Firewall ist ein Linux System,
Netz1 und Netz2 192.168.er Netze netmask 24 Bit
zwischen der Firewall und dem DI 804 HV ist ein drittes
192.168.er Netz eingerichtet.
Wenn ich den DI 804 HV gegen eine Linux Kiste mit identischer IP austausche funktioniert alles.
Problem:
wenn ich mich in das Netz zwischen Firewall und DI per Laptop rein hänge komme ich problemlos ins I-Net, gehe ich über die Firewall aus Netz1 oder 2 komme ich nicht ins I-Net. Die Routen für Netz1 und 2 im DI sind korrekt eingetragen mit der Firewall als Gateway.
Wird dieser Anwendungsfall überhaupt unterstützt? Oder ist das Nat auf das lokale Netz des DI beschränkt? Das wäre ziemlich ungut weil das imho in keiner Zeile in den technischen Daten erwähnt wird.
Hat das irgendwer so laufen?
Wenn ich falsch liege wo könnte mein Fehler sein?
Was kann man tun - falls meine Befürchtungen zutreffen - damit es trotzdem geht?
zunächst eines: verstanden habe ich den Sinn des Aufbaues Deines Netzwerkes nicht!
Wozu hast Du eine doppelte Firewall?
Wenn Du den Linux-Rechner 'rausnimmst, läuft alles - wenn ich das richtig verstanden habe. Also muss man prüfen, was der Linux-Rechner an den Datenpaketen ändert. Eigentlich sollte er die Pakete transparent durchschleifen - aber dann wäre er ja überflüssig. Also verändert er die Pakete - dafür kann der DI-804 nichts.
Ich kann das Ding drehen wie ich will - ich komme einfach nicht hinter den Sinn Deines Aufbaues! Vielleicht gibst Du ein paar nähere Erklärungen, was der Linux-Rechner da soll und macht.
Zitat:
zunächst eines: verstanden habe ich den Sinn des Aufbaues Deines Netzwerkes nicht!
Wozu hast Du eine doppelte Firewall?
Der Linux firewall trennt das firmennetz in verschiedene Bereiche.
Zitat:
Wenn Du den Linux-Rechner 'rausnimmst, läuft alles - wenn ich das richtig verstanden habe.
nein, wenn ich die DI 804 HV gegen einen weiteren Linux Rechner austausche, dann läuft alles.
Zitat:
Also muss man prüfen, was der Linux-Rechner an den Datenpaketen ändert. Eigentlich sollte er die Pakete transparent durchschleifen - aber dann wäre er ja überflüssig. Also verändert er die Pakete - dafür kann der DI-804 nichts.
er ist nicht überflüssig, und ich wäre vorsichtig mit der Aussage das der DI 804 nichts dazu kann, wenn der DI 804 beim Nat ausschliesslich die Pakete aus dem Netz zwischen Linux FW und DI berücksichtigt und die aus den anderen beiden Netzen nicht per Nat ans I-Net weiterreicht resp die zurückkommenden Pakete, dann kann der DI sehr wohl etwas dazu und das ist meine Frage ob das sein kann.
Zitat:
Ich kann das Ding drehen wie ich will - ich komme einfach nicht hinter den Sinn Deines Aufbaues! Vielleicht gibst Du ein paar nähere Erklärungen, was der Linux-Rechner da soll und macht.
ich hoffe ich konnte mich jetzt verständlich genug ausdrücken.
sorry - ich komme immer noch nicht dahinter, was die Aufgabe der Linux-Firewall eigentlich ist: wie trennt sie denn die beiden Netze? Liegen beide Netze in der gleichen IP-Range? Und welche Subnet haben die beiden Netze?
Wieviele NIC's hat der Linux-Rechner? Mit welchen IP's?
Welche IP hat der DI-804?
Bitte beantworte mir mal diese Fragen, vielleicht blicke ich dann durch!
sorry - ich komme immer noch nicht dahinter, was die Aufgabe der Linux-Firewall eigentlich ist: wie trennt sie denn die beiden Netze? Liegen beide Netze in der gleichen IP-Range? Und welche Subnet haben die beiden Netze?
Wieviele NIC's hat der Linux-Rechner? Mit welchen IP's?
Welche IP hat der DI-804?
Bitte beantworte mir mal diese Fragen, vielleicht blicke ich dann durch!
Das Netz zwischen router und DI ist 192.168.70.0/24
Nic1 192.168.50.11
Nic2 192.168.60.11
Nic3 192.168.70.11
DI 192.168.70.100
An dieser Konstellation kann ich auch nichts ändern weil daran
wiederum andere Netze (teilweise per ISDN) hängen und die
IP Ranges nur mit grösserem Aufwand zu ändern sind.
In dem 70er Netz gibt es auch noch ein paar andere Rechner.
Telefon Support
|
