Hallo,
von unserem Provider werden zwei externe IP-Adressen zur Verfügung
gestellt. Eine wird statisch auf den Router gemappt, die andere steht
für das dahinter liegende LAN frei zur Verfügung.
Dazu zwei Fragen:
1) Kann der Lancom 1521 diese zwei externen IP-Adressen verwalten?
2) Kann man den Router so konfigurieren, dass die sich im
lokalen Netzwerk befindlichen Server von aussen erreichbar sind?
Danke und Gruss,
Sascha
LC 1521 mit zwei externen IP-Adressen betreiben
Moderator: Lancom-Systems Moderatoren
Hallo Sascha,
Üblicherweise erhält man eine öffentliche IP für die WAN-Seite des Routers und mindestens ein /30 Netz mit 4 öffentlichen IP-Adressen.
Gruß
Mario
Ist das jetzt Deine Annahme oder hat Dir das Dein Provider so gesagt?von unserem Provider werden zwei externe IP-Adressen zur Verfügung
gestellt. Eine wird statisch auf den Router gemappt, die andere steht
für das dahinter liegende LAN frei zur Verfügung.
Üblicherweise erhält man eine öffentliche IP für die WAN-Seite des Routers und mindestens ein /30 Netz mit 4 öffentlichen IP-Adressen.
Gruß
Mario
Hallo Mario,eddia hat geschrieben:Ist das jetzt Deine Annahme oder hat Dir das Dein Provider so gesagt?
Üblicherweise erhält man eine öffentliche IP für die WAN-Seite des Routers und mindestens ein /30 Netz mit 4 öffentlichen IP-Adressen.
nein, das ist in der Tat so.
Wir nutzen den Business ADSL 100 Anschluss von Telefonica,
mit zwei öffentlichen IP-Adressen (basiert auf einem T-DSL Anschluss).
http://www.telefonica.de/mittelstand/in ... _adsl.html
Derzeit nutzen wir den von Telefonica gestellten Router (Lucent CellPipe 22),
nur leider haben wir mit diesem Gerät dauernd Verbindungsabbrüche die
sich nur durch Trennung des Routers vom Stromnetz beheben lassen.
Deshalb sind wir auf der Suche nach einem 'vernünftigen' Router,
der diese zwei externen IP's verwalten kann und einen sicheren Betrieb gewährleistet.
Gruss,
Sascha
Hi skertzel
Wenn du von deinem Provider also 2 Adressen bekommst, nimmst du "unten" noch eine als Netz- und "oben" eine Broadcast-Adresse hinzu und bildest daraus dein /30 Netz. Wenn du von deinem Provider zum Beispiel die Adressen 192.168.99.121 und 192.168.99.122 erhälst, dann ist die 192.168.99.120 die Netz- und die 192.168.99.123 die Broadcastadresse.
Im LANCOM trägst du dann als DMZ-Adresse die 192.168.99.121 mit der Netzmaske 255.255.255.252 ein. Um sicher zu gehen, daß das LANCOM diese Adresse auch vom Provider zugewiesen bekommt, trägst du sie zusätzlich in der IP-Parameter-Liste für die Internetverbindung ein (denn dann fragt das LANCOM in der PPP-Verhandlung explizit nach dieser Adresse):
In der IP-Routing-Tabelle sagst du nun noch, daß auf der Internetverbindung nur das Intranet maskiert werden soll. Und schon kannst du deinen Server unter der zweiten Adresse (im Beispiel also 192.168.99.122) einrichten.
Gruß
Backslash
Letzendlich habt ihr beide recht, denn von den 4 Adressen, die Mario meint, sind nur zwei wirklich nutzbar. Die anderen beiden sind die Netz- und die Broadcast-Adresse.Ist das jetzt Deine Annahme oder hat Dir das Dein Provider so gesagt?
Üblicherweise erhält man eine öffentliche IP für die WAN-Seite des Routers und mindestens ein /30 Netz mit 4 öffentlichen IP-Adressen.
Hallo Mario,
nein, das ist in der Tat so.
Wir nutzen den Business ADSL 100 Anschluss von Telefonica,
mit zwei öffentlichen IP-Adressen (basiert auf einem T-DSL Anschluss).
Wenn du von deinem Provider also 2 Adressen bekommst, nimmst du "unten" noch eine als Netz- und "oben" eine Broadcast-Adresse hinzu und bildest daraus dein /30 Netz. Wenn du von deinem Provider zum Beispiel die Adressen 192.168.99.121 und 192.168.99.122 erhälst, dann ist die 192.168.99.120 die Netz- und die 192.168.99.123 die Broadcastadresse.
Im LANCOM trägst du dann als DMZ-Adresse die 192.168.99.121 mit der Netzmaske 255.255.255.252 ein. Um sicher zu gehen, daß das LANCOM diese Adresse auch vom Provider zugewiesen bekommt, trägst du sie zusätzlich in der IP-Parameter-Liste für die Internetverbindung ein (denn dann fragt das LANCOM in der PPP-Verhandlung explizit nach dieser Adresse):
Code: Alles auswählen
Peer IP-Address IP-Netmask Masq.-IP-Addr. Gateway ...
------------------------------------------------------------------------- ...
INTERNET 192.168.99.121 255.255.255.252 0.0.0.0 0.0.0.0 ...
Gruß
Backslash
)Hallo Backslash,
Abgesehen davon habe ich für solche Fälle noch nie nur ein /30 oder /29 Netz bekommen sondern immer auch eine zusätzliche WAN-IP.
Gruß
Mario
jetzt bin ich doch ein wenig irritiert. Das würde ja bedeuten, dass die WAN-IP und die DMZ-IP des Lancom gleich wären. Wie kann er dann noch zwischen diesen beiden Schnittstellen routen?Im LANCOM trägst du dann als DMZ-Adresse die 192.168.99.121 mit der Netzmaske 255.255.255.252 ein. Um sicher zu gehen, daß das LANCOM diese Adresse auch vom Provider zugewiesen bekommt, trägst du sie zusätzlich in der IP-Parameter-Liste für die Internetverbindung ein
Abgesehen davon habe ich für solche Fälle noch nie nur ein /30 oder /29 Netz bekommen sondern immer auch eine zusätzliche WAN-IP.
Gruß
Mario
Hi eddia
Und wenn er ein Paket vom WAN empfängt, das als Ziel eine Adresse aus der DMZ hat und es keine explizite Route gibt, die dieses Paket woanders hin leitet, dann wird es auch in die DMZ geroutet.
Nun stellt sich nur noch die Frage, wie kommt das LANCOM an die Pakete aus dem WAN. Bei einer PPP-Anbindung ist das trivial - da hat der Router auf Providerseite die Entscheidung getroffen und schiebt alles was für dein Netz ist einfach über die Leitung.
Wenn die WAN-Verbindung jedoch eine Plain-IP Verbindung ist, dann fährt das LANCOM halt WAN-seitig ein Proxy-ARP für alle Adressen die in sich auf der WAN-Seite mit dem LAN oder DMZ überschneiden (außer es wird nicht maskiert und es gibt auch keine Route, die dem LANCOM sagt, daß sich die Adresse auf der WAN-Seite befindet). Was vom LAN ins WAN funktioniert, geht auch anders herum.
Gruß
Backslash
ja genau. Wozu eine weitere Adresse verschwenden - das LANCOM weiß doch, über welches Interface es angesprochen wurde.jetzt bin ich doch ein wenig irritiert. Das würde ja bedeuten, dass die WAN-IP und die DMZ-IP des Lancom gleich wären.
Aus der Routing-Tabelle. Da steht für ein Ziel erstmal nur der logiche Gegenstellenname und dem Router ist es erstmal ziemlich egal welche Adresse er auf dem WAN-Interface hat, wenn er ein Paket vom LAN oder der DMZ weiterleiten soll.Wie kann er dann noch zwischen diesen beiden Schnittstellen routen?
Und wenn er ein Paket vom WAN empfängt, das als Ziel eine Adresse aus der DMZ hat und es keine explizite Route gibt, die dieses Paket woanders hin leitet, dann wird es auch in die DMZ geroutet.
Nun stellt sich nur noch die Frage, wie kommt das LANCOM an die Pakete aus dem WAN. Bei einer PPP-Anbindung ist das trivial - da hat der Router auf Providerseite die Entscheidung getroffen und schiebt alles was für dein Netz ist einfach über die Leitung.
Wenn die WAN-Verbindung jedoch eine Plain-IP Verbindung ist, dann fährt das LANCOM halt WAN-seitig ein Proxy-ARP für alle Adressen die in sich auf der WAN-Seite mit dem LAN oder DMZ überschneiden (außer es wird nicht maskiert und es gibt auch keine Route, die dem LANCOM sagt, daß sich die Adresse auf der WAN-Seite befindet). Was vom LAN ins WAN funktioniert, geht auch anders herum.
Dann arbeitest du auf der WAN-Seite mit einem Transfernetz. Das hängt aber vom Provider ab. Das LANCOM kann mit beiden Varianten umgehen.Abgesehen davon habe ich für solche Fälle noch nie nur ein /30 oder /29 Netz bekommen sondern immer auch eine zusätzliche WAN-IP.
Gruß
Backslash
Hallo Backslash,
Gruß
Mario
Deine Erklärung klingt verständlich, obwohl ich immer noch Probleme damit habe, dass ein Router auf zwei verschiedenen Interfaces Adressen aus einem Netz besitzen kann. Widerspricht irgendwie meinem Weltbild.Und wenn er ein Paket vom WAN empfängt, das als Ziel eine Adresse aus der DMZ hat und es keine explizite Route gibt, die dieses Paket woanders hin leitet, dann wird es auch in die DMZ geroutet.
Gruß
Mario