Einrichten einer DMZ

[Genom]

Hallo liebes Forum,

ich habe eine Frage, ob folgendes Szenario realisierbar ist. Die Schritte dahin sind im Moment noch nicht so wichtig:

Aufbau: Lancom Router an einem Company Connect Anschluss mit 5 festen IP.

Eine feste IP würde ich zur NAT Einwahl nutzen und dahinter gerne 5-10 private Netze betreiben, getrennt per ARF.

Kann ich die freien 4 öffentlichen IP z.B. per DMZ so nutzbar machen, dass ich deren Ports auf IP´s in den 5-10 Netzen per Portforwarding weiter leiten kann?

Z.B. um mehrere Webserver oder Mailserver zu betreiben ?

Danke Euch

[Dr.Einstein]

Hallo Genom,

die Sache ist unabhängig der DMZ. Du kannst einfach in den Portweiterleitungseinträgen die WAN-IP von 0.0.0.0 auf z.B. 4. IP des CoCos ändern. Das einzige, was bei Lancom schwer bis gar nicht klappt ist die Verwendung der anderen IPs abgehend.

Gruß Dr.Einstein

[Genom]

Hallo Dr. Einstein,

ich habe mal im Labor folgendes erfolgreich probiert:

Zwischen den CC- Abschlussrouter und den Lancom Router einen Switch eingebaut und dann 2 unabhängige NAT Einwahlen mit jeweils einer anderen WAN IP des CC- Kreises eingerichtet. Grund war mehrere 1000 Clients genügend NAT Sessions zur Verfügung zu stellen.

Zum Thema:

Muss ich den zu nutzenden IP Kreis noch irgendwo definieren, bevor ich bei Portforwarding Weiterleitungen einrichte ? Oder hört er automatisch auf die IP, sobald diese in Portforwarding als Quell IP definiert wurde ?

Danke

[Dr.Einstein]

Hallo Genom,

beide Leitungen sind ja im selben Broadcastbereich, ich hoffe einfach mal, dass der Lancom sich nicht verstolpert. Du gibst ja bei der Portweiterleitung auch die Gegenstelle ein, wo er sich die IP hernehmen soll. Dadurch sollte es im Prinzip klappen.

Wieso hast du Angst vor NAT-Sessions? Wenn du jetzt eine Leitung hast und davon ausgehst, dass hier 65000 Sessions offen sind, dann wird sehr wahrscheinlich der Lancom der begrenzende Faktor sein und nicht die maximal mögliche Anzahl von Sessions / Anschluss. Der Lancom wird vermutlich schon bei 20000, vielleicht 30000? dicht machen.

Gruß Dr.Einstein

[Genom]

Hallo Dr. Einstein,

ich hatte vom Lancom Premium Support die Aussage, dass der Lancom 2 mal 65000 Session packt, bzw. nicht der limitierende Faktor ist. Scheint sich ja gerade zu relativieren

Produktiv habe ich 2 NAT Session auf denselben CC noch nicht eingesetzt.. Also keine Langzeiterfahrung.

Die Antwort, dass es prinzipiell irgendwie funktioniert, die Ports von mehreren WAN IP eines CC in den privaten Netzen zu nutzen reicht mir im Moment völlig.

Vielen Dank dafür!

[Dr.Einstein]

Hallo Genom,

wenn du fragst, ob 300 parallele VPNs funktionieren, bekommst du auch die Antwort: klar geht das. Wenn du das ganze dann aber im Detailgrad erhöhst, Beispiel:

32 MBit/s WAN, x000 Clients, je Client werden min. 10 UDP und 20 TCP Sessions versucht zu halten mit kleinsten bis größten Paketgrößen, jeder Client versucht min 100 kbit/s zu erlangen usw, dann merkt man schnell auf der Gegenseite, das kein schnell "klar" zurückkommt. In der Vergangenheit hatte ich zu oft vom Support Positivmeldungen erhalten, die in der Praxis meilenweit entfernt waren. Dann im Nachgang statt ein 9100+ vielleicht vier zu verkaufen, kann man den Kunden gegenüber schwer argumentieren.

Hoffe aber, dass bei dir alles klappt und die Aussagen so korrekt waren

Gruß Dr.Einstein

[Genom]

Hallo nochmal,

da gebe ich Dir recht. Diese Erfahrung habe ich auch schon gemacht.

Das Projekt hat sich aus Kostengründen auf 500 User verkleinert. Daher kam ich nicht mehr an diese Grenzen...

Ich werde Deine Erfahrungen aber gut abspeichern und weiter so detailliert fragen

Gruß

[stefanbunzel]

Hallo Dr. Einstein,

die Sache ist unabhängig der DMZ. Du kannst einfach in den Portweiterleitungseinträgen die WAN-IP von 0.0.0.0 auf z.B. 4. IP des CoCos ändern. Das einzige, was bei Lancom schwer bis gar nicht klappt ist die Verwendung der anderen IPs abgehend.

Die Zuweisung von Intranet-IP's zu WAN-IP's klappt doch ganz einfach über "N:N-Mapping". Dann gibt es auch keine Probleme mit der abgehenden WAN-IP.

Viele Grüße,
Stefan