Routing mit 1711

::micha:: · Beitrag von **::micha::** » 02 Apr 2009, 12:08

Hallo Profis,

ich stehe hier vor einer Aufgabe, dich ich nicht alleine lösen kann und wollte euch mal um Rat fragen.
Ich hab zu besseren Verständlichkeit ein Bild gemalt, ich hoffe das hilft.
Meine erste Frage ist nun: bekommt das der 1711 VPN hin??

Grobe textuelle Erläuterung:

wie sind im Besitz einen Class C Netzes
wollen vor das bestehende netzwerk einen zweiten router klemmen
damit dort funktionen laufen können die sowohl ins Internet als auch ins Firmennetz kommen (aber nur über die firewall)

Danke im Vorraus
gruß
Micha

backslash · Beitrag von **backslash** » 02 Apr 2009, 12:25

Hi ::micha::

Meine erste Frage ist nun: bekommt das der 1711 VPN hin??

das ist doch letztendlich das klassische Verfahren eine DMZ aufzubauen - zwei Router hintereinander und zwischen ihnen die DMZ... wieso sollte der 1711 das nicht hinbekommen?

Gruß
Backslash

::micha:: · Beitrag von **::micha::** » 02 Apr 2009, 13:50

Hallo Backslash

danke für deine flotte Antwort. Es ist ja schön, dass ich schon mal das richtige Gerät hier habe. Nun muss wohl nur noch ich die Fähigkeiten besitzen, das einzustellen.
Wie sieht es denn mit der Teilung des C Netzes aus. angenommen ich möchte die Adressen 150 - 200 in dem von dir als DMZ beschriebenen Bereich vergeben (gerne auch per DHCP) und die anderen ins Firmennetzwerk routen. ist das auch kein Problem?

Danke
Gruß
Micha

backslash · Beitrag von **backslash** » 02 Apr 2009, 14:00

Hi ::micha::

Wie sieht es denn mit der Teilung des C Netzes aus. angenommen ich möchte die Adressen 150 - 200 in dem von dir als DMZ beschriebenen Bereich vergeben (gerne auch per DHCP) und die anderen ins Firmennetzwerk routen. ist das auch kein Problem?

auch das geht, dazu mußt du nur sowohl auf der WAN (das ist ja die DMZ) als auf der LAN-Seite das gleiche Netz aufspannen und in der Routing-Tabelle eintragen, welche der Adressen auf der WAN-Seite liegen - nur solltest du statt 150..200 schon einen Bereich nehmen, der sich mit einer Netzmaske ausdrücken läßt... Für die Adressen, die nicht ins WAN geroutet werden macht der 1711 auf der WAN-Seite dann ein Proxy-ARP...

Gruß
Backslash

::micha:: · Beitrag von **::micha::** » 02 Apr 2009, 14:30

Warum ist das WAN die DMZ???
Ich habe an den WAN Anschluss die Verbindung zum Router 1 hergestellt. Wenn ich dich jetzt aber richtig verstanden habe, dann kommt router 1 an einen eth anschluss? und ich habe da ziemlichen Blödsinn gemacht.
das mit der netzmaske leuchtet mir ein, wenn ich dort die netzmaske 255.255.255.240 wähle, dann hab ich 14 IP Adressen zur freien Auswahl, richtg?

Ich hoffe du hast Geduld mit mir

Gruß
Micha

backslash · Beitrag von **backslash** » 02 Apr 2009, 16:22

Hi ::micha::

Warum ist das WAN die DMZ???
Ich habe an den WAN Anschluss die Verbindung zum Router 1 hergestellt

Ich dachte du wolltest für den Router und die Firewall der vor dem Server hängt ein 1711 einsetzen... Das muß nämlich wegen der gleichen Netze auf beiden Seiten das Proxy-ARP machen und muß daher so wie beschrieben konfiguriert werden-

Wenn du dafür eh schon einen Router hast der das macht, dann ist das dem 1711 doch relativ egal, denn er sieh ja nur IP-Adressen aus seinem LAN - die haben zwar dadurch, daß der andere Router ein Proxy-ARP macht, die gleiche MAC-Adresse, aber das muß der andere Router auflösen

Gruß
Backslash

::micha:: · Beitrag von **::micha::** » 03 Apr 2009, 12:22

das heißt ich hab da doch keinen blödsinn gemacht?
der 1711 soll das C Netz quasi nur splitten und dementsprechend weiter routen.

gruß
Micha

backslash · Beitrag von **backslash** » 06 Apr 2009, 18:40

Hi ::micha::

jetzt erzähl nochmal genau, wo der 1711 stehen soll und wie das C-Klasse Netz aufgeteilt werden soll. Soll das gesplittete Netz etwa zwischen Router 1 und dem 1711 stehen? Wenn ja, dann kannst du meine Anleitung wieder übernehmen.

Der Router 1 kann dabei am WAN-Anschluß bleiben, denn der ist auch nichts anderes als ein einfacher Ethernet-Port, der nur schon in der Werkseinstellung als DSL-Interface konfiguriert ist.

Letztendlich sind so ziemlich alle denkbaren (und undenkbaren) Routing-Szenarien mit einem 1711 möglich, wenn man sie nur richtig konfiguriert

Gruß
Backslash

::micha:: · Beitrag von **::micha::** » 09 Apr 2009, 14:23

Hallo Backslash,
also der 1711 soll so stehen wie in dem Bild gezeichnet, hinter Router 1. Vom 1711 sollen dann zwei Netze gespannt werden, wobei auf die das C Netz gesplittet werden soll. Der großteil soll zur "Firewall & Router" geleitet werden und der kleinere Teil (die letzten 14 IP's) in ein anderes Netzwerk, wie das WLan (wobei der dann eine feste IP aus dem Class C Netz bekommt). Nun soll es aber auch die Möglichkeit geben vom WLan aus über den 1711 und "Firewall & Router" in das Firmennetzwerk zu gelangen.

War das so verständlicher?

danke für deine Hilfe

Micha

backslash · Beitrag von **backslash** » 09 Apr 2009, 17:14

Hi ::micha::

Der großteil soll zur "Firewall & Router" geleitet werden und der kleinere Teil (die letzten 14 IP's) in ein anderes Netzwerk, wie das WLan (wobei der dann eine feste IP aus dem Class C Netz bekommt). Nun soll es aber auch die Möglichkeit geben vom WLan aus über den 1711 und "Firewall & Router" in das Firmennetzwerk zu gelangen.

das geht prinzipiell nicht - zumindest nicht im LAN, da ein Host für Adressen, die sich in seinem Netz befinden direkt einen ARP-Request sendet und die Pakete nicht an das Gateway schickt. Hier ist es sinnvoller, einfach zwei verschiedene Netze aufzuspannen - schließlich gibt es genügend private Adressen, die genutzt werden können...

Oder aber du hängst den kleinen Teil des Netzes an eine weitere Ethernet-WAN-Verbidnung, so daß der 1711 dann die bereits beschriebene Proxy-ARP Geschichte machen kann...

Gruß
Backslash