mehrere IPv4 Adressen am Internetanschluss nutzen

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

Antworten
mfdoom
Beiträge: 13
Registriert: 09 Dez 2011, 18:18
Wohnort: Berlin

mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von mfdoom » 03 Jun 2018, 21:05

Guten Abend,

ich habe nach einer Routerumstellung von bintec auf Lancom (1781VA) folgende Fragestellung:

Der ISP hat mir mehrere IPv4-Adressen zugeteilt, ein /29er Subnetz. Ich möchte nun eine der IPv4-Adressen exklusiv für meinen Mailserver nutzen. Das von mir eingestellte Portforwarding funktioniert erstmal gut, der Mailserver ist auf der von mir zugeteilten, öffentlichen IP-Adresse erreichbar.

Das Problem ist das ausgehend die Hauptadresse genutzt wird. Ich möchte aber dass der Mailserver ausgehend auch mit der eingestellten IP-Adresse kommuniziert. Das klappt leider nicht, auch mein Eintrag im N:N NAT funktioniert nicht.

Mein N:N Mappingeintrag sieht so aus:

Ziel-Gegenstelle:INTERNET
Original-Quell-IP-Adresse:10.1.0.11 (lokale IP Mailserver)
Netzmaske:255.255.255.255
Umgest. Quell-IP-Adresse: x.x.x.x (öffentliche IP Mailserver)

Was fehlt mir noch?

fabo99
Beiträge: 2
Registriert: 04 Jun 2018, 15:59
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von fabo99 » 04 Jun 2018, 16:07

Hi mfdoom,

ich kann dir leider nicht weiterhelfen, aber ich habe momentan genau das gleiche Problem und komme nicht weiter.

Deine Schritte habe ich auch ausgeführt mit dem selben Ergebnis (und noch ein paar mehr.
Ein testweises Umkonfigurieren der Gegenstelle/IP-Parameter auf die Mailserver-IP hat auch nicht funktioniert.

Das reverse DNS funktioniert so halt nicht bei einigen Mailservern.

Vielleicht hat ja jmd ein gutes Stichwort für uns?

backslash
Moderator
Moderator
Beiträge: 5712
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von backslash » 04 Jun 2018, 16:40

Hi fabo99,
Vielleicht hat ja jmd ein gutes Stichwort für uns?
kein Portforwarding benutzen und stattdessen den Server in eine DMZ mit öffentlichen Adressen stellen - dabei die Maskierungs-Option der Defaultroute auf "nur Intranet maskieren" stellen...

Gruß
Backslash

mfdoom
Beiträge: 13
Registriert: 09 Dez 2011, 18:18
Wohnort: Berlin

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von mfdoom » 04 Jun 2018, 20:20

OK, ich probier das mal aus.

Wahrscheinlich muss ich dann noch FW-Regeln für die Zonen setzen? Also LAN<-->DMZ und andersrum um auf die Server aus dem LAN zuzugreifen?

fabo99
Beiträge: 2
Registriert: 04 Jun 2018, 15:59
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von fabo99 » 06 Jun 2018, 09:32

Danke für den Tipp, ich werde das dann auch einmal ausprobieren.

Ich nehme an, der Server in der neuen DMZ bekommt dann direkt die öffentliche IP für ein Netzwerk-Interface? Oder kann ich das per Masquerading irgendwo definieren, welcher Server dort mit welcher IP rausgeht?

backslash
Moderator
Moderator
Beiträge: 5712
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: mehrere IPv4 Adressen am Internetanschluss nutzen

Beitrag von backslash » 06 Jun 2018, 18:10

Hi fabo99,
Wahrscheinlich muss ich dann noch FW-Regeln für die Zonen setzen? Also LAN<-->DMZ und andersrum um auf die Server aus dem LAN zuzugreifen?
das hängt davon ab, ob du eine Deny-All-Regel isn der Firewall hast oder nicht... Ohne Deny-All-Regel läßt die Firewall alles durch und du kannst ungehindert zwischen Intranet und DMZ routen, denn eine DMZ ist erstmal nur ein weiteres Netz, das physikalisch vom Intranet getrennt ist. Letztendlich ist das aber eigentlich nicht der Sinn einer DMZ... daher solltest du den Zugriff zwischen LAN und DMZ natülich über die Firewall regeln - genau so, wie du auch den Zugriff aus dem Internet auf die DMZ über die Firewall bewchränken solltest. Daher richtest du am Besten eine Deny-All-Regel ein und explizite Allow-Regeln für alles, was erlaubt werden soll...
Ich nehme an, der Server in der neuen DMZ bekommt dann direkt die öffentliche IP für ein Netzwerk-Interface?
ja natürlich - und auch die IP des LANCOMs in der DMZ als Deafult-Gateway...

Gruß
Backlsash

Antworten

Zurück zu „aktuelle LANCOM Router Serie“