Öffentliche und die DMZ Adressem

[RRo]

Hallo, ich habe von Provider die IP Range 112.9.183.160/27 zugeordnet bekommen.
Folgende Konfiguration habe ich:
VDLS (eth1) „Internet“ die Provider Range eingegeben
LAN2 (eth2) „DMZ“ habe ich das Netz 172.16.0.0
LAN3 (eth3) „Intranet“ habe ich das Netz 192.168.0.0

So jetzt möchte ich, das alle Anfragen z.B. 112.9.183.168 zur IP Adresse 172.16.0.200 weitergeleitet werden und wenn die 172.16.0.200 eine Kommunikation in Internet aufbaut die öffentliche IP 112.9.183.168 nutzt. Es geht nicht um eine einfache Portweiterleitung.
Bei der vorherigen Firewall (Fortigate) war die Konfiguration recht einfach. Dort nannte sich der Konfigurationspunkt „Virtual IP Addresses (VIPs)“. Hier hat man einfach die öffentliche und die DMZ Adresse eingeben und ggf. auch gleich noch das Protforwarting (siehe Anhang).

Was wäre bei Lancom der richtige Weg.

Danke für euere Unterstützung.

[Koppelfeld]

So jetzt möchte ich, das alle Anfragen z.B. 112.9.183.168 zur IP Adresse 172.16.0.200 weitergeleitet werden und wenn die 172.16.0.200 eine Kommunikation in Internet aufbaut die öffentliche IP 112.9.183.168 nutzt. Es geht nicht um eine einfache Portweiterleitung.

Das ist der einzige Haken bei LANCOM: Es gibt kein 'Destination NAT'.

Allerdings habe ich einen Verdacht: Warum nutzt Du für die DMZ überhaupt 1918er Adressen ?
Kann es sein, daß dies eine "Notlösung" war ?
Mit dem LANCOM können sich die "INTERNET"- und "DMZ" - Adreßbereiche überschneiden, dennoch kannst Du Regeln anwenden, weil in diesem Fall innerhalb eines Netzes "geroutet" wird.

Vielleicht ist es eine Option für dich, Deinen Servern in der DMZ gleich die öffentlichen IPs zu verpassen.

[RRo]

Danke für die Antwort. Eine Notlösung war das eigentlich nicht. In dem 172.16er Netz sind ca. 15 Systeme (Server, NAS, etc.) die auch stellenweiße untereinander kommunizieren z.B. Server mit NAS.
Ein Teil der Systeme muss mit dem Internet sprechen, sowohl eingehend als auch ausgehend. Die ausgehenden Verbindungen gehen teilweiße zu Kunden in deren DMZ und die wiederum prüfen die ankommende (unsere IP). Deshalb war das für mich ein eleganter Weg die „Virtual IP Addresses (VIPs)“ der Fortigate. Die Rechner im 172.16er Netz konnten ohne großen Aufwand kommunizieren und man konnte einfache Regel anlegen, wer darf was vom Internet zur DMZ und von der DMZ zum Internet anfragen. Scheinbar kann man das mit Lancom wohl nicht umsetzen

[Koppelfeld]

Danke für die Antwort. Eine Notlösung war das eigentlich nicht. In dem 172.16er Netz sind ca. 15 Systeme (Server, NAS, etc.) die auch stellenweiße untereinander kommunizieren z.B. Server mit NAS.
Ein Teil der Systeme muss mit dem Internet sprechen, sowohl eingehend als auch ausgehend. Die ausgehenden Verbindungen gehen teilweiße zu Kunden in deren DMZ und die wiederum prüfen die ankommende (unsere IP). Deshalb war das für mich ein eleganter Weg die „Virtual IP Addresses (VIPs)“ der Fortigate. Die Rechner im 172.16er Netz konnten ohne großen Aufwand kommunizieren und man konnte einfache Regel anlegen, wer darf was vom Internet zur DMZ und von der DMZ zum Internet anfragen. Scheinbar kann man das mit Lancom wohl nicht umsetzen

Doch. Zumindest mit einem /27er Netz. Du spendierst halt jedem Rechner statt der 'privaten' eine öffentliche IP in der DMZ. Nun ergibt sich, daher Fullquote:
- Die Server können untereinander
- und, sofern eine Regel existiert, mit dem Internet kommunizieren,
- die Server gehen logischerweise mit den 'richtigen', ihnen zugewiesenen Adressen 'raus
- und man kommt auch vom Intranet aus an die DMZ.

Man muß sich nur vergegenwärtigen, daß der LANCOM den Traffic auch dann zwischen DMZ und Internet "routet", wenn sich die Netze überschneiden oder sogar kongruent sind. Damit habe ich mich im Anfang sehr schwergetan, aber nachdem man ohne Probleme eigentlich nur noch /29er Netze bekommt, habe ich dieses Feature als Segen kennengelernt. Wenn Du eine DMZ "klassisch" geteilt hast, bleiben Dir gerade einmal zwei nutzbare Adressen übrig.

[backslash]

Hi RRo,

das LANCOM hat zwar kein "Destination-NAT", du kanst dein Problem aber dennoch lösen...

• Richte dazu ein IP-Netz mit den öffentlichen Adressen ein und stellen seinen Netzwerk-Typ auf "DMZ".
• Stelle auf deinem bisherigen Netz "DMZ" den Netzwerk-Typ auf "Intranet".
• Stelle in der IP-Routing-Tabelle für die Default-Route die Makierungs-Option auf "nur Intranet maskieren"
• Richte nun für jeden Server, der in deiner 172.16.x.x-DMZ liegt und der nach aussen mit einer öffentlichen Adresse auftreten soel ein N:N-NAT ein, bei dem die seien Quell-adresse in die öffentliche DMZ mappst.
• Trenne einmal die Internet-Verbindung, damit die NAT-Eintellungen wirksam werden

danach sollte es wie gewünscht funktionieren. Dennoch ist es sinnvoller ganz ohne NAT zu arbetien und die betroffenen Server direkt in die öffentliche DMZ zu stellen

Gruß
Backslash

[Koppelfeld]

[*]Richte nun für jeden Server, der in deiner 172.16.x.x-DMZ liegt und der nach aussen mit einer öffentlichen Adresse auftreten soel ein N:N-NAT ein, bei dem die seien Quell-adresse in die öffentliche DMZ mappst.

Das ist chic - dadurch, daß die Verbindung jetzt über den Router geht, kann man das N:N - Mapping verwenden.

Hast Du noch einen Trick für eine zweite "Standardsituation" ?

Es greift jemand, typischerweise zu Wartungszwecken, per "Port Forwarding" auf ein Netz zu. Kann ich es irgendwie schaffen, dessen Quelladresse N:N umzusetzen ?

[backslash]

Hi Koppelfeld,

Es greift jemand, typischerweise zu Wartungszwecken, per "Port Forwarding" auf ein Netz zu. Kann ich es irgendwie schaffen, dessen Quelladresse N:N umzusetzen ?

leider gar nicht... Entweder un machst ein portforwarding oder N:N-NAT...
Oder meinst du: wie bekommt er eine Adresse aus dem lokalen Netz? Da würde ich doch eher eine VPN-Einwahl nutzen - das wäre sowieso sinnvoller als ein direkter Zugang aus dem Internet (per Portforwarding) für einen User mit Adminrechten...

Ansonsten kannst du dir natürlich mit einem weiteren NAT-Router im LAN, einem Transfernetz und Policy-Based-Routing etwas zaubern, so daß der User erst per Policy-Based-Routing auf den NAT-Router weitergeleitet wird und dieser den User dann ins Intarent NATtet...

Gruß
Backslash