Router bzw. Firewall (ohne NAT) hinter Internet-Box (mit NAT(PAT))

HARDER

Hallo zusammen,

Ich habe hinter der Internet-Box (IB) die NAT (PAT) ins Internet macht noch eine Firewall (FW) installiert.

Hinter der FW wiederum habe ich weitere privat adressierte IP-Subnetze.

Auf der IB hab ich statische Routen konfiguriert, damit die IB weiss das die Netze hinter der FW sind.

Jetzt habe ich festgestellt, das ich die Netze hinter der FW, auf der FW NATen muss damit sie dann über die Internet-Box Verbindung ins Internet bekommen.

D.h. sie werden zweimal geNATed (FW und IB)

Wenn ich die Netze hinter der FW auf der FW nicht NATe, dann haben diese keine Internetverbindung mehr.

Frage:

Ist es so, dass die IB nur die Netze NATed und weiterleitet die direkt bei der IB angeschlossen sind?

Muss ich also die Netze hinter der FW unbedingt NATen?

Werner

Kenne das nicht ohne Doppel-Nat und die statischen Routen auf der IB machen nur dann Sinn, wenn Du aus dem Netz der IB in Deine Subnetze reingreifen willst, was Du ja aber vermutlich gerade verhindern willst.

HARDER

Ich will, das die IB Verkehr, auch Antwortverkehr aus dem Internet, zu den Netzen weiterleitet.

Das tut sie aber nicht, wenn ich nicht NATe

PoPo

Ich hatte soeben das gleiche Problem. Mir ist das schon damals bei der IBP aufgefallen, dann aber verschwunden.

Beim Einrichten der neuen IB3 funktionierten die statischen Routen nun nur wieder in den eigenen Netzen und nicht ins Internet.

Aber... Boot tut gut.

Dass man nach der Konfiguration der statischen Routen noch booten muss, ist nicht toll. Aber immerhin ein Workaround.

FlySmurf

Warum konfigurierst du nicht die dmz auf deine firewall?

PoPo

@FlySmurf

Die Pseudo DMZ Architektur ist für meinen Anwendungsfall nicht brauchbar.
Das normal IB Netz wird für die 0815 Geräte verwendet.

Allerdings habe ich zeitweilig eine Lab Infrastruktur mit x Netzen.
Je nach Segement mag ich da kein (double) NAT machen.

kaetho

@PoPo dann musst du einen anderen Router verwenden. Die IB-Familie stellt nur diese Pseudo-DMZ zur Verfügung (mit der ich aber ganz gut leben kann, bis jetzt).

FlySmurf

Oder du machst ein kmu-abo mit mindestens 4 fixen ip-adressen. Dann kannst du eine nicht- pseudo-dmz kondigurieren

PoPo

ähm. es funktioniert ja mit der IB!

Nur funktioniert es erst vollständig nach einem Reboot.

kaetho

@PoPo schrieb:

....

Die Pseudo DMZ Architektur ist für meinen Anwendungsfall nicht brauchbar.....

... das war doch deine Aussage?

edit: ach so, das bezog sich auf die DMZ und nicht auf die statische Route. Sorry, mein Fehler.

Aber eigentlich muss die IB auch nicht neu gestartet werden wegen einem Einrichten einer statischen Route; musste ich jedenfalls das letzte Mal nicht. Da war vermutlich noch was anderes nicht ganz propper, und der Neustart löste das dann auf.

PoPo

kaetho,

ja, ich verwende statische Routen und die DMZ Funktion nicht.

Wie ich beschrieben habe funktionieren die statischen Routen lokal, sobald man sie konfiguriert hat.

Die Verbindung von einem solchen Subnet über meinen Router zur IB ins Internet, jedoch noch nicht.