hallo,
wir haben einen LANCOM 1721 an einem T-DSL-Business DSL Anschluss mit fester IP-Adresse in Betrieb. Hinter diesem Router haengt ein Server der über den Router mit dem Internet verbunden ist. Nun hat der Router auf seiner WAN Seite die öffendliche IP, auf der LAN-Seite 192.168.10.1 und der Server 192.168.10.2. Der Server soll nun aus dem Internet erreichbar sein. Dazu kann ich ja im Router Portweiterleitung einrichten nur leider hat eine VPN-Software auf dem Server damit ein Problem, da die Weiterleitungen über die NAT-Funktion des Routers laufen. Wir müssen aber die spezielle VPN-Software auf dem Server laufen lassen und können nicht die VPN Funktionalität des Routers nutzen.
Nun meine Frage:
Kann ich den gesamten eingehenden Verkehr - also alles was an die öffendliche IP Adresse des Routers geht direkt an die Netzwerkkarte weiterleiten? Und gibt es einen weg, das ich die öffendliche IP direkt auf der Netzwerkkarte am Server einstellen kann?
Der Router soll eigendlich nur die einwahl via PPPoE übernehmen und alles an die Netzwerkkarte des Servers durchreichen.
Geht das Irgendwie?
Dank im voraus!
Gruss
theroot
öffendliche IP Adresse direkt an Client durchreichen
Moderator: Lancom-Systems Moderatoren
Hi theroot
also für VPN brauchst du doch nur die UDP-Ports 500 und 4500 weiterleiten (zumidest, wenn es sich um IPSec handelt). Für PPTP mußt du den TCP-Port 1723 weiterleiten. Ggf. mußt du in der Firewall noch passende Regeln erstellen, falls du eine Deny-All-.Strategie fährst.
Einfach alle Ports weiterleiten ist keine Gute Idee...
Du hast natürlich noch eine andere Möglichkeit: Wenn du mehr als eine feste öffentliche IP-Adresse - also ein Netz mit mindestens 4 Adressen) hast, dann kannst du dem Server auch direkt eine öffentliche IP geben und ihn in die DMZ stellen.
Gruß
Backslash
also für VPN brauchst du doch nur die UDP-Ports 500 und 4500 weiterleiten (zumidest, wenn es sich um IPSec handelt). Für PPTP mußt du den TCP-Port 1723 weiterleiten. Ggf. mußt du in der Firewall noch passende Regeln erstellen, falls du eine Deny-All-.Strategie fährst.
Einfach alle Ports weiterleiten ist keine Gute Idee...
Du hast natürlich noch eine andere Möglichkeit: Wenn du mehr als eine feste öffentliche IP-Adresse - also ein Netz mit mindestens 4 Adressen) hast, dann kannst du dem Server auch direkt eine öffentliche IP geben und ihn in die DMZ stellen.
Gruß
Backslash
Hallo Backslash,
Danke für Deine Nachricht.
Eine einfache Portweiterleitung funktioniert leider nicht.
Das Problem ist das für einen in ein Maschinennetzwerk (nicht mit dem Firmennetz gekoppelt) ein Fernwartungszugang geschaffen werden muss. Die Herstellerfirma (aus USA) wuenscht nun einen direkten Zugang mit oeffendlicher IP auf Ihren Rechner (es wird ausdruecklich und auch auf Nachfrage kein Zugang über NAT und auch einzelne Ports erlaubt - sie wollen direkten volle Internetzugang) Der Server hat dafuer einen Netzwerkanschluss der mit einer eigenen Firewall gut abgesichert waehre. Leider kann der Server kein PPPoE und somit kann er selbst nicht einwaehlen.
Ich habe schon mit unserem Provider (Telekom) gesprochen und das einzige was die vorschlagen ist CompanyConnect. Da hat man 8 oeffendliche IPs und man kann eine IP direkt auf die IP des Servers konfigurieren.
Nun kostet so ein CompanyConnect Anschluss allerdings "nur" ab 230EUR pro Monat und das ist fuer einen Fernwartungszugang etwas viel.
Gibt es eine Moeglichkeit einen Lancom Router dazu zu ueberreden, das er nur eine Internetverbindung herstellt und ein Rechner dahinter direkt die oeffendliche IP auf seine Netzwerkkarte bekommt und trotzdem den weg ins Internet findet? Und das alles mit einem einfachen T-DSL-Business Zugang?
Gruss
theroot
Danke für Deine Nachricht.
Eine einfache Portweiterleitung funktioniert leider nicht.
Das Problem ist das für einen in ein Maschinennetzwerk (nicht mit dem Firmennetz gekoppelt) ein Fernwartungszugang geschaffen werden muss. Die Herstellerfirma (aus USA) wuenscht nun einen direkten Zugang mit oeffendlicher IP auf Ihren Rechner (es wird ausdruecklich und auch auf Nachfrage kein Zugang über NAT und auch einzelne Ports erlaubt - sie wollen direkten volle Internetzugang) Der Server hat dafuer einen Netzwerkanschluss der mit einer eigenen Firewall gut abgesichert waehre. Leider kann der Server kein PPPoE und somit kann er selbst nicht einwaehlen.
Ich habe schon mit unserem Provider (Telekom) gesprochen und das einzige was die vorschlagen ist CompanyConnect. Da hat man 8 oeffendliche IPs und man kann eine IP direkt auf die IP des Servers konfigurieren.
Nun kostet so ein CompanyConnect Anschluss allerdings "nur" ab 230EUR pro Monat und das ist fuer einen Fernwartungszugang etwas viel.
Gibt es eine Moeglichkeit einen Lancom Router dazu zu ueberreden, das er nur eine Internetverbindung herstellt und ein Rechner dahinter direkt die oeffendliche IP auf seine Netzwerkkarte bekommt und trotzdem den weg ins Internet findet? Und das alles mit einem einfachen T-DSL-Business Zugang?
Gruss
theroot
Hi theroot
Schließlich ist das ja auch nicht die Aufgabe eines Routers...
Wie wäre es denn mit einer RAS-Einwahl auf das LANCOM - entweder per PPTP (unverschlüsselt) oder VPN - dann ist da kein NAT zwischen und die US-Firma hat vollen Zugriff uaf ihren Server... (Du solltest dann natürlich im LANCOM dafür sorgen, daß die Firma auch wirklich *nur* auf ihren Server kommt)
Gruß
Backslash
also, wenn die US-Firma expliziten einen Zugriff öber eine öffentliche Adresse auf den Server haben will, dann muß sie dem Server entweder direkt PPPoE-fähig machen (ist ja nur eine Treiberfarge) oder den Betrag zahlen.Nun kostet so ein CompanyConnect Anschluss allerdings "nur" ab 230EUR pro Monat und das ist fuer einen Fernwartungszugang etwas viel.
nein - es wäre immer ein NAT mit Portforwarding...Gibt es eine Moeglichkeit einen Lancom Router dazu zu ueberreden, das er nur eine Internetverbindung herstellt und ein Rechner dahinter direkt die oeffendliche IP auf seine Netzwerkkarte bekommt und trotzdem den weg ins Internet findet? Und das alles mit einem einfachen T-DSL-Business Zugang?
Schließlich ist das ja auch nicht die Aufgabe eines Routers...
Wie wäre es denn mit einer RAS-Einwahl auf das LANCOM - entweder per PPTP (unverschlüsselt) oder VPN - dann ist da kein NAT zwischen und die US-Firma hat vollen Zugriff uaf ihren Server... (Du solltest dann natürlich im LANCOM dafür sorgen, daß die Firma auch wirklich *nur* auf ihren Server kommt)
Gruß
Backslash