port (noch) nicht freigegeben
(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast. Die kann u.U. passieren, wenn Du
in das Gerät eine Konfig einer älteren Firmware eingespielt
hast, die die DMZ noch nicht unterstützt.
Gruß Alfred |
|
|
 |
|
inetd
Anmeldungsdatum: 17.09.2006
Beiträge: 8
Wohnort: Aachen
|
| Verfasst am:
Mo 18 Sep, 2006 15:37 |
|
|
[quote="alf29"]Moin,
| Zitat:
|
(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast.
|
Hi,
meinst du vielleicht dies:
(letzte Zeile: Isolated=Yes)
| Code:
|
root@LC_A10_01:/Setup/LAN-Bridge/Port-Data
> dir
Port Active Isolated Prio. DHCP-Limit
---------------------------------------------------------
LAN-1 Yes No 128 0
WLAN-1 Yes No 128 0
P2P-1-1 Yes No 128 0
P2P-1-2 Yes No 128 0
P2P-1-3 Yes No 128 0
P2P-1-4 Yes No 128 0
P2P-1-5 Yes No 128 0
P2P-1-6 Yes No 128 0
WLAN-1-2 Yes No 128 0
WLAN-1-3 Yes No 128 0
WLAN-1-4 Yes No 128 0
WLAN-1-5 Yes No 128 0
WLAN-1-6 Yes No 128 0
WLAN-1-7 Yes No 128 0
WLAN-1-8 Yes No 128 0
DMZ-1 Yes Yes 128 0
|
Könnte es "Isolated=Yes" sein? Wie kommt das da hin?
| Zitat:
|
Die kann u.U. passieren, wenn Du
in das Gerät eine Konfig einer älteren Firmware eingespielt
hast, die die DMZ noch nicht unterstützt.
|
Ein Kollege von mir hatte glaub' ich folgendes mit dem Router gemacht: Auf dem Router (out-of-the-box, LCOS v5) eine 6.15er
lcf-Datei eingespielt. Anschließend hab' ich die Kiste dann bekommen und die 6.15er Firmware eingespielt, mit der Reset-Taste einen Factory Reset durchgeführt und von Hand neu konfiguriert d.h. also eigentlich andersrum.
Danke schonmal für die schnelle Hilfe!
cu |
|
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Mo 18 Sep, 2006 15:53 |
|
|
/Setup/LAN-Bridge
dort der wert "Spanning-Tree-Protocol VALUE: No"
oder im LANConfig unter "Schnittstellen" Spanning-Tree aktiviert" |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
 |
|
inetd
Anmeldungsdatum: 17.09.2006
Beiträge: 8
Wohnort: Aachen
|
| Verfasst am:
Mo 18 Sep, 2006 23:49 |
|
|
| Zitat:
|
(2) Wenn Spanning Tree nicht aktiv ist, kann es nur noch
sein, daß Du die DMZ unter Setup->LAN-Bridge->Ports
nicht aktiviert hast. Die kann u.U. passieren, wenn Du..[...]
|
Das war's übrigens. Vielen Dank an Euch! 
Da hätt' ich noch Wochen suchen können....
cu |
|
|
|
|
|
|
|
|
LANCOM-Forum.de Foren-Übersicht » LANCOM ADSL/ISDN: 821, 1621, 1521 Wireless, 1821 Wireless, 821+, 1721 VPN, 1722 VoIP, 1724 VoIP, 1723 VoIP, 1724 VoIP, 1823 VoIP, 1821+ Wireless ADSL, |
|
|
| |
|
|
