andreashaepp
Goto Top

Netgear FVS336G - Mehrere externe IPs und Port Translation

Hi zusammen,
ich hätte 2 simple Fragen zum Netgear FVS336G Firewall Router.
(...die mir der Supportmitarbeiter von Netgear mit "Hm, das sollte eigentlich gehen..." beantwortet hat...)

Wir haben mehrere statische externe IP Adressen. (Company Connect mit 30 IPs)
Der Netgear soll hinter dem Cisco Router der Telekom hängen.
(Und hat somit den Cisco als Gateway)
Kann der Router diese 30 IP Adressen verwalten?
Also kann ich sagen - externe IP 5 soll der Port 80 da hin, oder externe IP 8 soll der Port 3389 da hin,...usw...
Oder kann er nur eine IP Adresse handeln? (Wie jeder andere 0-8-15 Router / Firewall)
(Bzw. 2 - also den zweiten WAN Anschluss...)

Die nächste Frage wäre ob ich die Ports umbiegen kann.
Also z.B. kommt was über die externe IP 5 über Port 80, - dieses soll dann auf Server XY auf Port 9999 landen...

Ich gehe mal davon aus, dass es geht.
Nur leider reicht mir meine Vermutung & die Aussage des 'Supportmitarbeiters' nicht.

Wäre schön wenn mir jemand helfen könnte der Erfahrung mit dem Teil hat.

Vielen Dank...

Andreas Häpp

Content-ID: 147229

Url: https://administrator.de/forum/netgear-fvs336g-mehrere-externe-ips-und-port-translation-147229.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 20.07.2010, aktualisiert am 18.10.2012 um 18:42:55 Uhr
Goto Top
Klare Antwort: Nein ! Dafür benötigst du statisches NAT inbound und outbound oder einen NAT Pool. NetGear ist ein Billigprodukt für Consumer der das nicht kann.
Außerdem solltest du wenns um VPN und NetGear geht immer das hier lesen:
was symptomatisch für die Marke ist...

Wenn du eine preiswerte Lösung suchst die das supportet nimmst du eine M0nowall oder Pfsense Firewall:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
(Denk dir das CP einfach weg) Damit ist das problemlos umzusetzen. Andere FW Lösungen können das vermutlich auch)
Ansonsten ersteigerst du dir bei eBay einen kleinen Cisco 831 oder 1605 oder 1700 usw. mit 2 Ethernet Interfaces. Die können das ebenso problemlos.
Beide Lösungen supporten ebenso aktiv VPN Zugang mit unterschiedlichen VPN Protokollen !
goscho
goscho 20.07.2010 um 19:45:15 Uhr
Goto Top
Hallo Andreas,

hier hat aqui unrecht.
Er wohl eine ziemlich große Abneigung gegen die Marke Netgear, warum auch immer. face-wink

Mit dem FVS336G von Netgear kannst du dein Vorhaben realisieren.

Wenn du noch keinen hast, schau dir doch mal hier diese Online-Demo-Webkonsole an:
http://tools.netgear.com/landing/gui/security/fvs336g/simulators/v_2.2. ...
An dieser Stelle kannst du dies einstellen.

Auch das 'Umbiegen' der Ports ist möglich.
Ich würde mich an deiner Stelle natürlich auch nicht auf die Aussage eines Supporters (auch nicht auf meine) verlassen und direkt bei den Verantwortlichen in München anrufen oder mir per Mail eine Bestätigung besorgen.
Wenn du Kontaktdaten benötigst, kann ich dir eventuell weiterhelfen.

@aqui,
Es muss auch Geräte geben, die - rein preislich - unterhalb von Cisco oder Juniper liegen.
Ich habe mit Netgear in den vergangenen Jahren überwiegend positive Erfahrungen gemacht. So lange sich dies nicht gravierend ändert, sehe ich mich auch nicht veranlasst, diese Produkte nicht mehr einzusetzen.
aqui
aqui 21.07.2010 um 09:53:56 Uhr
Goto Top
@goscho
Es ist immer sinnvoll etwas dazuzulernen keine Frage aber der von dir o.a. gepostete Screenshot zeigt das ganz normale Port Forwarding über eine singuläre WAN IP Adresse.
Was Kollege andreashaepp aber hat, ist ein vom Provider gestelltes öffentliches Subnetz wie es gemeinhin üblich ist bei Company Netzen.
D.h. er hat je nach Subnetzmaske x IP Adressen aus diesem Netz. Was er jetzt machen will, und auch das ist in der Regel üblich, einige dieser zugewiesenen öffentlichen Host Adresse aus dem Subnetz fest lokalen IPs zuweisen und das auch portbezogen. Bzw. einen freien Rest als NAT Pool verwalten, die dann dynamisch zugewiesen werden.
D.h. er hat multiple IP Adressen im WAN die dedizierte NAT Zuweisungen zu internen IPs haben.

Der o.a. Screenshot zeigt die Möglichkeit dieser mehrfachen IP Adress NAT Zuweisung aber genau nicht sondern nur das Port Transaltion der festen IP WAN Adresse. Genau das will der TO aber nicht, denn er hat ja nicht nur eine Provider IP sondern ein ganzes Subnetz mit x IPs.
Mag sein das ich das oben übersehen habe aber der NetGear Screenshot zeigt solche Konfig Möglichkeit de facto nicht !
andreashaepp
andreashaepp 21.07.2010 um 10:58:17 Uhr
Goto Top
Hi...
Ich hab mich gestern noch an unser Systemhaus gewandt und hab die recherchieren lassen.
Das Resultat: Beim FVS336G kann er diese Funktion nicht garantieren, aber beim FVS338. (Unterstützt: Multiple Exposed Hosts & "Translate to port")
Hab dann den bestellt... (Auch wenn's wohl für die Katz war...)
Denn gestern Abend hat mich mein Kollege angerufen und gemeint, dass er die Konfiguration unserer Cisco ASA 5505 erledigt hat.
Der Netgear sollte nur als leicht zu konfigurierender - kurzfristiger Ersatz dienen.
(Wir waren gerade dabei uns in die Ciscos einzuarbeiten - und dabei ist uns unsere alte Firewall abgeraucht.
Da habe ich etwas auf die Schnelle gesucht. Etwas, das "einfach" zu konfigurieren ist...)

@aqui:
Vielen Dank für deinen Hilfe!!
Wobei ich schon glaube das das mit dem FVS336G geklappt hätte. Legt man in dem Simulator (Simulator - kein Screenshot) eine neue Inbound Rule an, kann man die "WAN Destination IP Adress" auf "Other public IP Adress" umstellen und frei eine eingeben. Also würde ich hier eine aus unserem IP Adress Pool eingeben... (Was mich aber ein bisschen verwirrt, denn wenn ich nach unserer alten Firewall gehe (Smoothwall Corporate Server), müsste das "WAN Source IP Adress" heißen...(- nicht Destination...))

@goscho:
Auch Dir vielen Dank!! Vor allem für den Link zum Simulator...

Da wir den FVS338 wohl gar nicht erst ans Netz nehmen - und den FVS336G ja nicht mal zum testen haben werde ich wohl keine Rückmeldung geben können.
Deshalb werde ich den Beitrag mal als "gelöst" markieren...

Danke...Andreas
goscho
goscho 21.07.2010 um 20:25:21 Uhr
Goto Top
Hallo Ihr zwei,
Andreas hat Recht. Das funktioniert wirklich so.

Wenn du allerdings solche Teile nur als "Übergangslösung" brauchst und die Cisco-Geräte schon hast, dann kannst du auch die einrichten. Es gibt doch Spezialisten, die helfen können.

So einfach zu konfigurieren sind die billigen Netgear-Teile auch nicht, trotz Webinterface. face-wink

@aqui,
du musst nicht immer alles so schwarz sehen und niederreden, nur weil es von Netgear ist.
Manchmal können die "Billigheimer" eben doch mal ein kleines Bisschen von dem, was der einfache (Business-)User benötigt. face-wink

Wo du allerdings unbedingt Recht hast, ist die Verbindung zwischen Cisco VPN-Client mit Netgear FVS336G -> das geht wirklich nicht.
andreashaepp
andreashaepp 22.07.2010 um 14:54:08 Uhr
Goto Top
Sooo, nur noch der Vollständigkeit halber...
Wir haben jetzt einen FVS338 verwendet.
Dieses Gerät erfüllt die im Beitragstitel genannten Anforderungen zu 100%.

Andreas
goscho
goscho 22.07.2010 um 15:22:28 Uhr
Goto Top
Hallo Andreas,
kannst du mir noch sagen, wo du das eingestellt hast?

Da die Konfiguration der beiden Geräte fast identisch ist (der FVS336G hat halt 2xWAN), sollte das an der selben Stelle sein, wie von mir beschrieben, oder?
andreashaepp
andreashaepp 22.07.2010 um 16:24:12 Uhr
Goto Top
Hi goscho,

direkt in der jeweiligen Inbound-Rule.
Service auswählen (z.B. einen für Port 80); Internen Server angeben auf den weiter geleitet werden soll; Über 'Translate to Port Number' den Ziel-Port auf dem Zielserver angeben (Also der, auf den 'umgebogen' werden soll), 'WAN Destination IP Adress' auf 'Other public IP Adress' umstellen und die entsprechende IP Adresse aus seinem öffentlichem IP-Sub Netz eintragen, fertig...

Andreas
goscho
goscho 22.07.2010 um 18:41:36 Uhr
Goto Top
Ich hoffe mal, dass aqui das auch liest. face-smile