Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VDSL mit 8 fixen IPs an Cisco Pix 506e

Mitglied: stonee76

stonee76 (Level 1) - Jetzt verbinden

01.02.2010, aktualisiert 22:08 Uhr, 6188 Aufrufe, 8 Kommentare

Hallo

wir haben hier einen VDSL Anschluss der einen fixen IP Block (/29) beinhaltet. Der VDSL Router hängt im Bridge-Modus vor einer PIX 506e welche das PPPoE erledigt.
Das ganze funktioniert leider nur "Teilweise"....

Auf dem outside Interface bekommt die PIX per PPPoE eine statische IP (212.129.xxx.yyy/32) zugewiesen. auf dem inside interface ist ein privates Netz (172.24.0.0/24) konfiguriert. Der 8-er Block beinhaltet das Netz 62.167.4.136/29.
Ich habe einige IPs aus dem 62er Block per statischem NAT auf interne Adressen konfiguriert auf welchen Mail usw laufen. Leider sind diese Adressen nicht von überall erreichbar, so kann man z.B. von (172.24.0.28 / 62.167.4.139) auf golem.de zugreifen nicht aber auf heise.de.

Traceroute von (172.24.0.28 / 62.167.4.136 ) auf die Beispiele von oben:

www.golem.de
1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 22 ms 21 ms 20 ms 212.161.251.186
5 22 ms 25 ms 21 ms ae-1-1.bbr1.fra3.de.inetbone.net [80.81.192.

6 38 ms 38 ms 38 ms l0.core1.fra3.inetbone.net [83.220.157.66]
7 38 ms 39 ms 39 ms vl331.dh65.ls.b.all.de [212.21.76.114]
8 52 ms 38 ms 38 ms vz-srv28.syseleven.de [193.164.134.28]
9 38 ms 37 ms 38 ms server-z160.syseleven.de [193.164.134.160]


www.heise.de
1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 21 ms 37 ms 20 ms 212.161.251.186
5 * * * Zeitüberschreitung der Anforderung.
6 21 ms 21 ms 20 ms heise2.f.de.plusline.net [82.98.98.106
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
..... bis Hop 30 so weiter....

Das ganze setzt sich für beliebige Netze fort.

Hier die Config der PIX

01.
Building configuration...
02.
: Saved
03.
:
04.
PIX Version 6.3(3)
05.
interface ethernet0 auto
06.
interface ethernet1 auto
07.
nameif ethernet0 outside security0
08.
nameif ethernet1 inside security100
09.
enable password *** encrypted
10.
passwd *** encrypted
11.
hostname pix
12.
domain-name xxx.yy
13.
clock timezone CEST 1
14.
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
15.
fixup protocol dns maximum-length 512
16.
fixup protocol ftp 21
17.
fixup protocol h323 h225 1720
18.
fixup protocol h323 ras 1718-1719
19.
fixup protocol http 80
20.
fixup protocol pptp 1723
21.
fixup protocol rsh 514
22.
fixup protocol rtsp 554
23.
fixup protocol sip 5060
24.
fixup protocol sip udp 5060
25.
fixup protocol skinny 2000
26.
fixup protocol smtp 25
27.
fixup protocol sqlnet 1521
28.
fixup protocol tftp 69
29.
names
30.
name 172.24.0.35 dev
31.
name 172.24.0.33 monolith
32.
name 172.24.0.75 dev2
33.
name 172.24.0.28 mail
34.
object-group service MailServer tcp
35.
  port-object eq https
36.
  port-object eq www
37.
  port-object eq smtp
38.
access-list outside_access_in permit icmp any any 
39.
access-list outside_access_in permit tcp any host 62.167.4.139 object-group MailServer 
40.
access-list outside_access_in permit tcp any host 62.167.4.140 eq ssh 
41.
access-list outside_access_in permit tcp any host 62.167.4.140 eq www 
42.
access-list vpn_members_splitTunnelAcl permit ip 172.24.0.0 255.255.255.0 any 
43.
access-list inside_outbound_nat0_acl permit ip 172.24.0.0 255.255.255.0 10.24.42.0 255.255.255.0 
44.
access-list outside_cryptomap_dyn_20 permit ip any 10.24.42.0 255.255.255.0 
45.
pager lines 24
46.
logging on
47.
logging host inside 172.24.0.79
48.
icmp permit any outside
49.
mtu outside 1500
50.
mtu inside 1500
51.
ip address outside pppoe setroute
52.
ip address inside 172.24.0.1 255.255.255.0
53.
ip audit info action alarm
54.
ip audit attack action alarm
55.
ip local pool vpn_ch 10.24.42.1-10.24.42.254
56.
pdm location dev 255.255.255.255 inside
57.
pdm location monolith 255.255.255.255 inside
58.
pdm location 10.24.42.0 255.255.255.0 inside
59.
pdm location mail 255.255.255.255 inside
60.
pdm location dev2 255.255.255.255 inside
61.
pdm location 172.24.0.79 255.255.255.255 inside
62.
pdm location 62.167.4.136 255.255.255.248 outside
63.
pdm logging informational 100
64.
pdm history enable
65.
arp timeout 14400
66.
global (outside) 1 interface
67.
global (outside) 2 62.167.4.138
68.
nat (inside) 0 access-list inside_outbound_nat0_acl
69.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
70.
static (inside,outside) 62.167.4.139 mail netmask 255.255.255.255 0 0 
71.
static (inside,outside) 62.167.4.140 dev netmask 255.255.255.255 0 0 
72.
access-group outside_access_in in interface outside
73.
timeout xlate 0:05:00
74.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
75.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
76.
timeout uauth 0:05:00 absolute
77.
aaa-server TACACS+ protocol tacacs+ 
78.
aaa-server RADIUS protocol radius 
79.
aaa-server RADIUS (inside) host monolith success88 timeout 5
80.
aaa-server LOCAL protocol local 
81.
ntp server 77.109.137.140 source inside prefer
82.
http server enable
83.
http 172.24.0.0 255.255.255.0 inside
84.
no snmp-server location
85.
no snmp-server contact
86.
snmp-server community public
87.
no snmp-server enable traps
88.
floodguard enable
89.
sysopt connection permit-ipsec
90.
sysopt connection permit-pptp
91.
sysopt connection permit-l2tp
92.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
93.
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
94.
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
95.
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
96.
crypto map outside_map client authentication RADIUS
97.
crypto map outside_map interface outside
98.
isakmp enable outside
99.
isakmp nat-traversal 30
100.
isakmp policy 20 authentication pre-share
101.
isakmp policy 20 encryption 3des
102.
isakmp policy 20 hash md5
103.
isakmp policy 20 group 2
104.
isakmp policy 20 lifetime 86400
105.
vpngroup vpn_members address-pool vpn_ch
106.
vpngroup vpn_members dns-server mail
107.
vpngroup vpn_members default-domain xxx.yy
108.
vpngroup vpn_members split-tunnel vpn_members_splitTunnelAcl
109.
vpngroup vpn_members idle-time 1800
110.
vpngroup vpn_members password ********
111.
telnet 172.24.0.0 255.255.255.0 inside
112.
telnet timeout 5
113.
ssh 172.24.0.0 255.255.255.0 inside
114.
ssh timeout 5
115.
console timeout 0
116.
vpdn group pppoe_group request dialout pppoe
117.
vpdn group pppoe_group localname dslUSer 
118.
vpdn group pppoe_group ppp authentication mschap
119.
vpdn username dslUSer password ********* store-local
120.
terminal width 80
121.
Cryptochecksum:5e63725911e2e60ed963863338802e78
122.
: end
123.
[OK]
Hier noch der Output von show route der PIX

01.
 outside 0.0.0.0 0.0.0.0 212.161.209.109 1 PPPOE static
02.
 inside 172.24.0.0 255.255.255.0 172.24.0.1 1 CONNECT static
03.
 outside 212.161.129.234 255.255.255.255 212.161.129.234 1 CONNECT static
Das selbe betrifft auch die dynamischen Client wenn das NAT mit einer 62er Adresse gemacht wird, mache ich das NAT für die dynamischen Clients jedoch mit der PPPoE Adresse funktionieren diese ohne Probleme.

Ich finde hier leider den Fehler nicht, falls also jemand einen Tipp hat was hier falsch konfiguriert ist wäre ich sehr dankbar.

Gruss Stonee76
Mitglied: aqui
02.02.2010 um 08:55 Uhr
Nur nochmal dumm nachgefragt: Das Outside Interface und der öffentliche IP Block können ja, da sie in vollkommen unterschiedlichen IP Netzen liegen, niemals auf einem physischen Interface arbeiten !!
In so fern ist unklar wo dein öffentliches Subnetz liegt. Kann ja eigentlich dann nur ein DMZ Segment an der PIX sein was dann im Design so aussieht:

5203d1ec07c9413bbf50821c948fa566 - Klicke auf das Bild, um es zu vergrößern

Ist dem so ??? Das DMZ Segment wird dann logischerweise nicht geNATtet, richtig ??
Wenn das alles so ist dann kannst du niemals die 62er Adressen als statische IPs auf dem Outside Interface konfigurieren. Damit rennst du in ein Routing Problem...logisch. Der Providerrouter geht davon aus das dein Subnetz 62.167.4.136 /29 hinter der festen Gateway IP 212.129.x.y liegt und hat diese als next Hop konfiguriert.
Du legst diese 62er IPs dann aber fälschlich direkt in sein 212.129er Subnetz Folglich ist es klar das damit durch dein falsches IP Adressdesign dann diese Probleme entstehen !
Fazit: Korrigiere dein IP Design wie es richtig ist und vom Providerrouter erwartet wird nach obigem Bild und dann verschwinden deine Probleme auf Schlag !
Bitte warten ..
Mitglied: stonee76
02.02.2010 um 16:50 Uhr
Hallo

Besten Dank für deine Antwort. Leider hat die PIX nur 2 Interfaces und kann auch keine VLANs wo ich eine DMZ hätte konfigurieren können.

Ich habe mittlerweile das DSL-Modem wieder in den Routing-Modus versetz und den 62er block im LAN konfiguriert. NAT ist auf den DSL Router deaktiviert und dass sollte laut Zyxel Support auch so passen. Leider geht das Routing zu diversen Netzen immer noch ins Nirvana, auch ohne angeschlossene PIX mit nur einem Testrechner.

Die Konfig sieht nun so aus.
f6132c78b7f52306c76eb773d89860a2 - Klicke auf das Bild, um es zu vergrößern

Leider klappts auch so nicht.
Kann es sein dass da was am Routing bein Provider vermurkst ist.
Bitte warten ..
Mitglied: aqui
02.02.2010 um 19:05 Uhr
Bist du dir ganz sicher das der Zyxel auch VDSL supportet ?? VDSL erfordert ein VLAN Tagging auf dem DSL Link. Kann der Zyxel das ??
http://de.wikipedia.org/wiki/T-Home_Entertain --> Technik, VDSL2
Bitte warten ..
Mitglied: stonee76
02.02.2010 um 20:26 Uhr
Ja der 2802HWL ist VDSL tauglich, der DSL Teil hat ja auch immer korrekt funktionert.

Das ganze funktionert auch wenn ich das NAT mit der WAN Adresse mache, sobald aber der 62er Block ins Spiel kommt haperts.
Bitte warten ..
Mitglied: aqui
08.02.2010 um 11:30 Uhr
Ja, das ist klar, denn dann darfst du KEIN NAT mehr machen. Am einfachsten ist du machst den Zugang z.B. mit Pfsense mit 3 Interfaces (z.B. ALIX Board) oder einer anderen Firewall/Router mit 3 Segmenten:
http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html
und benutzt den 62er Block wie es sich eigentlich für solche Szenarien gehört als sauberes DMZ Segment.
Alles andere ist Fricklei und schafft dir Probleme...
Bitte warten ..
Mitglied: stonee76
08.02.2010 um 13:22 Uhr
Mittlrweile läuft alles so wie es sollte. Nach längerem telefonat mit der Support-Hotline des Providers stellte sich heraus, dass sie den 62er Block doppelt vergeben hatten. Nachdem Sie das nun bereinigt haben passts mit den routing.

Danke für deine Hilfe.
Bitte warten ..
Mitglied: EvilToken
17.06.2011 um 18:24 Uhr
Hallo,

darf ich an dieser Stelle mal Fragen bei welchen Provider VDSL mit 8 statischen IPs möglich ist?
Ich suche schon etwas länger nach potentiellen Providern die das anbieten und bis jetzt kenne ich nur einen:
MK Netzdienste. Die Telekom bietet es leider nicht an. Bei denen ist ein VDSL Business Anschluss immer mit
einer statischen IP.

Wie funktioniert das eigentlich technisch?
- Der VDSL Router macht eine PPPoE Verbindung nach draußen auf
- Intern ist dann eine vom Provider statisch Konfigurierte IP Range
- Die erste Adresse der IP Range ist dann das Standard-Gateway?

Ich wünsch euch noch ein schönes WE

Gruß EvilToken
Bitte warten ..
Mitglied: aqui
17.06.2011 um 21:48 Uhr
Genau richtig ! Welche IP Adresse der IP Range du aber als Gateway vergibst ist völlig egal. Ausnahme der Provider stellt dir auch einen vorgekauten Router vor die Nase wo du nix drauf konfigurieren kannst.
Dann musst du natürlich mit dem leben was der Provider dir vorgibt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco 886va VDSL Syncraten miserabel
Frage von Windows10GegnerRouter & Routing50 Kommentare

Hallo, der 886va ist nun in Betrieb. Die Syncraten sind nun leider miserabel. Manchmal kann der so 40 MBit/s ...

Router & Routing

Cisco 886va Firmware + VDSL-Firmware upgrade

Frage von Windows10GegnerRouter & Routing2 Kommentare

Hallo, ich habe jetzt den 886va zum Laufen gebracht. Da ich kein VDSL2 Vectoring habe, kann ich diesen Kram ...

Switche und Hubs

Cisco SG300 und VDSL der Telekom?

Frage von Maik20Switche und Hubs21 Kommentare

Hallo, wir wollen im Januar unseren ISDN+DSL Anschluss ablösen und bei der Telekom auf VDSL mit VOIP umsteigen. Es ...

Router & Routing

Routing Telekom VDSL mit cisco 896VA

Frage von magheinzRouter & Routing14 Kommentare

Hallo, ich versuche das routing einzustellen. Die pppoe-Einwahl funktioniert. Ich bekomme eine IP, ein GW und zwei Nameserver. Die ...

Neue Wissensbeiträge
Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 1 TagHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 1 TagServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 3 TagenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Linux

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 3 TagenLinux13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Heiß diskutierte Inhalte
Microsoft
Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne
Frage von PappnaseVxVVMicrosoft21 Kommentare

Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht. Ich habe einen Raum mit 3 ...

Grafikkarten & Monitore
Grafikkarten Angebot auf Amazon
gelöst Frage von NudellordGrafikkarten & Monitore21 Kommentare

Hallo Community, ich suche eine neue Grafikkarte und bin auf die Nvidea Gforce GTX 1080 ti gestoßen. Und dabei ...

Hyper-V
Keine Netzwerkverbindung W2016 VM
gelöst Frage von keine-ahnungHyper-V19 Kommentare

Moin, ich verliere gleich meine contenance ;-). Ich versuche gerade, auf einem Hyper-V 2016 GUI eine W2016-VM (Generation 2 ...

Batch & Shell
Powershell - Webseite auslesen und Abspeichern ein paar Probleme
gelöst Frage von kime203Batch & Shell18 Kommentare

Hallo alle miteinander, ich hab die Aufgabe eine Webseite auszulesen um Einsatzdaten der Feuerwehr daraus zu gewinnen. Das habe ...