Hallo!
Kann ich ein Port Forwarding aus der DMZ (192.168.1.0 ETH2) ins Intranet (192.168.2.0 ETH1) (192.168.2.2 Port 3389 TCP) einrichten?
Wenn ja, wie? Die Schnittstelle DMZ gibt es nicht im Port-Forwarding...
Router: LANCOM 1781VA-4G
Oder kann ich das vorhandene Port Forwarding Port 3389 zu 192.168.2.1 über die DSL-Leitung nutzen?
Also dem PC in der DMZ in der RDP als Adresse die öffentliche IP angeben?
Kann es im Moment leider nicht testen. Ist aber sehr wichtig für Montag!
Gruß René
PS: Ich habe mir gerade die Sache mit den Schnittstellentags angesehen. Das wäre auch eine Alternative.
Also ETH2 (1er Netz) Tag=1 und ETH1 (2er-Netz) Tag=0
Dann Route eintragen ip 192.168.2.2 mask 255.255.255.255 gw 192.168.2.1 Tag=1
Geht das so?
Was muss ich dann in der Firewall eintragen, damit nur RDP erlaubt wird?
DMZ mit priv. IP Port Forwarding ins Intranet
Moderator: Lancom-Systems Moderatoren
Re: DMZ mit priv. IP Port Forwarding ins Intranet
Hallo,
nochmal für mich zum Verständnis: Du möchtest aus der DMZ heraus einen PC im Intranet erreichen. Widerspricht das nicht dem Sinn einer DMZ? Warum steht der zu erreichende Server nicht in der DMZ?
Gruß hyperjojo
nochmal für mich zum Verständnis: Du möchtest aus der DMZ heraus einen PC im Intranet erreichen. Widerspricht das nicht dem Sinn einer DMZ? Warum steht der zu erreichende Server nicht in der DMZ?
Gruß hyperjojo
Re: DMZ mit priv. IP Port Forwarding ins Intranet
Eigentlich will ich 2 getrennte Intranet-Netzwerke erstellen.
1x LAN und 1x Gast.
Beide sollen ins Internet kommen und nicht untereinander kommunizieren dürfen bis auf den Terminalserverzugang.
Für die Gäste wollte ich die DMZ nutzen, aber wenn es auch anders geht mit VLAN oder so gerne...
1x LAN und 1x Gast.
Beide sollen ins Internet kommen und nicht untereinander kommunizieren dürfen bis auf den Terminalserverzugang.
Für die Gäste wollte ich die DMZ nutzen, aber wenn es auch anders geht mit VLAN oder so gerne...
Re: DMZ mit priv. IP Port Forwarding ins Intranet
Ja, dann mach' es doch:
Dann noch ETH-1 -> LAN-1 und ETH-2 -> LAN-2, sowie eine Firewall-Regel, die RDP erlaubt. Fertig.
Viele Grüße,
Jirka
Code: Alles auswählen
cd /Setup/TCP-IP/Network-list
del *
tab Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
add "INTRANET" 192.168.2.1 255.255.255.0 0 LAN-1 loose Intranet 1 "local intranet"
add "GASTWLAN" 192.168.1.1 255.255.255.0 0 LAN-2 loose Intranet 2 "separates WLAN-Netz fuer Gaeste"
Viele Grüße,
Jirka
Re: DMZ mit priv. IP Port Forwarding ins Intranet
Danke Jirka!
Aus Deiner Tabelle wird ich nicht ganz schlau. Du hast im Netzwerk ein Routing-Tag angegeben, aber über die GUI kann ich nur ein Schnittstellen-Tag angeben
Ich habe das 2er Netz mit Schnittstellen-Tag 0 belassen und "Gast" (1er Netz) mit Schnittstellen-Tag 1 versehen und auf LAN3 definiert, da LAN2 schon DMZ war.
Dann ETH3 auf LAN3 gesetzt.
Dann habe ich eine Firewall-Regel "RDP-an-TS-erlauben" erstellt mit Quelltag 1, Aktionen="ACCEPT", Stationen Quelle="192.168.1.0" Mask=255.255.255.0, Ziel="192.168.2.2" (TS), Ziel="RDP".
Routing habe ich unverändert gelassen.
Oder muss ich noch zusätzlich ein Routing mit Routing-Tag=1 erstellen vom 1er-Netz (192.168.1.0, mask=255.255.255.0) zum Router (TS=192.168.2.2, mask 255.255.255.255)?
Aus Deiner Tabelle wird ich nicht ganz schlau. Du hast im Netzwerk ein Routing-Tag angegeben, aber über die GUI kann ich nur ein Schnittstellen-Tag angeben
Ich habe das 2er Netz mit Schnittstellen-Tag 0 belassen und "Gast" (1er Netz) mit Schnittstellen-Tag 1 versehen und auf LAN3 definiert, da LAN2 schon DMZ war.
Dann ETH3 auf LAN3 gesetzt.
Dann habe ich eine Firewall-Regel "RDP-an-TS-erlauben" erstellt mit Quelltag 1, Aktionen="ACCEPT", Stationen Quelle="192.168.1.0" Mask=255.255.255.0, Ziel="192.168.2.2" (TS), Ziel="RDP".
Routing habe ich unverändert gelassen.
Oder muss ich noch zusätzlich ein Routing mit Routing-Tag=1 erstellen vom 1er-Netz (192.168.1.0, mask=255.255.255.0) zum Router (TS=192.168.2.2, mask 255.255.255.255)?
Re: DMZ mit priv. IP Port Forwarding ins Intranet
Hi rt1970,
Für welche Lösung du dich entscheidest, hängt davon ab, ob das Gastnetz aus dem INTRANET gesehen werden soll oder nicht. Wenn das INTRANET weiterhin das Tag 0 behält, so ist das Gastnetz für das INTRANET sichtbar (umgekehrt aber nicht). Wenn du ihm ein anderes Tag gibst, dann ist das Gastnetz für das INTRANET unsichtbar.
Gruß
Backslash
Routing-Tags und Schnittstellen-Tags sind hier synonym...Aus Deiner Tabelle wird ich nicht ganz schlau. Du hast im Netzwerk ein Routing-Tag angegeben, aber über die GUI kann ich nur ein Schnittstellen-Tag angeben
Da du eine Regel erstellst, die zwischen verschieden getaggten Netzen vermittelt, mußt du in der Regel auch das Routing-Tag setzen... Da aber ein Tag 0 in der Firewall bedeutet, daß ein etwaig vorhandenes Tag (hier 1) nicht angepackt wird, mußt du entweder deinem INTRANET ein Tag ungleich 0 geben oder in der Firewall statt des Tags 0 das Tag 65535 setzen...Dann habe ich eine Firewall-Regel "RDP-an-TS-erlauben" erstellt mit Quelltag 1, Aktionen="ACCEPT", Stationen Quelle="192.168.1.0" Mask=255.255.255.0, Ziel="192.168.2.2" (TS), Ziel="RDP".
Routing habe ich unverändert gelassen.
Für welche Lösung du dich entscheidest, hängt davon ab, ob das Gastnetz aus dem INTRANET gesehen werden soll oder nicht. Wenn das INTRANET weiterhin das Tag 0 behält, so ist das Gastnetz für das INTRANET sichtbar (umgekehrt aber nicht). Wenn du ihm ein anderes Tag gibst, dann ist das Gastnetz für das INTRANET unsichtbar.
Gruß
Backslash