Router: 1781VAW
Ich habe ein DMZ-Network mit non-public Adressen 192.168.18.1/24.
Über die Routing-Table ist das IP Masquerading für DMZ aktiviert.
Nun soll ein einzelner Host aus der DMZ zusätzlich über eine eigene public Adresse erreichbar sein.
Dazu habe ich via N:N Address Mapping die non-public Adresse mit der public Adresse gemapped.
Das funktioniert leider nur dann, wenn ich das IP masquerading für die DMZ abschalte.
Dann bekommen jedoch die Hosts ohne Public Adresse ihrerseits Probleme.
Als Zwischenlösung habe ich jetzt erstmal ein Port Forwarding eingerichtet.
Das scheint jedoch nur mit der primären öffentlichen IP-Adresse des Routers zu funktionieren.
Nicht jedoch, mit der eigentlich für den Host in der DMZ vorgesehenen Adresse.
Muss man die sonst noch irgendwo eintragen?
Grundsätzlich "funktioniert" die Public Adress jedoch. Sonst würde ja das Address Mapping mit deaktiviertem IP Masquerading nicht funktionieren.
Falls jemand einen hilfreichen Tip oder eine Idee hat, würde ich mich freuen.
DMZ mit N:N Address Mapping und IP Masquerading
Moderator: Lancom-Systems Moderatoren
Re: DMZ mit N:N Address Mapping und IP Masquerading
Hi cmuxr
trag einfach beim Portforwarding in der Spalte "WAN-Adresse" die öffentliche Adresse ein, für die das Forwarding gelten soll...
Gruß
Backslash
trag einfach beim Portforwarding in der Spalte "WAN-Adresse" die öffentliche Adresse ein, für die das Forwarding gelten soll...
Gruß
Backslash
Re: DMZ mit N:N Address Mapping und IP Masquerading
Das meinte ich mit
Wenn ich dort eine eintrage, funktioniert es nicht.Das scheint jedoch nur mit der primären öffentlichen IP-Adresse des Routers zu funktionieren.
Nicht jedoch, mit der eigentlich für den Host in der DMZ vorgesehenen Adresse.
Re: DMZ mit N:N Address Mapping und IP Masquerading
Hi cmuxr,
ganz ehrlich: wenn das mit dem Portforwarding nicht funktioniert, denn dann kommen die Pakete für die Adresse auch nicht bei dir an... (dann hilft aber auch kein N:N-NAT...)
Die WAN-Adresse im Port-Forwarding-Eintrag ist genau für dein Szenario da
Das ist aber auch ein Server der maskierbare Dienste anbietet (also TCP- oder UDP-Basiert)?. Anpingen wirst du den Server nicht können.
Gruß
Backslash
ganz ehrlich: wenn das mit dem Portforwarding nicht funktioniert, denn dann kommen die Pakete für die Adresse auch nicht bei dir an... (dann hilft aber auch kein N:N-NAT...)
Die WAN-Adresse im Port-Forwarding-Eintrag ist genau für dein Szenario da
Das ist aber auch ein Server der maskierbare Dienste anbietet (also TCP- oder UDP-Basiert)?. Anpingen wirst du den Server nicht können.
Gruß
Backslash
Re: DMZ mit N:N Address Mapping und IP Masquerading
OK, jetzt klappt zumindest das Portforwarding. Es war wohl noch eine alte Firewallrule aktiv, die den Zugriff verhinderte.
Via N:N-Nat klappt es leider weiterhin nicht. Natürlich habe ich das jetzt mit einer anderen Adresse probiert.
Via N:N-Nat klappt es leider weiterhin nicht. Natürlich habe ich das jetzt mit einer anderen Adresse probiert.
Re: DMZ mit N:N Address Mapping und IP Masquerading
Hi cmuxr,
Gruß
Backaslash
N:N-NAT funktioniert nur ohne Maskierung...Via N:N-Nat klappt es leider weiterhin nicht. Natürlich habe ich das jetzt mit einer anderen Adresse probiert.
Gruß
Backaslash
Re: DMZ mit N:N Address Mapping und IP Masquerading
Ist es irgendwie möglich die Maskierung für einzelne Hosts oder Subnetze in der DMZ zu deaktivieren?
Re: DMZ mit N:N Address Mapping und IP Masquerading
Hi cmuxr,
BTW: Wenn du die Maskierzungs-Option auf "nur intranet maskieren" stellst (= unmaskierte DMZ), dann wird nur das direkte Netz einer DMZ nicht maskiert, d.h. Wenn du über einen Router in der DMZ in ein weiteres Netz routest, werden die Adressen dieses Netzes wieder maskiert. Vielleicht kannst du das ja darüber lösen. Du könntest aber auch eine unmaskierte DMZ nehmen und für alle Rechner, die in der DMZ stehen und maskiert werden sollen, ein Policy-Based-NAT über die Firewall einrichten
Ich frage mich allerdimngs: wieso willst du unbedingt ein N:N-NAT für die eine Adresse machen - bzw. was hast du gegen das Portforwarding?
Gruß
Backslash
nein... es geht nur alles oder nichtsIst es irgendwie möglich die Maskierung für einzelne Hosts oder Subnetze in der DMZ zu deaktivieren?
BTW: Wenn du die Maskierzungs-Option auf "nur intranet maskieren" stellst (= unmaskierte DMZ), dann wird nur das direkte Netz einer DMZ nicht maskiert, d.h. Wenn du über einen Router in der DMZ in ein weiteres Netz routest, werden die Adressen dieses Netzes wieder maskiert. Vielleicht kannst du das ja darüber lösen. Du könntest aber auch eine unmaskierte DMZ nehmen und für alle Rechner, die in der DMZ stehen und maskiert werden sollen, ein Policy-Based-NAT über die Firewall einrichten
Ich frage mich allerdimngs: wieso willst du unbedingt ein N:N-NAT für die eine Adresse machen - bzw. was hast du gegen das Portforwarding?
Gruß
Backslash
Re: DMZ mit N:N Address Mapping und IP Masquerading
Weil es nur jetzt eine Adresse und ein Host ist.
So muss ich halt jeden Host einzeln eintragen.
Aber trotzdem danke.
So muss ich halt jeden Host einzeln eintragen.
Aber trotzdem danke.