Router soll nach PPPOE Einwahl die öffentliche IP Adresse in die DMZ routen (keine NAT)

keksdieb
Goto Top
Moin moin zusammen...

Ich habe einen Cisco 1800 Router, der sich per PPPOE beim Provider einwählt.
Der Provider gibt mir auf dem PPPOE Interface ein paar öffentliche IP Adressen mit.
Diese IP Adressen sollen alle an Server in der DMZ weiter gereicht werden (ohne NAT).

Die Einwahl ansich funktioniert einwandfrei, allerdings stehe ich momentan auf dem Schlauch, wie ich die IP Adressen in die DMZ bekomme.

FE0/0 ist das Dialerinterface
FE0/1 ist für das interne Netz (klassisch mit NAT)

FE0/1/0 geht dann in die DMZ, in der ein Server steht, der z.B. die IP 89.xxx.xxx.xxx bekommen soll

Jetzt möchte ich von FE0/0 den Traffic, der auf der IP 89.xxx.xxx.xxx ankommt weiter Richtung FE0/1/0 schicken.

Ich hab schon versucht, dass ganze mit dem Bridge Modus abzubilden, aber das läuft nicht.

Hat da jemand eine Idee für mich?

Schönen Rest Sonntag

Gruß Keks

Content-Key: 254987

Url: https://administrator.de/contentid/254987

Ausgedruckt am: 23.05.2022 um 02:05 Uhr

Mitglied: BirdyB
Lösung BirdyB 17.11.2014, aktualisiert am 18.11.2014 um 09:34:58 Uhr
Goto Top
Hallo Keks,

Ich befürchte, dass sich dein Vorhaben so nicht realisieren lässt, da sich normalerweise immer nur ein Client per PPPoE anmelden kann.
Um dein Ziel zu erreichen, müssten sich die Server jeweils selbst einwählen und die entsprechende IP für sich beanspruchen.
Was spricht denn konkret gegen NAT? Warum lässt du nicht alle Pakete an IP xyz an Server A forwarden und die Pakete an IP abc an Server B?

Beste Grüße!

Berthold
Mitglied: tikayevent
Lösung tikayevent 17.11.2014, aktualisiert am 18.11.2014 um 09:35:00 Uhr
Goto Top
Ich kenne den Fall nur so, dass du per PPPoE eine einzelne IP-Adresse zugewiesen bekommst und der Provider dann über eine Route auf diese zugewiesene IP-Adresse das Subnetz in deine Verwaltung übergibt. Also du definierst in deiner DMZ genau das zugewiesene IP-Netz und deaktivierst dann das NAT.

Also genau wie dein Plan ist.

So kenne ich es, weil PPP, soweit ich weiß, eh nur ein /32er Subnetz verstehen kann. Wenn ich falsch liege, lass ich mich natürlich gerne belehren.
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 17.11.2014, aktualisiert am 18.11.2014 um 09:35:02 Uhr
Goto Top
Moin,

üblicherweise bekommt man da ein transfernetz und ein /29, daß man dann ganz einfach weiterrouten kann. Liegt denn Deine per PPPoE zugeteilte Adresse in dem Adressblock, daß Dir zugeteilt wurde?

lks
Mitglied: aqui
Lösung aqui 17.11.2014, aktualisiert am 18.11.2014 um 09:35:04 Uhr
Goto Top
Normalerweise bekommst du in der Tat ein Subnetz für deine DMZ, dann kannst du das ganz normal routen über den 1800er.
Wenn du nur ein paar freie IP Adressen im PPPoE Netz des Providers mit öffentlicher IP bekommen hast musst du mit NAT in die DMZ auf dem Cisco arbeiten !
Klar, denn wie sollte man das auch ohne NAT Routen wenns kein separates IP Subnetz ist ?!
Mit 1:1 NAT ala
ip nat inside source static 172.16.1.100 87.45.123.85 (Beispiel Mapping öff. IP auf interne DMZ IP)
ist das ja aber auch kein Thema und löst dein Problem im Handumdrehen ?!
Mitglied: keksdieb
keksdieb 17.11.2014 um 08:41:15 Uhr
Goto Top
Moin und danke für die ganzen Tipps,

Das Problem ist, dass ich in der DMZ noch eine FW stehen habe, die das NAT macht.
Diese FW soll jetzt 2 z.B. 4 öffentliche IP Adressen haben, damit der Port 80 4mal in die DMZ verfügbar ist (auf Unterschiedlichen öffentlichen IP´s)

Mach ich am Einwahl Router jetzt NAT, müsste ich 4 Interfaces "bauen", damit ich meinen Port 80 in die DMZ bekomme...

Das war der Grundgedanke, aber verständlicherweise geht es mit einer /32 IP nicht, deswegen habe ich das Bridge Thema nochmal probiert (erfolglos)...

Gruß Keks
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 17.11.2014, aktualisiert am 18.11.2014 um 09:35:07 Uhr
Goto Top
Zitat von @keksdieb:

Das Problem ist, dass ich in der DMZ noch eine FW stehen habe, die das NAT macht.
Diese FW soll jetzt 2 z.B. 4 öffentliche IP Adressen haben, damit der Port 80 4mal in die DMZ verfügbar ist (auf
Unterschiedlichen öffentlichen IP´s)

o.k. jetzt ist klar: Du hast einen subnetz hinter deiner Cisco zur verfügung, willst aber das ganze noch durch eine Firewall filtern.

dann muß deien Firewall bridgen und nicht die Cisco.

Lösungmöglichkeiten:

  • Du beschaffst Dir eine firewall, die im Bridgmodus arbeiten kann (z.B. einfache Linux-Kiste mit selbst erstellten iptables).
  • Du machst statisches NAT 1:1 und DeineFirewall macht proxy-arp für die dahintergelegenen Kisten. Das sit eigentlich die Standardmethode.

lks
Mitglied: keksdieb
keksdieb 18.11.2014 um 09:34:48 Uhr
Goto Top
Moin zusammen...

Thema hat sich mit der Beschaffung eines Subnetzes erledigt.
Unity hat sich da etwas gesperrt, aber nun klappt es...

Vielen Dank für die Hilfe.

Gruß Keks
Mitglied: aqui
aqui 18.11.2014 um 10:54:26 Uhr
Goto Top
Mach ich am Einwahl Router jetzt NAT, müsste ich 4 Interfaces "bauen", damit ich meinen Port 80 in die DMZ bekomme...
Was hast du denn für einen komischen Router das du dafür "Interfaces" bauen musst ??
Normal reicht es einfach diese 4 IPs fürs NAT einzutragen und gut iss... ??
Das problem mit der Firewall Router Kaskade und deinem damit doppelten NAT ist das du eben 2 mal diese NAT Forwarding machen musst. Kein wirklich gutes Design....besser wäre ein simples Modem vor der FW statt eines Routers :-( face-sad
Aber wenn das Subnetz nun eh alles regelt... ;-) face-wink
Mitglied: keksdieb
keksdieb 24.11.2014, aktualisiert am 08.12.2014 um 23:40:45 Uhr
Goto Top
Moin aqui...

natürlich hast du Recht, aber der Windows Admin möchte kein NAT sondern Routing, somit fiel das Thema der Anforderung zum Opfer...

Grüße
Mitglied: aqui
aqui 26.11.2014 aktualisiert um 19:46:30 Uhr
Goto Top
Das kommt dann dabei raus wenn Winblows Admins beim Thema Netzwerke mitreden dürfen !!
Die sollen sich um ihr Winblows kümmern ;-) face-wink