Netopia 7347-44 - Aufbau DMZ - LAN Netzwerkinfrastuktur

Anonymous1

Hallo, ich möchte eine DMZ / LAN Architektur aufbauen.

Das Netopia VDSL Modem steht als Modem und als Router für's Netzwerk 192.168.1.1 255.255.255.0 in der DMZ.

Ein D-Link Router steht zwischen dem LAN und der DMZ. Gateway des Lans 192.168.175.1 255.255.255.0

Auf dem D-Link Router habe ich dem WAN Anschluss die IP Nummer 192.168.1.3 zugewiesen.

Auf dem D-Link Router habe ich 2 Firewall regeln gesetzt:

Gesamter Traffic von 192.168.1.0 255.255.255.0 auf 192.168.175.0 255.255.255.0 ist erlaubt.
Gesamter Traffic von 192.168.175.0 255.255.255.0 auf 192.168.1.0 255.255.255.0 ist erlaubt.

Habe einen Server mit der IP-Nummer 192.168.175.20 ins LAN gesetzt.

ping auf 192.168.1.1 möglich (Netop Router)
ping auf 192.168.175.1 möglich (D-Link Router)

Komisch ist, dass wenn ich ein Tracert auf 192.168.1.1 mache, so spricht er direkt 192.168.1.1 an und nicht erst 192.168.175.1, dann 192.168.175.3 und erst dann 192.168.1.1, was ja der logische Weg wäre.

Habe nun einen 2. Server mit der IP-Nummer 192.168.1.20 in die DMZ gesetzt.

ping auf 192.168.1.1 möglich (Netop Router)
ping auf 192.168.1.3
ping auf 192.168.175.1 oder xxx.20 NICHT möglich

Habe mich danach mittels Telnet auf dem Netopia Router verbunden, login gemacht.

1. help aufgerufen

2. configure aufgerufen

3. set static-routes destination-network 192.168.175.0 aufgerufen und danach die notwendigen Eingaben gemacht.

set static-routes
static-routes

(static-routes) node list...
Select (destination-network) node to modify from list,
or enter new (destination-network) to create.
static-routes destination-network (?): 192.168.175.0
(192.168.175.0) has been added to the (static-routes) list
destination-network 192.168.175.0
netmask (0.0.0.0): 255.255.255.0
interface (ip-address) [ ip-address | drop ]: no entry made
gateway-address (0.0.0.0): 192.168.1.3 (ist ja die IP Adresse des D-Link WAN Anschlusses)
metric (1) [ 1 - 15 ]: no entry made
rip-advertise (splitHorizon) [ splitHorizon | always | never ]: no entry made

Nach einem Restart des Routers konnte ich den Eintrag jetzt wiefolgt sehen:

static-routes
  destination-network 192.168.175.0
    netmask 255.255.255.0
    interface ip-address
    gateway-address 192.168.1.3
    metric 1
    rip-advertise splitHorizon

bzw. mittels netstat -r sehe ich

Network Address-Mask------------ via Router------ Port------------------ Type---
127.0.0.1/255.255.255.255 127.0.0.1 Loopback Local
192.168.1.0/255.255.255.0 192.168.1.1 Ethernet 100BT Local
192.168.1.1/255.255.255.255 192.168.1.1 Ethernet 100BT Local
192.168.1.255/255.255.255.255 255.255.255.255 Ethernet 100BT Bcast
192.168.175.0/255.255.255.0 192.168.1.3 Ethernet 100BT Mgmt
224.0.0.0/224.0.0.0 0.0.0.0 -- Other
224.0.0.9/255.255.255.255 0.0.0.0 -- Other
239.255.255.250/255.255.255.255 0.0.0.0 -- Other
255.255.255.255/255.255.255.255 255.255.255.255 -- Bcast

nun habe ich auf dem Netopia Router, innerhalb der Telnet Verbindung ein Traceroute 192.168.175.1 abgesetzt. Resultat: Der Netopia Router wählt immer noch den Weg zum Internet, bzw. ich erhalte time-outs.

Hat irgend jemand schon eine DMZ / LAN Architektur aufgebaut (wird ja wohl so sein) und wenn ja, was mache ich Dummerchen falsch?

Herzlichsten Dank für die Hilfestellung,

Gino

marcus

Mein Tip wäre den Netopia Router als Modem zu nutzen und IPFire auf einer Minimalhardware mit drei NW-Karten zu installieren.

Ich nehme an du willst ein Perimeter DMZ machen?

Was ist eine DMZ?

Tux0ne

Habe einen Server mit der IP-Nummer 192.168.175.20 ins LAN gesetzt.

- ping auf 192.168.1.1 möglich (Netop Router)

- ping auf 192.168.175.1 möglich (D-Link Router)

Hast du auch das richtige Gateway angegeben?

Deine Route sieht soweit gut aus. Denn reboot hast du ja gemacht. Wie sieht die traceroute auf 192.168.175.20 aus?

Anonymous1

Tux0ne

Habe einen Server mit der IP-Nummer 192.168.175.20 ins LAN gesetzt.

- ping auf 192.168.1.1 möglich (Netop Router)

- ping auf 192.168.175.1 möglich (D-Link Router)

Hast du auch das richtige Gateway angegeben?

-> Gateway des Servers natürlich auf 192.168.175.1

Deine Route sieht soweit gut aus. Denn reboot hast du ja gemacht. Wie sieht die traceroute auf 192.168.175.20 aus?

Resutat Traceroute vom Netopia Router aus:

Netopia-7000/157089555856> traceroute 192.168.175.20

Traceroute to 192.168.175.20 (timer gran. 10 ms)...
30 hops max, 56 byte packets
1 * * *
2 * *

Bekomme ein Timeout.

Gruss

Gino

Anonymous1

@"x"#p13075

Hallo Marcus

Hmmmm... Das mt der Firewire wäre eine praktikable Lösung, es sprechen aber aus meiner Sicht einige Gründe dagegen.

1. Ich kenne Linux nicht sonderlich gut, nun ja so ein ls und cd absetzen geht noch. Aber sobald ich die Environmentvariablen von Hand selber setzen muss, dann vertehe ich echt nur noch Bahnhof😞.

2. Es würde eine zusätzliche Kiste am Netz angeschlossen sein. Betreibe meine Server als VM Instanzen auf meinem PC und meine RAM + CPU Ressourcen sind leider mit diesen 2 Server aufgebraucht. Ein neuer Server 24gig Ram + 6x6 3.2 GHz CPU ist in der Warteschleife.

3. Ich müsste eine zusätzliche Komponente konfigurieren, was das Fehlerrisiko erhöht.

Daher nochmals meine Frage:

Was mache ich falsch mit der Konfiguration des Netopia oder des D-Link Routers.

Ich kann ja vom Internal Lan sämtliche Adressen aus der DMZ pingen und auch auf dem Internet surfen.

Nur leider kann ich von der DMZ (demilitarisierte Zohne [Bereich, welcher Ressourcen hostet, welche vom Internet ansprechbar sind]) nicht auf Netzadressen zugreifen, welche im LAN sitzen.

Ich habe auf dem D-Link Router den WAN Anschluss mit der IP 192.168.1.3 konfiguriert, weshalb ich doch eine Verbindung vom LAN in die DMZ habe und somit der Ping oder Tracert aus dem Netzbereich 192.168.175.0/24 ja auch in den Netzbereich 192.168.1.0/24 funktioniert. Warum als funktioniert der entgegen gesetzte Ping nicht?

Wenn ich mich via Telnet auf den Netopia (192.168.1.1) verbinde und von dort aus ein Traceroute auf 192.168.1.3 (sprich IP des D-Link Wan Anschlusses) absetze, so bekomme ich ein Timeout. Mache ich ein Ping von meinem PC aus, welcher in der DMZ steht (z.Z. noch) dann bekomme ich eine Antwort.😮

Wäre es eine Lösung, wenn ich als Router für die DMZ einen separaten D-Link Dir-100 Router und das Netopia nur als Modem einsetze? Hat irgend jemand schon eine änliche Architektur aufgebaut?

Gruss

Gino

marcus

Anonymous1

IPFire benötigt null Linux Kenntnisse.

Ist eine rein Web basierte Oberfläsche und extrem leicht zu bedienen.

Ist extrem schnell installiert.

Versuchen lohnt sicher. Trau dich😃

Als hardwäre kannst du deinen ältesten Rechner nehmen oder für exterm kleines Geld Mainbord z.B. mit einem AMD-Geode Prozessor nutzen. Kostet unter 200,- EUR!!

Such mal nach ALIX

Anonymous1

marcus

Hallo Marcus

Danke für Deine Hilfestellung! Der vorgeschlagene Lösungsweg via IPFire ist aber definitv kein Lösungsansatz für mich. Ich WILL mit 2 Routern, dem auf dem D-Link verfügbaren Firewall-Interface und später bei Bedarf noch mit einem zusätzl. FireWall in der DMZ arbeiten. DAS MUSS DOCH MÖGLICH SEIN.

Also bitte, hat irgend jemand einen Lösungsvorschlag um mein spezifisches Problem zu lösen?

Oder muss ich zwangsläufig meinen Netopia Router rausschmeissen?

Gruss

Gino

Tux0ne

Anonymous1

Wegem dem tracert auf 192.168.1.1 würde ich mir gerade keinen Kopf machen.

Das kann i.O sein.

Würde noch die Einstellungen auf dem d-link checken. Habe das Gefühl das da irgendwas blockt.

Eine Überlegung wäre es aber schon Wert eine Firewall einzusetzten welche über DMZ verfügt und den Motorola zu bridgen. Würde das Ganze schon sehr vereinfachen.

Master

Anonymous1

möglich ist alles, nur nicht immer ganz einfach.

bedenke dass du innerhalb des Netzwerkabschnittes noch nicht mit IP sonden mit MAC Adressen arbeitest und ARP anfragen das ganze Steuern.

Schau die villeicht mal diese Erklärung zu DMZ an

Anonymous1

Master

Einfach ist's für mich bestimmt nicht, sonst müsste ich hier nich so doofe Fragen stellen. Danke für das Manual, werde dieses heute Abend durchlesen.

Da mit den ARP Einträgen war mir bewusst, habe auf dem Netopia Router die Verknüpfung zwischen Mac-Adresse und IP Nummer gemacht. Werde aber jetzt mal das Manual lesen, nochmals danke.

Lieben Gruss

Gino