Hallo,
ist es möglich in einer DMZ vom Lancom-Router 1711 einen WTS-Server zu betreiben, der dann z.B. über eine weitere Netzwerkkarte auf ein lokales Netz (File-Server) zugreifen kann bzw. auf den vom lokalen Netz zugegriffen werden kann?
Und wie sieht das mit der Sicherheit aus?
Danke
WTS in einer DMZ
Moderator: Lancom-Systems Moderatoren
Hallo tneub,
Und selbst ohne Anmeldung kann man einen WTS scriptgesteuert durch das parallele Öffnen vieler Clientsessions in Sekunden in die Knie zwingen.
Gruß
Mario
Eine weitere Netzwerkkarte brauchst Du nicht. Das macht der Lancom mit seiner DMZ schon selbst.st es möglich in einer DMZ vom Lancom-Router 1711 einen WTS-Server zu betreiben, der dann z.B. über eine weitere Netzwerkkarte auf ein lokales Netz (File-Server) zugreifen kann bzw. auf den vom lokalen Netz zugegriffen werden kann?
Einen WTS würde ich nie in eine DMZ stellen. Wer sich dort anmelden kann, hat auch Zugriff auf Deinen Fileserver.Und wie sieht das mit der Sicherheit aus?
Und selbst ohne Anmeldung kann man einen WTS scriptgesteuert durch das parallele Öffnen vieler Clientsessions in Sekunden in die Knie zwingen.
Gruß
Mario
Also mal zur Info, wir haben 4 WTS Server und einen File-Server im Netz.
Über VPN und einem Lancom Router wählen sich bisher unsere Außenstellen ins Lokale Netz ein und arbeiten auf den WTS Servern.
Nun wollten wir für paar spezielle Kunden einen WTS Server davon getrennt aus dem normalen Netz nehmen, auf dem sich die speziellen Kunden dann einwählen können und Ihre Daten bearbeiten/sehen können. Die Daten sollen aber weiterhin auf unserem File-Server liegen. Einwahl für die Kunden erfolgt ebenfalls über VPN. Sie bekommen eigene Logins.
Nun sehen wir 2 Möglichkeiten:
1. Einen 2. DSL Anschluß mit 2. Router über den sich nur die Mandanten
einwählen.
2. Den WTS in die DMZ stellen. Nun hab ich aber eine Skizze bekommen, in der ersichtlich ist, daß eine Verbindung von der DMZ ins lokale Netz über den Router nicht möglich ist. Andersrum schon (lokales Netz in DMZ). Das ist mir eigentlich klar, da die DMZ ja abgeschottet sein soll z.B. bei Webservern u.ä..
Wenn ich aber mittels 2. Netzwerkkarte die Verbindung zum Netz wiederherstelle, dann sollte das doch genauso funktionieren, wie die Variante mit dem 2. DSL Anschluß? Oder hab ich hier einen Denkfehler?
Danke
Über VPN und einem Lancom Router wählen sich bisher unsere Außenstellen ins Lokale Netz ein und arbeiten auf den WTS Servern.
Nun wollten wir für paar spezielle Kunden einen WTS Server davon getrennt aus dem normalen Netz nehmen, auf dem sich die speziellen Kunden dann einwählen können und Ihre Daten bearbeiten/sehen können. Die Daten sollen aber weiterhin auf unserem File-Server liegen. Einwahl für die Kunden erfolgt ebenfalls über VPN. Sie bekommen eigene Logins.
Nun sehen wir 2 Möglichkeiten:
1. Einen 2. DSL Anschluß mit 2. Router über den sich nur die Mandanten
einwählen.
2. Den WTS in die DMZ stellen. Nun hab ich aber eine Skizze bekommen, in der ersichtlich ist, daß eine Verbindung von der DMZ ins lokale Netz über den Router nicht möglich ist. Andersrum schon (lokales Netz in DMZ). Das ist mir eigentlich klar, da die DMZ ja abgeschottet sein soll z.B. bei Webservern u.ä..
Wenn ich aber mittels 2. Netzwerkkarte die Verbindung zum Netz wiederherstelle, dann sollte das doch genauso funktionieren, wie die Variante mit dem 2. DSL Anschluß? Oder hab ich hier einen Denkfehler?
Danke
Nein das funktioniert! Möglichweise mußt du etwas an den Routing Tabellen schrauben, aber das läuft. Was sind denn das für Programme, die deine Kunden benutzen müssen. Haben die solche SW nicht selbst? Dann wäre es vielleicht geschickter, die Daten über einen SSL WebDAV per ISA Server rauszugeben? Je nach Policy natürlich...
Gruß
COMCARGRU
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hallo
nein, die Programme haben die Kunden nicht. Sinn und Zweck dieser Sache ist vor allem ein gemeinsamer Datenbestand, an dem notfalls gemeinsam gearbeitet werden kann und das die Softwarepflege bei uns vor Ort möglich ist.
Der Zugriff auf den FileServer soll auch gestattet werden, aber halt nur auf bestimmte Datenpfade. Ich habe auch sämtliche Programme (Explorer, Eingabeauffordderung, ...), außer das beötigte Programm ansich wegadministriert.
nein, die Programme haben die Kunden nicht. Sinn und Zweck dieser Sache ist vor allem ein gemeinsamer Datenbestand, an dem notfalls gemeinsam gearbeitet werden kann und das die Softwarepflege bei uns vor Ort möglich ist.
Der Zugriff auf den FileServer soll auch gestattet werden, aber halt nur auf bestimmte Datenpfade. Ich habe auch sämtliche Programme (Explorer, Eingabeauffordderung, ...), außer das beötigte Programm ansich wegadministriert.
Hallo tneub,
Aber eigentlich brauchst Du nicht 2 Netze. Für die VPNler, die nur auf den einen WTS zugreifen sollen erstellst Du einfach passende Firewall Regeln.
Gruß
Mario
Sag das doch gleich - dafür benötigst Du gar keine DMZ.Nun wollten wir für paar spezielle Kunden einen WTS Server davon getrennt aus dem normalen Netz nehmen, auf dem sich die speziellen Kunden dann einwählen können und Ihre Daten bearbeiten/sehen können. Die Daten sollen aber weiterhin auf unserem File-Server liegen. Einwahl für die Kunden erfolgt ebenfalls über VPN.
Der Lancom kann 2 IP-Adressbereiche verwalten. Eines dieser Netze kann eine DMZ sein. Und ob ein Zugriff vom Lan auf die DMZ oder umgekehrt möglich ist, wird einzig durch die Konfiguration der Routing Tabelle und der Firewall des Lancoms festgelegt.2. Den WTS in die DMZ stellen. Nun hab ich aber eine Skizze bekommen, in der ersichtlich ist, daß eine Verbindung von der DMZ ins lokale Netz über den Router nicht möglich ist. Andersrum schon (lokales Netz in DMZ). Das ist mir eigentlich klar, da die DMZ ja abgeschottet sein soll z.B. bei Webservern u.ä..
Aber eigentlich brauchst Du nicht 2 Netze. Für die VPNler, die nur auf den einen WTS zugreifen sollen erstellst Du einfach passende Firewall Regeln.
Gruß
Mario