Routerkaskade zwei Lancom Router

[*deLuXe*]

Hallo zusammen,

hier die Tausendste Frage zur Routerkaskade - aber irgendwie stehe ich auf dem Schlauch...
Ich möchte mit zwei meiner Lancom Router folgendes erreichen:

- Ein 1781 ist in einem mobilen Rack dafür verantwortlich, dass sich die Komponenten in dem Rack an unterschiedlichen Standorten ins Internet einwählen können, einfach dadurch, dass ein einziges Kabel vom 1781 in den lokalen Router gesteckt wird. Dafür ist der ETH-2 so konfiguriert, dass er sich per DHCP eine IP vom lokalen Router holt und dann intern ein 10.8.8.x/24 Netz aufspannt, an dem die restlichen Komponenten hängen.

- Jetzt kommt bei einem speziellen Anwendungsfall ein 1793 ins Spiel. Und zwar wenn dieses Rack an seiner "Homebase" steht, soll das Prinzip genauso funktionieren - ein Kabel in den Router (hier der ETH-4 des 1793) - der 1781 soll dann per DHCP eine IP bekommen (in diesem Falle eine aus 192.168.10.x/24. Allerdings soll in der Homebase dann auch der Fall möglich sein, dass die restlichen Teilnehmer aus dem 192.168.10.x Netz komplett mit den Komponenten, die am Rack hängen, kommunizieren können.

Wichtig ist mir dabei vor allem, dass man nichts am 1781 verändern muss, bevor man sozusagen die Netze wechselt, sondern mal sozusagen jederzeit, dass eine KAbel entfernen können und das Rack woanders anschließen können...

Ich hoffe, dass war einigermaßen verständlich und ihr könnt mir mit diesem Problem helfen!

Vielen Dank!

[tobiasr]

Heißt, du willst die Firewall bearbeiten, sodass zugriffe aus dem WAN möglich sind?

Firewallregel: WAN Netzwerk mit Quelle 192.168.10.0/24 -> ALLOW
Zusätzlich eine Route 192.168.10.0/24 auf Interface WAN -> NICHT maskieren.

[*deLuXe*]

Hallo, danke für deine Antwort.

Der WAN Zugriff vom 1781 müsste schon funktionieren. Also alle Clienten hinter dem 1781 haben Zugriff aufs Internet (mit IPs im Bereich 10.8.8.x).

Was ich möchte ist, dass alle Clients, die am 1793 hängen (haben IPs im Bereich 192.168.10.x) auf alle Clienten, die am 1781 (haben die 10.8.8.x IPs) hängen, zugreifen können.

[tobiasr]

Dann musst du dort auch noch eine Route eintragen.
10.8.8.0/24 auf 192.168.10.y wobei y die per DHCP (Bootp Tabelle) fest zugewiesene IP des mobilen Lancoms ist.

[*deLuXe*]

Dann musst du dort auch noch eine Route eintragen.
10.8.8.0/24 auf 192.168.10.y wobei y die per DHCP (Bootp Tabelle) fest zugewiesene IP des mobilen Lancoms ist.

Danke! Muss diese Route am 1793 oder am 1781 eingetragen werden?

Und zusätzlich zu den o.g. Firewall Regeln, oder braucht es die FW Regeln dann nicht?

[tobiasr]

Da die WAN Interfaces idr. eingehenden Traffic blockieren, braucht es die Firewall Regel trotzdem.

In beide Router muss eine Route eingetragen werden. Der 'Haupt'-Router bekommt die 10.8.8.0/24 auf die per DHCP vergebene IP des 'mobil-Routers' (per Hand eintragen, statt die vorausgefüllten Namen)

Der mobil-Router bekommt die 192.168.10.0/24 auf ETH2 (bzw. heißt das dann vmtl. INTERNET o.ä.)

[*deLuXe*]

Da die WAN Interfaces idr. eingehenden Traffic blockieren, braucht es die Firewall Regel trotzdem.

In beide Router muss eine Route eingetragen werden. Der 'Haupt'-Router bekommt die 10.8.8.0/24 auf die per DHCP vergebene IP des 'mobil-Routers' (per Hand eintragen, statt die vorausgefüllten Namen)

Der mobil-Router bekommt die 192.168.10.0/24 auf ETH2 (bzw. heißt das dann vmtl. INTERNET o.ä.)

Hallo, danke für deine Antwort!
Bin gerade erst dazu gekommen, nochmal die Funktion zu checken.

Die FW Regel muss auf dem 1781 eingetragen werden, korrekt? Ich hab jetzt mal testweise die FW am 1781 komplett ausgeschaltet, da ich per Webconfig die Regel nicht richtig konfigurien konnte und die LANconfig hatte ich nicht zur Hand. Das muss ich jetzt dann nochholen.

Ansonsten funktioniert jetzt zumindest aus dem 192.168.10.x Netz der Ping auf 10.8.8.x möglich (umgekehrt geht auch!).
Allerdings zwei Sachen noch nicht optimal:
- Ich kann vom 192.168.10.x Netz nicht auf den 10.8.8.1 Lancom Router (sowohl Web Interface als auch LANconfig) zugreifen, er will scheinbar immer auf https umleiten. Auf zB die 10.8.8.11 (Supermicro IPMI Webinterface) komme ich drauf...

- Ich nutze häufig eine VPN Verbindung auf den 1793 (aus einem Netz 192.168.2.x); Bin ich über diese VPN Verbdinung eingewählt, geht wiederum kein Ping auf 10.8.8.1 durch.
Routen sind eingetragen, vgl. die Anhänge:

Routen des 1781:

Bildschirmfoto 2023-12-17 um 11.05.09.png

Routen des 1793 inkl. der VPN Verbindungen:

Bildschirmfoto 2023-12-17 um 11.08.40.png

Dem 1781 habe ich die 192.168.10.254 per DHCP BootP statisch zugewiesen.

Irgendwelche Ideen?
DAnke und vG


EDIT:
Vergiss den zweiten Punkt
Ich Depp hab vergessen, das neue Netz im VPN Client als Split Tunnel zu integrieren...
Puh... das ist ja auch ganz schön nervig, dass man da "immer" dran denken muss, wenn man neue Netzte hinzufügt...

[tobiasr]

Bzgl. Webinterface: Er leitet also auf https um (macht das der lancom, oder der browser der sich gemerkt hat, dass https auch toll wäre)? Wenn der Lancom selbst umleitet, scheint die Verbindung ja grundsätzlich zu gehen. Wenn dann https nicht geht, ist dies irgendwo im Lancom abgeschaltet. Management Stationen/WAN/LAN/IP-Listen http/https/automatisch.

Die Firewallregeln müssen auf dem Tragbaren Router eingetragen werden. Die Modellnummern kann ich mir nicht merken. Denke da eher in 'Aufgaben'.

Für diese Einfache Anwendung lässt sich die Firewall durchaus auch bequem per Webinterface programmieren, wenn man schon irgendeine Regel hat, lässt sich das leicht kopieren.

[*deLuXe*]

Bzgl. Webinterface: Er leitet also auf https um (macht das der lancom, oder der browser der sich gemerkt hat, dass https auch toll wäre)? Wenn der Lancom selbst umleitet, scheint die Verbindung ja grundsätzlich zu gehen. Wenn dann https nicht geht, ist dies irgendwo im Lancom abgeschaltet. Management Stationen/WAN/LAN/IP-Listen http/https/automatisch.

Die Firewallregeln müssen auf dem Tragbaren Router eingetragen werden. Die Modellnummern kann ich mir nicht merken. Denke da eher in 'Aufgaben'.

Für diese Einfache Anwendung lässt sich die Firewall durchaus auch bequem per Webinterface programmieren, wenn man schon irgendeine Regel hat, lässt sich das leicht kopieren.

Super - herzlichen Dank.
eErde deinen Weg austesten. Hatte zwischenzeitlich auch noch das hier gefunden - könnte auch passen:

Unbenanntneu.PNG

Werde das dann (genauso wie die FW Regel) vor Ort am mobilen Router einstellen müssen, daher erst später.
Hatte leider keine Regel zum kopieren, und hatte nur noch irgendwas mit %-Zeichen im Kopf, daher wollte ich die Einstellunbg lieber komfortabel vom LANconfig per VPN machen.
Herzlichen Dank nochmal und schönen Tage weiterhin