LANCOM mit öffentlichem Transfernetz
Hallo Administrator Forum,
Wir hatten immer zwei voneinander getrennte Internetanschlüsse, diese wurden jetzt zu einem schnellen FTTX Anschluss zusammengefasst. Wir haben nun von unserem ISP ein Transfernetz mit 6 öffentlichen IP-Adressen zugewiesen bekommen, dieses muss jetzt an die zwei vorhandenen Router verteilt werden. Ich habe einen Lancom 1790EF besorgt und auch „grundlegend“ konfiguriert. Der 1790EF verteilt jetzt das Transfernetz via DHCP (die zwei angeschlossenen Router laufen über Reservierung.) und auch das Internet (ausgehender Traffic) geht!
Jetzt ist meine Frage.
Wie bekomme ich es hin, dass der gesamte eingehende Traffic ungehindert und 1 zu 1 durchleitet wird? Sprich
- INTERNET ->
WAN IP: 19.XXX.XXX.XXX ->
LANCOM 1790EF ->
Transfernetz 212.XXX.XXX.X21 -> Router 01
Transfernetz 212.XXX.XXX.X22 -> Router 02
Vielen Dank für euere Hilfe
Wir hatten immer zwei voneinander getrennte Internetanschlüsse, diese wurden jetzt zu einem schnellen FTTX Anschluss zusammengefasst. Wir haben nun von unserem ISP ein Transfernetz mit 6 öffentlichen IP-Adressen zugewiesen bekommen, dieses muss jetzt an die zwei vorhandenen Router verteilt werden. Ich habe einen Lancom 1790EF besorgt und auch „grundlegend“ konfiguriert. Der 1790EF verteilt jetzt das Transfernetz via DHCP (die zwei angeschlossenen Router laufen über Reservierung.) und auch das Internet (ausgehender Traffic) geht!
Jetzt ist meine Frage.
Wie bekomme ich es hin, dass der gesamte eingehende Traffic ungehindert und 1 zu 1 durchleitet wird? Sprich
- INTERNET ->
WAN IP: 19.XXX.XXX.XXX ->
LANCOM 1790EF ->
Transfernetz 212.XXX.XXX.X21 -> Router 01
Transfernetz 212.XXX.XXX.X22 -> Router 02
Vielen Dank für euere Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4786914498
Url: https://administrator.de/forum/lancom-mit-oeffentlichem-transfernetz-4786914498.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
30 Kommentare
Neuester Kommentar
Du willst also Art DMZ einrichten, damit alles dumpf durchgeht oder wie?
Der öffentliche IP Block liegt doch schon an. Ein Switch würde doch hier alle Adresse im öffentlichen Netzwerk vorhalten. Entsprechend geht der Traffic an die Endstelle (Router) die die entsprechende IP hat. Bei Problemem mit den Anschluss sind doch eh alle nicht erreichbar.
Der öffentliche IP Block liegt doch schon an. Ein Switch würde doch hier alle Adresse im öffentlichen Netzwerk vorhalten. Entsprechend geht der Traffic an die Endstelle (Router) die die entsprechende IP hat. Bei Problemem mit den Anschluss sind doch eh alle nicht erreichbar.
Der öffentliche IP Block liegt doch schon an.
Kollege @Crusher79 hat hier Recht. Normal gibt man jedem Router eine WAN IP aus diesem Kontingent und fertisch.Den LAN Port der Router konfiguriert man dann immer redundant als VRRP Verbund mit einer virtuellen IP und fertig ist der Lack. Ein simples Standarddesign. (Siehe hier).
Du denkst vermutlich viel zu kompliziert?!
Ich schließe mich den vor Postern an, meine Lösung war auch immer ein einfacher Switch am FTTX. Dann an die Ports die Router, die jeweils eine statische öffentliche IP auf dem WAN Interface bekommen, Gateway entsprechend das vom Provider.
Ist dann auch einfacher wenn man später mal zwei IP-Blöcke bekommt (wo man dann auch ggf. zwei Gateways hat) dann kann man die Router entsprechend auf die IP/Gateways aufteilen.
Falls es nur wegen dem internen SFP ist, da gibt´s auch Switches für.
Übrigens, der Switch muss auch nicht konfiguriert werden.
Ist dann auch einfacher wenn man später mal zwei IP-Blöcke bekommt (wo man dann auch ggf. zwei Gateways hat) dann kann man die Router entsprechend auf die IP/Gateways aufteilen.
Falls es nur wegen dem internen SFP ist, da gibt´s auch Switches für.
Übrigens, der Switch muss auch nicht konfiguriert werden.
Die ganz normale Konstruktion ist ISP-Router => Switch => Kundengeräte. So kenne ich es von unseren ISP seit sehr langer Zeit, egal ob an den Standorten oder im RZ.
An einem unserer wichtigsten Standorte nutz ich sogar nur nen 10€ Plastikswitch von Netgear.
Der LANCOM muss raus aus der Konstruktion, der kann dann als Kundengerät hinter dem Switch betrieben werden.
An einem unserer wichtigsten Standorte nutz ich sogar nur nen 10€ Plastikswitch von Netgear.
Der LANCOM muss raus aus der Konstruktion, der kann dann als Kundengerät hinter dem Switch betrieben werden.
Neben Redundanz gibt es noch eine weitere Überlegung: Einige haben spezielle Verträge mit Laboren o.ä. die einen VPN Tunnel über eigene Hardware aufbauen. Da muss dann nur eine IP aus der Range konfiguriert werden und der Tunnel steht. Hinten raus über VLANs an die entprechenden Server geleitet.
Der Switch kann klein sein und unmanaged. Muss er aber nicht. Man kann zum managen bei guten Modellen ein VLAN wählen. Will sagen: Öffentliches Netz außen vorgelassen und 1x Port + Manage VLAN zum Überwachen nehmen. Trennung wird beibehalten und man hat dennoch die Kontrolle über die Hardware.
Der Switch kann klein sein und unmanaged. Muss er aber nicht. Man kann zum managen bei guten Modellen ein VLAN wählen. Will sagen: Öffentliches Netz außen vorgelassen und 1x Port + Manage VLAN zum Überwachen nehmen. Trennung wird beibehalten und man hat dennoch die Kontrolle über die Hardware.
Dh. der ISP macht hier ein NAT?
Was hat es mit der 19er IP auf sich, ist es wirklich eine 19er (öffentlich) oder eine 192er (privat)?
Aber wenn sich diese von Extern anpingen lässt so muss es eine öffentliche sein. Dann machen aber die 212er kein Sinn.
Das Standartgateway steht in dem Fall im Netz, ist der Providerrouter oder die erste IP deines /29er Subnetz.
Was ist das für ein ISP?
Was hat es mit der 19er IP auf sich, ist es wirklich eine 19er (öffentlich) oder eine 192er (privat)?
Aber wenn sich diese von Extern anpingen lässt so muss es eine öffentliche sein. Dann machen aber die 212er kein Sinn.
Das Standartgateway steht in dem Fall im Netz, ist der Providerrouter oder die erste IP deines /29er Subnetz.
Was ist das für ein ISP?
Noch was:
Ich habe nun mal als Block 212.0.0.121/29 eingesetzt.
Somit wäre die:
Subnetzadresse: 212.0.0.120
Broadcastadresse: 212.0.0.127
Und die benutzbaren IPs:
212.0.0.121 - 212.0.0.126
Das macht für mich aber so keinen Sinn, da, wie du schon gemerkt hast, das Gateway fehlt.
Welches Gateway stellt denn der Provider zur Verfügung? Anders gehts eben nicht.
Ich habe nun mal als Block 212.0.0.121/29 eingesetzt.
Somit wäre die:
Subnetzadresse: 212.0.0.120
Broadcastadresse: 212.0.0.127
Und die benutzbaren IPs:
212.0.0.121 - 212.0.0.126
Das macht für mich aber so keinen Sinn, da, wie du schon gemerkt hast, das Gateway fehlt.
Welches Gateway stellt denn der Provider zur Verfügung? Anders gehts eben nicht.
Der Endpunkt der beim Kunden terminiert ist doch innerhalb der Range. Deswegen reduziert ja entsprechend die Anzahl der verfügbaren Host.
Alle IPs in der Range bekommen das selbe GW. Die IP müsste doch auch in der Range sein. Länger her bei mir - war EWE. Laptop ging auch direkt zum Testen, wenn man PUblic IP und Gateway gesetzt hat. Was bei einen Gerät geht, sollte bei den anderen genaus funktionieren.
Oder wir reden aneinander vorbei. Netze werden mit Routern verbunden. Ein Beinchen steht doch immer in einen Netz.
19.x.x.x.x ggf. das falsche Beinchen erwischt? Finde gerade kein schönes Bild hierzu.
Alle IPs in der Range bekommen das selbe GW. Die IP müsste doch auch in der Range sein. Länger her bei mir - war EWE. Laptop ging auch direkt zum Testen, wenn man PUblic IP und Gateway gesetzt hat. Was bei einen Gerät geht, sollte bei den anderen genaus funktionieren.
Oder wir reden aneinander vorbei. Netze werden mit Routern verbunden. Ein Beinchen steht doch immer in einen Netz.
19.x.x.x.x ggf. das falsche Beinchen erwischt? Finde gerade kein schönes Bild hierzu.
Crusher79, sehe ich auch so, ich Rätsel auch schon die ganze Zeit
Ich denke, wir haben beide die gleiche Sichtweise. Jedenfalls läuft´s so auch am Telekom Netz mit zwei Ranges also zwei Gateways.
Ist aber meines Wissens immer so, die erste IP der Range ist das Gateway zum/vom Provider.
Evtl. meldet sich ja der Fragensteller nochmal.
Ich denke, wir haben beide die gleiche Sichtweise. Jedenfalls läuft´s so auch am Telekom Netz mit zwei Ranges also zwei Gateways.
Ist aber meines Wissens immer so, die erste IP der Range ist das Gateway zum/vom Provider.
Evtl. meldet sich ja der Fragensteller nochmal.
Auch ohne ISP-Router geht es so. Hier am Standort hab ich einen RAD ETX, dass ist auch einfach nur ein ONT/verwaltbarer 4-Port-Switch, der dem ISP gehört. Billig-Switch dran, fertig. Der eigentliche ISP-Router steht 39,7km entfernt in Bochum.
Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?
Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?
Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
Das ist dann so klassisch mit deinen 2 Lancoms nicht möglich denn du hast aus dem 19er Provider Netz ja nur ein einziges Übergabe Interface. Du hast dann lediglich nur ein öffentliches /29er Segment vom Provider dazubekommen. Dafür reicht dann eigentlich ein Lancom bzw. du müsstest eine separate Firewall oder einen Router beschaffen der die Glasfaserverbindung realisiert und die 2 Lancoms dann wie oben im redundanten VRRP Verbund konfigurieren.
Ein klassisches Design dazu sähe dann z.B. so aus:
Ein singulärer Router wäre dann aber wieder ein single Point of Failure. OK, wenn du damit leben kannst.
Ein klassisches Design dazu sähe dann z.B. so aus:
Ein singulärer Router wäre dann aber wieder ein single Point of Failure. OK, wenn du damit leben kannst.
Naja, man könnte zwei Lancoms über den von Crusher79 und mir erwähnten Switch betreiben,
der eine hat dann bspw.:
212.0.0.122 - WAN IP Router 1
212.0.0.121 - GATEWAY Router 1
212.0.0.123 - WAN IP Router 2
212.0.0.121 - GATEWAY Router 2
oder wie aqui schreibt alles in einen Router einrichten und dann intern auf die LAN Segmente / VLANS verteilen.
Dann fällt aber alles aus wenn dieser Router was hat. Anderseits ist das Provider Gerät, der Switch usw. auch nicht unbedingt redundant.
der eine hat dann bspw.:
212.0.0.122 - WAN IP Router 1
212.0.0.121 - GATEWAY Router 1
212.0.0.123 - WAN IP Router 2
212.0.0.121 - GATEWAY Router 2
oder wie aqui schreibt alles in einen Router einrichten und dann intern auf die LAN Segmente / VLANS verteilen.
Dann fällt aber alles aus wenn dieser Router was hat. Anderseits ist das Provider Gerät, der Switch usw. auch nicht unbedingt redundant.
Naja, man könnte zwei Lancoms über den von Crusher79 und mir erwähnten Switch betreiben,
Dann fehlt aber noch ein Router/Firewall der den Provider Zugang realisiert. Nur mit dem Switch wird das logischerweise nichts. Der Provider routet das 212er Kunden IP Netz des TO über die feste 19er IP Adresse die er dem Kunden statisch vergibt. Ein redundantes Routing ist damit unmöglich.Ein redundantes Design bekommt der TO nur mit einem 2. Internet Zugang hin.
Kommt der aber dann von einem anderen Provider ist das 212er Netz obsolet, weil das ausschliesslich nur über den ersten Provider geroutet wird. Das darf er in dem Falle dann nicht verwenden!
Musst du erst wählen, z. B. um per pppoe online zu kommen, damit der ISP dir das Netz Routen kann?
Ist das mit den zwei Routern für das selbe öffentlich Netz wirklich gut überlegt?
Ansonsten musst du NATen.
Ist das mit den zwei Routern für das selbe öffentlich Netz wirklich gut überlegt?
Ansonsten musst du NATen.
Oh man. Wir werfen mit so vielen IPs umher Aber sind wir sicher, dass die Richtung stimmt? Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.
Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends. Ggf. könnte man dann noch was ableiten. Auch wenn es vermutlich techn. nur Weg A zu geben scheint. Frag mich nur, ob wir was übersehen.
Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends. Ggf. könnte man dann noch was ableiten. Auch wenn es vermutlich techn. nur Weg A zu geben scheint. Frag mich nur, ob wir was übersehen.
Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.
Dazu hat der TO bis dato ja noch keine belastbare Aussage gemacht was letztlich ja diese Grauzone bewirkt. Das Einzige was wir wissen ist das er mit einem Endgerät, was eine dynamische Client Adressierung hat, dort vom Provider eine 19.x.x.x Netzwerkadresse bekommt.Diese müsste, wie oben bereits gesagt, aber zwingend immer die gleiche IP sein, denn ohne eine feste, quasi statische IP wäre ein Routing, in das für ihn bereitgestellte 212er Netz, aus Sicht des Providers nicht möglich.
Diese 19er IP ist ja für den Provider das feste Gateway zum Routen des 212er Kundennetzes des TOs.
Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends.
Stimmt. Das zwingt uns hier alle etwas zur Kristallkugelei. Möglich wäre theoretisch auch das er aufgrund einer ID, Login Credentials oder was auch immer, direkt vom Provider eine IP aus dem 212er IP Netz bekommt. Wäre bei FTTB zwar sehr ungewöhnlich aber zumindestens denkbar.Frag mich nur, ob wir was übersehen.
Wie du schon sehr treffend sagst ist das wohl nur möglich wenn man die gebuchten Anschlussoptionen kennt. Etwas mehr Infos zu dieser Thematik wären dann da in der Tat hilfreich um eine zielführende Lösung zu finden.
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!