Hallo zusammen!
Ich kämpfe momentan mit folgenden Gegebenheiten:
Der alte Router ist abgeraucht, wie die Konfiguration vorher war wurde leide nie dokumentiert.
34 Mbit-Leitung vorhanden mit 30 nutzbaren statischen Adressen. Ich vermute vorher wurde das via Port-Witerleitung gelöst doch nun soll eine DMZ eingerichtet werden.
Der Internetzugang ist auf Wan1 statisch eingerichtet, das Intranet (192.9.151.0) hat Zugriff.
Nun gibt es noch ein weiteres lokales Netz 192.168.5.0 in welchem sich drei Server befinden die jeweils unter einer eigenen statischen WAN-IP von extern erreichbar sein sollen.
Der Router hat die 5.1 und die Server 5.2, 5.3, 5.4
Muss ich nun fuer jeden Server eine eigene DMZ einrichten? Was mache ich mit der Maskierung? Wie jeder Server sich mit seiner externen IP meldet weiss ich, aber irgendwo ist der Wurm drin. Zugriff von 192.9.151.0 auf die drei Server soll möglich sein, aber irgendwie habe ich einen Knoten im Kopf...wo stelle ich die Zuordnung der WAN-IP zum jeweiligen Server ein?
Knoten im Kopf 1711+, DMZ, mehrere statische IPs
Moderator: Lancom-Systems Moderatoren
-
Ezekiel666
- Beiträge: 2
- Registriert: 11 Jul 2011, 19:17
Hi,
DMZ Einrichten anleitung findest du dazu in der Lancom KB und dann N:N Mapping
http://www2.lancom.de/kb.nsf/1275/42D61 ... enDocument
DMZ Einrichten anleitung findest du dazu in der Lancom KB und dann N:N Mapping
http://www2.lancom.de/kb.nsf/1275/42D61 ... enDocument
-
Ezekiel666
- Beiträge: 2
- Registriert: 11 Jul 2011, 19:17
Anleitung DMZ aus der LANCOM KB
Hallo, kann mir jemand sagen, ob die Anleitung von LANCOM wirklich so passt oder sollte man noch mehr einstellen?
Einrichten einer DMZ mit öffentlichen IP-Adressen
Link
Da steht folgendes drin:
Konfiguration der DMZ:
1. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers in LANconfig und wechseln Sie in das Menü Konfiguriere -> TCP/IP -> Allgemein -> IP-Netzwerke.
Meine Frage dazu:
Muss hier noch mehr eingestellt werden, z.B. DMZ = LAN4 oder so, wenn ich die DMZ an LAN-Port 4 vom LANCOM dran habe oder lässt man das immer auf "Schnittstelle=Beliebig"?
Einrichten einer DMZ mit öffentlichen IP-Adressen
Link
Da steht folgendes drin:
Konfiguration der DMZ:
1. Öffnen Sie den Konfigurationsdialog des LANCOM-Routers in LANconfig und wechseln Sie in das Menü Konfiguriere -> TCP/IP -> Allgemein -> IP-Netzwerke.
Meine Frage dazu:
Muss hier noch mehr eingestellt werden, z.B. DMZ = LAN4 oder so, wenn ich die DMZ an LAN-Port 4 vom LANCOM dran habe oder lässt man das immer auf "Schnittstelle=Beliebig"?
Viele Grüße,
px166
px166
DMZ v. außen erreichb. nur von innen ü. öffentliche IPs net
Hi,
habe das heute morgen mit der DMZ so hinbekommen. Vielen Dank Backslash.
Nun habe ich nur noch das Problem, dass meine Clients nicht auf die DMZ zugreifen können bzw
die DMZ ist von außen erreichbar, nur von innen kann man über die öffentlichen IPs die DMZ nicht erreichen...
Ich habe das Problem, dass die DMZ-Server in einem anderen Netz hängen:
Habe es am LANCOM so konfiguriert:
Intranet: 192.168.1.1 (Clients und Server)
Intranet2: 192.168.2.1 (DMZ-Server)
DMZ: öffentlicher fester IP-Bereich
Wahrscheinlich habe ich noch irgendwas falsch gemacht oder mir fehlt die Route oder eine Firewall-Richtlinie?
Kann auch nicht mehr klar denken gerade...
habe das heute morgen mit der DMZ so hinbekommen. Vielen Dank Backslash.
Nun habe ich nur noch das Problem, dass meine Clients nicht auf die DMZ zugreifen können bzw
die DMZ ist von außen erreichbar, nur von innen kann man über die öffentlichen IPs die DMZ nicht erreichen...
Ich habe das Problem, dass die DMZ-Server in einem anderen Netz hängen:
Habe es am LANCOM so konfiguriert:
Intranet: 192.168.1.1 (Clients und Server)
Intranet2: 192.168.2.1 (DMZ-Server)
DMZ: öffentlicher fester IP-Bereich
Wahrscheinlich habe ich noch irgendwas falsch gemacht oder mir fehlt die Route oder eine Firewall-Richtlinie?
Kann auch nicht mehr klar denken gerade...
Viele Grüße,
px166
px166
Hi PX166
wieso stellt du die Server nicht direkt in die DMZ mit den öffentlichen Adressen? Dann kannst du sie auch direkt aus deinem Intranet unter den öffentlichen Adressen ansprechen. Ansonsten hast du immer das Risiko, daß die doppelte Maskierung (abgehend für die Pakete aus dem Intranet zu den Öffentlichen Adressen und danach beim Portforwarding in die "DMZ"- hier also Intranet2) je nach Firmwareversion scheitert - das ist schon oft genug kaputtgegangen
Die Server direkt mit öffentlichen Adressen zu betreiben ist auch kein Sicherheitsrisiko, solange du die Firewall richtig dicht machst und nur die Ports erlaubst, auf denen du auch Dienste anbieten willst - Das Portforwarding bringt keine weitere Sicherheit, denn von einem einmal übernommenen Server aus kann der Angreifer alles in dem Netz des Servers machen...
Wenn du die Server aber doch lieber mit privaten Adressen betreiben willst, dann mach doch einfach passende Einträge im DNS-Srver des LANCOMs, so daß du egal, ob du von "aussen" oder "innen" kommst, die Server immer unter dem gleichen Namen ansprechen kannst - nur daß das in dem Fall, in dem du von innen kommst direkt erfolgt, während von aussen das Portforwarding dazwischen liegt.
Gruß
Backslash
wieso stellt du die Server nicht direkt in die DMZ mit den öffentlichen Adressen? Dann kannst du sie auch direkt aus deinem Intranet unter den öffentlichen Adressen ansprechen. Ansonsten hast du immer das Risiko, daß die doppelte Maskierung (abgehend für die Pakete aus dem Intranet zu den Öffentlichen Adressen und danach beim Portforwarding in die "DMZ"- hier also Intranet2) je nach Firmwareversion scheitert - das ist schon oft genug kaputtgegangen
Die Server direkt mit öffentlichen Adressen zu betreiben ist auch kein Sicherheitsrisiko, solange du die Firewall richtig dicht machst und nur die Ports erlaubst, auf denen du auch Dienste anbieten willst - Das Portforwarding bringt keine weitere Sicherheit, denn von einem einmal übernommenen Server aus kann der Angreifer alles in dem Netz des Servers machen...
Wenn du die Server aber doch lieber mit privaten Adressen betreiben willst, dann mach doch einfach passende Einträge im DNS-Srver des LANCOMs, so daß du egal, ob du von "aussen" oder "innen" kommst, die Server immer unter dem gleichen Namen ansprechen kannst - nur daß das in dem Fall, in dem du von innen kommst direkt erfolgt, während von aussen das Portforwarding dazwischen liegt.
Gruß
Backslash
Hallo Backslash,
vielen vielen Dank für deine Info! Die Info mit dem internen DNS hat mir ein ehem. Kollege und guter Freund mir heute Nachmittag auch schon gesagt. Ich stand total aufn Schlauch. Unter "Stationsnamen" habe ich nun einen Eintrag gemacht. Werde es leider erst Freitag vormittag testen können, ob es dann alles so klappt, aber denke mal schon nach eurer Hilfe!
Zum Rest:
Vielen Dank auch hier für deine Hilfe. Das mit den internen Adressen ist mal so entstanden. Der alte Admin hat mal alles von den wenigen externen IPs auf eine neue DMZ (mit dem eigenen internen Netz) umgestellt und sich total gefeiert. Nun bin ich da Admin und werde es wieder zurückdrehen.
Ich werde daher mal abklären, ob ich den Servern die externe IP vergeben kann so ohne weiteres... Linux-Dienste checken etc.
VIELEN VIELEN DANK NOCHMAL!!!
vielen vielen Dank für deine Info! Die Info mit dem internen DNS hat mir ein ehem. Kollege und guter Freund mir heute Nachmittag auch schon gesagt. Ich stand total aufn Schlauch. Unter "Stationsnamen" habe ich nun einen Eintrag gemacht. Werde es leider erst Freitag vormittag testen können, ob es dann alles so klappt, aber denke mal schon nach eurer Hilfe!
Zum Rest:
Vielen Dank auch hier für deine Hilfe. Das mit den internen Adressen ist mal so entstanden. Der alte Admin hat mal alles von den wenigen externen IPs auf eine neue DMZ (mit dem eigenen internen Netz) umgestellt und sich total gefeiert. Nun bin ich da Admin und werde es wieder zurückdrehen.
Ich werde daher mal abklären, ob ich den Servern die externe IP vergeben kann so ohne weiteres... Linux-Dienste checken etc.
VIELEN VIELEN DANK NOCHMAL!!!
Viele Grüße,
px166
px166
Puhhh das hat heute nicht geklappt. Ist aber auch alles ein bisschen durcheinander bei uns.
Bin echt am verzweifeln. Nicht mal das Portforwarding hat geklappt. Also nur von extern, aber halt nicht von intern. Pingbar sind die IPs nicht. Ein Tracert kommt nur bis zum Gateway und weiß nicht weiter.
Der Router weiß nichts mit den Paketen anzufangen obwohl er für zuständig ist.
Hatte die IPs auch schon als Stationsnamen im DNS eingetragen, aber hat auch nichts geholfen.
Wenn ich dem Router alle 4 öffentliche IPs verpasse, reicht es dann, dies unter TCP/IP -> IP-Netzwerke zu konfigurieren oder muss ich das noch wo machen? Oder geht das gar nicht so ohne weiteres?
Bin echt am verzweifeln. Nicht mal das Portforwarding hat geklappt. Also nur von extern, aber halt nicht von intern. Pingbar sind die IPs nicht. Ein Tracert kommt nur bis zum Gateway und weiß nicht weiter.
Der Router weiß nichts mit den Paketen anzufangen obwohl er für zuständig ist.
Hatte die IPs auch schon als Stationsnamen im DNS eingetragen, aber hat auch nichts geholfen.
Wenn ich dem Router alle 4 öffentliche IPs verpasse, reicht es dann, dies unter TCP/IP -> IP-Netzwerke zu konfigurieren oder muss ich das noch wo machen? Oder geht das gar nicht so ohne weiteres?
Viele Grüße,
px166
px166
Hi PX166
Wenn du hingegen Portforwarding nutzen willst, dann brauchst du für die öffentlichen Adressen keinerlei Einträge in der Netzwerkliste (TCP/IP -> IP-Netzwerke), denn beim Portforwardig erfolgt die Zuordnung über die "WAN-Adresse" in der Portforwarding-Tabelle (IP-Router -> Maskierung -> Portforwarding-Tabelle). Aber wie gesagt: Beim Zugriff aus dem Intranet auf eine dieser Adressen erfolgt eine doppelte Maskierung und das Konstrukt ist schon oft genug kaputtgegangen... Daher sollte in diesem Szenario das Intranet nicht mit dem öffentlichen Adressen der Server arbeiten sondern direkt mit den internen, was sich ja einfach über den DNS-Server des LANCOMs einrichten läßt (TCP/IP -> DNS -> Stationsnamen)
Ansonsten hilft bei Routing-Problemen der IP-Router-Trace weiter - per Telnet auf das Gerät und trace # ip-router eingeben...
Gruß
Backslash
Der Router darf maximal eine der öffentlichen IPs haben - die anderen werden ja für die Server in der DMZ gebraucht. Um eine DMZ mit öffentlichen Adressen einzurichten machst du einfach einen Eintrag in der Netzwerkliste (TCP/IP -> IP-Netzwerke) und gibst dem Netz den Typ DMZ. Als Adresse des LANCOMs trägst du dabei die ein, die das LANCOM auf der WAN-Seite zugewiesen bekommt (oder die du in der IP-Parameter-Liste für die WAN-Verbindung vergeben hast). Dann mußt du nur noch in der IP-Routing-Tabelle die Maskierungsoption der Default-Route auf "nur Intranet maskieren" stellen und einmal kurz die Verbindung trennen und neu aufbauen. Danach kannst du die Server in die öffentliche DMZ stellen.Wenn ich dem Router alle 4 öffentliche IPs verpasse, reicht es dann, dies unter TCP/IP -> IP-Netzwerke zu konfigurieren oder muss ich das noch wo machen? Oder geht das gar nicht so ohne weiteres?
Wenn du hingegen Portforwarding nutzen willst, dann brauchst du für die öffentlichen Adressen keinerlei Einträge in der Netzwerkliste (TCP/IP -> IP-Netzwerke), denn beim Portforwardig erfolgt die Zuordnung über die "WAN-Adresse" in der Portforwarding-Tabelle (IP-Router -> Maskierung -> Portforwarding-Tabelle). Aber wie gesagt: Beim Zugriff aus dem Intranet auf eine dieser Adressen erfolgt eine doppelte Maskierung und das Konstrukt ist schon oft genug kaputtgegangen... Daher sollte in diesem Szenario das Intranet nicht mit dem öffentlichen Adressen der Server arbeiten sondern direkt mit den internen, was sich ja einfach über den DNS-Server des LANCOMs einrichten läßt (TCP/IP -> DNS -> Stationsnamen)
Ansonsten hilft bei Routing-Problemen der IP-Router-Trace weiter - per Telnet auf das Gerät und trace # ip-router eingeben...
Gruß
Backslash
Hallo Backslash,
du bist der Beste. Ich habe die Konfig nun soweit zurückgedreht, dass ich nun erstmal nur über Portforwarding alles klappt. So soll es ja auch erstmal sein. Später werde ich das dann richtig auf öffentliche IPs umstellen und das so machen wie du mir schon letzte Woche empfohlen hast.
Aber eine Frage habe ich da noch:
Ich kann ja bis zu vier WAN-Verbindungen am 1711+ einrichten. Wenn ich also nun mal eine weitere WAN-Leitung dazu bekomme, könnte ich mit den darin befindlichen öffentlichen IP-Adressen auch noch eine weitere DMZ einrichten?
Oder bleibt es dabei, dass "der Router darf maximal eine der öffentlichen IPs haben darf"?
du bist der Beste. Ich habe die Konfig nun soweit zurückgedreht, dass ich nun erstmal nur über Portforwarding alles klappt. So soll es ja auch erstmal sein. Später werde ich das dann richtig auf öffentliche IPs umstellen und das so machen wie du mir schon letzte Woche empfohlen hast.
Aber eine Frage habe ich da noch:
Ich kann ja bis zu vier WAN-Verbindungen am 1711+ einrichten. Wenn ich also nun mal eine weitere WAN-Leitung dazu bekomme, könnte ich mit den darin befindlichen öffentlichen IP-Adressen auch noch eine weitere DMZ einrichten?
Oder bleibt es dabei, dass "der Router darf maximal eine der öffentlichen IPs haben darf"?
Viele Grüße,
px166
px166
Hi PX166
Gruß
Backslash
ja sicher...Wenn ich also nun mal eine weitere WAN-Leitung dazu bekomme, könnte ich mit den darin befindlichen öffentlichen IP-Adressen auch noch eine weitere DMZ einrichten?
Dis ist kein "muß", sondern ein "sollte"... Der Punkt ist, daß öffentliche IPs rar sind, der Router aber mindestens eine der öffentlichen IPs in der jeweiligen DMZ haben muß, da er ja für die Server in der DMZ als Gateway dienen soll. Diese IP sollte - einfach um Adressen zu sparen - die gleiche sein, wie die, die das LANCOM im WAN vom Provider zugewiesen bekommen hat...Oder bleibt es dabei, dass "der Router darf maximal eine der öffentlichen IPs haben darf"?
Gruß
Backslash
Hi Backslash,backslash hat geschrieben:Hi PX166
Dis ist kein "muß", sondern ein "sollte"... Der Punkt ist, daß öffentliche IPs rar sind, der Router aber mindestens eine der öffentlichen IPs in der jeweiligen DMZ haben muß, da er ja für die Server in der DMZ als Gateway dienen soll. Diese IP sollte - einfach um Adressen zu sparen - die gleiche sein, wie die, die das LANCOM im WAN vom Provider zugewiesen bekommen hat...
Gruß
Backslash
ja super, dann bin ich ja beruhigt. Es handelt sich dann ja um ein anderes öffentliches IP-Netz, wo er dann eh schon eine IP per WAN hat.
Dann mache ich das so. Ich danke Dir!
Das mit den IP-Adressen = rar das kenn ich natürlich. Ich dachte nur, es wäre viel. was Lancomspezifisches. Obwohl ich das auch nicht wirklich gedacht habe
Viele Grüße,
px166
px166