DMZ mit 2 SOHO Routern

[hyperion]

Hallo,

als privates Projekt möchte ich gerne eine Java Enterprise Applikation erstellen. Der Java Applikationsserver soll bei mir zu Hause in einer DMZ stehen. Ich habe dazu 2 SOHO Router zur Verfügung die einen integrierten Hub haben. ich habe mir dazu einen "Netzwerkplan", welcher sich im Anhang befindet, gemacht. Bitte nicht erschrecken, ich habe den Plan mit OpenOffice gemacht.

Die Router habe ich entsprechend der Zeichnung verkabelt und die LEDs leuchten auch. Nun habe ich mich gefragt, was ich bei den Routern alles einstellen muss.

Zunächst geht es mir aber nur darum, dass ich von meinem Rechner aus wieder in das Internet kann. Probleme die später eventuell mit Portweiterleitung oder Sicherheit zusammenhängen möchte ich dann in einem anderen Thread klären.

Nun um ehrlich zu sein in Sachen Router konfigurieren und Netzwerkplanung bin ich nicht so versiert. Eigentlich habe ich einfach RIP in bieden Routern angeschaltet und gehofft, dass es funktioniert. Es funktioniert leider nicht:)

Aktuell kann ich von meinem Rechner nicht einmal 192.168.2.2 anpingen. Muss ich hierfür eine statische Route einrichten? Wenn ja in welchem Gerät und von wo nach wo?

Gruß hyperion

Achja: Frohe Weihnachten:)

[flashpixx]

Eigentlich habe ich einfach RIP in bieden Routern angeschaltet und gehofft, dass es funktioniert. Es funktioniert leider nicht:)

RIP ist das falsche Prototkoll, siehe Routing Information Protocol ? Wikipedia

Muss ich hierfür eine statische Route einrichten?

Ja, Du musst die Routen so einrichten, wie die Daten laufen sollen.

[DocInfra]

Was hast du dir durch den Einsatz von RIP erhofft? Du musst den Routern schon mitteilen, welche Netze sie denn per RIP bekannt geben sollen. Alternativ statische Routen. Achte bitte darauf min. RIPv2 zu nutzen. Aber in deinem Konstrukt macht RIP keinen Sinn.

Konkret musst du deinem Rechner sagen, wie er denn das Netz 192.168.2.0/24 erreichen soll. In deinem Fall über die 192.168.1.1/24. Alterantiv die 192.168.1.1 als Default-Router konfigurieren. Zudem sollte der Router 192.168.2.2 mitgeteilt bekommen, wie er das Netz 192.168.1.0/24 erreichen kann (eben über die 192.168.2.1). Zusätzlich sollte der Router 192.168.1.1 noch mitgeilt bekommen, dass er als Default-Router die 192.168.2.2 nutzen soll. Der Webserver sollte die 192.168.2.2 als Default-Router zugewiesen bekommen.

Bearbeitet 25. Dezember 2010 von DocInfra

[hyperion]

Hallo,

ich habe nun versucht beim Router 192.168.1.1 eine statische Route einzurichten. Hierzu habe ich telnet verwendet.

Ein Versucht eine statische Route einzurichten:

Route #: 1

Route Name: Work2DMZ

Destination IP Address: 192.168.2.1

IP Subnet Mask: 255.255.255.0

Gateway IP Address: 192.168.2.2

Metric: 2

Private: No

Will ich diese Route speichern, erhalte ich die Fehlermeldung: Please check that the gateway is a valid remote node ip address."

Ich habe auch andere Kombinationen von Gateway und Destination IP Address versucht, habbe allerdings immer die gleiche Fehlermeldung erhalten.

In dem Handbuch steht:

Destination IP Address

Hierüber wird die IP-Netzwerkadresse des endgültigen Empfängers vorgegeben. Das Routing wird stets an eine Netzwerknummer adressiert. Falls Sie eine Rute auf einen einfachen Host legen möchten, geben Sie in das Feld Subnet Mask den Wert 255.255.255.255 ein, um zu erzwingen, dass die Netzwerknummer mit der der Host-ID identisch ist.

IP Subnet Mask

Geben Sie die IP-Subnet-Maske der Ziels ein.

Gateway IP Address

Hier geben Sie die IP-Adressen des Gateways ein. Das Gateway funktioniert als unmittelbarer Nachbar des Teledat DSL Routers, der die Pakete an das Ziel weiterleitet. In einem LAN-Netzwerk muss das Gateway ein Router sein, der sich im selben Segment wie der Teledat DSL Router befindet; In einem WAN-Netzwerk muss das Gateway die IP-Adresse einer entfernten Gegenstelle aufweisen.

Gruß hyperion

[DocInfra]

Für Netze, in denen dein Router bereits ein Interface hat, brauchst du auf dem Router keine Route einrichten.

[hyperion]

Müsste dann nicht ein Ping von 192.168.1.2 aus zu 192.168.2.2 funktionieren?

Ich weiß leider immer noch nicht was ich bei der statischen Route wo eintragen muss.

Da Du gesagt hast, dass ich keine Routen für direkt angeschlossene Netze definieren muss, muss ich also für jeden Router nur eine statische Route definieren.

Das wäre bei 192.168.2.2 für vom Internet eingehenden Verkehr nach 192.168.1.1.

Und bei 192.168.1.1 für von 192.168.1.0 ausgehenden Verkehr nach der IP Adresse die bei 192.168.2.2 an der WAN Schnittstelle definiert ist. Diese wird mir aber vom ISP zugewiesen und ändert sich.

Leider bin ich mir dabei nicht wirklich sicher und wirklich wissen welchen Wert ich wo(Dest. IP Address, Gateway) eintragen muss tue ich auch nicht. Der Unterschied zwischen Gateway und Destination IP Address ist mir nicht ganz klar. Für mich ist das Gateway der nächstgelegene Router und die Destination IP Address auch, da ich ja eigentlich zum nächsten Router möchte.

Aufjedenfall schon mal Danke für die bisherigen Antworten.

Gruß hyperion

[aGe]

versuch mal das ganze mit der netzadresse umzusetzen bei beiden routern...

zum anderen, hast du geschaut, ob einer deiner router (ich lese nirgends die marke) vielleicht dazu fähig ist, ne open source software zu installieren.. ala openwrt, oder dd-wrt..

bei der software gibt es nen eigenen menüpunkt für DMZ`s da sagst du einfach z. B. , auf Port 3 soll die DMZ laufen, oder diese IP ist die DMZ.

[Crash2001]

Hallo,

ich habe nun versucht beim Router 192.168.1.1 eine statische Route einzurichten. Hierzu habe ich telnet verwendet.

Ein Versucht eine statische Route einzurichten:

Route #: 1

Route Name: Work2DMZ

Destination IP Address: 192.168.2.1

IP Subnet Mask: 255.255.255.0

Gateway IP Address: 192.168.2.2

Metric: 2

Private: No

[...]

In deinem Handbuch steht, du musst die Netzadresse des Subnets angeben und keine Client-IP-ADresse, ausser du willst nur eine Hostroute machen (dann aber mit SNM 255.255.255.255). Die von dir verwendete Destination IP address von 192.168.2.1 ist aber eine Client ip address und keine Netzadresse. Die wäre in dem Fall die 192.168.2.0

In deinem Fall braucht der Router 1 eine Route zum Subnet 192.168.1.0, SNM 255.255.255.0 und Next Hop wäre die 192.168.2.1

Router 2 braucht eine Route ins Internet (Null- oder Defaultroute) also zum Netz 0.0.0.0 mit SNM 0.0.0.0 (was allen ausser den bereits bekannten Routen entspricht) über den Next Hop 192.168.2.2.

Dein PC muss die IP des Routers unten als Gateway eingetragen haben, oder aber es muss einfach DHCP aktiviert sein auf dem Router.

Dein "PC in der DMZ" müsste als Defaultgateway die 192.168.2.2 eingetragen haben, oder halt auch DHCP nutzen.

P.S::

Eine DMZ ist die beidseitig abgesicherte Zone zwischen zwei FIREWALLS, nicht zwischen zwei ROUTERN. Von daher weiss ich nicht unbedingt, was dir das Subnetting für einen Vorteil bringen soll, wo so oder so mit den Routern und den statischen Routen oder per Routingprotokoll die Verbindung zu den anderen Subnets doch wieder da ist. Da müsste dann schon eine konfigurierbare Firewall auf beiden Routern sein, so dass nur bestimmter Traffic erlaubt ist für die DMZ.

[DerMarcus]

Müsste dann nicht ein Ping von 192.168.1.2 aus zu 192.168.2.2 funktionieren?

Unter Umständen geht dein Ping Echo Request auch bis zum Ziel, aber der Eco Replay wird eventuell nicht bis zu deinem Rechner durchgelassen.

Ich hab selber schon erlebt, dass manche billigen SOHO Router, die vom Hersteller aus primär dazu gedacht sind, um einen Internetzugang zu ermöglichen, nicht in beide Richtungen wie normale Router funktionieren.

So konnte man bei einem Netgear Gerät zum Beispiel nicht einstellen, dass Ping von "WAN"-Seite durchgeroutet werden soll. Es gab ein Häkchen, um das WAN Interface auf Ping antworten zu lassen - aber keine Möglichkeit, das Routing oder die Firewall entsprechend einzustellen.

Eventuell bist du mit deinen Geräten auch eingeschränkt.