LC 1900EF - DMZ mit public IP in anderem Netz?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
timebandit91
Beiträge: 4
Registriert: 21 Sep 2021, 14:18

LC 1900EF - DMZ mit public IP in anderem Netz?

Beitrag von timebandit91 »

Hallo zusammen,

ich versuche aktuell was einzurichten, komme aber nicht weiter..
PS. ich bin kein LANCOM Experte und habe auch selten damit zu tun.... LANCOM Schulung und zertifizierung ist schon nen paar Jahre her :D

Wir haben an unserem Anschluss eine statische IPv4 Adresse (aa.bb.cc.201).
Dazu haben wir ein Subnetz (aa.bb.cc.212/30)

Bis jetzt nutzen wir nur die statische IP um darüber ins Internet zu gelangen. Jetzt wollen wir aber mit den noch zur Verfügung stehenden öffentlichen IPs Server betreiben. Vorerst reicht mir 1 Server mit z.B. der aa.bb.cc.214 als IP-Adresse.

Unser Internes Netz hängt auf LAN-1. Der Server hängt auf LAN-4.
Ich habe auf dem LANCOM bereits die IP-Parameter eingetragen (Gegenstelle "INTERNET", IP-Adresse "aa.bb.cc.213/30", Gateway "aa.bb.cc.201").
Dann habe ich für die Default-Route die Maskierung auf "Nur Intranet" gestellt und ein neues DMZ-Netz angelegt mit der IP-Adresse "aa.bb.cc.213".

Server dahinter mit der aa.bb.cc.214.

Und genau dort bin ich nun stuck. Egal was ich probiere und welche Anleitungen ich mir auch nehme - ich bekomme den Server nicht erreichbar. Der LC selbst ist auf der .213 erreichbar. Wobei eigentlich alles was ich gefunden habe immer so konstruiert war, dass die Router-IP im gleichen Subnetz lag wie angeschlossene Server... kann hier vllt. das Problem liegen?

Ich hoffe das war etwas verständlich geschrieben und freue mich auf Antworten :M

Vielen Dank im Voraus!

Lg - Patrick
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LC 1900EF - DMZ mit public IP in anderem Netz?

Beitrag von backslash »

Hi timebandit91,

also wenn es wirklich so ist, wie du beschrieben hast, dann hast du auf der WAN-Seite offenbar eine PPP Verbuindung, denn sonst könntest du keine einzelne IP-Adresse haben (x.x.x.201), die ausserhalb des Netzes (x.x.x.212/30) liegt.
Und mit dem "/30" Netz hast du ja am Ende auch nur eine IP-Adresse für den Server frei: die 212 ist die Netzadresse und die 215 der Broadcast, also bleiben für LANCOM und Server nur noch die 213 und 214 übrig...

In dem Fall (also PPP-Verbindung) solltest du keinen Eintrag in der IP-Parameter-Liste machen, denn bei PPP wird dir die eine öffentliche Adresse hinter der du maskierst im PPP zugewiesen.

Du mußt eigentlich nur eine DMZ eintragen mit der x.x.x.213 als Adresse und der 255.255.255.252 als Netzmaske. Wichtig dabei ist, daß du auch den Typ des Netzes auf "Dmz" stellst (denn nur dann wird von der Maskierung ausgenommen).
Dann mußt du nur noch an der Default-Route die Maskierungsoption auf "Nur Intranet" stellen und ganz wichtig: danach die Internetverbindung einmal trennen... (denn die Maskierungsoption wird nur beim Verbindungsaufbau übernommen)

Danach solltest du das LANCOM sowohl unter der einen öffentlichen IP erreichen, die im PPP zugewiesen wurde und unter der x.x.x.213 und du solltest den Server unter der x.x.x.214 erreichen - zumindest wenn der Server das LANCOM (x.x.x.213) als Gateway hat...

Bei den wenigen Adressen solltest du dir vielleciht überlegen, ob du nicht doch lieber mit Portforwardings arbeitest, denn dann könntest du vermutlich alle vier Adressen aus dem /30er Netz an Server weiterleiten..

Gruß
Backslash
timebandit91
Beiträge: 4
Registriert: 21 Sep 2021, 14:18

Re: LC 1900EF - DMZ mit public IP in anderem Netz?

Beitrag von timebandit91 »

Hallo Backslash,

vielen Dank für deine Rückmeldung. In der Tat handelt es sich um eine PPP-Verbindung mit fester IP, auf der ein Subnetz geroutet wird.

Ich habe die IP-Parameter nun entfernt, eine DMZ mit der .213 angelegt und die Maskierung der Default-Route umgestellt. Anschließend habe ich die Internetverbindung einmal getrennt.

Nun ist es so, dass der Server mit der .214 ins Internet kommt - Ping, etc. geht alles durch.
Von "außen" ist allerdings weder der Lancom mit der .213 noch der Server mit der .214 erreichbar -> Ping timeout..

Auch ihne IPv4 Firewall habe ich es probiert.. Irgendwo ist noch der Wurm drin.

Vielen Dank
timebandit91
Beiträge: 4
Registriert: 21 Sep 2021, 14:18

Re: LC 1900EF - DMZ mit public IP in anderem Netz?

Beitrag von timebandit91 »

Nachtrag:

Das sagt das Log:

Code: Alles auswählen

[IP-Router] 2021/09/22 15:11:55,657  Devicetime: 2021/09/22 15:11:54,793
IP-Router Rx (INTERNET
DstIP: aa.bb.cc.214, SrcIP: xx.yy.zz.253, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0xdfeb, seq: 0x0337
Network unreachable (blocked by masquerading) => Discard
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LC 1900EF - DMZ mit public IP in anderem Netz?

Beitrag von backslash »

Hi timebandit91

die Meldung "blocked by masquerding" kommt dann wenn entweder die Maskierungs-Option nicht auf "nur Intranet maskieren" steht oder denn das ARF-Netz, in dem das Ziel liegt nicht als DMZ markiert ist... Es geht dabei nicht um den Namen, sondern um dessen "Netzwerktyp" im LANconfig unter IPv4 -> Allgemein -> Netzwerke bzw. im CLI um die Spalte "Type" unter /Setup/TCP-IP/Network-list

Acktung: Wenn du für die Gegenstelle, auf die die Default-Route zeigt (hier also "INTERNET"), weitere Routen angelegt hast, dann git die Maskierungs-Option die am ersten Auftretens der Gegenstelle in der Routing-Tabelle steht...

Gruß
Backslash
timebandit91
Beiträge: 4
Registriert: 21 Sep 2021, 14:18

Re: LC 1900EF - DMZ mit public IP in anderem Netz?

Beitrag von timebandit91 »

Hallo Backslash,

hah okay - good to know.
Es gab weitere Routen bei denen die Maskierungs-Optionen nicht gestimmt haben :D

Ist nun angepasst & klappt :mrgreen: :M

Vielen Dank für die Unterstützung!

Thread ist damit abgehakt :)

Grüße,
Patrick
Antworten