mehrere IPv4 Adressen am Internetanschluss nutzen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
mfdoom
Beiträge: 18
Registriert: 09 Dez 2011, 17:18
Wohnort: Berlin

mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von mfdoom »

Guten Abend,

ich habe nach einer Routerumstellung von bintec auf Lancom (1781VA) folgende Fragestellung:

Der ISP hat mir mehrere IPv4-Adressen zugeteilt, ein /29er Subnetz. Ich möchte nun eine der IPv4-Adressen exklusiv für meinen Mailserver nutzen. Das von mir eingestellte Portforwarding funktioniert erstmal gut, der Mailserver ist auf der von mir zugeteilten, öffentlichen IP-Adresse erreichbar.

Das Problem ist das ausgehend die Hauptadresse genutzt wird. Ich möchte aber dass der Mailserver ausgehend auch mit der eingestellten IP-Adresse kommuniziert. Das klappt leider nicht, auch mein Eintrag im N:N NAT funktioniert nicht.

Mein N:N Mappingeintrag sieht so aus:

Ziel-Gegenstelle:INTERNET
Original-Quell-IP-Adresse:10.1.0.11 (lokale IP Mailserver)
Netzmaske:255.255.255.255
Umgest. Quell-IP-Adresse: x.x.x.x (öffentliche IP Mailserver)

Was fehlt mir noch?
fabo99
Beiträge: 2
Registriert: 04 Jun 2018, 15:59
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von fabo99 »

Hi mfdoom,

ich kann dir leider nicht weiterhelfen, aber ich habe momentan genau das gleiche Problem und komme nicht weiter.

Deine Schritte habe ich auch ausgeführt mit dem selben Ergebnis (und noch ein paar mehr.
Ein testweises Umkonfigurieren der Gegenstelle/IP-Parameter auf die Mailserver-IP hat auch nicht funktioniert.

Das reverse DNS funktioniert so halt nicht bei einigen Mailservern.

Vielleicht hat ja jmd ein gutes Stichwort für uns?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von backslash »

Hi fabo99,
Vielleicht hat ja jmd ein gutes Stichwort für uns?
kein Portforwarding benutzen und stattdessen den Server in eine DMZ mit öffentlichen Adressen stellen - dabei die Maskierungs-Option der Defaultroute auf "nur Intranet maskieren" stellen...

Gruß
Backslash
mfdoom
Beiträge: 18
Registriert: 09 Dez 2011, 17:18
Wohnort: Berlin

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von mfdoom »

OK, ich probier das mal aus.

Wahrscheinlich muss ich dann noch FW-Regeln für die Zonen setzen? Also LAN<-->DMZ und andersrum um auf die Server aus dem LAN zuzugreifen?
fabo99
Beiträge: 2
Registriert: 04 Jun 2018, 15:59
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von fabo99 »

Danke für den Tipp, ich werde das dann auch einmal ausprobieren.

Ich nehme an, der Server in der neuen DMZ bekommt dann direkt die öffentliche IP für ein Netzwerk-Interface? Oder kann ich das per Masquerading irgendwo definieren, welcher Server dort mit welcher IP rausgeht?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von backslash »

Hi fabo99,
Wahrscheinlich muss ich dann noch FW-Regeln für die Zonen setzen? Also LAN<-->DMZ und andersrum um auf die Server aus dem LAN zuzugreifen?
das hängt davon ab, ob du eine Deny-All-Regel isn der Firewall hast oder nicht... Ohne Deny-All-Regel läßt die Firewall alles durch und du kannst ungehindert zwischen Intranet und DMZ routen, denn eine DMZ ist erstmal nur ein weiteres Netz, das physikalisch vom Intranet getrennt ist. Letztendlich ist das aber eigentlich nicht der Sinn einer DMZ... daher solltest du den Zugriff zwischen LAN und DMZ natülich über die Firewall regeln - genau so, wie du auch den Zugriff aus dem Internet auf die DMZ über die Firewall bewchränken solltest. Daher richtest du am Besten eine Deny-All-Regel ein und explizite Allow-Regeln für alles, was erlaubt werden soll...
Ich nehme an, der Server in der neuen DMZ bekommt dann direkt die öffentliche IP für ein Netzwerk-Interface?
ja natürlich - und auch die IP des LANCOMs in der DMZ als Deafult-Gateway...

Gruß
Backlsash
Antworten