Robocop 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Hab ein grosses Problem, mein Netz sieht so aus: LAN --> Firewall --> NT-Server mit 2 Netzwerkkarten --> Router 2 --> Router 1 Vom NT-Server, der bei mir ebenfalls als Router ist, kann ich den Router 2 und 1 anpingen, hab auch Internetzugriff. In der Firewall gibt es ein Tool, zum pingen, damit kann ich ebenfalls den Router 2 und 1 anpingen. Jetzt das traurige, vom LAN aus kann ich die Firewall anpingen und beide Netzwerkkarten des NT-Servers. Aber wenn ich den Router 2 und 1 anpinge, bekomme ich 4 mal die Meldung: Zeitüberschreitung der Anforderung. Internetzugriff habe ich vom Lan aus auch nicht. Wenn ich den Router 2 abklemme, klappt alles! Ich brauche diesen aber unbedingt. Kann es sein, dass der Router 2 nicht weiss, was er mit eingehenden Paketen aus dem LAN machen soll? Dann müsste ich dem das in der Routing-Tabelle doch eintragen, die Pakete vom LAN nimmst du an, und schickst sie weiter an Router 1. Kann mir jemand sagen, wie ich die Routing-Tabelle füllen muss? Ich kann eintragen: Ziel, Zielnetzmaske und Gateway-Adresse Woran könnte es noch liegen, dass ich keinen Internet-zugriff aus dem LAN habe? An der Firewall kann es, denke ich, nicht liegen, wenn ich die abklemme, kann ich aus dem LAN auch nur den NT-Server anpingen, aber nicht Router 2 und 1. Tausend Dank im Voraus. Robocop Zitieren Link zu diesem Kommentar
Pie 11 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Hi deine Struktur kann ich irgendwie nicht ganz nachvollziehen. Zum einen: Warum steht die Firewall (von aussen gesehen) hinter dem NT-Server? Zum andren: Sind die beiden Router nacheinander geschaltet, oder ist jeweils einer an einer Netzwerkkarte des NT-Servers angeschlossen? Wenn dass erstere: Warum ist das so? Wenn zweites: Warum ist das so? Wenn ich das verstanden habe, kann ich dir vielleicht auch helfen... - Pie Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Hi, ich denke, daß das Routing soweit funktioniert, daß die Pakete aus dem LAN zu Router 2 gelangen, dieser aber keinen Weg zurück kennt. Trag auf Router 2 für Ziel, Zielnetzmaske und Gateway mal folgende Werte ein: - Ziel: Netzwerkadresse von LAN (z.B. 192.168.1.0) - Netzmaske: z.B. 255.255.255.0 (Bei Class C Netz) - Gateway: IP-Adresse des NT-Servers, und zwar die IP-Adresse, die im gleichen Netz wie Router 2 ist (also z.B. am gleichen Switch hängt) Solltest Du ein anderes Adressschema verwenden und Probleme mit den Einstellungen haben, einfach nochmal posten :) Andre aka Operator Zitieren Link zu diesem Kommentar
Robocop 10 Geschrieben 21. April 2004 Autor Melden Teilen Geschrieben 21. April 2004 Hallo Operator, so langsam kapier ich, was eine Route ist :) Was ich nicht verstehe, ich habe doch ein LAN das aus mehreren IP besteht (192.168.1.1 bis 192.168.1.5) Da kann ich doch für die Netzwerkadresse von LAN für die Route nicht irgendeine nehmen. Welche kommt von diesem Bereich rein? Warum können Pakete vom LAN zum Router 2 gelangen, und der Router kennt keinen Weg zurück? Wenn mich jemand auf der Strasse grüsst, hör und seh ich doch, wer mich anspricht, und kann daher zurückgrüßen. oder kann man das nicht vergleichen? ..... Hi Pie, Die Firewall steht hinter dem Server (von aussen) weil sie mein LAN schützen soll, auf dem NT-Server laufen Webdienste IIS, DNS-Server mit öffentlicher IP, Router 2 schützt durch die integrierte Firewall den NT-Server vor bestimmten Hacker-Attacken. Router 1 ist halt der Cisco - Access-Router von der Telekom. Vom NT-Server geht ein Kabel in den LAN-Port des 2 Routers, vom Wan-Port des 2 Routers geht ein Kabel in den Lan-port des 1 Routers, vom Wan-Port des 1 Routers geht das Kabel in die weisse Dose an der Wand . Zitieren Link zu diesem Kommentar
Pie 11 Geschrieben 22. April 2004 Melden Teilen Geschrieben 22. April 2004 Hallo, zur Erreichbarkeit deines Webservers braucht die Firewall nicht hinter dem NT zu stehen. Du kannst das per NAT so konfigurieren, dass nur der Port 80 (oder welche Ports auch immer) auf den NT-Server geleitet werden. Dann ist dein LAN inklusive Server geschützt. - Pie Zitieren Link zu diesem Kommentar
Robocop 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 Der Aufbau sollte jedoch so bleiben wie es im Moment ist. Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 22. April 2004 Melden Teilen Geschrieben 22. April 2004 Hi Robocop, die Netzwerk-Adresse ist auch nicht eine beliebige IP-Adresse :) Das hast du schon ganz richtig erkannt. Ok, ich versuchs kurz zu machen: Eine IP-Adresse besteht (i.d.R.) aus Netzwerk-Anteil und Hostanteil. Was dabei Netz und was Host ist bestimmt die Subnet-Mask. Binär gesehen bedeutet hierbei eine 1, daß es zum Netzwerk gehört, eine 0, daß es zum Host gehört. 255 ist in Binär 11111111 (8 Bits = 1 Byte). In einfachen Netzwerken kann man sagen, daß eine 255 besagt, daß die Zahl zum Netzwerk gehört und eine 0, daß sie zum Host gehört. Bsp: 192.168.1.3 Dein Netzwerk ist somit z.B. 192.168.1 und die letzte 3 identifiziert den Host (den PC, Router etc.) Bei TCP/IP gibt es in jedem Bereich noch 2 reservierte Adressen. Zum einen der Host der Binär nur Nullen enthält und der, der Binär nur Einsen enthält. In deinem Beispiel sind dies 0 und 255. Binär-Nullen = Netzwerkadresse (nicht verwechseln mit IP-Adresse). Binär-Einsen = Broadcastadresse Deine Netzwerkadresse ist somit 192.168.1.0 und bezeichnet den Teil des Netzes, der für alle Hosts gleich ist. Und diese Adresse muss ein Router als Ziel für alle Hosts wissen, da man ja nicht jeden Host einzeln in die Routingtabellen stecken will :) Zu deinem Vergleich mit den Fußgängern... das ist so nicht ganz richtig. Das kannst Du vergleichen mit 192.168.1.2 und 192.168.1.3, die sich ja direkt unterhalten können. Stell Dir vor, du willst dich mit jemandem unterhalten, der hinter einer dicken Wand steht (mit Hohlraum und Gucklöchern, aber ohne direkten Sichtkontakt zum Anderen). In der Wand sitzt jemanden, der gesprochenen Text von Dir an die andere Seite (anderes Subnetz) weiterleitet. Dein Gesprächspartner antwortet, aber der Vermittler kennt zwar den Weg von Dir zu ihm, aber nicht mehr zurück. Dieses Problem wird dein Router momenten haben :) Das wird noch verstärkt dadurch, daß sich mehrere solche Wände (Router) dazwischen befinden. Jeder Router muss den Weg zum Ziel und von da aus zurück zum Start wissen, sonst funktioniert es nicht. Um dies bei vielen Routern zu vereinfachen wurden Routing-Protokolle entwickelt, z.B. RIP(v1+v2), IGRP, EIGRP, OSPF etc. Am einfachsten wird dabei die Handhabung von RIP sein. Den Tipp von Pie kann ich auch nur noch mal wiederholen. Setz den NT Rechner hinter die Firewall und leite die Ports entsprechend weiter, ist allemal sicherer :) Ich hoffe, daß alles irgendwie verständlich war :) Wenn nicht, nachfragen...! Gruß Andre aka Operator Zitieren Link zu diesem Kommentar
Robocop 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 Hey Operator, vielen Dank für die ausführliche Erklärung, einiges habe ich verstanden, den Rest muss ich überschlafen :-) Im Router 2 ist eine ziemlich gute Firewall mit allem Pipapo drin, damit will ich den NT absichern. Also 2 Firewalls :-) Gruß Robocop Zitieren Link zu diesem Kommentar
Robocop 10 Geschrieben 23. April 2004 Autor Melden Teilen Geschrieben 23. April 2004 Hallo Operator, Vielen Dank für deine Hilfe, habe die Route so eingetragen, wie du geschrieben hast. Und was ist passiert? Hatte sofort Zugriff :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.