IP-Forwording Win Server 2019

Mitglied: uncelsam

uncelsam (Level 1) - Jetzt verbinden

12.01.2021 um 07:30 Uhr, 434 Aufrufe, 11 Kommentare

Hallo Zusammen,

ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...

Folgender Sachverhalt:

Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.

Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.

Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.

Danke und Grüße

Uncelsam
netzwerk - Klicke auf das Bild, um es zu vergrößern
Mitglied: Doskias
12.01.2021 um 08:04 Uhr
Moin

Zitat von uncelsam:
ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...

Du beschreibst doch schon genau wo du suchen sollst:
Folgender Sachverhalt:
Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.

Und sogar deine Ursache beschreibst du:
Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.
Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.

Aber alles was wir wissen müssen schreibst du nicht. Zum Beispiel:

Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?

Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.

Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.

Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.

Gruß
Doskias
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.01.2021, aktualisiert um 09:24 Uhr
Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...

Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/
Bitte warten ..
Mitglied: uncelsam
12.01.2021 um 09:42 Uhr
Vielen Dank für deine Antwort!

Zitat von Doskias:
Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?

Die sind Physisch getrennt, und das muss auch so bleiben.
Der Server hat zwei Netzwerkkarten eine hängt im 192.168.2.0er Netz und die zweite im 10.0.0.0er Netz.

Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.

Die Lösung wäre die einfachste, ist leider aber nicht möglich, da es ein fertiges System ist:
SEH Dongle Server Pro

Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.

Das sind Workstations im Maschinennetz, welche die Steuerung und Auswertung der Maschine machen, die ohne jeglichen Schutz laufen.

Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.

Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv.
Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.

Hintergrund ist dass die "Anlagenverantwortlichen" vom VPN auf den Dongleserver kommen, bis jetzt war das nicht notwendig da eigentlich immer einer vor Ort war, das hat sich in der aktuellen Lage geändert.
Bitte warten ..
Mitglied: uncelsam
12.01.2021 um 09:53 Uhr
Zitat von aqui:

Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...

Das hatte ich schon gefunden, aber wohl vor Bäumen den Wald nicht gefunden...
Für meinen Fall würde es ja reichen, wenn ich mich auf den
"Spezialfall: Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2"
Konzentiere

Oder sehe ich das falsch?

Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/

Danke, das hatte ich beachtet
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.01.2021 um 10:05 Uhr
Ja, das siehst du ganz falsch, denn NAT (IP Adress Translation) solltest du in dem Design niemals machen !!
Folglich brauchst du auch keinerlei Port Weiterleiutung das wäre Blödsinn !
Stinknormales Routing Design und die Zugriffs Steuerung machst du schlicht und einfach mit der Winblows Firewall. Das geht dann über die Ereignissteuerung sogar zeitlich.
Bitte warten ..
Mitglied: Doskias
LÖSUNG 12.01.2021 um 10:25 Uhr
Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv. Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.

Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.

Versteh mich nicht falsch: Ich mag dein Konzept mit getrennten Netzen, die nicht untereinander Kommunizieren sollen. Aber eine Frage solltest du dir noch stellen: Wie sicher ist die IT eurer Anlagenverantwortlichen? Wenn die sich via VPN in das Maschinennetz schalten, dann hast du ein externes Gerät wo du nicht den Virenschutz oder Patch-Status überwachen kannst, oder sind das eure Geräte auf die ihr vollen Zugriff habt?

Ansonsten hat aqui ja schon geschrieben wie es geht.
Bitte warten ..
Mitglied: uncelsam
12.01.2021 um 10:55 Uhr
Zitat von Doskias:
Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.

Wenn es auf dem Server eine Bedrohung gibt, ist das Maschinennetzwerk das kleinste Problem.
Dann hätte es jemand geschafft, sehr tief in unser Firmennetz einzudringen.
Der Server ist auf Client Level ans "10.0.0.0." Netzwerk angebunden.

Versteh mich nicht falsch: Ich mag dein Konzept mit getrennten Netzen, die nicht untereinander Kommunizieren sollen. Aber eine Frage solltest du dir noch stellen: Wie sicher ist die IT eurer Anlagenverantwortlichen? Wenn die sich via VPN in das Maschinennetz schalten, dann hast du ein externes Gerät wo du nicht den Virenschutz oder Patch-Status überwachen kannst, oder sind das eure Geräte auf die ihr vollen Zugriff habt?

Die Analgenverantwortlichen sind Mitarbeiter im Homeoffice. Hardware kommt ausschließlich von unsere IT, und ist entsprechend sicher.

Ansonsten hat aqui ja schon geschrieben wie es geht.

Ich werde mich am spätestens am Wochenende dran versuchen.
Bitte warten ..
Mitglied: aqui
12.01.2021 um 12:14 Uhr
Die Analgenverantwortlichen sind Mitarbeiter
Igitt, ist das was Unanständiges weil Anal ?!
Bitte warten ..
Mitglied: Doskias
12.01.2021 um 12:18 Uhr
@aqui: Ach komm gib es zu. Du hast die ganze Zeit darauf gewartet, dass der Buchstabendreher passiert.

@UncleSam: Wieso erst am Wochenende? Am Wochenende ist es hier immer etwas ruhiger :) face-smile Um das Routing einzurichten brauchst du doch nicht zuhause zu sein.
Bitte warten ..
Mitglied: uncelsam
12.01.2021 um 12:32 Uhr
@aqui: Keine Ahnung, manchmal glaub schon :-) face-smile

@Doskias: Im laufenden Betrieb lass ich da die Finger weg, keine Lust auf Stress :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
HomeOffice Pflicht - Büroaustattung vom Arbeitgeber?
h45okeg493sVor 1 TagFrageOff Topic37 Kommentare

Hallo zusammen, aufgrund der HomeOffice Situation wollte ich mal rumfragen, muss der Arbeitgeber neben der Hardware wie Notebook, etc. auch Büroausstattung wie Bürostühle zur ...

Server-Hardware
Gebrauchte Server von eBay-Kleinanzeigen
gelöst dh2411Vor 1 TagFrageServer-Hardware16 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Backup
Backupmöglichkeit Teamviewer
gelöst greenhorn1Vor 1 TagFrageBackup19 Kommentare

Hallo, ich habe bei meiner Teamviewer Lizenz die Möglichkeit ein Backup des PC´s durchzuführen. Leider funktioniert das nicht! Nach Rückfrage an Teamviewer erhielt ich ...

Grafikkarten & Monitore
Zweiter Bildschirm geht sporadisch immer aus?!
GeronimooVor 1 TagFrageGrafikkarten & Monitore8 Kommentare

Moin zusammen, ich habe ein Problem mit meinem 2. Monitor und zwar geht dieser sporadisch immer für 1-2 Sekunden aus oder flackert ein bisschen ...

Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragtVor 1 TagFrageWindows Tools6 Kommentare

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Switche und Hubs
Kurioses Problem IP Adresse ändern am Cisco SG350 10p
gelöst Xaero1982Vor 1 TagFrageSwitche und Hubs16 Kommentare

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

TK-Netze & Geräte
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
gelöst jensgebkenVor 1 TagFrageTK-Netze & Geräte24 Kommentare

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Internet
TV-Anschluss zu DSL Anschluss
FabioST88Vor 1 TagAllgemeinInternet12 Kommentare

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...