Mehrere WAN IP-Adressen auf LANCOM 1711

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Mehrere WAN IP-Adressen auf LANCOM 1711

Beitrag von Burak »

Hallo,

wir haben hier jetzt einen CompanyConnect Anschluss von der Telekom und haben hierbei 8 IP-Adressen, von denen fünf benutzt werden können.
Unser LANCOM 1711 ist über IPoE über ETH1(WAN1) an den Cisco-Router der Telekom angeschlossen. An den Cisco-Router darf nur auf Port 0 ein Gerät angeschlossen werden laut Techniker.

Die erste freie IP-Adresse wurde eingerichtet beim Setup-Assistent und darüber geht auch die Internetverbindung ohne Probleme.

Meine Frage ist nun: Wie kann ich die weiteren vier IP-Adressen auch auf dem Router nutzen? Erstmal geht es mir darum, dass über alle IP-Adressen der Router erreichbar ist. Anschließend wäre es interessant wie ich bestimmte Dienste bzw. Server nur über eine bestimmte IP-Adresse laufen lasse (z.B. Client Internet über IP1, Exchange über IP2, VPN über IP3, usw).

Was ich bisher erfahren habe, das man das wohl nur hin bekommt, wenn man zwischen den Router der Telekom und dem LANCOM ein Switch hängt und mehrere Kabel am LANCOM anschließt, so dass jede WAN-Verbindung einzeln betrachtet wird. Mir kommt das aber ehrlich gesagt etwas merkwürdig vor. Über die selbe Schnittstelle kann ich nicht noch eine Gegenstelle einrichten, weil dann die Meldung kommt "Zu viele verbindungen 0x3324 (oder 0x3314)" im LANmonitor.

Sind die LANCOM Geräte für sowas überhaupt geeignet? Dachte man kann ja so ziemlich alles mit den machen und war bisher immer sehr zufrieden.

Viele Grüße

Burak
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Mehrere WAN IP-Adressen auf LANCOM 1711

Beitrag von backslash »

Hi Burak,
Was ich bisher erfahren habe, das man das wohl nur hin bekommt, wenn man zwischen den Router der Telekom und dem LANCOM ein Switch hängt und mehrere Kabel am LANCOM anschließt, so dass jede WAN-Verbindung einzeln betrachtet wird.

was für eine krude Lösung - mag sogar funktionieren solange man weniger Adressen nutzen will als Ethernetports vorhanden sind
Mir kommt das aber ehrlich gesagt etwas merkwürdig vor. Über die selbe Schnittstelle kann ich nicht noch eine Gegenstelle einrichten, weil dann die Meldung kommt "Zu viele verbindungen 0x3324 (oder 0x3314)" im LANmonitor.
Diese Meldung kommt, weil das LANCOM in diesem Szenario Broadcasts nicht zuordnen könnte. Daher wird das gleich ganz abgelehnt. Das Problem hast du übrigens auch in dem Aufbau mit den n WAN-Verbindungen: Hier kommen die Broadcasts auf allen WAN-Verbindungen hoch. Viel Spass mit er austitschenden Firewall...
Sind die LANCOM Geräte für sowas überhaupt geeignet? Dachte man kann ja so ziemlich alles mit den machen und war bisher immer sehr zufrieden.
für dein Problem gibt es letzten Endes zwei Lösungen...

Die erste arbeitet mit einer DMZ mit öffentlichen Adressen, d.h. also unmaskiert. Das erreichst du, indem du auf der Defaultreoute die Maskierungsoption auf "nur Intranet maskieren" setzt und der DMZ direkt das öffentlichen Netz gibst (dem LANCOM gibst du dabei in der DMZ die selbe Adresse, wei auf dem WAN). Dann hast du kein NAT mehr... Der Nachteil ist, daß de das LANCOM selbst nur unter der "primären" WAN-Adresse erreichet.

Die zweite arbeitet mit Portforwardings. Die kannst du auf einzelne WAN-Adressen binden (Spalte WAN-Adresse in der Portforwarding-Tabelle). In diesem Fall terminieren alle Anfragen erstmal auf dem LANCOM und nur die weitergeleiteten Ports landen bei den jeweiligen Servern.


Gruß
Backslash
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Re: Mehrere WAN IP-Adressen auf LANCOM 1711

Beitrag von Burak »

Hallo,

danke für die schnelle Antwort.
Die erste arbeitet mit einer DMZ mit öffentlichen Adressen, d.h. also unmaskiert. Das erreichst du, indem du auf der Defaultreoute die Maskierungsoption auf "nur Intranet maskieren" setzt und der DMZ direkt das öffentlichen Netz gibst (dem LANCOM gibst du dabei in der DMZ die selbe Adresse, wei auf dem WAN). Dann hast du kein NAT mehr... Der Nachteil ist, daß de das LANCOM selbst nur unter der "primären" WAN-Adresse erreichet.
Das bedeutet, sämtlicher Traffic der aus dem Intranet kommt wird zwingend über die IP-Adresse die der WAN-Verbindung zugeordnet ist, geleitet? Quasi müssten dann aber auch Geräte in der DMZ stehen oder verstehe ich das falsch? Einen Exchange Server kann ich ja schlecht in die DMZ packen. Oder definiere ich Routing-Regeln über die Firewall, dass der Traffic von einem Server über die DMZ geht?

Mir ist es eigentlich egal unter welcher Adresse der LANCOM selbst erreichbar ist. Hauptsache ich kann die anderen IP-Adressen für Dienste wie Exchange und VPN nutzen.
Die zweite arbeitet mit Portforwardings. Die kannst du auf einzelne WAN-Adressen binden (Spalte WAN-Adresse in der Portforwarding-Tabelle). In diesem Fall terminieren alle Anfragen erstmal auf dem LANCOM und nur die weitergeleiteten Ports landen bei den jeweiligen Servern.
Das hört sich auch gut an, hatte beim Ausprobieren diese Spalte auch gesehen. Mir war nur nicht bewusst, ob das auch dann funktioniert, ohne dass der Router die IP überhaupt kennt.

Ich bin auch häufig auf N:N-Mapping gestoßen, bei dem eine Intranet-Adresse auf eine WAN-Adresse gemappt wird (also eigentlich 1:1-NAT Mapping). Ist das in irgendeiner Weise noch zusätzlich relevant für mein Anliegen?

Viele Grüße

Burak
Antworten