10
Subnetzübergreifender Zugriff (Vodafone Unitymedia Cable)
Hallo liebe Mitglieder,
ich bin seit Jahren Kunde bei Vodafone (ehemals Unitymedia, KabelBW). Ebenfalls habe ich seit 2 Jahren einen Business Vertrag mit Öffentlicher IP-Adresse im Subnetz 30.
Im nachfolgenden Diagramm habe ich einmal meine Konfiguration aufgezeigt.
Mein Problem besteht darin, dass ich im Firewall Netzwerk (x.x.x.6/30) Web- und Mailserver laufen habe und über das NAT-Netzwerk, welches sich vor der Firewall befindet (also ein Client-Computer aus dem Netzwerk 192.168.0.x), über die öffentliche IP-Adresse (x.x.x.6) bzw. den öffentlichen DNS-Namen zugreifen möchte. Allerdings funktioniert das nicht.
Ich vermute, dass es hier ein Routing Problem gibt, welches sich bestimmt einfach lösen lässt, leider finde ich keine offizielle Lösung bei Vodafone bzw. bisher im Internet.
Mein Problem wird dadurch erweitert, dass ich für bestimmte Server komplett eigene IP-Adressen benötige und diese (geplant) auf eigene öffentliche IP-Adressen umgestellt werden (Wechsel des Subnetzes bei Vodafone) spätestens dann sollte der Zugriff von den anderen Netzwerken möglich sein.
Beispiel: Server1 (x.x.x.7), Server2 (x.x.x.8) sollten von beiden (x.x.x.6) sowie dem NAT Netzwerk wie beschriebenen aufrufbar sein.
Vielen Dank für eure Hilfe bereits im Vorraus.
ich bin seit Jahren Kunde bei Vodafone (ehemals Unitymedia, KabelBW). Ebenfalls habe ich seit 2 Jahren einen Business Vertrag mit Öffentlicher IP-Adresse im Subnetz 30.
Im nachfolgenden Diagramm habe ich einmal meine Konfiguration aufgezeigt.
Mein Problem besteht darin, dass ich im Firewall Netzwerk (x.x.x.6/30) Web- und Mailserver laufen habe und über das NAT-Netzwerk, welches sich vor der Firewall befindet (also ein Client-Computer aus dem Netzwerk 192.168.0.x), über die öffentliche IP-Adresse (x.x.x.6) bzw. den öffentlichen DNS-Namen zugreifen möchte. Allerdings funktioniert das nicht.
Ich vermute, dass es hier ein Routing Problem gibt, welches sich bestimmt einfach lösen lässt, leider finde ich keine offizielle Lösung bei Vodafone bzw. bisher im Internet.
Mein Problem wird dadurch erweitert, dass ich für bestimmte Server komplett eigene IP-Adressen benötige und diese (geplant) auf eigene öffentliche IP-Adressen umgestellt werden (Wechsel des Subnetzes bei Vodafone) spätestens dann sollte der Zugriff von den anderen Netzwerken möglich sein.
Beispiel: Server1 (x.x.x.7), Server2 (x.x.x.8) sollten von beiden (x.x.x.6) sowie dem NAT Netzwerk wie beschriebenen aufrufbar sein.
Vielen Dank für eure Hilfe bereits im Vorraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 1729639991
Url: https://administrator.de/contentid/1729639991
Printed on: August 31, 2024 at 22:08 o'clock
10 Comments
Latest comment
Also wenn ich das richtig verstehe, möchtest du von einem Client aus dem 192.168.0.x/24 Netzwerk über den Router (Fritzbox) auf den Web- und Mailserver im Netzwerk 10.1.0.x/24 zugreifen, korrekt?
Genau 
und das über die öffentliche IP-Adresse. Vielleicht ist noch anzumerken das es aus dem Netzwerk der FritzBox von Vodafone ebenfalls nicht möglich ist.
und das über die öffentliche IP-Adresse. Vielleicht ist noch anzumerken das es aus dem Netzwerk der FritzBox von Vodafone ebenfalls nicht möglich ist.
Moin,
das kann ich bestätigen, das funktioniert nicht und Unitymedia/Vodafone bekommt es auch nicht gelöst.
Ich betreue auch ein /29er-Netz mit drei Firewalls auf der .26, .27 und .28
Hinter der .26 läuft eine Nextcloud, die von extern einwandfrei erreichbar ist, die ich aber nicht aus den internen Netzen hinter der .27 und .28 erreiche.
Vodafone scheint in deren Netzabschlussgerät (.25) meine IPs voneinander zu isolieren. Aber wie gesagt, der Support ist mit der Anfrage hoffnungslos überfordert, deshalb habe ich es in der Tat aufgegeben.
VG
das kann ich bestätigen, das funktioniert nicht und Unitymedia/Vodafone bekommt es auch nicht gelöst.
Ich betreue auch ein /29er-Netz mit drei Firewalls auf der .26, .27 und .28
Hinter der .26 läuft eine Nextcloud, die von extern einwandfrei erreichbar ist, die ich aber nicht aus den internen Netzen hinter der .27 und .28 erreiche.
Vodafone scheint in deren Netzabschlussgerät (.25) meine IPs voneinander zu isolieren. Aber wie gesagt, der Support ist mit der Anfrage hoffnungslos überfordert, deshalb habe ich es in der Tat aufgegeben.
VG
Zitat von @geohomerlte:
Genau und das über die öffentliche IP-Adresse. Vielleicht ist noch anzumerken das es aus dem Netzwerk der FritzBox von Vodafone ebenfalls nicht möglich ist.
Genau
und das über die öffentliche IP-Adresse. Vielleicht ist noch anzumerken das es aus dem Netzwerk der FritzBox von Vodafone ebenfalls nicht möglich ist.Moment, über die öffentliche IP-Adresse? Sprichst du die Server mit DNS Namen oder IP-Adresse an?
@chgorges
Ich bin froh 😂 das ich nicht an meinem Verstand zweifeln muss und mehrere das Problem haben …. Ich finde es nur sehr problematisch das Vodafone das nicht in den Griff bekommt …. :/ also um es richtig zu realisieren benötigt man dann unnötigerweise mehrere Internet Anschlüsse 🙄🙄
Sowohl als auch, prinzipiell ist es ja egal wie ich zugreife. Interne DNS Server kommen leider nicht in Frage da die Wartung dieser zu zeitaufwändig wäre…. Aber ich danke euch schon einmal für eure schnellen Antworten.
Ich bin froh 😂 das ich nicht an meinem Verstand zweifeln muss und mehrere das Problem haben …. Ich finde es nur sehr problematisch das Vodafone das nicht in den Griff bekommt …. :/ also um es richtig zu realisieren benötigt man dann unnötigerweise mehrere Internet Anschlüsse 🙄🙄
Zitat von @Komabaer:
Moment, über die öffentliche IP-Adresse? Sprichst du die Server mit DNS Namen oder IP-Adresse an?
Zitat von @geohomerlte:
Genau und das über die öffentliche IP-Adresse. Vielleicht ist noch anzumerken das es aus dem Netzwerk der FritzBox von Vodafone ebenfalls nicht möglich ist.
Genau
und das über die öffentliche IP-Adresse. Vielleicht ist noch anzumerken das es aus dem Netzwerk der FritzBox von Vodafone ebenfalls nicht möglich ist.Moment, über die öffentliche IP-Adresse? Sprichst du die Server mit DNS Namen oder IP-Adresse an?
Sowohl als auch, prinzipiell ist es ja egal wie ich zugreife. Interne DNS Server kommen leider nicht in Frage da die Wartung dieser zu zeitaufwändig wäre…. Aber ich danke euch schon einmal für eure schnellen Antworten.
Moin,
So wie ich das sehe, ist das vermutlich eine gemurkste Fritzboxkonfiguration. Die Fritten können i.d.R nur ein Subnetz (und ggf. ein Gastnetz) bedienen. Unitymedia/KabelBW hatte schon immer Probleme mit mehreren IP-Adressen udn werden vermutlich mit dieser Fritzbox irgendetwas zusammengemurkst haben, um so zu tun, als ob sie ein öffentliches Subnetz ordentlich routen können.
Mein Vorschlag wäre, die Fritte zu entsorgen, ein Modem zu holen und dahinter einen eigenen ordentlichen Router wie einen Cisco, Mikrotik , LanCom, pfsense, etc. zu nehmen.
lks
So wie ich das sehe, ist das vermutlich eine gemurkste Fritzboxkonfiguration. Die Fritten können i.d.R nur ein Subnetz (und ggf. ein Gastnetz) bedienen. Unitymedia/KabelBW hatte schon immer Probleme mit mehreren IP-Adressen udn werden vermutlich mit dieser Fritzbox irgendetwas zusammengemurkst haben, um so zu tun, als ob sie ein öffentliches Subnetz ordentlich routen können.
Mein Vorschlag wäre, die Fritte zu entsorgen, ein Modem zu holen und dahinter einen eigenen ordentlichen Router wie einen Cisco, Mikrotik , LanCom, pfsense, etc. zu nehmen.
lks
dass ich im Firewall Netzwerk (x.x.x.6/30) Web- und Mailserver laufen habe
Glückwunsch ! Du bist ein wahrer Zauberer wenn du das mit einem /30er Prefix zum Laufen bekommen hast ! Respekt !Wie du das hinbekommen hast wird die Community hier sicher brennend interessieren....
Die IP Netzwerk Angabe des LAN 2 ist IP adresstechnischer Unsinn ! Mal ganz davon abgesehen das LAN1 und 2 auf der FritzBox immer im gleichen IP Netz liegen.
Nur mal als Beispiel wenn man dein Beispiel mit der Adresse 10.0.0.6 /30 betrachtet:
- Netzwerk = 10.0.0.4
- Broadcast = 10.0.0.7
- Nutzbare Hostadressen = 10.0.0.5 (FritzBox), 10.0.0.6 (Firewall)
Allerdings funktioniert das nicht.
Das ist auch nicht groß verwunderlich, weil die Fritzbox Hardware lokal keine 2 Netze bedienen kann oder nur mit dem Umweg des Gastnetzes was dann an LAN4 liegt aber nicht an LAN 2 !!LAN 1 und 2 sind über den embeddeten 4 Port Switch der FritzBox immer im gleichen lokalen IP Netz. Ein 2ter Punkt der das gesamte Konzept zum Scheitern bringt. Die Kollegen haben es oben schon gesagt...
Mit der FritzBox als Hardware ist das so nicht umsetzbar.
Das ganze Design ist etwas unsinnig. Besser wäre die beiden Segmente an die Firewall zu hängen, so das die mit einem Segment das Server Netz 10.1.0.0 /24 und mit dem anderen das Computer Segment 192.168.0.0 /24 bedient und das 3te Interface dann den Uplink zur FritzBox realisiert.
Klassische Designs siehst du z.B. HIER.
1Zitat von @aqui:
Wie du das hinbekommen hast wird die Community hier sicher brennend interessieren....
Die IP Netzwerk Angabe des LAN 2 ist IP adresstechnischer Unsinn ! Mal ganz davon abgesehen das LAN1 und 2 auf der FritzBox immer im gleichen IP Netz liegen.
Nur mal als Beispiel wenn man dein Beispiel mit der Adresse 10.0.0.6 /30 betrachtet:
dass ich im Firewall Netzwerk (x.x.x.6/30) Web- und Mailserver laufen habe
Glückwunsch ! Du bist ein wahrer Zauberer wenn du das mit einem /30er Prefix zum Laufen bekommen hast ! Respekt !Wie du das hinbekommen hast wird die Community hier sicher brennend interessieren....
Die IP Netzwerk Angabe des LAN 2 ist IP adresstechnischer Unsinn ! Mal ganz davon abgesehen das LAN1 und 2 auf der FritzBox immer im gleichen IP Netz liegen.
Nur mal als Beispiel wenn man dein Beispiel mit der Adresse 10.0.0.6 /30 betrachtet:
- Netzwerk = 10.0.0.4
- Broadcast = 10.0.0.7
- Nutzbare Hostadressen = 10.0.0.5 (FritzBox), 10.0.0.6 (Firewall)
Auch wenn ich mich etwas falsch ausdrücke, scheint man mein Problem ja doch verstanden zu haben.
Meine Firewall ist nach Angaben von Vodafone konfiguriert (6.2.3: PDF)
Die FritzBox zeigt die Firewall mit der Öffentlichen IP-Adresse an (wie auf Seite 23 der PDF angezeigt)
Zitat von @aqui:
LAN 1 und 2 sind über den embeddeten 4 Port Switch der FritzBox immer im gleichen lokalen IP Netz. Ein 2ter Punkt der das gesamte Konzept zum Scheitern bringt. Die Kollegen haben es oben schon gesagt...
Mit der FritzBox als Hardware ist das so nicht umsetzbar.
Ich bin auch nicht begeistert das an dieser Stelle eine Fritzbox, bei der die meisten Funktionen von uns deaktiviert wurden benutzt werden muss, allerdings bietet Vodafone die Statische öffentliche Adresse nur mit der Vodafoneeigenen Hardware (in diesem fall nur mit der FritzBox 6591) an. Bei einer Tarifumstellung im vergangenen Jahr bekam ich diese Aussage wieder durch die technische Abteilung von Vodafone/Unitymedia. Inwiefern das stimmt, kann ich natürlich nicht beurteilen!!LAN 1 und 2 sind über den embeddeten 4 Port Switch der FritzBox immer im gleichen lokalen IP Netz. Ein 2ter Punkt der das gesamte Konzept zum Scheitern bringt. Die Kollegen haben es oben schon gesagt...
Mit der FritzBox als Hardware ist das so nicht umsetzbar.
Zitat von @aqui:
Das ganze Design ist etwas unsinnig. Besser wäre die beiden Segmente an die Firewall zu hängen, so das die mit einem Segment das Server Netz 10.1.0.0 /24 und mit dem anderen das Computer Segment 192.168.0.0 /24 bedient und das 3te Interface dann den Uplink zur FritzBox realisiert.
Klassische Designs siehst du z.B. HIER.
Das ganze Design ist etwas unsinnig. Besser wäre die beiden Segmente an die Firewall zu hängen, so das die mit einem Segment das Server Netz 10.1.0.0 /24 und mit dem anderen das Computer Segment 192.168.0.0 /24 bedient und das 3te Interface dann den Uplink zur FritzBox realisiert.
Klassische Designs siehst du z.B. HIER.
Natürlich wäre das besser, allerdings ändert das nichts an meinem Problem! es ist generell nicht möglich intern auf die externe Adresse zuzugreifen. Und die Netzwerke müssen voneinander getrennt sein. Ebenfalls funktioniert diese Lösung nicht, wenn bei Vodafone weitere IP-Adressen freigeschaltet werden und an diesen dann Server laufen sollen, die idr. Keine Hardwarefirewall benötigen.
scheint man mein Problem ja doch verstanden zu haben.
Dafür ist das ja hier auch ein "Administrator" Forum ! Wenn man viele solcher Gruseldesigns gesehen hat denkt man immer mit... 
Die FritzBox zeigt die Firewall mit der Öffentlichen IP-Adresse an
Das ist technisch unmöglich. Außer natürlich du hast eine alternative Firmware auf der FritzBox wie Freetz oder OpenWRT.Mit der normalen AVM Firmware ist das technisch unmöglich, denn es gelten folgende fest von AVM implementierte Regeln:
- 1.) Die FritzBox supportet keine mehrfachen lokalen Interfaces ! Im Normalfall arbeiten die 4 Ports der FritzBox als Layer 2 Switch und alle Port befinden sich gleichwertig im lokalen LAN (Default IP 192.168.178.0 /24)
- 2.) Bei einem Modem Bypass auf der FritzBox (vorhandenen Internet Anschluss nutzen, integriertes Modem deaktiviert) ist der Port LAN1 der Internet / WAN Port im DHCP Client Mode. Ports 2-4 sind lokales LAN
- 3.) Aktiviert man das FritzBox Gastnetz wird dieses fest auf den LAN4 Port gelegt. Mit aktiviertem Bypass ist dann Port 1 = Internet (DHCP Client), Ports 2-3 = lokales LAN, Port 4 = Gastnetz
In Bezug auf diese 3 durch AVM festgelegten Punkte ist deine obige Zeichnung in mehreren Punkten falsch und verwirrend für die Community hier:
- Niemand weiss welcher Port mit öffentliche IP gemeint ist ? Vermutlich der Modem Port, was dann aber besagt das kein Bypass aktiv ist und ergo niemals die öffentliche IP der Firewall an Port 1 zu sehen sein kann (klar, denn ohne Bypass ist Port 1 mit allen anderen Ports im lokalen LAN !) LAN 1 ist also im lokalen LAN mit allen Restports 2-4.
- LAN 2 kann immer nur ein Port im lokalen LAN der FritzBox sein
- Mit aktivem Bypass ist LAN 1 der Internet Port. Damit wäre dann die Angabe öffentliche IP am (vermutlich) Modemport Unsinn, denn das Modem ist mit Bypassing deaktiviert und funktionslos
Die o.a. Zeichnung steckt voller Widersprüche und falschen technischen Angaben und kann zumindestens wie sie dort gezeichnet ist niemals funktionieren.
Wenn dann solltest du einmal genau definieren welcher Port wo angeschlossen ist, wo NAT (Adress Translation) gemacht wird und wo nicht. Syntaktisch richtige IP Adressierung anzugeben usw.
Andernfalls drehen wir uns hier doch alle im Kreis beim Helfen, denn niemand sieht wie es richtig aussieht.
es ist generell nicht möglich intern auf die externe Adresse zuzugreifen.
Doch das geht ohne Probleme sofern man NAT Hairpinning Probleme vermeidet. Am kaskadierten system wie deinem NAT Router oder der Firewall kann man das entsprechend customizen so das das das sauber funktioniert.Ebenfalls funktioniert diese Lösung nicht, wenn bei Vodafone weitere IP-Adressen freigeschaltet werden
Das ist logisch und verständlich weil die FrtzBox sowas nicht supportet. Was erwartest du auch von einem billigen Consumer Plasterouter ?In so einem Falle würde die FB im Bridge Mode auf die Firewall arbeiten und auf der Firewall nutzt du dann Alias IPs deiner weiteren IP Adressen um diese mit Servern hinter der Firewall (DMZ LAN etc.) fest zu verknüpfen. Ein simples Standarddesign was millionenfach im Einsatz ist und natürlich auch bei Wodkafön klappt. Alternativ nutzt du ein reines NUR Modem statt einer Router Kaskade mit der FritzBox und terminierst das Internet direkt auf deinem Firewall.
Damit sind wir dann wieder bei dem dir oben vorgeschlagenen Design alles über die Firewall zu bedienen was technisch zweifelsohne am besten ist.
DU hast es also selber in der Hand es richtig zu machen mit richtiger Hardware oder einem etwas veränderten Design !
Wie eine klassische Router Firewall Kaskade mit FritzBox aussieht kannst du dir z.B. hier ansehen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn's das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !!
How can I mark a post as solved?
How can I mark a post as solved?
