IP-Forwording Win Server 2019
Hallo Zusammen,
ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...
Folgender Sachverhalt:
Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.
Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.
Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.
Danke und Grüße
Uncelsam
ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...
Folgender Sachverhalt:
Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.
Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.
Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.
Danke und Grüße
Uncelsam
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen11 Antworten
- LÖSUNG Doskias schreibt am 12.01.2021 um 08:04:39 Uhr
- LÖSUNG aqui schreibt am 12.01.2021 um 09:24:17 Uhr
- LÖSUNG uncelsam schreibt am 12.01.2021 um 09:53:33 Uhr
- LÖSUNG aqui schreibt am 12.01.2021 um 10:05:40 Uhr
- LÖSUNG uncelsam schreibt am 12.01.2021 um 09:53:33 Uhr
- LÖSUNG uncelsam schreibt am 12.01.2021 um 09:42:36 Uhr
- LÖSUNG Doskias schreibt am 12.01.2021 um 10:25:44 Uhr
- LÖSUNG uncelsam schreibt am 12.01.2021 um 10:55:48 Uhr
- LÖSUNG aqui schreibt am 12.01.2021 um 12:14:24 Uhr
- LÖSUNG Doskias schreibt am 12.01.2021 um 12:18:47 Uhr
- LÖSUNG aqui schreibt am 12.01.2021 um 12:20:49 Uhr
- LÖSUNG uncelsam schreibt am 12.01.2021 um 12:32:12 Uhr
- LÖSUNG Doskias schreibt am 12.01.2021 um 12:18:47 Uhr
- LÖSUNG aqui schreibt am 12.01.2021 um 12:14:24 Uhr
- LÖSUNG uncelsam schreibt am 12.01.2021 um 10:55:48 Uhr
- LÖSUNG Doskias schreibt am 12.01.2021 um 10:25:44 Uhr
- LÖSUNG aqui schreibt am 12.01.2021 um 09:24:17 Uhr
LÖSUNG 12.01.2021 um 08:04 Uhr
Moin
Du beschreibst doch schon genau wo du suchen sollst:
Und sogar deine Ursache beschreibst du:
Aber alles was wir wissen müssen schreibst du nicht. Zum Beispiel:
Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?
Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.
Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.
Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.
Gruß
Doskias
Zitat von uncelsam:
ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...
ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...
Du beschreibst doch schon genau wo du suchen sollst:
Folgender Sachverhalt:
Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.
Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.
Und sogar deine Ursache beschreibst du:
Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.
Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.
Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.
Aber alles was wir wissen müssen schreibst du nicht. Zum Beispiel:
Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?
Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.
Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.
Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.
Gruß
Doskias
LÖSUNG 12.01.2021, aktualisiert um 09:24 Uhr
Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/
LÖSUNG 12.01.2021 um 09:42 Uhr
Vielen Dank für deine Antwort!
Die sind Physisch getrennt, und das muss auch so bleiben.
Der Server hat zwei Netzwerkkarten eine hängt im 192.168.2.0er Netz und die zweite im 10.0.0.0er Netz.
Die Lösung wäre die einfachste, ist leider aber nicht möglich, da es ein fertiges System ist:
SEH Dongle Server Pro
Das sind Workstations im Maschinennetz, welche die Steuerung und Auswertung der Maschine machen, die ohne jeglichen Schutz laufen.
Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv.
Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.
Hintergrund ist dass die "Anlagenverantwortlichen" vom VPN auf den Dongleserver kommen, bis jetzt war das nicht notwendig da eigentlich immer einer vor Ort war, das hat sich in der aktuellen Lage geändert.
Zitat von Doskias:
Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?
Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?
Die sind Physisch getrennt, und das muss auch so bleiben.
Der Server hat zwei Netzwerkkarten eine hängt im 192.168.2.0er Netz und die zweite im 10.0.0.0er Netz.
Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.
Die Lösung wäre die einfachste, ist leider aber nicht möglich, da es ein fertiges System ist:
SEH Dongle Server Pro
Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.
Das sind Workstations im Maschinennetz, welche die Steuerung und Auswertung der Maschine machen, die ohne jeglichen Schutz laufen.
Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.
Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv.
Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.
Hintergrund ist dass die "Anlagenverantwortlichen" vom VPN auf den Dongleserver kommen, bis jetzt war das nicht notwendig da eigentlich immer einer vor Ort war, das hat sich in der aktuellen Lage geändert.
LÖSUNG 12.01.2021 um 09:53 Uhr
Zitat von aqui:
Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Das hatte ich schon gefunden, aber wohl vor Bäumen den Wald nicht gefunden...
Für meinen Fall würde es ja reichen, wenn ich mich auf den
"Spezialfall: Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2"
Konzentiere
Oder sehe ich das falsch?
Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/
https://www.edv-lehrgang.de/ip-routing-aktivieren/
Danke, das hatte ich beachtet
LÖSUNG 12.01.2021 um 10:05 Uhr
Ja, das siehst du ganz falsch, denn NAT (IP Adress Translation) solltest du in dem Design niemals machen !!
Folglich brauchst du auch keinerlei Port Weiterleiutung das wäre Blödsinn !
Stinknormales Routing Design und die Zugriffs Steuerung machst du schlicht und einfach mit der Winblows Firewall. Das geht dann über die Ereignissteuerung sogar zeitlich.
Folglich brauchst du auch keinerlei Port Weiterleiutung das wäre Blödsinn !
Stinknormales Routing Design und die Zugriffs Steuerung machst du schlicht und einfach mit der Winblows Firewall. Das geht dann über die Ereignissteuerung sogar zeitlich.
LÖSUNG 12.01.2021 um 10:25 Uhr
Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv. Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.
Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.
Versteh mich nicht falsch: Ich mag dein Konzept mit getrennten Netzen, die nicht untereinander Kommunizieren sollen. Aber eine Frage solltest du dir noch stellen: Wie sicher ist die IT eurer Anlagenverantwortlichen? Wenn die sich via VPN in das Maschinennetz schalten, dann hast du ein externes Gerät wo du nicht den Virenschutz oder Patch-Status überwachen kannst, oder sind das eure Geräte auf die ihr vollen Zugriff habt?
Ansonsten hat aqui ja schon geschrieben wie es geht.
LÖSUNG 12.01.2021 um 10:55 Uhr
Zitat von Doskias:
Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.
Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.
Wenn es auf dem Server eine Bedrohung gibt, ist das Maschinennetzwerk das kleinste Problem.
Dann hätte es jemand geschafft, sehr tief in unser Firmennetz einzudringen.
Der Server ist auf Client Level ans "10.0.0.0." Netzwerk angebunden.
Versteh mich nicht falsch: Ich mag dein Konzept mit getrennten Netzen, die nicht untereinander Kommunizieren sollen. Aber eine Frage solltest du dir noch stellen: Wie sicher ist die IT eurer Anlagenverantwortlichen? Wenn die sich via VPN in das Maschinennetz schalten, dann hast du ein externes Gerät wo du nicht den Virenschutz oder Patch-Status überwachen kannst, oder sind das eure Geräte auf die ihr vollen Zugriff habt?
Die Analgenverantwortlichen sind Mitarbeiter im Homeoffice. Hardware kommt ausschließlich von unsere IT, und ist entsprechend sicher.
Ansonsten hat aqui ja schon geschrieben wie es geht.
Ich werde mich am spätestens am Wochenende dran versuchen.
LÖSUNG 12.01.2021 um 12:14 Uhr
LÖSUNG 12.01.2021 um 12:18 Uhr
Um das Routing einzurichten brauchst du doch nicht zuhause zu sein.LÖSUNG 12.01.2021 um 12:32 Uhr
