Lord_x 10 Geschrieben 6. Februar 2007 Melden Teilen Geschrieben 6. Februar 2007 Hallo :) Ich habe folgendes Szenario: Beide Netzwerkkarten (LAN und DMZ) sind auf dem gleichen Server. Das LAN Interface am Router läuft über ein VPN und ist mit mehreren Stellen verbunden. Server LAN: IP: 10.x.x.2 Sub: 255.255.255.0 GA: 10.x.x.1 DNS: 10.x.x.2 DNS2: 164.128.36.34 Server DMZ: IP: 63.x.x.10 (4 Adressen zu vergeben) Sub: 255.255.255.248 GA: 63.x.x.129 DNS: 164.128.36.34 DNS: 164.128.36.35 Wenn ich versuche über die DMZ auf den Remote Desktop zuzugreifen, gelingt mir das nicht. Ein Ping funktioniert aber immer. Wenn ich jetzt die LAN- Netzwerkkarte deaktiviere, geht der Remote Desktop über die DMZ IP Adresse. Kann mir jemand eine Lösung sagen? Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 6. Februar 2007 Melden Teilen Geschrieben 6. Februar 2007 Hallo Lord_x, ich weiss nicht, ob es mit Deinem Problem zusammenhängt, aber 3 Punkte fallen mir an der Konfig sofort auf: 1) es gibt 2 Standardgateways 2) das Standardgateway auf dem DMZ-Interface liegt außerhalb der direkt verbundenen Subnetze 3) die DNS-Konfig scheint mir auch nicht ganz durchdacht Gruß Steffen Zitieren Link zu diesem Kommentar
Lord_x 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 1) es gibt 2 StandardgatewaysJa wie kann ich das ändern? Ich muss es ja so machen. Komme ja nicht von der DMZ an die 10.x.x.1 oder bin ich da falsch? 2) das Standardgateway auf dem DMZ-Interface liegt außerhalb der direkt verbundenen SubnetzeDie sind im gleichen Subnetz sorry. 3) die DNS-Konfig scheint mir auch nicht ganz durchdachtDas ist das Problem, wenn jemand kommt dir deine schöne VPN Lösung rausschmeist und durch sowas ersetzt :rolleyes: Gib mir mal noch einen Tipp, dreh schon fast am Rad :wink2: Das mit den 2 Standardgateways ist wahrscheinlich der Punkt glaube ich. Sonst würde es ja nicht gehen, wenn ich die LAN Netzwerkkarte deaktiviere, oder? Danke Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Guten Morgen, 2) das Standardgateway auf dem DMZ-Interface liegt außerhalb der direkt verbundenen SubnetzeDie sind im gleichen Subnetz sorry.Und wie lautet der Eintrag nun tatsächlich? 1) es gibt 2 Standardgateways Ja wie kann ich das ändern? Ich muss es ja so machen. Komme ja nicht von der DMZ an die 10.x.x.1 oder bin ich da falsch? 3) die DNS-Konfig scheint mir auch nicht ganz durchdachtDas ist das Problem, wenn jemand kommt dir deine schöne VPN Lösung rausschmeist und durch sowas ersetzt :rolleyes: Gib mir mal noch einen Tipp, dreh schon fast am Rad :wink2: Ohne nähere Angaben zu Deiner Konfiguration kann man keine Aussagen treffen. Bislang _vermute_ ich folgende Topologie: ~~~ WAN/Internet ~~~ [Router/VPN-Endpunkt?] ~~~ DMZ (63.?.?.10/29) ~~~ [server] ~~~ LAN (10.?.?.2/24) Stimmt das so? Entspricht nicht ganz Deinen bisherigen Angaben. Die Aussage Das LAN Interface am Router läuft über ein VPN und ist mit mehreren Stellen verbunden. versteh ich z.B, nicht. Ebenso diese Aussage: Wenn ich versuche über die DMZ auf den Remote Desktop zuzugreifen, gelingt mir das nicht.Wie lauten kontret die IP-Adressen des Absenders und der Zielstation? Gruß Steffen Zitieren Link zu diesem Kommentar
Lord_x 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 Danke für deine Hilfe Ich habe hier mal ein Schema gemacht: Hilft dir das? IPAdressen sind anderst! Wie gesagt, kann ich so nicht über die DMZ auf den Server zugreifen. Deaktiviere ich die LAN Netzwerkkarte, geht es. Lord_x Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Ehrlich gesagt verstehe ich die Skizze überhaupt nicht. Router und Server haben demnach jeweils nur 2 Interfaces. OK der Router wird vermutlich noch eine DSL-WAN-Strecke haben, aber warum ist der Server sowohl mit dem LAN- als auch mit dem DMZ-Interface des Routers verbunden? Um was für ein VPN handelt es sich und wo wird es ggf. terminiert? Zitieren Link zu diesem Kommentar
Lord_x 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 Ehrlich gesagt verstehe ich die Skizze überhaupt nicht. Router und Server haben demnach jeweils nur 2 Interfaces. Ja das ist richtig. Der Router hat ein LAN und ein DMZ Port. Über beide lässt sich Verbindung mit dem Internet unabhängig aufnehmen aber nur an der DMZ ist der Server von "Aussen" erreichbar. (WAN) OK der Router wird vermutlich noch eine DSL-WAN-Strecke haben, aber warum ist der Server sowohl mit dem LAN- als auch mit dem DMZ-Interface des Routers verbunden? Das weil ich auf dem gleichen Server DMZ und LAN haben muss. Das ist mein Problem. Frag nicht es ist einfach so. In denke der Ansatz mit den zwei verschiedenen Gateways ist nicht ganz richtig. Aber ich kann ja nichts anderes einstellen oder? Zitieren Link zu diesem Kommentar
Tobi72 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Warum ist der Server im LAN und der DMZ? Was ist denn die IP 10.0.0.1? Ist das der Router? Es darf nur ein Standard-Gateway geben... zu dem anderen Bereich setzt man mit 'route add' eine route... Verstehe aber den Aufbau nicht so ganz. Wie sieht das LAN aus? Sind da Subnetze? Welche Konfiguration hat der Router?... usw. Zitieren Link zu diesem Kommentar
Lord_x 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 Warum ist der Server im LAN und der DMZ?Das ist die Empfehlung eines schweizer ISP. Was ist denn die IP 10.0.0.1? Ist das der Router?Nicht ganz 10.10.10.1 auf der LAN Seite. Es darf nur ein Standard-Gateway geben... zu dem anderen Bereich setzt man mit 'route add' eine route... Kannst du mir das mit dem route add genau erklären? habe ich noch nie gebraucht. Verstehe aber den Aufbau nicht so ganz. Wie sieht das LAN aus? Sind da Subnetze? Welche Konfiguration hat der Router?... usw.Der LAN Bereich hat den IP- Bereich von 10.10.10.x. Die 10.10.10.2 ist die IP des Server im LAN. Zusätzlich hat der Server noch eine zweite Netzwerkkarte für DMZ eingebaut, welche 63.63.63.140 lautet. Danke Lord_x Zitieren Link zu diesem Kommentar
Tobi72 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Das ist die Empfehlung eines schweizer ISP.Und du machst alles was die schweitzer sagen? Nein, aber im Ernst. Was hat denn der Server für Aufgaben? Warum muss der in der DMZ sein? Nicht ganz 10.10.10.1 auf der LAN Seite.Das habe ich schon verstanden, aber wenn du nur ein Subnetz auf der Seite hast, für was brauchst du dann überhaupt eine Route in das Netz? Der Server steht doch selbst drin? Und für was braucht die Seite eine Route zur DMZ? Der Server steht doch in der selbst drin... Kannst du mir das mit dem route add genau erklären? habe ich noch nie gebraucht.Geh mal auf Start --> Ausführen. Gib dort 'cmd' ein und drücke Enter... dann gib mal route /? an und der Rest ist eigentlich selbsterklärend. Der LAN Bereich hat den IP- Bereich von 10.10.10.x. Die 10.10.10.2 ist die IP des Server im LAN. Zusätzlich hat der Server noch eine zweite Netzwerkkarte für DMZ eingebaut, welche 63.63.63.140 lautet.Ich verstehe den Sinn davon nicht. Warum muss der Server in der DMZ und im LAN sein? Was ist das für ein Server. In die DMZ gehären Server wie Frontend-Exchange oder Webserver... Aber die sollten dann nur dort sein und nur diese Aufgaben haben. Es mach keinen Sinn einen Server gleichzeitig als Frontend in der DMZ und Backend im LAN einzusetzen. Das ist doch eine riesige Sicherheitslücke. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.