5
Konfigurationsproblem DMZ
Mit kleinen Schritten und etwas Hilfe komme ich mit meinem Netzwerk immer weiter voran.
Nächste - und letzte - Hürde ist die Einrichtung eines WebDAV Servers in der DMZ meiner m0n0wall.
Als ersten Schritt habe ich das DMZ-Interface nach dem m0n0wall Handbuch eingerichtet.
Die DMZ hat den IP-Bereich 192.168.1.1/24, der Webserver besitzt die statische IP 192.168.1.1
Dem LAN ist der IP-Bereich 192.168.2.1/24 zugewiesen.
Die m0n0wall besitzt die IP 192.168.2.100
Inbound NAT ist wie folgt eingerichtet:
Was mich jetzt verblüfft und total irritiert ist die Tatsache, daß ich bei Aufruf von 192.168.1.1 aus dem LAN (das eigentlich ohne entsprechende Konfiguration gar nicht auf das andere Subnetz zugreifen können sollte), die Konfigurationsseite der m0n0wall erreiche.
Sofern ich die Firewall-Regel
aktiviere, bin ich natürlich auch aus dem WAN bei Aufruf meiner ext. IP-Adresse auf der m0n0wall-Konfigurationsseite.
Da liegt offensichtlich ein fundamentaler Denkfehler bei mir vor. Für einen Schubs in die Richtige Richtung (in Form eines entsprechenden Hinweises) würde ich mich sehr freuen.
Ganz herzlichen Dank im voraus.
Gruß Jürgen
Die DMZ hat den IP-Bereich 192.168.1.1/24, der Webserver besitzt die statische IP 192.168.1.1
Dem LAN ist der IP-Bereich 192.168.2.1/24 zugewiesen.
Die m0n0wall besitzt die IP 192.168.2.100
Inbound NAT ist wie folgt eingerichtet:
If Proto Ext. port NAT IP Int. port Description
range range
WAN TCP 80 (HTTP) 192.168.1.1 80 (HTTP) HTTP Zugriff auf
WebDAV Server
Was mich jetzt verblüfft und total irritiert ist die Tatsache, daß ich bei Aufruf von 192.168.1.1 aus dem LAN (das eigentlich ohne entsprechende Konfiguration gar nicht auf das andere Subnetz zugreifen können sollte), die Konfigurationsseite der m0n0wall erreiche.
Sofern ich die Firewall-Regel
Proto Source Port Destination Port Description
TCP * * 192.168.1.1 80 (HTTP) HTTP Zugriff auf
WebDAV Server
Da liegt offensichtlich ein fundamentaler Denkfehler bei mir vor. Für einen Schubs in die Richtige Richtung (in Form eines entsprechenden Hinweises) würde ich mich sehr freuen.
Ganz herzlichen Dank im voraus.
Gruß Jürgen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 170402
Url: https://administrator.de/contentid/170402
Printed on: April 25, 2024 at 14:04 o'clock
5 Comments
Latest comment
Überprüf mal die IP-Adressen auf den verschiedenene Schnittstellen der Monowall.
Hey,
dein Webserver hat die falsche IP... Die M0n0wall benötigt auch eine IP im Subnetz, irgendwie muss sie auch mit den Servern in der DMZ sprechen können
aktuell haben die wall UND dein Webserver die IP 192.168.1.1 zugewiesen, dann kann nicht klappen
besser:
wall: 192.168.1.1
Webserver: 192.168.1.2
Freigaben anpassen, dann läuft es
Gruß
dein Webserver hat die falsche IP... Die M0n0wall benötigt auch eine IP im Subnetz, irgendwie muss sie auch mit den Servern in der DMZ sprechen können
aktuell haben die wall UND dein Webserver die IP 192.168.1.1 zugewiesen, dann kann nicht klappen
besser:
wall: 192.168.1.1
Webserver: 192.168.1.2
Freigaben anpassen, dann läuft es
Gruß
Wenn es läuft, solltest Du auf deinem Webserver SSL aktivieren. Damit kannst Du deine Verbindungen verschlüsselt aufbauen. Der Port ändert sich dann für HTTPS auf 443.
Irgendwo ist da ja der Wurm in der IP Adressierung:
Oben steht
der Webserver besitzt die statische IP 192.168.1.1
und
wall: 192.168.1.1
Was ja schon mal per se nicht geht , denn so hätte man die IP mit der .1 ja doppelt vergeben !
Auch "...LAN ist der IP-Bereich 192.168.2.1/24 " ist irgendwie Unsinn, denn einer Host Adresse wie der .1 kann man kein LAN zuweisen. Wenn schon technisch korrekt müsste es 192.168.2.0 /24 heissen, denn das IP Netz selber bezeichnet immer die IP, wo alle Host Bits auf 0 sind !!
Du solltest also erstmal deine korrekte IP Adressierung überprüfen, denn dann passieren solche Dinge auch nicht.
Sinnvoll ist es der Monowall auf allen Interfaces z.B. die .254 am obersten Ende zu geben um solche Überschneidungsprobleme sicher zu vermeiden !
Wenn das sauber gemacht ist hast du solche Probleme auch nicht !!
Oben steht
der Webserver besitzt die statische IP 192.168.1.1
und
wall: 192.168.1.1
Was ja schon mal per se nicht geht , denn so hätte man die IP mit der .1 ja doppelt vergeben !
Auch "...LAN ist der IP-Bereich 192.168.2.1/24 " ist irgendwie Unsinn, denn einer Host Adresse wie der .1 kann man kein LAN zuweisen. Wenn schon technisch korrekt müsste es 192.168.2.0 /24 heissen, denn das IP Netz selber bezeichnet immer die IP, wo alle Host Bits auf 0 sind !!
Du solltest also erstmal deine korrekte IP Adressierung überprüfen, denn dann passieren solche Dinge auch nicht.
Sinnvoll ist es der Monowall auf allen Interfaces z.B. die .254 am obersten Ende zu geben um solche Überschneidungsprobleme sicher zu vermeiden !
Wenn das sauber gemacht ist hast du solche Probleme auch nicht !!
Hallo,
erst einmal ganz herzlichen Dank für die Rückmeldungen, auch in den anderen Beiträgen von mir - es läuft jetzt!
Darüber hinaus auch Entschuldigung, falls meine Fragen allzu laienhaft sind. Ich tue mich mit Netzwerkfragen wirklich schwer. Das liegt einfach daran, daß ich leider nur sehr wenig Zeit für die Beschäftigung mit dem Computer/Netzwerk aufbringen kann. Es muß halt laufen ...
So habe ich es auch schlußendlich gemacht. Ich hatte (Netzwerklaie!) einfach total verpeilt, daß die m0n0wall natürlich auch noch eine IP in der DMZ hat. Bei dem WebDAV-"Server" handelt es sich lediglich um einen kleinen Netzwerkadapter, an dem eine USB-Platte hängt (NAS 3.0 von Addonics). Und die IP 192.168.1.1 war schon voreingestellt.
Siehe oben.
Du hast natürlich recht. Aber bei der Angabe des IP-Bereiches für das LAN hatte ich mich lediglich falsch ausgedruckt. "Die DMZ hat den IP-Bereich 192.168.1.1/24" und "Dem LAN ist der IP-Bereich 192.168.2.1/24 zugewiesen" meint lediglich, daß ich diese Angaben bei der IP-Konfiguration in der m0n0wall für LAN und DMZ angegeben habe. Ich hoffe, daß ich mich mit wachsendem know-how auch präziser ausdrücken kann.
Nochmals herzlichen Dank für die Geduld/Hilfsbereitschaft.
Gruß Jürgen
erst einmal ganz herzlichen Dank für die Rückmeldungen, auch in den anderen Beiträgen von mir - es läuft jetzt!
Darüber hinaus auch Entschuldigung, falls meine Fragen allzu laienhaft sind. Ich tue mich mit Netzwerkfragen wirklich schwer. Das liegt einfach daran, daß ich leider nur sehr wenig Zeit für die Beschäftigung mit dem Computer/Netzwerk aufbringen kann. Es muß halt laufen ...
Zitat von @kopie0123:
dein Webserver hat die falsche IP... Die M0n0wall benötigt auch eine IP im
Subnetz, irgendwie muss sie auch mit den Servern in der DMZ sprechen können
aktuell haben die wall UND dein Webserver die IP 192.168.1.1 zugewiesen,
dann kann nicht klappen
besser:
wall: 192.168.1.1
Webserver: 192.168.1.2
dein Webserver hat die falsche IP... Die M0n0wall benötigt auch eine IP im
Subnetz, irgendwie muss sie auch mit den Servern in der DMZ sprechen können
aktuell haben die wall UND dein Webserver die IP 192.168.1.1 zugewiesen,
dann kann nicht klappen
besser:
wall: 192.168.1.1
Webserver: 192.168.1.2
So habe ich es auch schlußendlich gemacht. Ich hatte (Netzwerklaie!) einfach total verpeilt, daß die m0n0wall natürlich auch noch eine IP in der DMZ hat. Bei dem WebDAV-"Server" handelt es sich lediglich um einen kleinen Netzwerkadapter, an dem eine USB-Platte hängt (NAS 3.0 von Addonics). Und die IP 192.168.1.1 war schon voreingestellt.
Zitat von @aqui:
Irgendwo ist da ja der Wurm in der IP Adressierung:
Oben steht
der Webserver besitzt die statische IP 192.168.1.1
und
wall: 192.168.1.1
Irgendwo ist da ja der Wurm in der IP Adressierung:
Oben steht
der Webserver besitzt die statische IP 192.168.1.1
und
wall: 192.168.1.1
Siehe oben.
Auch "...LAN ist der IP-Bereich 192.168.2.1/24 " ist irgendwie Unsinn,
denn einer Host Adresse wie der .1 kann man kein LAN zuweisen. Wenn schon
technisch korrekt müsste es 192.168.2.0 /24 heissen, denn das IP Netz
selber bezeichnet immer die IP, wo alle Host Bits auf 0 sind !!
Du solltest also erstmal deien korrekte IP Adressierung überprüfen, denn
dann passieren solche Dinge auch nicht.
denn einer Host Adresse wie der .1 kann man kein LAN zuweisen. Wenn schon
technisch korrekt müsste es 192.168.2.0 /24 heissen, denn das IP Netz
selber bezeichnet immer die IP, wo alle Host Bits auf 0 sind !!
Du solltest also erstmal deien korrekte IP Adressierung überprüfen, denn
dann passieren solche Dinge auch nicht.
Du hast natürlich recht. Aber bei der Angabe des IP-Bereiches für das LAN hatte ich mich lediglich falsch ausgedruckt. "Die DMZ hat den IP-Bereich 192.168.1.1/24" und "Dem LAN ist der IP-Bereich 192.168.2.1/24 zugewiesen" meint lediglich, daß ich diese Angaben bei der IP-Konfiguration in der m0n0wall für LAN und DMZ angegeben habe. Ich hoffe, daß ich mich mit wachsendem know-how auch präziser ausdrücken kann.
Nochmals herzlichen Dank für die Geduld/Hilfsbereitschaft.
Gruß Jürgen
