ADSL->2 Subnetze .. Config Tipps & Router gesucht ...

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

ADSL->2 Subnetze .. Config Tipps & Router gesucht ...

Beitragvon technix » Di 08 Nov, 2005 14:21

Ich habe einen aon 4096/512 ADSL business Zugang mit Cisco 837 Router, wobei vereinbarungsgemäss alle Ports offen sind und der Router ansonsten funktionslos ist. Ich möchte dahinter zwei getrennte Subnetze betreiben (dzt. 7 bzw. 4 clients) wobei ich den Cisco aber nicht als Gateway verwenden kann, da dieser für TA Kunden nicht zugänglich ist. Künftig ist noch eine Linux Box geplant, die für interne Zwecke von aussen zugänglich sein soll, die ist aber noch nicht in Bertrieb.

Ich brauche also, soweit ich das kapiert habe jetzt einen zusätzlichen Router mit Firewall (& NAT, VPN, IPsec etc.) Funktion zwischen dem Cisco 837 und den zwei Switches für die beiden Subnetze. Kann jemand dafür ein gutes Gerät empfehlen, das diese Funktion erfüllt oder gibt es dafür eine andere sinnvolle Hardwarelösung?
technix
Neu im Board
Neu im Board
 
Beiträge: 9
Registriert: Di 08 Nov, 2005 11:45

Beitragvon jutta » Di 08 Nov, 2005 15:31

schau dir einmal den zyxel prestige 334 an
http://www.zyxel.de/product/model.php?i ... 1021876908
ev. auch das manual unter ftp://ftp.zyxeltech.de
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon codec » Di 08 Nov, 2005 17:34

Am besten nen alten ausrangierten Rechner mit OpenBSD drauf und fertig, besser als die ganze low cost router und sind auch highly scaleable.
codec
Board-User Level 1
Board-User Level 1
 
Beiträge: 553
Registriert: Di 28 Okt, 2003 12:48

Beitragvon lordpeng » Di 08 Nov, 2005 17:57

>besser als die ganze low cost router und sind auch highly scaleable
kann ich bestätigen ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon axial » Di 08 Nov, 2005 19:15

nachteil sind die folgekosten wie strom.
axial
Board-Mitglied
Board-Mitglied
 
Beiträge: 207
Registriert: Mi 27 Jul, 2005 21:18
Wohnort: Innsbruck

Beitragvon technix » Di 08 Nov, 2005 19:33

So gut bin ich leider (noch) nicht, dass ich mir im Handumdrehen einen alten Rechner als Router herrichte, daher erkundige ich mich hier zunächst nach einer *schnellen* und trotzdem halbwegs sicheren Lösung per zweitem low-cost firewall router ... (und isdn fallback, aber ich will dieses forum nicht überbeanspruchen)

Stufe 2 wäre dann die BSD- oder Linux Box, dort soll dann später ein backup webserver hin, evtl. ein asterisk zum Telefonieren und eine Schnittstelle für Auftragseingänge vom webshop .. aber das ist alles Zukunftsmusik.

Ich habe ADSL im Haus aber schreibe zB in dieses forum immer noch mit 56k und *das* soll sich nun blitzartig ändern.

Die Frage nach Vorbildern für eine Eigenbau Routing heb ich mir für einen späteren Thread auf. Damit hier nicht mehrere Threads in einem entstehen, reduziere ich nochmal auf die Fragen

a) ist die Topographie sinnvoll wie beschrieben (TA access router --> firewall router --> je 1 Switch pro Subnetz mit Datenserver/Client) oder geht das intelligenter

b) hat jemand noch gute Erfahrungen mit einem anderen als dem Zyxel 334 (zB hat anscheinend der Zyxel 324 einen ISDN Fallback Zugang, dürfte aber eine geringere Übertragungsrate haben; der Netgear FVS318 wird auch öfter erwähnt versteht aber das österreichische PPTP anscheinend nicht? .... Wie ist es mit dem ZyXel 335 und der 600er Serie?) Ich will Euch ja nicht nerven .. ich finde aber nur kommerzielle Informationen, bei denen Unverträglichkeiten und Österreich-ADSL Besonderheiten natürlich nie erwähnt werden).
technix
Neu im Board
Neu im Board
 
Beiträge: 9
Registriert: Di 08 Nov, 2005 11:45

Beitragvon lordpeng » Di 08 Nov, 2005 20:18

>der Netgear FVS318 wird auch öfter erwähnt versteht
>aber das österreichische PPTP anscheinend nicht?
doch läuft tadellos, allerdings ist er für dein vorhaben ungeeignet, da man dem LAN interface nur eine IP geben kann und nicht zwei, was für deine zwecke wohl erforderlich wäre ...

ich würd den telekom router entsprechend konfigurieren bzw. konfigurieren lassen, das sollte bei business anschlüssen normalerweise kein problem darstellen ...

wenn du dennoch einen eigenen router verwenden willst, den telekom router unbedingt auf routing konfigurieren lassen und nicht zweimal nat hintereinander ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon preiti » Di 08 Nov, 2005 21:23

codec hat geschrieben:Am besten nen alten ausrangierten Rechner mit OpenBSD drauf und fertig, besser als die ganze low cost router und sind auch highly scaleable.

Du musst nicht unbedingt gleich mit Kannonen auf Spatzen schießen.

Es tuts oft auch IPCop. Das ist ein speziell für die Verwendung als Firewall angepasstes Linux. Das tolle daran ist die einfache Konfiguration über ein Webinterface. Es gibt viele Erweiterungen bzw. Addons dafür. IPCop spricht auf der WAN-Seite, dem "RED"-Interface, PPTP, PPPoE oder DHCP-Client. Die anderen Möglichkeiten habe ich noch nicht probiert. Infos zu IPCop gibt es auch auf der deutschen Forums-Seite oder auch hier im Forum, wenn man die Suchen-Funktion verwendet. Dort findst du sicher eine Lösung, den IPCop entsprechend deinen Wünschen zu konfigurieren.
Ich selbst verwende den IPCop mit Inode und PPPoE auf RED als Firewall, Gateway, DHCP und DNS für mein Netzwerk zuhause mit dem Addon Copfilter. Das Copfilter-Forum findest du hier. Weitere Infos bzw. Erfahrungsberichte gibts auf Anfrage bei mir!!
Zuletzt geändert von preiti am Di 08 Nov, 2005 21:33, insgesamt 1-mal geändert.
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Beitragvon technix » Di 08 Nov, 2005 21:33

Der Telekom Cisco 837 ist Bestandteil des TA-ADSL Produkts und ist auf "routing" konfiguriert, da wir zB die Portfreigaben (zB zur externen Serverfernwartung) zwecks schneller Rechtevergabe selbst im Zugriff haben wollen.

Wir haben auch nur eine fixe IP, da von den 4 inkludierten die erste die Cisco Adresse ist, die zweite als Cisco Gateway Adresse und die vierte als TA broadcast Adresse verwendet wird. Die freie IP hätten wir an den firewall/router vergeben und dieser sollte dann als Gateway beiden Subnetzen als ADSL Zugang zur Verfügung stehen.

Subnetze deshalb, damit zB ein schnell reingehängtes DHCP Netzwerkgerät nur im jeweiligen Subnetz Brösel macht, aber nicht die anderen Teile auch lahmlegt. Ausserdem gibt es zwei Datenbankserver, die sich nicht in die Quere kommen sollen.

Kommt das so selten vor, dass sich zwei Leute einen breiteren ADSL Zugang teilen? Providerseitig gab es da keinen Einwand.

@lordpeng .. brauche ich da zwei "interne" Router, einen pro Subnetz? Klingt irgendwie verschwenderisch, aber wenns nicht anders gehen sollte ...achja und der OvisLink MU-9000VPN scheint ein gutes Gerät zu sein ...
technix
Neu im Board
Neu im Board
 
Beiträge: 9
Registriert: Di 08 Nov, 2005 11:45

Beitragvon lordpeng » Di 08 Nov, 2005 21:42

>Kommt das so selten vor, dass sich zwei Leute einen breiteren ADSL Zugang teilen? Providerseitig gab es da keinen Einwand
du zahlst eh für einen mehrplatz zugang und solang du ned die ganze ortschaft mit internet versorgst wirds dem anbieter ziemlich egal sein ... allerdings muss dir bewusst sein, dass im missbrauchsfall der anschlussinhaber (also derjenige der auf der rechnung steht) der erste anlaufpunkt ist ¹ ...

>@lordpeng .. brauche ich da zwei "interne" Router, einen pro Subnetz
nein nur einen ordentlichen ... der ist dann vermutlich teurer als zwei billige ...


¹zum thema aufteilen eines internetzugangs unter mehreren leuten wurde hier schon viel geschrieben ich würde dir empfehlen die suchfunktion zu verwenden
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon jutta » Mi 09 Nov, 2005 06:05

der P324 hat eine serielle schnittstelle ueber die man ein isdn- oder analog-modem als backup anschliessen kann. er laeuft sehr stabil. (von einer fw bei der -ml variante abgesehen. achte sicherheitshalber darauf, dass du das einsprachig englische modell bekmmst). und er hat auch das "ip alias" feature. (das hatte ich gestern im manual gesucht, aber in der eile nicht gefunden). fuer eure zwecke ist er vermutlich sogar besser als der p334. der p324 wird uebrigens von inode seit jahren fuer adsl-mehrplatzanschluesse verwendet, der ist also tausendfach getestet.

die uebertragungsraten sind bei p324 und p334 gleich. die anzahl der max nat sessions unterscheidet sich (1024 vs 2048 iirc, sollte sich im forum mit der suchfunktion finden lassen), aber die spielt nur bei intensiverem filesharing eine rolle (oder bei grossen netzten mit vielen clients.)

vom ovislink vpn 9000 war ich anfangs begeistert. er hat viele features die man brauchen kann oder auch nicht. (ich werde zb sicher nie eine webcam anschliessen, um meinen angeraeumten schreibtisch auch noch aus der ferne zu sehen), ist einfach zu konfigurieren, laeuft stabil. aber ich vermisse manches, was mir fuer meinen komfort inzwischen wichtig ist, vor allem telnetzugang und konsolenanschluss.

wenns ein bisschen mehr kosten darf, schau dir bintec router an. http://www.funkwerk-ec.com/ die sind von der hardware her deutlich leistungsfaehiger als 'kleine' soho-router und du hast je nach modell alle moeglichen backup-arten zur verfuegung (2. dsl-anschluss, isdn, analog-modem, gprs ... was vergessen?) der vpn 25 hat sogar 3 physikalische ethernet-interfaces, die sich einzeln konfigurieren lassen. fuer die erstkonfiguration solltest du allerdings ein bisschen zeit haben, wenns nicht eine 08/15 sache ist. die ist nicht so intuitiv wie bei den zyxels oder netgears. (dafuer viel mehr moeglichkeiten) unter http://www.funkwerk-ec.com/index.php?se ... ation=5859 findest du viele beispielkonfigurationen, die dir vielleicht einen besseren eindruck bieten als die product sheets. der x1200 II kostet ein bisschen weniger als der vpn 25 und hat auch isdn-backup.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon al » Mi 09 Nov, 2005 10:19

Also mal langsam mit den jungen Pferden... hier werden Begriffe mißbraucht, daß es nur so raucht...

Wir reden hier von einem /30? Dann ist nur eine IP-Adresse verfügbar (die anderen drei sind Netzwerk, Router und Broadcast). Und ein /30 kamma einfach nicht subnetten.

Was könnte man hier konkret machen? Erst mal mindestens ein /29 von der TA beantragen. Und dann eine ZyWall 5 (oder eigentlich eine ZyWall 35) nehmen und Multi-NAT verwenden, sprich ein privates Netz (LAN) hinter einer IP-Adresse verstecken und das zweite private Netz (DMZ) hinter der zweiten IP-Adresse verstecken. Oder in der DMZ 4 Hosts 1:1 NATten.

Oder ein /28 haben und dann wirklich das eine /29 in die DMZ routen (das heißt dann wirklich subnetting).

Stattdessen kann man das ganze natürlich mit *nix und einer Kiste mit 3 NICs auch machen.

Weitere Details per Email...

/al
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon jutta » Mi 09 Nov, 2005 11:19

soweit ich mitbekommen habe, geht es dem OP nicht um subnetting im technischen sinn, sondern darum, im lan zwei getrennte (private) ip-bereiche zu haben. das koennen die angefuehrten router.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon .al » Mi 09 Nov, 2005 15:05

Ach so, einfach nur das LAN virtuell aufteilen, ja, dafür gibt's IP alias:

IP alias allows you to partition a physical network into
different logical networks over the same Ethernet interface. The
ZyWALL supports three logical LAN interfaces via its single
physical Ethernet interface with the ZyWALL itself as the
gateway for each LAN network.

Das kann IIRC so ziemlich jedes gängige Prestige. Ob DHCP allerdings auf den aliases funktioniert, kann ich nicht sagen (hab's selber nie probiert...).

/al
.al
Neu im Board
Neu im Board
 
Beiträge: 1
Registriert: Mi 09 Nov, 2005 14:52
Wohnort: Hawei

Beitragvon wicked_one » Do 10 Nov, 2005 15:16

reicht doch auch a firewall die 2 eternit schnittstellen hat die seperat konfiguerierbar sin?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14


Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 46 Gäste