Hallo zusammen,
ich hab da mal so nen Problem:
Ich habe eine CompanyConnect Leitung und verwende einen 1711 als VPN-GW und Firewall. Ich habe zwei PCs, die über eine bestimmte IP aus dem Internet erreichbar sein müssen in die Liste unter IP-Router -> N:N-Mapping eingetragen.
Funktioniert so weit gut, bis ich das Masquerading (1:n) aktiviere, dann haben auch die Beiden die IP des Router.
Gibt es da eine Möglichkeit abgesehen davon die "Server" in eine DMZ zu stellen.
DANKE im voraus für alle Tipps...
n:n und 1:n NAT auf einem Interface, geht das?
Moderator: Lancom-Systems Moderatoren
- telekomisbesser
- Beiträge: 113
- Registriert: 22 Jan 2005, 03:32
- Wohnort: NRW
- Kontaktdaten:
Re: n:n und 1:n NAT auf einem Interface, geht das?
Lass doch das 1:N Masqerading ausgeschaltet. Da es so oder so nur ein entweder 1:N oder N:N gibt.telekomisbesser hat geschrieben:Hallo zusammen,
ich hab da mal so nen Problem:
Ich habe eine CompanyConnect Leitung und verwende einen 1711 als VPN-GW und Firewall. Ich habe zwei PCs, die über eine bestimmte IP aus dem Internet erreichbar sein müssen in die Liste unter IP-Router -> N:N-Mapping eingetragen.
Funktioniert so weit gut, bis ich das Masquerading (1:n) aktiviere, dann haben auch die Beiden die IP des Router.
Gibt es da eine Möglichkeit abgesehen davon die "Server" in eine DMZ zu stellen.
DANKE im voraus für alle Tipps...
Dein Problem löst Du einfach durch entsprechende Firewallregeln. Beispielsweise gibst Du nur die Ports frei, auf denen die Server zur Verfügung stehen sollen. Alle anderen Ports bleiben gesperrt.
Mal abgesehen davon hast Du ja im Pronzip schon eine DMZ mittels des N:N "gebaut". Nur eben dass Deine DMZ die LAN Adresse verwendet.
Mit freundlichen Grüßen
Martin U. Haneke
IT-PARTNER Berlin
Martin U. Haneke
IT-PARTNER Berlin
Hi telekomisbesser
Wenn du es partout nicht willst, dann kannst du die Server über das N:N-Mapping virtuell in die DMZ verschieben und diese unmaskiert weiterleiten ("nur Intranet maskieren")
Gruß
Backslash
Das ist aus Sicherheitsaspekten aber die beste Lösung...Gibt es da eine Möglichkeit abgesehen davon die "Server" in eine DMZ zu stellen
Wenn du es partout nicht willst, dann kannst du die Server über das N:N-Mapping virtuell in die DMZ verschieben und diese unmaskiert weiterleiten ("nur Intranet maskieren")
Gruß
Backslash