Router (zwei Netze, Empfänger/Absender einschränken)

[fernmelder 10]

Hallo zusammen,

 

wir wollen unser LAN Netzwerk (192.168.0.x) an ein zweites LAN (10.10.210.x) koppeln.

 

Der Datenverkehr soll aber natürlich restriktiv sein, d.h. nur eine IP Adresse aus dem 192.168.0.x Bereich (unser Exchange Server) soll aus dem 10er Netz ansprechbar sein. Wir möchte nicht, dass aus dem 10er Netz andere Bereiche erreicht werden können.

 

In beiden Netzen haben wir folgende IP Adressen zur freien Verfügung (für den Router):

 

192.168.0.200 (192er Netz)

10.10.210.210 (10 Netz)

 

Meine Frage:

 

Wie kann ich den Bintec 1200 konfigurieren, damit er sämtliche Anfrage vom 10er Netz ausschließlich an unseren Exchange im 192er Netz weiterschickt/durchlässt UND umgekehrt? Gibt es eigentlich die Möglichkeit, dass ich einfach den Router so konfiguriere, dass er sämtliche Anfragen von z.B. ETH-1 an ETH-2 weiterleitet und anhand einer Access List den Traffic nur auf eine bestimmte IP Adresse einschränke? Oder muss ich ETH-1 erstmal eine IP in dem 192er Netz geben und der ETH-2 eine 10er Adresse, damit der Router erstmal seine Beinchen in beiden Netzen hat?

 

 

Vielen Dank.

[cschra 10]

Hi,

 

sind die beiden Netze physikalisch getrennt und sollen nur durch den Router verbunden werden? Ansonsten wäre doch VLan ein Stichwort für dich...

 

Grüße

[fernmelder 10]

die Netze sind physikalisch getrennt. Ich hab praktisch ein Netzwerkkabel vom 10er Switch und ein Netzwerkkabel vom 192er Switch in der Hand ;-)

[fernmelder 10]

Nochmals zum Verständnis. Ich will einfach nur erreichen, dass aus dem 10er Netz nur auf eine einzige 192er IP zugegriffen werden kann.

[DominikD 10]

Ich würde eine ACL hinterlegen. deny ip Any Any ausser eben dieser eine Adresse. Den mit permit freigeben.

Schnell gemacht und sicher.

[fernmelder 10]

Das Problem ist, dass hinter dem 10er Bereich und dem 192er Bereich zwei Server stehen, die Daten austauschen sollen (Exchange). Sprich, ich muss ja dann irgendwie natten bzw. eine Weiterleitung einrichten. Nur weiß ich nicht, wie das gehen soll.

[DominikD 10]

Wenn ich dein Netz grob verstehe:

 

A= 192er Netz am Switch

B= Router

C=10er Netz

 

Der Router müsste eigentlich, wenn du die Interface richtig configuriert hast, die Netze erkennen. Legst ganz normal deine Routingtabelle an und fertig.

Natten brauchst du nicht. Da es ja beide privte Adress sind und nicht ins öffendliche Netz gehen.

Bis jetzt erreichen alle Adressen noch alles. Um das zu unterbinden legste an den Router Interface die ACL ein.

[fernmelder 10]

Ja, meine Frage ist:

 

An meinem Bintec sind ja mehrere Interfaces, insgesamt 5 Stück.

 

So.

 

Ein Interface ( ETH-1 )ist für das 192er Netz.

Das anderer Interface ( ETH-2 ) für das 10er Netz.

Mehr brauch ich ja nicht.

 

Muss ich zwangsläufig das Interface so konfigurieren, dass ich diesem z.B. für das 192er Netz auch eine 192er Adresse zuweisen muss - also dem Interface?

 

Beispiel:

 

Im 192er Netz gibt es einen 192.168.0.200 Exchange Server.

Im 10er Netz gibt es einen 10.10.200.200 Exchange Server.

 

Wenn ich nun den 10er Exchange Server vom 192er Exchange erreichen will (zweiter SMTP Relay), muss ich ja erstmal dem 192er Exchange die IP des 10er Exchange Servers mitteilen. Dafür muss ja eine Route hinterlegt werden, damit das System überhaupt weiß, wohin die Pakete geschickt werden sollen.

 

Also gebe ich z.B. dem ETH-1 eine freie 192er IP Adresse und de ETH-2 eine freie 10er IP Adresse, damit der Router erstmal in beiden Netzen sein Beinchen drin hat. Richtig?

 

Danach lege ich eine ACL an, die quasi nur den Verkehr zwischen dem 192er Exchange und dem 10er Exchange erlaubt.

 

Das müsste dann alles sein, oder?

[DominikD 10]

Ja, meine Frage ist:

 

An meinem Bintec sind ja mehrere Interfaces, insgesamt 5 Stück.

 

So.

 

Ein Interface ( ETH-1 )ist für das 192er Netz.

Das anderer Interface ( ETH-2 ) für das 10er Netz.

Mehr brauch ich ja nicht.

 

Muss ich zwangsläufig das Interface so konfigurieren, dass ich diesem z.B. für das 192er Netz auch eine 192er Adresse zuweisen muss - also dem Interface?

 

Beispiel:

 

Im 192er Netz gibt es einen 192.168.0.200 Exchange Server.

Im 10er Netz gibt es einen 10.10.200.200 Exchange Server.

 

Wenn ich nun den 10er Exchange Server vom 192er Exchange erreichen will (zweiter SMTP Relay), muss ich ja erstmal dem 192er Exchange die IP des 10er Exchange Servers mitteilen. Dafür muss ja eine Route hinterlegt werden, damit das System überhaupt weiß, wohin die Pakete geschickt werden sollen.

 

Die Destination sollte auf den Exchange Server hinterlegt sein.

 

Also gebe ich z.B. dem ETH-1 eine freie 192er IP Adresse und de ETH-2 eine freie 10er IP Adresse, damit der Router erstmal in beiden Netzen sein Beinchen drin hat. Richtig?

 

Ja genau. Wenn du keine gültigen IP-Adressen vergibst dann wird es nicht klappen.

 

Danach lege ich eine ACL an, die quasi nur den Verkehr zwischen dem 192er Exchange und dem 10er Exchange erlaubt.

 

Das müsste dann alles sein, oder?

 

Genau das stimmt soweit.

[fernmelder 10]

Okay, danke dir. Dann werde ich das am Montag mal testen. Vielen Dank!

[DominikD 10]

Okay, danke dir. Dann werde ich das am Montag mal testen. Vielen Dank!

 

Und wie lief es bei dir, Fernmelder?

[fernmelder 10]

Ich bin noch nicht dazu gekommen. Ich werde davon aber berichten, keine Frage ;)

[fernmelder 10]

Es gibt Neuigkeiten.

 

Wir haben ja zwei Netze:

 

192.168.0.x (192er Netz)

10.10.210.x (10 Netz)

 

Wir haben jetzt von dem Betreiber des 10er Netzes eine Firewall erhalten, die wir anschließen sollen. Diese Firewall hat zwei Ports.

 

a) 192.168.0.40

b) 10.5.210.110

 

Diese Firewall sollen wir nun zwischen die beiden Netze hängen. Da ich keinen Zugriff auf die Firewall habe und ich nicht einfach ein Beinchen der Fremd-Firewall in unser Netz hängen möchte, habe ich mir überlegt, dass ich vor die Firewall einen unserer Router platziere und somit den Traffic von unserer Seite nochmals einschränke. Hintergrund ist einfach der, dass ich sicherstellen möchte, dass Anfragen aus dem 10er Netz über die Fremd-Firewall ausschließlich auf unseren 192.168.0.200 Exchange gelangen und mehr nicht.

 

Unser Router soll also nur Anfragen zwischen 192.168.0.200 (unser Exchange) und 192.168.0.40 (Fremd-Firewall) zulassen.

Der Rest unseres 192er Netzes sollte für die Fremd-Firewall nicht sichtbar/erreichbar sein.

 

Unser Bintec-R1200 Router hat 5 Ports. Da der Ein- und Ausgang im selben IP Bereich liegt, kann ich hier nun einfach unserem Router eine (!) frei 192er Adresse (z.B. 192.168.0.30) zuweisen, die aber gleichzeitig auf Bintec Interface en1-0 und en1-1 lauscht?

 

Dann connecte ich en1-0 auf den 192er Switch und en1-1 klemme ich an den Firewall Port 192.168.0.40?

 

Kurze Skizze:

 

[DominikD 10]

 

Unser Bintec-R1200 Router hat 5 Ports. Da der Ein- und Ausgang im selben IP Bereich liegt, kann ich hier nun einfach unserem Router eine (!) frei 192er Adresse (z.B. 192.168.0.30) zuweisen, die aber gleichzeitig auf Bintec Interface en1-0 und en1-1 lauscht?

 

Dann connecte ich en1-0 auf den 192er Switch und en1-1 klemme ich an den Firewall Port 192.168.0.40?

 

 

Nein, das geht nicht. Du brauchst für jedes deiner Interface eine eigene IP Adresse. Sprich Richtung FW zB die 192.168.0.41 und Richtung LAN die 192.168.0.42.