Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

GELÖST

Routing-Problem Checkpoint VPN-1 UTM

Mitglied: SaschaHB-1980

SaschaHB-1980 (Level 1) - Jetzt verbinden

19.08.2010 um 08:58 Uhr, 6295 Aufrufe, 3 Kommentare

Hallo Mit-Administratorinnen und Administratoren!

Ich habe mal wieder ein kleines Problem, das sich von mir partout nicht lösen lassen will.

Hier einmal das Szenario: Wir wurden "geschluckt" von einer anderen Firma. Diese Firma hat ein Class C Netz (192.168.176.0) und eine Astaro-Firewall. Wir haben intern ein Class B Netz (10.10.0.0) mit einer Checkpoint VPN-1 UTM. Die Kommunikation zwischen beiden Firmen und Netzen klappt einwandfrei. Wir haben jedoch noch ein Außenlager angebunden über eine VPN-1 UTM Edge X Series. Das Außenlager hat ein Class C Netz (10.10.129.0).

Das Problem ist nun die Kommunikation mit dem Außenlager. Momentan muss von dort nur mit einem Rechner hier im Hause, auf dem eine Java-Anwendung läuft, kommuniziert werden. Auf diesem Rechner ist eine feste Route hinterlegt, die über unsere Firewall zum Außenlager routet. Nun muss aber etwas umgestellt werden, ich will nun also erreichen, dass ich direkt aus unserem Class B Netz mit dem Außenlager kommunizieren kann (letzter Schritt soll dann auch sein, dass wir direkt aus dem Netz unserer Mutterfirma mit dem Außenlager kommunizieren wollen.

Ich denke, ich müsste das Ganze über eine NAT-Regel machen, oder? Aber egal, was ich da bisher versucht habe, ich kann keinen Ping absetzen. Erst, wenn ich über route add eine Route einrichte, funktioniert es. Dieses manuelle Einrichten der Routen auf jeden Rechner will ich mir irgendwie sparen, indem ich es über die Firewall abdecke.

Ich bin dankbar für jede Hilfe.

Einen schönen Tag und vielen Dank.

Sascha
Mitglied: aqui
19.08.2010 um 12:21 Uhr
Das ist auch mit NAT nicht möglich, da du vermutlich aus Unwissenheit einen schweren IP Adressierungsfehler in deinem Netzdesign gemacht hast !
In eurem Standort hast du ein Class B Netz 10.10.0.0 /16 das Außenlager Netz hat aber die 10.10.129.0 /24.
Der Standort Router kann nun niemals mehr unterscheiden das die 10.10.129.x ein weiteres Netzwerk ist denn für ihn mit seiner 16 Bit Class B Adresse ist alles was mit 10.10.129.x adressiert ist natürlich ein Host aus seinem lokalen LAN Netzwerk.
Klar, denn sein Netzwerkteil hört bei 10.10.x.x auf. Alles was für ihn im 3ten und 4ten Byte steht sind Endgeräte ! Ein Routing ins Außenlager Netzwerk ist damit für ihn IP-technisch nicht mehr möglich durch die Subnetzmasken Überschneidung der 10.10er Netze !
Also nochmal das Knowhow mit der Netz Maskierung auffrischen !!
http://de.wikipedia.org/wiki/Netzmaske

Du kannst das Problem aber ganz einfach lösen indem du dem Außenlager ein anderes IP Netz gibst wie z.B. 10.11.126.0 /24 oder 10.100.126.0 /24 usw. (Vermutlich ist das einfach da es hier nur wenig IP Endgeräte Adressen gibt ?!)
Damit ist dieses Netz für den Stanortrouter dann wieder eindeutig zuortbar.
Der "Schluck" Firma reicht dann eine Standardroute 10.0.0.0 /8 auf euren Router damit alle 10er Pakete auch die des Außenlagers zu euch kommen.

Das o.a entfällt allerdings wenn der VPN Link ins Außenlager als Bridge konfiguriert ist. Das macht aber kein normaler (VPN) Mensch so, so das du das Routing bzw. IP Netzwerkproblem erst lösen musst !
Bitte warten ..
Mitglied: SaschaHB-1980
19.08.2010 um 15:13 Uhr
Hallo aqui!

Vielen Dank für die Antwort. Mir ist bewusst, dass das ganze ein struktureller Fehler ist, aber dafür bin ich nicht verantwortlich! Das war historisch gewachsen... Ich versuche hier momentan den Scherbenhaufen zu beseitigen. Habe intern schon zwei Netze zusammen geführt (zwei Class C Netze 10.10.10.0 und 10.10.11.0 => daher das neue Class B Netz).

Ich hatte jetzt nur gehofft, dass ich die Netzänderung im Außenlager noch ein wenig aufschieben könnte, weil wir nebenbei in einer großen ERP-Umstellung stecken. Aber es wird dann wohl nichts anderes übrig bleiben. Werde dann schnellstmöglich dort die Endgeräte (1 Drucker, 4 Access-Points und 4 mobile Datenerfassungsgeräte) und die Edge umstellen.

Aber wie gesagt - vielen Dank für die Antwort!

Sascha
Bitte warten ..
Mitglied: aqui
19.08.2010 um 16:22 Uhr
Das ist auf alle Fälle der sicherste Weg für ein funktionierendes Netz wenn du die IPs änderst im Außenlager !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Checkpoint UTM-1 Edge Neues Netzwerk zu Site to Site VPN?
Frage von aRanIoNLAN, WAN, Wireless

Hallo zusammen, wir haben mehrere Site to Site VPNs. Am Hauptstandort befindet sich auch eine CheckPoint Firewall. An einem ...

Firewall
Checkpoint Firewall - VPN CLient
gelöst Frage von Leo-leFirewall5 Kommentare

Guten Tag, gibt es hier zufällig jemanden, der eine Checkpoint R76 im Einsatz hat und den VPN Dienst nutzt? ...

Firewall
Checkpoint R76 VPN-Abbrüche
Frage von Leo-leFirewall2 Kommentare

Hallo Forum, wir betreiben in der Firma eine Checkpoint R76, jedoch gibt es beim Filetransfer dauernd Abbrüche(TimeOuts) über den ...

Router & Routing
Routing VLAN mit Sophos UTM Firewall
gelöst Frage von oceRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage zum Thema VLAN und Routing. Wir werden unser Netz nun Segmentieren in 2 ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...