Zweite DMZ mit öffentlichen Ip

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

Antworten
rtrider
Beiträge: 23
Registriert: 29 Mär 2005, 23:12

Zweite DMZ mit öffentlichen Ip

Beitrag von rtrider » 20 Aug 2009, 18:11

Hallo Leute,
ich stehe hier geared auf dem Schlauch...

Bisherige Konfig:
8011 mit einer statischen Ip am WAN-Port, DMZ mit privaten IPs, maskiert und entsprechendes Portforwarding.

Jetzt ist ein /29 er Netz dazu gekommen, welches über die ursprüngliche statische IP des WAN-Ports geroutet wird.

Dieses soll jetzt an einen isolierten ETH-Port geroutet werden.

Also habe ich einen ETH-Port auf ein zweites Lan gemapt, isoliert, LAN-2 eine IP aus dem neuen Bereich gegeben und sicherheitshalber noch eien getagte Route in die Tabelle eingetargen, daß das neue Netz auf die entsprechende IP geroutet werden soll. Typ des Netzwerk ist DMS, Routing Tag ist überall die 2. Schön und gut, aber es gelingt mir nicht von ausserhalb das Interface anzupingen. Spaßehalber habe ich mal eine FW-Regel mit Tag 2 eingerichtet, die eigentlich alles erlauben sollte.
Trotzdem kommt nur 'Zielnetz nicht erreichbar'

Wo ist der Denkfehler?

Viele Grüße
Torben

Firmware ist übrigen 7.60.0160

backslash
Moderator
Moderator
Beiträge: 5759
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Beitrag von backslash » 20 Aug 2009, 19:10

Hi rtrider
und sicherheitshalber noch eien getagte Route in die Tabelle eingetargen, daß das neue Netz auf die entsprechende IP geroutet werden soll.
das ist überflüssig
Typ des Netzwerk ist DMS
du meinst DMZ...
Routing Tag ist überall die 2
überall oder nur auf der DMZ. Wenn es überall 2 ist, dann hast du keinen Schutz vor Zugriffen von der DMZ in dein Intranet. Sinnvollerweise taggst du dein Intranet mit 0 und die DMZ mit einem Tag ungleich 0. Dann kannst du vom Intranet auf die DMZ zugreifen, aber nicht umgekehrt.
Schön und gut, aber es gelingt mir nicht von ausserhalb das Interface anzupingen.
Hast du die Maskierungsoption der Defaultroute auch auf "nur Intranet maskieren" gestellt (und danach einmal die Internet-Verbindung getrennt)?.
Beachte, daß dadurch alle DMZs unmaskiert laufen, d.h. deine bisherige DMZ (also das Netz das mit Portforwarding gearbeitet hat) mußt du auf "Intranet" umstellen, damit sie weiterhin maskiert wird.
Trotzdem kommt nur 'Zielnetz nicht erreichbar'
kommt das vom LANCOM oder schickt das schon der Provider?

Gruß
Backslash

Antworten

Zurück zu „aktuelle LANCOM Router Serie“