Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing mit Cisco-Router

Frage Netzwerke Router & Routing

Mitglied: redhorse

redhorse (Level 1) - Jetzt verbinden

05.08.2012 um 10:54 Uhr, 3020 Aufrufe, 2 Kommentare

Guten Morgen,

Ich habe mal eine zu folgender Konstellation:

Ein Netzwerk ist über ein Cisco-Router mit dem Rechenzentrum eines MPLS-Providers verbunden, hier steht eine Firewall die den Zugang zum Internet ermöglicht. An dem Cisco-Router sind zwei Interfaces konfiguriert:

VLAN1: lokales Netzwerk
VLAN2: DMZ

Das Routing aus dem lokalen Netzwerk in die DMZ kann über die Firewall erfolgen, hierzu hat der Cisco-Router die Firewall als Default Gateway konfiguriert. Es soll nun aber auch möglich sein, dass aus dem lokalen Netz direkt ohne Umweg auf ausgewählte IPs in der DMZ zugegriffen wird. Ist das technisch möglich, dass man in der ACL konfiguriert, dass auf IP1 direkt zugegriffen werden kann und auf IP2 geroutet über die Firewall?

Der Cisco-Router wird nicht von uns konfiguriert, das genaue Modell ist noch nicht bekannt und es handelt sich bisher nur um graue Theorie!

Mitglied: aqui
05.08.2012, aktualisiert um 12:57 Uhr
Die Frage ist falsch gestellt, denn mit ACLs hat das rein gar nix zu tun, denn die bestimmen ja nur WER mit WEM darf. Welches Router Modell das ist und wer es konfiguriert speilt ebenso keine Rolle (...oder nur sehr bedingt, da du daran ja eh' nix ändern kannst !)
Du musst das Routing der lokalen Endgeräte entsprechend anpassen wenn du den Umweg über den Cisco vermeiden willst ! Macht auch Sinn, denn so bekommst du den Traffic von einem Gerät weg was du nicht selber kontrollieren kannst. Allein aus Sicherheitsgründen schon ein gravierender Punkt abgesehen von der Managebarkeit die ja so weit wie möglich auf deinen eigenen Komponenten liegen sollte !

Die Problematik ist der Default Gateway Eintrag dieser Endgeräte im lokalen Netz, der ja vermutlich auf den Cisco zeigt. Dieser routet dann Traffic für die DMZ wieder via Firewall. Ein Umweg also....
Wenn du ICMP Redirect auf deinen Endgeräten aktiviert hast, dann schickt der Cisco immer einen ICMP Typ 8 Frame (Redirect) an das Endgerät, da sich der Router in der DMZ ja im gleichen IP Netz befindet wie das Default Gateway.
Der Cisco Router sagt diesen Endgeräten mit diesem ICMP Redirect dann (salopp): "Hey, den Firewall Router zur DMZ erreichst du hier lokal im Netz unter der IP xyz !!"
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol

Damit würde dieses Endgerät dann nicht mehr weiter über den Cisco gehen sondern direkt die Pakete an die Firewall senden die sie dann direkt weiter in die DMZ routet. So sollte es sein im Normalfall...nun kommt aber das "Aber":...
Windows verbietet aus Sicherheitsgründen in seiner lokalen Firewall ein ICMP Redirect (Typ 8) dadurch muss der Traffic in die DMZ also IMMER den Umweg über den Cisco gehen und dieser Traffic taucht damit immer doppelt auf im lokalen Netzwerk.
In der Tat nicht sehr gerade effizient und es macht durchaus Sinn das anzupassen was du ja auch sinnvollerweise vorhast !
Du hast 2 Optionen:
1.)
Du passt die lokale Windows Firewall Regel der Endgeräte an indem du einfach eingehende ICMP Redirects (Typ 8) erlaubst.
Sofern es Apple Macs oder Linux Maschinen sind musst du klären ob diese ggf. auch ICMP Redirects mit einer lokalen FW filtern und deren lokale Firewall ebenso anpassen.
Vorteil: Einfach umzusetzen und gilt automatisch für alle Clients im lokalen Netz.
2.)
Du umgehst die ICMP Geschichte indem du den Clients eine direkte statische Route ala route add <DMZ-IP> mask <Maske> <Gateway_IP_FW> -p in die lokale Routing Tabelle schreibst.
Damit umgehst du dann das Default Gateway, also den Cisco, und routest so Pakete vom lokalen Netz auf das DMZ Netzwerk oder einzelne DMZ Hosts (Hostroute) direkt über deine eigene Firewall gleich vom Endgerät aus.
Vorteil: Keine Anpassung der Firewall, Nachteil: Das musst du auf jedem einzelnen Client so einstellen !

Such dir die schönste Option aus für dich. Beide führen problemlos zum Ziel bzw. zur Lösung !
Bitte warten ..
Mitglied: aqui
06.08.2012 um 09:11 Uhr
Wenn es das denn nun war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
VoIP hinter Cisco Router (23)

Frage von PharIT zum Thema Router & Routing ...

Netzwerkmanagement
SSH auf Cisco Router aktivieren, allerdings ohne line vty (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Cisco Router C886VAJ-K9 WLAN? (19)

Frage von oce zum Thema Router & Routing ...

Router & Routing
Übungen zu Cisco Router Konfiguration (3)

Frage von M.Marz zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...