phiber4591
Goto Top

Routing unter Windows in zwei Netzwerke

Es geht um Routing unter Windows XP SP3, der Traffic auf ein IP-Segment soll auf Karte #1, alles andere (also auch Internet-Traffic) soll auf Karte #2 geroutet werden

Hallo liebe Forengemeinde,

folgendes Szenario: Mein Rechner besitzt 2 Netzwerkkarten, an der einen hänge ich im Firmennetzwerk, die andere ist an einen kleinen ADSL-Router angeschlossen (DHCP etc), welcher eine weitere Internetverbindung bereit stellt.

Ich würde gerne erreichen, das sämtliche Zugriffe auf das Internet über den ADSL-Anschluss erfolgen, und NUR Zugriffe auf das IP-Segment des Firmennetzwerkes (172.0.0.0) über die andere Karte gehen.

Sowohl das Firmennetzwerk wie auch der Router stellen DHCP bereit.

System: Windows XP SP3, Netzwerk IPv4 only

Karte #1:
IP: 172.18.37.64
Gateway: 172.18.36.1

Karte #2:
IP: 192.168.2.187
Gateway: 192.168.2.1

Mit welchen Routing-regeln kann ich dies erreichen (auch nach dem Neustart)?

Vielen Dank im Vorraus,

Philipp

Content-Key: 148956

Url: https://administrator.de/contentid/148956

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: Arch-Stanton
Arch-Stanton 13.08.2010 um 18:24:00 Uhr
Goto Top
das nennt sich policy-based routing und sollte von einem Router übernomen werden, welcher die zwei Zugänge dann selber verwaltet. Was machst Du beim Ausfall des ADSL´s? Den Rechner dann umzukonfigurieren dauert länger als der Automatismus beim Router. Ein anständiger Router, z.B. ein Lancom 1711, ermöglicht bis zu vier unterschiedliche WAN-Zugänge. Da kann dann jedem Protokoll ein WANzugang zugeordnet werden. Man kann sowas auch mit einer Monowall bauen.

Gruß, Arch Stanton
Mitglied: phiber4591
phiber4591 13.08.2010 um 19:16:42 Uhr
Goto Top
Das ist vielleicht etwas zu viel des Guten.

Der ADSL Zugang ist nur für mich privat um die Firewall des Unternehmens umschiffen zu können, der Zugang darf auf keinen Fall für Leute aus dem Firmennetz nutzbar werden, es geht hier nur darum, meinem Rechner klar zu machen wo welcher Traffic hin soll.
Mitglied: Dani
Dani 13.08.2010 um 20:05:47 Uhr
Goto Top
So kann man natürlich auch eine Backdoort als Admin einrichten... mal was anderes. Sowas hört man meist eigentlich nur über Mitarbeiter.
Mich würde den Grund interessieren für was du einen offenen ADSL-Anschluss benötigst?

Stell einen 2. Rechner hin und häng dort das ADSL hin und gut ist.


Grüße,
Dani
Mitglied: phiber4591
phiber4591 15.08.2010 um 22:01:45 Uhr
Goto Top
Hat mit Faulheit zu tun - die Firewall ist so eine Hardware-Appliance, und manches lässt die nicht durch, z.B. funktionieren Downloads über 15MB (fast) nie und SSH funktioniert auch nicht (sinnvoller weise, sonst könnte ja jeder ohne Firewall nach draußen^^. Und für Remote-Zugriff auf Webserver ist SSH Pflicht.

Der 2. Rechner steht da schon - aber wozu? Ich brauche ja nur das Routing einzustellen und schon ist gut.

Meine Lösung sieht jetzt erstmal wie folgt aus:

route add 0.0.0.0 mask 0.0.0.0 192.168.2.1 -p

route add 172.18.37.0 mask 255.255.255.0 172.18.37.64 -p
Mitglied: Dani
Dani 16.08.2010 um 10:46:23 Uhr
Goto Top
Moin,
die Firewall ist so eine Hardware-Appliance, und manches lässt die nicht durch, z.B. funktionieren Downloads über 15MB (fast
Schon mal dran gedacht, dass es an einer Regel liegt bzw. ein Bug in der Software? Oder einfach mal den Herstellersupport fragen. Die haben meistens auch das Wissen zu ihren Produkten.

SSH funktioniert auch nicht (sinnvoller weise, sonst könnte ja jeder ohne Firewall nach draußen^^. Und für Remote-Zugriff auf Webserver ist SSH Pflicht.
Nur gut, dass Firewalls so unflexibel sind und keine genauen Regeln (IP, Protokoll, Typ, etc...) definierbar sind - sowohl von Extern nach Intern bzw. andersrum.

Der 2. Rechner steht da schon - aber wozu? Ich brauche ja nur das Routing einzustellen und schon ist gut.
Das du Firmennetz und Laborinternet phys. trennen kannst. Somit wäre die Sicherheit wiederhergestellt!

Ich dachte bisher immer, dass Admins alle Eventualitäten bei solchen Dingen abwägen und (bei Netzwerksicherheit in der heutigen Zeit) kein ein Riskio eingehen.
Naja, es ist noch kein Meister vom Himmel gefallen.


Viele Grüße,
Dani
Mitglied: troeet
troeet 17.08.2010 um 23:34:02 Uhr
Goto Top
beim route befehl kannst du ein interface und ne metric angeben. soweit ich weiss werden routen mit geringerer metric bevorzugt. sonst post mal "route print"
Mitglied: aqui
aqui 19.08.2010, aktualisiert am 18.10.2012 um 18:43:10 Uhr
Goto Top
Metriken wäre ja Unsinn bei ihm denn er hat hat ja keine doppelten Router die er wichten müsste !
Die Lösung ist ganz banal, denn man benötigt gar keine statischen Routen !
Das Default Gateway bekommt er vom DSL Router über den die Viren und Trojaner ins Firmennetz kommen. Auf der NIC ins Firmennetz wird lediglich die IP Adresse und das Gateway angegeben und nichts weiter !
Damit gehen dann alle Pakete ins Internet via DSL Router und alles ins 172.18.37.0er Netz über die NIC ins Firmennetz...so einfach ist das !

Probleme wird er ggf. mit dem DNS bekommen, denn der steht ja nun auf den DSL Router, der damit dann keine internen Firmennamen auflösen kann weil er diese logischerweise nicht kennt.
Stellt er den DNS auf den Firmen DNS ein kann er keine Internet Namen mehr auflösen....
Die Lösung ist aber auch banal:
DNS via DHCP auf dem DSL belassen und die lokalen Firmen DNS Namen fest in die Datei lmhosts unter c:/windows/system32/drivers/etc/ eintragen.
Wie das genau geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Fertisch ist der Backdoor Router mit Firmenzugang !