xDSL.at

[JelloB]

Liebe Expertinnen und Experten!

Ich würde mich freuen wenn mir jemand bei meiner Frage zu UPC Business Internet weiterhelfen könnte. Da ein Umzug ansteht, stellt sich mir wieder die Frage nach einem passenden Internetzugang.
Am derzeitigen Wohnort nutze ich zufrieden eine A1 Business Kombi. Am zukünftigen Wohnort wurde mir bei diesem Produkt allerdings eine wahrscheinliche Geschwindigkeit prophezeit, die mir vermutlich echt zu wenig ist. Daher überlege ich - trotz deutlicher Mehrkosten - dort auf UPC Business Internet 8/2 umzusteigen.

Bei UPC Business Internet ist allerdings ein Router notwendig, an dessen Innenseite dann meine paar öffentlichen IP-Adressen anliegen. Der Router kann optional von UPC um € 9,90 pro Monat gemietet werden. Derzeit wurde mir an der Hotline gesagt, verwendet UPC einen Cisco 881.

Meine Frage: Einen Cisco 881, oder 871 (den UPC vorher verwendet hat) bekomme ich bei Ebay um sagen wir mal ~250.- Wenn mir das Kästchen nicht jeden Sommer vom Blitz erschlagen wird, zahlt sich das in meinen Augen für mich aus. Mir wäre also eine Eigenanschaffung lieber.

Die eigentliche Frage: Gibt es noch günstigere Modelle? Spricht etwas gegen einen 851 oder gibt es gar empfehlenswerte Kastln abseits von Cisco? Das Ding sollte natürlich möglichst stabil laufen, wenig Strom verbrauchen und keine - in diesem Fall unnötige - Zusatzfunktionen haben.

Vielen Dank schonmal im voraus!
Jello

[Roland M.]

Hallo!

Welches Produkt hast du da konkret im Visier?

Mein UPC-Business-Zugang stammt zwar noch aus Inode-Zeiten, aber ich kann mir kaum vorstellen, daß man heute das Modem (Bridge, Gateway,...) selbst stellen oder mieten muß.
Der Übergabepunkt ist bei mir die Ethernet-Schnittstelle am Cisco, der Cisco selbst ist im Eigentum von UPC, auch hab ich keine Zugangspasswörter o.ä. für den Cisco. Alles dahinter liegt in meinem Zuständigkeitsbereich.

Ich könnte mir vorstellen, daß mit der optionalen Miete einfach die Grundbedürfnisse eines 08/15-Benutzers (NAT, WLAN,...) gedeckt werden.


Roland

[Air20]

Hallo,

die gemieteten Router gibt''s zB bei den Cable Business Zugängen:

Bei Cable Business Internet Leitungen wird für den Routing-Betrieb von IP Adressen ein Router benötigt. Dieser
wird entweder von UPC zur Verfügung gestellt oder vom Kunden selbst bereitgestellt.
Bitte kreuzen Sie die gewünschte Lösung an:

O NAT, Betrieb mit dem Standard-Router von UPC Austria.
O Routing, Betrieb mit einem aufpreispflichtigen Router von UPC Austria, Preis 9,90 pro Monat
O Routing, Betrieb mit eigenem Router (der Support durch UPC Austria schließt den Router nicht ein und endet
am Kabelmodem)

Achtung!
Sollten Sie einen Server betreiben, benötigen Sie den Routing Modus (einen Router). Wenn Sie keine der oben
angeführten Auswahl treffen wird automatisch der NAT-Betrieb eingerichtet.

Ist halt optional...

[JelloB]

Genau - ich würde mich gerne für Option 3 entscheide, denn bei NAT müsste ich ja jedesmal die Hotline bemühen wenn ich irgend eine neue Spielerei öffentlich machen möchte (ich bin in der EDV tätig und spiele als Weiterbildung gerne).

Variante 2 erscheint mir auf Jahre gesehen auch nicht so günstig (MVD = 3 Jahre, d.h. mehr als € 350.- Miete in dem Zeitraum, der Preis ist vermutlich auch noch exkl.USt.).

Daher nochmals kurz gefasst meine Frage zu Variante 3: Gibt es günstigere Alternativen ggü. Cisco 881, die ähnlich stabil laufen?

Ich habe HIER nun auch einiges zur Thematik gefunden, da wurden die Routerboards von Mikrotik genannt. Nur was genau nehmen und wo Dokumentation finden? Das mit der Doku gilt eh auch für den Cisco...

Meine Wünsche an das Gerät wären: Einfache Konfiguration, simple Funktionalität/reiner Router ohne Schnickschack, stabiler Betrieb und geringer Stromverbrauch.
Immerhin steht davor schon das UPC Modem und dahinter dann eh noch eine Firewall von mir bzw. Server... irgendwann reichts auch mir vor lauter Kasteln.

Danke und LG, Jello

[Roland M.]

Hallo!

Ok, dann ist es genau wie ich es mir gedacht habe:
Du bekommst das Modem hingestellt, was du dahinter machst, bleibt dir überlassen.

Daher nochmals kurz gefasst meine Frage zu Variante 3: Gibt es günstigere Alternativen ggü. Cisco 881, die ähnlich stabil laufen?

Ich hatte früher einen Netgear FVS318 und eigenständigen Access Point, als mir der einging habe ich reduziert auf einen Netgear WNDR3700, jetzt setze ich gerade eine Astaro/Sophos-Firewall auf (in der Home-Version kostenlos und ok, so ganz Plug&Play ist's auch nicht...).
Was die Geräte betrifft, die Welt steht dir da offen!


Roland

[JelloB]

Was die Geräte betrifft, die Welt steht dir da offen!

Leider eben nicht ganz. Das Gerät darf nicht einfach nur natten, wie die 0815-SoHo Kästchen, sondern muss auf Routing einstellbar sein.
Und ich muss LAN-seitig mein öffentliches IP-Netz mit Subnetzmaske 255.255.255.248 einstellen können, für Netgear & Co. auch oft nicht möglich (Businessgeräte von Netgear ausgenommen, die kenn ich nicht so).

Weiterhin dankbar für Empfehlungen,
Jello

[Nooto]

http://routerboard.com/RB750GL

bzw ein anderes Mikrotik Board nach belieben. "Kann wirklich alles" ist Preiswert und läuft stabil. Mein ältestes RB läuft jetzt seit knapp 4,5 Jahren unterbrechungsfrei. Kein Scherz.

Bezüglich Doku wirst du hier fündig http://wiki.mikrotik.com/

[JelloB]

Danke Nooto, das klingt genau so, wie ich's gerne hätte!

LG, Jello

[zid]

also mit 4,5 jahren unterbrechungsfreien dauerbetrieb wie nooto kann ich nicht aufwarten, aber seiner empfehlung schließe ich mich absolut an. ich verwende seit ca. 1,5 jahren rb450g's, und die dinger machen aus freude nur freude.

lg
zid

[Obelix72]

Hallo,

Also ich kämpfe jetzt schon seit einigen Stunden mit meinem UPC Business
folgende Situation

IP Adressen: 213.x.x.138 bis 213.x.x.142
Gateway: 213.x.x.137
Subnetmask: 255.255.255.248

DNS 1: 195.34.133.21
DNS 2: 195.34.133.22

Modem: EPC3000
Router: Mikrotek 750GL
Router Firewall: ipFire
WLAN Router: Linksys WRVS4400N

Ich möchte mit dem Mikrotek das Netz als erster man aufteilen
1) für den ipFire (für's interne Netz)
2) WLAN Bereich (Linksys)
3) MailServer

Allerdings wie soll ich den Mikrotek bcw ipfire konfigurieren

Danke für eure Hilfe

[jutta]

ich hab noch nie einen mikrotik aus der naehe gesehen, aber ich hab die config von einem freund mit upc business kabel. sie ist nicht genau so, wie du sie planst,, aber er verwendet auch eine ip fuer den server und die andere fuer den rest. sollte also fuer deine zwecke ausbaubar sein.

Code: Alles auswählen

/interface bridge
add admin-mac=02:16:DE:AD:BE:EF auto-mac=no name=loop
/interface ethernet
set 0 name=ether1-gateway
set 1 name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=ether2-master-local name=default
/system logging action
add memory-lines=500 name=fwmem target=memory
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
    ether2-master-local
add address=195.xx.yy.121/29 interface=loop
add address=195.xx.yy.125/29 interface=loop
/ip dhcp-client
add comment="default configuration" disabled=no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=195.58.160.194
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input connection-state=established
add chain=input protocol=icmp
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward in-interface=ether2-master-local
add chain=forward dst-address=192.168.88.10 dst-port=143 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=110 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=993 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=995 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=25 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=3306 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=80 protocol=tcp
add chain=forward dst-address=192.168.88.10 dst-port=443 protocol=tcp
add chain=forward dst-address=192.168.88.10 protocol=icmp
add chain=input port=8291 protocol=tcp
add chain=input port=80 protocol=tcp
add chain=input connection-state=related
add action=drop chain=input
add action=log chain=forward in-interface=ether1-gateway log-prefix=fw
add action=drop chain=forward in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\
    yes out-interface=ether1-gateway
add action=netmap chain=srcnat src-address=192.168.88.10 to-addresses=\
    195.xx.yy.125
add action=netmap chain=dstnat dst-address=195.xx.yy.125 to-addresses=\
    192.168.88.10
add action=masquerade chain=srcnat src-address=192.168.88.0/24
/ip smb shares
set [ find default=yes ] directory=/pub
/queue interface
set ether1-gateway queue=ethernet-default
set ether2-master-local queue=ethernet-default
set ether3-slave-local queue=ethernet-default
set ether4-slave-local queue=ethernet-default
set ether5-slave-local queue=ethernet-default
/system clock
set time-zone-name=Europe/Vienna
/system logging
set 0 topics=!firewall
add action=fwmem topics=firewall,info
/system ntp client
set enabled=yes mode=unicast primary-ntp=198.123.30.132
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local


[JelloB]

Liebe Mikrotik Freunde,

ich muss mein Thema nochmals aufwärmen.

Ich habe mir nach meiner Anfrage relativ bald einen 750GL gekauft und auf die Schnelle mit der winbox konfiguriert, hingestellt und bei diesem Provisorium ist es bis heute geblieben! Der Mailserver ist noch immer nicht hier und läuft provisorisch an einem anderen Standort.

Nun würde ich gerne endlich alles sauber fertigstellen und scheitere an meinem nicht vorhandenen Netzwerk-Wissen!

Meine Wunsch-Konfig wäre:

Chello-Modem teilt eine IP per DHCP aus. Auf diese wird aber auch "mein" privates /29 Netz geroutet.
Dahinter steht mein Routerboard 750GL und dann gibt es noch einen WLan-Router mit Tomato.

Am liebsten wäre mir eine meiner off.IP-Adressen für den Tomato-Router, an dem dann ordinäre Clients mit einem privaten Netz hängen. Hier hätte ich gerne keine Filterung und würde ich gerne die Firewall des Tomato nutzen um kleinere Portforwardings auf einzelne Clients zu machen.
Dazu hätte ich gerne direkt am Routerboard den Mailserver und meinen SIP-Adapter, jeweils mit einer off.IP. Hier wäre gut wenn der RB750GL Anfragen auf die erlaubten Dienste (SMTP, POPs, IMAPs, HTTPS ...) beschränken würde.

Ich denke dass die Konfiguration, die Jutta gepostet hat, eigentlich nahezu dem entsprechen dürfte. Nur bin ich vermutlich echt zu blöd und kapiere nicht einmal wie ich so eine textbasierte Konfig-Info aus meinem RB bekommen könnte, das ich ja mit winbox konfiguriert habe. (Ich würde einfach mal gern vergleichen und lernen).

Gibt's Routerboard-ExpertInnen, die mir zu meiner Wunschkonfiguration (ver)helfen wollen?

Biiiiiitte.

LG, Jello

[zid]

hallo jello,

>"...Ich habe mir nach meiner Anfrage relativ bald einen 750GL gekauft..."
sehr gute entscheidung...

beim tikerl isses egal, ob das /29er netzerl sauber oder dreckig reingeroutet wird.
ich geh jetzt mal beispielhaft davon aus, daß du das 1.1.1.0/29 reinkriegst. konkret sieht mein setup so aus:

0.
ip-host1: 1.1.1.1/29
ip-host2: 1.1.1.2/29
ip-host3: 1.1.1.3/29
ip-tomato: 1.1.1.5/29
ip-tikerl: 1.1.1.6/29
name der lan-schnittstelle vom tikerl: LAN

du mußt die folgenden ausführungen sinngemäß an deine verhältnisse anpassen.

1.
die lan-schnittstelle des tikerl kriegt die 1.1.1.6/29. die default-ip 192.168.88.1/24 kannst liegen lassen, stört nicht, man kann sie sogar nützlich verwenden.

Code: Alles auswählen

ip address add interface=LAN address=1.1.1.6/29

2.
die verkehrsregelung erfolgt wie üblich durch die pille, und "pille" bedeutet in diesem fall die forward chain des tikerl.
und da bei dir mehrere hosts mit verschiedenen diensten rennen, liegt die idee nahe, die hosts auf subchains abzubilden (das ist kein must, du kannst die nummer natürlich auch anders abziehen):

Code: Alles auswählen

# am host1 rennen z.b. die dienste http, https, ssh...
ip firewall filter add chain=forward_accept_h1 protocol=tcp port=80 action=accept
ip firewall filter add chain=forward_accept_h1 protocol=tcp port=443 action=accept
ip firewall filter add chain=forward_accept_h1 protocol=tcp port=22 action=accept
...

# am host2 rennen z.b. ftp, ssh...
ip firewall filter add chain=forward_accept_h2 protocol=tcp port=21 action=accept
ip firewall filter add chain=forward_accept_h2 protocol=tcp port=22 action=accept
...

# am host3 rennen smtp, ssh...
ip firewall filter add chain=forward_accept_h3 protocol=tcp port=25 action=accept
ip firewall filter add chain=forward_accept_h3 protocol=tcp port=22 action=accept
...

# jetzt nur noch die forward (main) chain:
ip firewall filter add chain=forward connection-state=established action=accept comment="accept established traffic"
ip firewall filter add chain=forward in-interface=LAN action=accept comment="accept any outbound traffic"
ip firewall filter add chain=forward connection-state=related action=accept comment="accept related connections"
ip firewall filter add chain=forward dst-address=1.1.1.5/29 action=accept comment="accept any inbound traffic destined for tomato"
ip firewall filter add chain=forward dst-address=1.1.1.1/29 action=jump jump-target=forward_accept_h1 comment="accept inbound traffic for services running on h1"
ip firewall filter add chain=forward dst-address=1.1.1.2/29 action=jump jump-target=forward_accept_h2 comment="accept inbound traffic for services running on h2"
ip firewall filter add chain=forward dst-address=1.1.1.3/29 action=jump jump-target=forward_accept_h3 comment="accept inbound traffic for services running on h3"
ip firewall filter add chain=forward action=drop comment="and now - close the door... ;)"

3. input chain nach dem gleichen schema wie die forward chain absichern (ev. ssh für die fernwartung öffnen) und schon fertig.

4. kleine anmerkung zum handling des cli:
das cli des tikerl ist gleich gestrickt wie jenes der ciscos. d.h. <TAB>, "?" und abkürzungen funken. man wird also z.b. net:

Code: Alles auswählen

ip firewall filter add chain=forward action=drop comment="and now - close the door... ;)"

reinhacken, sondern einfach:

Code: Alles auswählen

ip f f a ch forward ac d com "and now - close the door... ;)"

lg
zid

[JelloB]

Hallo zid!

Vielen herzlichen Dank für deine Antwort und die Ausführungen zu meiner Wunschkonfiguration!

Die gestrige Nacht habe ich mir um die Ohren geschlagen um mich mit iptables am Tomato Router zu beschäftigen. Um zwei Uhr Früh hatte ich mein Netzwerk soweit lauffähig. Der Mikrotik tut nun nichts anderes als WAN-seitig per DHCP eine IP-Adresse zu beziehen und LAN-seitig mein /29er Netz zur Verfügung zu stellen (das hatte ich ja bereits hinbekommen). Und mit ein paar Zeilen bei den Firewall Skripts in Tomato habe ich dort jetzt ein 1:1 NAT für den Mailserver, das NAS und so, jeweils übersetzt auf eine meiner IPs.

So lass ich das jetzt mal stehen, aber mit deinen Zeilen werde ich mir eine andere lange Winternacht um die Ohren schlagen und den Mikrotik ein bisserl kennenlernen! Nochmals danke vielmals für den Input!

Schönen Sonntag wünscht der Jello

[zid]

hallo jello,

>"...um mich mit iptables am Tomato Router zu beschäftigen..."
das routeros is nix andres als ein wunderschön verbrämtes linux. den entwicklern ist der spagat zwischen flexibilität und einfacher handhabung wirklich gelungen. imho absolut genial.
und die firewall vom routeros is deshalb auch netfilter/iptables. wenn du dich also mit der firewall des routeros beschäftigst, dann denkst du am besten in den kategorien von netfilter/iptables.
ok, zugegeben- die syntax is a bißl anders. bei iptables schreibst du z.b.:

Code: Alles auswählen

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED -j ACCEPT

beim routeros schreibt sich das ganze halt so (s.a.o.):

Code: Alles auswählen

ip firewall filter add chain=forward connection-state=established action=accept

und *den* "kognitiven quantensprung" krieg sogar ich in meiner geistigen umnachtung hin...

viel spaß beim rumspielen & lg
zid