Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Forefront TMG - 2 Netze mit gleichen IP-Adressen routen

Frage Netzwerke Router & Routing

Mitglied: quedel

quedel (Level 1) - Jetzt verbinden

24.11.2011 um 12:14 Uhr, 4813 Aufrufe, 9 Kommentare

Hallo,

ich brauche mal einen kleinen Denkanstoß!
Folgendes ist gegeben (und leider nicht änderbar):

Internes LAN (192.168.0.0/16) -> Forefront TMG -> DMZ (172.31.0.0/16) -> Router-> externes LAN (192.168.0.0/24)

das Problem ist, das Forefront nicht das externe LAN findet...
Ich habe den Adressbereich im internen LAN ausgeklammert (dort gibt es keine Clients) und für das externe ein eigenes Netzwerk angelegt.
Eine Route für das externe LAN ist auch angelegt...

Ich wäre für ein wenig Hilfe sehr Dankbar!
Mitglied: brammer
24.11.2011 um 12:36 Uhr
Hallo,

am einfachsten ist es wenn du das Netz 192.168.0.0/24 per NAT in ein 10.168.0.0 /24 übersetzt.
Dann kennt dein Forefront dieses Netz und weiß wohin mit den Paketen.
Und der Router am 192.1168.0.0 /24 weiß ebenfalls wohin mit den Paketen.

brammer
Bitte warten ..
Mitglied: quedel
24.11.2011 um 12:46 Uhr
wie bzw. wo soll ich das machen?
am Router zum externen Netz kann (darf) ich nichts einstellen...
Bitte warten ..
Mitglied: aqui
24.11.2011 um 13:56 Uhr
Das musst du auch nicht. Aktiviere einfach NAT oder PAT an der Forefront und "maskiere" so das interne LAN (Absender IP zu externem LAN) das es mit einer DMZ IP am externen LAN ankommt.
So musst du gar nichts einstellen. Lediglich die Forefront Kiste muss simples NAT/PAT machen....fertig ! Keine große Herausforderung wenn man mal ins Foorefront Handbuch sieht ?!
Bitte warten ..
Mitglied: quedel
24.11.2011 um 14:12 Uhr


die Route ist bereits per NAT eingerichtet...
ich denke mal, das Problem ist, dass Forefront das Ziel im internen Netz "sucht", da er ja eh ein Bein im internen Netz hat...
Wenn ich mir das Protokoll anschaue, steht dort auch immer, dass er das Ziel nicht erreichen konnte...
er versucht es erst gar nicht an den Router zum externen LAN weiter zu geben...
Bitte warten ..
Mitglied: aqui
24.11.2011 um 15:46 Uhr
Klar er muss ja auch das Ziel im internen LAN suchen sofern es eine Kommunikation zwischen internem LAN und externem LAN gibt die beide die gleiche IP Adressierung haben.
Deshalb macht er ja auch NAT. Das beste ist immer ein Pool nat oder ein 1:1 NAT das ein festes Binding der internen auf die geNATteten externen IPs hat.
In der regel löst man so das Problem was auch sauber funktioniert.
Routing ist in dem Zusammenhang völliger Unsinn und braucht man hier auch gar nicht, denn alle IPs aus dem internen LAN die mit dem remoten kommunizieren, tauchen ja mit der DMZ IP draußen auf und die ist allseits bekannt also warum Routing ?
Wichtig ist nur das du ein Fake IP Netz (NAT) ansprichst um aufs remote Netz zu kommen.
Logischerweise kannst du ja keine 192.168.0.0er IP Adressen ansprechen, denn dann würden Clients aus dem lokalen LAN versuchen diese auch immer im lokalen LAN zu erreichen.
Ausnahme wäre wenn du nur einzelne Hosts im remoten LAN erreichen willst. Dann kannst du lokal Host Routing machen mit einer /32 Bit Maske und so als Next Hop Gateway den NAT Router (Forefront) erzwingen, der dann das NAT auf die DMZ IP macht.
Auch das wäre machbar um das Problem zu lösen.
Letztlich resultiert das aus dem Problem beim IP Adressdesign dumme 192.168er Allerwelts IP Adressen benutzt zu haben. Ein absolutes NoGo beim sinnvollen IP Adressdesign. Der RFC 1918 IP Bereich inkludiert auch die 172.16-32er und 10er IP Netze. Sinnvoller Platz also genug...
Ggf. solltest du besser mal über ein sinnvolles IP Adress Redesign nachdenken solange das noch machbar ist !
Bitte warten ..
Mitglied: quedel
25.11.2011 um 10:45 Uhr
Hallo,
ich habe auf Basis deiner Ausführungen eine Menge gelesen...

also wie ich das verstanden habe, ist das was ich machen möchte "Destination NAT"...
d.h. Beispielhaft:
LAN(192.168.1.2/)-> Anfrage an 10.168.0.3 -> (192.168.1.1) Forefront setzt das Ziel auf 192.168.0.3 um und sendet mit (172.31.0.1) -> (172.31.0.2) Router in externes Netz

kann ich sowas mit Forefront überhaupt machen??
Bitte warten ..
Mitglied: aqui
26.11.2011 um 21:03 Uhr
Das musst du mal dein Forefront Handbuch fragen !
Ein Cisco Router oder Firewall macht sowas mit links....
Bitte warten ..
Mitglied: quedel
28.11.2011 um 08:44 Uhr
Handbuch ist gut!

Ich habe mal im Microsoft Technet nachgefragt...
Forefront TMG kann das nicht!

jetzt muss der externe Netzbetreiber ran und seinen Router anpassen...

Trotzdem Danke für die Hilfe!
Bitte warten ..
Mitglied: aqui
28.11.2011 um 15:21 Uhr
Normalerweise setzt man ja auch im Netzwerk keine Krücken von MS ein... ! Aber egal....
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Microsoft Office
Access 2016 - Ip Adressen sortieren (5)

Frage von NorbertKn zum Thema Microsoft Office ...

Switche und Hubs
HP Switch - maximale Anzahl von händelbaren IP-Adressen? (24)

Frage von MichaelP0 zum Thema Switche und Hubs ...

Firewall
gelöst Framed-Routed IP-Adressen auf der pfSense einrichten (3)

Frage von pfsense-freak zum Thema Firewall ...

SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (31)

Frage von Maik82 zum Thema Linux Netzwerk ...

Exchange Server
gelöst Bestehende eMails autoamatisch weiterleiten (22)

Frage von metal-shot zum Thema Exchange Server ...

Switche und Hubs
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat? (20)

Frage von White-Rabbit2 zum Thema Switche und Hubs ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...