14
Zwei unterschiedliche Netze mit Gateways ins Internet
Hallo Leute,
ich brauch wieder mal Eure Hilfe.
Also, hier ist mein Problem:
Ich habe einen Windows 2003 SBS. In dem stecken zwei Netzwerkkarten. Es läuft auch ein IIS mit einer Webseite ein Webshop drauf.
Mein Problem ist jetzt, dass die Webseite über ein anderes Subnetz greifbar sein soll (aus Sicherheitsgründen), alse der Server bzw. die Internetverbindung der Servers.
Hmm ... ist ein wenig schwer zu beschreiben, hier mal das Schema:
+------------------------ 10.0.3.254 - Router 1 - 85.x.x.102 ----------------------Internet Kunden
!
!
Server
10.0.3.1
Server
10.0.0.250
!
!
+--------------------------10.0.0.254 - Router 2 - 85.x.x.99 -------------------------Internet, IP für VPN-Zugänge, Websites für Mitarbeiter
Das heißt, der Server soll über Router 2 ins Internet gehen. Die Dienste die wir benötigen funktionieren nur über Router 2. Router 1 ist so konfiguriert, dass nur der Port 80 zugelassen ist.
Wenn ich meinen Server so konfigurieren, dass der Router 1 der Standard-Gateway ist, kann ich den Webshop öffnen (wenn ich im IE 85.x.x.101 eingebe).
Natürlich funktionieren jetzt aber meine anderen Services, die ich brauche nicht mehr, weil der Router 1 ja nur den Port 80 zulässt (z. B. VPN-Verbindungen über Router 2, weil ja die Antworten über Router 1 laufen ...).
Wenn ich Router 2 als Standard-Gateway konfiguriere, funktioniert natürlich der Webshop nicht mehr, da der Server ja die Antworten zum Client über den Router 2 schickt und nicht, wie er soll, über Router 1.
Am Router 1 ist einfach eine Portweiterleitung konfiguriert (alles was am Port 80 auf die IP 85.x.x.102 kommt, wird an 10.0.3.1 weitergeschickt.
Ich hoffe, Ihr könnt mir weiterhelfen und kommt bitte nicht (wie in anderen Foren) mit Antworten wie "Bau einen Router aus" oder "lass alles über das selbe Subnetz laufen". Auf das wäre ich auch gekommen, aber das geht nicht, weil der Router 2 ein spezieller Router ist, der neben VPN und Mitarbeiter-Zugriff noch einiges anderes zu tun hat (Datenbank-Server, Zugang für Webseites für Mitarbeiter ...).
Besten Dank schon mal im Voraus
Markus
Edit: vl. hat auch jemand eine andere Lösung. Über den Router 1 muss nur der Webshop aufgerufen werden können. Ich hab auch schon die IIS-Konfig durchgearbeitet, bin aber leider auch nicht schlauer geworden.
Ich habe einen Windows 2003 SBS. In dem stecken zwei Netzwerkkarten. Es läuft auch ein IIS mit einer Webseite ein Webshop drauf.
Mein Problem ist jetzt, dass die Webseite über ein anderes Subnetz greifbar sein soll (aus Sicherheitsgründen), alse der Server bzw. die Internetverbindung der Servers.
Hmm ... ist ein wenig schwer zu beschreiben, hier mal das Schema:
+------------------------ 10.0.3.254 - Router 1 - 85.x.x.102 ----------------------Internet Kunden
!
!
Server
10.0.3.1
Server
10.0.0.250
!
!
+--------------------------10.0.0.254 - Router 2 - 85.x.x.99 -------------------------Internet, IP für VPN-Zugänge, Websites für Mitarbeiter
Das heißt, der Server soll über Router 2 ins Internet gehen. Die Dienste die wir benötigen funktionieren nur über Router 2. Router 1 ist so konfiguriert, dass nur der Port 80 zugelassen ist.
Wenn ich meinen Server so konfigurieren, dass der Router 1 der Standard-Gateway ist, kann ich den Webshop öffnen (wenn ich im IE 85.x.x.101 eingebe).
Natürlich funktionieren jetzt aber meine anderen Services, die ich brauche nicht mehr, weil der Router 1 ja nur den Port 80 zulässt (z. B. VPN-Verbindungen über Router 2, weil ja die Antworten über Router 1 laufen ...).
Wenn ich Router 2 als Standard-Gateway konfiguriere, funktioniert natürlich der Webshop nicht mehr, da der Server ja die Antworten zum Client über den Router 2 schickt und nicht, wie er soll, über Router 1.
Am Router 1 ist einfach eine Portweiterleitung konfiguriert (alles was am Port 80 auf die IP 85.x.x.102 kommt, wird an 10.0.3.1 weitergeschickt.
Ich hoffe, Ihr könnt mir weiterhelfen und kommt bitte nicht (wie in anderen Foren) mit Antworten wie "Bau einen Router aus" oder "lass alles über das selbe Subnetz laufen". Auf das wäre ich auch gekommen, aber das geht nicht, weil der Router 2 ein spezieller Router ist, der neben VPN und Mitarbeiter-Zugriff noch einiges anderes zu tun hat (Datenbank-Server, Zugang für Webseites für Mitarbeiter ...).
Besten Dank schon mal im Voraus
Markus
Edit: vl. hat auch jemand eine andere Lösung. Über den Router 1 muss nur der Webshop aufgerufen werden können. Ich hab auch schon die IIS-Konfig durchgearbeitet, bin aber leider auch nicht schlauer geworden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131947
Url: https://administrator.de/contentid/131947
Printed on: April 27, 2024 at 00:04 o'clock
14 Comments
Latest comment
Hallo Markus,
habt ihr einen Proxy bei euch im Netz?
Mike
habt ihr einen Proxy bei euch im Netz?
Mike
Hallo Mike,
nein, wir haben keinen Proxy im Netz.
Im Prinzip ist das Netzwerk wie oben dagestellt, nur dass die Clients und Drucker und so im Subnet 10.0.0.0 sind.
Im Subnet 10.0.3.0 ist nur der Server und Router 1.
Markus
nein, wir haben keinen Proxy im Netz.
Im Prinzip ist das Netzwerk wie oben dagestellt, nur dass die Clients und Drucker und so im Subnet 10.0.0.0 sind.
Im Subnet 10.0.3.0 ist nur der Server und Router 1.
Markus
Hallo Markus,
wenn ich es richtig verstehe, hast du nur das Problem von innen nach aussen. Du willst über Router 2 ins Internet und deine Port 80 Anfragen zu Router 2. Ist das Richtig?
Mike
wenn ich es richtig verstehe, hast du nur das Problem von innen nach aussen. Du willst über Router 2 ins Internet und deine Port 80 Anfragen zu Router 2. Ist das Richtig?
Mike
Entschuldigung deine Poet 80 Anfragen auf Router 1 So soll es heissen.
Naja, eigentlich will ich es so, dass alles über Router 2 läuft, außer der Webshop, der soll über Router 1 laufen.
Ich kann nicht alles was Port 80 betrifft auf den Router 1 umleiten, weil ja da auch interne Webseiten betroffen wären.
Sagen wir so: alle Anfragen, die über Router 1 kommen (also auf den Webshop von Kunden) sollen auch über den beantwortet werden, alles was über Router 2 läuft, soll auch über den beantwortet werden.
Über Router 1 läuft aber nur eine Webseite über Port 80. Ich hab auch im IIS schon versucht, der Webseite eine IP-Adresse zuzuweisen, das ändert aber nix daran ...
Ich hoffe, Du kennst Dich so aus, wie ich es erklärt hab ... ich würd mich wahrscheinlich nicht auskennen ;o)
Ich kann nicht alles was Port 80 betrifft auf den Router 1 umleiten, weil ja da auch interne Webseiten betroffen wären.
Sagen wir so: alle Anfragen, die über Router 1 kommen (also auf den Webshop von Kunden) sollen auch über den beantwortet werden, alles was über Router 2 läuft, soll auch über den beantwortet werden.
Über Router 1 läuft aber nur eine Webseite über Port 80. Ich hab auch im IIS schon versucht, der Webseite eine IP-Adresse zuzuweisen, das ändert aber nix daran ...
Ich hoffe, Du kennst Dich so aus, wie ich es erklärt hab ... ich würd mich wahrscheinlich nicht auskennen ;o)
Tja ist auch ein bisschen schwierig. Meiner Meinung nach wäre es am einfachsten, alles was WEB betrifft über einen Proxy z. Port 8080 zu leiten und die Anfragen auf deinen Server als Ausnahme einzutragen. Was ich noch nicht raus habe die Anfragen, die vonRouter 1 kommen selektiert zu beantworten.
So wie du das haben willst kannst du evtl. nur mit Regeln einen Firewall lösen. Wir haben dazu die Astaro. Aber das müsste ich erst einmal testen.
Kostet natürlich Geld.
Mike
So wie du das haben willst kannst du evtl. nur mit Regeln einen Firewall lösen. Wir haben dazu die Astaro. Aber das müsste ich erst einmal testen.
Kostet natürlich Geld.
Mike
Hmm ... kann ich meinen IIS nicht so konfigurieren, dass alles was eine bestimmte Webseite betrifft auf über das Subnetz 10.0.3.0 geschickt wird?
Du kannst ihn auf jeden Fall so einstellen, daß alles was "normal" WEB ist einen bestimmten Weg geht:
Extras -> Internetoptionen -> Verbindungen -> LAN Einstellung -> Proxyserver
Dahin schickst du deine WEB anfragen. Den Port kannst du frei wählen. Unter Proxyserver für lokale Adressen umgehen kannst du die Ausnahmen wählen.
Du kannst damit ein bisschen experimentieren. Ich weiss jetzt nicht aus dem Stehgreif ob es so funktionieren würde.
Mike
Extras -> Internetoptionen -> Verbindungen -> LAN Einstellung -> Proxyserver
Dahin schickst du deine WEB anfragen. Den Port kannst du frei wählen. Unter Proxyserver für lokale Adressen umgehen kannst du die Ausnahmen wählen.
Du kannst damit ein bisschen experimentieren. Ich weiss jetzt nicht aus dem Stehgreif ob es so funktionieren würde.
Mike
Naja, das bringt auch nicht den gewünschten Erfolg. Ich möchte ja, dass nur diese eine Webseite auf diese IP-Adresse reagiert, nicht jede.
Versuche es einmal mit einer festen Route.
Also, ich hab jetzt einen anderen Router genommen, den Router 1 raus gehauen und den Webserver so konfiguriert, dass die Webseite eine eigene IP hat und fertig ... aber danke, Mike.
Eine Lösung gibt es nur wenn die IP Adressen die über Router 2 zugreifen nicht dynamisch sind also wie bei festen VPN immer aus festen IP Adressen bzw. Netzen bestehen wie bei Mitarbeiter Zugriffen usw.
Dann könntest du eine statische Route ala route add... auf dem Server konfigurieren die alle diese Netze immer über den Router 2 schickt und den Rest aller öffentlichen Netze immer über Router 1.
Anders ist eine Lösung mit deinen Komponenten technisch nicht möglich.
Professionell würde man einen Load Balancer einsetzen der das im Handumdrehen löst. Erfordert aber weitere Hardware was bei dir ja nicht drin ist !
Dann könntest du eine statische Route ala route add... auf dem Server konfigurieren die alle diese Netze immer über den Router 2 schickt und den Rest aller öffentlichen Netze immer über Router 1.
Anders ist eine Lösung mit deinen Komponenten technisch nicht möglich.
Professionell würde man einen Load Balancer einsetzen der das im Handumdrehen löst. Erfordert aber weitere Hardware was bei dir ja nicht drin ist !
Nun, ich denke nicht, dass Load Balancing das ist was mir helfen würde. Ich möchte ja keinen Lastenausgleich, ich möchte zwei Anwendungen auf einem Server aber in zwei unterschiedlichen Subnetzen betreiben. Und die eine Anwendung soll von der anderen garnix mitkriegen.
Ich bin zu dem Schluss gekommen, dass das mit meinen Mitteln nicht so einfach möglich ist. Wenn ich so im Nachhinein darüber nachdenken, kommt mir das auch logisch vor, warum es nicht funktioniert.
Aber danke für Eure Bemühungen.
Ich bin zu dem Schluss gekommen, dass das mit meinen Mitteln nicht so einfach möglich ist. Wenn ich so im Nachhinein darüber nachdenken, kommt mir das auch logisch vor, warum es nicht funktioniert.
Aber danke für Eure Bemühungen.
Im Ansatz richtig, aber den Load Balacing Router kann man statisch entsprechend einrichten ohne den Lastenausgleich.
Noch einfacher löst man das mit einem Router der Policy based Routing supportet !!
Mit PBR kannst du das de facto lösen aber vermutlich supporten das deine Router nicht ?!
Cisco Router 2 Gateways für verschiedene Clients
Noch einfacher löst man das mit einem Router der Policy based Routing supportet !!
Mit PBR kannst du das de facto lösen aber vermutlich supporten das deine Router nicht ?!
Cisco Router 2 Gateways für verschiedene Clients