Moin moin,
wir haben seit kurzem eine 100 Mbit Leitung von Kabeldeutschland mit o. g. Modem. Des Weiteren haben wir einen Win2003 DHCP Server. Der Lancom Router steht räumlich getrennt vom Kabeldeutschland Anschluss, ist also über mehrere Switche verbunden und nicht direkt. Das Cisco Modem gibt die öffentliche IP-Adresse an den Ethernetport durch. Jetzt habe ich logischerweise, wenn ich die Verbindung mit dem Lancom einrichten möchte, das Problem dass der Lancom sich IP-Adresse vom Win2003 DHCP Server zieht und nicht vom Cisco Kabelmodem. Auf dem Win2003 Server kann ich leider die MAC-Adresse des Lancoms nicht von der Vergabe ausschließen. Wie kann ich das Lösen? Mit einer Firewallregel im Lancom?
Grüße
blackeagle2002de
Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212
Moderator: Lancom-Systems Moderatoren
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Moin,
was 'können' die Switches auf dem Weg denn so? Port-basiertes VLAN. d.h. die Ports, über
die der 'WAN-Traffic' läuft, von den restlichen Ports abzutrennen, wäre die einfachste Lösung.
Alternativ kann man natürlich auch Tag-basiertes VLAN machen, d.h. den WAN-Traffic in ein
anderes VLAN verlegen. Das müssen die Switches aber unterstützen.
Nur DHCP wegzublocken, dürfte für eine vernünftige Trennung kaum reichen, dann ist das
LANCOM ja immer noch im LAN mit seiner WAN-Adresse erreichbar, und alle anderen Rechner
im LAN haben auch einen direkten Zugang zum Kabelmodem an der Firewall vorbei. Des weiteren
hättest Du auf einmal eine gemainsame Broadcast-Domäne zusammen mit dem Providernetz -
gar nicht gut...
Gruß Alfred
was 'können' die Switches auf dem Weg denn so? Port-basiertes VLAN. d.h. die Ports, über
die der 'WAN-Traffic' läuft, von den restlichen Ports abzutrennen, wäre die einfachste Lösung.
Alternativ kann man natürlich auch Tag-basiertes VLAN machen, d.h. den WAN-Traffic in ein
anderes VLAN verlegen. Das müssen die Switches aber unterstützen.
Nur DHCP wegzublocken, dürfte für eine vernünftige Trennung kaum reichen, dann ist das
LANCOM ja immer noch im LAN mit seiner WAN-Adresse erreichbar, und alle anderen Rechner
im LAN haben auch einen direkten Zugang zum Kabelmodem an der Firewall vorbei. Des weiteren
hättest Du auf einmal eine gemainsame Broadcast-Domäne zusammen mit dem Providernetz -
gar nicht gut...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Hallo Alfred,
vielen Dank für Deine Antwort. Es sind vier switche dazwischen, wovon zur Zeit leider nur einer port-basiertes VLAN unterstützt.
Mir ist jetzt aber noch ein anderer Gedanke gekommen. Wir haben zwei SDSL Leitungen und die jetzt neu hinzugekommene Kabeldeutschland Leitung. Des Weiteren haben wir noch einen Backup Lancom 8011, der per VRRP eingerichtet ist und bislang nichts tut. Ich wollte den Backup Router eigentlich sowieso räumlich von dem Master Router trennen. Würde das funktionieren, dass ich den Backup Router direkt an das Kabeldeutschland Modem anschließe und dieser im Regelbetrieb weiterhin keine Funktion übernimmt außer dem Weiterrouten der KD Leitung bzw. dann im Backupfalle die Leitung übernimmt? Die beiden SDSL Leitungen würden dann ja ggf. im Backupfall ohne Probleme über das LAN übertragen werden
Grüße
blackeagle2002de
vielen Dank für Deine Antwort. Es sind vier switche dazwischen, wovon zur Zeit leider nur einer port-basiertes VLAN unterstützt.
Mir ist jetzt aber noch ein anderer Gedanke gekommen. Wir haben zwei SDSL Leitungen und die jetzt neu hinzugekommene Kabeldeutschland Leitung. Des Weiteren haben wir noch einen Backup Lancom 8011, der per VRRP eingerichtet ist und bislang nichts tut. Ich wollte den Backup Router eigentlich sowieso räumlich von dem Master Router trennen. Würde das funktionieren, dass ich den Backup Router direkt an das Kabeldeutschland Modem anschließe und dieser im Regelbetrieb weiterhin keine Funktion übernimmt außer dem Weiterrouten der KD Leitung bzw. dann im Backupfalle die Leitung übernimmt? Die beiden SDSL Leitungen würden dann ja ggf. im Backupfall ohne Probleme über das LAN übertragen werden
Grüße
blackeagle2002de
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Hallo!
Ich habe jetzt von KabelDeutschland hin zum Lancom alle Switche ausgetauscht und ein neues Vlan eingerichtet. Funktioniert soweit alles auch gut, bis auf dass der Lancom 8011 nicht mehr als 30 - 40 Mbit Durchsatz schafft. Ist das normal? Selbst wenn ich einen Cisco E4200 davor hänge (Also Lancom 8011 -> Cisco E4200 -> Cisco EPC 3212) und über den E4200 rausgehe bleibt der Durchsatz gleich. Wenn ich den E4200 bpsw. direkt als Standardgateway bei meinem Rechner angebe komme ich auf die vollen 100 Mbit...Würde es etwas ändern, wenn ich im Lancom keine eigene Verbingung aufbaue, sondern einfach in der Routing Tabelle einen Eintrag auf den E4200 anlege (255.255.255.255. 0.0.0.0 Router 192.168.1.1)?
Grüße
blackeagle2002de
Ich habe jetzt von KabelDeutschland hin zum Lancom alle Switche ausgetauscht und ein neues Vlan eingerichtet. Funktioniert soweit alles auch gut, bis auf dass der Lancom 8011 nicht mehr als 30 - 40 Mbit Durchsatz schafft. Ist das normal? Selbst wenn ich einen Cisco E4200 davor hänge (Also Lancom 8011 -> Cisco E4200 -> Cisco EPC 3212) und über den E4200 rausgehe bleibt der Durchsatz gleich. Wenn ich den E4200 bpsw. direkt als Standardgateway bei meinem Rechner angebe komme ich auf die vollen 100 Mbit...Würde es etwas ändern, wenn ich im Lancom keine eigene Verbingung aufbaue, sondern einfach in der Routing Tabelle einen Eintrag auf den E4200 anlege (255.255.255.255. 0.0.0.0 Router 192.168.1.1)?
Grüße
blackeagle2002de
Moin,
tendenziell haette ich etwas mehr erwartet, aber je nachdem was Du an Firewall-Regeln
eingerichtet hast, kann das normal sein. Benutzt Du eine 8.50 oder 8.60? Die 8.60
ist tendenziell schneller.
eine oder andere Funktion, z.B. NAT. Die 100 MBit wirst Du so oder so nie erreichen,
alleine weil sich ueber einen 100MBit-Port netto im besten Falle mit TCP etwa 90 MBit
schieben lassen. Und wenn bidirektionaler Traffic dazukommt, wird's eher noch weniger,
weil Ethernet-Baustein und CPU im 8011 nur ueber einen FE-Link miteinander verbunden
sind, ueber den aller Traffic drueber muss.
Gruss Alfred
tendenziell haette ich etwas mehr erwartet, aber je nachdem was Du an Firewall-Regeln
eingerichtet hast, kann das normal sein. Benutzt Du eine 8.50 oder 8.60? Die 8.60
ist tendenziell schneller.
LAN-LAN-Routing ist schneller als LAN-WAN-Routing, aber dafuer verliert man auch dieWürde es etwas ändern, wenn ich im Lancom keine eigene Verbingung aufbaue, sondern einfach in der Routing Tabelle einen Eintrag auf den E4200 anlege (255.255.255.255. 0.0.0.0 Router 192.168.1.1)?
eine oder andere Funktion, z.B. NAT. Die 100 MBit wirst Du so oder so nie erreichen,
alleine weil sich ueber einen 100MBit-Port netto im besten Falle mit TCP etwa 90 MBit
schieben lassen. Und wenn bidirektionaler Traffic dazukommt, wird's eher noch weniger,
weil Ethernet-Baustein und CPU im 8011 nur ueber einen FE-Link miteinander verbunden
sind, ueber den aller Traffic drueber muss.
Gruss Alfred
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Hallo alf,
vielen Dank für Deine Antwort. Wir haben noch die 8.5 drauf, ich werd sie die Tage mal aktualisieren.
Bzgl. der Lan-Lan Verbindung: Wir wollen die Leitung sowieso nur sporadisch für eingehende VPN Verbindungen (mittels port forwarding vom E4200 auf den 8011) und ausgehendes Internetbrowsing nutzen, es gibt keine von außen zu erreichende Server. Wenn ich nun ein separates VLAN nur für den E4200 und 8011 einrichte, sollte das doch auch unter Sicherheitsaspekten kein problem sein oder? Dann lege ich in der Firewall des 8011 eine entsprechende Regel mit Routing Tag für den Internetverkehr und einen übereinstimmenden Eintrag in der Routing-Tabelle an. Dabei ist die fehlende NAT Funktion dann doch nicht weiter tragisch oder habe ich da jetzt was übersehen?
vielen Dank für Deine Antwort. Wir haben noch die 8.5 drauf, ich werd sie die Tage mal aktualisieren.
Bzgl. der Lan-Lan Verbindung: Wir wollen die Leitung sowieso nur sporadisch für eingehende VPN Verbindungen (mittels port forwarding vom E4200 auf den 8011) und ausgehendes Internetbrowsing nutzen, es gibt keine von außen zu erreichende Server. Wenn ich nun ein separates VLAN nur für den E4200 und 8011 einrichte, sollte das doch auch unter Sicherheitsaspekten kein problem sein oder? Dann lege ich in der Firewall des 8011 eine entsprechende Regel mit Routing Tag für den Internetverkehr und einen übereinstimmenden Eintrag in der Routing-Tabelle an. Dabei ist die fehlende NAT Funktion dann doch nicht weiter tragisch oder habe ich da jetzt was übersehen?
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Re: Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212
Hallo!
Ich wir haben uns jetzt wegen der hier angesprochenen Performance Probleme den neuen 7100+ (LCOS 8.62) gekauft, leider ohne substantielle Änderung. Hänge ich meinen Laptop direkt an das Kabel Deutschland Modem komme ich auf die genannten 100 Mbit, über den Lancom Router nur auf 30 - 40 Mbit! Wie kann das sein, das neueste Modell müsste doch jetzt ausreichend Reserven haben, die 100 Mbit bedienen zu können...
Grüße
blackeagle2002de
Ich wir haben uns jetzt wegen der hier angesprochenen Performance Probleme den neuen 7100+ (LCOS 8.62) gekauft, leider ohne substantielle Änderung. Hänge ich meinen Laptop direkt an das Kabel Deutschland Modem komme ich auf die genannten 100 Mbit, über den Lancom Router nur auf 30 - 40 Mbit! Wie kann das sein, das neueste Modell müsste doch jetzt ausreichend Reserven haben, die 100 Mbit bedienen zu können...
Grüße
blackeagle2002de
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Re: Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212
da geht viel mehr.
Installiere die mal eine 8.8er und mache das Hardware Nat an.
Installiere die mal eine 8.8er und mache das Hardware Nat an.
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Re: Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212
Moin,
Der 7100 enthält kein Hardware-NAT, das haben nur einige der neueren 1781-Geräte.
Viellleicht hat jemand auch nur trivial einen Duplex-Konflikt...
Gruß Alfred
Der 7100 enthält kein Hardware-NAT, das haben nur einige der neueren 1781-Geräte.
Viellleicht hat jemand auch nur trivial einen Duplex-Konflikt...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Re: Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212
aber der neu gekaufte 7100+ doch oder? (ich kann gerade nicht nachschauen)
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Re: Lancom 8011 & Kabeldeutschland mit Cisco EPC 3212
Moin,
nein, auch der nicht. Das HNAT ist eine Funktion des verbauten Ethernet-Switches AR8327N (wichtig ist das N am Ende), und den haben nur eine wenige neuere Modelle der 1781-Serie.
Gruß Alfred
nein, auch der nicht. Das HNAT ist eine Funktion des verbauten Ethernet-Switches AR8327N (wichtig ist das N am Ende), und den haben nur eine wenige neuere Modelle der 1781-Serie.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015