1781A - 2 Blöcke öffentliche IP-Adressen Routing und Firewall-Regel für DMZ

[pioneer-support]

Bei uns im Haus gibt es jetzt einen zweiten Block öffentlicher IP-Adressen (nicht fortlaufende IP-Adressen). Den wollen wir in Zukunft nutzen um einen RAS-Server (DirectAccess) für den VPN-Zugang in der DMZ bereitzustellen (mit öffentlicher IP-Adresse). Das bestehende Netz läuft einwandfrei. Allerdings funktioniert im Moment das Routing vom neuen IP-Bereich in die DMZ nicht.

Folgendes Setting ist vorhanden:
Router 1781A – LCOS 10.42
vorgelagerter Cisco Router FTTH (vom ISP)

bestehendes Netz (PRODUKTIV)
IP: 217.69.246.245
Netzmaske: 255.255.255.252

Neues Netz (NEU)
IP: 85.232.31.193
GW: 85.232.31.198
Netzmaske: 255.255.255.248

Folgende Einstellungen wurden am Lancom Router gesetzt:

Ethernet-Ports:
ETH1 = DSL-1
ETH2 = Lan-1 (INTRANET)
ETH3 = DSL-2
ETH4 = Lan-4 (DMZ)

Kommuniaktions-Layer
PRODUKTIV |Ethernet | transparent | transparent |ETH
NEU |Ethernet | transparent | transparent |ETH

Gegenstellen (DSL)
PRODUKTIV | Layer „PRODUKTIV“ | MAC-Adresse „local“ | DSL-Port 1
NEU | Layer „NEU“ | MAC-Adresse „local“ | DSL-Port 2

IP-Parameter
PRODUKTIV (alle Werte, GW, DNS eingetragen)
NEU (alle Werte, GW, DNS eingetragen)

IP-Netzwerke
INTRANET | 192.168.10.254 | 255.255.255.0| Typ: Intranet |VLAN:1 | LAN-1 | Tag:0
DMZ | 85.232.31.193 | 255.255.255.248 | Typ: DMZ | VLAN:0 | LAN-4 | Tag:1

Routing-Tabelle
Default-Route für INTRANET
255.255.255.255 | 0.0.0.0 | Tag:0 | Maskierung: AN
Default-Route für DMZ
255.255.255.255 | 0.0.0.0| Tag:1 | Maskierung: nur Intranet

FW-Regel
Quelle: RAS-Server (85.232.31.194) | Ziel: beliebig | Routing-Tag: 1
neues Stations-Objekt erstellt „Alle Stationen im lokalen Netzwerk – DMZ“
(testweise) Quelle: beliebig | Ziel: DMZ-Netz| Routing-Tag: 1

Ergebnis
Im LAN-Monitor sind beide DSL-Kanäle verbunden
IP: 85.232.31.193 und 85.232.31.198 per Ping aus dem INTRANET zu erreichen
Server in der DMZ 85.232.31.194 kann keine andere IP erreichen

Ich habe mich an diesen Einträgen orientiert:

fragen-zum-thema-firewall-f15/firewall- ... 13277.html
lancom-systems-router-aeltere-modelle-f ... 10343.html
fragen-zur-lancom-systems-routern-und-g ... 18352.html
viewtopic.php?p=98235&hilit=DMZ+einrichten#p98235
fragen-zur-lancom-systems-routern-und-g ... 11898.html

Leider komme ich an diesem Punkt nicht weiter. Wie muss ich die Routing-Tabelle und die Firewall-Regeln anpassen, damit der Server in der DMZ mit seiner öffentlichen IP erreichbar ist?

Danke für eure Unterstützung.

[Dr.Einstein]

Hey,

zwei Themen fallen mir dazu ein:

1) Du solltest deinen beiden WAN Verbindungen unterschiedliche MAC-Adressen geben. Die Auswahl lokal ist nicht so von Vorteil, das mag vermutlich der vorgeschaltete Cisco nicht so.

2) Hast du an den Proxy ARP gedacht? https://docplayer.org/197431334-Einrich ... essen.html

[backslash]

Hi pioneer-support

wozu richtest du eine zweite DSL-Verbindung ein?
Der Provider muß den Cisco doch nur so konfigfurieren, daß er das neue Netz an das LANCOM routet...

also in Linux-Notation (siehe man route):

Code: Alles auswählen

route add -net 85.232.31.192 netmask 255.255.255.248 gw 217.69.246.245

Dann mußt du das neue Netz im LANCOM nur noch als DMZ anlegen und bist fertig...

Gruß
Backslash

[pioneer-support]

Hallo Einstein,

danke für deine schnelle Antwort.

1) Du solltest deinen beiden WAN Verbindungen unterschiedliche MAC-Adressen geben. Die Auswahl lokal ist nicht so von Vorteil, das mag vermutlich der vorgeschaltete Cisco nicht so.

Ich habe für die Gegenstelle "NEU" eine MAC-Adresse festgelegt (Abwandlung der MAC-Adresse des Lancom Router im letzten Segment -- korrekt?)

2) Hast du an den Proxy ARP gedacht? https://docplayer.org/197431334-Einrich ... essen.html

Ja, das Häkchen war bereits gesetzt.

Allerdings gibt es immer noch keinen Zugriff aus der DMZ ins Internet.

Mir ist auch unklar, warum der Server x.194 in der DMZ per Ping den Lancom Router x.193 und das Gateway x.198 nicht erreichen kann?

Viele Grüße

[pioneer-support]

Hallo backslash,

danke für deine schnelle Antwort.

wozu richtest du eine zweite DSL-Verbindung ein?
Der Provider muß den Cisco doch nur so konfigfurieren, daß er das neue Netz an das LANCOM routet...

Das ist bestimmt die elegantere Lösung. Sollte es nicht aber auch (temporär) mit meinen Ansatz funktionieren?

also in Linux-Notation (siehe man route):

Code: Alles auswählen

route add -net 85.232.31.192 netmask 255.255.255.248 gw 217.69.246.245

Dann mußt du das neue Netz im LANCOM nur noch als DMZ anlegen und bist fertig...

Ich werde mich mit unserem ISP in Verbindung setzten und diese Konfiguration anfragen.

Viele Grüße

[backslash]

Hi pioneer-support,

Sollte es nicht aber auch (temporär) mit meinen Ansatz funktionieren?

nur, wenn der Cisco die beiden Netze auch auf unterschiedliche LAN-Ports ausleitet, denn du mußt im LANCOM dafür auch 2 getrennte Ethernet-DSL-Ports verwenden, weil das LANCOM auf einem Ethernet-DSL-Port nur eine IPOE-Verbindung zuläßt.

Gruß
Backslash

[pioneer-support]

Hallo backslash,

nach einigen „Service-Schwierigkeiten“ hat unser ISP es doch geschafft im Cisco den neuen IP-Block fest auf den alten IP-Block zu routen.

Die IP-Adresse des Lancom Routers in der DMZ-NEU ist per Ping aus dem Internet erreichbar.
Allerdings gibt es immer noch keinen Zugriff aus der DMZ ins Internet.
Das Testsystem 85.232.31.194 in der DMZ-NEU kann per Ping den Lancom Router x.193 nicht erreichen und keine IP-Adresse im Internet.
Folgende Einstellungen sind aktuell im Lancom Router hinterlegt:

Ethernet-Ports:
ETH1 = DSL-1
ETH2 = Lan-1 (INTRANET)
ETH3 = Lan-1
ETH4 = Lan-4 (DMZ-Produktiv, DMZ-NEU)
_____________________
Gegenstellen (DSL)
PRODUKTIV | Layer „PRODUKTIV“ | MAC-Adresse „local“ | DSL-Port 1
_____________________
IP-Parameter
PRODUKTIV (alle Werte, GW, DNS eingetragen)
_____________________
IP-Netzwerke
INTRANET | 192.168.10.254 | 255.255.255.0| Typ: Intranet |VLAN:1 | LAN-1 | Tag:0
DMZ-Produktiv | 217.69.246.245 | 255.255.255.252 | Typ: DMZ | VLAN:0 | LAN-4 | Tag:0
DMZ-NEU | 85.232.31.193 | 255.255.255.248 | Typ: DMZ | VLAN:0 | LAN-4 | Tag:0
_____________________
Routing-Tabelle
Default-Route (nur diese)
255.255.255.255 | 0.0.0.0| Tag:0 | Maskierung: nur Intranet

Es sieht für mich so aus, als ob die Pakte nicht in die neue DMZ weitergeleitet werden. Muss ich für die zweite DMZ einen neuen Eintrag in der Routing-Tabelle erstellen oder gibt es einen anderen Fehler in meiner Konfiguration?

Vielen Dank für deine Unterstützung

[backslash]

Hi pioneer-support,

also wenn der Rechner mitz der 85.232.31.194 das LANCOM unter seiner DMZ-Adresse 85.232.31.193 nicht erreichen kann, dann stimmt die Verkabelung zwischen dem Rechner und dem LANCOM nicht, denn das ist ja ein ganz normales Ping in einem LAN und erstmal völlig unabhängifg davon, ob der Provider irgendwelche Routen im Cisco gesetzt hat oder nicht...

Und klar, wenn du das LANCOM schon nicht anpingen kannst, dann kannst du darüber natürlich auch nichts im Internet - oder anderswo in deinem Netz (z.B. die alte DMZ) - erreichen

Gruß
Backslash