Hallo!
Folgende Konfiguration auf einem 1721 Router:
Zwei Netze an zwei Lancomports mit zwei verschiedenen Schnittstellentags können sich wie erwartet nicht sehen.
ETH-1 LAN-1
ETH-4 LAN-4
EXTZUGANG 192.168.122.241 255.255.255.0 Intranet 0 LAN-4 Flexibel 42 Netzwerk für Fremdrechner
INTRANET 192.168.222.241 255.255.255.0 Intranet 0 LAN-1 Flexibel 0 local intranet
Mit den folgenden beiden Routen sollte ich pingen können, kann ich aber nur in I->E Richtung.
192.168.122.0 255.255.255.0 0 192.168.122.241 I->E
192.168.222.0 255.255.255.0 42 192.168.222.241 E->I
Was mache ich da falsch?
PS:
Was ist eigentlich der Router namens "DEFAULT"?
Routingproblem zwei Netze zwei Schnittstellentags
Moderator: Lancom-Systems Moderatoren
Hi ferrit
Daß du von I nach E pingen kannst liegt daran, daß I das Scnittstellen-Tag 0 hat und somit ein "Supervisor-Netz" ist, daß alle Netze sehen darf... Andersherum - also von E nach I - wird der ping blockiert, weil E und I unterschiedliche Schnittstellen-Tags haben
Für die Sichtbarkeit von ARF-Netzen gilt folgendes:
Netze mit gleichen Schnittstellen-Tags können sich sehen und Netze mit unterschiedlichen Tags können sich nicht sehen. Von dieser Regel gibt es zwei Ausnahmen:
1. Netze mit Schnittstellen-Tag 0 können alle Netze sehen (Supervisor-Netz)
2. Netze, die als DMZ deklariert sind, können von allen Netze gesehen werden
Wenn du zwischen Netzen mit unterschiedlichen Schnittstellen-Tags eine Sichtbarkeit herstellen willst, dann mußt du das explizit in der Firewall freigeben.
Du kannst natürlich auch das ganze Netz 2 sichbar machen, wenn du als Ziel das komplette Netz und als Dienst "alle Dienste" angibst (nur kannst du dir dann die Schnittstellen-Tags auch gleich sparen).
Wenn das Netz 2 das Schnittstellen-Tag 0 hat, dann mußt du in der Firewallregel als Routing-Tag 65535 eintragen, da ein Tag 0 in einer Firewallregel bedeutet, daß ein etwaig vorhandenes Tag nicht geändert wird.
Gruß
Backslash
du verstehst den Sinn des ARF nicht...Was mache ich da falsch?
das ist falsch... Die Routen sind vollkommen irrelevant - du kannst sie auch einfach weglassen und es änder sich nichts, da Routen für die direkten LANs immer implizit existieren.Mit den folgenden beiden Routen sollte ich pingen können, kann ich aber nur in I->E Richtung.
192.168.122.0 255.255.255.0 0 192.168.122.241 I->E
192.168.222.0 255.255.255.0 42 192.168.222.241 E->I
Daß du von I nach E pingen kannst liegt daran, daß I das Scnittstellen-Tag 0 hat und somit ein "Supervisor-Netz" ist, daß alle Netze sehen darf... Andersherum - also von E nach I - wird der ping blockiert, weil E und I unterschiedliche Schnittstellen-Tags haben
Für die Sichtbarkeit von ARF-Netzen gilt folgendes:
Netze mit gleichen Schnittstellen-Tags können sich sehen und Netze mit unterschiedlichen Tags können sich nicht sehen. Von dieser Regel gibt es zwei Ausnahmen:
1. Netze mit Schnittstellen-Tag 0 können alle Netze sehen (Supervisor-Netz)
2. Netze, die als DMZ deklariert sind, können von allen Netze gesehen werden
Wenn du zwischen Netzen mit unterschiedlichen Schnittstellen-Tags eine Sichtbarkeit herstellen willst, dann mußt du das explizit in der Firewall freigeben.
Code: Alles auswählen
Aktion: übertragen
Quelle: ARF-Netz 1
Ziel: IP eines Servers in ARF-Netz 2 der aus ARF Netz 1 sichbar sein soll
Dienste: Dienste die der Server anbietet
Routing-Tag: Schnittstellen-Tag des ARF-Netz 2Wenn das Netz 2 das Schnittstellen-Tag 0 hat, dann mußt du in der Firewallregel als Routing-Tag 65535 eintragen, da ein Tag 0 in einer Firewallregel bedeutet, daß ein etwaig vorhandenes Tag nicht geändert wird.
Gruß
Backslash
Ein einziger Port soll in I->E Richtung offen sein.backslash hat geschrieben: Wenn du zwischen Netzen mit unterschiedlichen Schnittstellen-Tags eine Sichtbarkeit herstellen willst, dann mußt du das explizit in der Firewall freigeben.
Um das zu bewerkstelligen kann ich dann ja auch ganz auf das tagging/ARF verzichten und direkt eine deny all; allow 104 I->E Regel in der firewall eintragen?
Hat das ARF also eigentlich nur den Zweck ein gewissermaßen automatisches deny all zwischen zwei Netzen festzulegen?
Ulkig. Im Manual findet sich das aber nicht?backslash hat geschrieben: Wenn das Netz 2 das Schnittstellen-Tag 0 hat, dann mußt du in der Firewallregel als Routing-Tag 65535 eintragen, da ein Tag 0 in einer Firewallregel bedeutet, daß ein etwaig vorhandenes Tag nicht geändert wird.
Danke
Meinhard
Hi ferrit
Gruß
Backslash
für deine Zwecke: ja...Ein einziger Port soll in I->E Richtung offen sein.
Um das zu bewerkstelligen kann ich dann ja auch ganz auf das tagging/ARF verzichten und direkt eine deny all; allow 104 I->E Regel in der firewall eintragen?
nein, es geht dabei um Routervirtualisierung. Das automatische Deny-All zwischen den Netzen ist dabei nur ein Punkt. Ließ dir mal im Referenz-Handbuch das Kapitel zu dem Thema durch...Hat das ARF also eigentlich nur den Zweck ein gewissermaßen automatisches deny all zwischen zwei Netzen festzulegen?
Gruß
Backslash