Zugriff im WAN auf einen PC im Klasse-C-Netz

[RalphT]

Hallo,

die Überschrift liest sich etwas blöde. Der Aufbau ist wie folgt:

Es besteht ein LAN 192.168.2.0/24. Dieses LAN hat eine Firewall und hat den Internetkontakt nach draußen. Jetzt habe ich ein weiteres LAN 192.168.100.0/24 erstellt. In diesem LAN brauch ich nur Internet. Weiterhin benötige ich einen Zugriff auf einen Rechner im LAN 192.168.2.0/24.
Ich habe beim Lancom 1811 eine IPoE-Internetverbindung eingerichtet. Alle Rechner im LAN 192.168.100.0/24 haben jetzt Internet. Soweit alles gut.

Jetzt brauche ich ja noch den Zugriff auf einen Rechner im LAN 192.168.2.0/24. Dabei habe ich (noch) folgenden Gedanken:

Einfach im Lancom einen weiteren Port für das LAN 192.168.2.0/24 einrichten. Dann über die Firewall den direkten Zugriff einfach einrichten.
Meine Frage: Geht das gut?

In diesem Fall wäre ETH-1 am LAN 192.168.2.0/24 und der Anschluss ETH-4 auch. Der Anschluss ETH-4 hat ja die WAN-Funktion.

Ich wollte das jetzt nicht einfach anklemmen und probieren, da ein Netzwerk im produktiven Einsatz ist.

[MariusP]

Hi,
Möchtest du verhindern, das PCs aus Netz B auf andere PCs, außer dem speziellen PC, in Netz A Zugriff haben?
Und sollen PCs aus Netz A auf Rechner in Netz B Zugriff haben?
Gruß

[RalphT]

Nicht ganz richtig. Beide Netze sollen eigentlich komplett voneinander isoliert sein. Nur der eine spezielle Zugriff vom LAN 192.168.100.0/24 auf einen Rechner im LAN 192.168.2.0/24 soll möglich sein. Naja und das Internet.

[Dr.Einstein]

Hallo RalphT,

deine IPoE Verbindung hat doch bereits eine IP aus dem 192.168.2.x Bereich oder habe ich das falsch verstanden?

Gruß Dr.Einstein

[RalphT]

Ja, das stimmt. Er bekommt sie aus dem LAN 192.168.2.0/24 per DHCP zugewiesen.

[Dr.Einstein]

Hallo RalphT,

dann haben doch alle PCs aus dem 192.168.100.0/24 Netzwerk kompletten Zugriff auf das 192.168.2.0/24. Wenn nicht, dann lösche die ganzen Blockrouten in der Routingtabelle. (192.168.0.0/16 0.0.0.0)

Du müsstest in dem Lancom jetzt zwei Firewallregeln hinzufügen. Einmal 192.168.100.0/24 -> 192.168.2.0/24 DENY/Reject, und eine mit höherer Prio 192.168.100.0/24 -> 192.168.2.111/32 ALLOW

Gruß Dr.Einstein

[RalphT]

Die Routen hatte ich gelöscht und testweise eine Firewallregel von 192.168.100.0/24 nach 192.168.2.0/24 erstellt. Im Lanmonitor ist kein Blocken der Firewall erkennbar. Wenn ich testweise die Firewallregel deaktivierel, dann wird im Lanmonitor auch ein Blocken der Firewall angezeigt.

[RalphT]

Jetzt bin ich etwas weiter. Der Zugriff funktioniert. Es lag daran, dass ich den Port ETH-1 noch auf das LAN 192.168.2.0/24 hatte. Ich gehe mal davon aus, dass die Pakete an den Port gesendet wurden.

Nur, jetzt ist mir zuviel Zugriff vom LAN 192.168.100.0/24 auf das LAN 192.168.2.0/24 gegeben. Das gesamte LAN kann ich von da aus erreichen. Das soll ja nicht sein. Es soll ja nur ein Rechner erreichbar sein.

In der Firewall ist eine DENY ALL Regel. Eine Regel darüber wurde nur der Zugriff über ICMP auf den einen Rechner erlaubt. D.h. die Firewall blockt nicht den Datenverkehr.

Habe ich noch etwas übersehen?

[Dr.Einstein]

Kannst du mal deine Regeln posten? Der Lancom arbeitet die Regeln von oben nach unten ab und beim ersten Treffer erfolgt die in der Regel hinterlegte Aktion (Reject, Allow etc)

Zu 99,9% wirst du hier was übersehen haben, sodass die Deny Regel z.B. nicht greift.

Gruß Dr.Einstein

[RalphT]

Glaube mir es , ich habe da zig mal draufgeguckt. Da war ein Tippfehler. Aus einer 100 wurde 106!

Ich habe ja nur 3 Regeln, davon ist die eine als DENY ALL.

Es läuft jetzt, so wie ich es haben möchte. Danke für die Hilfe.