Web- Mailserver DMZ und Intranet nichts funktioniert

whitesharky · Beitrag von **whitesharky** » 13 Mär 2008, 15:34

Hallo Leute,

ich benötige für folgendes Szenario Hilfe. Ich habe im Forum schon gesucht ohne das passende für meine Situation zu finden.

Ich habe einen Lancom 1711, einen Webserver, einen Exchange und ein Intranet.

Der Webserver und der Exchange sollen von extern über SSL erreicht werden können. Klar sollen beide auch von intern erreichbar sein.

Der Webserver und der Exchange haben jeweils 2 Netzwerkkarten für Intern LAN und Extern WAN. Durch die physikalische Trennung über die NICs erhoffe ich mir mehr Sicherheit zum Intranet.

Exchange
NIC1 LAN (10.140.0.11 / 255.255.224.0) / NIC2 WAN 172.16.1.2 /255.255.255.0)
Webserver
NIC1 LAN (10.140.0.12 / 255.255.224.0) / NIC2 WAN 172.16.2.2 /255.255.255.0)

Der Lancom ist über die WAN Schnittstelle über IpoE fester öffentlicher IP mit dem Router des Providers nach extern verbunden. Internet übers Intranet 10.140.0.0 funktioniert.

Ich habe auf dem Lancom 3 IP-Netzwerke eingerichtet. Ein Intranet und 2 DMZ.

Die ETH-Buchse 1 ist die Verbindung zum Intranet 10.140.23.1 / 255.255.224.0.
Die ETH-Buchse 3 ist die Verbindung DMZ Exchange 172.16.1.1 / 255.255.255.
Die ETH-Buchse 4 ist die Verbindung DMZ Webserver 172.16.2.1 / 255.255.255.

Folgendes habe ich schon konfiguriert:

Die Schnittstellenzuordung habe ich gesetzt ETH1 – LAN 1, ETH3 – LAN 3, ETH4 – LAN 4
DHCP Ports LAN 3 und LAN 4 deaktiviert.
Netbiosnetzwerke alle 3 aus
RIP Netzwerke sind auch aus

Nun kann ich vom Exchange und vom Webserver nicht den Lancom über die IP 172.16.1.1 bzw. 172.16.2.1 anpingen. Die LEDs der LAN Buchsen leuchten konstant. Wenn ich einen Ping von den Servern absetze flackert dann die jeweilige LED und das wars. Eine Pingantwort auf dem jeweiligen Server bleibt aber unbeantwortet.
Es ist bestimmt ein Routingproblem???

Weiß Jemand eine Lösung des Problems? Vielleicht ist auch mein Szenario mit den beiden NICs nicht sinnvoll und es gibt eine andere bessere und noch sicherere Lösung. Wäre für eine Antwort und eure Hilfe sehr dankbar.

Gruß
whitesharky

Jirka · Beitrag von **Jirka** » 13 Mär 2008, 15:58

Hallo whitesharky,

gib mal genau Deine definierten IP-Netzwerke an (sind da Schnittstellen-Tags gesetzt?). Hast Du eine Deny-All-Regel in der Firewall?

Nun kann ich vom Exchange und vom Webserver nicht den Lancom über die IP 172.16.1.1 bzw. 172.16.2.1 anpingen. Die LEDs der LAN Buchsen leuchten konstant. Wenn ich einen Ping von den Servern absetze flackert dann die jeweilige LED und das wars. Eine Pingantwort auf dem jeweiligen Server bleibt aber unbeantwortet.
Es ist bestimmt ein Routingproblem???

Das müßte aber gehen ...
Ein Routing-Problem kann in dem Fall ja nicht vorliegen, da von 172.16.1.1 zu 172.16.1.2 ja nicht geroutet werden muss.
Geht der Ping denn am Server an der richtigen NIC raus?

Viele Grüße,
Jirka

whitesharky · Beitrag von **whitesharky** » 13 Mär 2008, 16:19

Hallo Jirka,

die Schnittstellentags sind alle auf 0.

Netzwerkname: Intranet
IP-Adresse: 10.140.23.1 / 255.255.224.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstelle: beliebig
Adressprüfung: flexibel
Tag: 0

Netzwerkname: DMZ_Webserver
IP-Adresse: 172.16.1.1 / 255.255.255.0
Netzwerktyp: DMZ
VLAN-ID: 0
Schnittstelle: LAN 3
Adressprüfung: flexibel
Tag: 0

Netzwerkname: DMZ_Exchange
IP-Adresse: 172.16.2.1 / 255.255.255.0
Netzwerktyp: DMZ
VLAN-ID: 0
Schnittstelle: LAN 4
Adressprüfung: flexibel
Tag: 0

Deny-All-Regel habe ich nicht erstellt. Daran könnte es bestimmt liegen. Ich habe mal eine Regel versucht zu erstellen. Beim Ping vom Server aus kommt jetzt zumindest die Meldung vom Router Zielnetz nicht erreichbar.
Was muss ich bei meiner Konfig als Regel genau einstellen. Muss ich für jedes Netz eine eigene Regel erstellen.

Gruß
whitesharky

Jirka · Beitrag von **Jirka** » 13 Mär 2008, 17:07

Hallo whitesharky,

> NIC1 LAN (10.140.0.11 / 255.255.224.0) / NIC2 WAN 172.16.1.2 /255.255.255.0)

Welche NIC steckt hier jetzt im LANCOM (an ETH 3)?

Viele Grüße,
Jirka

whitesharky · Beitrag von **whitesharky** » 13 Mär 2008, 17:59

Hallo Jirka,

an ETH3 steckt das Netzwerkkabel von der NIC2 aus dem Webserver mit der IP 172.16.1.2.
An ETH4 steckt das Kabel von der NIC2 aus dem Exchange mit der IP 172.16.2.2.

habe im ersten Tread nen'Fehler.

Richtig ist:
Exchange
NIC1 LAN (10.140.0.11 / 255.255.224.0) / NIC2 WAN 172.16.2.2 /255.255.255.0)
Webserver
NIC1 LAN (10.140.0.12 / 255.255.224.0) / NIC2 WAN 172.16.1.2 /255.255.255.0)

Gruß
whitesharky

Jirka · Beitrag von **Jirka** » 14 Mär 2008, 10:55

Hallo whitesharky,

kannst Du denn vom Intranet aus die 172.16.1.1 oder/und 172.16.2.1 anpingen? (Falls Du tatsächlich irgendwelche Deny-All-Firewall-Regeln erfasst haben solltest, mach die mal bitte aus.)

Kann ein normaler Rechner, der sich seine IP per DHCP holt, am ETH 3 oder 4 eingesteckt eine IP beziehen? Wenn nein, dann schalte mal den DHCP-Server für die beiden DMZ-Netze ein, damit wir mal wissen, ob da überhaupt was ankommt.

Irgendwas muss bei Dir nämlich noch faul sein.

Wenn ich einen Ping von den Servern absetze flackert dann die jeweilige LED und das wars.

Die LED am LANCOM, ja? Dann könnte man auch mal einen Trace machen (trace # icmp).

Viele Grüße,
Jirka

whitesharky · Beitrag von **whitesharky** » 14 Mär 2008, 13:18

Hallo Jirka,

jetzt funktioniert es. Ich muss zu meiner Schande gestehen, das ich einen Fehler in der Config übersehen hatte. In der Schnittstellenzuordnung bei ETH-3 und ETH-4 war DSL eingetragen. Mh, obwohl ich wirklich jeweils LAN-3 bzw. LAN-4 ausgewählt hatte. Ist mir heute Morgen aufgefallen. Da war ich frisch und munter.

Jetzt habe ich noch ein anderes Problem. Kannst du mir sagen welche Einstellung ich durchführen muss um von extern auf dem Webserver intern zu kommen? Bis zum Lancom komme ich schon von extern. Es muss doch sicherlich ein Portforwarding eingerichtet werden.

Gruß
whitesharky

Jirka · Beitrag von **Jirka** » 14 Mär 2008, 14:57

Hallo whitesharky,

jetzt funktioniert es. Ich muss zu meiner Schande gestehen, das ich einen Fehler in der Config übersehen hatte.

... und ich rätsel hier rum

Jetzt habe ich noch ein anderes Problem. Kannst du mir sagen welche Einstellung ich durchführen muss um von extern auf dem Webserver intern zu kommen? Bis zum Lancom komme ich schon von extern. Es muss doch sicherlich ein Portforwarding eingerichtet werden.

Ja, genau. LANconfig: IP-Router -> Maskierung -> Port-Forwarding-Tabelle -> Hinzufügen
Anfangs-Port: 80
End-Port: 80
Gegenstelle: (gültige auswählen oder leer lassen)
Intranet-Adresse: 172.16.1.2
Map-Port: 0
Protokoll: TCP
WAN-Adresse: 0.0.0.0
Eintrag aktiv
Kommentar: Webserver

Wenn dann alles geht solltest Du noch mal überlegen, ob Du sicherheitstechnisch nicht doch noch mal was unternimmst, so dass man von den DMZ-Netzen nicht so einfach ins Intranet kommt. Da könnte man das Schnittstellen-Tag der DMZ-Netze einfach auf 1 setzen und schon wäre die ganze Geschichte sicherer.

Viele Grüße,
Jirka

whitesharky · Beitrag von **whitesharky** » 19 Mär 2008, 09:05

Hallo Jirka,

sorry das ich mich jetzt erst wieder melde, war unterwegs.
Danke für den Tipp mit dem Tag. Habe ich umgesetzt. Klappt prima. Habe nur noch das Problem das ich von extern nicht auf den Apache komme. Intern funktioniert es. Ich weiß nur noch nicht ob es am Lancom liegt oder an der Apachekonfiguration. Obwohl ich den Lancom mal ausschließe da mir im Lanmonitor Firewallereignisse der Zugriff mit grünen Kreis und Häkchen angezeigt wird. Apache ist Neuland für mich.

Gruß
whitesharky