heckenbichler 10 Geschrieben 18. Januar 2004 Melden Teilen Geschrieben 18. Januar 2004 hi, Hab etwas schwierigkeiten. Mein Ziel ist folgendes: Ich hab ein physisches Netzwerk, auf dem 2 Firmen zugreifen. Ich muss aber die eine Firma von der anderen abschotten (nenne ich jetzt netzwerk A mit 192.168.0.x und B 192.168.2.x). Jetzt habe ich einen switch mit 24 ports. auf dem hab ich für 12 ports ein vlan eingerichtet, die restlichen sind auf dem default_vlan. Somit können die beiden firmen sich schon mal untereinander nicht mehr sehen. Soweit so gut. Jetzt sollen aber beide Firmen ins Internet kommen. Habe dazu eine Liss-Firewall. Hier ist die eth0 (192.168.0.1) im Netzwerk A - Default_Vlan. D.h. Netzwerk A kann ohne Probleme Internet surfen. Netzwerk B leider nicht, da es ja nicht auf die Firewall kommt. Ist ja abgeschottet. So jetzt kommt mein W2K-Server (192.168.0.3) ins Spiel. Dieser ist der Domänencontroller für netzwerk A mit AD. Dieser muss jetzt aber noch die Rolle des Routers für Netzwerk B spielen. Habe dazu eine zusätzliche Nic (192.168.2.1) eingebaut und mit dem VLan von Netzwerk B verbunden. So meine Frage nun, was muss ich machen, damit er mir jetzt auch wirklich routet und zwar NUR routet, was anderes soll er auf der 2.ten Nic gar net machen! Weiters welches sicherheitsrisiko besteht, dass Netzwerk B auf meinen Server kommt (Soll es ja nicht, da der Server nur zu Netzwerk A gehört!). Ich hoffe es kann mir jemand helfen. mfg Robert Zitieren Link zu diesem Kommentar
JoeSan 10 Geschrieben 18. Januar 2004 Melden Teilen Geschrieben 18. Januar 2004 Oha, sieht glaub ich ziemlich schlecht aus. Meine erste Idee dazu wäre, Routing und RAS auf dem DC zu aktivieren, aber das Routing von den DC-Netzwerkdiensten auf der anderen Schnittstelle unabhängig zu machen scheint mir nicht möglich. Ich würde Dir stattdessen empfehlen, die Netzwerkstruktur nochmal zu überdenken. Du hast ja schon eine Firewall, die von der Grundidee her besser für die Internetrouting-Aufgabe geeignet ist als ausgerechnet ein Domänencontroller. Die Standardlösung für das von Dir beschriebene Szenario wäre, der Firewall eine weitere Schnittstelle zu spendieren und beide VLAN-Subnetze direkt zu verbinden, sodass die Firewall die gesamte Kontrolle über den Netzwerkverkehr und die Funktion des Internetrouters übernimmt. Die Regelbasis der Firewall sollte dann so eingerichtet werden, dass Zugriffe zwischen den beiden zu trennenden Subnetzen unterbunden werden, das Routing in Richtung Internet jedoch für beide Subnetze zugelassen ist. Gruß, JoeSan Zitieren Link zu diesem Kommentar
heckenbichler 10 Geschrieben 19. Januar 2004 Autor Melden Teilen Geschrieben 19. Januar 2004 danke, werde wohl doch das 2.te interface der firewall verwenden. wäre eigentlich schon für was anderes vorgesehen gewesen. mfg Robert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.