Ich habe bei einem Kunden diesen Anschluss von der Telekom, 10 Mbit Ethernet. Die T-Online-Installation endet für den Kunden mit dem 4-Port-Switch eines vorkonfigurierten Cisco 800. Dazu vom Kunden einen Lancom-Router 1781V. folgende Daten: freie statische IPs: 80.x.x.162...166 Gateway: 80.x.x.161 Subnetmaske: 255.255.255.248 also 80.x.x.160/29 Eine Internetverbindung damit einzurichten war nicht schwer. Als Anschluss Ethernet 1 (von 1..4) auswählen, Plain IP (IPoE) auswählen, dem Interface die erste freie IP (.162) geben, Gateway ... T-Online DNS ... feddich. Nun will der Kunde einen Zugriff per Portforwarding auf ein NAS. Ich also im Lancom einen Eintrag in der Port-Forward-Tabelle, siehe Bild. Nach gefühlten 1000 Anleitungen, die ich diesbezüglich gelesen habe, ist alles korrekt und darüber hinaus keine weitere Einstellung erforderlich und trotzdem bekomme ich keine Verbindung. Auch keinen Ping, obwohl Ping am Lancom nicht abgeschaltet ist. Ideen? Tips? Danke. Und was dann noch seltsam ist: Man kann die Gateway-Adresse von jedem Internet-Anschluss aus anpingen und tracen, aber nicht die (genutzten) IP-Adressen - wieso? Pfuscht da der T-Online-Cisco rein (für den der Endkunde keine Zugangsdaten bekommt)?
Angehängte Dateien:
-
setup.png
32 KB
Frank E. schrieb: > Ich also im Lancom einen Eintrag Schriebst Du nicht etwas von einem "Cisco 800"? Portforwarding von der öffentlichen IP-Adresse in das Kundennetz muss auf dem Router konfiguriert werden, der eine öffentliche IP-Adresse vom ISP erhalten hat, und das dürfte hier der Cisco-Router sein. Warum hinter diesem noch ein weiterer Router kaskadiert wird, ist mir unklar.
Rufus Τ. F. schrieb: > Schriebst Du nicht etwas von einem "Cisco 800"? > > Portforwarding von der öffentlichen IP-Adresse in das Kundennetz muss > auf dem Router konfiguriert werden, der eine öffentliche IP-Adresse vom > ISP erhalten hat, und das dürfte hier der Cisco-Router sein. Warum > hinter diesem noch ein weiterer Router kaskadiert wird, ist mir unklar. Wobei das dann ja auch irgendwie witzlos ist, wenn man für den keine Zugangsdaten erhält.
Rufus Τ. F. schrieb: > Frank E. schrieb: >> Ich also im Lancom einen Eintrag > > Schriebst Du nicht etwas von einem "Cisco 800"? > > Portforwarding von der öffentlichen IP-Adresse in das Kundennetz muss > auf dem Router konfiguriert werden, der eine öffentliche IP-Adresse vom > ISP erhalten hat, und das dürfte hier der Cisco-Router sein. Warum > hinter diesem noch ein weiterer Router kaskadiert wird, ist mir unklar. Nee - das hast du missverstanden. T-Online stellt den Cisco beim Kunden als Zugangspunkt, quasi als "black box" hin, es findet kein für den Kunden sichtbares NAT statt und DHCP gibts auch nicht. An den Switchports des Cisco muss der Kunde dann einen eigenen Router anschliessen - in diesem Falle den Lancom - genau so, als ob das ein (V)DSL-Zugang wäre, nur eben ohne Modem und Zugangsdaten ...
:
Bearbeitet durch User
Hallo. Man bezahlt halt Geld für den Cisco an die Telekom fürs Einrichten. Und default ist die Firewall zu. Wie kommt denn das Netz und Haus? Vdsl? Dann raus mit dem Cisco und den Lancom mit Modem an die Leitung klemmen. Zugangsdaten hat man ja. Martin
Martin schrieb: > Hallo. > > Man bezahlt halt Geld für den Cisco an die Telekom fürs Einrichten. Und > default ist die Firewall zu. Wie kommt denn das Netz und Haus? Vdsl? > Dann raus mit dem Cisco und den Lancom mit Modem an die Leitung klemmen. > Zugangsdaten hat man ja. > > Martin Das Netz kommt über eine Ethernet-Leitung und noch eine vorgeschaltete. ebenfalls T-Online-eigene Anschlussbox ins Haus. An den Switchports des Cisco stehen die oben genannten öffentlichen IP-Adressen zur Verfügung, T-Online betrachtet den Router quasi als Bestandteil des eigenen Netzes, deshalb kein Zugang.
:
Bearbeitet durch User
Martin schrieb: > Wie kommt denn das Netz und Haus? Vdsl? > Dann raus mit dem Cisco und den Lancom mit Modem an die Leitung klemmen. > Zugangsdaten hat man ja. Dürfte sehr wahrscheinlich Kategorie Standleitung sein, also S(H)DSL. @Frank: Du könntest auf dem Stück zwischen dem Cisco und dem LANCOM ja mal mit Wireshark mithören und schauen, ob dein Ping oder eine Anfrage auf den Port es überhaupt bis dahin schafft.
:
Bearbeitet durch User
Moin, bringe doch mal einen weiteren Teilnehmer ins Spiel, PC mit einer der offiziellen Adressen. Erreicht der den LanCom und/oder die Portfreigabe. Kann der erreicht werden? Etwas Vorsicht mit dem PC kann nicht schaden, schließlich schützt ihn dann nur noch seine eigene Firewall vor Besuchern... Gruß Jens
Der angegebene IP-Bereich ist hier vmtl. der Bereich auf der inneren Seite des Cisco Routers, nicht auf der äusseren.
Martin schrieb: > Man bezahlt halt Geld für den Cisco an die Telekom fürs Einrichten. Und > default ist die Firewall zu. Angesichts offizieller Adressen auf der inneren Seite des Ciscos ergibt eine Firewall auf dem Cisco wenig Sinn. Es sei denn der Vertrag sieht das ausdrücklich vor und enthält entweder eine Möglichkeit der Firewall-Konfiguration, oder das geschieht per Hotline/Support.
Problem hat sich selbst (!!!!) gelöst. Unglaublich, aber wahr! Bitte haltet mich nicht für bescheuert. Es ist, als ob die T-Online-Infrastruktur erst hätte lernen müssen. Nachdem ich gestern fast den gesamten Tag mit dem Problem verbracht und dann abends den Startbeitrag hier geschrieben habe ... hab ich gerade nochmal probiert. Und, obwohl es ja erfreulich ist, blieb mir das Maul offen stehen - die Verbindung geht plötzlich. Ich war gerade dabei, eine Hilfe-Anforderung an den Service von T-Online zu schreiben und wollte zum Beweis einen Screenshot des gestern immer im Nirvana endenden Traceroute erstellen und anhängen ... als diser von Anfang zu Ende sauber durchlief. Ich werd' verrückt ... trotzdem, nette Diskussion.
:
Bearbeitet durch User
Frank E. schrieb: > Bitte haltet mich nicht für bescheuert. Es ist, als ob die > T-Online-Infrastruktur erst hätte lernen müssen. Durchaus möglich. Wenn beispielsweise im ersten Schritt eine unvollständige Konfiguration besteht, die erst später vom Provider vervollständigt wird. Sollte der Anschluss heute bereits vollständig funktionieren? Oder wurde das "im Laufe des Tages" oder gar erst morgen zugesagt?
:
Bearbeitet durch User
Frank E. schrieb: > und trotzdem bekomme ich keine Verbindung. Auch keinen Ping, obwohl Ping > am Lancom nicht abgeschaltet ist. Von wo aus getestet? Aus dem internen Netz mit der externen IP? Dann muss in der Firewall hairpinning konfiguriert werden.
egal schrieb: > Frank E. schrieb: >> und trotzdem bekomme ich keine Verbindung. Auch keinen Ping, obwohl Ping >> am Lancom nicht abgeschaltet ist. > > Von wo aus getestet? Aus dem internen Netz mit der externen IP? Dann > muss in der Firewall hairpinning konfiguriert werden. Von einem anderen externen Anschluss (mein privater).
A. K. schrieb: > Frank E. schrieb: >> Bitte haltet mich nicht für bescheuert. Es ist, als ob die >> T-Online-Infrastruktur erst hätte lernen müssen. > > Durchaus möglich. Wenn beispielsweise im ersten Schritt eine > unvollständige Konfiguration besteht, die erst später vom Provider > vervollständigt wird. > > Sollte der Anschluss heute bereits vollständig funktionieren? Oder wurde > das "im Laufe des Tages" oder gar erst morgen zugesagt? Der Anschluss steht schon seit ca. 2 Monaten wund wird unter Nutzung einer der anderen öffentlichen IPs dazu benutzt, eine VPN-Verbindung zu einem Kunden zu halten. Ein Problem gab es jetzt nur beim Portforwarding, bei der "Normalen" Nutzung nicht.
:
Bearbeitet durch User
A.K. fragte > Sollte der Anschluss heute bereits vollständig funktionieren? Oder wurde > das "im Laufe des Tages" oder gar erst morgen zugesagt? Frank Esselbach dazu > Der Anschluss steht schon seit ca. 2 Monaten wund wird unter Nutzung > einer der anderen öffentlichen IPs dazu benutzt, ..... es ist wohl etwas anders bei geschäftlichen Anschlüssen > Bitte haltet mich nicht für bescheuert. Es ist, als ob die > T-Online-Infrastruktur erst hätte lernen müssen. denn die werden sequenziell überwacht und mitgetracet, wenn sich dabei Probleme herausstellen greift dann der fähigere Support nach einer gewissen Reaktionszeit und sucht selber an der Konfig. Melden tut das keiner an den Kunden! Warum auch, wenn der sich nicht meldet! Sowas gibt es bei Konsumer- und privaten Anschlüssen nämlich nicht!
Frank E. schrieb: > Ich war gerade dabei, eine Hilfe-Anforderung an den Service von T-Online > zu schreiben Da es sich nicht um einen 08/15-DSL-Anschluß handelt, wie er millionenfach von Endkunden genutzt wird, hätte ich eine Anfrage bei T-Online durchaus für legitim gehalten. Und im Unterschied zu Otto-Normalverbraucher hättest Du wahrscheinlich sogar eine hilfreiche Antwort erhalten.
Nein,T-Online (sowohl Privat- als auch Geschäftskundenvertrieb) können nicht weiterhelfen, da der Anschluß von T-Systems betreut wird. Der GK-Support wird aber wenigstens wissen, wen du anrufen kannst. Fakt ist - der Cisco ist für dich "Das Internet": er ist Gateway zu deinem LAN. dieses LAN besteht aus 8 öffentlichen IP-Adressen, von denen die kleinste das Netz (.160), die zweitkleinste die IP des Gateways (.161) und die größte (.167) die broadcastadresse ist. der cisco ist für dich im traceroute sichtbar, ansonsten blockiert er rein garnix(!), nicht mal exotischere IP-Pakete. Das muß dein Lancom Bewerkstelligen. Die Ciscos werden Fernkonfiguriert, Die Erstkonfig mit techniker vor Ort stellt sicher, daß die kiste "leuchtet", und in der regel wird auch zu diesem Zeitpunkt die konfig übernommen (selten: kommt später, meisst bei IP-mitnahmen o.ä.). im Lancom trägst du als default GW den cisco ein, gibst dem ding eine der restlichen 5 IPs und idealerweise passt du das Interface auch den netzwerk an (29er Maske etc), damit Ping etc läuft. MTU kannst du bei 1500 lassen - kein bedarf für PPP-Header :) Intranetseitig geht alles wie üblich, statt lancom kannst du dir auch einen beliebigen linux-router nehmen, mit FW etc. die meissten störungen an so einem Anschluß kannst du mit aus/anschalten des Cisco lösen. sollte aber höchstens 1x pro Jahr auftreten.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.