Log In
Home
November 14, 2006
Offline
Tja,
Det här blir snurrigare och snurrigare ju mer jag tänker på det. Känner att jag måste läsa på ordentligt om det grundläggande med subnetting osv ( 
) men vore glad om någon kan peka mig i rätt riktning..
caset är som följer:
! En ny brandvägg med 2 wan-portar och 4 portar valbara lan/dmz.
! En ny pipa med publik ip-range.
? Hur konfar jag det..
Vi kan kalla rangen som jag blivit tilldelad 1.2.3.176/28 , som jag fattat det är det så här:
.176 är nät id och kan inte användas till något alls och .191 är broadcast. och 'värdelös' för mig. ok?
Min första riktiga ip är alltså .177 och sätts lämpligen som primär ip på wan-port nummer 1 (ska bara använda en pipa). Subnätmasken ska ju vara 255.255.255.240 när man har en 28-mask.
WAN1 blir då:
IP 1.2.3.177
mask 255.255.255.240
DG 1.2.3.176
LAN-sidan är ju solklar, bara att hugga en lämplig svart serie.
MEN.. om jag nu vill använda dmz-funktionen i brandväggen?
Jag har läst en del och kommit fram till att jag absolut ska ha publika adresser även på dmz:n. Men då måste jag ju dela upp mitt nät, och det enda jag kan göra är ju att dela det på mitten i två stycken /29 nät. Eller ?
Ska jag då sätta:
WAN-porten
IP 1.2.3.177
mask 255.255.255.248 (eller fortfarande 240?)
DG 1.2.3.176
DMZ-porten
IP 1.2.3.184
mask 255.255.255.248
DG ?? 1.2.3.184? , 1.2.3.177? , 1.2.3.176?
Och VART tog mina fem andra adresser vägen på WAN-sidan om jag nu vill köra all trafik genom brandväggen utan att ful-koppla dessa servrar direkt på wan-sidan i en switch ?? Jag kanske kan natta in dessa skarpa adresser på lanet men det känns ju bara sådär.
Snälla ! Hjälp mig att tänka. Jag brinner upp på det här..
edit: .176 är ju inte värdelös.... den är ju DG..
February 21, 2003
Offline
1. du har strulat till dina ip's totalt (fel subnet / nätmaskar etc)...
2. du saknar en defaultrouter från din isp...
3. din isp måste splitta näten då han routar till dig, inget du själv gör...
gör det enkelt för dig istället
säg att du har nätet 195.168.168.0/28 (195.168.168.0-195.168.168.15)... då kan du splitta det på 2x30 och 1x29... (men mest logiskt här är ju 2x29)
Externt nät (195.168.168.0/29
195.168.168.1 - ISP's ROUTER
195.168.168.2 - WAN IP på din firewall
195.168.168.3-7 (möjlighet att ställa testdator/vpn hårdvara etc på dessa ip's)
DMZ (195.168.168.8/29)
195.168.168.9 - DMZ ip på din firewall
195.168.168.10-14 - DMZ SERVERS
Internt nät (192.168.1.0/24)
192.168.1.1 - LAN IP på firewall (din interna default gateway)
annars kan man väl natta? (nu är jag lite osäker dock)
Externt nät (195.168.168.0/28)
195.168.168.1 - ISP's ROUTER
195.168.168.2 - WAN IP på din firewall
195.168.168.3-14 (sköter din firewall om)
DMZ (192.168.0.0/24) (kör med privata ip's här)
192.168.0.1 - DMZ ip på din firewall
192.168.0.2-254 - DMZ SERVERS (du har dock bara 12ip att natta ner mot dem)
Internt nät (192.168.1.0/24)
192.168.1.1 - LAN IP på firewall (din interna default gateway
ändrade externa från 192-195 bara för att skilja dem mer, säkert missat editera om på nån...
(edit, har aldrig förstått mig på folk som ska ha internet ip på sina servers... nat funkar finfint... enklast att bygga sina nät så då du slipper meka på servers/ändra applikationer om du byter isp och inte äger dina egna ips)
P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64
November 14, 2006
Offline
Tack för din input tiggre, uppskattar det.
tiggre wrote: 1. du har strulat till dina ip's totalt (fel subnet / nätmaskar etc)... )
Har du lust att förklara exakt vad det är som är tillstrulat ? Jag är säker på att du har rätt men vill gärna försöka förstå.
Mitt /28-nät är ju 16 hosts och bör då ha masken 255.255.255.240
tiggre wrote: 2. du saknar en defaultrouter från din isp...
Nej, inte alls. Antar att du med 'defaultrouter' syftar på default gateway ? Det är den som har adressen 1.2.3.176 , en kundplacerad router som har första adressen i mitt ip-span.
tiggre wrote: 3. din isp måste splitta näten då han routar till dig, inget du själv gör...
gör det enkelt för dig istället
säg att du har nätet 195.168.168.0/28 (195.168.168.0-195.168.168.15)... då kan du splitta det på 2x30 och 1x29... (men mest logiskt här är ju 2x29)
Externt nät (195.168.168.0/29
195.168.168.1 - ISP's ROUTER
195.168.168.2 - WAN IP på din firewall
195.168.168.3-7 (möjlighet att ställa testdator/vpn hårdvara etc på dessa ip's)DMZ (195.168.168.8/29)
195.168.168.9 - DMZ ip på din firewall
195.168.168.10-14 - DMZ SERVERS
Okay! Måste använda mina egna 'slutsiffror' här för att se det..
1.2.3.176 /28 = hela mitt nät
Firewallens WAN1=
IP 1.2.3.177
MASK 255.255.255.248
DG 1.2.3.176
Firewallens DMZ=
IP 1.2.3.184
MASK 255.255.255.248
DG ? ska jag använda .184 här då?
tiggre wrote: (edit, har aldrig förstått mig på folk som ska ha internet ip på sina servers... nat funkar finfint... enklast att bygga sina nät så då du slipper meka på servers/ändra applikationer om du byter isp och inte äger dina egna ips)
Det finns flera anledningar till att jag vill ha vita adresser även på dmz:n. En är nat-t, eller snarare avsaknaden av det på en del utrustning. Likaså tappar jag diffserv flaggan när trafiken nattas.
Tar gärna emot mer synpunkter ! Tack
May 9, 2001
Offline
Urk. Det var ett bra tag sedan jag räknade ut subnät märker jag. Nu har jag i princip glömt bort hur man gjorde.
Men Subnetmask och IP hör i alla fall ihop. Man kan få en viss mängd IP-adresser i varje subnät, men hur många har jag glömt bort.
Har för mig att i varje nät kan man åtminståne ha 255 användare.
256 om man nu räknar med själva nätverket (typ 192.168.0.0).
Har för mig att nätverket alltid är 0
February 21, 2003
Offline
oki, du står på dig 😉 (och jag var trött igår pga sjuka barn under natten)
(edit), såg just mitt problem från igår... hade räknat på 1.2.3.76)
om nu 1.2.3.176/28 är ditt nät så kan .176 omöjligen vara defaultgateway/defaultrouter...
1.2.3.176 = subnetmask (hur du än splittar)
då skulle splitten se ut såhär efter mitt förslag
1.2.3.176/29
1.2.3.184/29
Firewallens WAN1=
IP 1.2.3.178
MASK 255.255.255.248
DG 1.2.3.177 (din isp lär sätta sin router med ip .177 eller .182)
Firewallens DMZ=
IP 1.2.3.185
MASK 255.255.255.248
DG ? ska jag använda .184 här då? (nej, du ska inte ha nån DG på det här interfacet, dock ska de servers du har på DMZ ha .185 som DG)
P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64
February 21, 2003
Offline
rsastin wrote: Urk. Det var ett bra tag sedan jag räknade ut subnät märker jag. Nu har jag i princip glömt bort hur man gjorde.
Men Subnetmask och IP hör i alla fall ihop. Man kan få en viss mängd IP-adresser i varje subnät, men hur många har jag glömt bort.
Har för mig att i varje nät kan man åtminståne ha 255 användare.
256 om man nu räknar med själva nätverket (typ 192.168.0.0).
Har för mig att nätverket alltid är 0
du pratar om en netmask, vi pratar om en subnetmask...
men visst har du rätt, ett Cnät "/24" har det du beskriver... (netmask)
ska vi krångla till det så kan man göra detta (supernetmask)
192.168.0.0/23
supernetmask 192.168.0.0
broadcast 192.168.1.255
= ett nät med 512ip (minus 2 "obrukbara")
P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64
February 21, 2003
Offline
knarkad wrote: Likaså tappar jag diffserv flaggan när trafiken nattas.
ska du köra qos för torrents, spelserver eller ip telefoni?
😉
(edit)
återigen, du kan inte heller splitta näten utan att informera din isp om hur nätet ska se ut... de routar nätet /28... inte näten /29
P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64
November 14, 2006
Offline
tiggre wrote: om nu 1.2.3.176/28 är ditt nät så kan .176 omöjligen vara defaultgateway/defaultrouter...
Helt rätt. Jag som var lite för snabb. .177 är routerns ip.
tiggre wrote: då skulle splitten se ut såhär efter mitt förslag
1.2.3.176/29
1.2.3.184/29
Fair enough ! Så skulle jag kunna tänka mig att ha näten. Då borde jag ju även kunna ställa en tex vpn-koncentrator direkt ute på .179 framför min ordinarie fw.
Men...
tiggre wrote: återigen, du kan inte heller splitta näten utan att informera din isp om hur nätet ska se ut... de routar nätet /28... inte näten /29
Fler idiotfrågor: Jag kan ju sannolikt inte sätta /28 på wan och /29 på dmz, då blir det ju kollission. Och sätter jag själv 2 * /29 så kommer alltså inte routingen att fungera till mitt dmz?
Jag kanske har gjort generalfelet nummer 1 genom att inte berätta exakt vilken utrustning jag har, eller så spelar det ingen roll. Min fw har ju även möjligheten att routa (om man vill) och bör ju då bli en del av nätet. Fungerar det då inte automatiskt med hjälp av rip ? eller är problemet att serierna överlappar varandra om jag är tvingad att sätta /29 på wan:et och vill ha /28 på dmz:n.
Jag känner mig så dum..
tiggre wrote: ska du köra qos för torrents, spelserver eller ip telefoni?
Ska primärt vara för voip. Det fungerar ju halvbra att få trafiken prioriterad på allt utom en mpls, men faktum är att flaggan finns kvar på det point to point test som jag gjort.
February 21, 2003
Offline
knarkad wrote: Jag kanske har gjort generalfelet nummer 1 genom att inte berätta exakt vilken utrustning jag har, eller så spelar det ingen roll. Min fw har ju även möjligheten att routa (om man vill) och bör ju då bli en del av nätet. Fungerar det då inte automatiskt med hjälp av rip ? eller är problemet att serierna överlappar varandra om jag är tvingad att sätta /29 på wan:et och vill ha /28 på dmz:n.
Jag känner mig så dum..
nät är inte alltid enkelt (lite inte på allt jag skriver då jag inte jobbar med detta primärt, har en del erfarenhet dock)
generalfel 1 skulle mer vara att du förlitar dig på ett internetforum för en komplicerad uppsättning 😉
har ganska bra koll på vart du vill komma, vad du sen ska koppla på är mindre intressant (qos delen är dock bra att veta)
gör du 2 st /29 nät så finns inte /28 nätet längre...
knappast så att din isp kör rip va?
mvh Johan
P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64
1 Guest(s)
