Einsteigerprobleme mit Konfiguration eines 821+ Routers

Ande · Beitrag von **Ande** » 10 Feb 2009, 11:48

Hallo an alle,
ich habe große Probleme den 821+ zu konfigurieren. Habe mir schon den Leitfaden angeschaut, aber trotz alledem bin ich nicht wirklich sehr weit gekommen. Blutiger Anfänger im Bereich von Routern und deren Konfig

Uns wurde gesagt, dass das ein sehr guter Router wäre...nur das die Konfig so schwer seien würde hätten wir nicht gedacht

Also der Router soll "lediglich" als Gateway dienen. Zur Zeit haben wir einen Linux Server der diese funktion übernimmt, dieser soll aber weg.
Bei ihm sieht die Konfig so aus das er eine Öffentliche Ip hat (217.140.83.*) und die Einwähldaten zu unserem Provider. Eine Firewall läuft hier nicht, dafür haben wir unseren ISA 2006. Ins Internet gehen wir über einen Proxy (übernimmt auch der ISA 2006) wäre aber auch schön wenn wir keinen Proxy mehr nutzen müssten.
Ich bin jetzt soweit gekommen das der Router die öffentliche IP hat (hab ich als DMZ mit dem Port Eth1 eingsetellt), die Einwähldaten und eine internen IP (192.168.0.1, auf Eth"beliebig") Der interne IP Bereich ist 192.168.0.*
Die Internet-Verbindung klappte, wenn ich als Gateway in den Netzwerkeinstellungen die 192.168.0.1 angegeben habe. Mehr aber auch nicht

Nun weiß ich nicht was ich alles einstellen muss, um auch den Router als Gateway nutzen zu können. Speziell wie hier die Routing Tabelle auszusehen hat. Auch würde ich natürlich gerne die Vorteile der Firewall nutzen. Hier sind neben den üblichen Ports (Smtp, Http(s), ftp usw. noch zusätzliche zu öffnen, z.B. der 3299.
Sorry für den langen Text, wollte halt das Problem genau beschreiben.
Hoffe ihr könnt mir helfen, da hier in der Firma irgendwie jeder "Ratlos" ist, wie das "Ding" zu konfigurieren ist.
Gruß
Ande

backslash · Beitrag von **backslash** » 10 Feb 2009, 13:50

Hi Ande

Die Internet-Verbindung klappte, wenn ich als Gateway in den Netzwerkeinstellungen die 192.168.0.1 angegeben habe. Mehr aber auch nicht

Was meinst du mit "Mehr aber auch nicht"? Das ist doch genau das, was du willst...

Nun weiß ich nicht was ich alles einstellen muss, um auch den Router als Gateway nutzen zu können

Was willst du noch mehr einstellen? Du benutzt die ISA als Firewall, also muß die ISA für die PCs im LAN auch das Gateway sein. Das LANCOM hängst du sicherheitshalber an eine zweite Netzwerkkarte der ISA (denn sonst könnte die Firewall umgangen werden) und trägst es auf der ISA als Gateway ein. Auf der zweiten Netzwerkkarte brauchst natürlich auch ein anderes Netz als in deinem LAN - z.B. 192.186.1.x - in dem dann auch das LANCOM stehen muß

Gruß
Backslash

Ande · Beitrag von **Ande** » 10 Feb 2009, 15:23

Hi Backslash...cooler Nick

erstmal vielen danke für die fixe Antwort. Hab soweit erstmal alles verstanden.

1.
Habe aber noch zwei Verständnissproblem.
Bei uns ist es so, das der Isa auch als Proxy fungiert (der hat die öffentliche Ip 217.140.83.* und die interne 192.168.0.19). Das Problem hierbei ist, dass über diese öffentliche IP die ganzen Emails eingehen, da sie von einem Spamfilteranbieter hierhin gesendet werden. Daher war es Qutsch zu sagen "der Proxy kann weg"!!!
Der Proxy wird in den Netzwerkeinstellungen als Gateway immer eingestellt, bzw. auch im Firefox oder IE als Proxy eingetragen, da die meisten Clients die IP´s per DHCP (ist auf einem DC eingerichtet) bekommen.
Wenn ich jetzt sage ihr bekommt als GW die 192.168.0.1...würde in meinen Augen der Proxy wegfallen. Ist richtig...oder????

2.
Wir haben noch ein Server der eine öffentliche IP hat.
Zu Zeit ist es so das dieser an einem Switch "hängt" der an die Linux-GW
geht, so das sie halt im Internet stehen. Mir ist bewusst das diese zur Zeit ungeschützt ist. Da wäre es natürlich super ihn mit dem Lancom zu schützen. Hier müsste nämlich nur ein Port geöffnet werden.

Gruß
Ande

JoP75 · Beitrag von **JoP75** » 10 Feb 2009, 20:46

Hi,

zum Thema 'Proxy weg': Wenn ihr den ISA nur als reinen Proxy - ohne zugangsbeschränkungen, URL-Filter, etc. kann dieser Dienst entfallen. Wenn ihr den Clients den Lancom als Gateway eintragt, die DNS-Auflösung nach extern läuft (entweder der Lancom direkt - oder der DC, der dann über den LC die Abfragen nach aussen macht). Allerdings würde ich mir überlegen ob ich auf die Vorteile eines Proxys verzichten will. Der Proxy ist ja erstmal unabhängig vom SMTP-Dienst zu sehen. Ich finde den 'zwangsweg' über den Proxy aus Sicherheitsgründen besser.

zum Thema 'öffentliche IP' - der Lancom kann einzelne Dienste/Ports ja nach intern NATten. ggf. für die betreffenden Server eine DMZ aufspannen.
das gilt auch für den SMTP. Genau dort würde ich mir auch anschauen, wer bei euch SMTP abliefern darf. Wenn euer MX auf nen ext. Dienstleister steht und dieser SMTP an euch weiterleitet, dann würd ich SMTP-Verbindungen von extern auch nur von der Adressrange des Dienstleisters erlauben.

Ande · Beitrag von **Ande** » 11 Feb 2009, 11:02

@ JoP75
Proxy:
Habe das mit einem Kollegen besprochen und sind zum Schluss gekommen den Proxy zu behalten, wegen dein genannten Argumenten.

Öffentliche IP:
Was müsste ich da genau einstellen, das der eine Server mit einer Öffentlichen IP geschützt wird durch das Lancom. Steh hier irgendwie auf dem Schlauch

Wegen SMTP:
Der MX-Record ist auf dem Exchange hinterlegt. Dieser sendet direkt die Mails an den Spamfilteranbieter. Die eingehenden werden vom Isa direkt weitergeleitet an den Exchange.

@ backslash
Noch mal zum Verständniss.
Ich gebe dem Lancom die interne IP: 192.168.1.1 (das 1.er Netz nutzen wir nicht) und hänge dies an die zweite NT-Karte des Isa´s, der ich auch eine IP aus dem 1.er netz gebe.
Was ich jetzt doch nicht ganz verstehe ist: Muss ich auf der ersten NT-Karte die Ip des Lancom als GW eintragen (192.168.1.1), oder weiterhin die 192.168.0.19 stehen lassen

Muss das Lancom eigentlich die Öffentliche IP 217.140.83.* bekommen?

Tut mir echt leid wegen den wahrscheinlich bescheurten Fragen. Sorry.
Ein großes Dankeschön trotzdem für eure Geduld!!!!!!

Gruß
Ande

JoP75 · Beitrag von **JoP75** » 11 Feb 2009, 12:38

Wieviel öffentliche IPs habt ihr denn ? 8er Pool hinter dem router des ISPs ?
oder habt ihr nur eine 'feste IP' des Providers ?

Ande · Beitrag von **Ande** » 11 Feb 2009, 12:50

Hi,

Sowohl als auch.
Wir haben 15 öffentliche Ip´s. Eine feste vom Provider, wenn wir ins Internet gehen. Die erste der 15 öffentlichen Ip´s auf die öffentlichen Ip´s geroutet.

Gruß
Ande

backslash · Beitrag von **backslash** » 11 Feb 2009, 14:07

Hi Ande

Muss ich auf der ersten NT-Karte die Ip des Lancom als GW eintragen (192.168.1.1), oder weiterhin die 192.168.0.19 stehen lassen

auf der ersten Netzwerkkarte braucht der ISA gar kein Gateway. Auf der zweiten trägst du das LANCOM als Gateway ein.

Muss das Lancom eigentlich die Öffentliche IP 217.140.83.* bekommen?

Wenn du von außen den ISA mit seiner öffentlichen Adresse zugerifen willst, dann mußt du eine DMZ einrichten. Dabei bekommt das LANCOM sopwohl auf der WAN-Seite als auch in der DMZ die selbe Adresse (217.140.83.x) mit der passenden Netzmaske (bei 15 Adressen ist das die 255.255.255.240). In der Routing-Tabelle stellst du die Maskierungsoption der Defaultroute (das ist die mit 255.255.255.255 0.0.0.0) auf "nur Intranet maskieren".

Den ISA hänst du (mit seiner zweiten Netzwerkkarte) in das DMZ-Netz und gibts ihm das LANCOM als Gateway

Gruß
Backslash