10
Router soll nach PPPOE Einwahl die öffentliche IP Adresse in die DMZ routen (keine NAT)
Moin moin zusammen...
Ich habe einen Cisco 1800 Router, der sich per PPPOE beim Provider einwählt.
Der Provider gibt mir auf dem PPPOE Interface ein paar öffentliche IP Adressen mit.
Diese IP Adressen sollen alle an Server in der DMZ weiter gereicht werden (ohne NAT).
Die Einwahl ansich funktioniert einwandfrei, allerdings stehe ich momentan auf dem Schlauch, wie ich die IP Adressen in die DMZ bekomme.
FE0/0 ist das Dialerinterface
FE0/1 ist für das interne Netz (klassisch mit NAT)
FE0/1/0 geht dann in die DMZ, in der ein Server steht, der z.B. die IP 89.xxx.xxx.xxx bekommen soll
Jetzt möchte ich von FE0/0 den Traffic, der auf der IP 89.xxx.xxx.xxx ankommt weiter Richtung FE0/1/0 schicken.
Ich hab schon versucht, dass ganze mit dem Bridge Modus abzubilden, aber das läuft nicht.
Hat da jemand eine Idee für mich?
Schönen Rest Sonntag
Gruß Keks
Ich habe einen Cisco 1800 Router, der sich per PPPOE beim Provider einwählt.
Der Provider gibt mir auf dem PPPOE Interface ein paar öffentliche IP Adressen mit.
Diese IP Adressen sollen alle an Server in der DMZ weiter gereicht werden (ohne NAT).
Die Einwahl ansich funktioniert einwandfrei, allerdings stehe ich momentan auf dem Schlauch, wie ich die IP Adressen in die DMZ bekomme.
FE0/0 ist das Dialerinterface
FE0/1 ist für das interne Netz (klassisch mit NAT)
FE0/1/0 geht dann in die DMZ, in der ein Server steht, der z.B. die IP 89.xxx.xxx.xxx bekommen soll
Jetzt möchte ich von FE0/0 den Traffic, der auf der IP 89.xxx.xxx.xxx ankommt weiter Richtung FE0/1/0 schicken.
Ich hab schon versucht, dass ganze mit dem Bridge Modus abzubilden, aber das läuft nicht.
Hat da jemand eine Idee für mich?
Schönen Rest Sonntag
Gruß Keks
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254987
Url: https://administrator.de/contentid/254987
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo Keks,
Ich befürchte, dass sich dein Vorhaben so nicht realisieren lässt, da sich normalerweise immer nur ein Client per PPPoE anmelden kann.
Um dein Ziel zu erreichen, müssten sich die Server jeweils selbst einwählen und die entsprechende IP für sich beanspruchen.
Was spricht denn konkret gegen NAT? Warum lässt du nicht alle Pakete an IP xyz an Server A forwarden und die Pakete an IP abc an Server B?
Beste Grüße!
Berthold
Ich befürchte, dass sich dein Vorhaben so nicht realisieren lässt, da sich normalerweise immer nur ein Client per PPPoE anmelden kann.
Um dein Ziel zu erreichen, müssten sich die Server jeweils selbst einwählen und die entsprechende IP für sich beanspruchen.
Was spricht denn konkret gegen NAT? Warum lässt du nicht alle Pakete an IP xyz an Server A forwarden und die Pakete an IP abc an Server B?
Beste Grüße!
Berthold
Ich kenne den Fall nur so, dass du per PPPoE eine einzelne IP-Adresse zugewiesen bekommst und der Provider dann über eine Route auf diese zugewiesene IP-Adresse das Subnetz in deine Verwaltung übergibt. Also du definierst in deiner DMZ genau das zugewiesene IP-Netz und deaktivierst dann das NAT.
Also genau wie dein Plan ist.
So kenne ich es, weil PPP, soweit ich weiß, eh nur ein /32er Subnetz verstehen kann. Wenn ich falsch liege, lass ich mich natürlich gerne belehren.
Also genau wie dein Plan ist.
So kenne ich es, weil PPP, soweit ich weiß, eh nur ein /32er Subnetz verstehen kann. Wenn ich falsch liege, lass ich mich natürlich gerne belehren.
Moin,
üblicherweise bekommt man da ein transfernetz und ein /29, daß man dann ganz einfach weiterrouten kann. Liegt denn Deine per PPPoE zugeteilte Adresse in dem Adressblock, daß Dir zugeteilt wurde?
lks
üblicherweise bekommt man da ein transfernetz und ein /29, daß man dann ganz einfach weiterrouten kann. Liegt denn Deine per PPPoE zugeteilte Adresse in dem Adressblock, daß Dir zugeteilt wurde?
lks
Normalerweise bekommst du in der Tat ein Subnetz für deine DMZ, dann kannst du das ganz normal routen über den 1800er.
Wenn du nur ein paar freie IP Adressen im PPPoE Netz des Providers mit öffentlicher IP bekommen hast musst du mit NAT in die DMZ auf dem Cisco arbeiten !
Klar, denn wie sollte man das auch ohne NAT Routen wenns kein separates IP Subnetz ist ?!
Mit 1:1 NAT ala
ip nat inside source static 172.16.1.100 87.45.123.85 (Beispiel Mapping öff. IP auf interne DMZ IP)
ist das ja aber auch kein Thema und löst dein Problem im Handumdrehen ?!
Wenn du nur ein paar freie IP Adressen im PPPoE Netz des Providers mit öffentlicher IP bekommen hast musst du mit NAT in die DMZ auf dem Cisco arbeiten !
Klar, denn wie sollte man das auch ohne NAT Routen wenns kein separates IP Subnetz ist ?!
Mit 1:1 NAT ala
ip nat inside source static 172.16.1.100 87.45.123.85 (Beispiel Mapping öff. IP auf interne DMZ IP)
ist das ja aber auch kein Thema und löst dein Problem im Handumdrehen ?!
Moin und danke für die ganzen Tipps,
Das Problem ist, dass ich in der DMZ noch eine FW stehen habe, die das NAT macht.
Diese FW soll jetzt 2 z.B. 4 öffentliche IP Adressen haben, damit der Port 80 4mal in die DMZ verfügbar ist (auf Unterschiedlichen öffentlichen IP´s)
Mach ich am Einwahl Router jetzt NAT, müsste ich 4 Interfaces "bauen", damit ich meinen Port 80 in die DMZ bekomme...
Das war der Grundgedanke, aber verständlicherweise geht es mit einer /32 IP nicht, deswegen habe ich das Bridge Thema nochmal probiert (erfolglos)...
Gruß Keks
Das Problem ist, dass ich in der DMZ noch eine FW stehen habe, die das NAT macht.
Diese FW soll jetzt 2 z.B. 4 öffentliche IP Adressen haben, damit der Port 80 4mal in die DMZ verfügbar ist (auf Unterschiedlichen öffentlichen IP´s)
Mach ich am Einwahl Router jetzt NAT, müsste ich 4 Interfaces "bauen", damit ich meinen Port 80 in die DMZ bekomme...
Das war der Grundgedanke, aber verständlicherweise geht es mit einer /32 IP nicht, deswegen habe ich das Bridge Thema nochmal probiert (erfolglos)...
Gruß Keks
Zitat von @keksdieb:
Das Problem ist, dass ich in der DMZ noch eine FW stehen habe, die das NAT macht.
Diese FW soll jetzt 2 z.B. 4 öffentliche IP Adressen haben, damit der Port 80 4mal in die DMZ verfügbar ist (auf
Unterschiedlichen öffentlichen IP´s)
Das Problem ist, dass ich in der DMZ noch eine FW stehen habe, die das NAT macht.
Diese FW soll jetzt 2 z.B. 4 öffentliche IP Adressen haben, damit der Port 80 4mal in die DMZ verfügbar ist (auf
Unterschiedlichen öffentlichen IP´s)
o.k. jetzt ist klar: Du hast einen subnetz hinter deiner Cisco zur verfügung, willst aber das ganze noch durch eine Firewall filtern.
dann muß deien Firewall bridgen und nicht die Cisco.
Lösungmöglichkeiten:
- Du beschaffst Dir eine firewall, die im Bridgmodus arbeiten kann (z.B. einfache Linux-Kiste mit selbst erstellten iptables).
- Du machst statisches NAT 1:1 und DeineFirewall macht proxy-arp für die dahintergelegenen Kisten. Das sit eigentlich die Standardmethode.
lks
Moin zusammen...
Thema hat sich mit der Beschaffung eines Subnetzes erledigt.
Unity hat sich da etwas gesperrt, aber nun klappt es...
Vielen Dank für die Hilfe.
Gruß Keks
Thema hat sich mit der Beschaffung eines Subnetzes erledigt.
Unity hat sich da etwas gesperrt, aber nun klappt es...
Vielen Dank für die Hilfe.
Gruß Keks
Mach ich am Einwahl Router jetzt NAT, müsste ich 4 Interfaces "bauen", damit ich meinen Port 80 in die DMZ bekomme...
Was hast du denn für einen komischen Router das du dafür "Interfaces" bauen musst ??Normal reicht es einfach diese 4 IPs fürs NAT einzutragen und gut iss... ??
Das problem mit der Firewall Router Kaskade und deinem damit doppelten NAT ist das du eben 2 mal diese NAT Forwarding machen musst. Kein wirklich gutes Design....besser wäre ein simples Modem vor der FW statt eines Routers
Aber wenn das Subnetz nun eh alles regelt...
Moin aqui...
natürlich hast du Recht, aber der Windows Admin möchte kein NAT sondern Routing, somit fiel das Thema der Anforderung zum Opfer...
Grüße
natürlich hast du Recht, aber der Windows Admin möchte kein NAT sondern Routing, somit fiel das Thema der Anforderung zum Opfer...
Grüße
Das kommt dann dabei raus wenn Winblows Admins beim Thema Netzwerke mitreden dürfen !!
Die sollen sich um ihr Winblows kümmern
Die sollen sich um ihr Winblows kümmern
