Einrichtung einer DMZ! Brauche Hilfe

[Günther]

Hallo Zusammen,

ich möchte bei dem 1781VA eine DMZ einrichten. Ich habe an dem Port 1 mein lokales Netzwerk angeschlossen und habe den Port 4 auf DMZ gestellt. Am Port 1 arbeitet der bestehende Windows Server als DHCP-Server und an Port 4 macht das der Lancom Router. Wenn ich die bestehenden Einstellungen benutze, bekommen die Geräte in der DMZ eine IP vom Windows Server zugewiesen und nicht vom Lancom Router. Sobald ich den Port 4 in den Privaten Modus mache, bekommt er eine passende IP vom Router. Ich vermute das ich statt den Privaten Modus, etwas in der FireWall einstellen muss. Kann mir da jemand vielleicht weiterhelfen?

Es soll zum Schluss so aussehen, dass in der DMZ ein PC steht der per Port Forwading über 443 erreichbar ist und dann über einen anderen Port 15000 weiter zum Server im lokalen Netzwerk geht.

Hoffe mir kann da jemand weiterhelfen.

[Christoph_vW]

Dazu braucht der Server nicht in die DMZ.
Leg ein neues Netz an (z.B. SERVER), mit einem anderen Schnittstellen Tag (!= 0) und steck den Server da rein.
Und ändere das Tag von INTRANET auf einen Wert auch != 0.
Port Forwarding auf den Server einrichten und dann in der Firewall den Zugriff auf Port 15000 zwischen den Netzen (INTRANET und SERVER) erlauben.

[Pothos]

Den Ansatz mit den zwei Netzen reicht meiner Meinung nach auch vollkommen aus. Soll der Server dann über eine öffentliche IP erreichbar sein, kann man immer noch mit N:N-Mapping arbeiten.

Wenn die Netze über Schnittstellentags getrennt sind, reicht eine einfache Firewallregel nicht aus um die Kommunikation zwischen den beiden Netzen zu erlauben, weil das Tag Vorang hat. Hier müsste dann in der Firewall das Tag umgetagged werden. Deshalb ist am einfachsten die Schnittstellentags zu lassen und komplett mit der Firewall zu arbeiten. Sprich eine Regel, die die Kommunikation komplett verbietet und eine zweite die die Kommunikation auf dem gewünschten Port erlaubt.

[Günther]

Danke für eure Tipps. Ich werde es morgen Früh versuchen und mich nochmal melden ob es so funktioniert hat. Aber eine Frage hätte ich noch. Was bringt mir eine DMZ, wenn ich es auch über die Tags lösen kann und wie müsste ich da vorgehen?

[Günther]

Hallo Zusammen,

ich habe es mit den Schnittstellen Tags versucht, allerdings läuft es nicht so wie erhofft. Ich habe die Schnittstellen Tags vergeben und das Netz “DMZ“ bekommt jetzt auch eine eigene IP von dem Router zugewiesen. Ich komme von dem lokalen Netzt via RDP auf dem Rechner in dem anderen Netz, nur umgekehrt klappt das nicht. Ich habe versucht die Einstellungen der Firewall zu ändern, aber leider hat das nichts geändert. Hat jemand eine Idee warum ich nur von einem Netz in das andere komme, aber nicht umgekehrt und warum die Firewall Einstellungen nichts ändern? Muss ich vielleicht noch etwas bei Routing umstellen?

Gruß

[Christoph_vW]

Hat das eine Netz das Tag 0? Das würde das Verhalten erklären...
Ansonsten müssten die Firewallregeln auch Quell- und Ziel-Tag enthalten.

[Günther]

Habe die Tags 1 und 2 benutzt, damit diese sich eigentlich nicht sehen können.