Hallo erstmal!
Vorab einmal: Jeder fängt mal irgendwann an und ich gehöre nun dazu. Ich habe auch schon einiges hier im forum durchsucht aber noch nicht die richtige Lösug meines Problems gefunden.
Folgendes möchte ich erreichen.
1x DSL Zugang
2x lokale Netze 192.168.1.0/24 und 192.168.2.0/24 (beide Netzwerktyp "Intranet")
Das Netz 192.168.1.0 ist auf Port 1 des Lancom mit LAN-1 und Tag 0 eingerichtet.
Das Netz 192.168.2.0 ist auf Port 3 mit LAN-3 eingerichtet mit Tag 1. Port 3 ist auf Private Mode eingestellt.
LancomIp für die entsprechenden Netze 192.168.1.1 und für das LAN-3 192.168.2.1
Beide Netze kommen ins Internet. Ist auch richtig - soll auch so.
Vom Netz 192.168.1.0 komme ich auch auf das Netz 192.168.2.0. Soll in der ersten Stufe auch so. Nur komme ich vom 192.168.2.0 nicht auf das 192.168.1.0.
Muss ich das über die Firewall Regeln oder muss zwingend ein IP-Routing eingetragen werden oder auch beides?
Später möchte ich die beiden Netze so gestalten, das nur bestimmte Ports von einem ins andere Netzwerk dürfen. (Über die Firewall)
Im 192.168.2.0 soll Später mal ein Mailserver (Exchange)stehen von dem ich wiederrum aus dem 192.168.1.0 zugreifen möchte.
Eine DMZ möchte ich ungern einrichten, das ich das über ein Portforwarding realisieren wollte. (Der Maildienst Bleibt voraussichtlich auch erst mal der einzige Dienst, der aus dem WWW erreichbar sein soll)
Kann mir da der ein oder andere noch ein paar Tips geben?
Vielen Dank
Gruß
Der "Admin"
1711VPN zwei Lokale Netze
Moderator: Lancom-Systems Moderatoren
Hi bmo-admin
Daß du von Netz 1 in Netz 2 kommt liegt daran, daß das Netz 1 das Interface-tag 0 hat und somit ein "Supervisor" Netz ist, das alle anderen Netze sehen kann.
Dabei mußt du aber beachten, daß das Tag 0 nicht zugewiesen werden kann. Ein Tag 0 in einer Firewallregel bedeutet, daß ein über das Interface vorgegebene Tag nicht geändert wird.
Gruß
Backslash
Das ist ja auch richtig, denn Netz 2 hat das Interface-Tag 1, wodurch es nur Netze sehen kann, die auch das Interface-Tag 1 haben.Vom Netz 192.168.1.0 komme ich auch auf das Netz 192.168.2.0. Soll in der ersten Stufe auch so. Nur komme ich vom 192.168.2.0 nicht auf das 192.168.1.0.
Daß du von Netz 1 in Netz 2 kommt liegt daran, daß das Netz 1 das Interface-tag 0 hat und somit ein "Supervisor" Netz ist, das alle anderen Netze sehen kann.
wenn die Netze sich gegenseitig sehen sollen, mußt du ihnen nur das gleiche Interface-Tag geben.Muss ich das über die Firewall Regeln oder muss zwingend ein IP-Routing eingetragen werden oder auch beides?
in dem Fall ist es sinnvoller den Netzen unterschiedliche Tags zu geben und in der Firewall die passende Allow-Regel für die Ports einzurichten. Dieser Regel mußt du dann als "Routing-Tag" das Interface-Tag des Zielnetzes geben.Später möchte ich die beiden Netze so gestalten, das nur bestimmte Ports von einem ins andere Netzwerk dürfen. (Über die Firewall)
Dabei mußt du aber beachten, daß das Tag 0 nicht zugewiesen werden kann. Ein Tag 0 in einer Firewallregel bedeutet, daß ein über das Interface vorgegebene Tag nicht geändert wird.
Gruß
Backslash
Verstehe ich das richtig, dass beim Einrichten einer DMZ ZWINGEND dem Intranet und dem DMZ-Netz ein anderes Inferface-Tag gegeben werden muss?
Ich hatte ein Intranet und ein DMZ-Netz mit öffentlichen IPs, beide Tag 0 und konnte eine Kommunikation trotz Deny-All Regel nicht zwischen den beiden Netzen unterbinden.
Nach Aussen funktionierte die Firewall-Regel auch auf die öffentlichen IPs in dem DMZ-Netz.
Oder liegt hier ein anderer Fehler vor?
Chris
Ich hatte ein Intranet und ein DMZ-Netz mit öffentlichen IPs, beide Tag 0 und konnte eine Kommunikation trotz Deny-All Regel nicht zwischen den beiden Netzen unterbinden.
Nach Aussen funktionierte die Firewall-Regel auch auf die öffentlichen IPs in dem DMZ-Netz.
Oder liegt hier ein anderer Fehler vor?
Chris
Hi chrisib
Gruß
Backslash
Zwingend ist es nicht, es ist aber sinnvoll, damit du dich nicht mit Firewallregeln herumärgern mußt, wenn du die DMZ vom Intranet trennen willst, denn ein als DMZ gekennzeichnetes Netz ist aus allen anderen Netzen sichtbar, kann selbst aber nur Netze sehen, die das gleiche Interface-Tag haben. Und genau das ist ja das gewüchte Verhalten einer DMZ: Jeder kann auf alle Server in der DMZ zugergfen, ein Zufriff von den Servern aus in das Intranet hingegen wird geblocktVerstehe ich das richtig, dass beim Einrichten einer DMZ ZWINGEND dem Intranet und dem DMZ-Netz ein anderes Inferface-Tag gegeben werden muss?
Dann stimmte aber etwas an der Deny-Regel nicht - oder du hast die Deny-Regel aktiviert während es noch offene Sessions zwischen den Netzen gab (die bleiben auch weiterhin offen, bis sie entweder herausaltern oder manuell aus der Verbindungsliste entfernt werden)...Ich hatte ein Intranet und ein DMZ-Netz mit öffentlichen IPs, beide Tag 0 und konnte eine Kommunikation trotz Deny-All Regel nicht zwischen den beiden Netzen unterbinden.
Gruß
Backslash