Hallo,
ein 9100+ hängt an einem /28er Netz (BITEL). Es gibt eine "echte" DMZ, mehrere Hosts verfügen so über eine dedizierte öffentliche IP. So will man es haben.
Nun möchte ein zweites Unternehmen ebenfalls von dieser Verbindung profitieren.
Ich habe also eine zweite DMZ angelegt (IP-Adressen wie die erste) und auf ein separates VLAN gelegt.
Jetzt aber werden eingehende Verbindungen aber nur noch an die zweite DMZ weitergereicht, die Rechner in der ersten DMZ kommen zwar 'raus, sind aber nicht mehr erreichbar.
Was habe ich falsch gemacht ?
Welche alternative Lösung bietet sich für mich an ?
Zwei DMZ einrichten
Moderator: Lancom-Systems Moderatoren
Re: Zwei DMZ einrichten
Hi Koppelfeld,
ganz nebenbei: in dem Szenario müßte eingentlich das IDS der Firewall anspringen wenn aus der anderen DMZ Pakete kommen (oder hast du das schon stummgeschaltet, weil es vermeindlich Fehlarlame geworfen hat?)...
Gruß
Backslash
Grundlagen des IP-Routings mißachtet... Es kann beim Ziel hat nur einen geben... Wer das ist, hängt vermutlich vom Zufall ab (bzw. wann welches Interfce aktiv wird und sein Netz in die FIB einträgt). Ein show ipv4-fib wird dir sagen, an welches Interface vom WAN einkommende Sessions geroutet werden.Jetzt aber werden eingehende Verbindungen aber nur noch an die zweite DMZ weitergereicht, die Rechner in der ersten DMZ kommen zwar 'raus, sind aber nicht mehr erreichbar.
Was habe ich falsch gemacht ?
ganz nebenbei: in dem Szenario müßte eingentlich das IDS der Firewall anspringen wenn aus der anderen DMZ Pakete kommen (oder hast du das schon stummgeschaltet, weil es vermeindlich Fehlarlame geworfen hat?)...
Gruß
Backslash
-
Koppelfeld
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Zwei DMZ einrichten
Moinsen !
Und nach meinem Verständnis "bridges" der Router WAN und DMZ.
Wie löse ich aber mein Problem, "Tochterfirma bekommt vom LANCOM ein Interface mit öffentlicher IP aus dem vorhandenen WAN-Range" ?
Gruß nach Aachen
Naja, es gibt natürlich keine identischen IPs in den beiden DMZ.
Und nach meinem Verständnis "bridges" der Router WAN und DMZ.
Ah, das ist interessant, danke.Wer das ist, hängt vermutlich vom Zufall ab (bzw. wann welches Interfce aktiv wird und sein Netz in die FIB einträgt). Ein show ipv4-fib wird dir sagen, an welches Interface vom WAN einkommende Sessions geroutet werden.
Wie löse ich aber mein Problem, "Tochterfirma bekommt vom LANCOM ein Interface mit öffentlicher IP aus dem vorhandenen WAN-Range" ?
Gruß nach Aachen
Re: Zwei DMZ einrichten
Hi Koppelfeld
Beipiel:
du bekommst vom Provider 172.23.56.0/28. Dann nimmt deine Zentrale sich 172.23.56.0/29 und die Tochterfirma bekommt die 172.23.56.8/29. Dann richtest du noch ein Transfernetz zwischen den beiden Routen ein, z.B. 192.168.23.40/30 und gibst der Zentrale die 41 und der Tochterfirma die 42... Dann brauchst du nur noch eine Route zur Tochterfirma über das Transfernetz:
Wenn du dabei nicht zweimal Netz- und Broadcast-Adresse verlieren willst, trägst du in beiden Routern das ganze /28er als lokales Netz ein (mußt aber sicherstellen, daß wirklich verwendeten Adressen in den Netzen eindeutig bleiben)
Gruß
Backslash
hier heißt das Stichwort "Subnetting"... Du teilst das /28er Netz quasi in 2 /29er Netze, von denen die Tochter-Firma eins bekommt. In Richtung der Tochterfirma richtest du ein Transfer-Netz ein und legst dann eine Route für das Subnetz der Tochterfirma auf die IP, die der Router der Tochterfirma im Transfernetz hat (ja du brauchst da einen Router)Wie löse ich aber mein Problem, "Tochterfirma bekommt vom LANCOM ein Interface mit öffentlicher IP aus dem vorhandenen WAN-Range" ?
Beipiel:
du bekommst vom Provider 172.23.56.0/28. Dann nimmt deine Zentrale sich 172.23.56.0/29 und die Tochterfirma bekommt die 172.23.56.8/29. Dann richtest du noch ein Transfernetz zwischen den beiden Routen ein, z.B. 192.168.23.40/30 und gibst der Zentrale die 41 und der Tochterfirma die 42... Dann brauchst du nur noch eine Route zur Tochterfirma über das Transfernetz:
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment
===========================================================--------------------------------------------------------------------------
172.23.56.8 255.255.255.248 0 0 192.168.23.40 0 No Yes
Wenn du dabei nicht zweimal Netz- und Broadcast-Adresse verlieren willst, trägst du in beiden Routern das ganze /28er als lokales Netz ein (mußt aber sicherstellen, daß wirklich verwendeten Adressen in den Netzen eindeutig bleiben)
Gruß
Backslash
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: Zwei DMZ einrichten
Wenn es sich um öffentliche IP Adressen handelt, dann pack doch die Kunden einfach ins selbe VLAN. Wieso trennen wenn sie sich danach eh sehen können...
-
Koppelfeld
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Zwei DMZ einrichten
Hallo,
Bislang bin ich dank LANCOM-DMZ immer um Subnetting herumgekommen.
Die Tochterfirma braucht nur eine IP, die Zentrale jede Menge (Neppshop, Fernzugriff, Telemetriedienste, EMA ...). Wenn ich ein Bit abknapse, halbiere ich die Anzahl möglicher IPs für die Zentrale.
Dann würde ich es anders machen: Eine zusätzliche dedizierte IP auf einem der Infrastrukturrechner und mit iptables n:m alles weitergeben.
Der Admin der Tochterfirma ist womöglich ein Grüner und könnte die ganze Firma lahmlegen.
Oder es kommt ein Heiopei mit irgendwelchen "Web-Kameras" und richtet diese fachmännisch ein. Oder mit SONOS-Lautsprechern. Im schlimmsten Fall einer Fritzbox.
Alle genannten Beispiele haben echtes (und unfreiwillig selbst erprobtes) Killerpotential.
Da dachte ich, man könnte mit 2. DMZ und Routing-Tag etwas abmildern.
ABER: HA!: Muß es bei LANCOM eigentlich eine Netzmaske à la CIDR sein, mit zusammenhängenden Bits ? Oder kann die Maske auch "Zahnlücken" enthalten ?
Vielleicht bekomme ich damit etwas hin.
Danke für das schöne Beispiel -- aber genau DAS wollte ich verhindern.
Bislang bin ich dank LANCOM-DMZ immer um Subnetting herumgekommen.
Die Tochterfirma braucht nur eine IP, die Zentrale jede Menge (Neppshop, Fernzugriff, Telemetriedienste, EMA ...). Wenn ich ein Bit abknapse, halbiere ich die Anzahl möglicher IPs für die Zentrale.
Dann würde ich es anders machen: Eine zusätzliche dedizierte IP auf einem der Infrastrukturrechner und mit iptables n:m alles weitergeben.
Das war mein Grund für die 2. DMZ.Wenn du dabei nicht zweimal Netz- und Broadcast-Adresse verlieren willst, trägst du in beiden Routern das ganze /28er als lokales Netz ein (mußt aber sicherstellen, daß wirklich verwendeten Adressen in den Netzen eindeutig bleiben)
Der Admin der Tochterfirma ist womöglich ein Grüner und könnte die ganze Firma lahmlegen.
Oder es kommt ein Heiopei mit irgendwelchen "Web-Kameras" und richtet diese fachmännisch ein. Oder mit SONOS-Lautsprechern. Im schlimmsten Fall einer Fritzbox.
Alle genannten Beispiele haben echtes (und unfreiwillig selbst erprobtes) Killerpotential.
Da dachte ich, man könnte mit 2. DMZ und Routing-Tag etwas abmildern.
ABER: HA!: Muß es bei LANCOM eigentlich eine Netzmaske à la CIDR sein, mit zusammenhängenden Bits ? Oder kann die Maske auch "Zahnlücken" enthalten ?
Vielleicht bekomme ich damit etwas hin.
Re: Zwei DMZ einrichten
Hi Koppelfeld
Wobei ich mich frage: wieso eigentlich nicht: Das ist doch eine DMZ - also aus dem Internet erreichbare Adressen. Wieso soll dann die Tochterfirma die Hosts nicht sehen dürfen, die sonst jeder aus dem Internet sehen darf?
Und wenn einer deiner Rehcner das (n:m) NAT übernimmt, dann ist die Tochterfirma auch schon in deinem Netz...
BTW: ich kommentiere den politisch nicht korrekten Teil des Post nicht. Der Kommentar wäre genauso politisch inkorrekt, würde nur gegen die b(.)au(.)en schießen (l,r bzw. n darf sich jeder in gewünschter Weise einsetzen)
Gruß
Backslash
du kannst der Tochterfirma auch ein /31-Netz geben, dann gehen Zentrale nur 2 Adressen verloren (eigentlich nur eine, denn eine soll die Tochterfirma ja eh bekommen). Das ändert nichts am Beipiel - außer den Netzmasken...Die Tochterfirma braucht nur eine IP (...) Wenn ich ein Bit abknapse, halbiere ich die Anzahl möglicher IPs für die Zentrale.
Du kannst die Tochterfirma auch "einfach" maskieren lassen und bei ihr ein Portforwarding einrichten, wenn die eh nur eine IP braucht... Dann muß sie aber im selben VLAN stehen, wie deine Zentrale - nur das wolltest du ja nicht...Eine zusätzliche dedizierte IP auf einem der Infrastrukturrechner und mit iptables n:m alles weitergeben.
Wobei ich mich frage: wieso eigentlich nicht: Das ist doch eine DMZ - also aus dem Internet erreichbare Adressen. Wieso soll dann die Tochterfirma die Hosts nicht sehen dürfen, die sonst jeder aus dem Internet sehen darf?
Und wenn einer deiner Rehcner das (n:m) NAT übernimmt, dann ist die Tochterfirma auch schon in deinem Netz...
BTW: ich kommentiere den politisch nicht korrekten Teil des Post nicht. Der Kommentar wäre genauso politisch inkorrekt, würde nur gegen die b(.)au(.)en schießen (l,r bzw. n darf sich jeder in gewünschter Weise einsetzen)
Die Maskenbits müssen zusammehängen (sonst ist ein effektives Routing nicht möglich - Stichwort: Patricia-Trie)ABER: HA!: Muß es bei LANCOM eigentlich eine Netzmaske à la CIDR sein, mit zusammenhängenden Bits ? Oder kann die Maske auch "Zahnlücken" enthalten ?
Gruß
Backslash
-
Koppelfeld
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Zwei DMZ einrichten
Moin !
BTW: ich kommentiere den politisch nicht korrekten Teil des Post nicht. Der Kommentar wäre genauso politisch inkorrekt, würde nur gegen die b(.)au(.)en schießen (l,r bzw. n darf sich jeder in gewünschter Weise einsetzen)
Du sitzt im Elfenbeinturm mit intellektuellen Kollegen. Ich sage Dir mal, was ich vorfand:
Zwei Cat.7 - Strippen über gut 200 Meter. Ging natürlich nicht. Habe die Jungs angewiesen, etwa in der Mitte einen Kasten mit einem Repeater hinzustellen. Der manifestierte sich in einem Billig-D-Link, unmanaged. Die beiden ankommenden und die beiden gehenden Strippen waren alle vier eingesteckt. Schaltschrank in 12 m Höhe.
Also, ich glaube das einfach nicht.
Gottseidank haben wir im ganzen Netzwerk (etwa 50 Switches) nirgendwo "Spanning Tree", sodaß sich umgehend die Autodetektion einschaltete. Solche "Fachkräfte" hat es nur bei den Grünen. Und ob grün, ob braun: "brown is the new green". Sozusagen zwei Seiten ein- und dergleichen Münze.
Ach so, sorry -- ich vergaß zu erwähnen: Die ersten 8 zusammenhängenden WAN-Adressen sind "heilig" und dürfen nie, nie, niemals nicht verändert werden.
BTW: ich kommentiere den politisch nicht korrekten Teil des Post nicht. Der Kommentar wäre genauso politisch inkorrekt, würde nur gegen die b(.)au(.)en schießen (l,r bzw. n darf sich jeder in gewünschter Weise einsetzen)
Du sitzt im Elfenbeinturm mit intellektuellen Kollegen. Ich sage Dir mal, was ich vorfand:
Zwei Cat.7 - Strippen über gut 200 Meter. Ging natürlich nicht. Habe die Jungs angewiesen, etwa in der Mitte einen Kasten mit einem Repeater hinzustellen. Der manifestierte sich in einem Billig-D-Link, unmanaged. Die beiden ankommenden und die beiden gehenden Strippen waren alle vier eingesteckt. Schaltschrank in 12 m Höhe.
Also, ich glaube das einfach nicht.
Gottseidank haben wir im ganzen Netzwerk (etwa 50 Switches) nirgendwo "Spanning Tree", sodaß sich umgehend die Autodetektion einschaltete. Solche "Fachkräfte" hat es nur bei den Grünen. Und ob grün, ob braun: "brown is the new green". Sozusagen zwei Seiten ein- und dergleichen Münze.
OK. Danke.Die Maskenbits müssen zusammehängen (sonst ist ein effektives Routing nicht möglich - Stichwort: Patricia-Trie)
Re: Zwei DMZ einrichten
Hi Koppelfeld,
bei genauem überlegen, kannd du das auch mit den zwei ursprünglichen DMZs lösen - inden du den DMZs verschiedene Routing-Tags gibst und per Firewallregeln einkommenden Sessions das passende Tag zuweist - das geht solange gut, solange es keine doppelt vergbenen Adressen gibt
Gruß
Backslash
bei genauem überlegen, kannd du das auch mit den zwei ursprünglichen DMZs lösen - inden du den DMZs verschiedene Routing-Tags gibst und per Firewallregeln einkommenden Sessions das passende Tag zuweist - das geht solange gut, solange es keine doppelt vergbenen Adressen gibt
Gruß
Backslash
-
Koppelfeld
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Zwei DMZ einrichten
Hallo !
Danke. So geht es gut.backslash hat geschrieben: ↑18 Dez 2023, 11:29 bei genauem überlegen, kannd du das auch mit den zwei ursprünglichen DMZs lösen - inden du den DMZs verschiedene Routing-Tags gibst und per Firewallregeln einkommenden Sessions das passende Tag zuweist - das geht solange gut, solange es keine doppelt vergbenen Adressen gibt