9
Forefront TMG - 2 Netze mit gleichen IP-Adressen routen
Hallo,
ich brauche mal einen kleinen Denkanstoß!
Folgendes ist gegeben (und leider nicht änderbar):
Internes LAN (192.168.0.0/16) -> Forefront TMG -> DMZ (172.31.0.0/16) -> Router-> externes LAN (192.168.0.0/24)
das Problem ist, das Forefront nicht das externe LAN findet...
Ich habe den Adressbereich im internen LAN ausgeklammert (dort gibt es keine Clients) und für das externe ein eigenes Netzwerk angelegt.
Eine Route für das externe LAN ist auch angelegt...
Ich wäre für ein wenig Hilfe sehr Dankbar!
ich brauche mal einen kleinen Denkanstoß!
Folgendes ist gegeben (und leider nicht änderbar):
Internes LAN (192.168.0.0/16) -> Forefront TMG -> DMZ (172.31.0.0/16) -> Router-> externes LAN (192.168.0.0/24)
das Problem ist, das Forefront nicht das externe LAN findet...
Ich habe den Adressbereich im internen LAN ausgeklammert (dort gibt es keine Clients) und für das externe ein eigenes Netzwerk angelegt.
Eine Route für das externe LAN ist auch angelegt...
Ich wäre für ein wenig Hilfe sehr Dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176767
Url: https://administrator.de/contentid/176767
Printed on: April 18, 2024 at 18:04 o'clock
9 Comments
Latest comment
Hallo,
am einfachsten ist es wenn du das Netz 192.168.0.0/24 per NAT in ein 10.168.0.0 /24 übersetzt.
Dann kennt dein Forefront dieses Netz und weiß wohin mit den Paketen.
Und der Router am 192.1168.0.0 /24 weiß ebenfalls wohin mit den Paketen.
brammer
am einfachsten ist es wenn du das Netz 192.168.0.0/24 per NAT in ein 10.168.0.0 /24 übersetzt.
Dann kennt dein Forefront dieses Netz und weiß wohin mit den Paketen.
Und der Router am 192.1168.0.0 /24 weiß ebenfalls wohin mit den Paketen.
brammer
wie bzw. wo soll ich das machen?
am Router zum externen Netz kann (darf) ich nichts einstellen...
am Router zum externen Netz kann (darf) ich nichts einstellen...
Das musst du auch nicht. Aktiviere einfach NAT oder PAT an der Forefront und "maskiere" so das interne LAN (Absender IP zu externem LAN) das es mit einer DMZ IP am externen LAN ankommt.
So musst du gar nichts einstellen. Lediglich die Forefront Kiste muss simples NAT/PAT machen....fertig ! Keine große Herausforderung wenn man mal ins Foorefront Handbuch sieht ?!
So musst du gar nichts einstellen. Lediglich die Forefront Kiste muss simples NAT/PAT machen....fertig ! Keine große Herausforderung wenn man mal ins Foorefront Handbuch sieht ?!
die Route ist bereits per NAT eingerichtet...
ich denke mal, das Problem ist, dass Forefront das Ziel im internen Netz "sucht", da er ja eh ein Bein im internen Netz hat...
Wenn ich mir das Protokoll anschaue, steht dort auch immer, dass er das Ziel nicht erreichen konnte...
er versucht es erst gar nicht an den Router zum externen LAN weiter zu geben...
Klar er muss ja auch das Ziel im internen LAN suchen sofern es eine Kommunikation zwischen internem LAN und externem LAN gibt die beide die gleiche IP Adressierung haben.
Deshalb macht er ja auch NAT. Das beste ist immer ein Pool nat oder ein 1:1 NAT das ein festes Binding der internen auf die geNATteten externen IPs hat.
In der regel löst man so das Problem was auch sauber funktioniert.
Routing ist in dem Zusammenhang völliger Unsinn und braucht man hier auch gar nicht, denn alle IPs aus dem internen LAN die mit dem remoten kommunizieren, tauchen ja mit der DMZ IP draußen auf und die ist allseits bekannt also warum Routing ?
Wichtig ist nur das du ein Fake IP Netz (NAT) ansprichst um aufs remote Netz zu kommen.
Logischerweise kannst du ja keine 192.168.0.0er IP Adressen ansprechen, denn dann würden Clients aus dem lokalen LAN versuchen diese auch immer im lokalen LAN zu erreichen.
Ausnahme wäre wenn du nur einzelne Hosts im remoten LAN erreichen willst. Dann kannst du lokal Host Routing machen mit einer /32 Bit Maske und so als Next Hop Gateway den NAT Router (Forefront) erzwingen, der dann das NAT auf die DMZ IP macht.
Auch das wäre machbar um das Problem zu lösen.
Letztlich resultiert das aus dem Problem beim IP Adressdesign dumme 192.168er Allerwelts IP Adressen benutzt zu haben. Ein absolutes NoGo beim sinnvollen IP Adressdesign. Der RFC 1918 IP Bereich inkludiert auch die 172.16-32er und 10er IP Netze. Sinnvoller Platz also genug...
Ggf. solltest du besser mal über ein sinnvolles IP Adress Redesign nachdenken solange das noch machbar ist !
Deshalb macht er ja auch NAT. Das beste ist immer ein Pool nat oder ein 1:1 NAT das ein festes Binding der internen auf die geNATteten externen IPs hat.
In der regel löst man so das Problem was auch sauber funktioniert.
Routing ist in dem Zusammenhang völliger Unsinn und braucht man hier auch gar nicht, denn alle IPs aus dem internen LAN die mit dem remoten kommunizieren, tauchen ja mit der DMZ IP draußen auf und die ist allseits bekannt also warum Routing ?
Wichtig ist nur das du ein Fake IP Netz (NAT) ansprichst um aufs remote Netz zu kommen.
Logischerweise kannst du ja keine 192.168.0.0er IP Adressen ansprechen, denn dann würden Clients aus dem lokalen LAN versuchen diese auch immer im lokalen LAN zu erreichen.
Ausnahme wäre wenn du nur einzelne Hosts im remoten LAN erreichen willst. Dann kannst du lokal Host Routing machen mit einer /32 Bit Maske und so als Next Hop Gateway den NAT Router (Forefront) erzwingen, der dann das NAT auf die DMZ IP macht.
Auch das wäre machbar um das Problem zu lösen.
Letztlich resultiert das aus dem Problem beim IP Adressdesign dumme 192.168er Allerwelts IP Adressen benutzt zu haben. Ein absolutes NoGo beim sinnvollen IP Adressdesign. Der RFC 1918 IP Bereich inkludiert auch die 172.16-32er und 10er IP Netze. Sinnvoller Platz also genug...
Ggf. solltest du besser mal über ein sinnvolles IP Adress Redesign nachdenken solange das noch machbar ist !
Hallo,
ich habe auf Basis deiner Ausführungen eine Menge gelesen...
also wie ich das verstanden habe, ist das was ich machen möchte "Destination NAT"...
d.h. Beispielhaft:
LAN(192.168.1.2/)-> Anfrage an 10.168.0.3 -> (192.168.1.1) Forefront setzt das Ziel auf 192.168.0.3 um und sendet mit (172.31.0.1) -> (172.31.0.2) Router in externes Netz
kann ich sowas mit Forefront überhaupt machen??
ich habe auf Basis deiner Ausführungen eine Menge gelesen...
also wie ich das verstanden habe, ist das was ich machen möchte "Destination NAT"...
d.h. Beispielhaft:
LAN(192.168.1.2/)-> Anfrage an 10.168.0.3 -> (192.168.1.1) Forefront setzt das Ziel auf 192.168.0.3 um und sendet mit (172.31.0.1) -> (172.31.0.2) Router in externes Netz
kann ich sowas mit Forefront überhaupt machen??
Das musst du mal dein Forefront Handbuch fragen !
Ein Cisco Router oder Firewall macht sowas mit links....
Ein Cisco Router oder Firewall macht sowas mit links....
Handbuch ist gut!
Ich habe mal im Microsoft Technet nachgefragt...
Forefront TMG kann das nicht!
jetzt muss der externe Netzbetreiber ran und seinen Router anpassen...
Trotzdem Danke für die Hilfe!
Ich habe mal im Microsoft Technet nachgefragt...
Forefront TMG kann das nicht!
jetzt muss der externe Netzbetreiber ran und seinen Router anpassen...
Trotzdem Danke für die Hilfe!
Normalerweise setzt man ja auch im Netzwerk keine Krücken von MS ein... ! Aber egal....
