Zweite DMZ mit öffentlichen Ip

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
rtrider
Beiträge: 23
Registriert: 29 Mär 2005, 23:12

Zweite DMZ mit öffentlichen Ip

Beitrag von rtrider »

Hallo Leute,
ich stehe hier geared auf dem Schlauch...

Bisherige Konfig:
8011 mit einer statischen Ip am WAN-Port, DMZ mit privaten IPs, maskiert und entsprechendes Portforwarding.

Jetzt ist ein /29 er Netz dazu gekommen, welches über die ursprüngliche statische IP des WAN-Ports geroutet wird.

Dieses soll jetzt an einen isolierten ETH-Port geroutet werden.

Also habe ich einen ETH-Port auf ein zweites Lan gemapt, isoliert, LAN-2 eine IP aus dem neuen Bereich gegeben und sicherheitshalber noch eien getagte Route in die Tabelle eingetargen, daß das neue Netz auf die entsprechende IP geroutet werden soll. Typ des Netzwerk ist DMS, Routing Tag ist überall die 2. Schön und gut, aber es gelingt mir nicht von ausserhalb das Interface anzupingen. Spaßehalber habe ich mal eine FW-Regel mit Tag 2 eingerichtet, die eigentlich alles erlauben sollte.
Trotzdem kommt nur 'Zielnetz nicht erreichbar'

Wo ist der Denkfehler?

Viele Grüße
Torben

Firmware ist übrigen 7.60.0160
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi rtrider
und sicherheitshalber noch eien getagte Route in die Tabelle eingetargen, daß das neue Netz auf die entsprechende IP geroutet werden soll.
das ist überflüssig
Typ des Netzwerk ist DMS
du meinst DMZ...
Routing Tag ist überall die 2
überall oder nur auf der DMZ. Wenn es überall 2 ist, dann hast du keinen Schutz vor Zugriffen von der DMZ in dein Intranet. Sinnvollerweise taggst du dein Intranet mit 0 und die DMZ mit einem Tag ungleich 0. Dann kannst du vom Intranet auf die DMZ zugreifen, aber nicht umgekehrt.
Schön und gut, aber es gelingt mir nicht von ausserhalb das Interface anzupingen.
Hast du die Maskierungsoption der Defaultroute auch auf "nur Intranet maskieren" gestellt (und danach einmal die Internet-Verbindung getrennt)?.
Beachte, daß dadurch alle DMZs unmaskiert laufen, d.h. deine bisherige DMZ (also das Netz das mit Portforwarding gearbeitet hat) mußt du auf "Intranet" umstellen, damit sie weiterhin maskiert wird.
Trotzdem kommt nur 'Zielnetz nicht erreichbar'
kommt das vom LANCOM oder schickt das schon der Provider?

Gruß
Backslash
Antworten