Zugriff aus DMZ auf ein System im Intranet

[Pauli]

Hallo.

Ich habe in der DMZ ein Mail-Gateway installiert und kann es auch aus dem Intranet erreichen und konfigurieren. Nun möchte ich das das Gateway die Mails ins Intranet weiterleitet. Dazu habe ich eine FW-Regel erstell, aber das Gateway zeigt mir immer Connection timeout.

Mus ich dafür noch mehr machen als die Regel oder hat jemand eine Idee warum dies scheitert?

Gruß, Pauli

[Pauli]

Also ich habe herausgefunden, dass ich für die DMz ins Intranet eine Route brauche, aber alle versuche diese anzulegen scheitern leider.

Wäre schön wenn jemand einen Tipp hat, vielleciht bin ich ja auf dem falschen Dampfer:

Ich will aus dem Netz DMZ vom Typ Netz (keine öffentlichen Adressen), zugeordnet an LAN-2 mit VLANID und Routing Tag 99 für ein bestimmtes Ziel den Zugriff ins LAN erlauben?

Ich sehe, dass die Pakete, vom Router direkt an das Provider Gateway geschickt werden, statt an das interne Netz. Wie bekomme ich das hin oder wie gehe ich vor, wenn ich will das mein Mail Gateway in der DMZ die gefilterten Mails ins LAN abgeben kann?

Danke, Pauli

[hyperjojo]

hallo,

magst du mal die Infos von den Tabellen IPv4-Netzwerke, IPv4-Routing-Tabelle und deine Firewallregel posten? Evtl. auch noch der Auszug aus dem IP-Router-Trace.

Eigentlich brauchst du nur die erlaubende Firewall-Regel, welche das Ziel-Routing-Tag auch entsprechend ändert. Eine Route zu Netzen die der LANCOM selbst kennt, brauchst du nicht.

Gruß hyperjojo

[Pauli]

Moin hyperjojo,

ich habe den Fehler gefunden, war auf der falschen Spur, dass ich für die DMZ noch was besonderes benötige, obwohl es ein internes Netz ist ...

Alles was gefehlt hat war die 65535als Routing-Tag in der Firewall Regel - habe immer noch ein wenig Schwierigkeiten mit dem Thema

Gruß, Pauli

[Pauli]

Zu früh gefreut. Ich bekomme jetzt zwarvom gateway einen Ping auf den internen Server, aber ein Telnet auf PORT scheitert, obwohl ich keine Einschränkung diesbezüglich mache und auch der Trace nichts zeigt?

Im Trace sieht das so aus:

[Firewall] 2021/02/14 11:56:12,136 Devicetime: 2021/02/14 11:56:12,095
Packet matched rule EINGEHEND_DMZ-PMG_SERVER002-MAIL
DstIP: 192.168.168.22, SrcIP: 172.16.0.247, Len: 60, DSCP: unknown (0x04), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 25, SrcPort: 48294, Flags: S
Seq: 2109402865, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = a5 67 ff b5 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)

packet accepted

[IP-Router] 2021/02/14 11:56:12,136 Devicetime: 2021/02/14 11:56:12,095
IP-Router Rx (LAN-2, DMZ, RtgTag: 0):
DstIP: 192.168.168.22, SrcIP: 172.16.0.247, Len: 60, DSCP: unknown (0x04), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 25, SrcPort: 48294, Flags: S
Seq: 2109402865, Ack: 0, Win: 64240, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = a5 67 ff b5 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: LAN-1 Tx (INTRANET):

Ein Traceroute vom Gateway aus bringt auch dies:

root@pmg:~# traceroute 192.168.168.22 -I
traceroute to 192.168.168.22 (192.168.168.22), 30 hops max, 60 byte packets
1 ROUTER.dmz.local (172.16.0.250) 0.814 ms 0.853 ms 0.922 ms
2 192.168.168.22 (192.168.168.22) 2.714 ms 2.716 ms 2.696 ms

root@pmg:~# traceroute 192.168.168.22 -T
traceroute to 192.168.168.22 (192.168.168.22), 30 hops max, 60 byte packets
1 ROUTER.dmz.local (172.16.0.250) 0.927 ms 1.371 ms 2.018 ms
2 * * *

ICMP geht aber TCP SYN geht nicht! Was habe ich übersehen?

Danke.

[hyperjojo]

hi,

das Zielnetz 192.168.168.0 arbeitet mit Routing-Tag 0?
Der Mailserver hat als Default-Gateway ebenfalls das LANCOM-Gateway?
Der Mailserver hat die Berechtigung, Pakete aus gerouteten Netzen zu verarbeiten?

Gruß hyperjojo

[Pauli]

Oh Mann, manchmal sieht man den Wald vor Bäumen nicht: Die Windows Firewall hat den Zugriff aus dem unbekannten Netz geblockt!

Danke, für Deine Unterstützung und die Ideen zur Lösung!