Hallo ihr Lieben,
da ich bereits länger mit der Konfiguration meines Netzwerkes kämpfe und ich auch keine Antwort in den bisherigen Threads finden konnte, frage ich mal nach eurer Hilfe. Ich hätte gedacht, dass die Konfiguration häufig auftritt und einfach zu konfigurieren sei, aber naja...
Ich betreibe einen 1900EF Router (Firmware: 10.20.0637SU10), welcher intern über ein Gateway an das Internet angeschlossen ist. Alle verteilten IPs sollen öffentlich sein, dafür steht ein Subnetz von 255 Adressen zur Verfügung.
Nun möchte ich gerne drei getrennte Netzwerke einrichten, welche alle Internetzugang erhalten sollen:
A -> Intranet - DHCP vom Router, erstes IP batch mit 128 Adressen, kein Zugriff aus dem Internet oder von B oder C
B -> Semi - Manuelle IP, zweites IP batch mit 64 Adressen, Kein Zugriff aus dem Internet oder C
C -> DMZ - Manuelle IP, drittes IP batch mit 63 Adressen, Zugriff aus dem Internet und A und B
Zuerst habe ich die IP-Netzwerke entsprechend angelegt und alles auf LAN-1 gelegt. Danach habe ich die Firewall-Regeln angelegt, welche den Zugriff beschränken sollten. Das hat auch für Zugriffe aus dem Internet funktioniert, jedoch nicht, um die Kommunikation untereinander zu unterbinden.
Zweitens habe ich versucht jedem Netzwerk ein eigenes logisches Interface zuzuweisen, also LAN-1 - LAN-3. Das würde mich zwar im späteren Routing einschränken, aber das hat auch nicht funktioniert, nur die Geräte im LAN-1 waren erreichbar. Ich kann mir nicht ganz erklären wieso, denn ich hätte erwartet, dass der Eintrag in der IPv4-Routing-Tabelle (IP: 255.255.255.255, Netzmaske: 0.0.0.0, Tag: 0, Router: INTERNET) für alle angelegten IP-Netzwerke gelten würde.
Drittens habe ich wieder alles auf LAN-1 gelegt und das VLAN-Modul aktiviert, um die Kommunikation untereinander zu beschränken. Das wäre auch von Vorteil, da ich in Zukunft sowohl ein managed Switch an einem Port betreiben möchte, als auch die Zuweisung von VLANs zu virtuellen Maschinen, welche im Netzwerk betrieben werden, vornehmen möchte. Leider ist jedoch weiterhin die Kommunikation unter den Netzwerken möglich. Dabei habe ich die IP-Netzwerke wie folgt angelegt (Zum Test mit zwei Netzwerken):
NetzwerknameIP-Adresse Netzmaske Netzwerktyp VLAN-ID Schnittstelle Adressprüfung Tag
INTRANET 130.149.223.1 255.255.255.128 Intranet 1 LAN-1 Flexibel 0
DMZ 130.149.223.128 255.255.255.128 DMZ 2 LAN-1 Flexibel 20
Ich wäre sehr dankbar über Hinweise oder Ratschläge, wie ein solches Netzwerk am besten zu erreichen wäre.
Dank euch und viele Grüße
Martin
Trennung DMZ und Intranet
Moderator: Lancom-Systems Moderatoren
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: Trennung DMZ und Intranet
Isolierter Modus eingeschaltet? Siehe dazu:
fragen-zum-thema-firewall-f15/portfreig ... tml#p99671
Generell sollten die Hinweise und die verlinkten Beiträge unter:
fragen-zum-thema-firewall-f15/schulnetz ... 18890.html
beachtet werden.
Die LAN-x weise ich immer direkt den Ethernet-Ports zu:
LAN-1 -> ETH-1 (1. Ethernet-Port)
LAN-2 -> ETH-2 (2. Ethernet-Port)
und so weiter...
fragen-zum-thema-firewall-f15/portfreig ... tml#p99671
Generell sollten die Hinweise und die verlinkten Beiträge unter:
fragen-zum-thema-firewall-f15/schulnetz ... 18890.html
beachtet werden.
Die LAN-x weise ich immer direkt den Ethernet-Ports zu:
LAN-1 -> ETH-1 (1. Ethernet-Port)
LAN-2 -> ETH-2 (2. Ethernet-Port)
und so weiter...
Re: Trennung DMZ und Intranet
Moin,
ohne alles gelesen zu haben...
Grüße,
Torsten
ohne alles gelesen zu haben...
Zumindest einmal hier musst Du Dich bei der IP-Adresse vertan haben. 130.149.223.128 ist die Netzadresse. Nutzbare Adressen wären .129 bis .254DMZ 130.149.223.128 255.255.255.128 DMZ 2 LAN-1 Flexibel 20
Grüße,
Torsten
Re: Trennung DMZ und Intranet
Hi informartin
ich dachte du willst 3 Netze haben? Dann muß die Netzmaske an der DMZ 255.255.255.192 sein (64 Adressen) und du brauchst ein weiteres Netz mit 64 Adressen ("SEMI")
Desweitern hast du dabei natürlich keine 64 Adressen für deine Hosts zur Verfügung, denn du mußt die Adresse des LANCOMs, die Netzadresse und die Broadcastadresse abziehen. Somit bleiben in "DMZ" und "SEMI" jeweils 61 Adressen übrig.
gleiches gilt i.Ü.auch für das "INTRANET" - da hast du keine 128 Adressen, sondern nur 125 zur Verfügung
Es stellt sich aber die Frage, wieso alle Rechner öffentliche Adressen haben sollen - bzw. wieso du Rechner mit öffentlichen Adressen in deinem Netz abschotten willst, obwohl aus dem Internet jeder darauf Zugriff hat... Das macht genaugenommen keinen Sinn
Sinnvoll ist eine DMZ, die auch aus dem Internet erreichbar ist und den beiden anderen Netzen einfach private Adressen zu geben. Die Maskierungsoption dafür an der Default-Route ist dann "nur Intranet maskieren"..
Und um die Netze voneinader zu trennen reicht es aus ihenen einfach unterschiedliche Routing-Tags (ungleich 0) zu geben. Damit können alle auf das Internet und die DMZ zugreifen, sich gegenseitetig aber nicht sehen
Gruß
Backslash
130.149.223.128 für die DMZ ist schonmal falsch, denn das ist die Netzadresse - hier muß mindestens 130.149.223.129 hin...INTRANET 130.149.223.1 255.255.255.128 Intranet 1 LAN-1 Flexibel 0
DMZ 130.149.223.128 255.255.255.128 DMZ 2 LAN-1 Flexibel 20
ich dachte du willst 3 Netze haben? Dann muß die Netzmaske an der DMZ 255.255.255.192 sein (64 Adressen) und du brauchst ein weiteres Netz mit 64 Adressen ("SEMI")
Desweitern hast du dabei natürlich keine 64 Adressen für deine Hosts zur Verfügung, denn du mußt die Adresse des LANCOMs, die Netzadresse und die Broadcastadresse abziehen. Somit bleiben in "DMZ" und "SEMI" jeweils 61 Adressen übrig.
gleiches gilt i.Ü.auch für das "INTRANET" - da hast du keine 128 Adressen, sondern nur 125 zur Verfügung
Es stellt sich aber die Frage, wieso alle Rechner öffentliche Adressen haben sollen - bzw. wieso du Rechner mit öffentlichen Adressen in deinem Netz abschotten willst, obwohl aus dem Internet jeder darauf Zugriff hat... Das macht genaugenommen keinen Sinn
Sinnvoll ist eine DMZ, die auch aus dem Internet erreichbar ist und den beiden anderen Netzen einfach private Adressen zu geben. Die Maskierungsoption dafür an der Default-Route ist dann "nur Intranet maskieren"..
Und um die Netze voneinader zu trennen reicht es aus ihenen einfach unterschiedliche Routing-Tags (ungleich 0) zu geben. Damit können alle auf das Internet und die DMZ zugreifen, sich gegenseitetig aber nicht sehen
es wäre ohne deine Forderung der gleichen (öffentlichen) Adresskreise auch eine Standard-Konfiguration, die hier im Forum auch schon hunderte Male beschrieben wurdeda ich bereits länger mit der Konfiguration meines Netzwerkes kämpfe und ich auch keine Antwort in den bisherigen Threads finden konnte, frage ich mal nach eurer Hilfe. Ich hätte gedacht, dass die Konfiguration häufig auftritt und einfach zu konfigurieren sei, aber naja...
Gruß
Backslash
-
informartin
- Beiträge: 3
- Registriert: 18 Nov 2022, 13:27
Re: Trennung DMZ und Intranet
Vielen Dank für eure Antworten, das hat mir schon sehr weiter geholfen.
Ihr habt natürlich Recht, das Zweite Netz muss bei 130.149.223.129 anfangen. Das habe ich korrigiert und nun läuft auch die Internetverbindung aus der DMZ.
Die Ethernet-Ports hatte ich entsprechend zugewiesen, also wie von GrandDixence beschrieben:
LAN-1 -> ETH-1 (1. Ethernet-Port)
LAN-2 -> ETH-2 (2. Ethernet-Port)
Der isolierte Modus ist auch aktiviert.
Hierfür habe ich der DMZ das Tag 20 und VLAN 2 zugewiesen, während das Intranet Tag 0 behalten und VLAN 1 zugewiesen gekommen hat. Nach dem, was ich gelesen habe, sollte das Netz mit Tag 0 auf alle anderen Netze zugreifen können, jedoch nicht umgekehrt. Leider ist ein Zugriff jedoch in keine Richtung möglich. Auf die DMZ kann ich erst zugreifen, wenn ich mich über ein externes Netz und nicht über das Intranet verbinde. Habt ihr da vlt. eine Idee woran es liegen könnte? Das VLAN-Modul ist aktiviert. Ich habe auch schon versucht das Tag über die Firewall umszuschreiben, was aber auch nicht funktioniert hat und meinem Verständnis nach auch nicht nötig sein sollte.
Dank euch,
Martin
Ihr habt natürlich Recht, das Zweite Netz muss bei 130.149.223.129 anfangen. Das habe ich korrigiert und nun läuft auch die Internetverbindung aus der DMZ.
Die Ethernet-Ports hatte ich entsprechend zugewiesen, also wie von GrandDixence beschrieben:
LAN-1 -> ETH-1 (1. Ethernet-Port)
LAN-2 -> ETH-2 (2. Ethernet-Port)
Der isolierte Modus ist auch aktiviert.
Hast Recht, für einen Test hatte ich jedoch erst einmal zwei Netzwerke eingerichtet, hätte ich vlt. nochmal unterstreichen können, statt es in einen Nebensatz zu packen.Ich dachte du willst 3 Netze haben?
Das ist eine externe Anforderung, damit jede Anfrage einem Client zugewiesen werden kann. Das heißt Anfragen sollen aus dem Intranet raus gehen können, aber nicht von extern oder der DMZ rein.Es stellt sich aber die Frage, wieso alle Rechner öffentliche Adressen haben sollen - bzw. wieso du Rechner mit öffentlichen Adressen in deinem Netz abschotten willst, obwohl aus dem Internet jeder darauf Zugriff hat... Das macht genaugenommen keinen Sinn
Hierfür habe ich der DMZ das Tag 20 und VLAN 2 zugewiesen, während das Intranet Tag 0 behalten und VLAN 1 zugewiesen gekommen hat. Nach dem, was ich gelesen habe, sollte das Netz mit Tag 0 auf alle anderen Netze zugreifen können, jedoch nicht umgekehrt. Leider ist ein Zugriff jedoch in keine Richtung möglich. Auf die DMZ kann ich erst zugreifen, wenn ich mich über ein externes Netz und nicht über das Intranet verbinde. Habt ihr da vlt. eine Idee woran es liegen könnte? Das VLAN-Modul ist aktiviert. Ich habe auch schon versucht das Tag über die Firewall umszuschreiben, was aber auch nicht funktioniert hat und meinem Verständnis nach auch nicht nötig sein sollte.
Dank euch,
Martin
Re: Trennung DMZ und Intranet
Hi informartin
Daher muß auch das Netz "INTRANET" ein Tag ungleich 0 erhalten. Damit das Netz "DMZ" trotzdem aus allen Netzen gesehen wird, muß es auch den Typ "DMZ" haben, denn Netze vom Typ "DMZ" sind aus allen Kontexten sichtbar
Gruß
Backslash
Korrekt, ein Netz mit Tag 0 kann alle Netze sehen, was für die DMZ OK ist, aber der Anforderung widerspricht, daß das Netz "INTRANET" aush das Netz "SEMI" nicht sehen darf...Hierfür habe ich der DMZ das Tag 20 und VLAN 2 zugewiesen, während das Intranet Tag 0 behalten und VLAN 1 zugewiesen gekommen hat. Nach dem, was ich gelesen habe, sollte das Netz mit Tag 0 auf alle anderen Netze zugreifen können, jedoch nicht umgekehrt.
Daher muß auch das Netz "INTRANET" ein Tag ungleich 0 erhalten. Damit das Netz "DMZ" trotzdem aus allen Netzen gesehen wird, muß es auch den Typ "DMZ" haben, denn Netze vom Typ "DMZ" sind aus allen Kontexten sichtbar
hast du den Hosts in deinem Intranet auch die richtige Netzmaske gegeben (255.255.255.128)? Denn wenn sie der Meinung sind, sie hätten die Netzmaske 255.255.255.0, dann können sie keinen Host in der DMZ erreichen, da sie ja meinen, der Adreßbereich der DMZ währe in ihrem eigenen Netz...Auf die DMZ kann ich erst zugreifen, wenn ich mich über ein externes Netz und nicht über das Intranet verbinde
Gruß
Backslash
-
informartin
- Beiträge: 3
- Registriert: 18 Nov 2022, 13:27
Re: Trennung DMZ und Intranet
Hi Backslash,
Du hattest Recht, die Netzmaske auf dem Client war falsch gesetzt
Vielen Dank für die Hilfe! Jetzt klappt es so wie erwartet.
Viele Grüße
Martin
Du hattest Recht, die Netzmaske auf dem Client war falsch gesetzt
Vielen Dank für die Hilfe! Jetzt klappt es so wie erwartet.Viele Grüße
Martin