xDSL.at

[scream21m]

Hallo hatte Gestern mein Business Anschluss bekommen das war der schönste Teil das problem sind die Ips.
Könnt ihr mal drauf schauen wo ich denn Fehler habe.
Möchte nur denn PC mit einer IP Versorgen zur Zeit

Modem: Cisco
Router:Routerboard bekommt Automatisch die Haupt-Ip.
Danke

[scream21m]

Hat sie Erledigt.

[zid]

hast des net früher sagen können, jetzt hab umsonst eine längere anleitung geschrieben...

lg
zid

[scream21m]

Hatte mir einen vorkonfigurierten Router Bestellt.

[zid]

dein tikerl (welches genau btw?) hat eh schon sehr schnuckelig hergschaut, aus meiner sicht hätts da net viel handlungsbedarf gegeben...

hallo scream,

ich post jetzt trotzdem den ganzen kas, vielleicht hilft das graffl andren.


den dhcp-client auf der bridge-local (=lan) kannst ausräumen, bist eh schon dual homed unterwegs.
beim dns-cache remote requests nicht zulassen, kann mißbraucht werden. und bei der ttl würd *ich persönlich* auf 6-12h gehen, das fällt aber schon eher in den bereich "geschmackssache".

I.zur konfiguration der rechner, du hast 2 gruppen:

1. rechner mit öffentlicher ip (werden geroutet)
ip: 212.*.*.[9|11-14]
mask:255.255.255.248
gate: 212.*.*.10
dns: 212.*.*.10

2. rechner mit privater ip (werden maskiert)
ip: 192.168.88.[2-254]
mask: 255.255.255.0
gate: 192.168.88.1
dns: 192.168.88.1


II. masquerading auf private ips einschränken, sonst ist dein schönes öffentliches netz fürn hugo...

Code: Alles auswählen

# nat table planieren:
foreach counter=r in=[/ip firewall nat find] do={/ip firewall nat remove $r}
# du hast 2 moeglichkeiten, das private netz zu maskieren:
# 1. mit der 80.110.18.196:
ip firewall nat add chain srcnat src-address 192.168.88.0/24 out-interface ether1-gateway action masquerade
# mit der 212.*.*.10
ip firewall nat add chain srcnat src-address 192.168.88.0/24 out-interface ether1-gateway action=src-nat to-address 212.*.*.10

III. ***wichtig***- nicht die forward chain vergessen, da du ein geroutetes netz hast!
im einfachsten fall sieht das ca. so aus:

Code: Alles auswählen

# forward chain planieren:
foreach counter=r in=[ip firewall filter find chain=forward] do={ip firewall filter remove $r}
# forward chain neu aufsetzen, der taffic soll in diesem beispiel nur in richtung lan -> wan erlaubt sein
ip firewall filter
add chain forward connection-state established action accept comment "accept established connections"
add chain forward in-interface bridge-local action accept comment "accept traffic lan -> wan"
add chain forward connection-state related action accept comment "accept related connections"
add chain forward action drop comment "drop the rest"

wenn du auf dienste, die auf rechnern mit öffentlichen ips rennen, von außen zugreifen willst, mußt du die entsprechenden ports in der forward chain öffnen.
kleiner hinweis:
wenn man sich mit adressen, routen oder der firewall rumspielt, dann läuft man gefahr, sich selbst auszuschließen, da genügt schon ein kleiner tippfehler. deshalb solche aktionen ***immer*** im safe mode durchführen.

was sehr interessant finde:
upc routet nicht "dreckig" und der wan-link hat sogar eine öffentliche ip. chapeau!

lg
zid

[scream21m]

Danke für die Anleitung hattes es schon mit der Config von dadaniel Probiert leider geht da nichts mehr Weiter.

[zid]

naja, die konfig vom daniel ist sehr schön, aber doch schon etwas speziell- ich hatte vor etwas längerer zeit diesbezüglich eine etwas längere diskussion mit ihm- und kann nicht so einfach mir nix, dir nix auf andre systeme übertragen werden. wenn du seine konfig übernimmst, mußt du schon a bißl dein händchen anlegen, is aber auch kein prob.
welches tikerl hast du jetzt genau?
aja, noch was:
.8/29 ist ein affengeiles end-oktett, weil du minimal aufblähen (du gehst einfach auf .0/27) und dann alle 8 öffentlichen ips "produktiv" verwenden kannst. mit deinen aktuellen einstellungen kannst du nur 5 pub-ips verwenden, weil 3 ips für net-id, bcast und gate verbraten werden.

lg & viel spaß!
zid

ps: vergewaltige grad ein 2011er tikerl...

[scream21m]

RB2011UiAS-2HnD
Also von denn 8 Ips kann man nur 5 Anwenden.

[zid]

> RB2011UiAS-2HnD
ok, mit dem ding war ich vor 2 wochen oder so beim riddik beschäftigt, weil der junge 1x lte + 2x dsl auf ein gerät "aufkonzentrieren" wollte. geht butterweich durch.
aktuell richt ich grad für einen freund ein RB2011UiAS her. konfig is einen tick komplexer als beim riddik, weil der junge ein load balancing zwischen lte und bonding (= 2x dsl) haben will.
ja, und dann hab ich jetzt noch eine lustige diskussion mim starvirus, weil der einen freund hat, der sich ein RB2011UiAS-RM reingezoegen hat (das "RM" is die rackmount variante vom RB2011UiAS) und damit a bißl vpn spielen will. auch kein prob.

die 2011er scheinen aktuell echt ein renner zu sein, ka wunder, daß es lieferschwierigkeiten gibt/gegeben hat.

>"...Also von denn 8 Ips kann man nur 5 Anwenden..."
mit deinen aktuellen einstellungen ja. mein kleiner hinweis war nur dazu gedacht, dir eine kleine erleichterung zu schaffen, falls im "eifrigen tun" ein erhöhter bedarf an pub-ips entstehen sollte.

lg
zid

[kabufzk]

Nur so am Rande: scheinen ja Teufelsdinger zu sein diese Routerboards und von Preis/Leistung her äußerst attraktiv. Wenn ich mal wieder mehr Zeit habe besorge ich mir auch unbedingt so eines zum Spielen

[scream21m]

Würde lieber auf denn Vorkonfigurierten Router wählen so macht man nichts Falsch.

[sysadmin4456]

Hallo zid,

du hast recht, die mikrotik sind schon coole Geräte

> RB2011UiAS-2HnD
ok, mit dem ding war ich vor 2 wochen oder so beim riddik beschäftigt, weil der junge 1x lte + 2x dsl auf ein gerät "aufkonzentrieren" wollte. geht butterweich durch.
aktuell richt ich grad für einen freund ein RB2011UiAS her. konfig is einen tick komplexer als beim riddik, weil der junge ein load balancing zwischen lte und bonding (= 2x dsl) haben will.
ja, und dann hab ich jetzt noch eine lustige diskussion mim starvirus, weil der einen freund hat, der sich ein RB2011UiAS-RM reingezoegen hat (das "RM" is die rackmount variante vom RB2011UiAS) und damit a bißl vpn spielen will. auch kein prob.

jetzt hast du mich neugierig gemacht, könntest du etwas zu der config verraten?
Wir realisierst du das bonding 2x dsl usw...?

lg sysadmin4456

[scream21m]

Jetzt hat er dich .

[Starvirus]

@ sysadmin4456
Da musst du auch den Riddik ins Boot holen, die zwei haben hauptsächlich an der Konfig gebastelt und optimiert dafür.
Hier schneidet es der Riddik etwas an was er genau gemacht hat:
viewtopic.php?f=46&t=56752&start=15

[zid]

liebe leute,

ich fürchte, daß da ein falscher eindruck entstanden ist.
der riddik und ich haben genau nix zu dem neuen bonding, das kein mlppp und in jeder beziehung dem klassischen mlppp überlegen ist, beigetragen. wir verwenden es nur.
der wahre meister heißt god stef. "god stef" ist der interne nick unsres stefan hedenig, der auch hier in diesem forum postet. ich kenne viele leute, die netztechnisch sehr gut drauf sind, an die virituose eleganz vom stefan kommen die aber nicht ran. der stefan spielt net in einer höheren/hohen liga, der *ist* ein andres universum, bei diesen, seinen fähigkeiten muß ich wirklich schon ontologische formulierungen bemühen...
und es ist natürlich das privileg des urhebers, seine ideen und konstruktionen der öffentlichkeit zu präsentieren. tut er es, isses gut. tut er es nicht, dann isses auch gut.

lg
zid