5
TRTP - Tricky Routing Task Problem
Zwei Netzwerkkarten im selben Netzwerk hinter einer Firewall sollen zwei unterschiedliche Netze bedienen....
Ich habe einen Server der unter Fedora Core 2 läuft, mit 2 Netzwerkkarten, eine Cisco Firewall, einen Adresspool von Internet-IPs mit einer Subnetzmaske von 255.255.255.248, also 8 bzw. 6 externe IP-Adressen, sowie ein internes 192.168... Netzwerk.
Eine der externen Adressen ist mir für den Apache der auf meinem Server läuft zugewiesen worden. Die Cisco Firewall routed alle Pakete die für diese Adresse kommen auf die interen Adresse 192.168.20.46 weiter, weshalb die erste Netzwerkkarte diese Adresse fix zugewiesen bekommen hat und für den externen Traffic zuständig sein sollte. Die andere Karte hat die Adresse 192.168.20.8 und ist für den internen Traffic zuständig, hat daher eine Route von 192.168.20.0 eingerichtet bekommen und funktioniert auch.
Bei der externen Karte bin ich was Route und Standardgateway angeht ziemlich am Ende meines Wissen angekommen bzw. habe wirklich schon alles mögliche ausprobiert aber bekomme es einfach nicht hin... welche Route, welche Netmask, welches Gateway,...
Falls irgendjemand die Lösung aus dem Ärmel schüttelt oder Lust und Laune hat mir zu helfen wäre ich sehr dankbar!
liebe grüsse
tokehs
Eine der externen Adressen ist mir für den Apache der auf meinem Server läuft zugewiesen worden. Die Cisco Firewall routed alle Pakete die für diese Adresse kommen auf die interen Adresse 192.168.20.46 weiter, weshalb die erste Netzwerkkarte diese Adresse fix zugewiesen bekommen hat und für den externen Traffic zuständig sein sollte. Die andere Karte hat die Adresse 192.168.20.8 und ist für den internen Traffic zuständig, hat daher eine Route von 192.168.20.0 eingerichtet bekommen und funktioniert auch.
Bei der externen Karte bin ich was Route und Standardgateway angeht ziemlich am Ende meines Wissen angekommen bzw. habe wirklich schon alles mögliche ausprobiert aber bekomme es einfach nicht hin... welche Route, welche Netmask, welches Gateway,...
Falls irgendjemand die Lösung aus dem Ärmel schüttelt oder Lust und Laune hat mir zu helfen wäre ich sehr dankbar!
liebe grüsse
tokehs
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2206
Url: https://administrator.de/contentid/2206
Printed on: April 25, 2024 at 14:04 o'clock
5 Comments
Latest comment
Hi Tokehs,
nachdem ich deinen Post jetz mehrfach gelesen habe ich dein Problem nicht so wirklich erkannt zu haben. Was funktioniert denn nicht?
Ist dein Server aus dem Web sauber zu erreichen, und aus dem LAN kommst du nicht drann?
Nur als kleine denk hilfe hast du es schon mal mit einer anderen LAN adresse versucht? Das könnte evtl deinen Blick für die Routen und GAteways vereinfachen.
CU
FISICON
nachdem ich deinen Post jetz mehrfach gelesen habe ich dein Problem nicht so wirklich erkannt zu haben. Was funktioniert denn nicht?
Ist dein Server aus dem Web sauber zu erreichen, und aus dem LAN kommst du nicht drann?
Nur als kleine denk hilfe hast du es schon mal mit einer anderen LAN adresse versucht? Das könnte evtl deinen Blick für die Routen und GAteways vereinfachen.
CU
FISICON
Sorry,
aber bei der Erklärung.........PUH!!!!!!!!!
Wo soll denn die Reise eigentlich hingehen? Und was geht genau nicht?
Stell doch bitte einfach mal den ensprechenden Netzplan ein. Dann kann Dir sicherlich auch geholfen werden.
Gruss,
Stefan
aber bei der Erklärung.........PUH!!!!!!!!!
Wo soll denn die Reise eigentlich hingehen? Und was geht genau nicht?
Stell doch bitte einfach mal den ensprechenden Netzplan ein. Dann kann Dir sicherlich auch geholfen werden.
Gruss,
Stefan
Ich habe leider keinen Plan und bin auch nicht so gut im Zeichnen und Malen, aber da es nicht so kompliziert ist werde ich es einfach so erklären:
Ich habe mehrere Server (W2k, Domino, FC2 (um den es eigentlich geht)) und eine Cisco-Firewall an einem Switch und im selben Netzwerk (192.168.20.0). Extern bekommen wir von unserem Provider einen Adresspool von 8 Adressen, also ein Netzwerk mit 6 nutzbaren IPs zur Verfügung gestellt. Das Kabelmodem des Providers ist mit der externen Seite der Firewall verbunden.
Mein Server hat zwei Netzwerkkarten von denen die eine (eth1) ausschließlich für den internen Traffic zuständig sein soll. Sie hat eine interne Adresse (192.168.20.8) statisch zugewiesen bekommen. Die andere Netzwerkkarte (eth0) sollte eigentlich eine externe Adresse bekommen und direkt am Kabelmodem des Providers angeschlossen sein. Das geht nun wegen der Firewall nicht. Deshalb hängt auch diese Karte am Switch und hat eine interne Adresse statisch zugewiesen bekommen (192.168.20.46).
Die Firewall hängt ebenfalls am Switch und hat ebenfalls eine interne Adresse (192.168.20.2). Sie ist so Konfiguriert, dass sie allen Traffic für eine der exterenen Adressen an die interne Adresse von NIC eth0 (192.168.20.46) weiterleitet.
Alle Geräte sind also Teil des 192.168.20.0 Netzwerks.
Die eigentliche Idee für die Konfiguration des Servers war das eine Netzwerkkarte ausschließlich für den internen Traffic zuständig ist und die andere direkt mit dem Kabelmodem verbunden ausschließlich für den externen Traffic zuständig ist. Auf diesem Server sollen die unterschiedlichen Services teilw. für externe und interne User und teilw. nur für interne User zugänglich sein. Will ich nun einen Dienst, der für beide Gruppen zugänglich ist nur mehr für interne User zugänglich machen, dann ist es sehr einfach die Karte die den externen Traffic regelt abzuschalten. Ich weiß, daß es auch mit einer Karte gehen würde, aber das System mußte auch für Netzwerk-Layen (die Chefs...) zu verstehen sein...
Jetzt ist die Situation leider so, dass ich mit dem Server und beiden Netzwerkkarten hinter der Firewall , im selben Netzwerk sitze und nicht so richtig weiß wie ich das Routing für die "externe" Karten hinbekomme. Die interne hat ein Routing auf 192.168.20.0 verpaßt bekommen und funktioniert auch. Aber bei der externen bin ich ziemlich ratlos, da ich entweder Namensauflösungsprobleme bekomme (Eine Maschine und zwei NICs im selben Netzwerk) oder allen Traffic auf einer Karte oder gar keinen Traffic oder ...
Der Endzustand sollte jedenfalls so aussehen:
Intern:
Aller Traffic aus dem 192.168.20.0 kommt über den switch auf NIC eth1(192.168.20.8) und geht auch wieder über eth1 in dieses Netz
Extern:
Aller Traffic kommt vom Kabelmodem durch die Firewall (192.168.20.2) über den switch auf NIC eth0 (192.168.20.46) und geht den selben Weg auch wieder zurück.
Wie Route ich das? Was ist der default gw für eth0 bzw eth1? Wie schließe ich die Adresse von eth0 (192.168.20.46) vom Routing von eth1 (192.168.20.8) aus???????
Ich hoffe, dass es jetzt ein wenig klarer ist und dass ihr helfen könnt!
Danke und freundliche Grüße
tokehs
Ich habe mehrere Server (W2k, Domino, FC2 (um den es eigentlich geht)) und eine Cisco-Firewall an einem Switch und im selben Netzwerk (192.168.20.0). Extern bekommen wir von unserem Provider einen Adresspool von 8 Adressen, also ein Netzwerk mit 6 nutzbaren IPs zur Verfügung gestellt. Das Kabelmodem des Providers ist mit der externen Seite der Firewall verbunden.
Mein Server hat zwei Netzwerkkarten von denen die eine (eth1) ausschließlich für den internen Traffic zuständig sein soll. Sie hat eine interne Adresse (192.168.20.8) statisch zugewiesen bekommen. Die andere Netzwerkkarte (eth0) sollte eigentlich eine externe Adresse bekommen und direkt am Kabelmodem des Providers angeschlossen sein. Das geht nun wegen der Firewall nicht. Deshalb hängt auch diese Karte am Switch und hat eine interne Adresse statisch zugewiesen bekommen (192.168.20.46).
Die Firewall hängt ebenfalls am Switch und hat ebenfalls eine interne Adresse (192.168.20.2). Sie ist so Konfiguriert, dass sie allen Traffic für eine der exterenen Adressen an die interne Adresse von NIC eth0 (192.168.20.46) weiterleitet.
Alle Geräte sind also Teil des 192.168.20.0 Netzwerks.
Die eigentliche Idee für die Konfiguration des Servers war das eine Netzwerkkarte ausschließlich für den internen Traffic zuständig ist und die andere direkt mit dem Kabelmodem verbunden ausschließlich für den externen Traffic zuständig ist. Auf diesem Server sollen die unterschiedlichen Services teilw. für externe und interne User und teilw. nur für interne User zugänglich sein. Will ich nun einen Dienst, der für beide Gruppen zugänglich ist nur mehr für interne User zugänglich machen, dann ist es sehr einfach die Karte die den externen Traffic regelt abzuschalten. Ich weiß, daß es auch mit einer Karte gehen würde, aber das System mußte auch für Netzwerk-Layen (die Chefs...) zu verstehen sein...
Jetzt ist die Situation leider so, dass ich mit dem Server und beiden Netzwerkkarten hinter der Firewall , im selben Netzwerk sitze und nicht so richtig weiß wie ich das Routing für die "externe" Karten hinbekomme. Die interne hat ein Routing auf 192.168.20.0 verpaßt bekommen und funktioniert auch. Aber bei der externen bin ich ziemlich ratlos, da ich entweder Namensauflösungsprobleme bekomme (Eine Maschine und zwei NICs im selben Netzwerk) oder allen Traffic auf einer Karte oder gar keinen Traffic oder ...
Der Endzustand sollte jedenfalls so aussehen:
Intern:
Aller Traffic aus dem 192.168.20.0 kommt über den switch auf NIC eth1(192.168.20.8) und geht auch wieder über eth1 in dieses Netz
Extern:
Aller Traffic kommt vom Kabelmodem durch die Firewall (192.168.20.2) über den switch auf NIC eth0 (192.168.20.46) und geht den selben Weg auch wieder zurück.
Wie Route ich das? Was ist der default gw für eth0 bzw eth1? Wie schließe ich die Adresse von eth0 (192.168.20.46) vom Routing von eth1 (192.168.20.8) aus???????
Ich hoffe, dass es jetzt ein wenig klarer ist und dass ihr helfen könnt!
Danke und freundliche Grüße
tokehs
du kannst im selben Netz nicht routen (192.168.20.x)
generell, solltest du 2 Netze haben, ein privates (192.168.) und ein öffentliches (die von deinem ISP zugewiesenen adressen) diese beiden verbindest du über einen Router.
ansonsten solltest du Dientste u.s.w durch Berechtigungen, Richtlinien etc. steuern .
Ich glaube du solltest erstmal ein Netzwerk auf dem Papier ausarbeiten, dann siehst du vielleicht auch wo dein Problem liegt.
generell, solltest du 2 Netze haben, ein privates (192.168.) und ein öffentliches (die von deinem ISP zugewiesenen adressen) diese beiden verbindest du über einen Router.
ansonsten solltest du Dientste u.s.w durch Berechtigungen, Richtlinien etc. steuern .
Ich glaube du solltest erstmal ein Netzwerk auf dem Papier ausarbeiten, dann siehst du vielleicht auch wo dein Problem liegt.
Zeichen bitte einmal kurz einen 0815-Plan und schicke ihn an:
Gowitzke@IT-Kooperation.com.
Bastele Dir den dann entsprechend um. Kann aber ein paar Tage dauern, da ich voll in einem Projekt eingebunden bin.
Gruss,
Stefan
Gowitzke@IT-Kooperation.com.
Bastele Dir den dann entsprechend um. Kann aber ein paar Tage dauern, da ich voll in einem Projekt eingebunden bin.
Gruss,
Stefan
