Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Forefront TMG - 2 Netze mit gleichen IP-Adressen routen

Frage Netzwerke Router & Routing

Mitglied: quedel

quedel (Level 1) - Jetzt verbinden

24.11.2011 um 12:14 Uhr, 4775 Aufrufe, 9 Kommentare

Hallo,

ich brauche mal einen kleinen Denkanstoß!
Folgendes ist gegeben (und leider nicht änderbar):

Internes LAN (192.168.0.0/16) -> Forefront TMG -> DMZ (172.31.0.0/16) -> Router-> externes LAN (192.168.0.0/24)

das Problem ist, das Forefront nicht das externe LAN findet...
Ich habe den Adressbereich im internen LAN ausgeklammert (dort gibt es keine Clients) und für das externe ein eigenes Netzwerk angelegt.
Eine Route für das externe LAN ist auch angelegt...

Ich wäre für ein wenig Hilfe sehr Dankbar!
Mitglied: brammer
24.11.2011 um 12:36 Uhr
Hallo,

am einfachsten ist es wenn du das Netz 192.168.0.0/24 per NAT in ein 10.168.0.0 /24 übersetzt.
Dann kennt dein Forefront dieses Netz und weiß wohin mit den Paketen.
Und der Router am 192.1168.0.0 /24 weiß ebenfalls wohin mit den Paketen.

brammer
Bitte warten ..
Mitglied: quedel
24.11.2011 um 12:46 Uhr
wie bzw. wo soll ich das machen?
am Router zum externen Netz kann (darf) ich nichts einstellen...
Bitte warten ..
Mitglied: aqui
24.11.2011 um 13:56 Uhr
Das musst du auch nicht. Aktiviere einfach NAT oder PAT an der Forefront und "maskiere" so das interne LAN (Absender IP zu externem LAN) das es mit einer DMZ IP am externen LAN ankommt.
So musst du gar nichts einstellen. Lediglich die Forefront Kiste muss simples NAT/PAT machen....fertig ! Keine große Herausforderung wenn man mal ins Foorefront Handbuch sieht ?!
Bitte warten ..
Mitglied: quedel
24.11.2011 um 14:12 Uhr


die Route ist bereits per NAT eingerichtet...
ich denke mal, das Problem ist, dass Forefront das Ziel im internen Netz "sucht", da er ja eh ein Bein im internen Netz hat...
Wenn ich mir das Protokoll anschaue, steht dort auch immer, dass er das Ziel nicht erreichen konnte...
er versucht es erst gar nicht an den Router zum externen LAN weiter zu geben...
Bitte warten ..
Mitglied: aqui
24.11.2011 um 15:46 Uhr
Klar er muss ja auch das Ziel im internen LAN suchen sofern es eine Kommunikation zwischen internem LAN und externem LAN gibt die beide die gleiche IP Adressierung haben.
Deshalb macht er ja auch NAT. Das beste ist immer ein Pool nat oder ein 1:1 NAT das ein festes Binding der internen auf die geNATteten externen IPs hat.
In der regel löst man so das Problem was auch sauber funktioniert.
Routing ist in dem Zusammenhang völliger Unsinn und braucht man hier auch gar nicht, denn alle IPs aus dem internen LAN die mit dem remoten kommunizieren, tauchen ja mit der DMZ IP draußen auf und die ist allseits bekannt also warum Routing ?
Wichtig ist nur das du ein Fake IP Netz (NAT) ansprichst um aufs remote Netz zu kommen.
Logischerweise kannst du ja keine 192.168.0.0er IP Adressen ansprechen, denn dann würden Clients aus dem lokalen LAN versuchen diese auch immer im lokalen LAN zu erreichen.
Ausnahme wäre wenn du nur einzelne Hosts im remoten LAN erreichen willst. Dann kannst du lokal Host Routing machen mit einer /32 Bit Maske und so als Next Hop Gateway den NAT Router (Forefront) erzwingen, der dann das NAT auf die DMZ IP macht.
Auch das wäre machbar um das Problem zu lösen.
Letztlich resultiert das aus dem Problem beim IP Adressdesign dumme 192.168er Allerwelts IP Adressen benutzt zu haben. Ein absolutes NoGo beim sinnvollen IP Adressdesign. Der RFC 1918 IP Bereich inkludiert auch die 172.16-32er und 10er IP Netze. Sinnvoller Platz also genug...
Ggf. solltest du besser mal über ein sinnvolles IP Adress Redesign nachdenken solange das noch machbar ist !
Bitte warten ..
Mitglied: quedel
25.11.2011 um 10:45 Uhr
Hallo,
ich habe auf Basis deiner Ausführungen eine Menge gelesen...

also wie ich das verstanden habe, ist das was ich machen möchte "Destination NAT"...
d.h. Beispielhaft:
LAN(192.168.1.2/)-> Anfrage an 10.168.0.3 -> (192.168.1.1) Forefront setzt das Ziel auf 192.168.0.3 um und sendet mit (172.31.0.1) -> (172.31.0.2) Router in externes Netz

kann ich sowas mit Forefront überhaupt machen??
Bitte warten ..
Mitglied: aqui
26.11.2011 um 21:03 Uhr
Das musst du mal dein Forefront Handbuch fragen !
Ein Cisco Router oder Firewall macht sowas mit links....
Bitte warten ..
Mitglied: quedel
28.11.2011 um 08:44 Uhr
Handbuch ist gut!

Ich habe mal im Microsoft Technet nachgefragt...
Forefront TMG kann das nicht!

jetzt muss der externe Netzbetreiber ran und seinen Router anpassen...

Trotzdem Danke für die Hilfe!
Bitte warten ..
Mitglied: aqui
28.11.2011 um 15:21 Uhr
Normalerweise setzt man ja auch im Netzwerk keine Krücken von MS ein... ! Aber egal....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Ubuntu
gelöst Amavis Whitelist IP-Adressen

Frage von runasservice zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...