Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
linksaussen
Beiträge: 20
Registriert: 15 Dez 2020, 09:45

Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Beitrag von linksaussen »

Hallo zusammen,

ich habe folgende Situation:

Ich nutze einen Lancom 1783VA mit einem davor geschaltetem Glasfasermodem. Das Glasfasermodem ist via IPoE mit dem Lancom Router an ETH4 Port verbunden. Die Konfiguartion läuft einwandfrei. Folgendes Transfernetz ist konfiguriert:

Transfernetz:
IP-Adresse: 84.21.184.38
Netzmaske: 255.255.255.252
Gateway: 84.21.184.33
DNS-Server: 8.8.4.4, 8.8.8.8

Nun habe ich einen zweite öffentliche IP beim Provider beantragt und erhalten:

Zusatznetz:
Netz-IP: 84.21.184.122
Netzmaske: 255.255.255.254

Der Provider routet nun alles, was an die neue (zweite) öffentliche IP geht, auf das Transfernetz (alte) erste öffentliche IP 84.21.184.38

Sinn der zweiten öffentlichen IP ist, dass ich intern im Haus eine User-Gruppe A habe, die mit der ersten öffentlichen IP im Internet erreichbar sein sollen und eine zweite User-Gruppe B mit der neuen (zweiten) öffentlichen IP erreichbar sind.

Wie muss ich das Ganze konfigurieren?

Besten Dank im voraus!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Beitrag von backslash »

Hi linksaussen
Sinn der zweiten öffentlichen IP ist, dass ich intern im Haus eine User-Gruppe A habe, die mit der ersten öffentlichen IP im Internet erreichbar sein sollen und eine zweite User-Gruppe B mit der neuen (zweiten) öffentlichen IP erreichbar sind.
geht es nur um Portforwardings, oder soll auch der abgehende Traffic der User hinter der jeweiligen IP maskiert werden?

Bei Portforwardings reicht es aus, beim jeweiligen Port-Forwarding die gewünschte Adresse unter "WAN-Adresse" anzugeben. 0.0.0.0 steht dabei für die Adresse des Interfaces (also dein "alte" Adresse), d.h. du mußt nur die Forwardings anpassen, die für der neuen Adresse gelten sollen
Für den abgehenden Traffic mußt du für die User, die hinter der neuen Adresse maskiert werden sollen eine eine Firewallregel erstellen und in deren Aktion "policy basiertes NAT" anhaken, sowie die neue Adresse eintragen. Wenn du bereits einen komplexen Regelsatz hast kannst du es dir einfach machen und an der Regel das Hächen bei "weitere Regeln beachten" setzen und die Regel mit einer hohen Priorität versehen, z.B.

Code: Alles auswählen

Name:      GROUP-B-INTERNET
[x] Diese Regel ist für die Firewall aktiv
[ ] Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) herangezogen
[x] Weitere Regeln beachten, nachdem diese Regel zutrifft
[x] Diese Regel hält Verbidnungszustände nach

Priorität: 9999

Aktion:   Bedingung:
          [x] nur für Deafult Route
          Paket Aktion:
          (*) Übertragen
          [x] Policy basiertes NAT: 84.21.184.122

Quelle:   Adressen der User aus Gruppe B
Ziel:     alle Stationen 
Dienste:  alle Dienste
Damit sorgt die Regel für das NAT und der "Durchfall" auf die weiteren Regeln sorgt dafür, daß dein bisheriger Regelsatz zustätzlich angewandt wird.

Mehr mußt du nicht machen, da der Provider das neue Netz ja schon auf deine alte öffentliche Adresse routet

Gruß
Backslash
linksaussen
Beiträge: 20
Registriert: 15 Dez 2020, 09:45

Re: Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Beitrag von linksaussen »

Hi backslash,

vielen Dank für die schnelle Antwort. Alledings geht es nicht um die Variante mit Portforwarding.
Kannst du die zweite Variante noch einmal genauer beschreiben?


Vieln Dank!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Beitrag von backslash »

Hi linksaussen,

was soll ich da noch genauer beschreiben? wie du in LANcomnfig eine Fierwallregel anlegst? Das steht im Handbuch...
Abgesehen davon entält die Regel, die ich gepostet habe, die Elemente so wie sie von LANconfig benamt sind. Einfach auf Firewall/Qos -> IPv4-Regeln -> Regeln -> Hinzufügen klicken, dann siehst du eigentlich alles...
Den Rest - also, die IPs, die in der Gruppe sind, hinzufügen solltest du hinbekommen... sinnvollerweise gruppiert du diese in einem eigenen Stations-Objekt, damit du sie u.U. in meherern Regeln referenzieren kannst.

Gruß
Backslash
linksaussen
Beiträge: 20
Registriert: 15 Dez 2020, 09:45

Re: Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Beitrag von linksaussen »

Hallo backslash,

das mit der Firewall Regel für den ausgehenden Verkehr hat wunderbar funktioniert. Vielen Dank dafür.
Ich habe aber noch einen Frage zum eingehenden Verkehr: du schreibst von Portforwarding, aber ich möchte, dass halt alles, was über die neue öffentlche IP Adresse 84.21.184.122 geht, an die Nutzergruppe B weitergeleitet wird, ohne für jeden Port eine Weiterleitung anzulegen.
Und alles was über die alte öffentliche IP 84.21.184.38 geht, an die Nutzergruppe A geht.

Gibt es da Möglichkeiten?

Gruß und vielen Dank!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zwei fest öffentliche IP mit einem vorgeschalteten FTTH Modem

Beitrag von backslash »

Hi linksaussen,
aber ich möchte, dass halt alles, was über die neue öffentlche IP Adresse 84.21.184.122 geht, an die Nutzergruppe B weitergeleitet wird, ohne für jeden Port eine Weiterleitung anzulegen.
Und alles was über die alte öffentliche IP 84.21.184.38 geht, an die Nutzergruppe A geht.
Einkommende Pakete gehen entweder an die Adrdesse desjenigen, der die Session von *innen* initiiert hat oder an den, der in der Port-Fotwarding-Tabelle eingetragen ist. Darin kannst aber nur an *EINE* IP-Adresse weiterleiten und das halt nur für jeweils *EINEN* Port oder Port-Bereich. Eine Weiterleitung an Gruppen ist NICHT prinzipiell möglich (Grundlagen TCP/IP).

Gruß
Backsalsh
Antworten