4
Lan und DMZ selbe IP-Adresse
Hallo
Wie mein Status schon sagt, bin ich Anfänger, was Netzwerk und Routing betrifft.
Folgende Frage:
Ist es möglich, mit einem geeigneten Reouter (ZB Zyxel P662HW), welcher dmz unterstützt, im DMZ Beeich und im LAN bereich den PCs die selbe IP zu vergeben?
Die Bereiche LAN undDMZ werden mitteln Firewall-Roules voneinander getrennt, es sollen alle PCs (aus DMZ und aus LAN) ins Internet gehen können.
Zweck:
Im Lan-Berich läuft ein produktives Netzwerk, welches natürlich nicht gestört werden darf. Im DMZ Bereich sollen PCs zB getestet werden, und da kann es halt schon mal sein, dass ein Test-Pc die selbe IP hat, wie ein Rechner im LAN.
Wenn ich aber die Bereiche LAN und DMZ mittels Firewall-Roule voneinander trenne, sollten keine IP Konflikte entstehen, oder??
Ist das so machbar, oder mache ich einen Ueberlegungsfehler??
Gruss meierjo
Wie mein Status schon sagt, bin ich Anfänger, was Netzwerk und Routing betrifft.
Folgende Frage:
Ist es möglich, mit einem geeigneten Reouter (ZB Zyxel P662HW), welcher dmz unterstützt, im DMZ Beeich und im LAN bereich den PCs die selbe IP zu vergeben?
Die Bereiche LAN undDMZ werden mitteln Firewall-Roules voneinander getrennt, es sollen alle PCs (aus DMZ und aus LAN) ins Internet gehen können.
Zweck:
Im Lan-Berich läuft ein produktives Netzwerk, welches natürlich nicht gestört werden darf. Im DMZ Bereich sollen PCs zB getestet werden, und da kann es halt schon mal sein, dass ein Test-Pc die selbe IP hat, wie ein Rechner im LAN.
Wenn ich aber die Bereiche LAN und DMZ mittels Firewall-Roule voneinander trenne, sollten keine IP Konflikte entstehen, oder??
Ist das so machbar, oder mache ich einen Ueberlegungsfehler??
Gruss meierjo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 165989
Url: https://administrator.de/contentid/165989
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
es macht keine Sinn die Geräte identisch zu konfigurieren und dann für die Kommunikation ein NAT zu machen.
Es gibt genug private IP Adressen nach RFC1918, da sollte das kein Problem sein.
brammer
es macht keine Sinn die Geräte identisch zu konfigurieren und dann für die Kommunikation ein NAT zu machen.
Es gibt genug private IP Adressen nach RFC1918, da sollte das kein Problem sein.
brammer
Hallo Brammer
Ja, ich weiss, das dies eigentlich keinen Sinn macht. Wenn ich aber zB einen Domain-Controller in der Testumgebung habe, kann ich dort ja nicht einfach die
IP ändern, da sonst das ganze AD nicht mehr richtig funktioniert.
Gruss Meierjo
Ja, ich weiss, das dies eigentlich keinen Sinn macht. Wenn ich aber zB einen Domain-Controller in der Testumgebung habe, kann ich dort ja nicht einfach die
IP ändern, da sonst das ganze AD nicht mehr richtig funktioniert.
Gruss Meierjo
Zitat von @Meierjo:
Hallo Brammer
Ja, ich weiss, das dies eigentlich keinen Sinn macht. Wenn ich aber zB einen Domain-Controller in der Testumgebung habe, kann ich
dort ja nicht einfach die
IP ändern, da sonst das ganze AD nicht mehr richtig funktioniert.
Hallo Brammer
Ja, ich weiss, das dies eigentlich keinen Sinn macht. Wenn ich aber zB einen Domain-Controller in der Testumgebung habe, kann ich
dort ja nicht einfach die
IP ändern, da sonst das ganze AD nicht mehr richtig funktioniert.
Das wäre mir aber neu, daß man an Domain-Kontrollern keine IP-Adresse ändern dürfte. Es ist nur etwas Aufwand zu treiben, damit das ordentlich funktioniert.
Aber trotzdem:
Sofern Du in der NZ (oder DMZ wie andere es nennen) die gleichen Adressen verwenden willst, solltest Du ein gerät wählen, das auch auf level 2 Filterfunktionen bietet (bridge/switch). Ich persönlich würde mir sowas slebt mit Hilfe von BSD/linux bauen, aber jede bessere Firewall-Lösung kann das inzwischen auch. Ein stinknormaler Router hat diese Funktion allerdings selten.
Besser ist es aber immer den DMZ Bereich in ein separates IP Netz zu bringen und sich diese Frickelei mit Mac Filter usw. zu ersparen. Es wiederspricht ja auch jeglichem sinnvollen IP Adressdesign doppelte IP Netze zu verwenden.
Sinnvoll ist dort eine kleine Firewall für die DMZ zu verwenden wie z.B. hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Den DMZ Bereich in ein separates IP Netz zu verfrachten wie es auch generell üblich ist und dann mit statischem 1:1 NAT zu arbeiten. D.h. DMZ Rechner bekommen per transparentem NAT IPs aus dem LAN zugewiesen.
Test PCs bekommen dann immer feste eine IP Adresse aus dem vorhanden LAN und tauchen dort mit einer dieser NAT LAN IP auf obwohl sie in einer anderen IP Range arbeiten.
Sowas wäre ein sinnvolles Design wenn es denn unbedingt gleiche Absender IPs von den TestPC aus dem LAN sein müssen.
Eigentlich ist das Unsinn, denn einen PC testen kann man auch immer wenn der eine externer Absender IP aus einem anderen IP Netz hat. Warum sollte das ein Hinderungsgrund sein ??
Sinnvoll ist dort eine kleine Firewall für die DMZ zu verwenden wie z.B. hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Den DMZ Bereich in ein separates IP Netz zu verfrachten wie es auch generell üblich ist und dann mit statischem 1:1 NAT zu arbeiten. D.h. DMZ Rechner bekommen per transparentem NAT IPs aus dem LAN zugewiesen.
Test PCs bekommen dann immer feste eine IP Adresse aus dem vorhanden LAN und tauchen dort mit einer dieser NAT LAN IP auf obwohl sie in einer anderen IP Range arbeiten.
Sowas wäre ein sinnvolles Design wenn es denn unbedingt gleiche Absender IPs von den TestPC aus dem LAN sein müssen.
Eigentlich ist das Unsinn, denn einen PC testen kann man auch immer wenn der eine externer Absender IP aus einem anderen IP Netz hat. Warum sollte das ein Hinderungsgrund sein ??
