Hallo NG,
brauch Eure Hilfe.
Situation:
Bis dato hatten wir in den Firmenteilen einen oder mehrere T-COM Business Anschlusse mit SDSL Modem. Somit als Gegenstellen eine PPPoE Einwahlverbebindung im Router. Eine Standard Route und über Port Forwarding ins LAN verteilt.
---
Nun wurde mal Alles verändert. Wir haben jetzt Anschlusse der Firma TRONET mit zwangsweise vorgeschaltetem Router den wir nicht einsehen dürfen. Wir brauchen aber den (auch wirklich gerne genommenen 1711) für VPN und unsere Software wertet die Protokolle vom 1711 aus.
TRONET sagt wir haben jetzt eine 8er IP Kreis > der 1711 soll dahinter alle IP lägen Eingangsseitig am 1711 an.
Firmenleitung sagt die externen IP sollen zu verschiedenen Servern im LAN geroutet werden.
Die LANCOM Datenbank hab ich aufmerksam gelesen - komme aber nur zu einer Standard - Route, dh. eine IP kommt von Außen an und wird auch nach Außen benutzt.
Kann einer Helfen - wie sowas richtig aufgebaut wird ?
Diese Situation wird noch öffters kommen. Die Providerfirma TRONET schweigt sich zu LANCOM aus und möchte Ihre eingenen Router verkaufen.
Das kann es aber nicht sein.
Grüße Kurt
1711 mit vorgeschalteten Gatewayrouter
Moderator: Lancom-Systems Moderatoren
Hallo Kurt,
Gruß
Mario
und warum benutzt Du nicht einfach eine IP aus diesem Netz für den WAN-Port des Lancoms? Lass einfach den Assistenten durchlaufen, wähle bei Provider IPoE aus und trage die IP ein.TRONET sagt wir haben jetzt eine 8er IP Kreis > der 1711 soll dahinter alle IP lägen Eingangsseitig am 1711 an.
Da Du im LAN bestimmt einen ganz anderen IP-Adressbereich einsetzt, wird das nicht gehen. Du könntest die Server aber in die DMZ stellen.Firmenleitung sagt die externen IP sollen zu verschiedenen Servern im LAN geroutet werden.
Gruß
Mario
Hi
Gruß
Backslash
und natürlich auch die zugehörige Netzmaske (für 8 Adressen ist das 255.255.255.248)und warum benutzt Du nicht einfach eine IP aus diesem Netz für den WAN-Port des Lancoms? Lass einfach den Assistenten durchlaufen, wähle bei Provider IPoE aus und trage die IP ein.
Der DMZ gibst du dabei die gleiche IP-Adresse und die gleiche Netzmaske wie dem WAN. Somit bleiben die noch 4 Adressen für die Server übrig - 4 sind ja schon weg: eine hat der Router des Providers, eine hat das LANCOM, eine ist die Broadcastadresse des Netzes und eine ist die Netzadresse selbst...Da Du im LAN bestimmt einen ganz anderen IP-Adressbereich einsetzt, wird das nicht gehen. Du könntest die Server aber in die DMZ stellen.
Gruß
Backslash
Hallo Mario > Backslash
Danke für die Hilfestellungen.
Mein 'Halbwissen bitte zu entschuldigen' > ich versuche s ja zu verpessern und die Sachverhalte zu verstehen.
--------------------------------------------------
Die Gegenstelle hab ich ja hinbekommen. Weis aber nicht ob das so richtig ist. Wir haben einen Kreis x.x.x.144/29 also nach meinem Kenntnisstand
IP Adressen von 144 bis 151 im Subnetz 255.255.255.248.
Ist das richtig ?
In den IP Param. zur Gegenstelle sind IP 146 - der vorgegebne Gateway 145 - und die DNS eingetragen. Die 144 will nicht, da weis ich schon nicht warum.
Mit dieser Konstellation habe ich eine Default-Route auf 146. Also alles rein auf 146 über Port Forw. zu den Servern. Und raus bekommt zwangsweise alles die 146. Ein DMZ ist nicht gewünscht. 1. die Server bedienen nicht nur Webdienste sonder sind z.B. auch Terminalserv und und.. im LAN.
2. Bin ich wie Ihr seht nicht der Profi und die nächste fragen wären dann wohl 'Feuerwand' Regeln.
Nach LANCOM Supportanleitungen hab ich nun rum experimentiert. Alles ohne Erfolg. Da ich nicht weis ob die Verbindung zur Gegenstelle so richtig ist bin ich sehr unsicher.
Ich kann NAT von jeder externen auf interne umsetzen .. Maskierung aus an .. usw.
Ich bekomme z.B. von extern z.B. 147 keinen Server intern angesprochen und raus geht alles auf 146.
So weis ich nicht mehr weiter.
Kann noch einer helfen ?
Grüße Kurt
Danke für die Hilfestellungen.
Mein 'Halbwissen bitte zu entschuldigen' > ich versuche s ja zu verpessern und die Sachverhalte zu verstehen.
--------------------------------------------------
Die Gegenstelle hab ich ja hinbekommen. Weis aber nicht ob das so richtig ist. Wir haben einen Kreis x.x.x.144/29 also nach meinem Kenntnisstand
IP Adressen von 144 bis 151 im Subnetz 255.255.255.248.
Ist das richtig ?
In den IP Param. zur Gegenstelle sind IP 146 - der vorgegebne Gateway 145 - und die DNS eingetragen. Die 144 will nicht, da weis ich schon nicht warum.
Mit dieser Konstellation habe ich eine Default-Route auf 146. Also alles rein auf 146 über Port Forw. zu den Servern. Und raus bekommt zwangsweise alles die 146. Ein DMZ ist nicht gewünscht. 1. die Server bedienen nicht nur Webdienste sonder sind z.B. auch Terminalserv und und.. im LAN.
2. Bin ich wie Ihr seht nicht der Profi und die nächste fragen wären dann wohl 'Feuerwand' Regeln.
Nach LANCOM Supportanleitungen hab ich nun rum experimentiert. Alles ohne Erfolg. Da ich nicht weis ob die Verbindung zur Gegenstelle so richtig ist bin ich sehr unsicher.
Ich kann NAT von jeder externen auf interne umsetzen .. Maskierung aus an .. usw.
Ich bekomme z.B. von extern z.B. 147 keinen Server intern angesprochen und raus geht alles auf 146.
So weis ich nicht mehr weiter.
Kann noch einer helfen ?
Grüße Kurt
Hi Kurt
In der Routing-Tabelle trägst du ein, daß die Default-Route auf die Gegenstelle verweist - das macht ja schon der Wizard für dich. Desweiteren mußt du maskieren, sonst kannst du von deinem LAN aus nicht ins Internet. Da du keine öffentliche DMZ willst, wählst du als Maskierungsoption "Intranet und DMZ maskieren (Standard)" aus. Aber auch das hat der Wizard schon eingetragen.
Nun kannst du das LANCOM von aussen unter der 146 anpingen. Wenn du nun einen server im LAN betreiben willst, dann mußt du ein Portforwarding für die jeweils angebotenen Dienste einrichten. Das geht unter IP-Router -> Maskierung -> Service-Tbelle. Dort trägst du für jeden Dienst (Z.B. Port 80 für einen Web-Server) ein, welcher Rechner in deinem LAN diesen Dienst anbietet. Schon kannst du aus dem internet heraus diesen Dienst unter der 146 erreichen.
Wenn dabei alles funktioniert, kannst du eine Deny-All Regel anlegen und für jeden Dienst, den du zulassen willst, passende Regeln erstellen, z.B. um aus dem Internet auf den Web-Server im LAN (also der der in der Portforwarding konfiguriert wurde) zugreifen zu können, ist folgende Regel nötig:
Du willst ja keine DMZ...
Gruß
Backslash
ja.Wir haben einen Kreis x.x.x.144/29 also nach meinem Kenntnisstand IP Adressen von 144 bis 151 im Subnetz 255.255.255.248.
Ist das richtig ?
das ist OKIn den IP Param. zur Gegenstelle sind IP 146 - der vorgegebne Gateway 145 - und die DNS eingetragen
Weil es die Netzadresse ist. Diese kannst du genau so wenig wie die Beroadcast-Adresse (in deinem Fall also die 151) als für ein Gerät vergeben.Die 144 will nicht, da weis ich schon nicht warum.
was willst du uns damit sagen?Mit dieser Konstellation habe ich eine Default-Route auf 146
In der Routing-Tabelle trägst du ein, daß die Default-Route auf die Gegenstelle verweist - das macht ja schon der Wizard für dich. Desweiteren mußt du maskieren, sonst kannst du von deinem LAN aus nicht ins Internet. Da du keine öffentliche DMZ willst, wählst du als Maskierungsoption "Intranet und DMZ maskieren (Standard)" aus. Aber auch das hat der Wizard schon eingetragen.
Nun kannst du das LANCOM von aussen unter der 146 anpingen. Wenn du nun einen server im LAN betreiben willst, dann mußt du ein Portforwarding für die jeweils angebotenen Dienste einrichten. Das geht unter IP-Router -> Maskierung -> Service-Tbelle. Dort trägst du für jeden Dienst (Z.B. Port 80 für einen Web-Server) ein, welcher Rechner in deinem LAN diesen Dienst anbietet. Schon kannst du aus dem internet heraus diesen Dienst unter der 146 erreichen.
Am besten läßt du die Firewall erstmal so wie sie im Auslieferungzustand ist. Dann läßt sie alles durch, bis auf die NetBIOS über DNS Auflösungen von Windows, die nun wirklich nichts im Inrternet zu suchen haben.2. Bin ich wie Ihr seht nicht der Profi und die nächste fragen wären dann wohl 'Feuerwand' Regeln.
Nach LANCOM Supportanleitungen hab ich nun rum experimentiert. Alles ohne Erfolg. Da ich nicht weis ob die Verbindung zur Gegenstelle so richtig ist bin ich sehr unsicher.
Wenn dabei alles funktioniert, kannst du eine Deny-All Regel anlegen und für jeden Dienst, den du zulassen willst, passende Regeln erstellen, z.B. um aus dem Internet auf den Web-Server im LAN (also der der in der Portforwarding konfiguriert wurde) zugreifen zu können, ist folgende Regel nötig:
Code: Alles auswählen
Quelle: alle Stationen
Ziel: IP-Adresse des Web-Severs im LAN
Dinste: Zielport 80
Aktion: übertragenwas auch immer du damit sagen willst...Ich kann NAT von jeder externen auf interne umsetzen .. Maskierung aus an .. usw.
natürlich, da du maskierst ist der interne Server nur unter der 146 erreichbar - und auch nur, wenn du ein Portforwarding eingerichtet hast.Ich bekomme z.B. von extern z.B. 147 keinen Server intern angesprochen und raus geht alles auf 146.
Du willst ja keine DMZ...
Gruß
Backslash
Hallo Backslash
Ju - das mit Portforwarding bekomme ich ja noch hin.
DMZ
Im Artikel
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ,IP,German
und
http://www2.lancom.de/kb.nsf/a5ddf48173 ... NAT,German
ist beschrieben wie man Sever von Außen dennoch im LAN erreichen kann.
Leider bleiben da meine Bemühungen erfolglos.
Das meine ich mit NAT bei LANCOM halt N:N Adressumsetzung.
wie kann ich z.B von Extern x.x.x.147 auf LAN als Beispiel 192.168.11.100 zugreifen ? Und das noch ohne das Tür und Tor 'offen stehen'.
Das soll ich bewerkstelligen.
Grüße Kurt
Ju - das mit Portforwarding bekomme ich ja noch hin.
DMZ
Im Artikel
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ,IP,German
und
http://www2.lancom.de/kb.nsf/a5ddf48173 ... NAT,German
ist beschrieben wie man Sever von Außen dennoch im LAN erreichen kann.
Leider bleiben da meine Bemühungen erfolglos.
Das meine ich mit NAT bei LANCOM halt N:N Adressumsetzung.
wie kann ich z.B von Extern x.x.x.147 auf LAN als Beispiel 192.168.11.100 zugreifen ? Und das noch ohne das Tür und Tor 'offen stehen'.
Das soll ich bewerkstelligen.
Grüße Kurt
Hi Kurt
du willst also doch eine DMZ und kein Portforwarding.
Dazu richtest du halt - wie in diesem Dokument beschrieben - die DMZ ein:
http://www2.lancom.de/kb.nsf/63c1d0f627 ... enDocument
Als DMZ-Adresse benutzt du die x.x.x.146, die du dem LANCOM schon auf der WAN-Seite gegeben hast und als Netzmaske die 255.255.255.248 (wie auf der WAN-Seite).
Nun kannst du den Server entweder direkt in die DMZ stellen und ihm z.B. die x.x.x.147 geben. Unter dieser Adresse ist er dann sowohl aus dem Intranet als auch aus dem Internet erreichbar.
Wenn er aber im LAN stehen und die Adresse 192.168.11.100 haben soll, dann richtest du nun noch ein N:N-Mapping ein, wie in diesem Dokument beschrieben:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ,IP,German
Damit setzt du dann die 192.168.11.100 auf die x.x.x.147 um und der Server ist nun aus dem LAN unter der 192.168.11.100 zu erreichen und aus dem internet unter der x.x.x.147
a) wirklich in der DMZ steht, also auch aus dem LAN nur unter der x.x.x.147 erreichbar ist und
b) Die DMZ fest a einen Port des Switches bindest.
Dazu stellst du unter Interfaces -> LAN -> Ethernet-Ports für den Port, an dem die DMZ (also auch der Server) hängen soll, die Interface-verwendung auf DMZ ein. Danach stellst du unter TCP/IP -> Allgemein den Punkt "DMZ-Interface" von "any" auf "DMZ-1" um. Zusätzlich stellst du den Punkt "DMZ-Check" von "loose" auf "strict".
Um das ganze letztendlich wasserdicht zu machen, erstellst du in der Firewall noch eine Regel, die verhindert, daß von der DMZ ins Intranet eine Verbindung aufgebaut wird:
fertig.
Gruß
Backslash
du willst also doch eine DMZ und kein Portforwarding.
Dazu richtest du halt - wie in diesem Dokument beschrieben - die DMZ ein:
http://www2.lancom.de/kb.nsf/63c1d0f627 ... enDocument
Als DMZ-Adresse benutzt du die x.x.x.146, die du dem LANCOM schon auf der WAN-Seite gegeben hast und als Netzmaske die 255.255.255.248 (wie auf der WAN-Seite).
Nun kannst du den Server entweder direkt in die DMZ stellen und ihm z.B. die x.x.x.147 geben. Unter dieser Adresse ist er dann sowohl aus dem Intranet als auch aus dem Internet erreichbar.
Wenn er aber im LAN stehen und die Adresse 192.168.11.100 haben soll, dann richtest du nun noch ein N:N-Mapping ein, wie in diesem Dokument beschrieben:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ,IP,German
Damit setzt du dann die 192.168.11.100 auf die x.x.x.147 um und der Server ist nun aus dem LAN unter der 192.168.11.100 zu erreichen und aus dem internet unter der x.x.x.147
das geht nur wenn der ServerUnd das noch ohne das Tür und Tor 'offen stehen'.
a) wirklich in der DMZ steht, also auch aus dem LAN nur unter der x.x.x.147 erreichbar ist und
b) Die DMZ fest a einen Port des Switches bindest.
Dazu stellst du unter Interfaces -> LAN -> Ethernet-Ports für den Port, an dem die DMZ (also auch der Server) hängen soll, die Interface-verwendung auf DMZ ein. Danach stellst du unter TCP/IP -> Allgemein den Punkt "DMZ-Interface" von "any" auf "DMZ-1" um. Zusätzlich stellst du den Punkt "DMZ-Check" von "loose" auf "strict".
Um das ganze letztendlich wasserdicht zu machen, erstellst du in der Firewall noch eine Regel, die verhindert, daß von der DMZ ins Intranet eine Verbindung aufgebaut wird:
Code: Alles auswählen
Quelle: DMZ-Netz (x.x.x.144, Netzmaske 255.255.255.248)
Ziel: LAN-Netz (wieder mit Netz-Adresse und Maske, z.B. 192.168.11.0, 255.255.255.0)
Aktion: zurückweisenGruß
Backslash
Halo Backslash,
danke für die Zeit die Du für mich opferst !!!
Variante 2 DMZ + NAT hab ich hin und her getestet.
Bin mir auch sicher nichts falsch gemacht zu haben.
Ich bekomme keinen Zugriff von Extern auf den Server im LAN
uer z.B. x.x.x.147.
Der ISP spricht noch von der Möglichkeit die IP vor oder nach den LANCOM
im ISP Router zu routen.
Was ist denn damit gemeint ? Irgenwas muss ja nicht richtige sein.
Oder muss noch irgenwas in die Rutingtabelle ?
Oder dürfen die Portforwarding Einträge nicht sein ?
Rätsel nun weiter.
Danke
und Gruß Kurt
danke für die Zeit die Du für mich opferst !!!
Variante 2 DMZ + NAT hab ich hin und her getestet.
Bin mir auch sicher nichts falsch gemacht zu haben.
Ich bekomme keinen Zugriff von Extern auf den Server im LAN
uer z.B. x.x.x.147.
Der ISP spricht noch von der Möglichkeit die IP vor oder nach den LANCOM
im ISP Router zu routen.
Was ist denn damit gemeint ? Irgenwas muss ja nicht richtige sein.
Oder muss noch irgenwas in die Rutingtabelle ?
Oder dürfen die Portforwarding Einträge nicht sein ?
Rätsel nun weiter.
Danke
und Gruß Kurt
Hi Kurt,
Hast du den Adreßbereich, den dir der Provider gegeben hat (x.x.x.144/255.255.255.248) auch wie im Dokument beschrieben als DMZ-Adresse und DMZ-Netzmaske eingetragen?
Hast du die Maskierungs-Option auch wirklich auf "nur Intranet maskieren" umgestellt?
hast du den N:N-NAT Eintrag korrekt eingestellt? Er muß so aussehen:
der Abschlußrouter steht direkt im zugewiesenen Netz - das ist bei dir der Fall, da du ihn im LANCOM ja als Gateway mit der Adresse x.x.x.145 eingetragen hast. Hier macht das LANCOM auf der WAN-Seite ein Proxy-ARP für das Netz - aber nur dann wenn das WAN-Netz auch als DMZ-Netz eingetragen ist.
nach dem LANCOM:
der Provider richtet zwischen Abschlußrouter und LANCOM ein Transfernetz ein, z.B. 192.168.1.x, gibt dem Abschlußrouter eine Adresse aus dem Netz (z.B. 192.168.1.1) und verlangt daß das LANCOM eine bestimmte weitere Adresse aus diesem Netz hat (z.B. 192.168.1.2). Dann richtet er auf dem Abschlußroute eine Route ein, die besagt, daß dein x.x.x.144/255.255.255.248 Netz über das LANCOM (also im Beispiel die 192.168.1.2) erreichbar ist...
Diese Variante hat den Vorteil, daß der Abschlußrouter keine Adresse aus deinem Netz benötigt.
Da das LANCOM mit beiden Varianten umgehen kann, ist es völlig egal, was der Provider im Abschlußrouter einstellt.
- WAN-Seite und DMZ gleich konfigurieren
- auf der Default-Route als Maskierungs-Option "Nur Intranet maskieren" setzen
- einen passenden Eintrag im N:N-NAT machen (obwoch ich persönlich es als Sicherheitsrisiko ansehe, einen Server, der aus dem Internet erreichbar ist, in sein Intranet zu stellen)...
fertig...
Gruß
Backslash
na, irgendwas mußt du schon falsch machen.Variante 2 DMZ + NAT hab ich hin und her getestet.
Bin mir auch sicher nichts falsch gemacht zu haben.
Hast du den Adreßbereich, den dir der Provider gegeben hat (x.x.x.144/255.255.255.248) auch wie im Dokument beschrieben als DMZ-Adresse und DMZ-Netzmaske eingetragen?
Hast du die Maskierungs-Option auch wirklich auf "nur Intranet maskieren" umgestellt?
hast du den N:N-NAT Eintrag korrekt eingestellt? Er muß so aussehen:
Code: Alles auswählen
Gegenstelle: Name der Internet-Verbindung
Original Quell-IP-Adresse: 192.168.11.100
Netzmaske: 255.255.255.255
Umges. Quell-IP-Adresse: x.x.x.147vor dem LANCOM:Der ISP spricht noch von der Möglichkeit die IP vor oder nach den LANCOM
im ISP Router zu routen.
Was ist denn damit gemeint ?
der Abschlußrouter steht direkt im zugewiesenen Netz - das ist bei dir der Fall, da du ihn im LANCOM ja als Gateway mit der Adresse x.x.x.145 eingetragen hast. Hier macht das LANCOM auf der WAN-Seite ein Proxy-ARP für das Netz - aber nur dann wenn das WAN-Netz auch als DMZ-Netz eingetragen ist.
nach dem LANCOM:
der Provider richtet zwischen Abschlußrouter und LANCOM ein Transfernetz ein, z.B. 192.168.1.x, gibt dem Abschlußrouter eine Adresse aus dem Netz (z.B. 192.168.1.1) und verlangt daß das LANCOM eine bestimmte weitere Adresse aus diesem Netz hat (z.B. 192.168.1.2). Dann richtet er auf dem Abschlußroute eine Route ein, die besagt, daß dein x.x.x.144/255.255.255.248 Netz über das LANCOM (also im Beispiel die 192.168.1.2) erreichbar ist...
Diese Variante hat den Vorteil, daß der Abschlußrouter keine Adresse aus deinem Netz benötigt.
Da das LANCOM mit beiden Varianten umgehen kann, ist es völlig egal, was der Provider im Abschlußrouter einstellt.
beantworte dir die Fragen, die ich gestellt habe...Irgenwas muss ja nicht richtige sein
nein, da muß nur die Default-Route rein (achte auf die Maskierungsoption...)Oder muss noch irgenwas in die Rutingtabelle ?
wenn du mit einer echten DMZ arbeitest, dann dürfen natürlich keine Portforwarding-Einträge für Server rein, die in der DMZ stehen - die Einträge sorgen ja dafür, daß die Adresse des Servers auf die Adresse des Routers umgesetzt werden...Oder dürfen die Portforwarding Einträge nicht sein ?
irgendwie verstehe ich das nicht, da das ganze doch recht trivial ist:Rätsel nun weiter
- WAN-Seite und DMZ gleich konfigurieren
- auf der Default-Route als Maskierungs-Option "Nur Intranet maskieren" setzen
- einen passenden Eintrag im N:N-NAT machen (obwoch ich persönlich es als Sicherheitsrisiko ansehe, einen Server, der aus dem Internet erreichbar ist, in sein Intranet zu stellen)...
fertig...
Gruß
Backslash
Hallo Backslash,
das Rätsel ist gelöst.
Der Herr ISP hat den Router getausch und wir auch.
Welcher nun nicht wollte, kann ich mal irgendwann testen.
Bin froh das es erst mal geht.
Wir haben nun die Server im LAN Variante.
Ein externes Check-Programm von Qualys sagt nichts negatives.
Un da meine Routerkenntnisse ja nicht die Besten sind will ich auch garnicht
so viel mehr rumstellen.
Solltes Du diese hier noch lesen > wie kann ich unseren IIS über eine URL erreichen ? Mit Veränderunge am DNS im LAN ? oder lässt sich das mit dem Router bewerkstelligen ? (Konfiguration INTERNET > Gateway > LANCOm DMZ > NAT > Server im LAN)
Um unserer Geschäftsleitung zu erörtern den/die Server doch in die DMZ zu stelle mal noch eine Halblayenfrage :
Wie bekäme ich dennoch zugriff auf den Server im DMZ von LAN aus ?
Datensicherung > LWFreigaben möglich ?
Besten Dank für die Hilfe mal für einen Nichtexperten
und Gruß
Katrin Winter -Alias Kurt
das Rätsel ist gelöst.
Der Herr ISP hat den Router getausch und wir auch.
Welcher nun nicht wollte, kann ich mal irgendwann testen.
Bin froh das es erst mal geht.
Wir haben nun die Server im LAN Variante.
Ein externes Check-Programm von Qualys sagt nichts negatives.
Un da meine Routerkenntnisse ja nicht die Besten sind will ich auch garnicht
so viel mehr rumstellen.
Solltes Du diese hier noch lesen > wie kann ich unseren IIS über eine URL erreichen ? Mit Veränderunge am DNS im LAN ? oder lässt sich das mit dem Router bewerkstelligen ? (Konfiguration INTERNET > Gateway > LANCOm DMZ > NAT > Server im LAN)
Um unserer Geschäftsleitung zu erörtern den/die Server doch in die DMZ zu stelle mal noch eine Halblayenfrage :
Wie bekäme ich dennoch zugriff auf den Server im DMZ von LAN aus ?
Datensicherung > LWFreigaben möglich ?
Besten Dank für die Hilfe mal für einen Nichtexperten
und Gruß
Katrin Winter -Alias Kurt
Hi Kurt,
Denn sonst hast du wieder ein Sicherheitsloch, über das ein Angreifer, nachdem er den Server gehackt hat, über den Sicherungs-Server wieder direkt in dein LAN kommt...
Eigentlich sollte es mit der Geschäftsleitung gar keine Diskussionen über dieses Thema geben, sondern als Admin hat man das einfach so zu machen - denn wenn man es nicht macht und der Schaden tritt ein, dann ist man ganz schnell der Dumme...
Gruß
Backslash
die Gefahr bei dieser Variante ist nicht, daß irgend ein zusätzlicher Port offen wäre, sondern daß ein Angreifer, der es schafft den Server zu hacken, direkt in deinem LAN steht und somit vollen Zugriff auf firmeninterne Daten hat...Wir haben nun die Server im LAN Variante.
Ein externes Check-Programm von Qualys sagt nichts negatives.
Wenn das LANCOM der DNS-Server deines LANs ist, dann reicht ein passender Eintrag unter TCP/IP -> DNS -> Stations-Namen. Wenn du einen anderen DNS-Server im LAN verwendest, dann muß du es dort passend eintragen.wie kann ich unseren IIS über eine URL erreichen ? Mit Veränderunge am DNS im LAN ?
Wie jeder andere User aus dem Internet auch: Unter der ganz normalen (Internet-) URL ansprechen...Um unserer Geschäftsleitung zu erörtern den/die Server doch in die DMZ zu stelle mal noch eine Halblayenfrage :
Wie bekäme ich dennoch zugriff auf den Server im DMZ von LAN aus ?
Wieso sollte das nicht möglich sein. Dabei mußt du nur darauf achten, daß du die Datensicherung nicht vom Server aus anstößt, sondern immer aus dem LAN heraus startest, damit du den Zugriff vom Server aus auf das LAN in der Firewall komplett verbieten kannst.Datensicherung > LWFreigaben möglich ?
Denn sonst hast du wieder ein Sicherheitsloch, über das ein Angreifer, nachdem er den Server gehackt hat, über den Sicherungs-Server wieder direkt in dein LAN kommt...
Eigentlich sollte es mit der Geschäftsleitung gar keine Diskussionen über dieses Thema geben, sondern als Admin hat man das einfach so zu machen - denn wenn man es nicht macht und der Schaden tritt ein, dann ist man ganz schnell der Dumme...
Gruß
Backslash