meierjo
Goto Top

Lan und DMZ selbe IP-Adresse

Hallo

Wie mein Status schon sagt, bin ich Anfänger, was Netzwerk und Routing betrifft.
Folgende Frage:
Ist es möglich, mit einem geeigneten Reouter (ZB Zyxel P662HW), welcher dmz unterstützt, im DMZ Beeich und im LAN bereich den PCs die selbe IP zu vergeben?

Die Bereiche LAN undDMZ werden mitteln Firewall-Roules voneinander getrennt, es sollen alle PCs (aus DMZ und aus LAN) ins Internet gehen können.

Zweck:
Im Lan-Berich läuft ein produktives Netzwerk, welches natürlich nicht gestört werden darf. Im DMZ Bereich sollen PCs zB getestet werden, und da kann es halt schon mal sein, dass ein Test-Pc die selbe IP hat, wie ein Rechner im LAN.

Wenn ich aber die Bereiche LAN und DMZ mittels Firewall-Roule voneinander trenne, sollten keine IP Konflikte entstehen, oder??

Ist das so machbar, oder mache ich einen Ueberlegungsfehler??

Gruss meierjo

Content-Key: 165989

Url: https://administrator.de/contentid/165989

Printed on: June 25, 2024 at 22:06 o'clock

Member: brammer
brammer May 10, 2011 at 13:28:05 (UTC)
Goto Top
Hallo,

es macht keine Sinn die Geräte identisch zu konfigurieren und dann für die Kommunikation ein NAT zu machen.
Es gibt genug private IP Adressen nach RFC1918, da sollte das kein Problem sein.

brammer
Member: Meierjo
Meierjo May 10, 2011 at 14:37:35 (UTC)
Goto Top
Hallo Brammer

Ja, ich weiss, das dies eigentlich keinen Sinn macht. Wenn ich aber zB einen Domain-Controller in der Testumgebung habe, kann ich dort ja nicht einfach die
IP ändern, da sonst das ganze AD nicht mehr richtig funktioniert.
Gruss Meierjo
Member: Lochkartenstanzer
Lochkartenstanzer May 10, 2011 at 15:04:42 (UTC)
Goto Top
Zitat von @Meierjo:
Hallo Brammer

Ja, ich weiss, das dies eigentlich keinen Sinn macht. Wenn ich aber zB einen Domain-Controller in der Testumgebung habe, kann ich
dort ja nicht einfach die
IP ändern, da sonst das ganze AD nicht mehr richtig funktioniert.

Das wäre mir aber neu, daß man an Domain-Kontrollern keine IP-Adresse ändern dürfte. Es ist nur etwas Aufwand zu treiben, damit das ordentlich funktioniert.

Aber trotzdem:

Sofern Du in der NZ (oder DMZ wie andere es nennen) die gleichen Adressen verwenden willst, solltest Du ein gerät wählen, das auch auf level 2 Filterfunktionen bietet (bridge/switch). Ich persönlich würde mir sowas slebt mit Hilfe von BSD/linux bauen, aber jede bessere Firewall-Lösung kann das inzwischen auch. Ein stinknormaler Router hat diese Funktion allerdings selten.
Member: aqui
aqui May 11, 2011, updated at Oct 18, 2012 at 16:46:50 (UTC)
Goto Top
Besser ist es aber immer den DMZ Bereich in ein separates IP Netz zu bringen und sich diese Frickelei mit Mac Filter usw. zu ersparen. Es wiederspricht ja auch jeglichem sinnvollen IP Adressdesign doppelte IP Netze zu verwenden.
Sinnvoll ist dort eine kleine Firewall für die DMZ zu verwenden wie z.B. hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Den DMZ Bereich in ein separates IP Netz zu verfrachten wie es auch generell üblich ist und dann mit statischem 1:1 NAT zu arbeiten. D.h. DMZ Rechner bekommen per transparentem NAT IPs aus dem LAN zugewiesen.
Test PCs bekommen dann immer feste eine IP Adresse aus dem vorhanden LAN und tauchen dort mit einer dieser NAT LAN IP auf obwohl sie in einer anderen IP Range arbeiten.
Sowas wäre ein sinnvolles Design wenn es denn unbedingt gleiche Absender IPs von den TestPC aus dem LAN sein müssen.
Eigentlich ist das Unsinn, denn einen PC testen kann man auch immer wenn der eine externer Absender IP aus einem anderen IP Netz hat. Warum sollte das ein Hinderungsgrund sein ??