Kann von LAN nicht in DMZ

Mitglied: 118080

118080

07.04.2016 um 12:33 Uhr, 1370 Aufrufe, 23 Kommentare

Moin Leute

Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich.
Habe nun an unserem Router (inkl. integriertem Switch) dem Port 3+4 das VLAN3 zugewiesen. Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
- LAN = 192.168.2.0/24
- DMZ = 192.168.3.0/24
- Router ist ein Zyxel SBG3300
Nun möchte ich vom LAN den PC im DMZ erreichen, aber kein Ping kommt durch. Firewall hab ich zu Testzwecken vom LAN in die DMZ für Port "any" geöffnet.
Anders rum gehts auch nicht (sprich DMZ ins LAN), dies ist ja aber auch der Sinn der DMZ ^^
Hat jemand ne Idee woran es liegt? Routing?

LG Luca
Mitglied: Yannosch
07.04.2016 um 12:47 Uhr
Zitat von @118080:

Moin Leute

Aloha!

Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich.
Irgendwann ist immer das erste Mal.
Habe nun an unserem Router (inkl. integriertem Switch) dem Port 3+4 das VLAN3 zugewiesen. Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
- LAN = 192.168.2.0/24
- DMZ = 192.168.3.0/24
- Router ist ein Zyxel SBG3300
soweit so gut
Nun möchte ich vom LAN den PC im DMZ erreichen, aber kein Ping kommt durch. Firewall hab ich zu Testzwecken vom LAN in die DMZ für Port "any" geöffnet.
Anders rum gehts auch nicht (sprich DMZ ins LAN), dies ist ja aber auch der Sinn der DMZ ^^
Hat jemand ne Idee woran es liegt? Routing?
Kann sicherlich am Routing liegen.
Hast du evtl. eine Routing-Tabelle?

Anderer Ansatz:
Hast du beim Rechner in der DMZ die lokale Firewall ausgeschaltet?


LG Luca
Liebe Grüße!
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
07.04.2016 um 13:31 Uhr
Zitat von @Yannosch:
Kann sicherlich am Routing liegen.
Hast du evtl. eine Routing-Tabelle?
Hier die Routingtabelle, bin mir nicht sicher ob das so stimmt, laut einer Anleitung von Zyxel sollte es so stimmen..
routing - Klicke auf das Bild, um es zu vergrößern
Anderer Ansatz:
Hast du beim Rechner in der DMZ die lokale Firewall ausgeschaltet?
Kurzerhand gemacht: Brachte nichts... Aber Pings sollten normalerweise immer durchkommen, ausser man ändert das explizit..
Bitte warten ..
Mitglied: Dani
07.04.2016 um 14:20 Uhr
Moin,
am Routing kann es eigentlich nicht liegen, denn sobald die beiden Subnetze am gleichen Router/Firewall verbunden sind, kennen sich diese selbstverständlich. Hast du evtl an den Clients im LAN bzw. DMZ das falsche Gateway hinterlegt? Hier wäre auch noch interessant welche IP-Adresse Router im jeweiligen Netz hat und ob die Subnetzmasken stimmen.


Gruß,
Dani
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
07.04.2016 um 14:54 Uhr
Zitat von @Dani:
am Routing kann es eigentlich nicht liegen, denn sobald die beiden Subnetze am gleichen Router/Firewall verbunden sind, kennen sich diese selbstverständlich.
Davon ging ich aus, aber dies geriet ins wanken, als es nicht fnktionierte.
Hast du evtl an den Clients im LAN bzw. DMZ das falsche Gateway hinterlegt? Hier wäre auch noch interessant welche IP-Adresse Router im jeweiligen Netz hat und ob die Subnetzmasken stimmen.
LAN
Router: 192.168.2.1
Subnetz: 255.255.255.0
Gateway wird automatischeingetragen über DHCP
DMZ
Router: 192.168.3.1
Subnetz: 255.255.255.0
Gateway wird auch hier über DHCP automatisch eingetragen
Gruß,
Dani
LG Luca
Bitte warten ..
Mitglied: laster
07.04.2016 um 15:28 Uhr
Hallo,

das Routing geht nur auf 192.168.3.2 (Maske 32 Bit). Wenn ich das richtig deute, kommst Du dann nur auf den einen Rechner.
Was ist mit einer 24-Bit Maske? Du willst doch in das LAN 192.168.3.0/24 ?

vG
LS
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
07.04.2016 um 15:36 Uhr
Hab ich 2-3x probiert, aber er meckert, evtl habe ich aber auch etwas falsch gemacht.. Aber das Routing sollte ich doch nicht einrichten müssen?
Bitte warten ..
Mitglied: laster
07.04.2016 um 15:44 Uhr
Aber das Routing sollte ich doch nicht einrichten müssen?
Normalerweise macht das der Router selbst, wenn Du die LANs / Zonen erstellst.
Wenn Du die DMZ nochmal löschst und neu einrichtest?
Gibt es noch Firewall-Rules? Die müssten dann wahrscheinlich von Hand eingestellt werden.
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
07.04.2016 um 15:53 Uhr
Zitat von @laster:
Normalerweise macht das der Router selbst, wenn Du die LANs / Zonen erstellst.
Wenn Du die DMZ nochmal löschst und neu einrichtest?
Kann ich machen, aber auch dann werd ich es nicht sehen.. Der Router erstellt das Routing im Hintergrund und trägt sie nicht manuell in die Liste ein.
Gibt es noch Firewall-Rules? Die müssten dann wahrscheinlich von Hand eingestellt werden.
Diese habe ich bereits manuell erstellt! :-) face-smile
Bitte warten ..
Mitglied: Dani
07.04.2016 um 15:59 Uhr
Kann ich machen, aber auch dann werd ich es nicht sehen.. Der Router erstellt das Routing im Hintergrund und trägt sie nicht manuell in die Liste ein.
Richtig, aber wenn du beim Einrichten entsprechend die Subnetzmaske angibst, stimmt auch das Routing. :-) face-smile


Gruß,
Dani
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
07.04.2016, aktualisiert um 16:55 Uhr
Bei einem Port und einer Maschine die direkt daran hängt ist doch schnurz, ob ich den Port Tagged wähle oder nicht oder?

EDIT:Ich habe jetzt alles neu erstellt: Funktionierte nicht!
Dann habe ich die IEEE 802.1p-Prioriät auf höchste gestellt und den Port auf Tagged: Es klappt, leider in beide Richtungen..

EDIT2:Priorität wieder runter: Und es klappt nicht mehr..

EDIT3: Wieder auf höchste und es funktioniert trotzdem nicht mehr..

EDIT4: Immer wenn ich den DMZ Port auf Tagged umstelle funktioniert es für 45 Sekunden etwa wieder :-/ face-confused
Bitte warten ..
Mitglied: laster
07.04.2016 um 17:14 Uhr
Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
Wenn an dem internen Switch des Routers die DMZ über VLAN eingerichtet wird, dann wird es wohl so sein, dass Du am (DMZ)Port ein Gerät anschließen musst, welches nur Pakete annimmt, die mit VLAN-Tag 3 markiert sind.
Hänge also einen kleinen Switch (z.B. Netgear GS108T) an den Router-DMZ-Port und tagge den Switchport auf VLAN 3. Die anderen Switchports nimmst Du ungetaggt als VLAN3-Member auf. Dann sind alle Endgeräte an diesem kleinen Switch in der DMZ.

Ansonsten, wenn nur ein Gerät am DMZ-Port hängt, musst Du die NIC an dem Gerät mit VLAN 3 taggen.

vG
LS
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
07.04.2016 um 17:26 Uhr
Zitat von @laster:
Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
Wenn an dem internen Switch des Routers die DMZ über VLAN eingerichtet wird, dann wird es wohl so sein, dass Du am (DMZ)Port ein Gerät anschließen musst, welches nur Pakete annimmt, die mit VLAN-Tag 3 markiert sind.
Hänge also einen kleinen Switch (z.B. Netgear GS108T) an den Router-DMZ-Port und tagge den Switchport auf VLAN 3. Die anderen Switchports nimmst Du ungetaggt als VLAN3-Member auf. Dann sind alle Endgeräte an diesem kleinen Switch in der DMZ.
Leider habe ich nur haufenweise Unmanaged Switche hier rumliegend.. Schade..
Ansonsten, wenn nur ein Gerät am DMZ-Port hängt, musst Du die NIC an dem Gerät mit VLAN 3 taggen.
Wie mache ich das unter Windows?
vG
LS
LG auch :-) face-smile
Bitte warten ..
Mitglied: laster
07.04.2016 um 17:31 Uhr
Wie mache ich das unter Windows?
keine Ahnung, würde bei den Eigenschaften der NIC nachschauen oder googeln ...
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
08.04.2016, aktualisiert um 11:48 Uhr
So.. Hab die NIC nun mit dem VLAN3 getaggt. Funktioniert immernoch nicht..
Aus VLAN3(DMZ) kann ich nichts im LAN anpingen, ausser das Gateway im LAN.
Aus dem LAN kann ich gar nichts im VLAN3(DMZ) anpingen, auch nicht das Gateway im VLAN3(DMZ)
Bitte warten ..
Mitglied: Thorsten85
08.04.2016 um 12:55 Uhr
Moin,

warum "untaggst" du den DMZ-Port nicht der Einfachheithalber? Oder gibt es einen Grund für ein tagging?
Würde schon mal nen Fehler beim tagging der Netzwerkkarte ausschließen.

Bist du dir sicher, dass die Regeln der Firewall korrekt sind?

Gruß,

Thorsten
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
08.04.2016 um 14:13 Uhr
Zitat von @Thorsten85:
Moin,
Hi!
warum "untaggst" du den DMZ-Port nicht der Einfachheithalber?
Würde schon mal nen Fehler beim tagging der Netzwerkkarte ausschließen.
Hab ich auch bereits schon getan, nützt nichts..
Bist du dir sicher, dass die Regeln der Firewall korrekt sind?
Ich erstelle hier keine Regeln, sonder ich habe in der Firewall die Funktion "Zone Control":
zone-control - Klicke auf das Bild, um es zu vergrößern
Gruß,
Thorsten
Grüsse auch :-) face-smile
Bitte warten ..
Mitglied: Thorsten85
08.04.2016, aktualisiert um 15:54 Uhr
Ich erstelle hier keine Regeln, sonder ich habe in der Firewall die Funktion "Zone Control":


Ich kenne die Zyxel-Geräte leider gar nicht aber mir scheint so als erlaube die "Zone Control" generell erstmal den Traffic zwischen den Zonen.
Was dann expliziet an Traffic bzw. Services erlaubt wird könnte unter "Access Control" eingestellt werden.
Also z.B. Ping von DMZ in LAN oder ähnliches...


EDIT: Lese gerade das in der Access Control ja alles auf "any" steht. Dann fällt mir auch nix mehr ein. :( face-sad
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
08.04.2016, aktualisiert um 15:54 Uhr
Zitat von @Thorsten85:
Was dann expliziet an Traffic bzw. Services erlaubt wird könnte unter "Access Control" eingestellt werden.
Hier habe ich eine Regel erstellt welche jeden Traffic vom LAN in die DMZ durchlässt. Und dies von jeder Source- zu jeder Ziel-IP...
Bitte warten ..
Mitglied: Thorsten85
08.04.2016 um 15:58 Uhr
Habs schon gesehen und meine Antwort editiert.

Vll. liest es ja noch wer der die Zyxel kennt.
Sonst wird es ohne Zugriff auf das Gerät wohl schwierig.
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
08.04.2016 um 16:54 Uhr
Schade.. habe vorhin mit dem Support des schweizer Generalimporteurs für Zyxel telefoniert, musste dem Typ am Telefon zuerst erklären was eine DMZ sei :-( face-sad
man man man da frag ich mich schon...
Selbst nach dem ich ihm das erklärt hatte wusste er nicht mehr weiter..
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
12.04.2016, aktualisiert um 10:58 Uhr
Ich habe hier nun den Port 4 am Router als getaggtes Mitglied vom VLAN3 markiert und von dort ein Kabel zu einem Managed Switch (Port 1), dann vom Port 5 des Managed Switch zum Endgerät. Am Managed Switch habe ich Port 1 als getaggtes Mitglied des VLAN3 eingestellt und den Port 5 als untagged Member des VLAN3. Klappt allerdings nicht. Das Endgerät kriegt eine IP aus dem LAN. und nicht aus dem VLAN3.

Kann das nicht einfach an sch*** Zyxel liegen?
Bitte warten ..
Mitglied: laster
12.04.2016 um 11:39 Uhr
Hallo,

laut Deiner Beschreibung hast Du alles richtig gemacht/getaggt :) face-smile
Das Endgerät kriegt eine IP aus dem LAN. und nicht aus dem VLAN3
wie kann das Endgerät im VLAN 3 eine IP ais dem VLAN 1 (default / LAN) bekommen??
Das Problem würde ich auf der "sch*** Zyxel" suchen.

viel Erfolg
LS
Bitte warten ..
Mitglied: 118080
118080 (Level 2)
12.04.2016 um 12:23 Uhr
Zitat von @laster:
Hallo,
Morgen :-D face-big-smile

wie kann das Endgerät im VLAN 3 eine IP ais dem VLAN 1 (default / LAN) bekommen??
Wenn ich das wüsste :-/ face-confused

Das Problem würde ich auf der "sch* Zyxel" suchen.
Ich meinte es könnte ja am Gerät liegen.. Hab schon ein paar mal gesagt bekommen wie scheis*** Zyxel eigentlich ist, und dass es für solche Verwendungszwecke nicht brauchbar ist. Könnte das der Grund sein, wieso es einfach nicht geht? Weil ich sehe den Fehler wirklich beim besten Willen nicht..

viel Erfolg
LS
Danke ^^ LG
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless42 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 1 TagFrageWeiterbildung7 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...

Windows 10
Dokumentenanzeige auf 2.Bildschirm
gelöst Rico.lehmann93Vor 1 TagFrageWindows 107 Kommentare

Hey Leute, ein Kunde von uns sucht eine Möglichkeit Mietverträge dem Kunden auf einem Bildschirm anzeigen zu lassen. Auf dem Bildschirm soll aber wirklich ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 1 TagFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Windows Server
Zwei Netzwerkkarten im Server
gelöst Big.TurboladerVor 1 TagFrageWindows Server4 Kommentare

Hallo allerseits, ich habe ein Windows Server 2016 in einer VM erstellt um mein Wissen zu erweitern. Doch jetzt hänge ich an einem Problem ...