Jump to content

Festlegen über welche NIC welche Destinationen erreicht werden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

ich habe ein Problem im Zusammenhang mit verschiedenen Subnets und statischen Routen.

 

Ich habe einen w2k3 srv mit zwei NICs. Die eine NIC hat eine statische öffentliche IP Adresse, die andere eine statische private IP Adresse (192.168.10.10, 192.168.10.0/27). Der Rechner befindet sich mit BEIDEN NICs in der DMZ einer Firewall (allerdings einer sehr stark abgeriegelten DMZ). An der selben Firewall befindet sich auch noch ein LAN Segment, ebenfalls mit privaten IP Adressen (192.168.4.0/27). Die Firewall hat einen vollwertigen Router, d.h. kann zwischen all diesen Netzen korrekt routen und hat dazwischen jeweils eine Firewall Instanz.

Ich möchte nun Kommunikation zwischen dem Rechner in der DMZ und dem LAN erlauben, allerdings nur über das private Interface des Rechners in der DMZ (192.168.10.10). Hierzu habe ich einige Ports in der FW geöffnet. Die Kommunikation vom öffentlichen Interface aus der DMZ ins LAN ist vollständig blockiert.

Der Windows Server versucht nun aber bei einem Request auf einen Rechner im LAN diesen über das öffentliche Interface zu erreichen. Rein theoretisch ginge das zwar, weil die Firewall/Router das routen könnte, aber wie gesagt, dieser Kommunikation habe ich per Firewall unterbunden. Ich dachte, ich könne das Problem lösen, in dem ich eine statische Route auf dem Windows Server anlege und ihm sage, dass er das Netz 192.168.4.0/27 über das Gateway 192.168.10.0 und über seine NIC 192.168.10.10 erreichen kann. Gesagt getan. Was Windows nun aber macht, ist, den Request über das entsprechende Interface zu routen, aber, als Source IP sehe ich auf der Firewall immer noch die öffentliche IP des Servers. Es sieht ganz so aus, als ob der Request auf dem öffentlichen Interface "erzeugt wird", dann intern auf das private Interface und von dort dann weiter geroutet wird. Needless to say, dass die Firewall hier natürlich blockt.

 

Woran kann dieses Verhalten liegen? wie zwinge ich Windows zum gewünschten Verhalten? Muss ich beim Einrichten der statischen Routen auf Windows evt. etwas speziell beachten?

 

Vielen Dank für Eure Hilfe und Gruss

Frank

 

[edit]

Mir ist grad noch 'was aufgefallen - wenn ich ipconfig /all abrufe, dann sehe ich einen Eintrag, dass IP Routing aktiv sei. Was ist damit genau gemeint? Könnte das, das Routen zwischen den beiden NICs betreffen? Das möchte ich nämlich nicht - die sollen völlig unabhängig von einander agieren. Falls es da sein sollte - wo kann man IP Routing konfigurieren (habe in den Netzwerkeigenschaften nachgesehen, aber da ist nix zu finden)?

Link zu diesem Kommentar

Hi qnorx !

 

Ich fang mal von hinten an:

 

Ja, internes Routing bedeutet, daß zwischen den beiden NIC´s geroutet wird, das muß unbedingt raus. Das geht nur über den Regkey HKLM\SYSTEM\CurrentControlSet\Services\TCPIP\Paramters, dort den Wert IPEnableRouter=0 setzen.

 

Deine Vermutung, daß das Routing nach intern über vor, zurück, zur Seite und durch ist - glaub ich eher nicht - ich vermute eher ein Problem mit der Metric.

 

Poste mal bitte route print von dem Server, die öffentliche IP des Server am besten aus -xxx- en. ;)

 

(Aber erst das interne Routing deaktivieren)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...