Hallo zusammen.
Einige unserer Wlan-Kunden möchte gerne eine öffentliche IP nutzen.
Daher haben wir beim Provider einen Pool von öffentlichen IP-Adressen beantragt und diese nun auch endlich bereitgestellt bekommen.
Nun die Frage:
wo müssen wir diese 32 IP-Adressen im Lancom 1811 eintragen? Vielleicht kann uns auch noch jemand sagen, ob wir in den Kundensystemen (Linksys-Clients mit DDWRT) auch noch Einstellungen vornehmen müssen.
Vielen Dank und Grüsse
Manfred
öffentliche IP-Adressen im LC1811
Moderator: Lancom-Systems Moderatoren
Hi manfred
Danach in der Routing-Tabelle auf der Defaultroute die Maskierungsoption auf "Nur Intranet maskieren" stelle und die Verbindung kurz trennen.
Danach sollten die verbleibenden 29 Adressen in der DMZ verfügbar sein...
das sollte ausreichen
Gruß
Backslash
als DMZ-Netz. also, die erste (genaue, die zweite, da die erste die Netzadresse ist) der 32 Adressen als DMZ-Adresse, als DMZ-Netzmaske 255.255.255.224.wo müssen wir diese 32 IP-Adressen im Lancom 1811 eintragen?
Danach in der Routing-Tabelle auf der Defaultroute die Maskierungsoption auf "Nur Intranet maskieren" stelle und die Verbindung kurz trennen.
Danach sollten die verbleibenden 29 Adressen in der DMZ verfügbar sein...
Da das LANCOM adreßzuweisungen über DHCP nur im Intranet kann, braucht der Kundenrouter eine passende Konfiguration des WAN-Ports:Vielleicht kann uns auch noch jemand sagen, ob wir in den Kundensystemen (Linksys-Clients mit DDWRT) auch noch Einstellungen vornehmen müssen.
Code: Alles auswählen
IP-Adresse: öffentliche IP-Adresse aus obigem Bereich
Netzmaske: 255.255.255.224
Gateway: DMZ-IP des LANCOMs
DNS-Server: DMZ-IP des LANCOMsGruß
Backslash
Hallo Backslash,
das habe ich nun bei einem Testuser so gemacht. Nur ist das eine "Einbahnstrasse" geworden!
Der User kann zwar arbeiten, ich sehe seine IP im Lanmonitor und im Wlanmonitor und seine bandbreite wir auch durch die Firewll geregelt.
Nur komme ich nicht mer auf den Kundenrouter. Dieser lässt sich nicht mal mehr anpingen?
Was hab ich falsch gemacht?
Danke + Grüsse
manfred
das habe ich nun bei einem Testuser so gemacht. Nur ist das eine "Einbahnstrasse" geworden!
Der User kann zwar arbeiten, ich sehe seine IP im Lanmonitor und im Wlanmonitor und seine bandbreite wir auch durch die Firewll geregelt.
Nur komme ich nicht mer auf den Kundenrouter. Dieser lässt sich nicht mal mehr anpingen?
Was hab ich falsch gemacht?
Danke + Grüsse
manfred
Hi Manfred
Wenn der User über seinen Router arbeiten kann, dann ist das Routing schonmal korrekt konfiguriert...
Was und von wo der Kundenrouter dann Zugriffe zuläßt, das mußt du schon dort konfigurieren. Wenn du z.B. aus einem privaten Netz kommst (10.x.x.x, 172.16.x.x, 192.168.x.x) und der Kundenrouter dafür Sperr-Routen eingetragen hat, dann ist es durchaus möglich, daß er auch eine Konfiguration aus diesem Netzen nicht zuläßt.
Da ich mich mit Linksys-Routern nicht auskenne, ist das nur eine Vermutung. Am besten fragst du da mal in einem Linksys-Forum nach...
Gruß
Backslash
Das klingt aber nach Pingblocking im Kundenrouter...Nur komme ich nicht mer auf den Kundenrouter. Dieser lässt sich nicht mal mehr anpingen?
Wenn der User über seinen Router arbeiten kann, dann ist das Routing schonmal korrekt konfiguriert...
Was und von wo der Kundenrouter dann Zugriffe zuläßt, das mußt du schon dort konfigurieren. Wenn du z.B. aus einem privaten Netz kommst (10.x.x.x, 172.16.x.x, 192.168.x.x) und der Kundenrouter dafür Sperr-Routen eingetragen hat, dann ist es durchaus möglich, daß er auch eine Konfiguration aus diesem Netzen nicht zuläßt.
Da ich mich mit Linksys-Routern nicht auskenne, ist das nur eine Vermutung. Am besten fragst du da mal in einem Linksys-Forum nach...
Gruß
Backslash
Hallo,
melde mich mit einer Erweiterung der Fragestellung nochmal hier:
Wir haben nun öffenliche IP´s in einen Lancom 1811 eingetragen, welcher mit Loadbalancing (zwei DSL) arbeitet. Hier habe ich auch in der Defaultroute (der Loadbalancer) "nur Intranet maskieren" ausgewählt und danach durchgestartet.
Leider ist das Zielnetz von den Cliensts aus nicht erreichbar, so die Meldung. Die Clients funktionieren aber bereits mit den öffentlichen IP´s, nur auf die Clients kommen wir nicht drauf.
Vielleicht hat jemand eine Idee?
Schönes WE
Manfred
melde mich mit einer Erweiterung der Fragestellung nochmal hier:
Wir haben nun öffenliche IP´s in einen Lancom 1811 eingetragen, welcher mit Loadbalancing (zwei DSL) arbeitet. Hier habe ich auch in der Defaultroute (der Loadbalancer) "nur Intranet maskieren" ausgewählt und danach durchgestartet.
Leider ist das Zielnetz von den Cliensts aus nicht erreichbar, so die Meldung. Die Clients funktionieren aber bereits mit den öffentlichen IP´s, nur auf die Clients kommen wir nicht drauf.
Vielleicht hat jemand eine Idee?
Schönes WE
Manfred
Hi manfred
Das liegt daran, daß der Provider nichts von deinem Loadbalancer weiß und er somit für deine öffentlichen Adressen auch keine Sessions auf die Verbindungen verteilen kann.
D.h. die öffentlichen Adressen müssen alle über die erste Verbindung erereichbar sein.
Wenn du öffentlichen Adressen auf verschiedenen Verbindingen hast, dann hast du ein Problem. Du könntest zwar beide Verbindungen mit einem Routing-Tag versehen und der Maskierungsoption in der Routing-Tabelle eintragen. Das führt zwar dann dazu, daß die Option auf beiden Interfaces ausgewertet wird - nur leider führt das auch dazu, daß du das Load-Balancing für die öffentlichen Adressen nicht nutzen kannst:
Stell dir dazu vor, aus dem einen öffentlichen Netz (Adressen von Provider 1) wird eine Verbindung aufgebaut und der Loadbalancer wählt Provider 2... Dann wirst du einfach keine Antwort bekommen - weil für Provider 2 die Route zu Netz 1 nicht auf deiner Seite liegt und du deshalb das Paket nicht hättest senden dürfen und es deshalb vom Provider verworfen wird. Selbst wenn der Proivider das Paket nicht verwerfen würde und tatsächlich eine Antwort über Provider 1 käme... spätestens die Firewall des LANCOMs würde das Paket dann wegwerfen (weil es über die falsche Verbindung kam...)
Das heißt du mußt für die öffentlichen Adressen noch Firewallregeln einrichten die alle abgeheneden Pakete auf den jeweiligen Provider festnageln (sprich das jeweilige Routing-Tag setzen). Damit hast du aber kein Load-Balancing mehr...
Als nächstes rennst du in das Problem daß die Option "nur Intranet maskieren" leicht mißverständlich ist - sie meint nämlich: "alles außer der DMZ maskieren". Das bedeutet aber, daß alle deine öffentlichen Adressen in einem Netz liegen müssen, das du im LANCOM als DMZ konfigurierst - Mit der 7.00/7.10 wirst du mehr als eine DMZ einrichten können - damit kannst du dann zumindest dieses Problem umgehen.
Die anderen Problem sind ganz einfach in der Natur der Sache und können nicht umgangen werden. Für dich wäre daher eine DSL-Kanalbündelung statt des Loadbalancing das sinnvollste
Gruß
Backslash
du weißt schon, das die Maskierungsoption (zunächst) *nur* für die erste Verbindung des Loadbalancers ausgewertet wird. Die zweite (und alle weiteren) werden *immer* maskiert.Hier habe ich auch in der Defaultroute (der Loadbalancer) "nur Intranet maskieren" ausgewählt und danach durchgestartet.
Das liegt daran, daß der Provider nichts von deinem Loadbalancer weiß und er somit für deine öffentlichen Adressen auch keine Sessions auf die Verbindungen verteilen kann.
D.h. die öffentlichen Adressen müssen alle über die erste Verbindung erereichbar sein.
Wenn du öffentlichen Adressen auf verschiedenen Verbindingen hast, dann hast du ein Problem. Du könntest zwar beide Verbindungen mit einem Routing-Tag versehen und der Maskierungsoption in der Routing-Tabelle eintragen. Das führt zwar dann dazu, daß die Option auf beiden Interfaces ausgewertet wird - nur leider führt das auch dazu, daß du das Load-Balancing für die öffentlichen Adressen nicht nutzen kannst:
Stell dir dazu vor, aus dem einen öffentlichen Netz (Adressen von Provider 1) wird eine Verbindung aufgebaut und der Loadbalancer wählt Provider 2... Dann wirst du einfach keine Antwort bekommen - weil für Provider 2 die Route zu Netz 1 nicht auf deiner Seite liegt und du deshalb das Paket nicht hättest senden dürfen und es deshalb vom Provider verworfen wird. Selbst wenn der Proivider das Paket nicht verwerfen würde und tatsächlich eine Antwort über Provider 1 käme... spätestens die Firewall des LANCOMs würde das Paket dann wegwerfen (weil es über die falsche Verbindung kam...)
Das heißt du mußt für die öffentlichen Adressen noch Firewallregeln einrichten die alle abgeheneden Pakete auf den jeweiligen Provider festnageln (sprich das jeweilige Routing-Tag setzen). Damit hast du aber kein Load-Balancing mehr...
Als nächstes rennst du in das Problem daß die Option "nur Intranet maskieren" leicht mißverständlich ist - sie meint nämlich: "alles außer der DMZ maskieren". Das bedeutet aber, daß alle deine öffentlichen Adressen in einem Netz liegen müssen, das du im LANCOM als DMZ konfigurierst - Mit der 7.00/7.10 wirst du mehr als eine DMZ einrichten können - damit kannst du dann zumindest dieses Problem umgehen.
Die anderen Problem sind ganz einfach in der Natur der Sache und können nicht umgangen werden. Für dich wäre daher eine DSL-Kanalbündelung statt des Loadbalancing das sinnvollste
Gruß
Backslash
Hallo Backslash,
vielen Dank für Deine Antwort.
Mit einer Kanalbündelung bekomme ich also die Sache hin? Und eine Lastverteilung erfolgt genauso, da bei Bedarf dann das zweite DSL hinzugeschaltet wird, wenn ich das richtig verstehe.
Habe in der LANCOM-Support.Knowledge-Base eine Beschreibung für die Kanalbündelung gefunden. Kann ich nach dieser vorgehen oder gibts was besseres? Vielen Dank und Grüsse
Manfred
vielen Dank für Deine Antwort.
Mit einer Kanalbündelung bekomme ich also die Sache hin? Und eine Lastverteilung erfolgt genauso, da bei Bedarf dann das zweite DSL hinzugeschaltet wird, wenn ich das richtig verstehe.
Habe in der LANCOM-Support.Knowledge-Base eine Beschreibung für die Kanalbündelung gefunden. Kann ich nach dieser vorgehen oder gibts was besseres? Vielen Dank und Grüsse
Manfred
Hi manfred
Ach ja: Im Gegensatz zu einem Loadbalancing muß der Provider eine DSL-Kanalbündelung unterstützen
Gruß
Backslash
das ist eigentlich das sinnvollste, da du dann eine "doppelt" so breite Leitung hast, über die die öffentlichen Adressen von aussen angesprochen werden können. Bei einem Load-Balancing wird im Gegensatz dazu maximal eine Leitung für die User von aussen verwendet (halt die auf die der Provider das Netz routet). Die andere Leitung ist immer maskiert, wodurch die öffentlichen Adressen über diese Leitung nicht erreicht werden können - es sei denn, s.o...Mit einer Kanalbündelung bekomme ich also die Sache hin?
nein, die zweite Verbindung steht dabei immer, genau wie sie auch einem Loadbalancing immer steht. Eine dynamische Kanalbündelung ist nur bei ISDN-Verbindungen vorgesehen - auf DSL-Leitungen macht sie einfach keinen Sinn: ISDN wird pro Leitung und nach Minuten abgerechnet, DSL ist i.A. eine Flatrate oder ein Volumentarif und dabei ist die Anzahl der Leitungen unerheblichUnd eine Lastverteilung erfolgt genauso, da bei Bedarf dann das zweite DSL hinzugeschaltet wird, wenn ich das richtig verstehe.
Ach ja: Im Gegensatz zu einem Loadbalancing muß der Provider eine DSL-Kanalbündelung unterstützen
Gruß
Backslash
vielen Dank,
mein Provider unterstützt dummerweise keine Kanalbündelung, das habe ich am Wochenende bereits rausbekommen.
Wir wollen aber das Loadbalancing unbedingt behalten.
Wir haben die öffentlichen Adressen auch nur für einen (wichtigen) Kunden angeschafft. Ist es nicht möglich, dass wir diesen einzigen Kunden z.b. an das DSL1 mit seiner öffentlichen IP binden und wenn ja wie?
Vielen Dank und Grüsse
Manfred
mein Provider unterstützt dummerweise keine Kanalbündelung, das habe ich am Wochenende bereits rausbekommen.
Wir wollen aber das Loadbalancing unbedingt behalten.
Wir haben die öffentlichen Adressen auch nur für einen (wichtigen) Kunden angeschafft. Ist es nicht möglich, dass wir diesen einzigen Kunden z.b. an das DSL1 mit seiner öffentlichen IP binden und wenn ja wie?
Vielen Dank und Grüsse
Manfred
Hi manfred
Desweiteren müssen (wie auch schon gesagt) die öffentlichen Adressen in der DMZ konfiguriert werden - d.h. auch, daß das LANCOM eine der Adressen selbst benötigt, welche dem Kunden dann natürlich nicht mehr zur Verfügung steht...
Dann ist der Kunde unter seinen öffentlichen Adressen erreichbar, kann aber selbst auch das Loadbalancing (z.B. beim Surfen) nutzen. Wenn er auch "abgehend" nur die öffentlichen Adressen verwenden will, dann geht das - wie auch schon oben erklärt - über policy based Routing - dann ist er aber auf die eine Verbindung "festgenagelt".
Jetzt stellt sich nur noch die Frage, wie der Kunde "an seine Adressen" kommt, wenn er nicht direkt an die DMZ angebunden ist, sondern selbst wieder einen Router einsetzt.
Wenn dieser Router ein LANCOM ist, dann ist das recht Trivial: Der Kunde muß nur auf der LAN und der WAN-Seite das gleiche Netz einrichten und den 1811 als Gateway eintragen. Dann macht der das LANCOM auf der WAN-Seite ein Proxy-ARP für das LAN-Netz.
Wenn es ein anderer Router ist, dann wird es u.U. schwierig, wenn dieser Router WAN-seitiges Proxy-ARP nicht beherrscht. Dann bleibt dir nur übrig, den PPPoE-Server deines 1811 zu verwenden und das Netz zusätzlich zur DMZ auch auf eine PPPoE-Strecke zu legen über die sich der Kunde dann beim LANCOM einwählt. Desweiteren mußt du dann noch Proxy-ARP im 1811 aktivieren.
Gruß
Backslash
wie bereits oben gesagt: Die Maskierungsoption wird für die erste Verbindung des Load-Balancers ausgewertet. Daraus folgt direkt, daß eben die Verbindung, auf der die öffentlichen Adressen erreichbar sind, auch als erste im Loadbalancer-Bündel stehen muß.Ist es nicht möglich, dass wir diesen einzigen Kunden z.b. an das DSL1 mit seiner öffentlichen IP binden und wenn ja wie?
Desweiteren müssen (wie auch schon gesagt) die öffentlichen Adressen in der DMZ konfiguriert werden - d.h. auch, daß das LANCOM eine der Adressen selbst benötigt, welche dem Kunden dann natürlich nicht mehr zur Verfügung steht...
Dann ist der Kunde unter seinen öffentlichen Adressen erreichbar, kann aber selbst auch das Loadbalancing (z.B. beim Surfen) nutzen. Wenn er auch "abgehend" nur die öffentlichen Adressen verwenden will, dann geht das - wie auch schon oben erklärt - über policy based Routing - dann ist er aber auf die eine Verbindung "festgenagelt".
Jetzt stellt sich nur noch die Frage, wie der Kunde "an seine Adressen" kommt, wenn er nicht direkt an die DMZ angebunden ist, sondern selbst wieder einen Router einsetzt.
Wenn dieser Router ein LANCOM ist, dann ist das recht Trivial: Der Kunde muß nur auf der LAN und der WAN-Seite das gleiche Netz einrichten und den 1811 als Gateway eintragen. Dann macht der das LANCOM auf der WAN-Seite ein Proxy-ARP für das LAN-Netz.
Wenn es ein anderer Router ist, dann wird es u.U. schwierig, wenn dieser Router WAN-seitiges Proxy-ARP nicht beherrscht. Dann bleibt dir nur übrig, den PPPoE-Server deines 1811 zu verwenden und das Netz zusätzlich zur DMZ auch auf eine PPPoE-Strecke zu legen über die sich der Kunde dann beim LANCOM einwählt. Desweiteren mußt du dann noch Proxy-ARP im 1811 aktivieren.
Gruß
Backslash