1780EW-4G+: Mehrere öffentliche IPv4-Adressen für lokales Netzwerk verfügbar machen

[GeorgBNM]

Hallo,

ich habe ein statisches 28er-IP-Subnetz von Vodafone, über welches ich diverse Stationen/ Ports nach außen erreichbar machen möchte.
In etwa sollte es so laufen, wie hier in der Knowledgebase beschrieben: https://support.lancom-systems.com/serv ... 20Firewall

Nur habe ich keine Unified Firewall. Wie setze ich dies beim LANCOM 1780EW-4G+ um?

Danke schon jetzt für eure Hilfe!

Viele Grüße

Georg

[tstimper]

Hi Georg,

ich habe ein statisches 28er-IP-Subnetz von Vodafone, über welches ich diverse Stationen/ Ports nach außen erreichbar machen möchte.

In Lanconfig bei Communication> Protocols > IP Parameters
schreibst Du bei IP address die erste (oder letzte) freie IP des /28er Subnetzes rein, bei Netmask die /28er Maske
Damit ist der Router erstmal über die bei IP address eingetragene IP z.B. für VPN Verbindungen erreichbar.
Unter IP Router > Masq. > Port forwarding table trägst Du alle IPs und Portforwardings aus dem /28er Netz ein, die Du braucht.

Dann noch Firewall Regeln bauen, die den Traffic erlauben, fertig.

Ganz wichtig: Internet Verbindzng trennen oder gleich den Router rebooten, damit das wirksam wird.

Viele Grüße

ts

[GeorgBNM]

Hallo ts,

das hat mir schonmal sehr geholfen, allerdings kann ich damit wohl keinen rDNS auf den Mailserver mit der bestimmten IP aus dem 28er-Netz setzen, oder?
Das ist gerade eines meiner Hauptprobleme.

Danke für deine Hilfe!

Viele Grüße

Georg

[tstimper]

Hallo ts,

das hat mir schonmal sehr geholfen, allerdings kann ich damit wohl keinen rDNS auf den Mailserver mit der bestimmten IP aus dem 28er-Netz setzen, oder?
Das ist gerade eines meiner Hauptprobleme.

Danke für deine Hilfe!

Viele Grüße

Georg

Hallo Georg,

den rDNS für den Mailserver oder was auch immer muss Dein Leitungsprovider setzen.
Bzw. derjenige, der den /28er IP Bereich geliefert hat.

Bei meinem VDSL-Telekom Anschluss mache ich das über das Kundenportal.
Vodafone sollte das auch haben oder zumindest das per Support Anfrage setzen können.
Bei Datacenter Racks mach das dann der Datacenter Betreiber.

Viele Grüße

ts

[backslash]

Hi GeorgBNM,

das hat mir schonmal sehr geholfen, allerdings kann ich damit wohl keinen rDNS auf den Mailserver mit der bestimmten IP aus dem 28er-Netz setzen, oder?
Das ist gerade eines meiner Hauptprobleme.

Die Frage ist, ob du Dienste nur von aussen erreichbar haben willst oder ob auch interne Server Verbindungen aufbauen sollen, die unter einer IP aus dem /28er Netz zu sehen sind.

Für ersteres ist ist die Spalte "WAN-Adresse" beim Portforwarding da. Dort gibst du die IP-Adresse ein, unter der der Service erreichbar sein soll.

Für letzteres mußt du im LAN eine DMZ mit den öffentlichen Adressen aufspammen. Das wäre dann ein zweites Netz vom Typ DMZ, daß du aus Sicherheitsgründen an ein anderes physikalisches LAN binden solltest, als dein Intranet. D.h. wenn dein Intranet an LAN-1 gebunden ist, solltest du die DMZ z.B. an LAN-2 binden.
Dabei gibts du dem neuen LAN-Netz die selbe IP und Netzmaske wie dem WAN, stellst seinen Netzwerktyp auf "DMZ" und änderst als letztes bei der Default-Route die Maskierungs-Option auf "nur Intranet maskieren".
Nachdem du dann einmal die WAN-Verbindung getrennt und neu aufgebaut hast, ist ein Server, der in der DMZ steht (und somit eine Adresse aus dem /28er Netz hat) von aussen ohne NAT erreichbar.

Auch in diesem Szenario ist es sinnvoll den Zugriff auf den Server über Firewaqllregeln zu reglementiren - und natürlich auch anders herum, alles, was der Server erreichen können soll/bzw. was er nicht erreichen seoll...


Gruß
Backslash

[GeorgBNM]

Hi backlash,

Für letzteres mußt du im LAN eine DMZ mit den öffentlichen Adressen aufspammen. Das wäre dann ein zweites Netz vom Typ DMZ, daß du aus Sicherheitsgründen an ein anderes physikalisches LAN binden solltest, als dein Intranet. D.h. wenn dein Intranet an LAN-1 gebunden ist, solltest du die DMZ z.B. an LAN-2 binden.

Wie mache ich es aber beim LANCOM 1780EW-4G+?
Der hat ja nur zwei LAN-Ports, eine für WAN und eben das LAN.

Oder kann man das auch mit z.B. einer BRG-2 Schnittstelle konfigurieren?

Danke!

Viele Grüße

Georg

[backslash]

Hi GeorgBNM,

Wie mache ich es aber beim LANCOM 1780EW-4G+?
Der hat ja nur zwei LAN-Ports, eine für WAN und eben das LAN.

in dem Fall ist VLAN dein Freund... sprich: Du erstellst die beiden Netz zwar auf dem selben Ethernet-Interface, aber mit verschiedenen VLANs und separierst sie dann über einen VLAN-fähigen Switch...

Oder kann man das auch mit z.B. einer BRG-2 Schnittstelle konfigurieren?

du willst doch nicht die DMZ in dein WLAN legen...

Zusammen mit WLAN würde das dann wie folgt aussehen:

• Du bindest dein Intranet an BRG-1 (die LAN-1 und das WLAN enthalt) und nutzt z.B. in VLAN 1. VLAN 1 weist du dann LAN-1 und WLAN-1 zu.
• Die DMZ bindest du ohne Bridge direkt an LAN-1 und nutzt VLAN 2. VLAN 2 weist du nur LAN-1 zu
• An LAN-1 kommt dann der VLAN-fähige Switch, der die VLANs separiert....

Vorsicht beim Einschlten des VLAN-Moduls... Das mußt du entweder über die serielle Schnittstelle machen oder in einem Script zusammen mit der Zuweisung der VLAN-IDs an Netze und Ports - sonst sägst du an dem Ast, auf dem du siztzt und sperrst dich aus...

In einer einfachen Konfiguration geht es u.U. auch ohne VLAN-Modul... Dabei nuzt das Intranet dann weiterhin VLAN 0 und die DMZ irgend ein anderes VLAN (z.B. wie oben VLAN 2)

Gruß
Backslash

[GeorgBNM]

Hallo backlash,

das hilft mir sehr!

Ich möchte die Lösung mit DMZ und von außen erreichbaren Adressen erreichen.
Mit dem VLAN habe ich einige Erfahrungen gemacht, als der LANCOM neu war... Aussperren und so...

Die Switches dahinter können alle VLAN, also könnte es klappen.

Wenn es nur mit Kommunikation -> IP Parameter konfiguriert wäre, könnte dann ein Bandbreitendefizit entstehen?
Diese Situation habe ich jetzt gerade, als ich von der FritzBox auf die neuen Geräte von Vodafone gewechselt bin.
Deren Service macht schon tagelang rum!

Dankeschön!

EDIT: Bei einem ersten Versuch (ohne VLANs) konnte zwar die Internetverbindung allgemein hergestellt werden, die besagten Netzwerkgeräte hatten aber keine Verbindung. Müssen dafür extra Routen angelegt werden? Wo, bei IP Router?


Viele Grüße

Georg

[tstimper]

Hi Georg,

die beste Variante zur Umstellung auf VLANs ist mittels Script,
wobei vorher der Testmode eingeschaltet wird

Code: Alles auswählen

flash no

Falls es fehlschlägt, bootet LCOS nach dem Timeout neu mit der alten Konfig oder du nimmst den Router einfach stromlos.
Wenn das Script erfolgreich war, schreibst Du die Config mit flash yes in dem Flash und die Config überlebt nun ein Power Cycle.

Wichtig: Vorher und hinterher Config Backup machen.

Viele Grüße

ts

[GeorgBNM]

Ok tstimper,

werde ich so versuchen!

Kannst du dir vorstellen, woher eine Beschränkung der Bandbreite herrühren kann?
Ist: 100 Mbit/s
Soll: 800 Mbit/s (Gigabit)

Vorher an der (blöden) FritzBox kam der volle Speed an.
Geändert habe ich außer den IP-Adressen für den neuen Zugang nichts. Kabel, alles gleich.

Danke dir!

Viele Grüße

Georg

[tstimper]

Ist: 100 Mbit/s
Soll: 800 Mbit/s (Gigabit)

Hi Georg,

mein 1783VA zu Hause hat meines Wissens dieselbe CPU wie Dein 1780EW-4G+
Er schafft am 500 Mbit Downstream / 100 Mbit Upstream Anschluss auch nur 100 Mbit in beide Richtungen.
Die CPU kann nicht mehr. Ich habe mir jetzt einen 1800EF geholt, der schafft das.
Hab ihn aber noch nicht eingebaut.

Du müsstest entweder einen 1800EFW (ohne Mobilfunk) oder einen 1800EF-5G (ohne WLAN) nehmen.

Viele Grüße

ts

[GeorgBNM]

Hallo ts,

na ja, vorher hat er es ja irgendwie geschafft.
Damit wäre ich ja zufrieden.

Vodafone sagt halt, dass der LANCOM die Bremse wäre.
Direkt an deren Hardware bekomme ich aber auch nur 400 Mbit/s raus.

Wichtiger erstmal ist es aber, dass ich die DMZ mit den öffentlichen Adressen aufspannen kann, um den Anschluss wie gedacht zu nutzen.
Da hilft mir hoffentlich dein Trick mit dem Testmode.

Kann man darüber auch nur die wichtigsten Einträge eingeben, damit es quasi wie ein frisch resetettes Gerät läuft?
Also, quasi alle „unwichtigen“ Einträge raus?

Hab schon lange nichts mehr daran gemacht, weil es halt lief...

Viele Grüße

Georg

[tstimper]

Hallo Georg

Kann man darüber auch nur die wichtigsten Einträge eingeben, damit es quasi wie ein frisch resetettes Gerät läuft?
Also, quasi alle „unwichtigen“ Einträge raus?

Ich weis garnicht ob sowas wie del * -r an der CLI geht, mir fehlt grad er Mut das auszuprobieren

In der CLI Referenz gibt es bei del kein -r https://www.lancom-systems.de/docs/LCOS ... 05530.html


do /other/reset-config wird auch nicht helfen, ich denke da bootet LCOS direkt dannach, auch wenns per Sript hochgeladen wird.

default -r für einzelne Pfade geht, das könnte Dir helfen.

Falls Du Zertifikate nutzt, die musst Du natürlich auch sichern und dirt nicht die Defaults laden ...

Viele Grüße

ts

[GeorgBNM]

Hi ts,

ich glaube, so meinte ich das gar nicht, sondern dass man halt eine Skript-Datei hochlädt, wo die wichtigsten Werte drin sind.
Oder, denke ich da zu einfach?

Die DMZ bindest du ohne Bridge direkt an LAN-1 und nutzt VLAN 2. VLAN 2 weist du nur LAN-1 zu.

Wie route die im DMZ eingetragenen statischen IP-Adressen dann auf meine lokalen Adressen?
Das hat bei einem ersten Versuch von mir nicht funktioniert.

Viele Grüße

Georg

[tstimper]

Hi Georg,

ich glaube, so meinte ich das gar nicht, sondern dass man halt eine Skript-Datei hochlädt, wo die wichtigsten Werte drin sind.

genau so machst Du es
Ins Script kommt nur, was Du ändern willst.

Viele Grüße

ts