Hallo,
wir gehen über einen LANCOM 1721 ins www.
Unser Netz: 192.168.0.XXX. Unser LANCOM hat die 192.168.0.1
Wie kann ich eine Adresse (10.50.0.35) an einen anderen Router 192.168.1.2 weiterleiten?
Dieser andere Router 192.168.1.2 ist mit unserem LANCOM auf eth4 verbunden und leitet über VPN auf die 10.50.0.35 weiter. Auf diesen Router habe ich keinen Zugriff.
Vielen Dank
Markus[/b]
Geht das zwei Router in Reihe und dennoch www???
Moderator: Lancom-Systems Moderatoren
Hi mark99
Da LANCOMs aber nur auf WAN-Verbindungen maskieren können, bedeutet das, daß du eine maskierte WAN-Verbindung einrichten mußt.
Das geht am einfachsten über den Internet-Wizard. Wenn du das aber machst, dann geht deine bisherige Internetverbindung verloren, da der Wizard die Defaultroute überschreibt.
Also liest du erstmal die Konfig aus und merkst dir auf welche Gegenstelle die Defaultroute zeigt. Die Deafultroute ist unter IP-Router -> Routing -> Routing-Tabelle zu finden (daß ist die letzte Route, die eingetragen ist)
Danach startest du den Internet-Wizard und erstellst eine Plain-IP Verbindung, die du an ETH4 bindest. Diese Verbindung benamst du passend (z.B. XXX-SERVER). Der Wizard gibt dabei eine Warnung aus, daß er die Defaultroute überschreiben wird - diese Warnung kannst du ignorieren.
Der Wizard fragt dich irgendwann nach den IP-Parametern für die Verbindung (IP-Adresse, Netzmaske, Gateway, DNS-Server). Hier kannst du entweder sagen, daß diese automatisch bezogen werden sollen (also per DHCP, vom entsprechenden Router) oder du mußt sie manuell zum Netz des Routers setzen (dann mußt du dich mit dem Admin des Routers auseinandersetzen und ihm eine IP-Adresse "aus dem Kreuz leihern").
Nachdem der Wizard die Verbindung eingerichtet hast, öffnest du einfach nochmal die Konfiguration und änderst die vom Wizard eingerichtete Deafultroute so ab, daß du als IP-Adresse die 10.50.0.35 und als Netzmaske die 255.255.255.255 einträgst.
Danach fügst du eine neue Default-Route hinzu, weist dieser die zu Beginn gemerkte Gegenstelle zu und schaltest die Maskierungsoption auf "Intranet und DMZ maskieren (Standard)"
Danach sollte alles wie gewünscht funktionieren
Gruß
Backslash
eigentlich ganz einfach, aber:Wie kann ich eine Adresse (10.50.0.35) an einen anderen Router 192.168.1.2 weiterleiten?
Das Problem ist, daß du keinen Zugriff auf diesen Router hast und somit in diesem keine Rückroute eintragen kannst. Daher mußt du eine maskierte Verbindung herstellen.Auf diesen Router habe ich keinen Zugriff.
Da LANCOMs aber nur auf WAN-Verbindungen maskieren können, bedeutet das, daß du eine maskierte WAN-Verbindung einrichten mußt.
Das geht am einfachsten über den Internet-Wizard. Wenn du das aber machst, dann geht deine bisherige Internetverbindung verloren, da der Wizard die Defaultroute überschreibt.
Also liest du erstmal die Konfig aus und merkst dir auf welche Gegenstelle die Defaultroute zeigt. Die Deafultroute ist unter IP-Router -> Routing -> Routing-Tabelle zu finden (daß ist die letzte Route, die eingetragen ist)
Danach startest du den Internet-Wizard und erstellst eine Plain-IP Verbindung, die du an ETH4 bindest. Diese Verbindung benamst du passend (z.B. XXX-SERVER). Der Wizard gibt dabei eine Warnung aus, daß er die Defaultroute überschreiben wird - diese Warnung kannst du ignorieren.
Der Wizard fragt dich irgendwann nach den IP-Parametern für die Verbindung (IP-Adresse, Netzmaske, Gateway, DNS-Server). Hier kannst du entweder sagen, daß diese automatisch bezogen werden sollen (also per DHCP, vom entsprechenden Router) oder du mußt sie manuell zum Netz des Routers setzen (dann mußt du dich mit dem Admin des Routers auseinandersetzen und ihm eine IP-Adresse "aus dem Kreuz leihern").
Nachdem der Wizard die Verbindung eingerichtet hast, öffnest du einfach nochmal die Konfiguration und änderst die vom Wizard eingerichtete Deafultroute so ab, daß du als IP-Adresse die 10.50.0.35 und als Netzmaske die 255.255.255.255 einträgst.
Danach fügst du eine neue Default-Route hinzu, weist dieser die zu Beginn gemerkte Gegenstelle zu und schaltest die Maskierungsoption auf "Intranet und DMZ maskieren (Standard)"
Danach sollte alles wie gewünscht funktionieren
Gruß
Backslash
Hallo Backslash,
danke für die schnelle Antwort.
Die IP für den zweiten Router 192.168.1.2 habe ich dessen Admin gegben. Ziel, ich will den Router nicht in unserem Netz 192.168.0.XXX haben.
Auf die 10.50.0.35 habe ich keinen Enfluss.
Wenn ich so vorgehe wie du beschrieben hast, kann ich eth4 doch z.B. die IP 192.168.1.1 mit der Netzmaske 255.255.255.0 vergeben.
Was geben ich bei DNS und Gateway ein???
Belasse ich das auf 0.0.0.0???
Gruß
Markus
danke für die schnelle Antwort.
Die IP für den zweiten Router 192.168.1.2 habe ich dessen Admin gegben. Ziel, ich will den Router nicht in unserem Netz 192.168.0.XXX haben.
Auf die 10.50.0.35 habe ich keinen Enfluss.
Wenn ich so vorgehe wie du beschrieben hast, kann ich eth4 doch z.B. die IP 192.168.1.1 mit der Netzmaske 255.255.255.0 vergeben.
Was geben ich bei DNS und Gateway ein???
Belasse ich das auf 0.0.0.0???
Gruß
Markus
Bin jetzt extra nochmal ins Büro gefahren und habe es "ausprobiert".
(Der Router 192.168.1.2 kommt erst morgen.)
Anstelle dessen habe ich einen Rechner mit einer ip aus 192.168.1.XXX an eth4 gehängt.
Diesen kann ich nun aus dem 192.168.0.XXX Netz pingen.
Als DNS und Gateway der eth4 Verbindung habe ich die ip-Adresse des Routers (192.168.1.2) angegeben, da dieser ja die 10.50.0.35 über VPN weiterleiten muss.
Stimmt das so???.
Das muss morgen einfach funktionieren.
Ich habe so etwas noch nie gemacht
(Der Router 192.168.1.2 kommt erst morgen.)
Anstelle dessen habe ich einen Rechner mit einer ip aus 192.168.1.XXX an eth4 gehängt.
Diesen kann ich nun aus dem 192.168.0.XXX Netz pingen.
Als DNS und Gateway der eth4 Verbindung habe ich die ip-Adresse des Routers (192.168.1.2) angegeben, da dieser ja die 10.50.0.35 über VPN weiterleiten muss.
Stimmt das so???.
Das muss morgen einfach funktionieren.
Ich habe so etwas noch nie gemacht
Hallo Markus,
Viele Grüße,
Jirka
Ehm das stimmt nicht ganz - die Anleitung, die Dir vor kurzem der LANCOM-Support gegeben hatte, entspricht dem was Backslash Dir jetzt erklärt hat.Ich habe so etwas noch nie gemacht
Genau.Wenn ich so vorgehe wie du beschrieben hast, kann ich eth4 doch z.B. die IP 192.168.1.1 mit der Netzmaske 255.255.255.0 vergeben.
Ja, das ist so ok. Als DNS-Server kann man evt. auch andere IPs angeben, aber wenn man sie nicht weiß ... Außerdem wird in dem Fall wahrscheinlich gar kein DNS nötig sein ...Als DNS und Gateway der eth4 Verbindung habe ich die ip-Adresse des Routers (192.168.1.2) angegeben, da dieser ja die 10.50.0.35 über VPN weiterleiten muss.
Stimmt das so???.
Viele Grüße,
Jirka
Hallo Markus,
damit kann man weitere redundante Router angeben, die bei Ausfall des bisherigen Master-Routers aktiv werden. Damit senkt man die Ausfallrate und steigert die Verfügbarkeit. Letzten Endes hat man unterm Strich also mehrere Router stehen, aber sie arbeiten nach außen wie einer.
Viele Grüße,
Jirka
damit kann man weitere redundante Router angeben, die bei Ausfall des bisherigen Master-Routers aktiv werden. Damit senkt man die Ausfallrate und steigert die Verfügbarkeit. Letzten Endes hat man unterm Strich also mehrere Router stehen, aber sie arbeiten nach außen wie einer.
Viele Grüße,
Jirka
Alles hat funktioniert. Puh 
Das Masquerade musste noch deaktiviert werden, dann gings. Liegt an dem eingesetzten Programm.
Vielen Dank nochmal für die Hilfe.
Wie sicher ist jetzt eigentlich nun unser Netz (192.168.0.XXX)?
Schottet das der Lancom automatisch ab, oder muss ich noch aktiv werden.
Diese Route dient nur dazu, um mit einem Clientprogramm zum Server (10.50.0.35) zu verbinden. www, oder sonstiges ist nicht nötig. Das läuft über die WAN-Schnittstelle.
Gruß
Markus
Das Masquerade musste noch deaktiviert werden, dann gings. Liegt an dem eingesetzten Programm.
Vielen Dank nochmal für die Hilfe.
Wie sicher ist jetzt eigentlich nun unser Netz (192.168.0.XXX)?
Schottet das der Lancom automatisch ab, oder muss ich noch aktiv werden.
Diese Route dient nur dazu, um mit einem Clientprogramm zum Server (10.50.0.35) zu verbinden. www, oder sonstiges ist nicht nötig. Das läuft über die WAN-Schnittstelle.
Gruß
Markus
Hi mark99
Gruß
Backslash
nein, das LANCOM läßt erstmal alles durch. Du mußt unerwünschte Verbindungen über die Firewall deaktivieren.Schottet das der Lancom automatisch ab, oder muss ich noch aktiv werden.
Dann blockst du am besten alles was über die Route reinkommt:Diese Route dient nur dazu, um mit einem Clientprogramm zum Server (10.50.0.35) zu verbinden. www, oder sonstiges ist nicht nötig. Das läuft über die WAN-Schnittstelle.
Code: Alles auswählen
Quelle: Gegenstelle über die 10.50.0.35 zu erreichen ist
Ziel: alle Stationen
Dienste: alle Dienste
Aktion: zurückweisenBackslash
Hallo backslash,
Habe alles mit der Firewall zugemacht und den benötigten Port der Software geöffnet.
Jetzt ist mir viel wohler. Die ganze Zeit hatte ich ein ungutes Gefühl, einen Fremd-Router im Haus, von dem man nix weiß.
Nochmals Danke.
Zwei(hoffentlich) letzte Fragen:
Jetzt habe ich diesen Weg über die Firewall gesichert.
1. Wie lasse ich "ping" durch?
2. Muss ich das WAN Interface auch absichern, oder ist das per default gesichert?
Gruß
Markus
Habe alles mit der Firewall zugemacht und den benötigten Port der Software geöffnet.
Jetzt ist mir viel wohler. Die ganze Zeit hatte ich ein ungutes Gefühl, einen Fremd-Router im Haus, von dem man nix weiß.
Nochmals Danke.
Zwei(hoffentlich) letzte Fragen:
Jetzt habe ich diesen Weg über die Firewall gesichert.
1. Wie lasse ich "ping" durch?
2. Muss ich das WAN Interface auch absichern, oder ist das per default gesichert?
Gruß
Markus
Hi mark99
Gruß
Guido
indem du eine Regel erstellst, die das Protokoll ICMP durchläßt...1. Wie lasse ich "ping" durch?
die einzige "Sicherung" des WAN-Interface ist die Maskierung. Wenn du mehr willst, dann mußt du das in der Firewall "extra" konfigurieren...2. Muss ich das WAN Interface auch absichern, oder ist das per default gesichert?
Gruß
Guido