factory22
Goto Top

LANCOM mit öffentlichem Transfernetz

Hallo Administrator Forum,

Wir hatten immer zwei voneinander getrennte Internetanschlüsse, diese wurden jetzt zu einem schnellen FTTX Anschluss zusammengefasst. Wir haben nun von unserem ISP ein Transfernetz mit 6 öffentlichen IP-Adressen zugewiesen bekommen, dieses muss jetzt an die zwei vorhandenen Router verteilt werden. Ich habe einen Lancom 1790EF besorgt und auch „grundlegend“ konfiguriert. Der 1790EF verteilt jetzt das Transfernetz via DHCP (die zwei angeschlossenen Router laufen über Reservierung.) und auch das Internet (ausgehender Traffic) geht!

Jetzt ist meine Frage.
Wie bekomme ich es hin, dass der gesamte eingehende Traffic ungehindert und 1 zu 1 durchleitet wird? Sprich
- INTERNET ->
WAN IP: 19.XXX.XXX.XXX ->
LANCOM 1790EF ->
Transfernetz 212.XXX.XXX.X21 -> Router 01
Transfernetz 212.XXX.XXX.X22 -> Router 02

Vielen Dank für euere Hilfe

Content-ID: 4786914498

Url: https://administrator.de/contentid/4786914498

Ausgedruckt am: 04.11.2024 um 18:11 Uhr

Thomas2
Thomas2 28.11.2022 um 12:36:40 Uhr
Goto Top
Hi,

wofür soll denn das Transfernetz sein?

Gruß,
Thomas
Factory22
Factory22 28.11.2022 um 12:54:37 Uhr
Goto Top
Hallo Thomas,

damit Router 1 und Router 2 eine eigene öffentlich erreichbare IP-Adresse bekommt.

Danke für eine Antwort !
chiefteddy
chiefteddy 28.11.2022 um 13:13:04 Uhr
Goto Top
Hallo,
warum ersetzt du den vorgeschalteten Router nicht durch einen Billig-Switch und konfiguriert die gewünschten IPs auf den beiden WAN-Schnittstellen der Router?

Jürgen
Crusher79
Crusher79 28.11.2022 um 13:17:19 Uhr
Goto Top
Du willst also Art DMZ einrichten, damit alles dumpf durchgeht oder wie?

Der öffentliche IP Block liegt doch schon an. Ein Switch würde doch hier alle Adresse im öffentlichen Netzwerk vorhalten. Entsprechend geht der Traffic an die Endstelle (Router) die die entsprechende IP hat. Bei Problemem mit den Anschluss sind doch eh alle nicht erreichbar.
aqui
aqui 28.11.2022 aktualisiert um 16:06:12 Uhr
Goto Top
Der öffentliche IP Block liegt doch schon an.
Kollege @Crusher79 hat hier Recht. Normal gibt man jedem Router eine WAN IP aus diesem Kontingent und fertisch.
Den LAN Port der Router konfiguriert man dann immer redundant als VRRP Verbund mit einer virtuellen IP und fertig ist der Lack. Ein simples Standarddesign. (Siehe hier).
Du denkst vermutlich viel zu kompliziert?!
Factory22
Factory22 28.11.2022 um 13:30:04 Uhr
Goto Top
Hallo Jürgen,

die WAN IP-Adresse am LANCOM (19.XXX.XXX.XXX) ist "nur" der nächste Hop und hat mit meinen öffentlichen IP-Adressen nicht zu tun. Das /29er-Netz ist vom ISP vorgegeben. Traffic für meine zwei „Haupt“ Router(212.XXX.XXX.X21 und 212.XXX.XXX.X22) wird von ISP direkt in das /29 Netz geroutet.

Danke für eine Antwort !
flor3289
flor3289 28.11.2022 um 13:54:29 Uhr
Goto Top
Ich schließe mich den vor Postern an, meine Lösung war auch immer ein einfacher Switch am FTTX. Dann an die Ports die Router, die jeweils eine statische öffentliche IP auf dem WAN Interface bekommen, Gateway entsprechend das vom Provider.
Ist dann auch einfacher wenn man später mal zwei IP-Blöcke bekommt (wo man dann auch ggf. zwei Gateways hat) dann kann man die Router entsprechend auf die IP/Gateways aufteilen.
Falls es nur wegen dem internen SFP ist, da gibt´s auch Switches für.
Übrigens, der Switch muss auch nicht konfiguriert werden.
tikayevent
tikayevent 28.11.2022 um 14:10:19 Uhr
Goto Top
Die ganz normale Konstruktion ist ISP-Router => Switch => Kundengeräte. So kenne ich es von unseren ISP seit sehr langer Zeit, egal ob an den Standorten oder im RZ.

An einem unserer wichtigsten Standorte nutz ich sogar nur nen 10€ Plastikswitch von Netgear.

Der LANCOM muss raus aus der Konstruktion, der kann dann als Kundengerät hinter dem Switch betrieben werden.
Crusher79
Crusher79 28.11.2022 um 14:13:36 Uhr
Goto Top
Neben Redundanz gibt es noch eine weitere Überlegung: Einige haben spezielle Verträge mit Laboren o.ä. die einen VPN Tunnel über eigene Hardware aufbauen. Da muss dann nur eine IP aus der Range konfiguriert werden und der Tunnel steht. Hinten raus über VLANs an die entprechenden Server geleitet.

Der Switch kann klein sein und unmanaged. Muss er aber nicht. Man kann zum managen bei guten Modellen ein VLAN wählen. Will sagen: Öffentliches Netz außen vorgelassen und 1x Port + Manage VLAN zum Überwachen nehmen. Trennung wird beibehalten und man hat dennoch die Kontrolle über die Hardware.
Factory22
Factory22 28.11.2022 aktualisiert um 14:54:03 Uhr
Goto Top
Zitat von @tikayevent:

Die ganz normale Konstruktion ist ISP-Router => Switch => Kundengeräte. So kenne ich es von unseren ISP seit sehr


Ich gebe euch alle grundlegend recht und am liebsten würde ich es auch so lösen. Fakt ist aber, dass ich keinen ISP Router hab! Der ONT ist lediglich eine ETH-Schnittstelle. Wenn ich meinen Laptop anschließe, bekomme ich (aussage vom ISP) eine IP-Adresse (19.XXX.XXX.XXX). Diese kann ich auch von EXTERN anpingen. Zeihe ich das Kabel ab, ist der Ping auch weg. Wenn ich jetzt einen Switch nehmen und die IP-Adressen (212.XXX.XXX.XXX) verteile haben ich ja keine Standartgatey... oder sehe ich das was falsch ??

Mein Router wäre ja dann „quasi“ der ISP Router...
Meine öffentlichen IP-Adressen 212.XXX.XXX.X21 bis XXX.X26 sind dann über die 19.XXX.XXX.XXX erreichbar

Vielen Dank für euere Antworten
flor3289
flor3289 28.11.2022 um 15:20:47 Uhr
Goto Top
Dh. der ISP macht hier ein NAT?
Was hat es mit der 19er IP auf sich, ist es wirklich eine 19er (öffentlich) oder eine 192er (privat)?
Aber wenn sich diese von Extern anpingen lässt so muss es eine öffentliche sein. Dann machen aber die 212er kein Sinn.
Das Standartgateway steht in dem Fall im Netz, ist der Providerrouter oder die erste IP deines /29er Subnetz.

Was ist das für ein ISP?
flor3289
flor3289 28.11.2022 um 15:25:52 Uhr
Goto Top
Noch was:

Ich habe nun mal als Block 212.0.0.121/29 eingesetzt.
Somit wäre die:

Subnetzadresse: 212.0.0.120
Broadcastadresse: 212.0.0.127

Und die benutzbaren IPs:

212.0.0.121 - 212.0.0.126

Das macht für mich aber so keinen Sinn, da, wie du schon gemerkt hast, das Gateway fehlt.
Welches Gateway stellt denn der Provider zur Verfügung? Anders gehts eben nicht.
Crusher79
Crusher79 28.11.2022 aktualisiert um 15:32:40 Uhr
Goto Top
Der Endpunkt der beim Kunden terminiert ist doch innerhalb der Range. Deswegen reduziert ja entsprechend die Anzahl der verfügbaren Host.

Alle IPs in der Range bekommen das selbe GW. Die IP müsste doch auch in der Range sein. Länger her bei mir - war EWE. Laptop ging auch direkt zum Testen, wenn man PUblic IP und Gateway gesetzt hat. Was bei einen Gerät geht, sollte bei den anderen genaus funktionieren.

Oder wir reden aneinander vorbei. Netze werden mit Routern verbunden. Ein Beinchen steht doch immer in einen Netz.

19.x.x.x.x ggf. das falsche Beinchen erwischt? Finde gerade kein schönes Bild hierzu.
flor3289
flor3289 28.11.2022 um 15:35:23 Uhr
Goto Top
Crusher79, sehe ich auch so, ich Rätsel auch schon die ganze Zeit face-smile
Ich denke, wir haben beide die gleiche Sichtweise. Jedenfalls läuft´s so auch am Telekom Netz mit zwei Ranges also zwei Gateways.
Ist aber meines Wissens immer so, die erste IP der Range ist das Gateway zum/vom Provider.
Evtl. meldet sich ja der Fragensteller nochmal.
tikayevent
tikayevent 28.11.2022 aktualisiert um 15:40:33 Uhr
Goto Top
Auch ohne ISP-Router geht es so. Hier am Standort hab ich einen RAD ETX, dass ist auch einfach nur ein ONT/verwaltbarer 4-Port-Switch, der dem ISP gehört. Billig-Switch dran, fertig. Der eigentliche ISP-Router steht 39,7km entfernt in Bochum.

Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?

Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.
Crusher79
Crusher79 28.11.2022 um 15:39:36 Uhr
Goto Top
Normal sollte auch wo stehen, welche IPs man verwenden darf. Da aus bekannten Gründen ja schon einige rausfallen müssen. Es sei denn Provider Endgerät fehlt und man das mit Lancom nach?

Irgendwas fehlt hier oder stimmt nicht.
aqui
aqui 28.11.2022 aktualisiert um 15:45:52 Uhr
Goto Top
Das ist dann so klassisch mit deinen 2 Lancoms nicht möglich denn du hast aus dem 19er Provider Netz ja nur ein einziges Übergabe Interface. Du hast dann lediglich nur ein öffentliches /29er Segment vom Provider dazubekommen. Dafür reicht dann eigentlich ein Lancom bzw. du müsstest eine separate Firewall oder einen Router beschaffen der die Glasfaserverbindung realisiert und die 2 Lancoms dann wie oben im redundanten VRRP Verbund konfigurieren.
Ein klassisches Design dazu sähe dann z.B. so aus:
netzkopplung
Ein singulärer Router wäre dann aber wieder ein single Point of Failure. OK, wenn du damit leben kannst.
flor3289
flor3289 28.11.2022 um 15:47:35 Uhr
Goto Top
Naja, man könnte zwei Lancoms über den von Crusher79 und mir erwähnten Switch betreiben,
der eine hat dann bspw.:

212.0.0.122 - WAN IP Router 1
212.0.0.121 - GATEWAY Router 1

212.0.0.123 - WAN IP Router 2
212.0.0.121 - GATEWAY Router 2

oder wie aqui schreibt alles in einen Router einrichten und dann intern auf die LAN Segmente / VLANS verteilen.
Dann fällt aber alles aus wenn dieser Router was hat. Anderseits ist das Provider Gerät, der Switch usw. auch nicht unbedingt redundant.
aqui
aqui 28.11.2022 aktualisiert um 16:10:07 Uhr
Goto Top
Naja, man könnte zwei Lancoms über den von Crusher79 und mir erwähnten Switch betreiben,
Dann fehlt aber noch ein Router/Firewall der den Provider Zugang realisiert. Nur mit dem Switch wird das logischerweise nichts. Der Provider routet das 212er Kunden IP Netz des TO über die feste 19er IP Adresse die er dem Kunden statisch vergibt. Ein redundantes Routing ist damit unmöglich.
Ein redundantes Design bekommt der TO nur mit einem 2. Internet Zugang hin.
Kommt der aber dann von einem anderen Provider ist das 212er Netz obsolet, weil das ausschliesslich nur über den ersten Provider geroutet wird. Das darf er in dem Falle dann nicht verwenden!
Factory22
Factory22 28.11.2022 um 16:34:58 Uhr
Goto Top
Zitat von @tikayevent:

Auch ohne ISP-Router geht es so. Hier am Standort hab ich einen RAD ETX, dass ist auch einfach nur ein ONT/verwaltbarer 4-Port-Switch, der dem ISP gehört. Billig-Switch dran, fertig. Der eigentliche ISP-Router steht 39,7km entfernt in Bochum.

Oder erwartet der ISP, dass du den Router so konfigurierst, dass du ONT-Seitig die 19.x.y.z hast und Kundenseitig die 212.x.y.z?

Dann einfach beim LANCOM WAN-seitig die IP eintragen, LAN-seitig das Subnetz eintragen, NAT/Maskierung ausschalten und die Firewall aus. Musst nur das Management dann enorm absichern.

Genau das, ist es... klappt aber nicht. NAT/Maskierung und Firewall ist aus. Traffic raus, geht Traffic rein, nicht.
Laut LANCOM Support soll ich das 212.XXX.XXX.XXX Netz als DMZ deklarieren, dann geht aber gar nichts mehr.
flor3289
flor3289 28.11.2022 um 17:08:45 Uhr
Goto Top
Das klingt grad alles etwas durcheinander. Wieso das externe Netz als DMZ?
Das nennt sich im Falle Lancom INTERNET, das interne INTRANET.
Factory22
Factory22 28.11.2022 um 17:19:46 Uhr
Goto Top
Das ist der Lösungsansatz von LANCOM.
Ich habe ja "LAN" seitig ein öffentliches Netz.
Der Lancom muss stumpf, einfach alles durch Routen.
tikayevent
tikayevent 28.11.2022 um 17:32:45 Uhr
Goto Top
Dann hast du in deiner Konfiguration noch irgendeinen Fehler, weil sowas hab ich schon gebaut und es hat funktioniert.

Dafür benötige ich dann aber tieferen Einblick in deine Konfiguration, um näheres sagen zu können.
2423392070
2423392070 28.11.2022 um 17:43:53 Uhr
Goto Top
Musst du erst wählen, z. B. um per pppoe online zu kommen, damit der ISP dir das Netz Routen kann?

Ist das mit den zwei Routern für das selbe öffentlich Netz wirklich gut überlegt?

Ansonsten musst du NATen.
aqui
aqui 28.11.2022 um 18:00:00 Uhr
Goto Top
klappt aber nicht.
War zu erwarten...
Der Lancom muss stumpf, einfach alles durch Routen.
Tut er ja auch! Er routet stumpf alles aus dem weltweiten Internet über das 19er Providernetz auf das dir zugeteilte 212er Netz.
Klassisches IP Routing und works as designed. Wo ist jetzt dein Problem??
flor3289
flor3289 29.11.2022 um 07:38:34 Uhr
Goto Top
Jetzt verstehe ich das auch, war anfangs etwas falsch ausgedrückt.
Aber Routen kann man auch auf dem WAN setzen...
aqui
aqui 29.11.2022 um 10:24:48 Uhr
Goto Top
...das ist dann aber außerhalb des Einflussbereiches des TO und muss der Provider machen! 😉
Crusher79
Crusher79 29.11.2022 um 10:41:15 Uhr
Goto Top
Oh man. Wir werfen mit so vielen IPs umher face-big-smile Aber sind wir sicher, dass die Richtung stimmt? Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.

Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends. Ggf. könnte man dann noch was ableiten. Auch wenn es vermutlich techn. nur Weg A zu geben scheint. Frag mich nur, ob wir was übersehen.
aqui
aqui 29.11.2022 aktualisiert um 11:09:49 Uhr
Goto Top
Nicht das 19.x.x.x ein Sonderfall - Fail Over oder irgendwas ist.
Dazu hat der TO bis dato ja noch keine belastbare Aussage gemacht was letztlich ja diese Grauzone bewirkt. Das Einzige was wir wissen ist das er mit einem Endgerät, was eine dynamische Client Adressierung hat, dort vom Provider eine 19.x.x.x Netzwerkadresse bekommt.
Diese müsste, wie oben bereits gesagt, aber zwingend immer die gleiche IP sein, denn ohne eine feste, quasi statische IP wäre ein Routing, in das für ihn bereitgestellte 212er Netz, aus Sicht des Providers nicht möglich.
Diese 19er IP ist ja für den Provider das feste Gateway zum Routen des 212er Kundennetzes des TOs.
Das genau Produkt, was er eingekauft hat, sehe ich auch nirgends.
Stimmt. Das zwingt uns hier alle etwas zur Kristallkugelei. Möglich wäre theoretisch auch das er aufgrund einer ID, Login Credentials oder was auch immer, direkt vom Provider eine IP aus dem 212er IP Netz bekommt. Wäre bei FTTB zwar sehr ungewöhnlich aber zumindestens denkbar.
Frag mich nur, ob wir was übersehen.
Wie du schon sehr treffend sagst ist das wohl nur möglich wenn man die gebuchten Anschlussoptionen kennt. Etwas mehr Infos zu dieser Thematik wären dann da in der Tat hilfreich um eine zielführende Lösung zu finden.
aqui
aqui 12.12.2022 um 13:56:05 Uhr
Goto Top
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!