2
Routing mit Cisco-Router
Guten Morgen,
Ich habe mal eine zu folgender Konstellation:
Ein Netzwerk ist über ein Cisco-Router mit dem Rechenzentrum eines MPLS-Providers verbunden, hier steht eine Firewall die den Zugang zum Internet ermöglicht. An dem Cisco-Router sind zwei Interfaces konfiguriert:
VLAN1: lokales Netzwerk
VLAN2: DMZ
Das Routing aus dem lokalen Netzwerk in die DMZ kann über die Firewall erfolgen, hierzu hat der Cisco-Router die Firewall als Default Gateway konfiguriert. Es soll nun aber auch möglich sein, dass aus dem lokalen Netz direkt ohne Umweg auf ausgewählte IPs in der DMZ zugegriffen wird. Ist das technisch möglich, dass man in der ACL konfiguriert, dass auf IP1 direkt zugegriffen werden kann und auf IP2 geroutet über die Firewall?
Der Cisco-Router wird nicht von uns konfiguriert, das genaue Modell ist noch nicht bekannt und es handelt sich bisher nur um graue Theorie!
Ich habe mal eine zu folgender Konstellation:
Ein Netzwerk ist über ein Cisco-Router mit dem Rechenzentrum eines MPLS-Providers verbunden, hier steht eine Firewall die den Zugang zum Internet ermöglicht. An dem Cisco-Router sind zwei Interfaces konfiguriert:
VLAN1: lokales Netzwerk
VLAN2: DMZ
Das Routing aus dem lokalen Netzwerk in die DMZ kann über die Firewall erfolgen, hierzu hat der Cisco-Router die Firewall als Default Gateway konfiguriert. Es soll nun aber auch möglich sein, dass aus dem lokalen Netz direkt ohne Umweg auf ausgewählte IPs in der DMZ zugegriffen wird. Ist das technisch möglich, dass man in der ACL konfiguriert, dass auf IP1 direkt zugegriffen werden kann und auf IP2 geroutet über die Firewall?
Der Cisco-Router wird nicht von uns konfiguriert, das genaue Modell ist noch nicht bekannt und es handelt sich bisher nur um graue Theorie!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189123
Url: https://administrator.de/contentid/189123
Printed on: April 24, 2024 at 09:04 o'clock
2 Comments
Latest comment
Das hiesige Cisco Tutorial genau gelesen ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die Frage ist falsch gestellt, denn mit ACLs hat das rein gar nix zu tun, denn die bestimmen ja nur WER mit WEM darf. Welches Router Modell das ist und wer es konfiguriert speilt ebenso keine Rolle (...oder nur sehr bedingt, da du daran ja eh' nix ändern kannst !)
Du musst das Routing der lokalen Endgeräte entsprechend anpassen wenn du den Umweg über den Cisco vermeiden willst ! Macht auch Sinn, denn so bekommst du den Traffic von einem Gerät weg was du nicht selber kontrollieren kannst. Allein aus Sicherheitsgründen schon ein gravierender Punkt abgesehen von der Managebarkeit die ja so weit wie möglich auf deinen eigenen Komponenten liegen sollte !
Die Problematik ist der Default Gateway Eintrag dieser Endgeräte im lokalen Netz, der ja vermutlich auf den Cisco zeigt. Dieser routet dann Traffic für die DMZ wieder via Firewall. Ein Umweg also....
Wenn du ICMP Redirect auf deinen Endgeräten aktiviert hast, dann schickt der Cisco immer einen ICMP Typ 8 Frame (Redirect) an das Endgerät, da sich der Router in der DMZ ja im gleichen IP Netz befindet wie das Default Gateway.
Der Cisco Router sagt diesen Endgeräten mit diesem ICMP Redirect dann (salopp): "Hey, den Firewall Router zur DMZ erreichst du hier lokal im Netz unter der IP xyz !!"
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Damit würde dieses Endgerät dann nicht mehr weiter über den Cisco gehen sondern direkt die Pakete an die Firewall senden die sie dann direkt weiter in die DMZ routet. So sollte es sein im Normalfall...nun kommt aber das "Aber":...
Windows verbietet aus Sicherheitsgründen in seiner lokalen Firewall ein ICMP Redirect (Typ 8) dadurch muss der Traffic in die DMZ also IMMER den Umweg über den Cisco gehen und dieser Traffic taucht damit immer doppelt auf im lokalen Netzwerk.
In der Tat nicht sehr gerade effizient und es macht durchaus Sinn das anzupassen was du ja auch sinnvollerweise vorhast !
Du hast 2 Optionen:
1.)
Du passt die lokale Windows Firewall Regel der Endgeräte an indem du einfach eingehende ICMP Redirects (Typ 8) erlaubst.
Sofern es Apple Macs oder Linux Maschinen sind musst du klären ob diese ggf. auch ICMP Redirects mit einer lokalen FW filtern und deren lokale Firewall ebenso anpassen.
Vorteil: Einfach umzusetzen und gilt automatisch für alle Clients im lokalen Netz.
2.)
Du umgehst die ICMP Geschichte indem du den Clients eine direkte statische Route ala route add <DMZ-IP> mask <Maske> <Gateway_IP_FW> -p in die lokale Routing Tabelle schreibst.
Damit umgehst du dann das Default Gateway, also den Cisco, und routest so Pakete vom lokalen Netz auf das DMZ Netzwerk oder einzelne DMZ Hosts (Hostroute) direkt über deine eigene Firewall gleich vom Endgerät aus.
Vorteil: Keine Anpassung der Firewall, Nachteil: Das musst du auf jedem einzelnen Client so einstellen !
Such dir die schönste Option aus für dich. Beide führen problemlos zum Ziel bzw. zur Lösung !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die Frage ist falsch gestellt, denn mit ACLs hat das rein gar nix zu tun, denn die bestimmen ja nur WER mit WEM darf. Welches Router Modell das ist und wer es konfiguriert speilt ebenso keine Rolle (...oder nur sehr bedingt, da du daran ja eh' nix ändern kannst !)
Du musst das Routing der lokalen Endgeräte entsprechend anpassen wenn du den Umweg über den Cisco vermeiden willst ! Macht auch Sinn, denn so bekommst du den Traffic von einem Gerät weg was du nicht selber kontrollieren kannst. Allein aus Sicherheitsgründen schon ein gravierender Punkt abgesehen von der Managebarkeit die ja so weit wie möglich auf deinen eigenen Komponenten liegen sollte !
Die Problematik ist der Default Gateway Eintrag dieser Endgeräte im lokalen Netz, der ja vermutlich auf den Cisco zeigt. Dieser routet dann Traffic für die DMZ wieder via Firewall. Ein Umweg also....
Wenn du ICMP Redirect auf deinen Endgeräten aktiviert hast, dann schickt der Cisco immer einen ICMP Typ 8 Frame (Redirect) an das Endgerät, da sich der Router in der DMZ ja im gleichen IP Netz befindet wie das Default Gateway.
Der Cisco Router sagt diesen Endgeräten mit diesem ICMP Redirect dann (salopp): "Hey, den Firewall Router zur DMZ erreichst du hier lokal im Netz unter der IP xyz !!"
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Damit würde dieses Endgerät dann nicht mehr weiter über den Cisco gehen sondern direkt die Pakete an die Firewall senden die sie dann direkt weiter in die DMZ routet. So sollte es sein im Normalfall...nun kommt aber das "Aber":...
Windows verbietet aus Sicherheitsgründen in seiner lokalen Firewall ein ICMP Redirect (Typ 8) dadurch muss der Traffic in die DMZ also IMMER den Umweg über den Cisco gehen und dieser Traffic taucht damit immer doppelt auf im lokalen Netzwerk.
In der Tat nicht sehr gerade effizient und es macht durchaus Sinn das anzupassen was du ja auch sinnvollerweise vorhast !
Du hast 2 Optionen:
1.)
Du passt die lokale Windows Firewall Regel der Endgeräte an indem du einfach eingehende ICMP Redirects (Typ 8) erlaubst.
Sofern es Apple Macs oder Linux Maschinen sind musst du klären ob diese ggf. auch ICMP Redirects mit einer lokalen FW filtern und deren lokale Firewall ebenso anpassen.
Vorteil: Einfach umzusetzen und gilt automatisch für alle Clients im lokalen Netz.
2.)
Du umgehst die ICMP Geschichte indem du den Clients eine direkte statische Route ala route add <DMZ-IP> mask <Maske> <Gateway_IP_FW> -p in die lokale Routing Tabelle schreibst.
Damit umgehst du dann das Default Gateway, also den Cisco, und routest so Pakete vom lokalen Netz auf das DMZ Netzwerk oder einzelne DMZ Hosts (Hostroute) direkt über deine eigene Firewall gleich vom Endgerät aus.
Vorteil: Keine Anpassung der Firewall, Nachteil: Das musst du auf jedem einzelnen Client so einstellen !
Such dir die schönste Option aus für dich. Beide führen problemlos zum Ziel bzw. zur Lösung !
