Hallo liebe Leute,
ich kämpfe mich nun schon seit ein paar Tagen durchs Netz und die Konfiguration meines LC 1721 VPN, konnte mein Problem aber auch mithilfe der diversen Threads hier nicht lösen. Insofern hoffe ich mal wieder auf eure freundliche Unterstützung.
Zuerst die Ist-Beschreibung:
Es gibt eine QSC-SDLS-Leitung mit 6 statischen IPs (87.193.x.x / 255.255.255.248). Die erste IP ist für den Cisco-Router von QSC vergeben, die zweite für den LC 1721 VPN. Das interne Netzadresse ist 192.168.0.0 / 255.255.255.0. Das Intranet ist an ETH-1 und der Cisco-Router an ETH-4 angeschlossen. ETH-2 und -3 sind frei.
Nun die Soll-Beschreibung:
Es sollen zwei Server (FTP und Mail) aus dem internen Netz (192.168.0.175 und 192.168.0.177) auch aus dem Internet erreichbar sein und zwar unter jeweils einer der noch verfügbaren statischen IPS.
Was ich bisher versucht habe:
Ich habe einen Testserver an ETH-2 angeschlossen und ihm die IP 192.168.0.177 verpasst. Subnetz natürlich 255.255.255.0. Dann habe folgende Parameter im LC geändert ...
Schnittstellen -> LAN -> Ethernet-Ports -> ETH-1 = LAN-1
Schnittstellen -> LAN -> Ethernet-Ports -> ETH-2 = LAN-2
TCP/IP -> Allgemein -> IP-Netzwerke -> DMZ -> IP = 192.168.0.177, Subnetz = 255.255.255.0, Schnittstellen-Zuordnung = LAN-2
IP-Router -> Routing -> Routing-Tabelle -> Default-Route -> IP-Maskierung = Nur Intranet maskieren
IP-Routing -> N:N-Mapping -> N:N-Nat-Tabelle -> Ziel-Gegenstelle = DEFAULT, Original Quelle-IP-Adresse = 192.168.0.177, Netzmaske = 255.255.255.0, Umgesetzte Quell-IP-Adresse = <freie statische IP>
Leider hat das alles nix gebracht, denn so ist der Server mit der 177 aus dem Internet nicht erreichbar. Ich habe auch schon versucht die DMZ-Adresse der des LC anzugleichen, da das bei Lancom in der KB angegeben wird. Ds klappt aber auch nicht.
Kann mir bitte jemand helfen? Ich sehe bald vor lauter Wald die Bäume nicht mehr.
Vielen Dank,
SecretSurfer
DMZ mit mehreren statischen IPs
Moderator: Lancom-Systems Moderatoren
-
SecretSurfer
- Beiträge: 25
- Registriert: 07 Jun 2006, 19:37
DMZ mit mehreren statischen IPs
Zuletzt geändert von SecretSurfer am 15 Mai 2008, 10:17, insgesamt 1-mal geändert.
Hi ScretSurfer,
wieso sollen die Server denn private Adressen haben, die du dann auf öffentliche ummapst? Stell sie doch gleich in die DMZ (der du natürlich das öffentliche Netz geben mußt - dabei gibst du dem LANCOM die gleiche Adresse, die es auch WAN-Seitig hat.) und gib ihnen direkt die öffentlichen Adressen.
Wenn du unbedingt mappen willst, dann mußt du
a) eine DMZ mit den öffentlichen Adressen anlegen
b) Stellst die Server in dein Intranet und
c) erstellst den von dir genannten Mapping-Eintrag. Bei dem Eintrag darfst du aber als Gegenstelle nicht "DEFAULT" eingeben, sondern mußt schon den Namen der Internet-Gegenstelle eingeben - oder hast du die etwa "DEFAULT" genannt? Desweiteren muß die Netzmaske im Mapping-Eintrag 255.255.255.255 sein und nicht 255.255.255.0
Ich persönlich kann von solchen Mappings aber aus Sicherheitsgründen nur abraten, da die Server dabei in deinem Intranet stehen. Wenn die von aussen gehackt werden, ist keine schützende Instanz (aka "Firewall") zwischen dem Angreifer und deinen anderen Rechnern.
Gruß
Backslash
wieso sollen die Server denn private Adressen haben, die du dann auf öffentliche ummapst? Stell sie doch gleich in die DMZ (der du natürlich das öffentliche Netz geben mußt - dabei gibst du dem LANCOM die gleiche Adresse, die es auch WAN-Seitig hat.) und gib ihnen direkt die öffentlichen Adressen.
Wenn du unbedingt mappen willst, dann mußt du
a) eine DMZ mit den öffentlichen Adressen anlegen
b) Stellst die Server in dein Intranet und
c) erstellst den von dir genannten Mapping-Eintrag. Bei dem Eintrag darfst du aber als Gegenstelle nicht "DEFAULT" eingeben, sondern mußt schon den Namen der Internet-Gegenstelle eingeben - oder hast du die etwa "DEFAULT" genannt? Desweiteren muß die Netzmaske im Mapping-Eintrag 255.255.255.255 sein und nicht 255.255.255.0
Ich persönlich kann von solchen Mappings aber aus Sicherheitsgründen nur abraten, da die Server dabei in deinem Intranet stehen. Wenn die von aussen gehackt werden, ist keine schützende Instanz (aka "Firewall") zwischen dem Angreifer und deinen anderen Rechnern.
Gruß
Backslash
-
SecretSurfer
- Beiträge: 25
- Registriert: 07 Jun 2006, 19:37
Hallo Backslash,
vielen Dank für Deine Antwort. Um ehrlich zu sein, hatte das mit den Intranet-IPs und dem Mapping keinen konkreten Grund. Es war vielmehr so, dass ich mir das aus den ganzen Quellen so zusammen gereimt habe. Aber ich bin sehr froh, dass Du das so hinterfragst, denn so kann ich mir unangenehme Erfahrungen ersparen. Die Internet-Gegenstelle heißt „QSC“.
Ich werde also Abstand davon nehmen und den Servern direkt die entsprechenden öffentlichen IPs verpassen. Allerdings habe ich da noch ein paar Fragen.
1.) Muss in der DMZ die WAN-IP des LC eingetragen werden?
2.) Ist es sinnvoll / notwendig die Netze trotzdem auf unterschiedliche Anschlüsse am LC zu legen und auch logisch (LAN-1, LAN-2) zu trennen?
3.) Muss eine Route oder ähnliches angelegt werden, damit das Intranet optimal auf die Server mit den öffentlichen IPs zugreifen können?
4.) Muss an den Servern das WAN-Subnetz und die WAN-IP des LC als Gateway eingetragen werden?
Vielen lieben Dank für die Unterstützung. Das ist mir wirklich eine große Hilfe.
Gruß,
SecretSurfer
vielen Dank für Deine Antwort. Um ehrlich zu sein, hatte das mit den Intranet-IPs und dem Mapping keinen konkreten Grund. Es war vielmehr so, dass ich mir das aus den ganzen Quellen so zusammen gereimt habe. Aber ich bin sehr froh, dass Du das so hinterfragst, denn so kann ich mir unangenehme Erfahrungen ersparen. Die Internet-Gegenstelle heißt „QSC“.
Ich werde also Abstand davon nehmen und den Servern direkt die entsprechenden öffentlichen IPs verpassen. Allerdings habe ich da noch ein paar Fragen.
1.) Muss in der DMZ die WAN-IP des LC eingetragen werden?
2.) Ist es sinnvoll / notwendig die Netze trotzdem auf unterschiedliche Anschlüsse am LC zu legen und auch logisch (LAN-1, LAN-2) zu trennen?
3.) Muss eine Route oder ähnliches angelegt werden, damit das Intranet optimal auf die Server mit den öffentlichen IPs zugreifen können?
4.) Muss an den Servern das WAN-Subnetz und die WAN-IP des LC als Gateway eingetragen werden?
Vielen lieben Dank für die Unterstützung. Das ist mir wirklich eine große Hilfe.
Gruß,
SecretSurfer
-
SecretSurfer
- Beiträge: 25
- Registriert: 07 Jun 2006, 19:37
Hallo,
ich muss doch noch mal etwas fragen. Ich habe die DMZ nun folgendermaßen Konfiguriert …
Schnittstellen -> LAN -> Ethernet-Ports -> ETH-2 = LAN-2
TCP/IP -> Allgemein -> IP-Netzwerke -> DMZ -> IP = <WAN-IP des LC>, Subnetz = 255.255.255.248, Schnittstellen-Zuordnung = LAN-2
Der Testserver hat eine der freien statischen IPs bekommen. Das Intranet ist im LAN-1 auf dem Port ETH-1 geblieben.
Nun kann ich zwar aus dem Intranet auf den Server im DMZ über seine statische IP zugreifen, aber der Server selber hat keine Verbindung zum Internet und ist auch aus selbigem nicht erreichbar. Ich habe bei ihm als Gateway und DNS die WAN-IP des LC eingetragen.
Was habe ich übersehen?
Gruß,
SecretSurfer
ich muss doch noch mal etwas fragen. Ich habe die DMZ nun folgendermaßen Konfiguriert …
Schnittstellen -> LAN -> Ethernet-Ports -> ETH-2 = LAN-2
TCP/IP -> Allgemein -> IP-Netzwerke -> DMZ -> IP = <WAN-IP des LC>, Subnetz = 255.255.255.248, Schnittstellen-Zuordnung = LAN-2
Der Testserver hat eine der freien statischen IPs bekommen. Das Intranet ist im LAN-1 auf dem Port ETH-1 geblieben.
Nun kann ich zwar aus dem Intranet auf den Server im DMZ über seine statische IP zugreifen, aber der Server selber hat keine Verbindung zum Internet und ist auch aus selbigem nicht erreichbar. Ich habe bei ihm als Gateway und DNS die WAN-IP des LC eingetragen.
Was habe ich übersehen?
Gruß,
SecretSurfer
Hi SecretSurfer
Gruß
Backslash
muß nicht, ist aber sinnvoll, da du sonst eine weitere IP verschwendest...1.) Muss in der DMZ die WAN-IP des LC eingetragen werden?
ja, da ein Angreifer, der den Server hackt, sonst auf alle Rechner zugreifen könnte. Er müßte dem Server nur eine IP-Adresse aus dem Intranet geben - schon hätte er wieder vollen Zugrif, ohne daß eine Firewall dazwischen wäreIst es sinnvoll / notwendig die Netze trotzdem auf unterschiedliche Anschlüsse am LC zu legen und auch logisch (LAN-1, LAN-2) zu trennen?
nein, das Lancom routet automatisch zwischen "seinen" NetzenMuss eine Route oder ähnliches angelegt werden, damit das Intranet optimal auf die Server mit den öffentlichen IPs zugreifen können?
es muß die IP angegeben werden, die das LANCOM in der DMZ hat. Das ist sinnvollerweise die gleiche, die es auch auf der WAN-Seite hat (sonst würdest du eine IP-Adresse verschwenden - siehe meine Antwort auf deine erste Frage)Muss an den Servern das WAN-Subnetz und die WAN-IP des LC als Gateway eingetragen werden?
das ist so korrekt. Als Netzwerktyp hast du hoffentlich auch "DMZ" angegeben (obwohl - da ist ja die Vorgabe)...ich muss doch noch mal etwas fragen. Ich habe die DMZ nun folgendermaßen Konfiguriert …
Schnittstellen -> LAN -> Ethernet-Ports -> ETH-2 = LAN-2
TCP/IP -> Allgemein -> IP-Netzwerke -> DMZ -> IP = <WAN-IP des LC>, Subnetz = 255.255.255.248, Schnittstellen-Zuordnung = LAN-2
auch das ist so OKDer Testserver hat eine der freien statischen IPs bekommen. Das Intranet ist im LAN-1 auf dem Port ETH-1 geblieben.
also wenn du aus dem Intranet auf den Server zugreifen kannst, dann muß der Server eigentlich auch ins Internet kommen. Pinge mal vom Server eine Adresse im Internet (z.B. die 88.198.177.34 - das ist das Forum hier) und mache dabei einen IP-Router-Trace auf dem LANCOMNun kann ich zwar aus dem Intranet auf den Server im DMZ über seine statische IP zugreifen, aber der Server selber hat keine Verbindung zum Internet
Hast du auf der Defaultroute die Maskierungsoption auch auf "nur Intranet maskieren" gesetzt?und ist auch aus selbigem nicht erreichbar.
Gruß
Backslash
-
SecretSurfer
- Beiträge: 25
- Registriert: 07 Jun 2006, 19:37
Hallo Backslash,
ich habe nun alles, soweit mit meinem bescheidenen Überblick möglich, kontrolliert. Es ist so, wie ich es beschrieben und wie Du es vorgeschlagen hast. Aber es bleibt dabei, er Server in der DMZ kann nicht ins Internet und ist umgekehrt auch auf dem Internet nicht erreichbar. Ein Ping auf die angegeben IP läuft ins Leere (100% Verlust) und der parallele Trace auf den IP-Router ergibt folgendes ...
[IP-Router] 2008/05/15 13:43:44,480
IP-Router Rx (LAN-2, DMZ, RtgTag: 0):
DstIP: 88.198.177.34, SrcIP: 87.193.x.x, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x01a3, seq: 0x0002
Route: WAN Tx (QSC)
Irgendwie verstehe ich das nicht. Kann ich da irgendwo etwas verstellt haben?
Vielen Dank,
SecretSurfer
ich habe nun alles, soweit mit meinem bescheidenen Überblick möglich, kontrolliert. Es ist so, wie ich es beschrieben und wie Du es vorgeschlagen hast. Aber es bleibt dabei, er Server in der DMZ kann nicht ins Internet und ist umgekehrt auch auf dem Internet nicht erreichbar. Ein Ping auf die angegeben IP läuft ins Leere (100% Verlust) und der parallele Trace auf den IP-Router ergibt folgendes ...
[IP-Router] 2008/05/15 13:43:44,480
IP-Router Rx (LAN-2, DMZ, RtgTag: 0):
DstIP: 88.198.177.34, SrcIP: 87.193.x.x, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x01a3, seq: 0x0002
Route: WAN Tx (QSC)
Irgendwie verstehe ich das nicht. Kann ich da irgendwo etwas verstellt haben?
Vielen Dank,
SecretSurfer
-
SecretSurfer
- Beiträge: 25
- Registriert: 07 Jun 2006, 19:37