Hallo,
wir haben zwei Netzwerke zu verbinden:
- lokales Netzwerk 10.52.70.0/23
- offizielles Netz von QSC 83.209.x.168/29 (in der DMZ)
der Router bekommt die Adresse (fürs NAT) 83.208.x.168/32.
Soweit ist der LC 1711 VPN jetzt eingestellt, dass wir ins Internet kommen aus allen Teilen, jedoch ist ein zugriff mit SSH von einem Rechner aus dem Netz 10.52.70.0/23 auf einen Server 83.209.x.168/29 nicht möglich. Eine Firewallregel für 10.52.70.0 nach 83.209.x.168/29 existiert. Jedoch keine Verbindung möglich. Schalte ich Firewall/QoS aus, dann geht es. Woran liegt das, was muss noch eingestellt werden?
Danke.
Mfg Pascal
Zwei Netzwerke richtig verbinden
Moderator: Lancom-Systems Moderatoren
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Wenn es mit ausgeschalteter Firewall funktioniert, ist es mit ziemlicher Sicherheit eine Firewallregel, die da greift.
Schau doch mal in den Lanmonitor oder im Webinterface oder Telnet, welche Regel greift während eines Zugriffversuchs.
Gruß
COMCARGRU
Schau doch mal in den Lanmonitor oder im Webinterface oder Telnet, welche Regel greift während eines Zugriffversuchs.
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Ha Scherz! Dazu mußt du natürlich bei allen Regeln eintragen, daß diese ein SNMP Event auslösen. Default ist das nicht unbedingt...
Auch gibt es in Zusammenhang mit SSH gewisse Timing Probleme, bei bestehenden Verbindungen - aber soweit kommst da ja nicht.
Zur Not hau mal die Paßwörter aus deiner Config raus - und schick mir das Ding...
Gruß
COMCARGRU
Auch gibt es in Zusammenhang mit SSH gewisse Timing Probleme, bei bestehenden Verbindungen - aber soweit kommst da ja nicht.
Zur Not hau mal die Paßwörter aus deiner Config raus - und schick mir das Ding...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hui, wenn ich die Config so sehe - ich weis net. Da hab ich noch Fragen:
Ich habt doch statische IPs von QSC bekommen? Warum verwendet ihr dann eine Einwahlverbindung?
Ist die Box direkt an einem Modem ansgeschlossen?
Oder habt ihr als Leitungsabschluß einen Router von QSC? - Das würde ich nämlich erwarten.
Und wenn die LC an einem QSC Router hängt, halte ich die Config für grundsätzlich fehlerhaft.
Aber selbst wenn ihr an einem Modem hängt, ist die DMZ Konfiguration aus meiner Sicht schlicht falsch.
Stelle doch mal bitte den Netzaufbau als Zeichnung dar. Also LAN, WAN, DMZ. - Welches Gerät ist wie angeschlossen: Also die Lancom, die Server, wo sind Switches, das QSC Modem/Router, etc...
Kein einziger Port deiner Box ist in die DMZ (Private Mode) gelegt. Also entweder fahrt ihr eine abstruse DMZ Verdrahtung, oder eure Box ist nicht für die DMZ verantwortlich, dann haben die IP Adressen bei der DMZ Konfiguration aber nichts in der Box verloren. Weg damit!
Von Firewallregeln wage ich nicht zu sprechen, die welche vorhanden ist, kannst du genau so gut löschen. - Ohne abschließende Deny_All, brauchst du auch keine Allow_DMZ. Warum die Regel trotzdem einen Einfluß hat, dürfte eher Backslash beantworten können.
Und dann würde ich die Box mal komplett resetten und neu konfigurieren - also keine alte Config einspielen. Dafür würde ich erstmal soweit es geht die Assis verwenden und erst dann manuell in die Config eingreifen.
Gruß
COMCARGRU
Ich habt doch statische IPs von QSC bekommen? Warum verwendet ihr dann eine Einwahlverbindung?
Ist die Box direkt an einem Modem ansgeschlossen?
Oder habt ihr als Leitungsabschluß einen Router von QSC? - Das würde ich nämlich erwarten.
Und wenn die LC an einem QSC Router hängt, halte ich die Config für grundsätzlich fehlerhaft.
Aber selbst wenn ihr an einem Modem hängt, ist die DMZ Konfiguration aus meiner Sicht schlicht falsch.
Stelle doch mal bitte den Netzaufbau als Zeichnung dar. Also LAN, WAN, DMZ. - Welches Gerät ist wie angeschlossen: Also die Lancom, die Server, wo sind Switches, das QSC Modem/Router, etc...
Kein einziger Port deiner Box ist in die DMZ (Private Mode) gelegt. Also entweder fahrt ihr eine abstruse DMZ Verdrahtung, oder eure Box ist nicht für die DMZ verantwortlich, dann haben die IP Adressen bei der DMZ Konfiguration aber nichts in der Box verloren. Weg damit!
Von Firewallregeln wage ich nicht zu sprechen, die welche vorhanden ist, kannst du genau so gut löschen. - Ohne abschließende Deny_All, brauchst du auch keine Allow_DMZ. Warum die Regel trotzdem einen Einfluß hat, dürfte eher Backslash beantworten können.
Und dann würde ich die Box mal komplett resetten und neu konfigurieren - also keine alte Config einspielen. Dafür würde ich erstmal soweit es geht die Assis verwenden und erst dann manuell in die Config eingreifen.
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
pascalgrabe
- Beiträge: 63
- Registriert: 15 Okt 2005, 18:47
- Wohnort: Kassel
Ja, es sind statische IPs vorhanden. Leider geht an unserem Standort nicht die richtige Leitung des DSL von QSC, die Leitung ist immer noch von der T-Com (leider). Daher müssen wir pppoe fahren. Der LC hängt am DSL Modem der T-Com.COMCARGRU hat geschrieben:
Ich habt doch statische IPs von QSC bekommen? Warum verwendet ihr dann eine Einwahlverbindung?
Ist die Box direkt an einem Modem ansgeschlossen?
Oder habt ihr als Leitungsabschluß einen Router von QSC? - Das würde ich nämlich erwarten.
LAN und DMZ sind an einem Switch, aber in verschiedenen VLANs. (Bisher hatten wir einen Linux Router, der ist aber kaputt, jetzt haben wir den LC, daher kenne ich mich mit dessen konfig noch nicht gut aus. Man muss ja immer alles bis gestern machen....COMCARGRU hat geschrieben: Stelle doch mal bitte den Netzaufbau als Zeichnung dar. Also LAN, WAN, DMZ. - Welches Gerät ist wie angeschlossen: Also die Lancom, die Server, wo sind Switches, das QSC Modem/Router, etc...
)Also mal versuchen:
WAN -- DSL Modem -- LC Port 2 Switch 1 VLAN "intern" (Netz 10.52.70.0/23)
-- LC Port 4 Switch 1 VLAN "dmz" (Netz 83.236.209.168/29)
Die DMZ und LAN kommen ins Internet und umgekehrt. Das Problem nochmal: Ich mit meinem Rechner im LAN möchte nun z.B. per SSH einen Server in der DMZ administrieren, kann aber nicht aus dem lan in die dmz und umgekehrt. Soweit erstmal richtig. Wie route ich das nun mit dem LC richtig damit es geht? Oder ganz anders aufbauen? Ein Server soll aufjedenfall für lan und dmz verfügbar sein, hat eine IP aus dem 83er Netz.
Alle LAN Geräte (PCs, Printserver, WLAN Geräte) haben IPs aus den 10er Netz.
Hmm, ich muss wohl irgendwie das Handbuch verpeilt haben. Welche IP Adressen müssen den Wo in der LC Config rein? Vor allem kommt da immer die Netzadresse rein oder die erste IP von dem Netz?COMCARGRU hat geschrieben: Kein einziger Port deiner Box ist in die DMZ (Private Mode) gelegt. Also entweder fahrt ihr eine abstruse DMZ Verdrahtung, oder eure Box ist nicht für die DMZ verantwortlich, dann haben die IP Adressen bei der DMZ Konfiguration aber nichts in der Box verloren. Weg damit!
Der Router bekommt ja eine IP aus einem weiteren Netz (83.x.y.z/32) von QSC. Wo muss die rein?
Die habe ich auch noch nicht weiter konfiguriert. Das Netz ist derzeit noch im Aufbau. Alles wichtige ist noch hinter einer richtig eingestellten Firewall...COMCARGRU hat geschrieben: Von Firewallregeln wage ich nicht zu sprechen, die welche vorhanden ist, kannst du genau so gut löschen. - Ohne abschließende Deny_All, brauchst du auch keine Allow_DMZ. Warum die Regel trotzdem einen Einfluß hat, dürfte eher Backslash beantworten können.
Werde ich machen sobald ich die Tage wieder fit bin. Müsste dann nurnochmal einen Hint bekommen wo denn nun was für Ips in den LC eingetragen werden müssen, das wäre super!COMCARGRU hat geschrieben: Und dann würde ich die Box mal komplett resetten und neu konfigurieren - also keine alte Config einspielen. Dafür würde ich erstmal soweit es geht die Assis verwenden und erst dann manuell in die Config eingreifen.
Danke vielmals für die Geduld mit mir
Grüße Pascal