standleitung mit mehreren WAN IPv4 Adressen gleichzeitig

[TimRear]

Hallo zusammen,

ich habe mal eine bescheidene Frage, bevor ich mich in die Nesseln setze...

Wir haben eine Ineternetleitung mit mehreren festen öffentlichen IP Adressen:
IP-Adresse: 81.xxx.xxx.250
Subnetz Maske: 255.255.255.248
Gateway: 81.xxx.xxx.249

Heißt wir surfen nach extern über besagte IP Adresse 81.xxx.xxx.250 - diese ist von außer auch anpingbar.
Die weiteren freien WAN Ipadressen (.251; .252, .253, .254) können von extern jedoch nicht angepingt werden. Damit der Router hierauf reagiert, muss entsprechend pro IP-Adresse ein "IP-Parameter" unter Kommunikation / Protokolle erstellt werden? Dafür müsste aber dann sicherlich pro IP Adresse auch eine Gegenstelle eingerichtet werden, da pro Gegenstelle stelts nur ein "IP-Parameter" angelegt werden kan!?

bisher habe ich testweise die IP Endung 253 per Port-Forwarding auf einen internen Webserver geleitet und ausgehende maskierung entsprechend konfiguriert, was auch bei den meisten Zugriffen erfolgreich klappt. Aber die IP ist halt nicht anpingbar, was sie aber sein sollte.
Mir wurde von einer Hand voll Anwendern (unterschiedliche Provider und Endgeräte) berichtet, dass besagte Website von extern nicht geöffnet werden kann. Nachstellen konnte ich das Problem derzeit nur von einem einzigen Handy (ohne WLAN).

Vielen Dank für Eure Ratschläge und Anreize!

[tobiasr]

Welche Ports hast du weitergeleitet? Eigentlich gibt man in diesem Konzept dem Server die öffentliche IP Adresse (zusätzlich - über VLAN oder extra Kabel). Für HTTP hast du mindestens 80 und 443 weitergeleitet? Wenn du möchtest, dass der Webserver auf ICMP antwortet und sonst an der Konstellation nichts ändern willst, auch den ICMP Port weiterleiten.

[TimRear]

der soll in diesem Fall hinter dem Router "versteckt" sein und nur notwendige Ports weiterleiten.

Port Forwarding derzeit für:
80 TCP
443 TCP/UDP
3478 TCP
8443 TCP

ICMP kann man doch sicherlich nicht forwarden, da nur TCP+UDP unterstützt werden?
Mich würde halt interessieren, ob/wie man den Router selbst unter mehreren IP Adressen erreichbar machen kann.

[tobiasr]

der soll in diesem Fall hinter dem Router "versteckt" sein und nur notwendige Ports weiterleiten.

Den Sinn des Versteckens verstehe ich nicht. Firewall und Maskierung sind doch zwei paar Schuhe. Nur, weil der Server konzeptionell seine eigene IP-Adresse hat, ist er doch nicht frei im Netz. Die Firewall ist doch weiterhin da.

[backslash]

Hi TimRear,

du hast zwei Möglichkeiten:

• entwedert du richtest eine DMZ mit den öffentlichen Adrssen ein und stellst die Maskierungsoption der Default-Route auf "nur Intranet maskieren". Dann kannst du dort für jede noch nicht schon belegten Adresse (251..254) einen Server aufstellen und kannst die Server direkt anpingen.
• oder du richtest Portforwardings ein und setzt in der Port-Forwarding-Tabelle in der Spalte WAN-Adresse die gewüschte Adresse für die das Forwardingh gelten soll ein (251..254). Wenn du dann eine der Adressen pingst, antwortet das LANCOM.

unabhängig davon, ob du mit einer DMZ oder Portforwarding arebeitest, muß die Firewall den Zugriff auf die Server natürlich zulassen (Sprich: wenn du eine Deny-All-Regel hast, braucht du passnede Allow-Regeln für den Zugriff auf die Server)...

@tobiasr

Wenn du möchtest, dass der Webserver auf ICMP antwortet und sonst an der Konstellation nichts ändern willst, auch den ICMP Port weiterleiten.

das funktioniert so nicht - für Pings kann man kein Portforwarding einrichten, weil ICMP keine Ports kennt...

Gruß
Backslash

[TimRear]

Danke für Eure Rückmeldungen!

Punkt 2 habe ich bereits so umgesetzt. Ich kann von extern die website des Servers (über IP 253) öffnen. Aber auf einen Ping wird nicht reagiert.
In der Firwewall ist Ping erlaubt. Auf der 250er Adresse bekomme ich auch eine Antwot auf Ping.
Ließe sich das iwie realisieren?

[backslash]

Hi TimRear

ich hab's gerade ausprobiert... In dem Fall schickt das LANCOM tatsächlich ein ICMP host unreachable zurück...
Da wirst du wohl mit leben müssen...

Genau darüber nachgedcacht, wäre es auch recht wenig aussagekräftig, wenn das LANCOM das Ping beantworten antworten würde, denn das sagt ja nichts darüber aus, ob der Server lebt...

Gruß
Backslash

[TimRear]

LÖSUNG:

wir haben nun die Schnittstelle des Routers in Wireshark überführt und mitgeschnitten.
-> ist liegt/lag an der MTU!

Netcologne scheint ein VLAN gesetzt haben, welches 8 bytes "klaut". Nach Änderung der MTU von 1500 auf 1492 klappen alle Zugriffe auf die Nextcloud sofort wieder problemlos!

Auf ICMP wird weiterhin nicht reagiert. Stört aber nicht solange alles läuft
Viele Stunden suchen für 10 Sekunden Lösung.

Nochmal danke an alle für die Ratsschläge und in dem Sinne einen guten Start in die Woche!