Hallo zusammen,
ich suche mich seit Tagen wund selbst der LANCOM-Support kann (oder will) mir nicht weiterhelfen.
Wir betreiben momentan mehrere Router in unserem Rack im RZ. Gerne würde ich nur noch einen einzigen Router einsetzen wollen. Geplant hierfür ist ein 9100+ VPN.
Wir bekommen vom RZ mehrere öffentliche V4-Adressen die ich jeweils in ein VLAN mappen möchte:
Public_IP1 -> VLAN 1
Public_IP2 -> VLAN 2
...
Umgekehrt möchte ich aber auch, das Traffic aus VLAN1 über Public_IP1 läuft. Laut LANCOM-Support ist das mit deren Geräten nicht möglich. Ich kann mir das aber irgendwie nicht vorstellen.
N Gegenstellen einrichten würde momentan noch gehen, spätestens beim 5. VLAN + Public IP hört es dann aber auf. Hat Jemand eine Idee?
Public IP auf VLAN mappen
Moderator: Lancom-Systems Moderatoren
-
lamertable
- Beiträge: 2
- Registriert: 21 Jan 2016, 19:10
Re: Public IP auf VLAN mappen
Hi,
wenn der Lancom Support meint, dass das so nicht funktioniert, kannst du dem ruhig glauben.
Wie viele öffentliche IPs bekommst du denn zugewiesen und läuft das Ganze über eine Leitung oder mehrere? Ich sehe aktuell keine wirklichen Vorteile die VLANs so restriktiv auf die öffentlichen Adressen zu verteilen...was ist denn der Sinn dahinter - vielleicht findet man so ja Alternativen?
Grüße
Florian
wenn der Lancom Support meint, dass das so nicht funktioniert, kannst du dem ruhig glauben.
Wie viele öffentliche IPs bekommst du denn zugewiesen und läuft das Ganze über eine Leitung oder mehrere? Ich sehe aktuell keine wirklichen Vorteile die VLANs so restriktiv auf die öffentlichen Adressen zu verteilen...was ist denn der Sinn dahinter - vielleicht findet man so ja Alternativen?
Grüße
Florian
LANCOM Certified Specialist / Network Connectivity + WLAN
Re: Public IP auf VLAN mappen
Hallo Florian,
momentan sind es 8 V4-Adressen und laufen über eine einzige Leitung. Jeder Kunde hat bisher seine eigene Infrastruktur in unseren Racks im RZ. Nun hat jeder Kunde aber auch mehr als 4 Netzwerkverbindungen also braucht er auch seinen Switch. Dadurch geht enorm viel Platz für die Infrastruktur flöten, die ich lieber mit weiteren Servern belegen würde.
Mir kam die Idee, alle Router durch einen einzigen zu ersetzen. Hinter dem Router laufen nur noch unsere eigene Switches (GS-2352), die die Netze durch VLANs voneinander trennen.
Um es eventuell noch etwas komplizierter zu machen: Alle Kunden haben ihre eigene VPN-Verbindungen (S2S und RoadWarrior) auf ihre eigene V4-Adresse. Das muss auch unbedingt so beibehalten werden.
Eventuell hat Jemand eine bessere Idee, wie man das umsetzen könnte.
momentan sind es 8 V4-Adressen und laufen über eine einzige Leitung. Jeder Kunde hat bisher seine eigene Infrastruktur in unseren Racks im RZ. Nun hat jeder Kunde aber auch mehr als 4 Netzwerkverbindungen also braucht er auch seinen Switch. Dadurch geht enorm viel Platz für die Infrastruktur flöten, die ich lieber mit weiteren Servern belegen würde.
Mir kam die Idee, alle Router durch einen einzigen zu ersetzen. Hinter dem Router laufen nur noch unsere eigene Switches (GS-2352), die die Netze durch VLANs voneinander trennen.
Um es eventuell noch etwas komplizierter zu machen: Alle Kunden haben ihre eigene VPN-Verbindungen (S2S und RoadWarrior) auf ihre eigene V4-Adresse. Das muss auch unbedingt so beibehalten werden.
Eventuell hat Jemand eine bessere Idee, wie man das umsetzen könnte.
Re: Public IP auf VLAN mappen
Hi remsi
Abgehende Sessions nutzen dann aber weiterhin die eine öffentliche IP des WAN-Interfaces...
Gruß
Backslash
wenn es nur darum geht, einkommende Sessions (sei es VPN oder Zugriffe auf Server) an die jeweiligen öffentlichen IPs zu binden, kannst du das im Portforwarding konfigurieren, indem du dort die "WAN-Adresse" passend setzt...Um es eventuell noch etwas komplizierter zu machen: Alle Kunden haben ihre eigene VPN-Verbindungen (S2S und RoadWarrior) auf ihre eigene V4-Adresse. Das muss auch unbedingt so beibehalten werden.
Abgehende Sessions nutzen dann aber weiterhin die eine öffentliche IP des WAN-Interfaces...
Gruß
Backslash
Re: Public IP auf VLAN mappen
Gut OK. Damit könnte ich unter Umständen noch leben.
Um die RAS-Clients zu steuern (wer in welches Netz darf): Wie kann ein einzelnen VPN-Einwahlen eine feste Adresse zuweisen, damit ich die Firewall dementsprechend konfigurieren kann? Bisher habe ich nur einen Pool gefunden, aus dem sich der Router bei der Einwahl bedient.
Vielen Dank und viele Grüße
Edit:
Okay, mit dem Assistenten kann man auch eine feste IP vergeben. Allerdings will der den Client direkt in mein Intranet stecken. Das geht in diesem Fall leider nicht. Noch eine andere Idee?
Um die RAS-Clients zu steuern (wer in welches Netz darf): Wie kann ein einzelnen VPN-Einwahlen eine feste Adresse zuweisen, damit ich die Firewall dementsprechend konfigurieren kann? Bisher habe ich nur einen Pool gefunden, aus dem sich der Router bei der Einwahl bedient.
Vielen Dank und viele Grüße
Edit:
Okay, mit dem Assistenten kann man auch eine feste IP vergeben. Allerdings will der den Client direkt in mein Intranet stecken. Das geht in diesem Fall leider nicht. Noch eine andere Idee?
Re: Public IP auf VLAN mappen
Hi remsi,
Gruß
Backlsash
Du könntest Einfach Hostrouten in die Routing-Tabelle eintragen, dann bekommen die Clients die dort genutzte IP-Adresse zugewiesen. Eleganter ist es jedoch in den Firewall-Regeln einfach mit "Gegenstelle: Client-Name" (oder auf dem CLI: "%HClient-Name") zu arbeiten, denn dann kannst du weiterhin dynamiche Pools verwenden.Um die RAS-Clients zu steuern (wer in welches Netz darf): Wie kann ein einzelnen VPN-Einwahlen eine feste Adresse zuweisen, damit ich die Firewall dementsprechend konfigurieren kann?
Gruß
Backlsash