DMZ zum LAN routen

MichaelF · Beitrag von **MichaelF** » 13 Sep 2006, 14:34

Hallo Gemeinde,

ich habe ein LC1722 mit FW 6.13. und kann von der DMZ nicht ins LAN routen. Die Konfiguration ist so:

Firewall Deny All (ohne Bedinung), Einzelne Ports sind nur für die Default Route, andere nur für die VPN Route freigegeben.

Router Intranet IP ist 100.100.120.50 / 255.255.255.0 mit DHCP vom Lancom, DMZ IP ist 100.100.100.50 / 255.255.255.0 mit DHCP vom w2k Server. Die ETH Ports sind alle 'privat'. In den TCP/IP Einstellungen ist der DMZ: DMZ-1 und dem Intranet: LAN-1 zugewiesen.

Die DMZ wird "nur" als 2. lokales Netz verwendet. Nun möchte ich vom 100.100.100.0 Netz aus der DMZ ins LAN 100.100.120.0 routen.

Dabei gibt die Firewall ein Fehler aus (Deny All). Wird eine Regel "übertrage (ohne Bedinung) vom 100.100.100.0 / 255.255.255.0 Netz zum Netz 100.100.120.0 / 255.255.255.0" eingerichtet gibt es kein Fehler mehr. Die Rechner im anderen Netz sind aber trozdem nicht erreichbar, erreichbar ist lediglich der Router unter beiden IPs 100.100.100.50 und 100.100.120.50.

Bei einer Telnetsitzung am Router sind IPs in beiden Netzen erreichbar.

Muss in diesem Fall im IP Router Modul noch eine Route angelegt werden? Wie müsste die aussehen: IP 100.100.120.0 / 255.255.255.0 Router 100.100.100.50 oder 100.100.120.50?

Vielen Dank für sachdienliche Hinweise.

Gruß
Michael

eddia · Beitrag von **eddia** » 13 Sep 2006, 15:43

Hallo Michael,

Dabei gibt die Firewall ein Fehler aus (Deny All). Wird eine Regel "übertrage (ohne Bedinung) vom 100.100.100.0 / 255.255.255.0 Netz zum Netz 100.100.120.0 / 255.255.255.0" eingerichtet gibt es kein Fehler mehr.

ist auf Grund Deiner deny all Regel auch logisch.

Die Rechner im anderen Netz sind aber trozdem nicht erreichbar, erreichbar ist lediglich der Router unter beiden IPs 100.100.100.50 und 100.100.120.50.

Wissen die Hosts in beiden Netzen, wie sie das jeweils andere Netz erreichen bzw. ist der Lancom überall als default route (Standardgateway) eingetragen? Ansonsten könnte ein Routertrace nicht schaden.

Muss in diesem Fall im IP Router Modul noch eine Route angelegt werden? Wie müsste die aussehen: IP 100.100.120.0 / 255.255.255.0 Router 100.100.100.50 oder 100.100.120.50?

Nein - der Lancom weiss selbst, wie er direkt angeschlossene Netze erreicht.

Gruß

Mario

MichaelF · Beitrag von **MichaelF** » 13 Sep 2006, 17:42

Es geht, die "andern" Rechner bekommen ja in dem Fall die Anfragen aus einem andern Netz, die waren noch in der Firewall der Rechner geblockt.

Jetzt habe ich nur noch das Problem das die VoIP Telefone aus der DMZ (100.100.100.0) die lokale VoIP-Domäne mehr nicht finden - Error 404.

eddia · Beitrag von **eddia** » 13 Sep 2006, 21:20

Hallo Michael,

Es geht, die "andern" Rechner bekommen ja in dem Fall die Anfragen aus einem andern Netz, die waren noch in der Firewall der Rechner geblockt.

wer setzt denn solchen Firlefanz ein? Sollte man jetzt immer vorab fragen, ob in einem LAN dieser Mist aktiv ist?

Gruß

Mario