DMZ mit öffentlicher IP, kein Zugriff von aussen

[ianeo]

Hallo,

Wir haben an einem Lancom 1821 zwei Netze hängen:
Provider-Router: an Schnittstelle Lan1 als DSL-1 konfiguriert
Netz1: Intranet (an Schnittstelle Lan4 als LAN konfiguriert)
Netz2: öffentlicher Server (an Schnittstelle Lan2 als DMZ konfiguriert)

Den Lancom habe ich wie folgt konfiguriert:

Internetzugang:
über Plain-Ethernet mit IP-Adresse 217.146.133.195, Gateway 217.146.133.193, Subnet 255.255.255.192 etc. (funktioniert auch aus dem Intranet).

TCP/IP:
DMZ-Ip: 217.146.133.195 (über die soll der Router von aussen erreichbar sein für VPN-Verbindungen)
DMZ-Subnet: 255.255.255.192
Intranet-Adresse: 192.168.60.250
Intranet-Subent: 255.255.255.0

IP-Routing:
Adresse 255.255.255.255
Subnet 0.0.0.0
--> Internetzugang
Maskiert ist nur das Intranet

Die Firewall ist, abgesehen von dem WINS-Eintrag, leer.

Der Server an der DMZ hat die IP 217.146.133.220, Subnetz 255.255.255.192 mit Gateway 217.146.133.195.

Vom Intranet, also 192.168.60.x komme ich so problemlos ins Internet, kann auch auf den Server in der DMZ zugreifen.

Allerdings ist der Server von aussen nicht erreichbar und kommt auch selbst nicht ins Internet. Der Router ist vom Server aus unter 217.146.134.195 pingbar, auch das Intranet ist vom Server aus anpingbar (was eigentlich nicht sein dürfte in der DMZ, oder ?)

Wenn ich in der Routing-Tabelle die Maskierung auf der Defautl-Route auf Intranet UND DMZ stelle, kommt der Server dann auch ins Internet und auf das Intranet, ist von aussen aber immer noch nicht erreichbar.

Ich sitze jetzt schon 2 Tage an diesem Problem, was mache ich falsch ?

Wenn ich den Server direkt am Provider-Router anschliesse und das Server-Gateway auf diesen ändere, klappt alles (aber ich würde gerne die Lancom DMZ nutzen)...

Grüße

Dirk

[eddia]

Hallo Dirk,

Internetzugang:
über Plain-Ethernet mit IP-Adresse 217.146.133.195, Gateway 217.146.133.193, Subnet 255.255.255.192 etc. (funktioniert auch aus dem Intranet).

TCP/IP:
DMZ-Ip: 217.146.133.195

Du bist Dir sicher, ein /26 Netz von Deinem Provider bekommen zu haben? Denn wenn jemand schon IPs sparen muss, in dem er WAN und DMZ-IP identisch setzt...

Gruß

Mario

[ianeo]

Hallo, da hab ich mich vertippt, die IP-Adresse ist im Beispiel die 217.146.134.195 (also 134 statt 133).

Dennoch vielleicht ein Tip ?

Grüße

Dirk

[ianeo]

Also, da noch keiner geschrieben hat ich nochmal kurz:
Ja, wir haben alle angegebenen IP-Adressen (64 Stück).

WAN und DMZ-IP müssen nicht identisch sein, klappt es eher wenn ich sie unterschiedlich setze , bzw. macht es Probleme wenn ich sie gleich setze ?

Grüße
Dirk

[backslash]

Hi ianeo

dein Problem liegt bei deinem Provider.

Ich kann deinen Border-Router (217.146.133.193) anpingen, ebenso dein LANCOM (217.146.133.195).

mache ich aber ein traceroute auf den Server (217.146.133.220) so kommt das weder bei deinem LANCOM noch bei deinem Border-Router vorbei:

Code: Alles auswählen

  1    <1 ms    <1 ms    <1 ms  xxxxx
  2     7 ms     9 ms    <1 ms  xxxxx
  3    11 ms    28 ms    12 ms  bnx-ffm01.bmcag.net [194.140.115.245]
  4    10 ms    11 ms     9 ms  ge-7-1-0-0000.bnr-ffm01.bmcag.net [194.140.111.121]
  5    14 ms     9 ms     9 ms  core2.fra.qsc.de [212.202.214.237]
  6     *        *       14 ms  uplgw-celox.fra.qsc.de [213.148.131.10]
  7    24 ms    14 ms    20 ms  ge0-1.frankfurt-8.celox.de [212.60.199.117]
  8    20 ms    21 ms    20 ms  p50-1-4-5.cust.celox.de [217.146.129.34]
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13  ^C

Das heißt also, dein Provider hat die Routen nicht korrekt gelegt (oder du hast hier eine falsche Adresse für den Server angegeben).

Die von dir "geänderte" Adresse (217.146.134.220) ist zwar anpingbar, auber auch da läuft ein Tracerout nicht über die von dir angegebenen Adressen.

Code: Alles auswählen

  1    <1 ms    <1 ms    <1 ms  xxxxx
  2     6 ms    <1 ms    <1 ms  xxxxx
  3   242 ms   237 ms   250 ms  bnx-ffm01.bmcag.net [194.140.115.245]
  4   155 ms   145 ms   139 ms  ge-7-1-0-0000.bnr-ffm01.bmcag.net [194.140.111.121]
  5    88 ms    53 ms    70 ms  core2.fra.qsc.de [212.202.214.237]
  6    11 ms    10 ms    10 ms  bsn1.fra.qsc.de [213.148.138.110]
  7    16 ms    16 ms    16 ms  port-87-234-31-188.static.qsc.de [87.234.31.188]

  8    18 ms    43 ms    17 ms  217.146.134.220

Ablaufverfolgung beendet.

Zu deinen sonstigen Fragen:

WAN und DMZ-IP müssen nicht identisch sein, klappt es eher wenn ich sie unterschiedlich setze , bzw. macht es Probleme wenn ich sie gleich setze ?

Das ist dem LANCOM egal und es funktioniert beides gleich gut

Wenn ich in der Routing-Tabelle die Maskierung auf der Defautl-Route auf Intranet UND DMZ stelle, kommt der Server dann auch ins Internet und auf das Intranet, ist von aussen aber immer noch nicht erreichbar.

klar, dann ist er auch maskiert - hinter der 217.146.134.195, die ja erreichbar ist...

auch das Intranet ist vom Server aus anpingbar (was eigentlich nicht sein dürfte in der DMZ, oder ?)

Solange du keine Regel in der Firewall hast, die das verhindert ist das in der Form korrekt. Um den Zugriff auf das Intranet zu unterbinden brauchst du folgende Regel:

Code: Alles auswählen

Quelle: DMZ-Netz (217.146.134.192/255.255.255.192)
Ziel:   Intranet (192.168.60.0/255.255.255.0) 
Aktion: Zurückweisen

Keine Angst: Diese Regel verhindert nicht, daß du vom Intranet auf die DMZ zugreifen kannst

Gruß
Backslash

[ianeo]

Hallo,
danke für deine Hinweise und Tips, werde ich morgen gleich testen !
Die IPs sind alle von mir falsch gewesen, überall muss statt der 133 die 134 hin... werde ich morgen selber mal nochmal tracen und dann mit dem Provider Kontakt aufnehmen, was da falsch läuft (früher lief das nämlich mal, nach einer Konfigurationsänderung war ich mir aber nicht sicher ob ich vielleicht was falsch gemacht hatte...).

Danke erst mal, nach den Tests morgen geben ich Rückmeldung !

Grüße

Dirk