Maskierte Verbindung an LAN bei L-322 und Internet über P2P

[stefanbunzel]

Hallo LANCOMer,

Folgendes Problem:
Ein L-322 (1) ist per P2P-1-1 mit einem weiteren L-322 (2) im Bridge-Modus mit dem Internet bzw. Gateway verbunden.
Am L-322 (1) gibt es mehrere WLAN's und die Clients bekommen per DHCP ihre öffentliche IP aus der DMZ vom Gateway (192.168.1.1).
Der L-322 (1) hat die IP 192.168.1.3.
Soweit also alles in Ordnung.

Jetzt möchte ich erreichen, dass alle Computer, die an einem der LAN-Ports des L-322 (1) angeschlossen werden, eben keine IP aus der DMZ vom Gateway (192.168.1.0) sondern zum Beispiel eine IP aus dem Netz 192.168.2.0 vom L-322 (1) bekommen und hinter einer öffentlichen IP aus der DMZ maskiert werden.

Folgendes habe ich erfolgreich probiert:
Beim L-322 (1) mit dem Assistenten eine Gegenstelle eingerichtet, dieser eine statische IP aus der DMZ vergeben und das DSLoL-Interface an P2P-1-1 (Modus "Automatisch") gebunden. Außerdem LAN-1 und LAN-2 an die BRG-2 gebunden.
Weiterhin dem L-322 (1) ein weiteres Netz 192.168.2.0 mit dem Schnittstellen-Tag 1 an BRG-2 inkl. DHCP verpasst und eine zusätzliche maskierte Default-Route mit Tag 1 zum Gateway inkl. Sperr-Routen mit Tag 1 eingetragen.

Ergebnis:
Eigentlich klappt alles wie gewünscht: Alle WLAN-Clients bekommen über die Bridge eine IP aus der DMZ vom Gateway und können ins Internet und alle Computer am LAN-Port bekommen vom L-322(1) eine private IP und surfen über die maskierte Gegenstelle (statische DMZ-IP) im Internet.

Aber:
Der L-322 (1) ist jetzt aus dem Netz 192.168.1.0 nur noch über die statische IP aus der DMZ und nicht mehr über die IP 192.168.1.3 erreichbar...

Warum kann ich den L-322 (1) jetzt nicht mehr über seine private IP erreichen?
Ich war der Meinung, dass ich mit dem Schalter "Automatisch" vom DSLoL das Gerät sowohl über die Gegenstellen-IP als auch über die private IP erreichen müsste.
Für die Verwaltung der Geräte ist es mir aber sehr wichtig, dass dies eben gerade nicht über die DMZ-IP erfolgt.

Wo ist mein Fehler bei der Konfig?

Zur Info: LCOS 8.62 (wobei das hoffentlich keine Rolle spielt, da gleiches Problem auch bei L-54?)

Viele Grüße, Stefan

[backslash]

Hi stefanbunzel,

Warum kann ich den L-322 (1) jetzt nicht mehr über seine private IP erreichen?

das DSLoL-Interface versucht zu raten, welchem Interface das Paket zugeordnet werden soll. Dazu schaut es sich ein etwaig vorhandenes VLAN-Tag und bei passendem Tag die Absenderadresse (MAC und IP) des Pakets an. Wenn die Absender-MAC gleich der MAC-Adresse des Gateways ist oder die Absender-IP sich im Netz befindet, daß auf dem DSLoL-Interface aufgespannt wird, dann bekommt das DSLoL-Interface das Paket...

In deinem Fall kommst das Paket entweder direkt aus dem auf dem DSLoL-Interface aufgespannten Netz oder aber es kommt über das Gateway... Daher kannst du das Gerät auch nur noch unter der Maskierungs-IP erreichen...

Wenn du das Gerät unbedingt auch noch unter der 192.168.1.3 erreichen willst, dann bleibt dir nichts anderes übrig, als diese IP als "Loopback-Adresse" zu konfigurieren...

Gruß
Backslash

[stefanbunzel]

Hallo Backslash,

vielen Dank für die Antwort.

Wenn du das Gerät unbedingt auch noch unter der 192.168.1.3 erreichen willst, dann bleibt dir nichts anderes übrig, als diese IP als "Loopback-Adresse" zu konfigurieren...

Keine Chance. Habe die IP als Loopback-Adresse eingetragen.
Innerhalb des Netzes 192.168.2.0 ist das Gerät somit auch über diese Loopback-Adresse 192.168.1.3 erreichbar.
Aber auf Zugriffe über das WAN-Interface (hier P2P-1-1) antwortet das Gerät nicht auf die Loopback-Adresse.

Vorher hatte ich die Konfig aber auch dahingehend bereinigt, dass ich das Netz 192.168.1.0 inkl. Default-Route sowie die Schnittstellen-Tags usw. aus dem L-322 (1) gelöscht habe. Somit hat der L-322 jetzt also nur noch die Gegenstelle über DSLoL auf P2P-1-1 für das Netz an BRG-2 (LAN-1 + LAN-2).

Wo ist mein Fehler?

Viele Grüße, Stefan