Hallo Leute,
habe einen LC1711, der folgendes Szenario lösen soll:
Netz 1: 192.100.28.0 / 255.255.255.000 (Interface Tag 0)
Netz 2: 172.16.32.0 / 255.255.255.000 (Interface Tag 1)
Der Router hat folgende IPs:
192.100.28.251 und 172.16.32.251
Vom Netz 1 sollen auf bestimmte IP-Adressen vom Netz 2 (172.16.32.154-172.16.32.163) zugegriffen werden.
Vom Netz 2 soll auf Netz 1 auf 192.100.28.20 zugegriffen werden.
Ich habe das Problem das ich vom Netz 1 nicht auf das Netz 2 zugreifen kann, ein Ping auf die IP-Adresse von Netz 2 im LC1711 funktioniert, aber weiter leider nicht. Ich verwende in der Firewall die DENY_ALL und habe ein ALLOW Ping etc. vom Netz 1 auf die genannten IPs im Netz 2 erlaubt, aber bekomme keine Antwort. Dann habe ich in der Routing-Tabelle folgende Routingregel erstellt:
172.16.32.0 - 255.255.255.0 - 192.100.28.1 - RoutingTag 0
Aber auch hier kann kein Ping ins 172.16.32.0 Netz stattfinden.
Setze ich auf den PC im 172.16.32.154 mit Route add manuell eine Route geht der Ping durch. Da ich aber vom 192.100.28.x Netz auf mehrere PCs im 172.16.32.x habe, ist es doch etwas aufwändig überall eine Route händisch in der lokalen Routingtabelle zu setzen.
Was mache ich in der Konfiguration vom Lancom verkehrt, das es nicht geroutet wird?
ARF: kein Zugriff in anderes Netz möglich
Moderator: Lancom-Systems Moderatoren
-
wieselflink
- Beiträge: 7
- Registriert: 04 Feb 2006, 21:51
Hallo wieselflink,
Aber im Prinzip kann die ganze Route weg, da der LANCOM selber weiß, wie er ins 172.16.32.0-er Netz kommt.
Was hast Du für ein Netzwerktyp (Intranet/DMZ) bei Deinen Netzen 1 und 2 eingestellt?
Viele Grüße,
Jirka
Wer ist die 192.100.28.1? An dieser Stelle müßte die 192.100.28.251 hin, also der LANCOM-Router selber.Dann habe ich in der Routing-Tabelle folgende Routingregel erstellt:
172.16.32.0 - 255.255.255.0 - 192.100.28.1 - RoutingTag 0
Aber im Prinzip kann die ganze Route weg, da der LANCOM selber weiß, wie er ins 172.16.32.0-er Netz kommt.
Was hast Du für ein Netzwerktyp (Intranet/DMZ) bei Deinen Netzen 1 und 2 eingestellt?
Viele Grüße,
Jirka
Hi wieselflink
Ansonsten gilt es beim Thema Sichtbarkeiten folgendes zu beachten:
Ein Netz kann zunächst nur Netze sehen, die das gleiche Interface-Tag besitzen, mit zwei Ausnahmen:
1. Ein Netz mit Tag 0 kann alle Netze sehen (es ist sozusagen ein "Supervisor-Netz")
2. Ein Netz, das als DMZ deklariert ist, ist aus allen Netzen zu sehen
Wenn Du Netze mit unterschiedlichen Interface-Tags gegenseitig sichtbar machen willst, dann mußt du das über eine Firewall-Regel erlauben:
Dabei ist zu beachten, daß das Tag 0 NICHT zugewiesen werden kann. Ein Tag 0 in einer Firewallregel bedeutet schlichtweg, daß ein vorhandenes Tag nicht angefaßt wird...
In deinem Fall müßtest du also deinem Netz 1 ein anderes Interface-Tag geben - z.B. 2 - und folgende Regeln erstellen
Gruß
Backslash
da hast du doch schon die Lösung deines Problems...Setze ich auf den PC im 172.16.32.154 mit Route add manuell eine Route geht der Ping durch
Ansonsten gilt es beim Thema Sichtbarkeiten folgendes zu beachten:
Ein Netz kann zunächst nur Netze sehen, die das gleiche Interface-Tag besitzen, mit zwei Ausnahmen:
1. Ein Netz mit Tag 0 kann alle Netze sehen (es ist sozusagen ein "Supervisor-Netz")
2. Ein Netz, das als DMZ deklariert ist, ist aus allen Netzen zu sehen
Wenn Du Netze mit unterschiedlichen Interface-Tags gegenseitig sichtbar machen willst, dann mußt du das über eine Firewall-Regel erlauben:
Code: Alles auswählen
Quelle: Adressen aus Netz 1, die Zugriff haben sollen
Ziel: Adressen aus Netz 2, auf die zugegriffen werden soll
Aktion: übetragen
Rtg-Tag: Interface-Tag des Netzes 2In deinem Fall müßtest du also deinem Netz 1 ein anderes Interface-Tag geben - z.B. 2 - und folgende Regeln erstellen
Code: Alles auswählen
Quelle: 192.100.28.0 / 255.255.255.0
Ziel: 172.16.32.154-172.16.32.163
Aktion übertragen
Rtg-Tag: 1
Quelle: 172.16.32.0 / 255.255.255.0
Ziel: 192.100.28.20
Aktion übertragen
Rtg-Tag: 2
Backslash
Hallo Backslash,
die beiden Regeln braucht er doch aber nur, weil er eine DENY-ALL-Regel in der Firewall hat, oder? Ansonsten wäre doch sein Netz 1 (192.100.28.0) mit dem Interface-Tag 0 versehen und somit die Kommunikation ins Netz 2 (172.16.32.0) mit dem Interface-Tag 1 erlaubt.
Und sollte er keine unterschiedlichen Routen mit entsprechenden Routing-Tags in der Routing-Tabelle haben (was wir natürlich nicht wissen), dann könnte man sich die Umänderung des Interface-Tags von Netz 1 sparen und die beiden Firewall-Regeln ohne Angabe des Routing-Tags erfassen. Das würde doch eigentlich erst mal reichen, oder?
Vielen Dank und viele Grüße,
Jirka
die beiden Regeln braucht er doch aber nur, weil er eine DENY-ALL-Regel in der Firewall hat, oder? Ansonsten wäre doch sein Netz 1 (192.100.28.0) mit dem Interface-Tag 0 versehen und somit die Kommunikation ins Netz 2 (172.16.32.0) mit dem Interface-Tag 1 erlaubt.
Und sollte er keine unterschiedlichen Routen mit entsprechenden Routing-Tags in der Routing-Tabelle haben (was wir natürlich nicht wissen), dann könnte man sich die Umänderung des Interface-Tags von Netz 1 sparen und die beiden Firewall-Regeln ohne Angabe des Routing-Tags erfassen. Das würde doch eigentlich erst mal reichen, oder?
Vielen Dank und viele Grüße,
Jirka
Hi Jirka
Gruß
Backslash
nein, die Regeln braucht er weil zwischen unterschiedlich getaggten Netzen implizit eine DENY-ALL-Regel existiert.die beiden Regeln braucht er doch aber nur, weil er eine DENY-ALL-Regel in der Firewall hat, oder?
er will aber auch, daß eine Adresse in Netz 1 aus Netz 2 sichtbar sein soll. Daher kann er Netz 1 nicht mit 0 taggen, denn eine Zuweisung des Tags 0 über eine Firewallregel ist nicht möglich. Also benötigt er für Netz 1 ein anderes Tag, wodurch sich die Netze erstmal nicht mehr sehen können (es sei denn er nimmt das gleiche Tag wie für Netz 2). Und genau deshalb braucht er auch die Firewallregeln...Ansonsten wäre doch sein Netz 1 (192.100.28.0) mit dem Interface-Tag 0 versehen und somit die Kommunikation ins Netz 2 (172.16.32.0) mit dem Interface-Tag 1 erlaubt.
Gruß
Backslash