30
LANCOM mit öffentlichem Transfernetz
Hallo Administrator Forum,
Wir hatten immer zwei voneinander getrennte Internetanschlüsse, diese wurden jetzt zu einem schnellen FTTX Anschluss zusammengefasst. Wir haben nun von unserem ISP ein Transfernetz mit 6 öffentlichen IP-Adressen zugewiesen bekommen, dieses muss jetzt an die zwei vorhandenen Router verteilt werden. Ich habe einen Lancom 1790EF besorgt und auch „grundlegend“ konfiguriert. Der 1790EF verteilt jetzt das Transfernetz via DHCP (die zwei angeschlossenen Router laufen über Reservierung.) und auch das Internet (ausgehender Traffic) geht!
Jetzt ist meine Frage.
Wie bekomme ich es hin, dass der gesamte eingehende Traffic ungehindert und 1 zu 1 durchleitet wird? Sprich
- INTERNET ->
WAN IP: 19.XXX.XXX.XXX ->
LANCOM 1790EF ->
Transfernetz 212.XXX.XXX.X21 -> Router 01
Transfernetz 212.XXX.XXX.X22 -> Router 02
Vielen Dank für euere Hilfe
Wir hatten immer zwei voneinander getrennte Internetanschlüsse, diese wurden jetzt zu einem schnellen FTTX Anschluss zusammengefasst. Wir haben nun von unserem ISP ein Transfernetz mit 6 öffentlichen IP-Adressen zugewiesen bekommen, dieses muss jetzt an die zwei vorhandenen Router verteilt werden. Ich habe einen Lancom 1790EF besorgt und auch „grundlegend“ konfiguriert. Der 1790EF verteilt jetzt das Transfernetz via DHCP (die zwei angeschlossenen Router laufen über Reservierung.) und auch das Internet (ausgehender Traffic) geht!
Jetzt ist meine Frage.
Wie bekomme ich es hin, dass der gesamte eingehende Traffic ungehindert und 1 zu 1 durchleitet wird? Sprich
- INTERNET ->
WAN IP: 19.XXX.XXX.XXX ->
LANCOM 1790EF ->
Transfernetz 212.XXX.XXX.X21 -> Router 01
Transfernetz 212.XXX.XXX.X22 -> Router 02
Vielen Dank für euere Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4786914498
Url: https://administrator.de/contentid/4786914498
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
30 Kommentare
Neuester Kommentar
Hi,
wofür soll denn das Transfernetz sein?
Gruß,
Thomas
wofür soll denn das Transfernetz sein?
Gruß,
Thomas
Hallo Thomas,
damit Router 1 und Router 2 eine eigene öffentlich erreichbare IP-Adresse bekommt.
Danke für eine Antwort !
damit Router 1 und Router 2 eine eigene öffentlich erreichbare IP-Adresse bekommt.
Danke für eine Antwort !
Hallo,
warum ersetzt du den vorgeschalteten Router nicht durch einen Billig-Switch und konfiguriert die gewünschten IPs auf den beiden WAN-Schnittstellen der Router?
Jürgen
warum ersetzt du den vorgeschalteten Router nicht durch einen Billig-Switch und konfiguriert die gewünschten IPs auf den beiden WAN-Schnittstellen der Router?
Jürgen
Du willst also Art DMZ einrichten, damit alles dumpf durchgeht oder wie?
Der öffentliche IP Block liegt doch schon an. Ein Switch würde doch hier alle Adresse im öffentlichen Netzwerk vorhalten. Entsprechend geht der Traffic an die Endstelle (Router) die die entsprechende IP hat. Bei Problemem mit den Anschluss sind doch eh alle nicht erreichbar.
Der öffentliche IP Block liegt doch schon an. Ein Switch würde doch hier alle Adresse im öffentlichen Netzwerk vorhalten. Entsprechend geht der Traffic an die Endstelle (Router) die die entsprechende IP hat. Bei Problemem mit den Anschluss sind doch eh alle nicht erreichbar.
Der öffentliche IP Block liegt doch schon an.
Kollege @Crusher79 hat hier Recht. Normal gibt man jedem Router eine WAN IP aus diesem Kontingent und fertisch.Den LAN Port der Router konfiguriert man dann immer redundant als VRRP Verbund mit einer virtuellen IP und fertig ist der Lack. Ein simples Standarddesign. (Siehe hier).
Du denkst vermutlich viel zu kompliziert?!
Hallo Jürgen,
die WAN IP-Adresse am LANCOM (19.XXX.XXX.XXX) ist "nur" der nächste Hop und hat mit meinen öffentlichen IP-Adressen nicht zu tun. Das /29er-Netz ist vom ISP vorgegeben. Traffic für meine zwei „Haupt“ Router(212.XXX.XXX.X21 und 212.XXX.XXX.X22) wird von ISP direkt in das /29 Netz geroutet.
Danke für eine Antwort !
die WAN IP-Adresse am LANCOM (19.XXX.XXX.XXX) ist "nur" der nächste Hop und hat mit meinen öffentlichen IP-Adressen nicht zu tun. Das /29er-Netz ist vom ISP vorgegeben. Traffic für meine zwei „Haupt“ Router(212.XXX.XXX.X21 und 212.XXX.XXX.X22) wird von ISP direkt in das /29 Netz geroutet.
Danke für eine Antwort !
Ich schließe mich den vor Postern an, meine Lösung war auch immer ein einfacher Switch am FTTX. Dann an die Ports die Router, die jeweils eine statische öffentliche IP auf dem WAN Interface bekommen, Gateway entsprechend das vom Provider.
Ist dann auch einfacher wenn man später mal zwei IP-Blöcke bekommt (wo man dann auch ggf. zwei Gateways hat) dann kann man die Router entsprechend auf die IP/Gateways aufteilen.
Falls es nur wegen dem internen SFP ist, da gibt´s auch Switches für.
Übrigens, der Switch muss auch nicht konfiguriert werden.
Ist dann auch einfacher wenn man später mal zwei IP-Blöcke bekommt (wo man dann auch ggf. zwei Gateways hat) dann kann man die Router entsprechend auf die IP/Gateways aufteilen.
Falls es nur wegen dem internen SFP ist, da gibt´s auch Switches für.
Übrigens, der Switch muss auch nicht konfiguriert werden.
Die ganz normale Konstruktion ist ISP-Router => Switch => Kundengeräte. So kenne ich es von unseren ISP seit sehr langer Zeit, egal ob an den Standorten oder im RZ.
An einem unserer wichtigsten Standorte nutz ich sogar nur nen 10€ Plastikswitch von Netgear.
Der LANCOM muss raus aus der Konstruktion, der kann dann als Kundengerät hinter dem Switch betrieben werden.
An einem unserer wichtigsten Standorte nutz ich sogar nur nen 10€ Plastikswitch von Netgear.
Der LANCOM muss raus aus der Konstruktion, der kann dann als Kundengerät hinter dem Switch betrieben werden.
Neben Redundanz gibt es noch eine weitere Überlegung: Einige haben spezielle Verträge mit Laboren o.ä. die einen VPN Tunnel über eigene Hardware aufbauen. Da muss dann nur eine IP aus der Range konfiguriert werden und der Tunnel steht. Hinten raus über VLANs an die entprechenden Server geleitet.
Der Switch kann klein sein und unmanaged. Muss er aber nicht. Man kann zum managen bei guten Modellen ein VLAN wählen. Will sagen: Öffentliches Netz außen vorgelassen und 1x Port + Manage VLAN zum Überwachen nehmen. Trennung wird beibehalten und man hat dennoch die Kontrolle über die Hardware.
Der Switch kann klein sein und unmanaged. Muss er aber nicht. Man kann zum managen bei guten Modellen ein VLAN wählen. Will sagen: Öffentliches Netz außen vorgelassen und 1x Port + Manage VLAN zum Überwachen nehmen. Trennung wird beibehalten und man hat dennoch die Kontrolle über die Hardware.
Zitat von @tikayevent:
Die ganz normale Konstruktion ist ISP-Router => Switch => Kundengeräte. So kenne ich es von unseren ISP seit sehr
Die ganz normale Konstruktion ist ISP-Router => Switch => Kundengeräte. So kenne ich es von unseren ISP seit sehr
Ich gebe euch alle grundlegend recht und am liebsten würde ich es auch so lösen. Fakt ist aber, dass ich keinen ISP Router hab! Der ONT ist lediglich eine ETH-Schnittstelle. Wenn ich meinen Laptop anschließe, bekomme ich (aussage vom ISP) eine IP-Adresse (19.XXX.XXX.XXX). Diese kann ich auch von EXTERN anpingen. Zeihe ich das Kabel ab, ist der Ping auch weg. Wenn ich jetzt einen Switch nehmen und die IP-Adressen (212.XXX.XXX.XXX) verteile haben ich ja keine Standartgatey... oder sehe ich das was falsch ??
Mein Router wäre ja dann „quasi“ der ISP Router...
Meine öffentlichen IP-Adressen 212.XXX.XXX.X21 bis XXX.X26 sind dann über die 19.XXX.XXX.XXX erreichbar
Vielen Dank für euere Antworten
Dh. der ISP macht hier ein NAT?
Was hat es mit der 19er IP auf sich, ist es wirklich eine 19er (öffentlich) oder eine 192er (privat)?
Aber wenn sich diese von Extern anpingen lässt so muss es eine öffentliche sein. Dann machen aber die 212er kein Sinn.
Das Standartgateway steht in dem Fall im Netz, ist der Providerrouter oder die erste IP deines /29er Subnetz.
Was ist das für ein ISP?
Was hat es mit der 19er IP auf sich, ist es wirklich eine 19er (öffentlich) oder eine 192er (privat)?
Aber wenn sich diese von Extern anpingen lässt so muss es eine öffentliche sein. Dann machen aber die 212er kein Sinn.
Das Standartgateway steht in dem Fall im Netz, ist der Providerrouter oder die erste IP deines /29er Subnetz.
Was ist das für ein ISP?
Noch was:
Ich habe nun mal als Block 212.0.0.121/29 eingesetzt.
Somit wäre die:
Subnetzadresse: 212.0.0.120
Broadcastadresse: 212.0.0.127
Und die benutzbaren IPs:
212.0.0.121 - 212.0.0.126
Das macht für mich aber so keinen Sinn, da, wie du schon gemerkt hast, das Gateway fehlt.
Welches Gateway stellt denn der Provider zur Verfügung? Anders gehts eben nicht.
Ich habe nun mal als Block 212.0.0.121/29 eingesetzt.
Somit wäre die:
Subnetzadresse: 212.0.0.120
Broadcastadresse: 212.0.0.127
Und die benutzbaren IPs:
212.0.0.121 - 212.0.0.126
Das macht für mich aber so keinen Sinn, da, wie du schon gemerkt hast, das Gateway fehlt.
Welches Gateway stellt denn der Provider zur Verfügung? Anders gehts eben nicht.
Der Endpunkt der beim Kunden terminiert ist doch innerhalb der Range. Deswegen reduziert ja entsprechend die Anzahl der verfügbaren Host.
Alle IPs in der Range bekommen das selbe GW. Die IP müsste doch auch in der Range sein. Länger her bei mir - war EWE. Laptop ging auch direkt zum Testen, wenn man PUblic IP und Gateway gesetzt hat. Was bei einen Gerät geht, sollte bei den anderen genaus funktionieren.
Oder wir reden aneinander vorbei. Netze werden mit Routern verbunden. Ein Beinchen steht doch immer in einen Netz.
19.x.x.x.x ggf. das falsche Beinchen erwischt? Finde gerade kein schönes Bild hierzu.
Alle IPs in der Range bekommen das selbe GW. Die IP müsste doch auch in der Range sein. Länger her bei mir - war EWE. Laptop ging auch direkt zum Testen, wenn man PUblic IP und Gateway gesetzt hat. Was bei einen Gerät geht, sollte bei den anderen genaus funktionieren.
Oder wir reden aneinander vorbei. Netze werden mit Routern verbunden. Ein Beinchen steht doch immer in einen Netz.
19.x.x.x.x ggf. das falsche Beinchen erwischt? Finde gerade kein schönes Bild hierzu.
Crusher79, sehe ich auch so, ich Rätsel auch schon die ganze Zeit 
Ich denke, wir haben beide die gleiche Sichtweise. Jedenfalls läuft´s so auch am Telekom Netz mit zwei Ranges also zwei Gateways.
Ist aber meines Wissens immer so, die erste IP der Range ist das Gateway zum/vom Provider.
Evtl. meldet sich ja der Fragensteller nochmal.
Ich denke, wir haben beide die gleiche Sichtweise. Jedenfalls läuft´s so auch am Telekom Netz mit zwei Ranges also zwei Gateways.
Ist aber meines Wissens immer so, die erste IP der Range ist das Gateway zum/vom Provider.
Evtl. meldet sich ja der Fragensteller nochmal.
Auch ohne ISP-Router geht es so. Hier am Standort hab ich einen RAD ETX, dass ist auch einfach nur ein ONT/verwaltbarer 4-Port-Switch, der dem ISP gehört. Billig-Switch dran, fertig. Der eigentliche ISP-Router steht 39,7km entfernt in Bochum.
Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?
Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?
Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
1
Normal sollte auch wo stehen, welche IPs man verwenden darf. Da aus bekannten Gründen ja schon einige rausfallen müssen. Es sei denn Provider Endgerät fehlt und man das mit Lancom nach?
Irgendwas fehlt hier oder stimmt nicht.
Irgendwas fehlt hier oder stimmt nicht.
Das ist dann so klassisch mit deinen 2 Lancoms nicht möglich denn du hast aus dem 19er Provider Netz ja nur ein einziges Übergabe Interface. Du hast dann lediglich nur ein öffentliches /29er Segment vom Provider dazubekommen. Dafür reicht dann eigentlich ein Lancom bzw. du müsstest eine separate Firewall oder einen Router beschaffen der die Glasfaserverbindung realisiert und die 2 Lancoms dann wie oben im redundanten VRRP Verbund konfigurieren.
Ein klassisches Design dazu sähe dann z.B. so aus:
Ein singulärer Router wäre dann aber wieder ein single Point of Failure. OK, wenn du damit leben kannst.
Ein klassisches Design dazu sähe dann z.B. so aus:
Naja, man könnte zwei Lancoms über den von Crusher79 und mir erwähnten Switch betreiben,
der eine hat dann bspw.:
212.0.0.122 - WAN IP Router 1
212.0.0.121 - GATEWAY Router 1
212.0.0.123 - WAN IP Router 2
212.0.0.121 - GATEWAY Router 2
oder wie aqui schreibt alles in einen Router einrichten und dann intern auf die LAN Segmente / VLANS verteilen.
Dann fällt aber alles aus wenn dieser Router was hat. Anderseits ist das Provider Gerät, der Switch usw. auch nicht unbedingt redundant.
der eine hat dann bspw.:
212.0.0.122 - WAN IP Router 1
212.0.0.121 - GATEWAY Router 1
212.0.0.123 - WAN IP Router 2
212.0.0.121 - GATEWAY Router 2
oder wie aqui schreibt alles in einen Router einrichten und dann intern auf die LAN Segmente / VLANS verteilen.
Dann fällt aber alles aus wenn dieser Router was hat. Anderseits ist das Provider Gerät, der Switch usw. auch nicht unbedingt redundant.
Naja, man könnte zwei Lancoms über den von Crusher79 und mir erwähnten Switch betreiben,
Dann fehlt aber noch ein Router/Firewall der den Provider Zugang realisiert. Nur mit dem Switch wird das logischerweise nichts. Der Provider routet das 212er Kunden IP Netz des TO über die feste 19er IP Adresse die er dem Kunden statisch vergibt. Ein redundantes Routing ist damit unmöglich.Ein redundantes Design bekommt der TO nur mit einem 2. Internet Zugang hin.
Kommt der aber dann von einem anderen Provider ist das 212er Netz obsolet, weil das ausschliesslich nur über den ersten Provider geroutet wird. Das darf er in dem Falle dann nicht verwenden!
1Zitat von @tikayevent:
Auch ohne ISP-Router geht es so. Hier am Standort hab ich einen RAD ETX, dass ist auch einfach nur ein ONT/verwaltbarer 4-Port-Switch, der dem ISP gehört. Billig-Switch dran, fertig. Der eigentliche ISP-Router steht 39,7km entfernt in Bochum.
Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?
Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
Auch ohne ISP-Router geht es so. Hier am Standort hab ich einen RAD ETX, dass ist auch einfach nur ein ONT/verwaltbarer 4-Port-Switch, der dem ISP gehört. Billig-Switch dran, fertig. Der eigentliche ISP-Router steht 39,7km entfernt in Bochum.
Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?
Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
Genau das, ist es... klappt aber nicht. NAT/Maskierung und Firewall ist aus. Traffic raus, geht Traffic rein, nicht.
Laut LANCOM Support soll ich das 212.XXX.XXX.XXX Netz als DMZ deklarieren, dann geht aber gar nichts mehr.
Das klingt grad alles etwas durcheinander. Wieso das externe Netz als DMZ?
Das nennt sich im Falle Lancom INTERNET, das interne INTRANET.
Das nennt sich im Falle Lancom INTERNET, das interne INTRANET.
Das ist der Lösungsansatz von LANCOM.
Ich habe ja "LAN" seitig ein öffentliches Netz.
Der Lancom muss stumpf, einfach alles durch Routen.
Ich habe ja "LAN" seitig ein öffentliches Netz.
Der Lancom muss stumpf, einfach alles durch Routen.
Dann hast du in deiner Konfiguration noch irgendeinen Fehler, weil sowas hab ich schon gebaut und es hat funktioniert.
Dafür benötige ich dann aber tieferen Einblick in deine Konfiguration, um näheres sagen zu können.
Dafür benötige ich dann aber tieferen Einblick in deine Konfiguration, um näheres sagen zu können.
Musst du erst wählen, z. B. um per pppoe online zu kommen, damit der ISP dir das Netz Routen kann?
Ist das mit den zwei Routern für das selbe öffentlich Netz wirklich gut überlegt?
Ansonsten musst du NATen.
Ist das mit den zwei Routern für das selbe öffentlich Netz wirklich gut überlegt?
Ansonsten musst du NATen.
klappt aber nicht.
War zu erwarten...Der Lancom muss stumpf, einfach alles durch Routen.
Tut er ja auch! Er routet stumpf alles aus dem weltweiten Internet über das 19er Providernetz auf das dir zugeteilte 212er Netz.Klassisches IP Routing und works as designed. Wo ist jetzt dein Problem??
Jetzt verstehe ich das auch, war anfangs etwas falsch ausgedrückt.
Aber Routen kann man auch auf dem WAN setzen...
Aber Routen kann man auch auf dem WAN setzen...
...das ist dann aber außerhalb des Einflussbereiches des TO und muss der Provider machen! 😉
Oh man. Wir werfen mit so vielen IPs umher 
Aber sind wir sicher, dass die Richtung stimmt? Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.
Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends. Ggf. könnte man dann noch was ableiten. Auch wenn es vermutlich techn. nur Weg A zu geben scheint. Frag mich nur, ob wir was übersehen.
Aber sind wir sicher, dass die Richtung stimmt? Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends. Ggf. könnte man dann noch was ableiten. Auch wenn es vermutlich techn. nur Weg A zu geben scheint. Frag mich nur, ob wir was übersehen.
Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.
Dazu hat der TO bis dato ja noch keine belastbare Aussage gemacht was letztlich ja diese Grauzone bewirkt. Das Einzige was wir wissen ist das er mit einem Endgerät, was eine dynamische Client Adressierung hat, dort vom Provider eine 19.x.x.x Netzwerkadresse bekommt.Diese müsste, wie oben bereits gesagt, aber zwingend immer die gleiche IP sein, denn ohne eine feste, quasi statische IP wäre ein Routing, in das für ihn bereitgestellte 212er Netz, aus Sicht des Providers nicht möglich.
Diese 19er IP ist ja für den Provider das feste Gateway zum Routen des 212er Kundennetzes des TOs.
Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends.
Stimmt. Das zwingt uns hier alle etwas zur Kristallkugelei. Möglich wäre theoretisch auch das er aufgrund einer ID, Login Credentials oder was auch immer, direkt vom Provider eine IP aus dem 212er IP Netz bekommt. Wäre bei FTTB zwar sehr ungewöhnlich aber zumindestens denkbar.Frag mich nur, ob wir was übersehen.
Wie du schon sehr treffend sagst ist das wohl nur möglich wenn man die gebuchten Anschlussoptionen kennt. Etwas mehr Infos zu dieser Thematik wären dann da in der Tat hilfreich um eine zielführende Lösung zu finden.
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
