Routing unter Windows in zwei Netzwerke
13.08.2010
15:34:29 Uhr2028 Aufrufe
7 Antworten
15:34:29 Uhr
7 Antworten
Wenig anspruchsvoll -1
Es geht um Routing unter Windows XP SP3, der Traffic auf ein IP-Segment soll auf Karte #1, alles andere (also auch Internet-Traffic) soll auf Karte #2 geroutet werden
Hallo liebe Forengemeinde,
folgendes Szenario: Mein Rechner besitzt 2 Netzwerkkarten, an der einen hänge ich im Firmennetzwerk, die andere ist an einen kleinen ADSL-Router angeschlossen (DHCP etc), welcher eine weitere Internetverbindung bereit stellt.
Ich würde gerne erreichen, das sämtliche Zugriffe auf das Internet über den ADSL-Anschluss erfolgen, und NUR Zugriffe auf das IP-Segment des Firmennetzwerkes (172.0.0.0) über die andere Karte gehen.
Sowohl das Firmennetzwerk wie auch der Router stellen DHCP bereit.
System: Windows XP SP3, Netzwerk IPv4 only
Karte #1:
IP: 172.18.37.64
Gateway: 172.18.36.1
Karte #2:
IP: 192.168.2.187
Gateway: 192.168.2.1
Mit welchen Routing-regeln kann ich dies erreichen (auch nach dem Neustart)?
Vielen Dank im Vorraus,
Philipp
folgendes Szenario: Mein Rechner besitzt 2 Netzwerkkarten, an der einen hänge ich im Firmennetzwerk, die andere ist an einen kleinen ADSL-Router angeschlossen (DHCP etc), welcher eine weitere Internetverbindung bereit stellt.
Ich würde gerne erreichen, das sämtliche Zugriffe auf das Internet über den ADSL-Anschluss erfolgen, und NUR Zugriffe auf das IP-Segment des Firmennetzwerkes (172.0.0.0) über die andere Karte gehen.
Sowohl das Firmennetzwerk wie auch der Router stellen DHCP bereit.
System: Windows XP SP3, Netzwerk IPv4 only
Karte #1:
IP: 172.18.37.64
Gateway: 172.18.36.1
Karte #2:
IP: 192.168.2.187
Gateway: 192.168.2.1
Mit welchen Routing-regeln kann ich dies erreichen (auch nach dem Neustart)?
Vielen Dank im Vorraus,
Philipp
Arch-Stanton schreibt am 13.08.2010 um 18:24:00 Uhr
das nennt sich policy-based routing und sollte von einem Router übernomen werden, welcher die zwei Zugänge dann selber verwaltet. Was machst Du beim Ausfall des ADSL´s? Den Rechner dann umzukonfigurieren dauert länger als der Automatismus beim Router. Ein anständiger Router, z.B. ein Lancom 1711, ermöglicht bis zu vier unterschiedliche WAN-Zugänge. Da kann dann jedem Protokoll ein WANzugang zugeordnet werden. Man kann sowas auch mit einer Monowall bauen.
Gruß, Arch Stanton
Gruß, Arch Stanton
phiber4591 schreibt am 13.08.2010 um 19:16:42 Uhr
Das ist vielleicht etwas zu viel des Guten.
Der ADSL Zugang ist nur für mich privat um die Firewall des Unternehmens umschiffen zu können, der Zugang darf auf keinen Fall für Leute aus dem Firmennetz nutzbar werden, es geht hier nur darum, meinem Rechner klar zu machen wo welcher Traffic hin soll.
Der ADSL Zugang ist nur für mich privat um die Firewall des Unternehmens umschiffen zu können, der Zugang darf auf keinen Fall für Leute aus dem Firmennetz nutzbar werden, es geht hier nur darum, meinem Rechner klar zu machen wo welcher Traffic hin soll.
Dani schreibt am 13.08.2010 um 20:05:47 Uhr
So kann man natürlich auch eine Backdoort als Admin einrichten... mal was anderes. Sowas hört man meist eigentlich nur über Mitarbeiter.
Mich würde den Grund interessieren für was du einen offenen ADSL-Anschluss benötigst?
Stell einen 2. Rechner hin und häng dort das ADSL hin und gut ist.
Grüße,
Dani
Mich würde den Grund interessieren für was du einen offenen ADSL-Anschluss benötigst?
Stell einen 2. Rechner hin und häng dort das ADSL hin und gut ist.
Grüße,
Dani
phiber4591 schreibt am 15.08.2010 um 22:01:45 Uhr
Hat mit Faulheit zu tun - die Firewall ist so eine Hardware-Appliance, und manches lässt die nicht durch, z.B. funktionieren Downloads über 15MB (fast) nie und SSH funktioniert auch nicht (sinnvoller weise, sonst könnte ja jeder ohne Firewall nach draußen^^. Und für Remote-Zugriff auf Webserver ist SSH Pflicht.
Der 2. Rechner steht da schon - aber wozu? Ich brauche ja nur das Routing einzustellen und schon ist gut.
Meine Lösung sieht jetzt erstmal wie folgt aus:
route add 0.0.0.0 mask 0.0.0.0 192.168.2.1 -p
route add 172.18.37.0 mask 255.255.255.0 172.18.37.64 -p
Der 2. Rechner steht da schon - aber wozu? Ich brauche ja nur das Routing einzustellen und schon ist gut.
Meine Lösung sieht jetzt erstmal wie folgt aus:
route add 0.0.0.0 mask 0.0.0.0 192.168.2.1 -p
route add 172.18.37.0 mask 255.255.255.0 172.18.37.64 -p
Dani schreibt am 16.08.2010 um 10:46:23 Uhr
Moin,
Ich dachte bisher immer, dass Admins alle Eventualitäten bei solchen Dingen abwägen und (bei Netzwerksicherheit in der heutigen Zeit) kein ein Riskio eingehen.
Naja, es ist noch kein Meister vom Himmel gefallen.
Viele Grüße,
Dani
die Firewall ist so eine Hardware-Appliance, und manches lässt die nicht durch, z.B. funktionieren Downloads über 15MB (fast
Schon mal dran gedacht, dass es an einer Regel liegt bzw. ein Bug in der Software? Oder einfach mal den Herstellersupport fragen. Die haben meistens auch das Wissen zu ihren Produkten.SSH funktioniert auch nicht (sinnvoller weise, sonst könnte ja jeder ohne Firewall nach draußen^^. Und für Remote-Zugriff auf Webserver ist SSH Pflicht.
Nur gut, dass Firewalls so unflexibel sind und keine genauen Regeln (IP, Protokoll, Typ, etc...) definierbar sind - sowohl von Extern nach Intern bzw. andersrum.Der 2. Rechner steht da schon - aber wozu? Ich brauche ja nur das Routing einzustellen und schon ist gut.
Das du Firmennetz und Laborinternet phys. trennen kannst. Somit wäre die Sicherheit wiederhergestellt!Ich dachte bisher immer, dass Admins alle Eventualitäten bei solchen Dingen abwägen und (bei Netzwerksicherheit in der heutigen Zeit) kein ein Riskio eingehen.
Naja, es ist noch kein Meister vom Himmel gefallen.
Viele Grüße,
Dani
aqui schreibt am 19.08.2010 um 12:09:36 Uhr
Metriken wäre ja Unsinn bei ihm denn er hat hat ja keine doppelten Router die er wichten müsste !
Die Lösung ist ganz banal, denn man benötigt gar keine statischen Routen !
Das Default Gateway bekommt er vom DSL Router über den die Viren und Trojaner ins Firmennetz kommen. Auf der NIC ins Firmennetz wird lediglich die IP Adresse und das Gateway angegeben und nichts weiter !
Damit gehen dann alle Pakete ins Internet via DSL Router und alles ins 172.18.37.0er Netz über die NIC ins Firmennetz...so einfach ist das !
Probleme wird er ggf. mit dem DNS bekommen, denn der steht ja nun auf den DSL Router, der damit dann keine internen Firmennamen auflösen kann weil er diese logischerweise nicht kennt.
Stellt er den DNS auf den Firmen DNS ein kann er keine Internet Namen mehr auflösen....
Die Lösung ist aber auch banal:
DNS via DHCP auf dem DSL belassen und die lokalen Firmen DNS Namen fest in die Datei lmhosts unter c:/windows/system32/drivers/etc/ eintragen.
Wie das genau geht steht hier:
http://www.administrator.de/index.php?con ...
Fertisch ist der Backdoor Router mit Firmenzugang !
Die Lösung ist ganz banal, denn man benötigt gar keine statischen Routen !
Das Default Gateway bekommt er vom DSL Router über den die Viren und Trojaner ins Firmennetz kommen. Auf der NIC ins Firmennetz wird lediglich die IP Adresse und das Gateway angegeben und nichts weiter !
Damit gehen dann alle Pakete ins Internet via DSL Router und alles ins 172.18.37.0er Netz über die NIC ins Firmennetz...so einfach ist das !
Probleme wird er ggf. mit dem DNS bekommen, denn der steht ja nun auf den DSL Router, der damit dann keine internen Firmennamen auflösen kann weil er diese logischerweise nicht kennt.
Stellt er den DNS auf den Firmen DNS ein kann er keine Internet Namen mehr auflösen....
Die Lösung ist aber auch banal:
DNS via DHCP auf dem DSL belassen und die lokalen Firmen DNS Namen fest in die Datei lmhosts unter c:/windows/system32/drivers/etc/ eintragen.
Wie das genau geht steht hier:
http://www.administrator.de/index.php?con ...
Fertisch ist der Backdoor Router mit Firmenzugang !
