Company Connect mit 2 Adressbereichen

pal · Beitrag von **pal** » 09 Jul 2008, 00:55

Hallo Leute,

ich hab für die Firma einen 1711 Router gekauft um die alte Pix501 in Rente zu schicken. Das Netwerk hab ich übers Wochenende umgestellt und das Meiste funktioniert mittlerweile ganz gut. Nur der zweite Adressbereich vom CoCo macht mich noch fertig. Im Forum les ich überall "Stichwort: DMZ". Irgendwie komm ich damit überhaupt nicht weiter. Aber vielleicht lieber mal der Reihe nach.
Die Internetverbindung läuft bei uns über den CompanyConnect von der Telekom. Dort haben wir zwei Adressbereiche. Einmal 62.225.60.112/29 und 62.154.182.0/29. Geroutet werden wir über 62.225.60.113 (macht der Cisco 2600 der von der Telekom bei uns steht). So weit so gut. Bei Gegenstellen ist dann T-COMPCO eingetragen und unter Protokolle->IP-Parameter die passenden Daten für den ersten Adressbereich. Die Subnetmask ist dabei 255.255.255.248. Mit den Einstellungen kann ich aus dem Intranet mit PAT raus und komm auf die DMZ-Server von außen drauf. Aber nur über den ersten Adressbereich. Beim zweiten sieht das anders aus. Da kann ich mich oder sonst was auf den Kopf stellen, der rührt sich nicht. Also DMZ wie in der KB von Lancom oder von anderen hier im Forum beschrieben eingerichtet oder NAT eingetragen ... es geht nicht.
Das Einzige was etwas gebracht hat, war bei IP-Parametern die Netzmaske auf 255.132.117.136 zu ändern. Jetzt sind alle Server aus der DMZ erreichbar, allerdings ist nun der halbe 62er Addressraum vom Internet nicht mehr erreichbar. Auch nicht toll.

Ich hoffe ihr könnt mir hier irgendwie Helfen. Falls ich ungenau, unverschämt oder einfach dumm war/bin bitte ich das zu Entschuldigen - ich ärger mich jetzt schon so lang damit rum und spät ists jetzt auch schon

Gruß,
Johannes

backslash · Beitrag von **backslash** » 09 Jul 2008, 12:08

Hi pal

die korrekte Lösung besteht darin, nur *eine* WAN-Verbindung einzurichten und im Cisco eine Route einzutragen (bzw. eintragen zu lassen), die das zweite Netz über den LANCOM routet.

Wenn du mit zwei WAN-Verbindungen arbeiten willst, dann mußt du sie auf verschiedene DSL-Ports klemmen, denen du auch verschiedene MAC-Adressen zuweisen mußt! Desweiteren müssen beide Verbindungen als Gateway die Adresse eingetragen haben, die der Cisco in dem Netz hat, also auf der ersten die 62.225.60.113 und auf der zweiten vermutlich die 62.154.182.1.

Die Lösung mit zwei WAN-Verbindungen hat aber den Nachteil, daß die ganzen QoS-Geschichten des LANCOMs nicht mehr funktionieren können, da es ja nicht weiß, daß die beiden Verbidnungen auf dem Cisco wieder vereint werden und sich durch das selbe Nadelöhr zwängen müssen...

Gruiß
Backslash

pal · Beitrag von **pal** » 09 Jul 2008, 12:39

Vielen Dank für die Antwort, backslash. Stark wie du allen hier mit deinem Wissen hilfst.

Das mit den zwei WAN-Verbindungen hab ich mir auch überlegt aber aus den von dir genannten Grund wieder verworfen.
Also ruf ich einfach mal bei der Telekom an und lass den zweiten Bereich Routen. Komischerweise hat der zweite Bereich bei der Pix501 funktioniert und da waren eigentlich die selben Daten eingetragen.

Was mich auch noch wundert ist, dass wenn ich die Netzwerkmaske der T-COMPCO Verbindung auf den richtigen Wert von 255.255.255.248 zurücksetz, erstmal komplett alles funktioniert. D.h. ich werde richtig ins normale 62er Netz vom 1711er geroutet und kann extern auf den zweiten Adressbereich zugreifen. Nach einer Stunde oder so funktionierts dann allerdings wieder nicht. Liegt das auch am Cisco 2600 von der Telekom?

Gruß,
Johannes

backslash · Beitrag von **backslash** » 09 Jul 2008, 13:43

Hi pal

Komischerweise hat der zweite Bereich bei der Pix501 funktioniert und da waren eigentlich die selben Daten eingetragen.

ich kenne die Konfig der Pix nicht, aber entweder hat die mit zwei WAN-seitigen Netzen gearbeitet oder sie hatte auf der WAN-Seite eine andere Adresse, als du dem LANCOM zugewiesen hat. Dann besteht aber schon ein Routing-Eintrag im Cisco und es würde ausreichen dem LANCOM einfach die selbe Adresse zu geben, wie der Pix

Nach einer Stunde oder so funktionierts dann allerdings wieder nicht. Liegt das auch am Cisco 2600 von der Telekom?

Wenn du im WAN die Netzmaske so groß machst, daß beide Netze abgedeckt sind, dann beantwortet das LANCOM ARP-Requests für Adressen in diesen Netzen mit seiner eigenen MAC-Adresse (Proxy-ARP). Irgendwann altern die Adressen aus dem ARP-Cache des Ciscos heraus und er stellt einen neuen ARP-Request. Wenn du zu dem Zeitpunkt die Netzmaske wieder zurückgestellt hast, dann ignoriert das LANCOM ARP-Requests für Adressen im zweiten Netz, da diese außerhalb des WAN-Netzes liegen.

Gruß
Backslash

pal · Beitrag von **pal** » 10 Jul 2008, 18:24

So, vielen Dank nochmal Backslash. Hat alles super geklappt. Auf die Idee, dem Router von der Telekom ne Route zum Lancom eintragen zu lassen, wär ich nie gekommen.

Dass das Ganze mit der Pix funktioniert hat verwirrt mich irgendwie immernoch. Dort war lediglich ein WAN-Interface eingetragen mit 62.225.60.115/29. Bei Adressumsetzung waren dann die Adressen vom zweiten Adressbereich eingetragen. Vielleicht hat die Pix dann automatisch angenommen, dass ein weiteres WAN-Netz existiert?

Und mit dem ARP-Cache des Ciscos: der 'Telekom-Mensch' meinte er hätte den gelöscht. Trotzdem waren, obwohl die Netzmaske 'zurückgestellt' (255.255.255.248) war, die Rechner über den 62.154.182.0/29 Bereich erreichbar. Kann es sein, dass der Lancom die Einstellungen nicht sofort übernimmt, selbst wenn man die Wan-Verbindung kappt?

Gruß