xDSL.at

[al_bundy99]

Hallo liebes Forum,
möglicherweise lande ich demnächst wirklich in der Abteilung für "Vollkommen verblödete Schuhverkäufer"
bekomme eine "Habmichliebjacke" oder auch "Nichtraucherwesterl" genannt und 2 nette große Herren begleiten mich, und passen auf, dass ich nicht entkomme...jedenfalls bringe ich die Konfiguration unseres UPC Business Anschlusses nicht auf die Reihe und drehe mich wie ein Ventilator im Kreis...

Folgende Ausgangssituation:
Wir haben einen UPC Business Fiberanschluss 100/10 mit 8 uns zugewiesenen IP Adressen von denen ich lt. UPC nur 6 verwenden kann, naja OK...so stehts zwar nicht im Vertrag, aber was soll's... - dieser endet in einem Cisco EPC 3000 Kabelmodem mit nur einem RJ45 Netzwerkausgang (der USB Anschluss ist unbrauchbar für Netzwerkzwecke). Der Zyxel NBG460N Router bekommt vom Modem die Adresse 213.xx.xxx.9 mit der Subnetmaske 255.255.255.0 und dem Standardgateway 213.xx.xxx.1 bzw. den Chello DNS 195.34.133.21 bzw. 195.34.133.22 zugewiesen und der Router verteilt intern 192.168.x.x - So hat das ja bisher wunderbar funktioniert!

Jetzt war meine Frage: Wie komme ich zu den uns zugewiesene IP Adressen?
Meine Überlegung: ich klemme nach dem Cisco EPC3000 einen Switch hinein, verbinde das Modem mit dem Switch, dann habe ich zumindest vorerst einmal 8 mechanische Anschlüsse...
Anschliessend trage ich jedem Gerät das über den Switch (beim einem Router unbedingt NAT abschalten lt. UPC) ins Internet gehen soll, die uns zugewiesenen IP Adressen ein. z.B. 212.xxx.xxx.184 Subnetmaske 255.255.255.248. Für den DNS nehme ich 195.34.133.21 bzw. 195.34.133.22 --> OK auch noch verstanden.

Auf die Frage nach dem Standardgateway kam die mMn "etwas komische" Antwort

dann nehmens einfach halt die 212.xxx.xxx.185

OK eingetragen - NIX keine Internetverbindung, kein Ping von extern, einfach tot.
Wie kommt der UPC Techniker auf dieses Standardgateway 212.xxx.xxx.185 Würfeln, raten, hellsehen, Schuhverkäufer ärgern??????

Das verstehe ich nun nicht mehr - die vorgeschlagene IP für das Standardgateway gehört doch zu unserem IP Bereich, oder verstehe ich nun etwas falsch?????

Übrigens, der Zweck dieser zukünftigen Konfiguration ist der Aufbau zweier Netze die vollkommen voneinander getrennt sind, also nicht nur physikalisch sondern auch mechanisch...Das erste Netz für den Produktiveinsatz und das zweite als Schulungs und Übungsnetz. Gleich vorweg, die Frage nach Firewalls bzw. der Sicherheit steht jetzt im Moment nicht zur Diskussion, da ich diese Einheiten sicher nachträglich ins Netz einfüge und diesen die IP's mitgeben werde <masochismus on>ein einzelner Rechner geht bei uns sowieso nicht ungesichert ins Internet! <masochismus off> Momentan will ich theoretisch nur die uns zugewiesenen IP's verwenden können.

Stehe ich nun auf der Internetleitung, oder bin ich einfach nur zu blöd dieser Logik zu folgen. Kann es sein, dass ich wirklich ernsthaft einen Cisco 871 Integrated Services Router (End-of-sale and end-of-life) zum Einsatz bringen muss wie vom UPC Support vorgeschlagen?

Mittlerweile an sich selbst zweifelnde Grüße vom Schuhverkäufer

[Elbart]

Eine Frage: Wieso hat der Router vorher .9 bekommen wenn die IP-Adressen zwischen .184 und .191 liegen?

[al_bundy99]

Hallo Elbart,

weil das Cisco Modem vermutlich, möglicherweise, wahrscheinlich NAT betreibt (habe leider keine genauen Infos) und den Router ins Netz 213.xx.xxx.9 stellt. Wir haben allerdings die IP's 212.xxx.xxx.184 bis 191 zugewiesen und an dieser Herausforderung scheitere ich momentan und schnappe bald über

Grüße vom Schuhverkäufer

[local.host]

mit 8 uns zugewiesenen IP Adressen von denen ich lt. UPC nur 6 verwenden kann, naja OK...so stehts zwar nicht im Vertrag, aber was soll's...

du benötigst einen Router/Firewall, der NBG-irgendwas kann das nicht. Sorry, wenn du bisher eher aufgeschmissen bist und keinen tauglichen Lösungsansatz hast (Netzwerk-Knoff-Hoff) dann solltest du dich eher an einen Dienstleister wenden [1] oder an einen Kumpel der das macht und dem du im Gegenzug ein paar Schuhe für seine Frau als Bezahlung geben kannst. Weil sonst wird das mit der sauberen Trennung von 2 Netzen und insbesondere dem Schutz des Internet vor dem was du da tust (!) nicht wirklich was werden.

Du bewegst dich mit viel Bandbreite im öffentlichen Internet. Du solltest auch auf die anderen paar Millionen Nutzer dieses Netzes Rücksicht nehmen. BITTE!

Einstiegshinweis, wenn doch nicht aufgeben willst:
dir wird ein Netz vom Provider geroutet. Du musst nun das Netz erstens aufteilen/verbinden und zweitens die aufgeteilten Netze absichern/trennen.

Für die Gerätewahl:
- ein Router dient zur Verbindung von Netzen
- eine Firewall dient zur Trennung von Netzen
- es gibt Geräte die beides können


[1] hey, ich habe von Autos auch keine Ahnung, aber ich weiss dass ich damit zu einem Professionisten muss. Ich käme nie die Idee den Motor meines Autos mal zu zerlegen oder sonst mehr zu machen als Öl zu kontrollieren und Wasser nachzufüllen.

[local.host]

Wie kommt der UPC Techniker auf dieses Standardgateway 212.xxx.xxx.185 Würfeln, raten, hellsehen, Schuhverkäufer ärgern??????

und was steht auf dem Zugangsdatenblatt?
du hast mit dem Business Support gesprochen?
was sagt dein UPC-Betreuer?

[jutta]

> Wie kommt der UPC Techniker auf dieses Standardgateway 212.xxx.xxx.185 Würfeln, raten, hellsehen, Schuhverkäufer ärgern??????

weder, weder, noch.

ganz einfach: du hast ein netz mit 8 ip adressen bekommen. das geht von 212.xxx.xxx.184 (netz-adresse) bis zu 212.xxx.xxx.191 (broadcast adresse). dazwischen liegen die 6 verwendbaren ip adressen und die erste davon, also 212.xxx.xxx.185, wird fuer den gateway verwendet. (das muss nicht so sein, aber es ist eine konvention, die einem das leben erleichtert.)

wenn du alle 6 ip adressen verwenden willst, brauchst du einen router, der das kann. mit zyxel routern geht das in der regel (jedenfalls mit allen, die ich je in der hand hatte.) zyxel router haben ausserdem den vorteil, dass sie ziemlich einfach zu konfigurieren sind. es muss also kein cisco sein, obwohl der wahrscheinlich auf dauer stabiler laeuft. nachteil des cisco: wenn du schon am googeln der einfachsten netzwerkgrundlagen scheiterst, wirst du einen cisco nie konfigurieren koennen und musst bei jeder aenderung einen fachmann/eine frachfrau zu hilfe rufen.

ein freund von mir verwendet bei einem upc business fiber anschluss einen mikrotik router. der laeuft nach anfaenglichen verzweiflungen bei der konfiguration jetzt tadellos. Stefan_Hedenig kann sich vielleicht noch erinnern, welches modell der tweety hat.

zuallererst solltest du dir aber einen plan machen, was du mit den verbliebenen 5 oeffentlichen ip adressen genau vor hast. davon haengt naemlich ab, wie der router konfiguriert werden muss und was du eventuell sonst noch brauchst (1 oder mehrere switches, vom router getrennte hardware-firewalls usw). wenn das in grundlegenden zuegen schon vor dem routerkauf feststeht, laesst sich besser abschaetzen, welches modell fuer dich richtig ist und du kannst dir teure fehlkaeufe ersparen.

noch gscheiter waere es, sich die verwendung der ip adressen schon vor der bestellung des internetzugangs zu ueberlegen. dann kann man naemlich mit dem provider ueber die passende konfiguration reden und bekommt modem und router schon entsprechend konfiguriert ins haus (und braucht nebenbei nicht ganze /29 oder noch groessere netze verschwenden, wenn fuer die geplante verwendung auch 1 oeffentliche ip adresse reicht).

[jutta]

PS: nach durchsicht des handbuchs vom NBG-460N bin ich mir nicht sicher, ob der mit mehreren oeffentlichen ip adressen klarkommt. ich hab beim zyxel-sales nachgefragt und melde mich wieder, sobald es von dort eine antwort gibt.

@al_bundy99: ist der zyxel dein eigener router oder ist der von upc? sprich: kannst/darfst du ihn nach lust und laune konfigurieren oder ist dann der support futsch?

[al_bundy99]

Hallo Jutta,
vorerst herzlichen Dank für Deine wirklich erstklassige Hilfe!!

Ich kann zwischen verschiedenen Routern & Firewalls wählen, die alle uns gehören (keine Garantie mehr, kein Supportverlust etc.) und mehr als das ich einen Brick produziere oder ich die Firewall neu aufsetzen muss, kann nicht passieren

Router 1: Zyxel NBG460N (orig. Firmware)
Router 2: Linksys WRT54GL (mit DD-WRT Firmware)
Router 3: Cisco WRVS4400N Wireless-N Gigabit Security Router (orig. Firmware)
Router 4: Untangle Router & Firewall läuft derzeit für unser aktuelles Netz
Router 5: Endian Router & Firewall könnte ich aufsetzen
Zur Not könnte ich auch eine Linux-Kiste aufsetzen wenn mir irgendwer die richtige UPC Konfiguration verabreicht
Für weitere Ideen & Vorschläge (auch Gemeinheiten ) bin ich immer zugänglich. Hauptsache ich krieg' die Sache endlich irgendwie auf die Reihe...

Grüße vom Schuhverkäufer

[jutta]

hmm die router kenn ich alle nur vom hoerensagen. aber mit irgendeinem davon sollte es schon hinhauen. vielleicht brauchst du auch 2 oder 3, du wolltest ja die netze komplett trennen.

btw:

> Das verstehe ich nun nicht mehr - die vorgeschlagene IP für das Standardgateway gehört doch zu unserem IP Bereich, oder verstehe ich nun etwas falsch?????

das hast du schon richtig verstanden. der standardgateway muss zu eurem ip bereich gehoeren, sonst finden die pakete von deinen servern nicht zum gateway und raus ins internet. denk einmal kurz an private ip adressen: wenn du das netz 192.168.0.0 mit der subnetzmaske 255.255.255.0 verwendest, dann ist dein standardgateway auch 192.168.0.1 (oder jedenfalls irgendwas zwischen 192.168.0.1 und 192.168.0.254).

mein bekannter mit dem upc fibre anschluss ist leider uebers wochenende zu seinen eltern gefahren, ich kann ihn daher fruehestens montagabend fragen, wie er seinen router konfiguriert hat.

@Elbart:

> Eine Frage: Wieso hat der Router vorher .9 bekommen wenn die IP-Adressen zwischen .184 und .191 liegen?

das war bei meinem bekannte auch so, iirc. die "richtige" ip adresse bekommt man nur, wenn sie am router richtig eingetragen wird. wenn man einen nat-router einfach mit dhcp anschliesst, kriegt der eine ip aus der normalen chello-range.

//edit ps: wenn du einen neuen router anschliesst, kann es sein, dass du das modem rebooten musst, damit der router eine ip bekommt. jedenfalls ist das bei den privaten kabelanschluessen von upc so.

[jutta]

ich hab jetzt auch deinen thread im wcm-forum gelesen und zunaechst eine frage:

dort schreibst du, dass du einen gigabit anschluss hast, hier schreibst du 100 mbit. der unterschied besteht zwar nur in einer null, aber bei der auswahl passender router und switches ist die dann schon relevant und schlaegt sich in form mehrerer nullen auf der rechnung nieder

also was jetzt? 100 mbit/s oder gigabit?

ansonsten: die aussage, dass du mit einem c871 um 9,90 im monat alle ip adressen nuetzen kannst, gibt doch genuegend hints. du kannst also:

a) von upc ein vorkonfiguriertes produkt nehmen, mit dem alles funktioniert.
b) dich selbst plagen und deinen router so konfigurieren, als waer er ein cisco von upc

ist aber nicht wirklich schwer: du schaust jetzt einmal, bei welchem deiner router du bei den LAN einstellungen den dir bekannten gateway und die subnetzmaske 255.255.255.248 eintragen und NAT deaktvieren kannst. bei den WAN einstellungen: dhcp = dynamische ip. fertig.

den router ans modem anschliessen und warten, bis er eine ip bekommt. dazu den router rund 10 min am modem angesteckt lassen und dann das modem einige male ab- und wieder anstecken. update: ich hab noch einmal rueckgefragt: mit ab-/anstecken ist das stromkabel des modems gemeint, also das modem rebooten.

dann brauchst du nur mehr alle anderen geraete in deinem lan passend zu deinem router konfigurieren. (ob du die dns-server beim router eintraegst oder auf den einzelnen rechnern oder sowohl als auch, ist geschmackssache.)

//edit ps: jftr: ein switch ist kein router. daher kann die von dir im wcm-forum beschriebene methode mit dem switch direkt am kabelmodem nicht funktionieren. sowas gab es vor jahren bei chello-privatanschluessen. hiess "chello plus" und man bekam 3 voneinander unabhaengige ip adressen per dhcp. eine zeitlang gab es auch ein chello xbox paket, das aehnlich funktionierte. du hast ein geroutetes netz und nicht eine handvoll dahergelaufener ip adressen

[zid]

au mann, ich packs nicht. da kriegt einer bei upc ein /29er netz *sauber* durchgeroutet, was eh schon einem weltwunder gleicht, und weiß nicht, was er damit machen soll...

also schuhverkäufer,

die jungs von upc haben für dich folgende route gesetzt (im jargon von iproute2):

Code: Alles auswählen

>ip r a 212.xx.xx.184/29 via 213.xx.xx.9

alles klaro?

wennst jetzt einen c871er hast, dann geht das ganz einfach. wir fahren gleich mal einen mischansatz aus routing und nat. und weil ich jetzt nicht weiß, wie das wan-intf beim c871er heißt (fa4?, e0?), spieln ma das an einem c877er kurz durch. in dem fall ist halt der fa3 das wan-intf:

Code: Alles auswählen

interface FastEthernet3
       switchport access vlan2
...
interface Vlan1
ip address 10.0.0.138 255.255.255.0
ip address 212.xx.xx.185 255.255.255.248 secondary
ip nat inside
...
interface Vlan2
ip address dhcp
ip nat outside
...
ip nat inside source list nat interface Vlan2 overload
...
ip access-list standard nat
permit 10.0.0.0 0.0.0.255
...

und wennst ein linux mit iproute 2 + iptables hast, dann:

Code: Alles auswählen

>ip a a 10.0.0.138/24 brd + dev ethX
>ip a a 212.xx.xx.185/29 brd + dev ethX
>iptables -t nat -A POSTROUTING -o ethY -s 10.0.0.0/24 -j MASQUERADE

mit ethX/ethY sind in dem fall das lan-intf/wan-intf gemeint. und am wan-intf gehst auf adressbezug via dhcp, du kannst es aber auch statisch konfigurieren, weil bei chello/upc die ips eh quasistatisch sind.
zugriffskontolle fürs geroutete netz erfolgt natürlich über die firewall.
falls du das private, genattete netz vom öffentlichen, gerouteten netz trennen willst, dann ziehst halt im lan eine dmz auf.
und die paar cli-zeilen tun nicht weh, glaub mir...

lg
zid

[jutta]

@al_bundy99: schon fuer einen router entschieden? wie sind die ergebnisse?

[dadaniel]

Ich hab in der Firma fürs identische UPC Produkt ein Mikrotik Routerboard rennen ... die passende Config könnt ich dir zukommen lassen.
Mit den uralten Linksysen wirst nicht glücklich, die bringen gerade mal ein viertel der Bandbreite durch

[jutta]

mit einem mikrotik oder einem anderen entsprechend konfigurierbaren router kann man uebrigens zusaetzlich zum eigenen netz auch die anbindungs-ip verwenden. (das waere im oben genannten fall die *.9)

[al_bundy99]

@al_bundy99: schon fuer einen router entschieden? wie sind die ergebnisse?

Sorry, für die wirklich verdammt späte Antwort, war bis heute gesundheitlich bedient sodass ich erst morgen wieder in die Firma zurückkomme...