Hallo,
wir haben einen 1711 und 2 verschiedene Internetanschlüsse. Kann man den Lancom so konfigurieren, dass (a) ein Internetanschluss (SDSL) über den ISA-Server in das Intranet geht und somit das Internet und den Mailverkehr für die Mitarbeiter bereitstellt und dass (b) der andere Interrnetanschluss (BAIP) am ISA-Server vorbei und direkt auf den Exchange-Server geht, ohne dass dadurch sonstiger Zugang zum Internet verschafft wird?
Es soll quasi gewährleistet sein, dass der Mailverkehr erhalten bleibt, falls der ISA mal abschmiert.
Danke im vorraus.
2 Internetleitungen - eine am ISA vorbei?
Moderator: Lancom-Systems Moderatoren
-
m.werkmeister
- Beiträge: 1
- Registriert: 14 Aug 2008, 08:52
Hallo m. und hallo in die Runde.
Ich lese schon seit einiger Zeit im Forum mit und suche nach einer Lösung für mein Problem. Meine Vermutung ist, dass es so ähnlich gehen müsste wie die Lösung zu Deinem Problem, daher würde mich die Lösung hier auch interessieren.
Wir haben auch 2 externe Leitungen, ein LAN und eine DMZ. In beiden Netzen stehen Server. Kann man eine Dienstanfrage -je nachdem auf welcher Internetleitung er ankommt- entweder an die DMZ oder das LAN senden?
Ich habe Firewall-Regeln erstellt, die die Tags der Leitungen hatten. Und im Port-Forwarding hab ich das dementsprechend leitungsabhängig weitergeleitet. Das funktioniert nur leider nicht so, wie ich es gehofft hatte.
Daher erstmal die Frage, ob das überhaupt möglich ist. Die Knowledgebase und das Referenz-Handbuch habe ich schon durch bzw. durchsucht, eigentlich kann ich mir nicht vorstellen, dass es nicht geht, da bisher bei Lancom-Routern alles möglich war, was man sich vorgestellt hat.
Vielleicht hat ja jemand einen Tipp .
Danke und Gruß
LoD
Ich lese schon seit einiger Zeit im Forum mit und suche nach einer Lösung für mein Problem. Meine Vermutung ist, dass es so ähnlich gehen müsste wie die Lösung zu Deinem Problem, daher würde mich die Lösung hier auch interessieren.
Wir haben auch 2 externe Leitungen, ein LAN und eine DMZ. In beiden Netzen stehen Server. Kann man eine Dienstanfrage -je nachdem auf welcher Internetleitung er ankommt- entweder an die DMZ oder das LAN senden?
Ich habe Firewall-Regeln erstellt, die die Tags der Leitungen hatten. Und im Port-Forwarding hab ich das dementsprechend leitungsabhängig weitergeleitet. Das funktioniert nur leider nicht so, wie ich es gehofft hatte.
Daher erstmal die Frage, ob das überhaupt möglich ist. Die Knowledgebase und das Referenz-Handbuch habe ich schon durch bzw. durchsucht, eigentlich kann ich mir nicht vorstellen, dass es nicht geht, da bisher bei Lancom-Routern alles möglich war, was man sich vorgestellt hat.
Vielleicht hat ja jemand einen Tipp .
Danke und Gruß
LoD
Hallo zusammen,
ich habe nun einige Zeit experimentiert und diverse Male komplett von vorne angefangen, weil nichts mehr ging. Vorweg: die installierte Firmware ist noch 7.30 und kann vorerst leider nicht aktualisiert werden.
Vielleicht kann mir mal jemand sagen, ob es überhaupt möglich ist, ein und denselben Port je nach DSL-Leitung intern an unterschiedliche Ziele (1x DMZ, 1x Intranet) weiterzuleiten.
Ich habe diesen Thread gefunden http://www.lancom-forum.de/htopic,6821, ... ranet.html, der mich hoffen lässt, dass es irgendwie geht. Daraufhin habe ich noch einmal die 2. DSL-Leitung gelöscht und neu angelegt. Anschließend wieder eingerichtet und diese Anleitung http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument befolgt. Nachdem ich die Firewall-Regeln angepasst hatte, ging der Mailverkehr erstmal garnicht, mittlerweile immerhin über eine Leitung. Die 2. Leitung tut's nicht mal 'auf normalen Wege'.
Möglicherweise bin ich ebenfalls verwirrt, was die Begriffe Routing-Tag und SChnittstellen-Tag angeht. Da kommt wohl auch noch der Bereich der Netzwerke zu (in meinem Fall INTRANET und DMZ).
Ich wäre froh, wenn mich jemand mit 2,3 Schlagworten/ Links auf die Sprünge helfen könnte, da ich momentan nicht weiter weiß und derzeit mächtig verwirrt bin was das Zusammenspiel von (policy based) Routing / Portforwarding / und den ganzen Tags angeht.
Danke und Gruß
LoD
ich habe nun einige Zeit experimentiert und diverse Male komplett von vorne angefangen, weil nichts mehr ging. Vorweg: die installierte Firmware ist noch 7.30 und kann vorerst leider nicht aktualisiert werden.
Vielleicht kann mir mal jemand sagen, ob es überhaupt möglich ist, ein und denselben Port je nach DSL-Leitung intern an unterschiedliche Ziele (1x DMZ, 1x Intranet) weiterzuleiten.
Ich habe diesen Thread gefunden http://www.lancom-forum.de/htopic,6821, ... ranet.html, der mich hoffen lässt, dass es irgendwie geht. Daraufhin habe ich noch einmal die 2. DSL-Leitung gelöscht und neu angelegt. Anschließend wieder eingerichtet und diese Anleitung http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument befolgt. Nachdem ich die Firewall-Regeln angepasst hatte, ging der Mailverkehr erstmal garnicht, mittlerweile immerhin über eine Leitung. Die 2. Leitung tut's nicht mal 'auf normalen Wege'.
Möglicherweise bin ich ebenfalls verwirrt, was die Begriffe Routing-Tag und SChnittstellen-Tag angeht. Da kommt wohl auch noch der Bereich der Netzwerke zu (in meinem Fall INTRANET und DMZ).
Ich wäre froh, wenn mich jemand mit 2,3 Schlagworten/ Links auf die Sprünge helfen könnte, da ich momentan nicht weiter weiß und derzeit mächtig verwirrt bin was das Zusammenspiel von (policy based) Routing / Portforwarding / und den ganzen Tags angeht.
Danke und Gruß
LoD
Hi LoD
Routing-Tags und Schnittstellen-Tags sind erstmal das gleiche, nur daß Schnittstellen-Tags implizit zugeordnet sind, während Routing-Tags manuell vergeben werden.
Implizite Zuordnung bedeutet: Pakete, die von einem getaggten Interface empgfangen werden bekommen das Schnittstellen-Tag automatisch verpaßt, d.h. sie matchen automatisch alle Routen, die mit dem Schnittstellen-Tag oder mit 0 getaggt sind.
Desweiteren verhalten sich getaggte Interfaces, wie getaggte Routen, d.h. sei können nur von Paketen erreicht werden, die das jeweilige Schnittstellen-Tag haben - entweder, weil sie von einem gleich getaggten Interface emfpangen wurden oder weil ihnen in der Firewall das Tag zugewiesen wurde. Damit lassen sich Netze sehr einfach durch verschiedene Tags voreinander verstecken. Trotzdem hat man über die Firewall die Möglichkeit spezielle Dienste aus den ansonsten gegenseitig unsichtbaren Netzen im jeweils anderen Netz freizugeben.
Eine Besonderheit gibt es beim Schnittstellen-Tag 0. Denn anders als beim Routing-Tag 0, daß diejenigen Routen markiert, die genommen werden, wenn es keine zum Tag des Pakets passende Route gibt, ist das Schnittstellen-Tag 0 eine Art "Generalschlüssel" im Betzug auf die Sichtbarkeit anders getaggter Netze: Ein mit 0 getaggtes ARF-Netz kann alle anderen ARF-Netze sehen, ist aber für diese selbst unsichtbar (es sei denn, sie hätten auch das Schnittstellen-Tag 0)
Gruß
Backslash
Dafür kannst du in der Portforwarding-Tabelle die Gegenstelle angeben, für die das Forwarding gelten soll.Vielleicht kann mir mal jemand sagen, ob es überhaupt möglich ist, ein und denselben Port je nach DSL-Leitung intern an unterschiedliche Ziele (1x DMZ, 1x Intranet) weiterzuleiten.
Möglicherweise bin ich ebenfalls verwirrt, was die Begriffe Routing-Tag und SChnittstellen-Tag angeht. Da kommt wohl auch noch der Bereich der Netzwerke zu (in meinem Fall INTRANET und DMZ).
Ich wäre froh, wenn mich jemand mit 2,3 Schlagworten/ Links auf die Sprünge helfen könnte, da ich momentan nicht weiter weiß und derzeit mächtig verwirrt bin was das Zusammenspiel von (policy based) Routing / Portforwarding / und den ganzen Tags angeht.
Routing-Tags und Schnittstellen-Tags sind erstmal das gleiche, nur daß Schnittstellen-Tags implizit zugeordnet sind, während Routing-Tags manuell vergeben werden.
Implizite Zuordnung bedeutet: Pakete, die von einem getaggten Interface empgfangen werden bekommen das Schnittstellen-Tag automatisch verpaßt, d.h. sie matchen automatisch alle Routen, die mit dem Schnittstellen-Tag oder mit 0 getaggt sind.
Desweiteren verhalten sich getaggte Interfaces, wie getaggte Routen, d.h. sei können nur von Paketen erreicht werden, die das jeweilige Schnittstellen-Tag haben - entweder, weil sie von einem gleich getaggten Interface emfpangen wurden oder weil ihnen in der Firewall das Tag zugewiesen wurde. Damit lassen sich Netze sehr einfach durch verschiedene Tags voreinander verstecken. Trotzdem hat man über die Firewall die Möglichkeit spezielle Dienste aus den ansonsten gegenseitig unsichtbaren Netzen im jeweils anderen Netz freizugeben.
Eine Besonderheit gibt es beim Schnittstellen-Tag 0. Denn anders als beim Routing-Tag 0, daß diejenigen Routen markiert, die genommen werden, wenn es keine zum Tag des Pakets passende Route gibt, ist das Schnittstellen-Tag 0 eine Art "Generalschlüssel" im Betzug auf die Sichtbarkeit anders getaggter Netze: Ein mit 0 getaggtes ARF-Netz kann alle anderen ARF-Netze sehen, ist aber für diese selbst unsichtbar (es sei denn, sie hätten auch das Schnittstellen-Tag 0)
Gruß
Backslash
Hi backslash und vielen Dank für die ausführlichen Erläuterungen.
Es wird langsam Licht
Mittlerweile habe ich versucht, mit diesen Grundlagen bei meinem Problem weiterzukommen.
Ich habe mal zum Testen einen anderen Port abhängig von der Internetleitung an unterschiedliche Server geleitet. Funktionierte wunderbar.
Vielen Dank für die Erklärungen.
Für das Problem vom TO:
Wenn es nur ein Server ist, der unterschiedliche Routen nutzen soll,funktioniert das so -zumindest bei meinen Tests- nicht. Ich habe mal das Standardgateway des einen Servers auf GW2 geändert, dann funktioniert Leitung 2, Leitung 1 aber nicht mehr. Nachvollziehen kann ich das nicht, weil es dem Server doch egal sein sollte, woher die Pakete kommen. (ob nun über die DMZ oder den LAN-Anschluß des Routers).
Würde mich jetzt auch mal interessieren, ob Lancom sowas auch kann.
Danke an backslash
Gruß an alle
Es wird langsam Licht
Mittlerweile habe ich versucht, mit diesen Grundlagen bei meinem Problem weiterzukommen.
Ich habe mal zum Testen einen anderen Port abhängig von der Internetleitung an unterschiedliche Server geleitet. Funktionierte wunderbar.
Vielen Dank für die Erklärungen.
Für das Problem vom TO:
Wenn es nur ein Server ist, der unterschiedliche Routen nutzen soll,funktioniert das so -zumindest bei meinen Tests- nicht. Ich habe mal das Standardgateway des einen Servers auf GW2 geändert, dann funktioniert Leitung 2, Leitung 1 aber nicht mehr. Nachvollziehen kann ich das nicht, weil es dem Server doch egal sein sollte, woher die Pakete kommen. (ob nun über die DMZ oder den LAN-Anschluß des Routers).
Würde mich jetzt auch mal interessieren, ob Lancom sowas auch kann.
Danke an backslash
Gruß an alle