Routing beim Internetprovider
Hallo Leute,
Wir haben als Unternehmen insgesammt drei statische IP-Adressen unseres Providers (COX)
zur Verfuegung.
Vor zwei dieser IP-Adressen laufen Firewalls. (Firebox und IPCop)
Die dritte IP ist ebenfalls eine oeffentliche Internetadresse, allerdings haengt sie in einem anderen Subnetz des Providers.
Ich habe nun noch einen Webserver, welcher hinter der einen Firewall haengt, und auf dem sich eine Testhomepage
befindet.
Hinter der zweiten Firewall haengt einlokales Netz, mit einem einfachen PC.
Ich moechte nun, dass der Webserver vom ganzen Internet aus zu erreichen ist.
Somit habe ich ein Portforwarding von der ersten externen IP-Adresse, auf den Webserver gemacht.
Von der zweiten externen IP-Adresse kann ich nun ohne Probleme auf den Webserver zugreifen.
Doch es gibt Probleme sobald ich versuche den Webserver von der externen IP zu erreichen, welche
nicht mehr im selben Subnetz haengt.
Das bedeutet also, dass dort eine Route beim Provider fehlt, oder woher genau kann das kommen?
Ich moechte den Webserver vom ganzen Internet aus erreichen, aber aus irgendeinem Grund klappt es nicht.
Ich waere euch sehr dankbar, wenn ihr eure Ideen hier postet
Bis dann und schoenes WE
David
Wir haben als Unternehmen insgesammt drei statische IP-Adressen unseres Providers (COX)
zur Verfuegung.
Vor zwei dieser IP-Adressen laufen Firewalls. (Firebox und IPCop)
Die dritte IP ist ebenfalls eine oeffentliche Internetadresse, allerdings haengt sie in einem anderen Subnetz des Providers.
Ich habe nun noch einen Webserver, welcher hinter der einen Firewall haengt, und auf dem sich eine Testhomepage
befindet.
Hinter der zweiten Firewall haengt einlokales Netz, mit einem einfachen PC.
Ich moechte nun, dass der Webserver vom ganzen Internet aus zu erreichen ist.
Somit habe ich ein Portforwarding von der ersten externen IP-Adresse, auf den Webserver gemacht.
Von der zweiten externen IP-Adresse kann ich nun ohne Probleme auf den Webserver zugreifen.
Doch es gibt Probleme sobald ich versuche den Webserver von der externen IP zu erreichen, welche
nicht mehr im selben Subnetz haengt.
Das bedeutet also, dass dort eine Route beim Provider fehlt, oder woher genau kann das kommen?
Ich moechte den Webserver vom ganzen Internet aus erreichen, aber aus irgendeinem Grund klappt es nicht.
Ich waere euch sehr dankbar, wenn ihr eure Ideen hier postet
Bis dann und schoenes WE
David
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109617
Url: https://administrator.de/forum/routing-beim-internetprovider-109617.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
12 Kommentare
Neuester Kommentar
Es ist unverständlich warum hier immer umständlich externe Links für Bilder genutzt werden und einem so der Überblick erschwert wird.
Bilder kann man auch hier direkt einfügen !!!
Ursache ist vermutlich ein falsches Default Gateway am Webserver oder am IPcop ???
Deine Zeichnung ist auch unvollständig denn es wäre noch wichtig zu wissen WO sich der Providerrouter befindet der beide Subnetze ins Internet routet und/oder ob das z.B. 2 Router sind oder einer mit 2 lokalen Interfaces.
Das Gateway des IPcop MUSS auf alle Fälle auf den Providerrouter zeigen was vermutlich nicht der Fall ist ?!
So sieht vermutlich dein Design mit Providerrouter aus, oder:
Wichtig sind folgende Punkte:
Da der IP Cop am roten Interface eine öffentliche IP hat muss er zwangsweise aus dem gesamten Internet erreichbar sein.
Damit sollte das Szenario problemlos funktionieren.
Bilder kann man auch hier direkt einfügen !!!
Ursache ist vermutlich ein falsches Default Gateway am Webserver oder am IPcop ???
Deine Zeichnung ist auch unvollständig denn es wäre noch wichtig zu wissen WO sich der Providerrouter befindet der beide Subnetze ins Internet routet und/oder ob das z.B. 2 Router sind oder einer mit 2 lokalen Interfaces.
Das Gateway des IPcop MUSS auf alle Fälle auf den Providerrouter zeigen was vermutlich nicht der Fall ist ?!
So sieht vermutlich dein Design mit Providerrouter aus, oder:
Wichtig sind folgende Punkte:
- Default Route des IP Cop muss auf den Provider Router LAN Adresse im Subnetz 1 zeigen
- Port Forwarding muss im IP Cop von dessen Outbound Interface (rot, Subnetz 1) auf die Inbound IP Adresse (grün) des Webservers zeigen und die Ports TCP 80 HTTP und TCP 443 HTTPS beinhalten.
Da der IP Cop am roten Interface eine öffentliche IP hat muss er zwangsweise aus dem gesamten Internet erreichbar sein.
Damit sollte das Szenario problemlos funktionieren.
Was sagt denn ein Traceroute oder Pathping auf die PFW Adresse des Webservers von extern ???
Damit weisst du doch dann sofort was geschieht und wie die Wege sind !!!
Sind die IP Adressen vom Subnet 1 öffentliche IP Adressen oder RFC 1918 IP Adressen ??
http://de.wikipedia.org/wiki/Private_IP-Adresse
Damit weisst du doch dann sofort was geschieht und wie die Wege sind !!!
Sind die IP Adressen vom Subnet 1 öffentliche IP Adressen oder RFC 1918 IP Adressen ??
http://de.wikipedia.org/wiki/Private_IP-Adresse
Auch aus D ist bei "wsip-98-190-9-129.ks.ks.cox.net [98.190.9.129]" Schluss !!
12 155 ms 155 ms 155 ms ae-2-52.edge6.Chicago1.Level3.net [4.68.101.50]
13 211 ms 214 ms 208 ms COX-COMMUNI.edge6.Chicago1.Level3.net [4.79.74.1
0]
14 225 ms * 232 ms kscydsrj01-ge610.rd.ks.cox.net [68.1.1.177]
15 217 ms 217 ms 264 ms 70.183.66.74
16 239 ms 239 ms 239 ms 70.183.66.70
17 243 ms 240 ms 240 ms wsip-98-190-9-129.ks.ks.cox.net [98.190.9.129]
18 * * * Zeitüberschreitung der Anforderung.
19 * * * Zeitüberschreitung der Anforderung.
Ein Pingen der IP Cop und Watchguard Adresse ist gar nicht möglich, was aber vermutlich daran liegt das beides Firewalls sind und ICMP Pakete per Default blocken, was ja auch gut so ist !
Es ist zu vermuten das diesem letzten Provider Router "wsip..." von Cox die Route in eurer öffentliches Subnetz 1 mit 70.184.239.x fehlt !
Allem Anschein nach ein Providerproblem !
Du solltest dringenst den Provider kontaktieren und ihn bitten die internen Routen seines Netzes in dein Subnetz 1 zu kontrollieren.
Der Fehler liegt vermutlich nicht an dir !!!
12 155 ms 155 ms 155 ms ae-2-52.edge6.Chicago1.Level3.net [4.68.101.50]
13 211 ms 214 ms 208 ms COX-COMMUNI.edge6.Chicago1.Level3.net [4.79.74.1
0]
14 225 ms * 232 ms kscydsrj01-ge610.rd.ks.cox.net [68.1.1.177]
15 217 ms 217 ms 264 ms 70.183.66.74
16 239 ms 239 ms 239 ms 70.183.66.70
17 243 ms 240 ms 240 ms wsip-98-190-9-129.ks.ks.cox.net [98.190.9.129]
18 * * * Zeitüberschreitung der Anforderung.
19 * * * Zeitüberschreitung der Anforderung.
Ein Pingen der IP Cop und Watchguard Adresse ist gar nicht möglich, was aber vermutlich daran liegt das beides Firewalls sind und ICMP Pakete per Default blocken, was ja auch gut so ist !
Es ist zu vermuten das diesem letzten Provider Router "wsip..." von Cox die Route in eurer öffentliches Subnetz 1 mit 70.184.239.x fehlt !
Allem Anschein nach ein Providerproblem !
Du solltest dringenst den Provider kontaktieren und ihn bitten die internen Routen seines Netzes in dein Subnetz 1 zu kontrollieren.
Der Fehler liegt vermutlich nicht an dir !!!
Das kann sein das für dich intern oder in Teilbereichen dieses Netzes alles stimmt mit dem Routing !
Fakt ist aber das man aus anderen Netzen wie hier in D eben nicht auf dieses Subnetz 70.184.239.x kommt !!
Vermutlich stimmt dort auch was mit der Subnetzmaske nicht, oder der Provider arbeitet mit Secondary IPs auf seinem Router ?!
Was auffällig ist, ist das deine IP Adressen des Subnetzes 1 recht weit auseinanderliegen !
Normalerweise bekommt man von Providern niemals solch große Netze und das schon gar nicht in einen Class A Bereich 70.x.x.x wie dem deinigen ???
Du müsstest eine 25 Bit Subnetzmaske (255.255.255.128) mit 126 adressierbaren Hostadressen da haben um die .42 und die .124 im Subnetz 1 adressieren zu können.
Das ist mehr als ungewöhnlich aufgrund der Größe. Vermutlich hat man dir da falsche IP Adressen oder Masken gegeben...kann auch sein ??!!
Oder weisst du ob du mehrere kleinere Subnetze hast und der Provider mit sog. secondary IP Adressen/Netzen auf seinem Router arbeitet ???
So oder so riecht das aber sehr stark nach einem Providerproblem !!
Fakt ist aber das man aus anderen Netzen wie hier in D eben nicht auf dieses Subnetz 70.184.239.x kommt !!
Vermutlich stimmt dort auch was mit der Subnetzmaske nicht, oder der Provider arbeitet mit Secondary IPs auf seinem Router ?!
Was auffällig ist, ist das deine IP Adressen des Subnetzes 1 recht weit auseinanderliegen !
Normalerweise bekommt man von Providern niemals solch große Netze und das schon gar nicht in einen Class A Bereich 70.x.x.x wie dem deinigen ???
Du müsstest eine 25 Bit Subnetzmaske (255.255.255.128) mit 126 adressierbaren Hostadressen da haben um die .42 und die .124 im Subnetz 1 adressieren zu können.
Das ist mehr als ungewöhnlich aufgrund der Größe. Vermutlich hat man dir da falsche IP Adressen oder Masken gegeben...kann auch sein ??!!
Oder weisst du ob du mehrere kleinere Subnetze hast und der Provider mit sog. secondary IP Adressen/Netzen auf seinem Router arbeitet ???
So oder so riecht das aber sehr stark nach einem Providerproblem !!