"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

SOLVED: Routing/NAT TA Business Anschluss

disposableHero 25.11.2008 - 13:14 1524 8
Posts

disposableHero

Addicted
Avatar
Registered: Mar 2001
Location: A&EE
Posts: 437
Hallo Leute,

ich habe von einem eTel Anschluss auf einen TA Business Anschluss gewechselt. Ich habe ein 8er-Subnet (/29), einen Router der TA, mein Gateway (monowall) und mein LAN.

Folgende Konfiguration:

öffentliche IP's:
x.x.x.97 = TA-Router
x.x.x.98 = mein Gateway

private IP's:
10.0.1.1 = mein Gateway LAN
10.0.1.x = mein LAN

10.0.1.2 = Server

die öffentliche IP x.x.x.99 soll zu meinem Server 10.x.x.2 geNATet werden.

bei eTel war die Konfiguration so:
öffentliche IP = Thomson Speedtouch WAN
10.0.0.138 = Thomson Speedtouch LAN
10.0.0.140 = mein Gateway WAN
10.0.1.1 = mein Gateway LAN
10.0.1.x = LAN

hier hat der Speedtouch einfach alle öff.IP's zum Gateway weitergeleitet und dieser dann per ServerNAT die öff.IP .99 auf die interne Server IP geNATet

wie müsste man es konfigurieren, wenn man bedenkt, dass der TA-Router jetzt im selben Subnet sitzt?
Bearbeitet von disposableHero am 27.11.2008, 18:29

Spikx

My Little Pwny
Avatar
Registered: Jan 2002
Location: Scotland
Posts: 13504
Ich verwende auch einen TA Business Anschluss daheim, mit eigenem Router dahinter (IPCop). Bei mir ist der IPCop folgendermaßen konfiguriert:

RED (= WAN):
IP: x.x.x.10
Subnet: 255.255.255.252
Gateway: x.x.x.9

GREEN (= LAN):
IP: 192.168.0.1
etc.


x.x.x.10 ist unsere öffentliche IP, also die IP des TA-Routers.

disposableHero

Addicted
Avatar
Registered: Mar 2001
Location: A&EE
Posts: 437
danke fürs reply, aber das hilft mir leider nicht weiter,

es ist ja alles richtig konfiguriert, bis auf dass, das ich eine öffentliche IP (eine andere als die des Routers) zum Server durchreichen will ohne den Server an den TA-Router zu hängen. Lt. TA kann der TA-Router die öff.IP's nicht auf IP's im selben Subnet NATen. Ich will aber dass alle IP's zu meinem Gateway durchgereicht werden.

edit: post neu formuliert

NyoMic

xepera-xeper-xeperu
Avatar
Registered: Feb 2001
Location: Stahlstadt
Posts: 2619
Das geht so nicht, ausser du kannst auf dem Gerät "Mein Gateway" eine 2. IP eintragen (IP-Alias), dann kannst du über eine DMZ alle betreffenden Ports auf deinen Server im internen LAN weiterleiten.

Einfacher, wahrscheinlicher aber teurer wäre folgendes:
Du kaufst irgendeinen beliebigen Ethernet-Router (z.B Linksys Etherfast), hängst den hinters Modem (das hat hoffentlich mehr als 1 Ethernet Port sonst brauchst auch noch einen Switch dazwischen) und dem Ethernet-Router gibst als WAN-IP die x.x.x.99 als interne irgendeine freie aus deinem LAN und richtest dort eine DMZ auf die IP deines Servers ein.

Edit:
Wenns dir wurscht ist über welche IP jemand reinkommt, dann gib der Monowall einfach die x.x.x.99 als IP-Alias und richte dort die DMZ auf den internen Server ein, dann kann aber jemand auch über die x.x.x.98 auf den Server zugreifen, anders gehts bei der Monowall glaub ich nicht:
http://doc.m0n0.ch/handbook/examples.html#id11641525
Bearbeitet von NyoMic am 25.11.2008, 15:39

Spikx

My Little Pwny
Avatar
Registered: Jan 2002
Location: Scotland
Posts: 13504
Achsoo, jetzt versteh' ich erst. Da kann ich leider auch nicht weiterhelfen. Btw. ich nehme an du will den Server hinter deinem Router einfach nur zur bessern Kontrolle haben, oder gibt es einen anderen Grund?

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12165
Zitat
Das geht so nicht, ausser du kannst auf dem Gerät "Mein Gateway" eine 2. IP eintragen (IP-Alias), dann kannst du über eine DMZ alle betreffenden Ports auf deinen Server im internen LAN weiterleiten.

das kann die monowall aber defintiv. Ich kann im moment leider nicht nachsehen aber wenn ich morgen in meiner wohnung bin check ich das.

edit: das müßte es sein:
http://doc.m0n0.ch/handbook/nat-server.html

edit2:
Zitat von Spikx
Achsoo, jetzt versteh' ich erst. Da kann ich leider auch nicht weiterhelfen. Btw. ich nehme an du will den Server hinter deinem Router einfach nur zur bessern Kontrolle haben, oder gibt es einen anderen Grund?
das dient zur besseren absicherung. z.B: für einen Webserver wird dann nur port 80 und ein wartungsport wie ssh oder rdp durchgenatted(der beschränkt ist auf externe öffentliche IPs die das dürfen)
Bearbeitet von davebastard am 25.11.2008, 17:19

disposableHero

Addicted
Avatar
Registered: Mar 2001
Location: A&EE
Posts: 437
Zitat von davebastard
das kann die monowall aber defintiv. Ich kann im moment leider nicht nachsehen aber wenn ich morgen in meiner wohnung bin check ich das.

edit: das müßte es sein:
http://doc.m0n0.ch/handbook/nat-server.html

so hatte ich es als ich noch bei etel war, da wurde aber das subnet zu mir geroutet und das speedtouch hat alles zum gateway geNATet, laut TA geht das mit dem TA-Router so nicht und dies erklärt sich dadurch, dass der im selben subnet ist

Zitat

das dient zur besseren absicherung. z.B: für einen Webserver wird dann nur port 80 und ein wartungsport wie ssh oder rdp durchgenatted(der beschränkt ist auf externe öffentliche IPs die das dürfen)

genau so ist das gemeint, deswegen will ich den server in meinem LAN haben und nicht am TA-Router

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12165
Zitat
so hatte ich es als ich noch bei etel war, da wurde aber das subnet zu mir geroutet und das speedtouch hat alles zum gateway geNATet, laut TA geht das mit dem TA-Router so nicht und dies erklärt sich dadurch, dass der im selben subnet ist

nein bei etel hattest du ein doppeltes NAT. hier bekommst die öffentlichen IPs direkt. Dabei hat der router von der TA die erste IP deines Blockes, die Monowall bekommt die 2te IP und übernimmt aber auch die 3te, weil sie ja auch auf den Server NATed. Der TA router macht hier kein NAT sondern gibt die öffentl. adressen 1:1 weiter. d.h. auf der monowall müssen beide öffentliche IPs eingetragen werden.
Übrigens ist das auch die bessere lösung als bei etel, doppeltes NAT würd ich vermeiden wos nur geht.

Leider kann ich dir bezüglich monowall selbst noch nicht helfen, da ich von meiner das Passwort vergessen hab und noch kein nullmodem kabel zum passwort rücksetzen hab. :bash:
Auf jedenfall sind die Menüpunkte proxy arp und Server NAT interessant für dich.

edit: falls das für eine Firma oder so ist würd mich mir eventuell proffessionelle hilfe holen
Bearbeitet von davebastard am 26.11.2008, 19:07

disposableHero

Addicted
Avatar
Registered: Mar 2001
Location: A&EE
Posts: 437
sodala, nachdem die herren von der TA mir gesagt hatten, dass es nicht möglich ist dass der TA-Router alle IP's durchNATet, wusste ich nicht weiter,

ich habe jetzt einfach auf der monowall auch 1:1 NAT aktiviert und NATe die x.x.x.99 auf die LAN-interne server adresse und siehe da, es funktioniert,

thx@all für die tipps, scheinbar wissen die herren der TA doch nicht was ihre geräte können/tun bzw. was sie da eigentlich konfigurieren

besten dank nochmal

edit@dave: ist privat
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz