pageman262
Goto Top

Subnet des ISP splitten

Hallo liebe Profis,

ich bin auf der Suche nach einen Router oder Firewall mit dem es möglich ist das Subnet das ich von meinen ISP geroutet bekomme zu splitten. Derzeit verwende ich einen Netgear Router der auf Classical Routing gestellt ist und dahinter mehrere Router die je eine IP aufnehmen.
Ich finde nur nicht das es wirklich eine gute Lösung ist 6 Router für die IP und einen für das splitten zu verwenden. Kennt einer von euch eine gute Firewall / Router mit dem das möglich ist und ich das ganze auf 1 max 2 Geräte reduzieren kann?

Besten Dank
lg
Reinhard

Content-ID: 268458

Url: https://administrator.de/forum/subnet-des-isp-splitten-268458.html

Ausgedruckt am: 27.12.2024 um 12:12 Uhr

michi1983
michi1983 06.04.2015 aktualisiert um 17:12:23 Uhr
Goto Top
Hallo,

ev kannst du den Ersteller dieses Threads kontaktieren um dir Anregungen zu holen:

Pfsense 2.2.1 Router: öffentliche IP-Adressen nicht erreichbar

Der hat soetwas offenbar schon umgesetzt.

Gruß
Dani
Dani 06.04.2015 um 18:48:48 Uhr
Goto Top
Moin Reinhard,
ich verstehe nur "Bahnhof". Warum verteilst du jeweils eine IP-Adresse auf einen anderen Router? Hast du 6 verschiedene Netze, die getrennt bleiben müssen. Am einfachsten sind bei solchen Fragen Netzwerkpläne als Bild hochzuladen.

Nimmst du statt dem Router eine Firewall stehen dir eigentlich alle Möglichekeiten offen. Dort kannst du entweder das Subnetz nochmals aufteilen (kleine Subnetzmaske) und in die DMZ1, DMZ2 verteilen. Alternativ per NAT-Regel einen bestimmten Serverdienst in der DMZ bzw. LAN veröffentlichen.


Gruß,
Dani
Lochkartenstanzer
Lösung Lochkartenstanzer 06.04.2015 aktualisiert um 19:45:09 Uhr
Goto Top
Moin,

Erzähl mal, was Du mit den IP-Adressen anstellen willst.

Normalerweise behält man ein /29 am Stück, weil ein "aufsplitten" durch subnetting zuviele Adressen "verschwendet", weil nur 2 Nutzbare übrigbleiben.

Daher packt man üblicherweise das komplett in eine DMZ.

Alternativ mappt man die 1:1 auf interne LAN-Adressen durch NAT. In dem Fall kann man sogar alle 8 Adressen nutzen.

Du könntest aber auch einfach einem Router per Hostrouten die einzelnen Adressen an System in Deinem LAN weiterleiten.

Als geräte eignen sich alle besseren Router wie die Ciscos oder Microtiks oder eien "Sebstbaukiste" mit einem BSD oder Linux drauf.

Also:

Sach mal was Du genau machen willst und die Communitiy hier kann Dir vermutlich eine Lösung dafür präsentieren.

lks
Pageman262
Pageman262 06.04.2015 um 19:56:02 Uhr
Goto Top
Hi

erstmal danke für die Antworten. Also ich habe definitiv ein Subnet das zu mir geroutet wird 212.17.xxx.xxx / 28. Daraus ergibt sich das ich 8 IP komplett habe minus 2 (einmal Netzwerk und einmal Broadcast) und minus 1 der Gateway.

Derzeitige Verwendung:
0 Netzwerk
1Gateway
2 Frei
3 Webserver
4 Exchange
5 Frei
6 Owncloud
7Broadcast

Ich bekomme eine VerwaltungsIP von meinen ISP und die nehme ich am WAN des Routers auf (Netgear ProSafe™ Gigabit 8 Port VPN Firewall FVS318N)
Der ist jetzt im Classical Routing Modus und verteilt per DHCP Lan-Seitig das Subnet von 2-6. Das musste ich so einrichten da es nicht anders möglich ist das Subnet sonst zu konsumieren lt. meines ISP

Jetzt habe ich für die IP 3 und 4 einen TP-Link Dual Wan Router der mir die IP aufnimmt mit Nat und dann ins Netzwerk intern 192.168.1.x bringt bzw auch das Portforwarding erledigt

Für IP 6 habe ich einen D-Link der schon alt ist aber für die Owncloud absolut reicht.

Das grosse Problem ist das ich die anderen 2 IP auch noch benötige und nicht schon wieder einen neuen Router dazustellen möchte. Ausserdem wird in absehbarer Zeit mein Subnet vergrößert da ich mit den 5 verwendbaren Adressen sowieso nicht durchkomme.
Daher jetzt der Ansatz das es irgendwie möglich sein muss nicht für jede IP einen Router zu brauchen.

ich hoffe das mir da jetzt irgendwer helfen kann. Hätte gerne 1 Gerät mit den ich auch in weiterer Folge das größere Subnet abdecken kann.
dog
dog 06.04.2015 um 21:58:10 Uhr
Goto Top
minus 2 (einmal Netzwerk und einmal Broadcast) und minus 1 der Gateway.

Wenn man das unbedingt so verschwenderisch konfigurieren will... ;)

Das grosse Problem ist das ich die anderen 2 IP auch noch benötige und nicht schon wieder einen neuen Router dazustellen möchte.

Das gesamte Setup wäre mit einem einzigen Router möglich, wahrscheinlich sogar mit so einem schrottigen FVS318.
Nirgendwo beschreibst du, warum du ausgerechnet für jede IP einen eigenen Router brauchst...
Pageman262
Pageman262 07.04.2015 um 01:04:02 Uhr
Goto Top
Zitat von @dog:

> minus 2 (einmal Netzwerk und einmal Broadcast) und minus 1 der Gateway.

Wenn man das unbedingt so verschwenderisch konfigurieren will... ;)

> Das grosse Problem ist das ich die anderen 2 IP auch noch benötige und nicht schon wieder einen neuen Router dazustellen
möchte.

Das gesamte Setup wäre mit einem einzigen Router möglich, wahrscheinlich sogar mit so einem schrottigen FVS318.
Nirgendwo beschreibst du, warum du ausgerechnet für jede IP einen eigenen Router brauchst...

Wie kann man es denn sonst konfigurieren?? Mir wurde von meinen ISP gesagt das ich das Subnet von Ihnen auf meinen Router verteilen muss. Also wie in der Anleitung von UPC den Router auf Classical Routing gestellt und das Subnet konfiguriert via DHCP zu verteilen. Ich hab ja jetzt nicht wirklich die super Erfahrung aber soweit ich weis verliere ich automatisch Netzwerk und Broadcast und einen Gateway brauche ich doch auch. Hier bin ich gerne bereit was zu lernen und eure Vorschläge aufzugreifen!

Zur Erklärung: Ich gehe intern mit allen IP´s ins gleiche Netz. Ist im Prinzip als ganzes das DMZ. Ist ein HyperV wo IIS, Apache Exchange virtualisiert ist. Die Router verwende ich jetzt da ich ja auf der Firewall nur die öffentliche IP bekomme aber nich damit machen kann. Also einen Router dahinter. Wan die öffentlich IP am Router und Lan immer ins gleiche 192.168 Netz mit jedweiligen Portforwarding.

Zum letzten Punkt. Ich bin ja gerade auf der Suche wo ich das alles mit einen Gerät erledigen kann. Ich lese mich gerne in die Materie ein und lerne dazu. Hast du eine Empfehlung?? Bzw. Nach was müstste ich suchen um mich in die Materie einzulesen?
Dani
Dani 07.04.2015 um 01:24:18 Uhr
Goto Top
212.17.xxx.xxx / 28
Deiner IP-Adresse nach zu urteilen, geht es um einen österreichischen ISP.

Also wie in der Anleitung von UPC den Router auf Classical Routing gestellt und das Subnet konfiguriert via DHCP zu verteilen
Kannst du den Link zu der Anleitung posten? Grundsätzlich muss der ISP den Grundstein legen. Ist dieser nicht gegeben (wie z.B. Unitymedia/KabelBW) führt kein Weg an den 6 Routern vorbei. Diese Diskussion hatten wir schon mehrmals.


Gruß,
Dani
Pageman262
Pageman262 07.04.2015 um 10:47:24 Uhr
Goto Top
Zitat von @Dani:

> 212.17.xxx.xxx / 28
Deiner IP-Adresse nach zu urteilen, geht es um einen österreichischen ISP.

> Also wie in der Anleitung von UPC den Router auf Classical Routing gestellt und das Subnet konfiguriert via DHCP zu
verteilen
Kannst du den Link zu der Anleitung posten? Grundsätzlich muss der ISP den Grundstein legen. Ist dieser nicht gegeben (wie
z.B. Unitymedia/KabelBW) führt kein Weg an den 6 Routern vorbei. Diese Diskussion hatten wir schon mehrmals.


Gruß,
Dani

Ja du hast vollkommen recht ist eine österreichische IP. Habe jetzt mit meinen ISP telefoniert um nochmal die Anleitung zu bekommen. Im zuge des Gespräches wurde mir Angeboten das Subnet so umzustellen das ich mit einer Firewall meiner Wahl das Subnet splitten kann. Mit einen Wort die Herrschaften sind so nett und gehen mal zu Abwechslung auf Kundenwünsche ein.

Bleibt nur noch die Frage welche Firewall dafür geeigent ist und ein kleiner Tipp in welches Thema ich mich einlesen muss? Da ich jetzt dann auch IPv6 Adressen dazu bekomme wäre es schön wenn die Firewall auch IPv6 können würde um ein wenig zukunftssicher zu sein.

Besten Dank für euere Hilfe
michi1983
michi1983 07.04.2015 um 10:51:45 Uhr
Goto Top
Da ich jetzt dann auch IPv6 Adressen dazu bekomme wäre es schön wenn die Firewall auch IPv6 können würde um ein wenig zukunftssicher zu sein.

Darf ich dich fragen um was für ein Produkt es sich hierbei handelt bei UPC?
Firmen oder Privat Anschluss?

Bin nämlich auch UPC Kunde und das wäre interessant zu wissen. Habe davon noch nie etwas gehört.

Gruß
108012
108012 07.04.2015 um 11:09:43 Uhr
Goto Top
Hallo,

Kennt einer von euch eine gute Firewall / Router mit dem das möglich ist und ich das ganze
auf 1 max 2 Geräte reduzieren kann?
- ISP Router zum Modem degradieren (bridged Mode)
- pfSense, ZeroShell, IPFire, ClearOS, RouterOS, OpenWRT oder DD-WRT
Auf einer X86_64 Eigenbau Appliance oder aber ein MikroTik Router
RB450G, RB2011, RB800, RB1100AHx2, CCR1009,......

Damit sollte das dann funktionieren, man hat dazu zwei Möglichkeiten;
- Die IP Adressen vorne am Router eintragen und dann auf die internen IP Adressen forwarden.
- Die IP Adressen direkt auf den Servern benutzen und vorne nur Ports öffnen und forwarden.

Gruß
Dobby
Lochkartenstanzer
Lochkartenstanzer 07.04.2015 um 11:14:04 Uhr
Goto Top
Zitat von @Pageman262:

Wie kann man es denn sonst konfigurieren?? Mir wurde von meinen ISP gesagt das ich das Subnet von Ihnen auf meinen Router
verteilen muss.

Also Dein Setup ist etwas ungewöhnlich.

Normalerweise macht man das so, daß man ein Transfernetz zwischen dem eigenen Router/Firewall hat und der provider Dein /29 Zu Dir routet. Anmerkung: Du hast ein /29 und kein /28, wenn Du nur 8 IP-Adressen zur Verfügung hast.

Dieser Router/Firewall hat dann zwei Beinchen, von denen eines ins LAN udn das andere in die DMZ geht. Das Netz, daß man bekommen hat, wird dann in der DMZ verteilt, meistens "am Stück", weil ein /29 zu teilen keinen Sinn ergibt.

Alle Kisten, die Konnetktivität zum Internet mit einer öffentlichen IP-Adresse benötigen, kommen dann in die DMZ und nicht als VM ins LAN!

Wenn doch mal ausnahmsweise ein System aus dem LAN mit einer öffentlichen Ip-Adresse erreichbar sein muß, richtet man dafür auf dem Firewall-Router ein 1:1-NAT ein.

Diese Aufgabe kann jeder ordentliche Router oder Firewall übernehmen.Viele Ciscos und Microtiks, können das aus dem Stand. Außerdem Firewall wiie Checkpoint, Zyxel oder pfsense. Notfalls "bastelt" man sich das passenden, indem man einfach einen standardPC mit mehreren NICs nimmt udn da BSD oder linux draufknallt udn mit iptables o.ä Regeln erstellt.

Wie man ein alixboard sich selbst für so einen Anwendungsfall "bastelt", hat @aqui in seiner Anleitung Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät beschrieben.

lks
Pageman262
Pageman262 07.04.2015 um 11:15:21 Uhr
Goto Top
Zitat von @michi1983:

> Da ich jetzt dann auch IPv6 Adressen dazu bekomme wäre es schön wenn die Firewall auch IPv6 können würde
um ein wenig zukunftssicher zu sein.

Darf ich dich fragen um was für ein Produkt es sich hierbei handelt bei UPC?
Firmen oder Privat Anschluss?

Bin nämlich auch UPC Kunde und das wäre interessant zu wissen. Habe davon noch nie etwas gehört.

Gruß

Business Fiber Internet Cable. Mit einen 8er Netzt was jetzt dann zu einen 16er wird. Ipv6 kommt ab Juli dazu.
michi1983
michi1983 07.04.2015 um 11:22:49 Uhr
Goto Top
Business Fiber Internet Cable. Mit einen 8er Netzt was jetzt dann zu einen 16er wird. Ipv6 kommt ab Juli dazu.

Wow, dann drücke ich dir die Daumen!

Ich habe bisher bei UPC mit "Business" Produkten nur ins sogenannte "Klo gegriffen".
Lochkartenstanzer
Lochkartenstanzer 07.04.2015 um 11:27:09 Uhr
Goto Top
Zitat von @michi1983:

> Business Fiber Internet Cable. Mit einen 8er Netzt was jetzt dann zu einen 16er wird. Ipv6 kommt ab Juli dazu.

Wow, dann drücke ich dir die Daumen!

Ich habe bisher bei UPC mit "Business" Produkten nur ins sogenannte "Klo gegriffen".

Das wird doch nciht einer dieser provider sein, bei denen das /29 direkt aus deren Router "fällt" udn die dann für jede IP-adresse dann einen eigene MAC-Adresse haben wollen? Wenn ja, sofort kündigen.

lks
michi1983
michi1983 07.04.2015 aktualisiert um 11:36:06 Uhr
Goto Top
Das wird doch nciht einer dieser provider sein, bei denen das /29 direkt aus deren Router "fällt" udn die dann für jede IP-adresse dann einen eigene MAC-Adresse haben wollen? Wenn ja, sofort kündigen.

Das kann ich nicht einmal beantworten. Aber UPC ist ein reiner Privatprovider und das vergessen viele.
Es gab damals einen richtigen Business Provider Namens "inode" in Österreich welcher von UPC aufgekauft wurde.
UPC hat dann eine Art "Business Sparte" aufgezogen und die "inode" Leute dafür eingesetzt. Das ist das, was sie heute unter "Business" verkaufen.
Leider hatte die Qualität nach dieser Fusionierung extremst gelitten. Egal ob Support, Hardware etc. es war ein Graus.

Ich war dann froh, als wir endlich aus dem Vertrag raus konnten und uns einen richtigen Business Provider sichern konnten.

Wie UPC mittlerweile business-technisch da steht, kann ich nicht mehr beurteilen da ich wie gesagt schon länger weg bin von denen.

Ich drücke ihm wie gesagt die Daumen, dass er nicht die selben Erfahrungen machen muss wie ich damals.
Pageman262
Pageman262 07.04.2015 um 12:33:20 Uhr
Goto Top
Zitat von @108012:

Hallo,

- ISP Router zum Modem degradieren (bridged Mode)
Ist bereits jetzt so und dahinter sitzt jetzt die Netgear Firewall

- pfSense, ZeroShell, IPFire, ClearOS, RouterOS, OpenWRT oder DD-WRT
Auf einer X86_64 Eigenbau Appliance oder aber ein MikroTik Router
RB450G, RB2011, RB800, RB1100AHx2, CCR1009,......
Werde ich mir ansehen und kaufen danke!

Damit sollte das dann funktionieren, man hat dazu zwei Möglichkeiten;
- Die IP Adressen vorne am Router eintragen und dann auf die internen IP Adressen forwarden.
Ist es dann so möglich das ich pro IP bestimmte Ports weiterleiten kann auf die Server?
- Die IP Adressen direkt auf den Servern benutzen und vorne nur Ports öffnen und forwarden.

Gruß
Dobby

Pageman262
Pageman262 07.04.2015 um 12:34:36 Uhr
Goto Top

Das wird doch nciht einer dieser provider sein, bei denen das /29 direkt aus deren Router "fällt" udn die dann
für jede IP-adresse dann einen eigene MAC-Adresse haben wollen? Wenn ja, sofort kündigen.

lks

Nein ist es nicht ich brauche keine MAC irgendwo einzutragen.
Pageman262
Pageman262 07.04.2015 um 12:37:28 Uhr
Goto Top
Zitat von @michi1983:

> Das wird doch nciht einer dieser provider sein, bei denen das /29 direkt aus deren Router "fällt" udn die dann
für jede IP-adresse dann einen eigene MAC-Adresse haben wollen? Wenn ja, sofort kündigen.

Das kann ich nicht einmal beantworten. Aber UPC ist ein reiner Privatprovider und das vergessen viele.
Es gab damals einen richtigen Business Provider Namens "inode" in Österreich welcher von UPC aufgekauft wurde.
UPC hat dann eine Art "Business Sparte" aufgezogen und die "inode" Leute dafür eingesetzt. Das ist das,
was sie heute unter "Business" verkaufen.
Leider hatte die Qualität nach dieser Fusionierung extremst gelitten. Egal ob Support, Hardware etc. es war ein Graus.

Ich war dann froh, als wir endlich aus dem Vertrag raus konnten und uns einen richtigen Business Provider sichern konnten.

Wie UPC mittlerweile business-technisch da steht, kann ich nicht mehr beurteilen da ich wie gesagt schon länger weg bin von
denen.

Muss ehrlich sagen das im Moment UPC deutlich besser ist als die Telekom und auch bei weiten billiger. Die Trennung zw. Privat und Business funkt jetzt eigentlich sehr gut und die Leute die im Support sitzen sind eigentlich immer sehr kompetent.
Wie schon geschrieben brauche ich keine MAC eintragen. Es handelt sich definitiv um ein geroutetes Subnet das ich konsumiere.

Nur noch kurz zu meinen Aufbau. Das ganze ist im Prinzip unser DMZ. Wir haben keinen Zugang zum anderen Netzwerk. Das einzige was mit dem HyperV verbunden ist ist ein AdminPC. Daher habe ich auch nichts esplizit ins DMZ gelegt.
Ich drücke ihm wie gesagt die Daumen, dass er nicht die selben Erfahrungen machen muss wie ich damals.
Pageman262
Pageman262 07.04.2015 um 13:57:59 Uhr
Goto Top
Einmal muss ich euch jetzt noch bemühen. Ich habe mir jetzt pfSence im HyperV zum testen installiert. Habe ich das aus dem Handbuch richtig verstanden das ich nur virtuelle IP anlegen muss und dann Nat-Rules dazu und das wars?
aqui
Lösung aqui 07.04.2015 aktualisiert um 16:55:46 Uhr
Goto Top
Jau, das hast du richtig verstanden !
Weitere Infos findest du auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Pageman262
Pageman262 07.04.2015 um 16:57:20 Uhr
Goto Top
Besten Dank an alle. Es funkt wie gewünscht. Jetzt noch richtige Hardware bestellen und passt.

Eine super Comunity hier!
aqui
aqui 07.04.2015 um 18:30:59 Uhr
Goto Top
Na die Auswahl ist ja kinderleicht... face-wink
Siehe Tutorial oben und ein ALIX APU1D
Pageman262
Pageman262 07.04.2015 um 19:00:36 Uhr
Goto Top
Zitat von @aqui:

Na die Auswahl ist ja kinderleicht... face-wink
Siehe Tutorial oben und ein ALIX APU1D

Ja hab gleich ein 19" System bestellt. Ein fertiges da gibts keine Überraschungen.
aqui
aqui 08.04.2015 um 11:18:21 Uhr
Goto Top
Na ja die hat man aber auch nicht wenn man den Schraubendreher in die Hand nimmt. face-wink
Ist aber letztlich egal. Hauptsache es setzt das um was du benötigst !
aschinnerl
aschinnerl 13.04.2015 um 23:09:44 Uhr
Goto Top
Also ich würde auf eine fertige Firewall gehen wie ZyXEL.

Ich selbst habe auf meiner ZyXEL Firewall 2 Provider angeschlossen, von beiden bekomme ich ein 8er Subnet geroutet. Beide 8er Netze schalte ich in mein LAN, DMZ usw. durch. Per Policy Routing kann ich sogar sogar definieren über welche IP genau welche interne IP, DHCP Bereich, Server usw. das mein LAN verlässt und das internet betritt.

PS: Komme auch aus Österreich face-smile
Pageman262
Pageman262 13.04.2015 um 23:47:39 Uhr
Goto Top
Zitat von @aschinnerl:

Also ich würde auf eine fertige Firewall gehen wie ZyXEL.

Ich selbst habe auf meiner ZyXEL Firewall 2 Provider angeschlossen, von beiden bekomme ich ein 8er Subnet geroutet. Beide 8er
Netze schalte ich in mein LAN, DMZ usw. durch. Per Policy Routing kann ich sogar sogar definieren über welche IP genau welche
interne IP, DHCP Bereich, Server usw. das mein LAN verlässt und das internet betritt.

PS: Komme auch aus Österreich face-smile

Also ich habe erst heute die Hardware bekommen. Bis dato sieht das ganze nicht so schlecht aus. Muss bis Samstag warten um dann produktiv zu testen aber wie gesagt bis jetzt sieht die Lösung mit sfSence sehr gut aus. Wenn du willst halte ich dich aber gerne am laufen
aqui
aqui 14.04.2015 um 08:57:06 Uhr
Goto Top
Also ich würde auf eine fertige Firewall gehen wie ZyXEL.
Besser nicht !
Die bietet als billiges Consumer Produkt erheblich weniger Features und Funktionen als die pfSense und wäre ein herber Rückschlag in den Optionen.
Vergiss das also besser schnell wieder und bleibe bei deiner Lösung !
Pageman262
Pageman262 22.04.2015 um 22:40:37 Uhr
Goto Top
Zitat von @aqui:

> Also ich würde auf eine fertige Firewall gehen wie ZyXEL.
Besser nicht !
Die bietet als billiges Consumer Produkt erheblich weniger Features und Funktionen als die pfSense und wäre ein herber
Rückschlag in den Optionen.
Vergiss das also besser schnell wieder und bleibe bei deiner Lösung !

So liebe Leute,

wie versprochen ein Bericht. Das Ding läuft super. Nach anfänglichen Schwierigkeiten (installation nur über Seriell) hab ich die Hardware in Betrieb genommen. Den Funktionsumfang hast du normal nur bei Geräten die weit über 250 Euro liegen und paar Stunden install und konfig!

Bin mehr als zufrieden mit der Lösung! Für alle österreichischen UPC Kunden! Es gibt IPv6 Netzwerke für Kunden die über 250 Mbit/s syncron konsumieren. Da wird es von Seiten UPC bereitgestellt und es ist kein Proble das mit pfSense zu verwalten.

Ich kann diese Lösung nur jeden ans Herz legen der ein wenig auf Preis / Leistung achtet!

Einziges Minus ist die dann doch sehr spärliche WIKI aber das ist auch alles!

lg
aqui
aqui 23.04.2015 um 08:17:00 Uhr
Goto Top
Statt Wiki gibts doch Administrator.de face-big-smile
Danke für das hilfreiche Feedback !