Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Beitrag von Burak »

Hallo,

von der Telekom wurde ein AudioCodes M500-1S2M Router installiert, damit die TK-Anlage weiter betreiben werden kann.
Der Telekom Techniker hat mit mir geredet und gefragt, ob der Router eine Adresse aus dem internen Netz bekommen soll.
Ich meinte, besser wäre eine Adresse aus einem anderen Netz, wodurch ich den LANCOM-Router 1781EF+ dran hänge und eine IP-Adresse zuweise.
Er meinte, das wäre wohl nicht die beste Variante, da es dann eine Rückroute gibt vom LANCOM zum AudioCodes. Was genau daran schlecht ist, konnte er mich nicht sagen.

Wir sind dann so verblieben, das der Audiocodes eine interne IP (192.168.3.1) bekommt und alle Ports, die nicht benutzt werden, auf unseren LANCOM geleitet werden (192.168.3.254).

Ich dachte mir, okay, das wird kein Problem sein. Jetzt bin ich aber doch etwas verwirrt um eine saubere Konfig einzurichten:
  • Unter Kommunikationslayer, habe ich ein Layer mit Encapsulation: Ethernet, Layer-3: Transparent, Layer-2: Transparent, Optionen: keine, Layer-1: ETH eingerichtet
  • Port ETH2 habe ich DSL-2 zugewiesen
  • Unter Gegenstellen DSL habe ich eine Gegenstelle "AUDIOCODES" erstellt, mit dem jeweiligen Layer und dem DSL-2 Port
  • Unter IP-Parameter musste ich ein Eintrag erstellen, hier aber was mich stutzig macht: der LANCOM-Router hat ja zwar schon die IP-Adresse 192.168.3.254/24 für das interne Netzwerk. Als IP-Parameter habe ich dann für die Gegenstelle AUDIOCODES 192.168.3.252/24 zugewiesen und DNS und Gateway auf 192.168.3.1.
  • Unter IPv4-Routing habe ich eine Route für 255.255.255.255/0 mit Tag 2 auf den AUDIOCODES Router eingerichtet - mit Maskierung an (oder sollte das aus sein?).
  • Zum Testen habe ich einen Rechner in der Firewall maskiert, d.h. Quell-Tag 1, Routing-Tag 2 und für die andere Richtung gerade andersrum.
Über LANmonitor ist die DSL-Verbindung vorhanden und intakt. Der Rechner ist auch über die neue Internetverbindung drin.
Irgendwie habe ich aber ein unwohles Gefühl dabei, weil
  • Beide Router haben den selben IP-Adressenbereich
  • Den Audiocodes Router kann ich unter 192.168.3.1 gar nicht mehr erreichen, klar, weil der auf Layer-2 nicht gefunden werden kann.
  • Der LANCOM Router hat im Prinzip jetzt zwei IP-Adressen
  • ich die Gegenstelle nur erstellt habe, damit ich Port-Forwarding löse - ansonsten hätte ein Routing-Eintrag auch gereicht, oder nicht?
Vielleicht kann mir der ein oder andere Anmerkungen dazu geben?
Normalerweise habe ich so eine "Router-Kaskade" mit unterschiedlichen Netzen. Doppeltes NAT tritt ja dann auf, was ggf. mehr Arbeit macht, aber es sowas lief bisher immer ohne Probleme. Oder wie löst man sowas sonst mit dem LANCOM?

Vielen Dank!
Viele Grüße
Burak
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Beitrag von backslash »

Hi Burak,
Er meinte, das wäre wohl nicht die beste Variante, da es dann eine Rückroute gibt vom LANCOM zum AudioCodes. Was genau daran schlecht ist, konnte er mich nicht sagen.
"andersherum" ist's korrekt... Der Telekom-Technicher hätte in den Telekom-Router eine Route für das LAN des LANCOMs eintragen müssen, die auf die WAN-Adresse des LANCOM zeigt. Daran ist auch nichts schlecht...
Unter IP-Parameter musste ich ein Eintrag erstellen, hier aber was mich stutzig macht: der LANCOM-Router hat ja zwar schon die IP-Adresse 192.168.3.254/24 für das interne Netzwerk. Als IP-Parameter habe ich dann für die Gegenstelle AUDIOCODES 192.168.3.252/24 zugewiesen und DNS und Gateway auf 192.168.3.1.
Ein Router hat immer zwei Seiten, in deinem Fall das LAN und die Verbindung zum Telekom-Router (Gegenstelle AUDIOCODES). In der IP-Parameterliste trägst du ein, wie das lANCOM auf der Gegenstelle AUDIOCODES "aussieht", also eine IP-Adresse aus dem Netz des Telekom-Routers, die Netzmaske des Netzes des Telekom-Routers und den Telekom-Router als Gateway und DNS-Server. im LAN (also "INTRANET") trägst du ein, in welchem Netz die Rechner stehen, die das LANCOM als Router nutzen. Diese Netze sollten tunlichst unterschiedlich sein - wo wir dann wieder beim Thema "Rückroute" des Telekomtechnikers wären.
Unter IPv4-Routing habe ich eine Route für 255.255.255.255/0 mit Tag 2 auf den AUDIOCODES Router eingerichtet - mit Maskierung an (oder sollte das aus sein?).
da du im LANCOM die Maskierung angeschaltet hast, ist es völlig egal, welche Adressen du im internen Netz des LANCOMs verwendest - die werden alle hinter der einen Adresse, die das LANCOM auf der Gegenstelle AUDIOCODES hat, maskiert... Durch die Maskierung entfällt dann auch gleich die Notwendigkeit der "Rückroute" des Telekomtechnikers...

Irgendwie habe ich aber ein unwohles Gefühl dabei, weil
  • Beide Router haben den selben IP-Adressenbereich
ist zwar unschön aber aufgrund der Maskierung auf der WAN-Verbindung egal
  • Den Audiocodes Router kann ich unter 192.168.3.1 gar nicht mehr erreichen, klar, weil der auf Layer-2 nicht gefunden werden kann.
da mußt du eine Host-Route einrichten (192.168.3.1/255.255.255.255), die auf die Gegenstelle AUDIOCODES zeigt *UND* (ganz Wichtig!) die gleiche Maskierungs-Option hat, wie die Defaultroute. Desweiteren mußt du Proxy-ARP aktivieren (häkchen bei IP-Router -> Allgemein -> Entfernte Stationen mit Proxy-ARP einbinden setzen), wenn du weiterhin im LAN das gleiche Netz verwenden willst, wie im WAN
  • Der LANCOM Router hat im Prinzip jetzt zwei IP-Adressen
das ist bei einem Router eigentlich der Normalfall... In jedem Netz, in dem er steht, hat er eine eigene Adersse
  • ich die Gegenstelle nur erstellt habe, damit ich Port-Forwarding löse - ansonsten hätte ein Routing-Eintrag auch gereicht, oder nicht?
und wohin hätte die Route dann gezeigt? Díe Gegenstelle ist schon zwingend Notwendig
Normalerweise habe ich so eine "Router-Kaskade" mit unterschiedlichen Netzen. Doppeltes NAT tritt ja dann auf, was ggf. mehr Arbeit macht, aber es sowas lief bisher immer ohne Probleme. Oder wie löst man sowas sonst mit dem LANCOM?
nun ja, der Aufwand eines doppelten NAT hält sich am Ende doch in Grenzen... Eigentich läuft er nur darauf hinaus, daß man Portforwardings doppelt pflegen muß...


Gruß
Backslash
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Re: Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Beitrag von Burak »

Hallo backslash,

danke für deine ausführliche Antwort.
"andersherum" ist's korrekt... Der Telekom-Technicher hätte in den Telekom-Router eine Route für das LAN des LANCOMs eintragen müssen, die auf die WAN-Adresse des LANCOM zeigt. Daran ist auch nichts schlecht...
D.h. eine Route für 192.168.3.0/24 auf WAN-IP des LANCOM Routers?
Wäre dann nicht das WAN-Netz gestört, weil eben das WAN Netz auch auf 192.168.3.0/24 läuft?
Diese Netze sollten tunlichst unterschiedlich sein - wo wir dann wieder beim Thema "Rückroute" des Telekomtechnikers wären.
Also, doch nicht so ideal, wie der Herr von der Telekom das eingerichtet hat.
und wohin hätte die Route dann gezeigt? Díe Gegenstelle ist schon zwingend Notwendig
Da der AudioCodes Router unter einer IP-Adresse des internen Netzes erreichbar war, hätte die Default-Route auf eben diese IP-Adresse gezeigt, weil das ja quasi der nächste Router ist.
nun ja, der Aufwand eines doppelten NAT hält sich am Ende doch in Grenzen... Eigentich läuft er nur darauf hinaus, daß man Portforwardings doppelt pflegen muß...
Das war auch mein Argument, aber bin dann unsicher geworden, weil ich eben auch kein Zugriff auf das AudioCodes Gerät habe und nicht jedes Mal die Telekom anrufen wollte. Deswegen wurde für alle Ports ein Port-Forwarding auf LANCOM gesetzt. Leider scheint das aber wohl auch nicht so zu klappen, wie ich gestern Abend noch getestet habe.

Ich frage bei der Telekom noch mal nach den Zugangsdaten und würde glaube ich das ganze abändern lassen, so dass die WAN-Seite ein anderes IP-Netz bekommt. Dann ist das ganze nicht so ganz irritierend.


VG
Burak
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Beitrag von backslash »

Hi Burak,
D.h. eine Route für 192.168.3.0/24 auf WAN-IP des LANCOM Routers?
nein, das LANCOM muß dann natürlich im LAN ein anderes Netz haben, z.B. 192.168.4.0/24, auf das die Route dann zeigt (auf seiner WAN seite braucht es natürlich eine IP aus dem 192.168.3.0/24 Netz)
Wäre dann nicht das WAN-Netz gestört, weil eben das WAN Netz auch auf 192.168.3.0/24 läuft?
wenn du kein anderes Netz nimmst: natürlich...
Da der AudioCodes Router unter einer IP-Adresse des internen Netzes erreichbar war, hätte die Default-Route auf eben diese IP-Adresse gezeigt, weil das ja quasi der nächste Router ist.
Wozu überhaupt eine Route, wenn alles im gleichen Netz ist... Dann können diene PCs auch direkt mit dem AudioCodes Router reden...

Ansonsten: Wenn du NATten willst, brauchst du beim LANCOM eine WAN-Gegenstelle.
Ohne NAT, kannst du natürlich den AudioCodes Router auch an ein weiteres LAN-Interface des LANCOMs hängen, baruchst dann aber zwingend ein eigenes Netz für das "INTRANET" des LANCOMs und eine Route darauf im AudioCodes Router...

Gruß
Backslash
Burak
Beiträge: 19
Registriert: 04 Mär 2014, 12:31

Re: Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Beitrag von Burak »

Hallo,

danke für die Infos. Ich habe dann die Telekom doch angerufen und das IP-Netz umkonfigurieren lassen, so wie du es erklärt hast :)
Lustig ist, der 1200€ teure Audiocodes Router kann kein IPsec Passthrough...Zum Glück geht es mit NAT-T. Das wäre ja sonst ein Ding, wenn VPN nicht mehr gehen würde, wegen dem Gerät.

Die IP für den LANCOM auf WAN Seite ist weiterhin als "exposed host" eingetragen, somit müssen die Ports nur auf dem LANCOM eingestellt werden und am Audiocodes muss ich nichts machen und kann ich auch nichts.

Danke nochmals!

VG
Burak
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Zweiter Router vorgeschaltet aber im selben IP-Netzwerk

Beitrag von GrandDixence »

"IPSec Passthrough" ist ein "Unding" und sollte nicht eingesetzt werden:
viewtopic.php?f=14&t=17233&p=97796#p97903
Also ist dieser 1200€ teure Audiocodes Router sein Geld wert...
Antworten