Unitymedia - LANCOM 7100+ WAN - 5 Static IPs

[Henri]

Unsere Kunden akzeptieren keine Unterbrechungen, wir implementieren High Availability Lösungen für Enterprise Kunden.
Man macht sich als Unternehmen lächerlich, wenn nicht einmal die Zugriffe auf die internen Systeme unterbrechungsfrei (trotz Backup) funktionieren.
Falls so etwas Standard sein soll, taugt dieser Standard jedenfalls nichts und solle schnellst möglichst entsorgt werden.

Mit vielen Grüßen

Henri

[GrandDixence]

Unsere Kunden akzeptieren keine Unterbrechungen, wir implementieren High Availability Lösungen für Enterprise Kunden.

Dann sollte man Platz für die eigenen Server in einem hochverfügbaren Rechenzentrum mieten. Hochverfügbare Rechenzentren sind redundant ans Internet per Glasfaserkabeln (FTTH) angeschlossen.
https://de.wikipedia.org/wiki/Rechenzentrum

[Henri]

Wir sind auch redundant angeschlossen (2 ISPs mit Backup).

Weiterhin arbeiten wir mit sensitiven Daten (DSG-VO), die stellt mach nicht irgendwo in ein RZ, damit die Kabelverbindung ausfallen darf.

Hier die Verbindungsstatistik für das "instabile VDSL" der Deutschen Telekom, vor einen Monat hatten ich den letzte FW Update eingespielt.

Connection
Ifc Connections active passive Errors Con.-Time Charge
VDSL-1-1 1 1 0 0 1M 10D 18:26:00 0

Mit vielen Grüßen

Henri

[Henri]

Hallo Backslash,

darf ich noch etwas fragen?

Ist hier INTERNET statt INTERNET2 noch mein Fehler, oder ist das ein Problem mit dem spezial Build (0047 / 04.02.2020) den ich bekommen habe?
Der interne GW 10.0.202.1 ist wieder eine VRRP Adresse.

Leider funktioniert so DYNDNS nicht korrekt.

Durch dieses Subnets Problem wird es jetzt leider nicht einfacher ...

Vielen Dank

Henri

[IP-Router] 2020/02/23 22:27:38,700
IP-Router Rx (BUNDLE-1, VLAN202_FWWAN, RtgTag: 202):
DstIP: 81.169.144.192, SrcIP: 10.0.202.101, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 38419, Flags: S
Seq: 3731229778, Ack: 0, Win: 65228, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 7 (multiply by 128)
Option: SACK permitted
Option: 08 = 00 0c e9 6a 00 00 00 00
Route: WAN Tx (INTERNET)

[IP-Router] 2020/02/23 22:27:38,727
IP-Router Rx (INTERNET, RtgTag: 5):
DstIP: 10.0.202.101, SrcIP: 81.169.144.192, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 38419, SrcPort: 443, Flags: SA
Seq: 3019002628, Ack: 3731229779, Win: 4380, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: NOP
Option: 08 = 73 f2 d6 8c 00 0c e9 6a
Option: SACK permitted
Option: END
Route: BUNDLE-1 Tx (VLAN202_FWWAN):

[IP-Router] 2020/02/23 22:27:38,728
IP-Router Rx (BUNDLE-1, VLAN202_FWWAN, RtgTag: 202):
DstIP: 81.169.144.192, SrcIP: 10.0.202.101, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 38419, Flags: A
Seq: 3731229779, Ack: 3019002629, Win: 65535, Len: 0
Option: NOP
Option: NOP
Option: 08 = 00 0c e9 92 73 f2 d6 8c
Route: WAN Tx (INTERNET)

[IP-Router] 2020/02/23 22:27:38,735
IP-Router Rx (BUNDLE-1, VLAN202_FWWAN, RtgTag: 202):
DstIP: 81.169.144.192, SrcIP: 10.0.202.101, Len: 569, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 38419, Flags: PA
Seq: 3731229779, Ack: 3019002629, Win: 65535, Len: 517
Option: NOP
Option: NOP
Option: 08 = 00 0c e9 92 73 f2 d6 8c
Route: WAN Tx (INTERNET)

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================------------------------------------------------------------------
255.255.255.255 0.0.0.0 1205 10.0.205.88 VLAN205_FWWAN 2 No Static
255.255.255.255 0.0.0.0 205 x.x.x.81 INTERNET 1 on Static
255.255.255.255 0.0.0.0 202 x.x.x.81 INTERNET2 1 intranet Static
255.255.255.255 0.0.0.0 0 x.x.x.81 INTERNET 1 on Static

Rtg-Tag 202

Prefix Next-Hop Interface ID Redistribution Type
-------------------------------------------------------------------------------------------
0.0.0.0/0 x.x.x.81 INTERNET2 27 Redistribute Static
10.0.0.0/8 0.0.0.0 #Null 0 Never Static
10.0.201.0/24 0.0.0.0 VLAN201_FWWAN 6 Redistribute Connected LAN
10.0.201.5/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
10.0.202.0/24 0.0.0.0 VLAN202_FWWAN 7 Redistribute Connected LAN
10.0.202.5/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
10.0.205.0/24 0.0.0.0 VLAN205_FWWAN 8 Redistribute Connected LAN
10.0.205.5/32 0.0.0.0 #Loopback 1 Redistribute Local LAN
x.x.x.80/29 0.0.0.0 INTERNET2 27 Redistribute Connected WAN
x.x.x.81/32 0.0.0.0 INTERNET2 27 Redistribute Connected WAN
x.x.x.82/32 0.0.0.0 #Loopback 1 Redistribute Local WAN
x.x.x.83/32 0.0.0.0 #Loopback 1 Redistribute Local WAN

[Henri]

ziehe meine Frage zurück ...

Sorry.

Henri

[fildercom]

Um auf die vielen Diskussionsbeiträge zwischen GrandDixence und Henri mal zu antworten:
Es gibt mit Sicherheit genau so viele Gründe für xDSL wie es sie auch für DOCSIS gibt - und dementsprechend auch genug Gründe, die jeweils dagegen sprechen. Beide Technologien haben ihre Vor- aber auch ihre Nachteile und beide ihre Daseinsberechtigung. Letztlich muss man individuell prüfen, mit welcher Technologie man bei sich an seinem Standort am besten zurecht kommt. Beide haben jedoch gemeinsam, dass es sich nur um Brückentechnologien handelt, welche nachträglich auf eine Kupfer-Infrastruktur implementiert wurden, welche dafür gar nicht ausgelegt wurde. Das Wundermittel FTTH lässt aber in den meisten Regionen noch immer sehr lange auf sich warten, weshalb man wohl oder übel auf die beiden anderen Brücken-Technologien setzen muss...

Gruß
fildercom.

[root-ing]

Hallo Henri,
hallo ans Forum,

ich habe diesen Post sehr aufmerksam gelesen.
Ich möchte das gleiche umsetzen scheitere aber an der Fritzbox.

Mein Setting:
1. Unity/Vodafone Gigabit Cabel-Anschluss mit der FB 6591 (8 Netz mit 5 staischen IPs – so wie in dem Eintrag von Henri beschrieben)

2. Lancom 1781VA (eth1=internes Lan / eth2 als WAN Port an FB Lan2

3. Es gibt keinen Bridge Modus mehr! Die Box wird immer im Doppelbetriebsmodus betrieben (Lan1 FB privates Netz /Lan2-Lan4 für das statische IP-Netz)

Richte ich nun den Anschluss ein komme ich mit der konfigurierten festen IP ins Internet und kann auch in der FB einen „exposed Host“ definieren der dann (wenn ich das entsprechende Masq. eingerichtet habe, auch erreichbar ist).
Zum Problem: Ich kann keine weitere statische WAN Adresse vergeben, ohne eine weitere Schnittstelle des Lancom (Lan3 und Lan4) zu belegen. Kein Szenario funktioniert.

Lege ich eine weitere IP auf den gleichen WAN Port bekomme ich die Meldung „Fehler – zu viele Verbindungen“. Richte ich das als Plain-Eth ein mit eine öffentlich DMZ funktioniert das auch nicht.

Technisch ist mir das Problem schon klar. Im Prinzip ist es wie Henri berichtet, dass die FB die „jeweils eine physikalische Schnittstelle erwarte“. Henri hat weiter unten beschrieben das er die FB über einen Switch angeschlossen hat um das Problem zu lösen. Theoretisch leuchtet mir das ein aber zum Laufen bekommen ich das nicht.

Der Lancom Support konnte mir hier leider auch nicht helfen und AVM hat das Problem als Verbesserungsvorschlag aufgenommen (was ja mal gar nichts bringt).
VG
root-ing

Hallo Backslash,

ich bitte vielmals um Entschuldigung, das war eine Verwechslung von meiner Seite.

Grundsätzlich verstehe ich die Einstellungen im LANCOM ganz gut und hatte dieses Setup bereits mit einem Hitron Modem und einer Fritzbox (im Bridge Mode) am Laufen.
Leider gibt es nun diesen Bridge Mode nicht mehr und von Unitymedia keinen Support (was für einen Business Anschluß ein Witz ist).

Also, folgendes funktioniert, ob es noch anderes geht kann ich nicht sagen, es gibt keine sinnvolle Beschreibung (oder ich finde sie nicht).

1.) In der Fritzbox LAN2-LAN4 unter Portkonfiguration LAN2(-4) auf Port Sharing stellen und booten (wg. Problemen mit 2.)).
2.) In der Fritzbox IP#2 auf "Exposed Host stellen" (manuell Public IP eintragen).
3.) Bei allen anderen IPs (bei mir funktionieren noch 3 weitere), Port Forwarding mit "indep. Port" konfigurieren, wenn ich das nicht tue, kommt mal ein ARP am LANCOM an, mal nicht. Wieso verstehe ich nicht, allerdings ist es very time wasting, wenn beim Testen einmal ARPs ankommen (von anderen Paketen ganz abgesehen) und dann wieder nicht (lt. UM ist das nicht notwendig, angeblich wird die die MAC genutzt). Ich nutze hier Port 443.
4.) Im LANCOM die IP#1 mit Subnetz als "INTERNET" (o.ä.) definieren.
5.) Im LANCOM unter IP-R Masq. in der Port Forward Tabelle die Ports eintragen, wenn die FB einen ARP schickt, wird der dann auch beantwortet.
6.) Im LANCOM in der FW, einen Policy based Routing NAT Eintrag für die Absendeadressen IP#2-IP#5 definieren (https://support.lancom-systems.com/know ... -Based+NAT), damit bekommt der Outbound Traffic die korrekte IP, ich habe auf den Reverse Proxys DYNDNS aktiviert, das tut dann auch korrekt.
7.) Mit IP#1 (FB Forward 443&UDP 500) sollte dann auch VPN (HTTPS/SSL) funktionieren, der Exposed Host (IP#2) kann dann z.B. der "normale" Reverse Proxy sein, hier spart man dann die Port Forward Definitionen in der FB

Bei IPV6 ist der Status bei UM übrigens, dass es dyn. IPV6 Adressen gibt (die kommen hier auch nicht an, nur ein Tunnel mit /64). Das soll sich irgendwann ändern. Wieso ich nur 4 von 5 Public IPs nutzen kann, verstehe ich auch nicht, die 5. ist in Benutzung (von wem auch immer).

Hoffe das hilft ein wenig (und spart einige Stunden Zeit).

Mit vielen Grüßen


Henri

[sflodus]

Hallo Zusammen,

ich hoffe, hier Hilfe zu finden. Wir stehen aktuell genau vor demselben Problem in NRW: vorher Cisco-Modem + Lancom und nun durch Update auf 1Gbit/s die FB6591. Hotline von Vodafone ist eher ein Glücksspiel. Gibt es irgendeine eine einfache Möglichkeit der Fritte die 5 IPs zu entlocken. Ich habe alles probiert: "Exposed Host" + Port Forwarding <- (Henris' Lösung) und und und ... 2 IPs als "Exposed Host" bekomme ich hin. Mit dem Eintrag einer 3.IP fliegt eine andere wieder raus.

Leider hört der Beitrag mit dem letzten Beitrag von root-img ohne Antwort auf.

Vielleicht mag mir hier jemand auf die Sprünge helfen?

Besten Dank vorab und viele Grüße
sflodus

[sflodus]

Hallo Zusammen,

irgendetwas falsch gemacht? Warum bekommt man keine Antwort - keiner einen Tipp? Ich habe das ganze Forum danach durchsucht, aber keine Lösung dazu gefunden. Kann mir gerade nicht vorstellen, dass wir die einzigen Business-User bei UM/Vodafone mit einem /29-Subnetz sind, die dahinter einen Lancom betreiben.

Im Zweifel zurück zu einem Modem?

Beste Grüße | sflo

[Henri]

Hallo,

die FB funktioniert nur zum Teil wie gewollt in dieser Konfiguration. Eine IP ist keine Problem, hier diese IP als Exposed Host einrichten. Ich habe 3 IPs konfiguriert, die beiden anderen funktionieren nicht, FB: IP ist in use.
Also, ein exposed Host mit manuell eingegebene IP, Port Forwarding (da passieren recht lustige Dinge), für die anderen IPs. Reboot nicht vergessen, da wird evtl. die Konfiguration neu gewürfelt. Modem funktioniert normalerweise besser. Bei mir hatte es sich aber recht oft rebooted und die Ursache war von UM nicht zu finden. Wenn am LANCOM VPN:443 benötigt wird, darf man für alle benötigten Port ein Forwarding einrichten, aus welchem Grund auch immer hat bei mir der exposed Host nur bei der ersten IP funktioniert. Der Vorteil der FB ist, die FW ist stabil und es gibt keine Reboot. Der Nachteil, wenn man AVM anruft, diese Konfiguration ist nicht unterstützt. UM sagt zwar, es funktioniert bei alle Kunden ohne Probleme, aber nicht wie.

Mit vielen Grüßen

Henri


Sent from my iPhone using Tapatalk Pro

[fildercom]

Also irgendwie finde ich es seltsam, dass man bei einem "Business-Tarif" nur ein "Consumer-Device" als Endgerät erhält. Das ist übrigens genau der Grund, warum ich bei "nur" 600 Mbit/s bleibe und nicht das Upgrade auf den Gigabit-Tarif mache (obwohl er technisch möglich wäre). Ich bleibe lieber beim reinen Modem, welches wenigstens wie gewünscht mit dem LANCOM als Router funktioniert - ohne irgendwelche abenteuerlichen Konfigurationen.

[sflodus]

Vielen Dank für Eure Antworten.

@ Henri
3 IPs bekomme ich auch hin und dann ist Schluss. Diese laufen soweit und der Lancom macht, was er soll. Ich dacht Du hättest die 5 irgendwie hinbekommen. Dann bin ich scheinbar doch nicht zu unfähig.

@fildercom
Warum die auf AVM setzen, verstehe ich auch nicht so richtig. Vorher war es ja das Cisco und nie Probleme damit gehabt.

Grundsätzlich frage ich mich, ob es da nicht doch noch irgendetwas gibt, weil die einem doch schlecht ein /29 Netz für 20 Euro im Monat verkaufen können und dann Hardware bereit stellen, die das nicht abbilden kann?

Vodafone selbst schreibt dazu:

Gibt es Konfigurationsmöglichkeiten für die FRITZ!Box und ihre Firewall?
.... Bitte beachten Sie in NRW und Hessen: Wenn Sie ein Business-Produkt mit statischer IP nutzen, nehmen Sie die Konfiguration, wie z.B. Firewall, in Ihrem eigenen Router vor. Die FRITZ!Box fungiert in diesem Fall nur als eRouter/Kabelmodem. Funktionen wie Firewall, WLAN, NAT und DHCP sind dann auf der FRITZ!Box deaktiviert und können nicht genutzt werden.

und

Brauche ich zusätzliche Hardware, um feste IP-Adressen zu nutzen?
Für Kunden in Hessen und Nordrhein-Westfalen:
Die FRITZ!Box ist für die Nutzung mit festen IP-Adressen konfiguriert. Sie arbeitet in dieser Konfiguration als eRouter/Kabelmodem und IP-basierte Telefonanlage. Die Funktionen WLAN, DHCP, NAT und Firewall sind deaktiviert. Sie können Ihren eigenen Router an die FRITZ!Box anschließen und über diesen Ihre(n) Server einbinden. Die Telefonie-Funktionen der FRITZ!Box können Sie weiter nutzen: u. a. gleichzeitig mit bis zu drei Rufnummern telefonieren (max. zwei Telefonate gleichzeitig über den S?-Bus), DECT-Basisstation, Anrufbeantworter, Fax mit E-Mail-Weiterleitung.

WLAN und der ganze andere Kram funktioniert ja auch mit den Exposed Hosts, auch wenn wir das nicht benötigen? Ich versuche jetzt mal mein Glück im Vodafone-Forum. Das alte UM wurde vor kurzem dahin migriert.

Ich halte Euch auf dem Laufenden, was da raus kommt.

Einen schönen Tag ...
sflo