Hallo zusammen.
Ich habe Probleme mit der Konnektivität eines Rechners (Windows 11 Pro), der als Webserver fungieren soll, nach dem Einrichten in einer DMZ.
Bisher bin ich wie folgt vorgegangen:
Auf dem Router unter IPv4 - Konfiguration - IP-Netzwerke habe ich ein folgendes Netzwerk hinzugefügt:
IP-Adresse 192.168.60.1, wobei diese IP-Adresse die Adresse des Routers sein soll
Netzwerktyp: DMZ
VLAN-ID: 1, wobei das Intranet ebenfalls diese VLAN-ID hat (korrekt?, oder muss die ID vom INTRANET abweichen?)
Tag: 0, wobei das Intranet ebenfalls dieses Tag verwendet (korrekt?, oder muss das Tag vom Tag des INTRANETS abweichen?)
Der PC, der in der DMZ sein soll, hat eine IP aus dem Netz 192.168.60.0. Als Gateway und DNS-Server ist jeweils die 192.168.60.1 (Routeradresse) eingetragen.
Folgende Probleme existieren nun:
1) Der PC ist nicht aus dem INTRANET erreichbar (anpingbar), obwohl lediglich ein Firewall-Eintrag eingerichtet wurde, der den Zugriff des PCs in der DMZ auf das LOCALNET unterbindet. In die andere Richtung dürfte ein Ping doch eigentlich nicht geblockt werden, oder?
2) Der PC bekommt keine Internetverbindung, obwohl unter IP-Router - Routing - IPv4-Routing-Tabelle die Default-Route auf "Internet und DMZ maskieren (Standard)" eingestellt ist. Auf dem PC in der Netzwerkkonfiguration folgender Status: IPv4-Konnektivität: kein Internetzugriff - IPv6-Konnektivität: Internet. Was kann denn da noch falsch sein? Die Windows-Firewall des PCs habe ich bereits zurückgesetzt.
Ich hoffe, Ihr könnt mir helfen.
Vielen Dank im Voraus.
Gruß
Karsten
Router 1926VAG - DMZ einrichten - kein Internetzugriff und kein Zugriff vom LOCALNET auf DMZ
Moderator: Lancom-Systems Moderatoren
Re: Router 1926VAG - DMZ einrichten - kein Internetzugriff und kein Zugriff vom LOCALNET auf DMZ
Hallo,
sind denn die lokalen Netzwerke (Intranet und DMZ) an unterschiedliche Schnittstellen gebunden?
Das VLAN-Modul ist vermutlich aktiviert worden, richtig? (Nur beantworten, nicht ändern.)
Kann man von dem Webserver (192.168.60.x) den Router (192.168.60.1) anpingen? (Oder umgekehrt, aber evt. schwieriger für Dich.)
Viele Grüße
Jirka
sind denn die lokalen Netzwerke (Intranet und DMZ) an unterschiedliche Schnittstellen gebunden?
Das VLAN-Modul ist vermutlich aktiviert worden, richtig? (Nur beantworten, nicht ändern.)
Kann man von dem Webserver (192.168.60.x) den Router (192.168.60.1) anpingen? (Oder umgekehrt, aber evt. schwieriger für Dich.)
Viele Grüße
Jirka
Re: Router 1926VAG - DMZ einrichten - kein Internetzugriff und kein Zugriff vom LOCALNET auf DMZ
Hallo Jirka.
Zu Frage 1: Nein. Sie sind beide an LAN-1 gebunden.
Zu Frage 2: Ja. Das VLAN-Modul ist aktiviert.
Zu Frage 3: Ja. Der Ping vom Webserver auf den Router geht durch.
Viele Grüße
Karsten
Zu Frage 1: Nein. Sie sind beide an LAN-1 gebunden.
Zu Frage 2: Ja. Das VLAN-Modul ist aktiviert.
Zu Frage 3: Ja. Der Ping vom Webserver auf den Router geht durch.
Viele Grüße
Karsten
Re: Router 1926VAG - DMZ einrichten - kein Internetzugriff und kein Zugriff vom LOCALNET auf DMZ
Hallo,
wenn das Intranet und die DMZ an die gleiche Schnittstelle gebunden sind, dann ergibt dazu noch die gleiche VLAN-ID zumindest keinen Sinn, weil damit die beiden Netze völlig ungetrennt nebeneinander bzw. aufeinander liegen. Das ist sicherlich nicht die Ursache Deines Problems, weil das kann man theoretisch schon machen, auch wenn nur eines der Netze dann DHCP machen kann, aber sinnvoll ist dies unterm Strich in jedem Fall nicht.
Das VLAN-Modul hätte man bisher auch nicht einschalten brauchen, VLAN-Funktionalität besteht grundsätzlich auch ohne eingeschaltetes VLAN-Modul. Das Modul benötigt man nur, wenn man umtaggen möchte oder anders gesagt ein und dasselbe Netz unterschiedlich getaggt auf verschiedenen Ethernet-Ports ausgeben möchte. Beim Abschalten müsste man aber aufpassen, dass man gleichzeitig mindestens das Intranet auf VLAN-ID 0 setzt, ansonsten sperrt man sich aus. Sicherlich kann das VLAN-Modul auch eingeschaltet bleiben, auch wenn es nicht nötig ist, ist es ja nicht falsch, nur eben unnötig, und Ursache Deines Problems ist auch das nicht.
Problem Nummer 1 hätte ich jetzt noch auf den Webserver geschoben, da Windows Pings aus anderen Subnetzen standardmäßig blockt, was man natürlich ändern kann in den Firewall-Regeln. Allerdings hast Du ja auch geschrieben, dass Du die Windows-Firewall des Gerätes bereits zurückgesetzt hast. (Was ist zurücksetzen? Auch mal deaktiviert?)
Problem Nummer 2 kann ich jetzt auch nicht sagen, müsste man irgendwie noch mal schauen, was Du da genau konfiguriert hast. Oder in einen Trace schauen. Irgendwie ist dafür die Datenlage hier noch zu dünn. Gibt es vielleicht noch eine andere Route in der Routing-Tabelle mit der gleichen (Internet-)Gegenstelle? Also eine Route, die nicht Deine Default-Route ist, aber im Feld Router auch die gleiche Gegenstelle zu stehen hat?
Viele Grüße
Jirka
wenn das Intranet und die DMZ an die gleiche Schnittstelle gebunden sind, dann ergibt dazu noch die gleiche VLAN-ID zumindest keinen Sinn, weil damit die beiden Netze völlig ungetrennt nebeneinander bzw. aufeinander liegen. Das ist sicherlich nicht die Ursache Deines Problems, weil das kann man theoretisch schon machen, auch wenn nur eines der Netze dann DHCP machen kann, aber sinnvoll ist dies unterm Strich in jedem Fall nicht.
Das VLAN-Modul hätte man bisher auch nicht einschalten brauchen, VLAN-Funktionalität besteht grundsätzlich auch ohne eingeschaltetes VLAN-Modul. Das Modul benötigt man nur, wenn man umtaggen möchte oder anders gesagt ein und dasselbe Netz unterschiedlich getaggt auf verschiedenen Ethernet-Ports ausgeben möchte. Beim Abschalten müsste man aber aufpassen, dass man gleichzeitig mindestens das Intranet auf VLAN-ID 0 setzt, ansonsten sperrt man sich aus. Sicherlich kann das VLAN-Modul auch eingeschaltet bleiben, auch wenn es nicht nötig ist, ist es ja nicht falsch, nur eben unnötig, und Ursache Deines Problems ist auch das nicht.
Problem Nummer 1 hätte ich jetzt noch auf den Webserver geschoben, da Windows Pings aus anderen Subnetzen standardmäßig blockt, was man natürlich ändern kann in den Firewall-Regeln. Allerdings hast Du ja auch geschrieben, dass Du die Windows-Firewall des Gerätes bereits zurückgesetzt hast. (Was ist zurücksetzen? Auch mal deaktiviert?)
Problem Nummer 2 kann ich jetzt auch nicht sagen, müsste man irgendwie noch mal schauen, was Du da genau konfiguriert hast. Oder in einen Trace schauen. Irgendwie ist dafür die Datenlage hier noch zu dünn. Gibt es vielleicht noch eine andere Route in der Routing-Tabelle mit der gleichen (Internet-)Gegenstelle? Also eine Route, die nicht Deine Default-Route ist, aber im Feld Router auch die gleiche Gegenstelle zu stehen hat?
Viele Grüße
Jirka