peterpanak47
Goto Top

2 Netze an einem Server .. WAN und LAN - dickes Problem

Hallo zusammen,

ich habe folgendes Netzwerk

Router: 192.168.3.70

WAN-Karte im Server: 192.168.3.90
LAN-Karte im Server: 192.168.2.10

Nun will ich das alle Clients (192.168.2.XXX) über den Server ins Netz gehen.

Dafür habe ich folgendes Eingestellt.

WAN-Karte:
IP: 192.168.3.90
SubNetz: 255.255.255.0
Gateway:192.168.3.70
DNS: 192.168.3.70

LAN-Karte:
IP: 192.168.2.10
SubNetz: 255.255.255.0
Gateway: 192.168.3.70
DNS: 192.168.2.10

Aber ich komme mit keinem Client ins Netz.

Der Server kommt rein, aber nur dann wenn ich die LAN-Karte deaktiviere.

Kann mir jemand helfen? Wie muss ich welche Karte einstellen und was muss ich noch zusätzlich konfigurieren?

Wäre euch sehr dankbar.

Gruß der PPAK47

Content-ID: 43333

Url: https://administrator.de/contentid/43333

Ausgedruckt am: 05.11.2024 um 19:11 Uhr

meinereiner
meinereiner 30.10.2006 um 12:22:43 Uhr
Goto Top
Auf dem Router mus eine statische Route ins 192.168.2.XXX Netz mit dem Gateway 192.168.3.90

Das Gateway auf der LAN-Karte kommt raus.
PeterPanAK47
PeterPanAK47 30.10.2006 um 12:26:20 Uhr
Goto Top
Hi und danke für deine Mühe.

also Gateway bei der LAN-Karte raus .. ok, werd ich testen.

Am Router kann man sowas leider net einstellen weil es son billigteil von der T-Com ist ..

Das ganze hat auch so schonmal funktioniert ... also muss es irgendwie gehen, aber ich bekomm es nicht hin
Mike.ekiM
Mike.ekiM 30.10.2006 um 12:29:44 Uhr
Goto Top
Deine Angaben dazu sind etwas ungenau!
Am einfachsten wär ne kleine Skizze dazu face-smile
PeterPanAK47
PeterPanAK47 30.10.2006 um 12:36:39 Uhr
Goto Top
Na das ham wir doch schnell gemacht

http://gierse.eu/skizze.JPG

hier die Skizze ..

der Server hat 2 Netzwerkkarten .. eine zum Router und eine zum Switch

hoffe das hilft
meinereiner
meinereiner 30.10.2006 um 12:52:11 Uhr
Goto Top
Am Router kann man sowas leider net
einstellen weil es son billigteil von der
T-Com ist ..


Dann kannst du die Sache gleich vergessen und alles an einen Switch hängen!
triumvirat
triumvirat 30.10.2006 um 13:13:25 Uhr
Goto Top
Alle Netzwerkkarten und Clients müssen wissen, wie Sie dasNächste Ziel erreichen können.
laut Deiner Darstellung soll es wohl so sein, das alle Clients über den Server (LAN-Verbindung) Ins Internet gehen sollen.

Also bedeutet das, die CLIENT IP's sind
z.B. 192.168.2.XX|255.255.255.0

DIE Server LAN Karte muss im selben Bereich liegen: 192.168.2.XX|255.255.255.0

Alle Clients haben dann als default gateway die LANIP des Servers eingetragen.

start->ausführen cmd<-|
route print

Sollte das eigene LAN und den Server als GW eingetragen haben und zwar für alle Adressen (0.0.0.0|0.0.0.0)

Next Step wäre dem Server zu sagen, dass er als default GW den router verwenden soll.
FERTIG.

Durch die LAN KArte und die SUbnetmask 255.255.255.0 Kann er ja schon alle Rechner erreichen, die in diesem Netzsegment liegen. Daher geht auch der Ping zurück.

Verstanden face-wink ?

Die Kür wird aber, entweder NAT auf dem Server zu aktivieren, bzw. dem Router mitzuteilen wie die Route ins 2er Netz erfolgen soll UND das NAT fürs 2er Netz zu aktivieren.

mfg Ekki
33531
33531 30.10.2006 um 13:19:44 Uhr
Goto Top
Hi.

Da gibt es unterschiedliche Lösungsszenarien.

Zum einen: der default gateway Eintrag auf der LAN-Seite muss definitiv raus.
Zweitens: der DNS-Servereintrag auf der LAN-Seite funktioniert nur, wenn auf dem Server eine DNS-Service läuft und konfiguriert ist.

Und jetzt das wesentliche:

Um die Clients auf der LAN-Seite verbinden zu können, muß auf dem Server entweder die Internet-Verbindungsfreigabe oder der RAS-Service konfiguriert werden. Per Default routet ein Windows 2003-Server aus Sicherheitsgründen nicht. Die RAS-Servervariante hätte den Vorteil, das man die Verbindungen zumindest marginal per Firewall-Regeln absichern kann.

Bevor man entweder das eine oder das andere tut, sollte man sich aber überlegen, ob man für die Internet-Verbindung nicht besser eine Firewall einsetzt und den Server dann auf der LAN-Seite belässt. Einen Windows-Server direkt ans Internet zu hängen, halte ich für sehr mutig, um es vorsichtig auszudrücken. Empfehlen würde ich das grundsätzlich nicht.

Gruss

Gerd Schelbert

Eine andere Möglichkeit wäre die Installation eines Internet-Proxys auf dem Server.
aqui
aqui 30.10.2006 um 15:08:53 Uhr
Goto Top
Its all on the web !
Hier steht genau wie es geht :


Die Routing Variante ist in jedem Falle vorzuziehen !Es ist zwar genau das umgedrehte Szenario aber das Printip ist ein und dasselbe !
Der Server hängt ja nicht am Internet ! Da ist ja der Router dazwischen und da ist eine Firewall drauf..... (hoffentlich)
33531
33531 30.10.2006 um 15:31:22 Uhr
Goto Top
Hallo, aqui.

Der Link ist leider defekt.

Nicht ganz konform gehe ich mit der Einschätzung, das, wenn auf dem Router eine Firewallfunktion implementiert ist, alles schon o.k. wäre.

Vorzuziehen ist eine Konstellation, bei der hinter dem Billigrouter (und einer dem Preis angemessenen "Billig"-Firewallfunktion) eine echte Firewall installiert wird (und wenns der Microsoft ISA-Server ab 2004 ist). Dahinter befinden sich das das "interne" LAN-Segment mit den Clients und dem Server.

Also, Reihenfolge: ISP-Router <--> Firewall <--> internes LAN

Bei dem ISA-Server als Firewall können die internen Clients diesen auch gleichzeitig als Web-Proxy benutzen und der Server wird nicht in jede Client-Internetverbindung mit einbezogen.

Die Firewallfunktionen der Billigrouter bestehen in der Regel aus sogenannten NAT-Filtern, welche vom Regelsatz in den meissten Fällen Incoming jeden Verbindungsaufbau blocken und Outgoing alles erlauben. Das Ganze hat mit Sicherheit nichts zu tun.

Und den Server als NAT-Device oder Router für die Clients zu nutzen heisst, dass der Server alle Client-Verbindungen ins Internet forwarded und bei allem at risc ist. Das ist definitiv keine Aufgabe für einen Server, allenfalls für eine Firewall.

Ein Einbruch auf dem Server bedeutet eindeutig den Verlust der Vertrauenswürdigkeit der Gesamtinstallation, da dort die internen Konteninformationen liegen. Einen grösseren Gefallen kann man Angreifern nicht tun.

Gruss

Gerd Schelbert
PeterPanAK47
PeterPanAK47 30.10.2006 um 15:35:25 Uhr
Goto Top
hmmh da habt ihr wohl recht ..

und wie mach ichs nun? Im moment steckt der Router mit am Switch und sowohl server als auch Clients gehen über den Switch zum Router ...

Ich suche eine günstige aber gute Lösung.

Gruß

PPAK47
triumvirat
triumvirat 30.10.2006 um 15:39:06 Uhr
Goto Top
Na das ist doch toll. Besser als jede andere Idee hier und auch so kostengünstig, weils ja schon da ist face-wink.

Wenn Du es so lassen kannst, dann lass es doch so. Warum muss etwas geändert werden ?
PeterPanAK47
PeterPanAK47 30.10.2006 um 15:43:55 Uhr
Goto Top
na ich dachte ich bilde ein inneres und ein äußeres Netz für mehr sicherheit .. aber gut, den server dafür zu nehmen is auch net so pralle face-smile aber die "billig-Router" sind ja nicht so der bringer
aqui
aqui 30.10.2006 um 15:44:13 Uhr
Goto Top
Ooops bei mir funktioniert er problemlos. Du kommst da auch "zu Fuss" hin. Hier im Forum folgenden Weg klicken:
Netzwerke -> Lan,WAN Wireless -> Wireless LAN
Dort im Tutorial Bereich findest du das Tutorial. Eigentlich sollte ein Klick auf den URL dich direkt dorthin bringen. Die vermeintlichen Blanks sind Underlines....

Mit der Firewallfunktion hast du Recht wenn man sie mit dedizierten Firewalls vergleicht. Bei einem korrekt konfiguriertem guten Consumer Router sind aber die Hürden dennoch sehr hoch diesen über den NAT Filter zu überwinden zumal etwas gehobene Produkte schon auch einen Firewall Packet Filter haben. Mir sind keine Fälle bekannt wo das gelungen ist von der Maßnahme mal abgesehen die Passwortsperre zu überwinden. Aber auch hier kann man bei guten Produkten jeglichen direkten Zugang über das WAN Interface unterbinden einschliesslich ICMP., das richtige Produkt vorausgesetzt.
Mit einer richtigen Stateful Firewall ist das aber nicht zu vergleichen da hast du zweifelsfrei Recht.
PeterPanAK47
PeterPanAK47 30.10.2006 um 15:55:18 Uhr
Goto Top
könnt ihr mir denn mal gute Firewalls empfehlen?

in einer anderen Niederlassung haben wir nen FVS318 V3 von Netgear, der sollte langen oder?
33531
33531 30.10.2006 um 16:03:34 Uhr
Goto Top
Hallo.

Nur um das abzuschliessen:

Nichts gegen die "Security" eines NAT-Routers, aber die ist im Betrieb nicht viel Wert. Solange alle Clients sowie der Server ungehindert nach aussen kommunizieren können, wird jeder Wurm und jeder Trojaner nach Hause telefonieren können. Und das unabhängig davon, wie man sich den zugezogen hat. Das gleiche gilt für jede Malware, die man sich von verseuchten Webseiten beim Browsen einfängt. Ohne vernünftige Firewall ist eine solche Anbindung im Firmenbereich grob fahrlässig. Das hat nichts mehr mit Spass zu tun.

Wenn eine kommerzielle Firewall zu kostenintensiv ist, versuchts mal mit Opensource-Produkten wie z.B. m0n0wall oder IPCop. Gerade letzterer braucht lediglich eine abgetakelten PC mit 2-3 Interfaces, eine Boot-CD (kostenlos im Internet) und ein wenig Einarbeitungszeit. Wenns ein bisschen was kosten darf für den kommerziellen Einsatz vielleicht eine Astaro Firewall, die gibts als OpenSource basierendes Produkt mit Support für kleines Geld.

Aber, wie gesagt:
Clients oder sogar Server ohne adäquaten Schutz direkt ans Internet gibt im Schadensfall richtig Ärger. Das sollte man noch nicht mal im privaten Bereich tun, im kommerziellen Bereich ist es ein absolutes No-No.

Gruss

Gerd Schelbert
aqui
aqui 30.10.2006 um 16:39:06 Uhr
Goto Top
Nicht das du da einem Irrtum aufliegst. "Normale" Firewalls können aber auch nicht den Content in Datenpacketen analysieren, so das sie auch nicht merken würden wenn Würmer oder Trojaner "nach Hause" telefonieren. Schon gar nicht wenn sie dafür Standard Ports wie TCP 80, 443, 20, 21 usw. benutzen die auch auf Firewall freigegeben sind.
Wenn sie dedizierte Ports dafür nutzen kann sogar z.B. ein Linksys WRT mit dd-wrt Software und Packetfilter sowas filtern.
m0n0wall und IPCop machen das auch nicht allein nur im Zusammenspiel mit einer Scanner (z:B. Clam AV Redirector) Software oder Appliances wie DansGuardian.
Das wäre dann insgesamt eine Security Appliance und nicht nur eine nackte Firewall......aber es soll ja nicht in Wortklauberei ausarten hier, denn das ist sicher das was du meinst und in der Tat leistungsstärker als ein einfaches Filter auf einem Consumer System.
Ein sehr gutes Filter- und Scanbeispiel inkl. Installation mit einem transparenten Proxy war im Linux Magazin 10/06 ab Seite 66 genau beschrieben.
Das o.a. NetGear Teil kann sowas ebenfalls nicht. Das kann lediglich eine stateful Inspection auf Layer 4 und etwas URL Filterung inkl. VPN Server. Content Analyse in Packeten ist mit so einem schmalbrüstigen Consumer Teil nicht drin.
PeterPanAK47
PeterPanAK47 31.10.2006 um 07:57:21 Uhr
Goto Top
Hmmh, also ist sone Softwarelösung besser als ne Hardwarelösung? ... hmmh und soll der Firewall-Rechner dann selber die Verbindung aufbauen, oder schließe ich den an den Router an?

Habt ihr noch nen Tipp was ich da nun drauf installieren sollte, damit wir gut geschützt sind?
aqui
aqui 31.10.2006 um 22:24:34 Uhr
Goto Top
Das kann man so nicht sagen, denn es gibt ja Firewall und Firewall. Normalerweise darfst du von diesen Consumer Teilen nicht allzuviel erwarten. Die haben meist nur eine Packetfilter aber analysieren keinen Content.
Es gibt aber sehr wohl Systeme die das Plug and Play machen allerdings liegen die in einer anderen Preisklasse wie NetGear und Konsorten.
Du hast nun also 2 Möglichkeiten:
1.) Selber was aufzusetzen vorzugsweise mit Linux. Z.B. wie einen transparenten Proxy mit Virenscanner und Dansguardian. (Beschrieben im Linux Magazin 10/06 Seite 66 ff)

2.) Was kaufen was aber erheblich teurer ist. Auch hier ist das in den mitpreisigen Produkten fast immer ein gehärtetes Linux mit einer Mangementoberfläche, die diese Softare fertig konfiguriert betreiben. Oder eben die "Königsklasse" von dedizierten Herstellern wie Juniper etc.