Ein Server mit zwei Netzwerkkarten in zwei Netzwerken

[Schweizerin 1]

Ein Windows-Server befindet sich mit zwei verschiedenen Netzwerkkarten in zwei verschiedenen Netzbereichen A und B, zwischen denen mit einer Firewall geroutet wird. Er hat nur auf dem Netzwerkadapter A einen Default-Gateway, der andere kann nur lokal kommunizieren (B). Für den Server existieren zwei A-Records im DNS.

 

Anforderung1: Hosts in B sollen den Server auf der Netzwerkkarte B kontaktieren und Hosts in A sollen den Server nur auf der Netzwerkkarte A kontaktieren. Zu deutsch, Hosts in A und B sollen per Switch auf den Server zugreifen, nicht geroutet. Reicht es dafür aus, einfach nur zwei DNS-A-Records auf dem DNS-Server anzulegen und die Hosts wissen automatisch, dass sie den A-Record in ihrem lokalen Netz benutzen?

 

Anforderung2: Hosts in C sollen den Server über A kontaktieren, erstens weil die Firewall keine Zugriffe von C nach B lässt und zweitens weil der Server nur in A einen Default-Gateway hat. Wenn ich wegen Anforderung1 zwei A-Records habe, dann erfährt ja ein Host in C auch zwei Adressen. Wie löst man das?

[testperson 1.728]

Hi,

 

warum 2 NICs wenn die Firewall so oder so routet?

Ansonsten Routing unterbinden für Netz A und B und entsprechend logisch/physisch trennen. Netz A und C dann über die Firewall routen.

 

Gruß

Jan

[Schweizerin 1]

Hi,

 

warum 2 NICs wenn die Firewall so oder so routet?

Ansonsten Routing unterbinden für Netz A und B und entsprechend logisch/physisch trennen. Netz A und C dann über die Firewall routen.

 

Gruß

Jan

 

Zwei NICs deshalb, weil Switching nun mal schneller ist als Routing und weil nun mal Hosts aus zwei verschiedenen Netzen mit maximaler Performance (es geht hier im File-Dienste) auf den Server zugreifen können müssen. Die von weiter draußen © haben das Performanceproblem nicht.

 

Die zweite Zeile verstehe ich nicht. Erstens sind die Netzte mit VLANs logisch und physisch getrennt (außer dass es neben dem Server eine Firewall gibt, der wie der Server in beiden Netzen hängt) und zweitens beantwortet die Zeile nicht die Frage nach den DNS-Einträgen.

 

Wenn ich mir deine Antwort im Thread nebenan anschaue, dann habe ich den Eindruck bei dir geht es um Masse und nicht um Klasse. Überall eine Antwort hinleiern, egal ob sie passt oder verständlich ist.

[magheinz 110]

Das umgehen der firewall bringt meisten mehr Probleme als deren korrekte Konfiguration.

Erlaubt doch einfach die notwendigen Zugriffe in der Firewall. Für Netz C müsst ihr die doch eh anfassen.

[Schweizerin 1]

Das umgehen der firewall bringt meisten mehr Probleme als deren korrekte Konfiguration.

Erlaubt doch einfach die notwendigen Zugriffe in der Firewall. Für Netz C müsst ihr die doch eh anfassen.

 

Du meinst ich soll dem Server nur einen LAN-Port in einem Netz (A) geben, nur in einem Netz (A) per Switching an diesem Server einbinden und die anderen (B und C) sollen grundsätzlich nur geroutet statt geswitcht darauf zugreifen? Was bei C ja sowieso der Fall wäre, aber bei B sehe ich Performanceprobleme.

[testperson 1.728]

Wenn ich mir deine Antwort im Thread nebenan anschaue, dann habe ich den Eindruck bei dir geht es um Masse und nicht um Klasse. Überall eine Antwort hinleiern, egal ob sie passt oder verständlich ist.

Ja, stimmt. Am Ende des Tages gucke ich auf meine Beitragszahlen, stelle mich vor den Spiegel, bewundere meinen Adonis-Körper und Küsse meinen Bizeps :*

À la bonne heure! Bin ich Gut.

 

Adieu!

[gaijin 20]

 

 

Wenn ich mir deine Antwort im Thread nebenan anschaue, dann habe ich den Eindruck bei dir geht es um Masse und nicht um Klasse. Überall eine Antwort hinleiern, egal ob sie passt oder verständlich ist.

 

Hallo,

 

ich finde diese Bemerkung doch mehr als Respektlos. Gerade die hier befindlichen Veteranen investieren sehr viel Zeit und Schweiss um anderen wie Dir Unterstützung anzubieten.

Das ganze wohlgemerkt kostenlos.

 

Ausserdem, die gestellten Fragen erachte ich als überaus sinnig und hätte diese sicher auch gestellt.

Mit solchen Bemerkungen schießt Du Dich leider selber ins Aus.

 

Viel Spass weiterhin mit der Problemlösung.

[magheinz 110]

Du meinst ich soll dem Server nur einen LAN-Port in einem Netz (A) geben, nur in einem Netz (A) per Switching an diesem Server einbinden und die anderen (B und C) sollen grundsätzlich nur geroutet statt geswitcht darauf zugreifen? Was bei C ja sowieso der Fall wäre, aber bei B sehe ich Performanceprobleme.

Definitiv.

Die Firewall trennt die Netze ja nicht umsonst.

Alternativ kannst du auch einfach die beiden Netze zusammenfassen und dir die Firewall sparen. Dein Server verbindet die beiden Netze ja sowieso...

[TheLeader 61]

Ich verstehe das so, du hast da 2 Netze, logisch und physikalisch getrennt ( A und B ), desweiterem greift C (vermutlich Internet) über A auf den Server zu. Die Komunikiation zwischen beiden ( A,B ) wird über eine FW geroutet. Jetzt hast du einen Server welcher logisch und physikalich in beiden Netzen hängt?

Da ich davon ausgehe das A - A und B - B ohne FW laufen, frage ich mich. Wie löst du die Sicherheitsbedenken?
simples Beispiel:
In C sitz ein Angreifer der auf B zuzugreifen will, laut FW Regel kann er das nicht. Dadurch das es ein Gerät gibt welches A und B aber verbindet kann er dieses quasi als Gateway nutzen.

Das dieses Problem immer besteht ist mir auch klar, aber durch die physikalische Verbindung machst du es dem Angreifer viel einfacher.

bearbeitet 2. August 2016 von TheLeader

[Daniel -MSFT- 129]

Mal unabhängig von der Firewall, wo ich auch es gefährlich finde, parallel einen Server mit zwei eigentlich getrennten Netzen zu verbinden, hier eine Antwort, falls mal jemand via Suchmaschine auf diesen Thread stößt: Das Zauberwort heißt Subnetzpriorisierung: https://technet.microsoft.com/en-us/library/cc961422.aspx