wieder einmal DMZ LANCOM 1811

[reflect]

Halli Hallo,

nachdem ich wohl versucht habe alle Handbücher und Knowledgebases durch zu forsten und dann dieses Forum, möchte ich mich jetzt an euch wenden, da ich keine andere Möglichkeit mehr habe.

Ich habe 2 Private von einander getrennte Netze und einen öffentlichen IP Kreis (stellvertretend 217.217.217.32/255.255.255.248). ein Netz 10.0.0.0/255.255.255.0 ist das Intranet und soll maskiert werden - in dem anderen Netz 10.0.1.56/255.255.255.248 stehen einige Server (3stk) die in eine DMZ sollen und dort über die öffentliche IP Adressen erreichbar sein.
Kleine Besonderheit: vor dem Lancom steht noch ein Cisco-Router mit der Adresse 217.217.217.33.

Das Intranet war schnell eingerichtet und wird maskiert (nur Intranet nicht DMZ) - damit war das kein Problem und funktioniert auch. Dabei ist LAN-1 = Intranet und LAN-2 = DMZ gesetzt.

Dann hab ich die DMZ als 10.0.1.58/255.255.255.248, wie in http://www2.lancom.de/kb.nsf/19a2fb5f69 ... enDocument
beschrieben, eingetragen und auch die N:N1 Tabelle so angelegt das ein Rechner 10.0.1.60/255.255.255.255 auf 217.217.217.36 umgesetzt wird.

In der Firewall ist außer dem NETBIOS Eintrag nichts drin was behindern könnte (Standard Einstellung). Eine oeffentliche IP Adressvergabe in der DMZ ist nicht erwuenscht, aber mit groesseren Aufwand realisierbar (dann gehts auch sicherlich).

Ergebnis: Internet geht, von der DMZ kann ich den Router pingen. Vom Intranet bekomm ich sowohl über die Private als auch die öffentliche Adresse den Server in der DMZ nicht zu sehen. Auch von einem entfernten Server kann ich die öffentliche Adresse nicht pingen/erreichen.

Was mir noch nicht ganz klar ist: Der LANCOM muss doch die Adresse 217.217.217.36 selbst besitzen - um sie auf die Private Adresse umzuschreiben? Muessen nicht auch Routing-Eintraege dazukommen?

Das Netz in dem vorherigen Zustand mit einer IPCopFirewall funktioniert seit 3 Jahren nur halt nicht mit dem LANCOM, den ich viel lieber - weil geräuschlos und mit VPN - einsetzen möchte.

falls ihr eine Idee zur Lösung, sagt bescheid

Ich schicke bei Bedarf auch in einer privaten Nachricht die Netzwerktopologie als PDF rüber.

Dankeschön
reflect

[mugh]

Hallo,

ich habe hier fast die selbe Konfiguration, jedoch kein eigenes Subnet für die DMZ.

Das Intranet war schnell eingerichtet und wird maskiert (nur Intranet nicht DMZ) - damit war das kein Problem und funktioniert auch. Dabei ist LAN-1 = Intranet und LAN-2 = DMZ gesetzt.

So wie ich Deine Konfiguration verstehe, musst Du jedoch DMZ UND INTRANET auf der Defaultroute maskieren. Bisher finden Deine Datenpakete zwar den Weg aus dem Internet hinein, jedoch nicht wieder hinaus.

In der Firewall ist außer dem NETBIOS Eintrag nichts drin was behindern könnte (Standard Einstellung). Eine oeffentliche IP Adressvergabe in der DMZ ist nicht erwuenscht, aber mit groesseren Aufwand realisierbar (dann gehts auch sicherlich).

In die Firewall sollte eine Eintrag hinein, der sinngemäß ALLOW_DMZ_INCOMING (auf den gewünschten Ports) und _OUTGOING ermöglicht.

Ergebnis: Internet geht, von der DMZ kann ich den Router pingen. Vom Intranet bekomm ich sowohl über die Private als auch die öffentliche Adresse den Server in der DMZ nicht zu sehen. Auch von einem entfernten Server kann ich die öffentliche Adresse nicht pingen/erreichen.

Ping von der WAN-Seite ist natürlich nur möglich, wenn Du das im Router von der WAN-Seite aus explizit zugelassen hast.

Was mir noch nicht ganz klar ist: Der LANCOM muss doch die Adresse 217.217.217.36 selbst besitzen - um sie auf die Private Adresse umzuschreiben? Muessen nicht auch Routing-Eintraege dazukommen?

Die Adresse hast Du in Kommunikation -> Protokolle -> IP-Parameter bereits eingegeben. Damit "weiss" der LANCOM wo draußen ist.

Wo DMZ ist, weiss er einerseits aus TCP-IP -> Allgemein -> DMZ-IP-Adresse und DMZ-Netzmaske. Eventuell hast Du ein Interface zu einem dedizierten DMZ-IF gemacht (siehe Interfaces -> Ethernetports). Das allerdings ist nciht unbedingt notwendig.

Da per Default alle Netze mit 10.0.0.0 / 8 blockiert werden, solltest Du den Eintrag in IP-Router -> Routing -> Routingtabelle entsprechend anpassen, oder aber weiter oben einen expliziten Eintrag für Dein 10.0.0.0/29 Netz anlegen. Deaktivieren reicht aber aus, da der Router ja "weiss", wo die DMZ ist, nämlich an einem seiner Ports.