6
Server mit 2 NICs - NAT vom Router
Hallo Community,
ich habe 2 WAN Router. Router A nutzt einen SDSL für VPN ins Firmen LAN und bezieht über den Router B ein 16k DSL für Hausinternetversorgung.
Router A ist Standardgateway für das HausLAN (Server und Clients für Inetversorgung).
Am Router B sind 2 VLANs eingerichtet. VLAN1 ist für die Verbindung zu Router A.
VLAN 2 hängt an der zweiten Netzkarte (TCP/IP nur mit IP-Adresse und MASK) vom Server C (Webserver).
Am Router B ist ein NAT eingetragen, das den Port 80 an die IP der zweiten NIC vom Server C weiterleitet.
Leider klappt es nicht, dass ich den Server C von außen erreichen kann.
Ping von Server C auf Router B klappt. Auch wenn ich einen Client in das VLAN2 hänge, ist der Webserver hier erreichbar.
Habe ich da einen Denkfehler drin? Wenn ja, welchen?
Wäre für Tips sehr dankbar!
Eine Netzskizze habe ich angehängt.
ich habe 2 WAN Router. Router A nutzt einen SDSL für VPN ins Firmen LAN und bezieht über den Router B ein 16k DSL für Hausinternetversorgung.
Router A ist Standardgateway für das HausLAN (Server und Clients für Inetversorgung).
Am Router B sind 2 VLANs eingerichtet. VLAN1 ist für die Verbindung zu Router A.
VLAN 2 hängt an der zweiten Netzkarte (TCP/IP nur mit IP-Adresse und MASK) vom Server C (Webserver).
Am Router B ist ein NAT eingetragen, das den Port 80 an die IP der zweiten NIC vom Server C weiterleitet.
Leider klappt es nicht, dass ich den Server C von außen erreichen kann.
Ping von Server C auf Router B klappt. Auch wenn ich einen Client in das VLAN2 hänge, ist der Webserver hier erreichbar.
Habe ich da einen Denkfehler drin? Wenn ja, welchen?
Wäre für Tips sehr dankbar!
Eine Netzskizze habe ich angehängt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258039
Url: https://administrator.de/contentid/258039
Printed on: April 24, 2024 at 00:04 o'clock
6 Comments
Latest comment
Das Problem wird die Gateway Einstellung des Servers sein !
Nur eine der NICs darf ein Default Gateway haben ! (Siehe auch hier.) Haben aber fälschlicherweise beide NICs eine Gateway Einstellung kann der Server damit nicht umgehen, denn er weiss dann nicht welches Gateway er denn nun als Default Gateway verwenden soll.
Bei Windows Betriebssystemen entscheidet dann z.B. die Bindungsreihenfoilge der Adapter. Ist das z.B. die NIC 1 dann gilt ausschliesslich das Gateway auf der NIC 1. Das NIC 2 Gateway wird komplett ignoriert.
Kommsrt du in diesem Falle nun aber von extern über NIC 2 rein würde der Server die Antworten immer über NIC 1 rausrouten da das sein aktives Gateway ist und eine externe Verbindung kommt niemals zustande ! Das lokal natürlich an NIC2 alles rennt ist logisch, denn dort ist ein Gateway dann nicht involviert !
Die Kardinalsfrage ist also WIE dein Routing bzw. deine Gateways in dem obigen Konstrukt gesetzt sind, denn wenn Router A einzig und allein nur VPNs macht und Router B einzig nur das Internet dann ist das so oder so spannend, denn dann kommst du eigentlich nicht um ein Policy Based Routing drumherum. (Beispiel dazu auch hier.)
Sinniger wäre hier, wie immer in solchen Designs, ein Dual WAN Port Balancing Router. Es sei denn deine beiden Router A und B sind keine billigen Dummrouter die PBR usw. supporten ?!
Nur eine der NICs darf ein Default Gateway haben ! (Siehe auch hier.) Haben aber fälschlicherweise beide NICs eine Gateway Einstellung kann der Server damit nicht umgehen, denn er weiss dann nicht welches Gateway er denn nun als Default Gateway verwenden soll.
Bei Windows Betriebssystemen entscheidet dann z.B. die Bindungsreihenfoilge der Adapter. Ist das z.B. die NIC 1 dann gilt ausschliesslich das Gateway auf der NIC 1. Das NIC 2 Gateway wird komplett ignoriert.
Kommsrt du in diesem Falle nun aber von extern über NIC 2 rein würde der Server die Antworten immer über NIC 1 rausrouten da das sein aktives Gateway ist und eine externe Verbindung kommt niemals zustande ! Das lokal natürlich an NIC2 alles rennt ist logisch, denn dort ist ein Gateway dann nicht involviert !
Die Kardinalsfrage ist also WIE dein Routing bzw. deine Gateways in dem obigen Konstrukt gesetzt sind, denn wenn Router A einzig und allein nur VPNs macht und Router B einzig nur das Internet dann ist das so oder so spannend, denn dann kommst du eigentlich nicht um ein Policy Based Routing drumherum. (Beispiel dazu auch hier.)
Sinniger wäre hier, wie immer in solchen Designs, ein Dual WAN Port Balancing Router. Es sei denn deine beiden Router A und B sind keine billigen Dummrouter die PBR usw. supporten ?!
Zitat von @aqui:
Die Kardinlasfrage ist also WIE dein Routing bzw. deine Gateways in dem obigen Konstrukt gesetzt sind, denn wenn Router A einzig
und allein nur VPNs macht und Router B einzig nur das Internet dann ist das so oder so spannend, denn dann kommst du eigentlich
nicht um ein Policy Based Routing drumherum.
Sinniger wäre hier, wie immer in solchen Designs, ein Dual WAN Port Balancing Router. Es sei denn deine beiden Router A und B
sind keine billigen Dummrouter die PBR usw. supporten ?!
Die Kardinlasfrage ist also WIE dein Routing bzw. deine Gateways in dem obigen Konstrukt gesetzt sind, denn wenn Router A einzig
und allein nur VPNs macht und Router B einzig nur das Internet dann ist das so oder so spannend, denn dann kommst du eigentlich
nicht um ein Policy Based Routing drumherum.
Sinniger wäre hier, wie immer in solchen Designs, ein Dual WAN Port Balancing Router. Es sei denn deine beiden Router A und B
sind keine billigen Dummrouter die PBR usw. supporten ?!
Die Holzhammermethode wäre, den Router B auch NAT für verbindunngen von außen machen zu lassen, d.h. alles was vom "internet" kommt mit seiner Ip-adrese an den Server schicken zu lassen. Dann würde der Server imerm nur den Router B sehen und damit "korrekt routen".
lks
PS: ein ordentlicher Dual-WAN-Router wäre das sinnvollste in diesem Szenario.
PPS: Du köntnest auf dem Router 1 natürlich auch einfach das Routing so einstellen, daß alles was nciht ins Firmennetz geht auf Router B geroutet wird..
Moin,
und noch eine Anmerkung am Rande:
Den Webserver solltest Du in eine ordentliche DMZ packen. So wie der jetzt im im Netzwerk hängt ist bei einem Security Vorfall auf dem Webserver das komplette internen Netz kompromittiert.
lg,
Slainte
und noch eine Anmerkung am Rande:
Den Webserver solltest Du in eine ordentliche DMZ packen. So wie der jetzt im im Netzwerk hängt ist bei einem Security Vorfall auf dem Webserver das komplette internen Netz kompromittiert.
lg,
Slainte
ein ordentlicher Dual-WAN-Router wäre das sinnvollste in diesem Szenario.
Nein, nicht unbedingt wenn seine beiden Router "gute" Router sind und keine Blödmarkt Billigteile oder billige Zwangsrouter von Providern.Bei guten Routern ist das auch einfach mit Bordmittel zu lösen.
Zitat von @aqui:
> ein ordentlicher Dual-WAN-Router wäre das sinnvollste in diesem Szenario.
Nein, nicht unbedingt wenn seine beiden Router "gute" Router sind und keine Blödmarkt Billigteile oder billige
Zwangsrouter von Providern.
Bei guten Routern ist das auch einfach mit Bordmittel zu lösen.
> ein ordentlicher Dual-WAN-Router wäre das sinnvollste in diesem Szenario.
Nein, nicht unbedingt wenn seine beiden Router "gute" Router sind und keine Blödmarkt Billigteile oder billige
Zwangsrouter von Providern.
Bei guten Routern ist das auch einfach mit Bordmittel zu lösen.
Bei einem DUAl-WAN-Router muß er sich aber nciht um die Routen in seinem LAN kümmern der Router übernimmt das für ihn.
lks
Das ist natürlich richtig. Keine Frage !
