Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Beitrag von stefanbunzel »

Hallo Forum,

in einem aktuellen Lancom-Router ist ein PPPoE-Zugang mit 8 öffentlichen IPv4-Adressen gemäß dem KB-Artikel "Einrichten einer DMZ mit öffentlichen IP-Adressen" eingerichtet und funktioniert.
Mit der Routing-Einstellung "Nur Intranet maskieren" wird ja dafür gesorgt, dass alle Intranet-IP's (Netzwerk: Firma) über die erste öffentliche IP ins internet maskiert werden. Einzelne Intranet-IP's nutzen die Mapping-Funktion für die direkte Verfügbarkeit einzelner Server im Internet.

Nun möchte ich aber zum Beispiel ein weiteres Intranet (Netzwerk: Gast), welches strikt vom Firma-Netz getrennt ist, analog zum Firma-Netz über eine weitere öffentliche IP-Adresse des PPPoE-Zugangs routen. Für einzelne IP's funktioniert das ja theoretisch mittels Mapping - aber eben ohne NAT / Maskierung. Wie bekomme ich das für ganze IP-Bereiche / Netzwerke inkl. NAT / Maskierung und Mapping mit "Policy Based Routing" im Lancom gelöst?

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8

Beitrag von backslash »

Hi stefanbunzel,
Wie bekomme ich das für ganze IP-Bereiche / Netzwerke inkl. NAT / Maskierung und Mapping mit "Policy Based Routing" im Lancom gelöst?
moentan leider gar nicht... Du kannst höchstens einen weiteren NAT-Router in die DMZ stellen und das Gatsnetz hinter diesem betreiben...

Gruß
Backslash
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8

Beitrag von stefanbunzel »

Hallo backslash,

vielen Dank für deine Antwort, die natürlich nicht befriedigend klingt :(

Okay, ich bin erst einmal beruhigt, dass mir keine Lösung einfiel, weil es keine gibt. Aber mein Problem ist damit natürlich nicht gelöst.
Ein zusätzlicher Router ist natürlich machbar, aber bei den in diesem Fall geplanten 3 IP-Netzen dann doch irgendwie ungünstig. Außerdem sollte auch zentral VoIP sowie VPN im gleichen Router genutzt und entsprechend verteilt werden...

Deiner Formulierung "... momentan ..." könnte man ja die Hoffnung entnehmen, dass da mal was geplant ist, was ich natürlich sehr begrüßen würde.

Mir kam schon der Gedanke, dass man zur Not sich eine Lösung mittels VLAN bastelt, so dass man über einen DSL-Port mehrere IPoE-Gegenstellen zum eigenen Intranet (LAN-1) mittels einer LAN-Kabel-Brücke zwischen zwei Geräte-Ports baut - falls ich mich verständlich ausdrücken sollte? Leider verliert man somit aber gleich wieder 2 Schnittstellen. Würde das funktionieren - oder scheitert da das LCOS an sich selbst?

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8

Beitrag von backslash »

Hi stefanbunzel,
Deiner Formulierung "... momentan ..." könnte man ja die Hoffnung entnehmen, dass da mal was geplant ist, was ich natürlich sehr begrüßen würde.
policy based NAT steht zwar schon irgendwo auf der Agenda, aber das wird sich noch deutlich hinziehen...
Mir kam schon der Gedanke, dass man zur Not sich eine Lösung mittels VLAN bastelt, so dass man über einen DSL-Port mehrere IPoE-Gegenstellen zum eigenen Intranet (LAN-1) mittels einer LAN-Kabel-Brücke zwischen zwei Geräte-Ports baut - falls ich mich verständlich ausdrücken sollte? Leider verliert man somit aber gleich wieder 2 Schnittstellen. Würde das funktionieren - oder scheitert da das LCOS an sich selbst?
klingt gruselig, könnte aber funktionieren. Du mußt da aber peinlichst ganau darauf achten, daß die IPoE-Verbindungen verscheidene MAC-Adressen nutzen, sonst bekommst du sicherlich ganz schnell einen "Teilchenbeschleuniger"... um das MAC-Adressen-Porblem zu entschärfen, würde ich hier sogar statt IPoE-Verbindungen lieber PPPoE-Verbindungen nehmen (zusammen mit dem PPPoE-Server des LANCOMs). Denen kannst du zudem direkt die Adressen zuweisen, hinter denen sie maskieren sollen und mußt keine IP der DMZ als Gateway verbraten...

Gruß
Backslash
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8

Beitrag von stefanbunzel »

Hallo Backslash,
backslash hat geschrieben:klingt gruselig, könnte aber funktionieren.
Es funktioniert!!! Hab es eben mal auf die Schnelle mit benutzerdefinierter Gegenstellen-MAC, einerm Netz und einer DMZ-IP getestet -> geht!
Wäre jetzt natürlich super, wenn man sich das Kabel / den Port sparen könnte und der Lancom kann das auch gleich intern lösen.

Ganz wohl ist mir da natürlich trotzdem nicht. Man müsste da mal sämtliche Dienste und vor allem die Firewall-Regeln austesten, ob es da zu Problem kommen kann.

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
APu
Beiträge: 42
Registriert: 03 Mai 2006, 16:29

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8

Beitrag von APu »

Hallo Stefan,
stefanbunzel hat geschrieben:Hallo Backslash,
backslash hat geschrieben:klingt gruselig, könnte aber funktionieren.
Es funktioniert!!! Hab es eben mal auf die Schnelle mit benutzerdefinierter Gegenstellen-MAC, einerm Netz und einer DMZ-IP getestet -> geht!
Klingt spannend.
Hab es so schnell nicht ganz verstanden.

---

Meine "einfachere" Lösung für so einen Fall war:
  • 2 * IPoE, ohne VLAN, natürlich mit unterschiedlichen MACs,
    an zwei unterschiedlichen WAN-/LAN-Ports (DSL-1, DSL-2),
    da IPoE kein Multi-IPoE kann(konnte?) wie bei Multi-PPPoE,
  • das dann beides über einen dummen Switch
    (von Herrn Ohn Ethernet-Mehrfachsteckdose genannt)
    an die eine LAN-Buchse des QSC-Routers anschließen,
    der dann ungennattetes Internet liefert.
Selbst damit verbrauche ich schon "unnötig" eine zweite Buchse des Routers.
Mit VLAN und VLAN-fähigem Switch könnte ich mir die vielleicht sparen.

---

Das ganze ohne externes Gerät (Switch/QSC-Router) zu lösen fände ich viel spannender.

Da das vermutlich mehr Anschlüsse verbrät,
wird das vermutlich nicht über eine Fingerübung hinausgehen.
In der Praxis, wenn es so kompliziert wird, ist man froh über jeden freien Anschluss,
so dass man so oder so nicht um einen externen Switch herum kommt.

---

Magst Du mir noch ein paar Details zu Deinem Ansatz verraten?

Hab noch keine Erfahrung mit dem internen PPPoE-Server.
Vielleicht sehe ich deswegen die mir hier zur Verfügung stehenden Möglichkeiten noch nicht.

Gruß APu

Edit: Rechtschreibung
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8

Beitrag von stefanbunzel »

Hallo APu,
APu hat geschrieben:Magst Du mir noch ein paar Details zu Deinem Ansatz verraten?
eigentlich hatte ich ja schon alles geschrieben, was notwendig wäre.

Ganz ehrlich: Ich habe seit dem Posting diesen Ansatz erst einmal nicht weiter verfolgt, da ich insgeheim eigentlich darauf hoffte, dass Backslash sich noch einmal meldet und verkündet, dass es in der nächsten LCOS-Beta eine interne Lösung zu dem Problem ohne lästiger Kabelbrücke gibt...

Natürlich ist das mal wieder Programmieraufwand. Aber, was eine simple Kabelbrücke erfordert müsste doch intern viel einfacher zu lösen gehen (vgl. auch Parallel-Problem: CAPI-Nutzung für ALL-IP mittels Kabelbrücke hier in einem anderen Thread).
Die einfachste Lösung wäre ja, dass man an Stelle der IPoE-Gegenstelle in der Routing-Tabelle einfach nur die WAN-IP inkl. Maskierung angeben würde und der Router / das LCOS dann automatisch das Netz an diese WAN-IP routet. Es klingt so simpel, dass man eigentlich davon ausgehen könnte, dass das doch auch jetzt schon funktionieren müsste.
Aber: Das LCOS kann ja nur über definierte Gegenstellen maskierte Verbindungen aufbauen...
Ich glaube, der Wunsch nach Änderung dieser LCOS-Einschränkung ist genau so alt, wie das LCOS selbst :)

Ich plane für nächste bzw. übernächste Woche den weiteren Umbau an diesem Netz. Sobald ich da eine passable und wirklich stabil funktionierende Lösung mittels Kombination aus mehreren IPoE-Gegenstellen und VLAN-ID's über einen VLAN-Switch gefunden habe, werde ich noch einmal ausführlicher berichten.

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
APu
Beiträge: 42
Registriert: 03 Mai 2006, 16:29

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Beitrag von APu »

Hallo,

ich habe diesen alten Thread wieder gefunden und vermute,
dass einiges vom oben erörterten in einer der nächsten LCOS-Versionen direkt gehen könnte.

Zitat vom LANupdate:
WAN POLICY-BASED NAT
MEHR FLEXIBILITÄT BEI NAT
Mit einer Firewall-Regel kann ausgewählt werden,
hinter welcher vom Provider zugewiesenen
WAN-IPv4-Adresse maskiert wird
Ja, ich habe Kunden bei denen ich da an Grenzen gestoßen bin, die ich teilweise mit zusätzlichen Switchen+VLAN umgehen kann.

---

Funktionsfähiges Szenario:
Zwei Intranets über Routing-Tags / Schnittstellen-Tags an jeweils eine der beiden IPoE-Gegenstellen binden mit jeweils eigener IP-Adresse aus dem 8ter Bereich.
Beide Gegenstellen müssen natürlich unterschiedliche MAC-Adressen haben.
-> Jedoch zusätzlich muss sich bei ihnen entweder die DSL-Schnittstelle oder die VLAN-Id unterscheiden, damit der Lancom nicht über zu viele (IPoE-)Verbindungen meckert.
Beide Gegenstellen in der Routing-Tabelle haben die NAT-Einstellung Intranet+DMZ.
Verkabelung:
* Variante a) zwei Lancom-WAN-Ports + in dummem Switch zusammengefasst
* Variante b) ein Wan-Port mit zwei VLANS + VLAN-Switch als Port-Vervielfältiger, d.h. die ausgehenden WAN-Ports (einer je VLAN) ohne VLAN-Tag konfiguriert + dummer Switch
* Variante c) wie b) aber obigen VLAN-Switch und dummen Switch in einem (dummen?) VLAN-Switch zusammenfassen, diesen quasi in zwei Teile partitionieren.
Jedoch Kabel spart man dabei keine. Und aufpassen: Spanning-Tree oder sowas kann da zu Stress führen. :(

---

(Vorübegehend) aufgegebenes Szenario (LCOS 10.12RU9):
Reingefallen bin ich, als ich eine (scheinbar die "erste") der beiden IPoE-Gegenstellen auf NAT nur Intranet umgestellt hatte,
um zusätzlichen einen Exposed-Host in der DMZ in Betrieb zu nehmen.
(Historisch war die "zweite" IPoE-Verbindung schon weggefallen, jedoch die DMZ hinzugekommen und ich wollte jetzt wieder eine "zweite" IPoE-Verbindung einrichten um darüber dann Portweiterleitung zu machen.)

* Die Antworten für die "zweite" IPoE Gegenstelle kamen teils über "erste" IPoE Gegenstelle herein, dadurch Firewall-Chaos,
* die Portweiterleitung die über die "zweite" Gegenstelle auf einen internen Rechner gehen sollte, kam teils über die "erste" Gegenstelle herein und wurde dadurch nicht (in der Firewall) akzeptiert.
* Auch das Konfigurieren der anderen IP-Adresse in der Portweiterleitung (unter Verzicht auf die "zweite" IPoE-Gegenstelle) hat nicht funktioniert.
* -> Umgehung: Da bisher erst ein Rechner hinter der "zweiten" IPoE-Gegenstelle hängt, wurde er direkt in die DMZ gestellt, obwohl nur ein Port offen zu sein braucht und es die (vor)letzte unbenutze IP ist. :(
Diese IP hätte ich gerne "gemultiplext": eine Port-Weiterleitung zu einem internen Rechner, zweite Port-Weiterleitung zu anderem internen Rechner.

Also: entweder habe ich was falsch gemacht, oder der Lancom kann das (noch?) nicht.

Konkrete Frage(n):
* Beißt sich der Betrieb von DMZ auf einer Gegenstelle und keine DMZ auf der zweiten Gegenstelle im gleichen 8ter Bereich, bei Verwendung von Portweiterleitung (dort)?
(Habe damals vergssen zu testen, was passiert, wenn ich beide Gegenstellen auf DMZ schalte und zusätzlich noch Portweiterleitung auf einer der beiden IP-Adressen/Gegenstellen einrichte. Oder geht das auch nicht (stabil)?
-> Ahh, nee, Portweiterleitung hatte ja schon bei nur einer Gegenstelle in Zusammenhang mit DMZ nicht funktioniert.)
* Beißt sich DMZ mit Portweiterleitung grundsätzlich?
* Beißt sich DMZ mit Portweiterleitung, wenn man dort eine andere IP aus der DMZ vorgibt?

Könnte auch hier das zukünftige WAN POLICY-BASED NAT helfen?
Oder auch hier nur, wenn man nicht gleichzeitig die DMZ konfiguriert?

Ich hoffe ich habe die Szenarien verständlich genug beschrieben,
so dass sie jemand verstehen kann.

Ach ja, für den Überblick:
- eine IP für Internet + Zugang zur DMZ,
- mehrere Rechner direkt in der DMZ,
- ein Rechner der nicht in die DMZ müsste, wenn ich nur die wenigen (frei wählbaren) Ports zu ihm durchgereicht bekäme.
(Von der letzten Sorte könnten noch mehr Rechner in Zukunft dazu kommen.)
- plus die üblichen IPs: "0", "255" (soll heißen kleinste und Broadcast), Default-Gateway, Router-DMZ-IP.
-> Durch setzen der Router-DMZ-IP auf "0" oder die der ersten IPoE-Verbindung kann ich möglichweise eine IP sparen. ;)

Gruß APu
APu
Beiträge: 42
Registriert: 03 Mai 2006, 16:29

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Beitrag von APu »

APu hat geschrieben: 06 Dez 2018, 21:25 * Variante c) ... Spanning-Tree oder sowas kann da zu Stress führen. :(
wieder zu knapp formuliert:
* Variante c) ... Aktiviertes Spanning-Tree in diesem Switch (oder so) kann dabei zu Stress führen. :(
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Beitrag von backslash »

ich habe diesen alten Thread wieder gefunden und vermute,
dass einiges vom oben erörterten in einer der nächsten LCOS-Versionen direkt gehen könnte.
wieso in einer der nächsten Versionen? Policy Based NAT funktioniert seit der 10.12
* Beißt sich DMZ mit Portweiterleitung grundsätzlich?
* Beißt sich DMZ mit Portweiterleitung, wenn man dort eine andere IP aus der DMZ vorgibt?
jain.... Wenn du eine die DMZ (mit öffentlichen Adressen) über "nur Intranet maskieren" einbindest, dann kannst du kein Portforwarding machen. Wenn die DMZ ganz normal maskiert wird, dann funktioniert auch Portforwarding.

BTW: Portforwardings funktuionieren schon seit der 7.20 mit mehreren öffentlichen Adressen (dauz tägst die die Adresse, auf der das Forwartding gelten soll in der Forwarding-Tabelle unter "WAN-Adresse" ein). Eine Adresse, die für ein Forwarding genutzt wird, kann nicht mehr in der DMZ verwendet werden (siehe oben)

Gruß
Backslash
APu
Beiträge: 42
Registriert: 03 Mai 2006, 16:29

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Beitrag von APu »

Hallo backslash,

danke für Deine prompte Antwort.
backslash hat geschrieben: 07 Dez 2018, 10:08 wieso in einer der nächsten Versionen? Policy Based NAT funktioniert seit der 10.12
Ich hab die LANupdate-Unterlagen nochmal genauer angeschaut und fetsgestellt, dass dort WAN POLICY-BASED NAT als neu für 10.20 vermittelt wurde.
Da ich die 10.20 bisher noch nicht ausprobiert habe, habe ich zukünftig für mich mit zukünftiger Firmware in einen Topf geworfen. :roll:
Und ja, LANconfig-10.20 kann das für LCOS-10.12 konfigurieren, LANconfig-10.12RU7 noch nicht. Wird auch erst im Addendum 10.20 vorgestellt. :|
backslash hat geschrieben: 07 Dez 2018, 10:08
* Beißt sich DMZ mit Portweiterleitung grundsätzlich?
* Beißt sich DMZ mit Portweiterleitung, wenn man dort eine andere IP aus der DMZ vorgibt?
jain.... Wenn du eine die DMZ (mit öffentlichen Adressen) über "nur Intranet maskieren" einbindest, dann kannst du kein Portforwarding machen. Wenn die DMZ ganz normal maskiert wird, dann funktioniert auch Portforwarding.
Ich hab's befürchtet.
backslash hat geschrieben: 07 Dez 2018, 10:08 BTW: Portforwardings funktuionieren schon seit der 7.20 mit mehreren öffentlichen Adressen (dauz tägst die die Adresse, auf der das Forwartding gelten soll in der Forwarding-Tabelle unter "WAN-Adresse" ein). Eine Adresse, die für ein Forwarding genutzt wird, kann nicht mehr in der DMZ verwendet werden (siehe oben)
klar

Folgerung:
Wenn ich zum Sparen von IP-Adressen nicht jeden Rechner einzeln in das 8ter Netz setzen will, muss ich auf "Intranet und DMZ maskieren" umschwenken und kann/muss alle freigegebenen Ports/Portbereiche der diversen Rechner einzeln eintragen.

Kann ich dabei trotzdem einen der Rechner vollständige exponieren?
Für Loopback-Adressen heißt es ja dass, sie nicht genattet werden (müsste bedeuten, dass alle Ports(des Routers) erreicht werden können).

Kann ich z.B. mit N:N-NAT und Maske/32 den Cloud-Rechner für alle Ports freigeben?
Dort ändert sich immer wieder was, was ich sonst einzeln nachtragen müsste.

Gruß APu

PS: Der Anruf "bitte weiteren Port für weiteren Rechner" kam gerade rein. Ich muss das jetzt irgendwie umbauen, da alle IPs verbraucht.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Wie mehrere NAT-Verbindungen über eine Gegenstelle mit 8 IPs

Beitrag von backslash »

Hi APu,
Ich hab's befürchtet.
das ist letztedlich doch klar... Um es mit dem Highlander zu sagen: "es kann nur Einen geben"... Entweder die Adresse wird am LANCOM terminiert und für ein Portforwarding genutzt oder die Adresse wird in die DMZ geroutet...
Wenn ich zum Sparen von IP-Adressen nicht jeden Rechner einzeln in das 8ter Netz setzen will, muss ich auf "Intranet und DMZ maskieren" umschwenken und kann/muss alle freigegebenen Ports/Portbereiche der diversen Rechner einzeln eintragen.
das ist nunmal das normale Verfahren bei Adreßmangel... Nur deshalb wurde NAT überhaupt erfunden...
Kann ich dabei trotzdem einen der Rechner vollständige exponieren?
frei nach Radio Eriwan: im Prinzip ja, du mußt einfach nur alle Ports (1-65535) weiterleiten, aber... auch da hast du das "Highlander"-Problem. Diesmal nicht auf die Adressen bezogen, sondern auf die verwendeten Ports. Zum Einen klemmst du die internen Dienste des LANCOMs ab (z.B. den WEB-Server oder wichtiger noch: das VPN). Zum Anderen würde bei einer solchen Konfiguration der Internetzugang aus dem Intranet nicht mehr funktionieren - da alle Ports weitergeleitet sind, wäre kein Port mehr für die Maskierung frei... Daher hat bei einer solchen Konfiguration die Maskierung des Intranets den Vorrang vor dem Portforwarding. Daher verzichte am Besten darauf und leite nur die Ports weiter, die auch wirlich benötigt werden.
Kann ich z.B. mit N:N-NAT und Maske/32 den Cloud-Rechner für alle Ports freigeben?
Du kannst natürlich auch eine DMZ mit privaten Adressen einrichten und deren Adressen per N:N-NAT in den öffentlichen Bereich mappen. Aber auch dafür mußt du in der Defaulrt-Route die Maskierungs-Oprtion auf "nur intranet maskieren" stellen, denn sonst wird die DMZ maskiert, bevor das N:N-NAT greifen kann... Du kannst aber auch einfach ein kleineres Netz als DMZ eintragen, in dem du die Rechner betreibst, die komplett ungeNATtet sein sollen, und die anderen Adressen für Port-Forwardings und/oder Policy-Based-NAT nutzen. Du hast letztlich alle möglichen Freiheiten - so du sie richtig nutzt.

Gruß
Backslash
Antworten