Wie LAN-Bridge beim 7100VPN?

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
stefanbunzel
Beiträge: 1355
Registriert: 03 Feb 2006, 14:30
Wohnort: Jauernick-Buschbach bei Görlitz
Kontaktdaten:

Wie LAN-Bridge beim 7100VPN?

Beitrag von stefanbunzel » 03 Sep 2012, 10:10

Hallo LANCOMer,

beim 7100VPN sind ja alle LAN-Ports per Default im "Private-Mode", was auch nicht änderbar ist. Im Handbuch gibt es zwar einen Hinweis, wie man über die Bridge oder Bridge-Gruppen angeblich auch die Datenübertragung zwischen den LAN-Ports ermöglichen kann, aber es gibt beim 7100VPN gar keine Bridge-Gruppen...

Wie kann ich nun beim 7100VPN zwischen ETH 1 und ETH 2 (beide LAN-1 zugeordnet, ETH 3 = DSL1, ETH 4 = DSL2, LCOS 8.62) eine Datenübertragung realisieren? Im Moment fließen keine Daten.

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 5835
Registriert: 07 Nov 2004, 20:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 » 03 Sep 2012, 10:30

Moin,

bridge-mäßig überhaupt nicht, das Gerät enthält keine LAN-Bridge. Eventuelle Hinweise im Handbuch beziehen sich entweder auf Geräte, die wegen WLAN und/oder CAPWAP L3-Tunnel das Modul 'Setup/LAN-Bridge' enthalten oder sie sind schlicht falsch...

Datentransfer zwischen den Ports geht bei diesem Gerät nur über den Router.

Gruß Alfred

Benutzeravatar
stefanbunzel
Beiträge: 1355
Registriert: 03 Feb 2006, 14:30
Wohnort: Jauernick-Buschbach bei Görlitz
Kontaktdaten:

Beitrag von stefanbunzel » 03 Sep 2012, 10:41

Hallo Alfred,

demnach sollte ich also ETH-1 das Interface LAN-1 und das IP-Netz 1 und
ETH-2 das Interface LAN-2 und das andere IP-Netz 2 zuweisen und
dann ggf. entsprechende Routing-Einträge setzen?

Im Moment habe ich nur ein IP-Netz definiert und dieses mit "beliebig" allen Schnittstellen zugeordnet. Ich werde das mal testen.

Vielen Dank
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 5835
Registriert: 07 Nov 2004, 20:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 » 03 Sep 2012, 11:06

Moin,
demnach sollte ich also ETH-1 das Interface LAN-1 und das IP-Netz 1 und
ETH-2 das Interface LAN-2 und das andere IP-Netz 2 zuweisen und
dann ggf. entsprechende Routing-Einträge setzen?
das wäre eine Variante - schlichtes LAN-LAN-Routing. NAT oder Maskieren geht dabei dann nicht.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015

janosch
Beiträge: 71
Registriert: 12 Okt 2010, 10:57
Wohnort: Aachen

Beitrag von janosch » 03 Sep 2012, 20:17

Die Frage ist doch, wieso brauchst du unbedingt einen Bridging Modus im 7100er? Vielleicht gibt es für deine Idee auch eine andere Lösung.

Benutzeravatar
stefanbunzel
Beiträge: 1355
Registriert: 03 Feb 2006, 14:30
Wohnort: Jauernick-Buschbach bei Görlitz
Kontaktdaten:

Beitrag von stefanbunzel » 04 Sep 2012, 08:04

Hallo Janosch,

eigentlich macht der L-7100 genau das, was ich brauche. Er trennt zwei eigenständige Nutzer / Netze (viele Router und Computer) voneinander, die aber doch einen gemeinsamen Internetzugang nutzen. Bisher hingen alle Netzwerk-Geräte an einem Switch an ETH-1 / LAN-1 in einem Netz. Jetzt habe ich diese auf ETH-1 und ETH-2 verteilt und es ist zwischen den Ports kein Datenfluss möglich.
Im Moment ist es so, dass es nur ein IP-Netz (LAN-1 = 10.0.10.0) und ein DMZ-Netz für beide Ports gemeinsam (Zuordnung: jeweils beliebig) gibt.
So weit, so gut.

Nur leider hängt an ETH-1 auch ein kleiner Server, der gleichfalls die Geräte an ETH-2 per Ping und SNMP überwachen soll. Der Server sieht jetzt aber die Geräte an ETH-2 nicht mehr.

Demnach müsste ich an ETH-2 ein neues Netz (Bsp.: LAN-2 = 10.0.11.0) aufspannen und auch fest an ETH-2 binden. Gleichfalls das bisherige IP-Netz LAN-1 fest an ETH-1 binden. Dann könnte ich auch "Server-Routen" definieren, wodurch nur der Server aus LAN-1 Zugriff auf die entsprechenden Geräte (Router) in LAN-2 bekommt.

Ich bin mir aber unsicher, ob diese ganze Konfiguration Einfluss auf mein DMZ-Netz mit der Zuordnung "beliebig" hat? Schließlich sollen die Rechner / User aus LAN-1 und LAN-2 weiterhin in ein und der selben DMZ stehen.

Und eigentlich sollte auch ein Zugriff aller Computer / User aus LAN-1 und LAN-2 auf die Server in der DMZ, egal ob diese an ETH-1 oder ETH-2 angeschlossen sind, möglich sein - was aber derzeit auch nicht geht.

Vielleicht wäre es aber auch einfacher die bisherige Konfig zu lassen und lieber in den Routern nach dem Switch entsprechende Firewall-Regeln zu definieren, die einen Zugriff aus Netz-1 zu Netz-2 und umgekehrt verhindern...

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 5835
Registriert: 07 Nov 2004, 20:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 » 04 Sep 2012, 08:41

Moin,

gab es einen bestimmten Grund, warum Du die Clients auf ETH-1 und ETH-2 verteilt hast? Denn egal ob man nun routet oder bridget, das belastet die CPU im LANCOM zusaetzlich, denn das Geraet hat keinen integrierten Hardware-Switch (deshalb kann man ja auch den Private-Mode nicht ausschalten...). Die CPU im 7100 hat zwar ganz gut 'Dampf', genug, um zwischen zwei GE-Ports fast mit Linespeed zu bridgen, aber im Routing-Modus wird's schon deutlich weniger und eigentlich moechte man die CPU-Leistung im LANCOM auch nicht unnoetig verschwenden, wenn ein externer Switch das genauso gut kann.

Das 9100 und 7100 sind nun einmal primaer als Central-Site-Gateways konzipiert, wo ueber die einzelnen Ethernet-Ports verschiedene WANs, LANs und DMZ-Netze herangefuehrt werden. Dass Kunden einzelne Port-Gruppen als 'Mini-Switche' nutzen moechten, kommt in der Praxis so gut wie nicht vor, ganz im Gegenteil, eigentlich wollen viele Kunden noch mehr als die vier Ports...bei Heimanwender-Szenarien sieht das anders aus, dafuer steckt in den entsprechenden Geraeten dann auch ein Hardware-Switch.

Gruss Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015

Benutzeravatar
stefanbunzel
Beiträge: 1355
Registriert: 03 Feb 2006, 14:30
Wohnort: Jauernick-Buschbach bei Görlitz
Kontaktdaten:

Beitrag von stefanbunzel » 04 Sep 2012, 09:17

Hallo Alfred,

wie bereits geschrieben geht es mir eigentlich nur um die Sicherheit, dass aus Netz 1 nicht direkt auf die Rechner in Netz 2 zugegriffen werden kann. Außerdem hatte ich noch die Vorstellung, so den Traffic von Netz 1und 2 getrennt per snmp je Interface / Netz zu erfassen.

Da der 7100 nur für Ping-Überwachung und snmp zwischen den Netzen routen müsste, wäre die zusätzliche CPU-Last vermutlich sehr gering.

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN

janosch
Beiträge: 71
Registriert: 12 Okt 2010, 10:57
Wohnort: Aachen

Beitrag von janosch » 05 Sep 2012, 12:17

An dieser Stelle würde ich die Verwendung von VLANs in Betracht ziehen. Dann kannst du nämlich genau die oben beschriebenen Dinge machen, benötigst am 7100er jedoch nur einen Port.

Benutzeravatar
stefanbunzel
Beiträge: 1355
Registriert: 03 Feb 2006, 14:30
Wohnort: Jauernick-Buschbach bei Görlitz
Kontaktdaten:

Beitrag von stefanbunzel » 05 Sep 2012, 12:28

Hallo janosch,
das ist auch eine gute Lösung, obwohl mich VLAN aufgrund seiner Komplexität immer abschreckt :oops:

Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN

janosch
Beiträge: 71
Registriert: 12 Okt 2010, 10:57
Wohnort: Aachen

Beitrag von janosch » 06 Sep 2012, 09:50

Eigentlich ist VLAN gar nicht so böse. Zumindest beißt es selten ;)
Wenn du mehrere LANCOMs oder ein serielles Kabel hast dann kannst du damit auch recht gefahrlos rumspielen und ansonsten sollte dir der Support bei der Auswahl der richtigen Tagging Modi behilflich sein können.

Antworten

Zurück zu „aktuelle LANCOM Router Serie“