Hallo,
ich suche Hilfe bzw. Anleitung zur Konfiguration eines bestimmten Szenarios bei einem unserer Kunden.
Das ganze stellt sich folgendermaßen dar:
Der Kunde hat mehrere Abteilungen, die aber unterschiedliche Aufgabenbereiche abdecken und daher getrennte Netze benötigen.
Die Verwaltung übernimmt ein 1721 VPN Annex B, Fw. 8.00, an dessen LAN-Ports mehrere VLAN-fähige Switche hängen, teils kaskadiert.
Die LAN-Ports sind im "private mode".
Es gibt nur ein Klasse C Netz (das aber logisch durch VLANs erweitert wurde).
Der Kunde hat in einer Abteilung (bspw. VLAN 4) ein Netzwerkfähiges Gerät, dass von außen über die feste WAN IP des Routers ferngewartet werden soll.
Dazu bittet der Drittanbieter um ein Port-Forwarding auf die IP-Adresse dieses Geräts.
Das möchte ich ihm gerne ermöglichen, weiß jedoch nicht, wie.
In der Port-Forwarding-Maske kann ich keinen VLAN-Tag/Netz definieren.
Wenn mir jmd. hiermit helfen könnte, wäre ich sehr verbunden.
Die Alternative wäre die Umstellung auf mehrere Klasse C-Netze...
Vielen Dank!
MfG,
A.Otterbein
Port forwarding über feste WAN-IP in best. VLAN
Moderator: Lancom-Systems Moderatoren
-
a.otterbein
- Beiträge: 3
- Registriert: 10 Sep 2010, 10:38
- Wohnort: Helltown
Port forwarding über feste WAN-IP in best. VLAN
MfG,
A. Otterbein
A. Otterbein
Re: Port forwarding über feste WAN-IP in best. VLAN
Hallo A.Otterbein,
Viele Grüße,
Jirka
Nö, aber eine Intranet-IP. Das sollte reichen. Reicht das nicht, ist evt. noch eine entsprechende Firewall-Regel erforderlich.a.otterbein hat geschrieben:In der Port-Forwarding-Maske kann ich keinen VLAN-Tag/Netz definieren.
Viele Grüße,
Jirka
-
a.otterbein
- Beiträge: 3
- Registriert: 10 Sep 2010, 10:38
- Wohnort: Helltown
Re: Port forwarding über feste WAN-IP in best. VLAN
Hallo Jirka,Jirka hat geschrieben:Hallo A.Otterbein,
Nö, aber eine Intranet-IP. Das sollte reichen. Reicht das nicht, ist evt. noch eine entsprechende Firewall-Regel erforderlich.a.otterbein hat geschrieben:In der Port-Forwarding-Maske kann ich keinen VLAN-Tag/Netz definieren.
Viele Grüße,
Jirka
das verstehe ich nicht ganz, wenn ich in der port-forwarding-Tabelle einen Eintrag hinzufüge und die Intranet-Adresse ausfülle, landet die Anfrage doch auf der Maschine mit dieser IP im default VLAN (augenscheinlich nimmt der Router immer VLAN 1). Und wenn es mir gelänge, das default VLAN effektiv zu ändern, wären evtl. andere port-forwardings von außen in die anderen VLANs inaktiv, bzw. würden die falschen Rechner erreichen.
D.h. wenn bspw. die 192.1.1.10 als Intranet-IP eingetragen wird, ist das im VLAN 1 eine andere physikalische Maschine als bspw. im VLAN 4.
Es wurde ein Klasse C Netz (192.1.1.0) für alle VLANs verwendet. Maximal suboptimal wie es mir so langsam erscheint.
Danke.
MfG,
A. Otterbein
A. Otterbein
-
Bravestarr
- Beiträge: 60
- Registriert: 10 Sep 2010, 11:05
- Wohnort: NRW
Hi a.otterbein
Du kannst dennoch mit etwas Aufwand das Portforwarding wieder eindeugtig machen, ohne die Adreßbereiche zu ändern - obwohl getrennte Adreßbereiche die optimale Lösung wären.
Dazu verpaßt du allen Netzen unterschiedliche Interface-Tags. Durch die Tags werden die Netze untereinander unsichtbar - was aber keine Änderung zum bisherigen status quo ist, denn zwischen "gleichnamigen" Netzesn ist ein Routing eh unmöglich...
Danach richtest du in der Firewall eine Allow-Regel für den Zugriff auf den Server ein und setzt in dieser Regel das Routing-Tag auf den Wert ders Interface-Tags des gewünschen Zielnetzes
Gruß
Backslash
das ist nicht nur maximal suboptimal... das verhindert geradezu das Portforwarding, weil das Ziel nicht mehr eindeutig ist. Unterschiedliche Netze - und das sind die Netze hier aufgrund der unterschiedlichen VLAN-ID - sollten immer unterschiedliche Adreßkreise haben...Es wurde ein Klasse C Netz (192.1.1.0) für alle VLANs verwendet. Maximal suboptimal wie es mir so langsam erscheint.
Du kannst dennoch mit etwas Aufwand das Portforwarding wieder eindeugtig machen, ohne die Adreßbereiche zu ändern - obwohl getrennte Adreßbereiche die optimale Lösung wären.
Dazu verpaßt du allen Netzen unterschiedliche Interface-Tags. Durch die Tags werden die Netze untereinander unsichtbar - was aber keine Änderung zum bisherigen status quo ist, denn zwischen "gleichnamigen" Netzesn ist ein Routing eh unmöglich...
Danach richtest du in der Firewall eine Allow-Regel für den Zugriff auf den Server ein und setzt in dieser Regel das Routing-Tag auf den Wert ders Interface-Tags des gewünschen Zielnetzes
Gruß
Backslash
-
a.otterbein
- Beiträge: 3
- Registriert: 10 Sep 2010, 10:38
- Wohnort: Helltown
Hallo!
Danke für die Tipps!
Ich werde in den sauren Apfel beißen und das "Design" ändern, d.h. eigene Adressräume für die VLANs vergeben.
Ein Adressraum zieht hier offensichtlich nur Nachteile nach sich.
@Bravestarr:
VLAN ist konfiguriert und aktiv.
Ob es jetzt richtig konfiguriert wurde, weiß ich noch nicht, muss mich da gerade "reinfuchsen"
@Backslash:
Danke für die Alternative aber ich befürchte, nach einem beliebigen Zeitraum des problemlos-funktionierens steigt da bei uns keiner mehr durch... daher halte ich es dann lieber mit "KISS".
Vielen Dank dennoch!
Danke für die Tipps!
Ich werde in den sauren Apfel beißen und das "Design" ändern, d.h. eigene Adressräume für die VLANs vergeben.
Ein Adressraum zieht hier offensichtlich nur Nachteile nach sich.
@Bravestarr:
VLAN ist konfiguriert und aktiv.
Ob es jetzt richtig konfiguriert wurde, weiß ich noch nicht, muss mich da gerade "reinfuchsen"
@Backslash:
Danke für die Alternative aber ich befürchte, nach einem beliebigen Zeitraum des problemlos-funktionierens steigt da bei uns keiner mehr durch... daher halte ich es dann lieber mit "KISS".
Vielen Dank dennoch!
MfG,
A. Otterbein
A. Otterbein