Hi zusammen,
wir haben bei uns zwei 1906VA-4G Router die jeweils eine eigene Internet-Leitung haben. Per Ethernet sind die Geräte im gleichen Subnet,
Gerät1 -> 10.10.10.1 / 24
Gerät2 -> 10.10.10.2 / 24
Es ist eine virtuelle Router-IP konfiguriert:
VRRP -> 10.10.10.99
und es funktioniert alles wie gewünscht, Gerät1 hat die höhere Prio, wenn Gerät1 jedoch wegfällt übernimmt Gerät2.
Jedoch funktioniert es nicht, wenn ich z.B. an einem Gerät im selben Subnet die IP 10.10.10.2 als Default GW einrichte, hier wird ebenfalls über Gerät1 geroutet. Erst wenn ich VRRP ausschalte wird über Gerät2 geroutet.
Genauso verhält es sich mit Port-Forwarding aus dem Internet auf Gerät2. Ein Port-Forwarding auf die externe IP von Gerät2 an ein internes Gerät 10.10.10.30 Port 80 funktioniert bei ausgeschaltetem VRRP, wenn dieses jedoch aktiviert ist geht's nicht. Vermutlich weil das Rück-Paket die Route über Gerät 2 nimmt und somit von einer anderen IP kommt.
Hat vielleicht jemand von euch eine Idee wie man das konfiguriert?
Vielen Dank und Gruß,
Jan
VRRP nutzen und dennoch phys. IP als GW nutzen
Moderator: Lancom-Systems Moderatoren
Re: VRRP nutzen und dennoch phys. IP als GW nutzen
Ja, mit zwei VRRP-Routern arbeiten.
Der erste phy. Router hat die Priorität für die erste VRRP-Gruppe und der zweite phy. Router für die zweite VRRP-Gruppe.
Und schau dir mal in der LANCOM-Doku zum Thema VRRP die Sonderstellung der Priorität 255 an.
Der erste phy. Router hat die Priorität für die erste VRRP-Gruppe und der zweite phy. Router für die zweite VRRP-Gruppe.
Und schau dir mal in der LANCOM-Doku zum Thema VRRP die Sonderstellung der Priorität 255 an.
LCS NC/WLAN
Re: VRRP nutzen und dennoch phys. IP als GW nutzen
Hi,
vielen Dank für die Hilfe - genau der Funke hat mir gefehlt, mit einem zweiten VRRP-Router funktioniert es einwandfrei
Kann mir ggf. noch jemand damit helfen, wie ich bei einer Port-Weiterleitung vom Internet auf einen lokalen Server am LanCom NATte?
Konnte hierzu leider nichts passendes finden. Benötigt wird:
Client mit public IP -> LANCOM (public IP, PORT 80) -> Nat auf LanCom-Interne IP -> WebserverIP Port 80
Vielen Dank,
Jan
vielen Dank für die Hilfe - genau der Funke hat mir gefehlt, mit einem zweiten VRRP-Router funktioniert es einwandfrei
Kann mir ggf. noch jemand damit helfen, wie ich bei einer Port-Weiterleitung vom Internet auf einen lokalen Server am LanCom NATte?
Konnte hierzu leider nichts passendes finden. Benötigt wird:
Client mit public IP -> LANCOM (public IP, PORT 80) -> Nat auf LanCom-Interne IP -> WebserverIP Port 80
Vielen Dank,
Jan
Re: VRRP nutzen und dennoch phys. IP als GW nutzen
Hi janw.zc
Gruß
Backslash
das ist doch ein ganz normales Port-Foirwarding - oder willst du, daß die öffentlichge IP des Clients für den WEB-Servers wie die IP des LANCOMs aussieht? Das geht allerdings nicht - wozu auch, du willst doch eigentlich wissen, wer auf deinen WEB-Server zugreift. Und wenn der nur einen Zugriff aus dem lokalen Netz zuläßt, dann deaktiviere einfach seine Firewall - das ändert rein gar nichts, weil ja durch das gewünschte NAT eh JEDER auf den Server zugreifen könnteClient mit public IP -> LANCOM (public IP, PORT 80) -> Nat auf LanCom-Interne IP -> WebserverIP Port 80
Gruß
Backslash
Re: VRRP nutzen und dennoch phys. IP als GW nutzen
Hi Backslash,
danke für deine Antwort - genau das war mein Plan. Wir haben nämlich ein netz 192.168.1.* welches über eine Firewall, die auch eine IP im Netz 10.10.10.0/24 hat, geroutet wird. Wenn aus dem 192.168.1.* - Netz ein Paket nach draußen geht dann über die Firewall, wo als Gateway die 10.10.10.99 (VRRP Router) eingetragen ist. Wenn nun aber über Gerät 2 etwas von draußen reinkommt auf ein Server-Netz hinter der FW, wird das Paket über Gerät 1 zurückgeroutet, da hier das Default-GW für Internet-IPs liegt.
Wenn ich eine Anfrage von Gerät 2 aus dem Internet natten würde, würde die Rückroute über dieses Gerät auch wieder gehen, da das Netz 10.10.10.2 / 24 ja lokal connected ist.
Ggf. versuche ich das aber auch falsch zu lösen.
Gruß,
Jan
danke für deine Antwort - genau das war mein Plan. Wir haben nämlich ein netz 192.168.1.* welches über eine Firewall, die auch eine IP im Netz 10.10.10.0/24 hat, geroutet wird. Wenn aus dem 192.168.1.* - Netz ein Paket nach draußen geht dann über die Firewall, wo als Gateway die 10.10.10.99 (VRRP Router) eingetragen ist. Wenn nun aber über Gerät 2 etwas von draußen reinkommt auf ein Server-Netz hinter der FW, wird das Paket über Gerät 1 zurückgeroutet, da hier das Default-GW für Internet-IPs liegt.
Wenn ich eine Anfrage von Gerät 2 aus dem Internet natten würde, würde die Rückroute über dieses Gerät auch wieder gehen, da das Netz 10.10.10.2 / 24 ja lokal connected ist.
Ggf. versuche ich das aber auch falsch zu lösen.
Gruß,
Jan
Re: VRRP nutzen und dennoch phys. IP als GW nutzen
Hi janw.zc,
das mußt du aber an der Firewall lösen... Die muß wissen, daß sie Traffic vom Web-Server nur zur physikalischen Adresse des LANCOMs routen darf...
Ansonsten gibt es natürlich noch die Möglichkeit am LANCOM eine maskierte IPOE-WAN-Verbindung für den Traffic zum WEB-Server aufzubauen (die nutzt dann eine weitere IP-Adresse aus dem LAN und MUSS in jedem Fall auch eine eigene MAC-Adresse verwenden). Das ist aber eine Krude Lösung, insbesondere, weil du da aufpassen mußt, keine Schleifen zu bauen - schließlich hängst du bei der Lösung zwei Etnernet-Ports des LANCOMs an einen Switch. Dann kannst du mit Routing-Tags und Firewall-Regeln den Traffic für den WEB-Server auf die IPOE-Verbindung schicken. Hier wäre das Stichwort dann "policy based routing"
Gruß
Backslash
das mußt du aber an der Firewall lösen... Die muß wissen, daß sie Traffic vom Web-Server nur zur physikalischen Adresse des LANCOMs routen darf...
Ansonsten gibt es natürlich noch die Möglichkeit am LANCOM eine maskierte IPOE-WAN-Verbindung für den Traffic zum WEB-Server aufzubauen (die nutzt dann eine weitere IP-Adresse aus dem LAN und MUSS in jedem Fall auch eine eigene MAC-Adresse verwenden). Das ist aber eine Krude Lösung, insbesondere, weil du da aufpassen mußt, keine Schleifen zu bauen - schließlich hängst du bei der Lösung zwei Etnernet-Ports des LANCOMs an einen Switch. Dann kannst du mit Routing-Tags und Firewall-Regeln den Traffic für den WEB-Server auf die IPOE-Verbindung schicken. Hier wäre das Stichwort dann "policy based routing"
Gruß
Backslash