IP-Forwording Win Server 2019

Mitglied: uncelsam

uncelsam (Level 1) - Jetzt verbinden

2021/01/12 um 07:30 Uhr, 436 Aufrufe, 11 Kommentare

Hallo Zusammen,

ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...

Folgender Sachverhalt:

Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.

Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.

Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.

Danke und Grüße

Uncelsam
netzwerk - Klicke auf das Bild, um es zu vergrößern
Mitglied: Doskias
2021/01/12 um 08:04 Uhr
Moin

Zitat von uncelsam:
ich habe hier aktuell ein Problem bei dem ich nicht wirklich weiter kommen, bzw. weiß ich nicht so richtig nach was ich suchen soll...

Du beschreibst doch schon genau wo du suchen sollst:
Folgender Sachverhalt:
Es gibt ein kleines lokales Maschinen Netzwerk in der IP-Range 192.168.2.0, in diesem Netzwerk hängt ein SEH Dongleserver Pro über welchen diverse Dongle für die Wartung stecken. Jetzt kann ich von den Clients die in diesem Netzwerk sind, problemlos die Dongles auschecken und verwenden.

Und sogar deine Ursache beschreibst du:
Zu Datenablage läuft ein Win 2019 Server, der auch aus dem Firmennetzwerk (IP-Range: 10.0.0.0) erreichbar ist.
Jetzt möchte erreichen aus dem Firmennetzwerk auch in Ausnahmefällen auf den Dongleserver zugegriffen werden kann, alle anderen IP im Bereich 192.168.2.0 sollen nicht erreichbar sein und auch keinen Zugriff aufs Firmennetzwerk haben.

Aber alles was wir wissen müssen schreibst du nicht. Zum Beispiel:

Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?

Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.

Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.

Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.

Gruß
Doskias
Bitte warten ..
Mitglied: aqui
LÖSUNG 2021/01/12, aktualisiert um 09:24 Uhr
Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...

Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/
Bitte warten ..
Mitglied: uncelsam
2021/01/12 um 09:42 Uhr
Vielen Dank für deine Antwort!

Zitat von Doskias:
Hast du das 192.168.2.0er Netz und das 10.0.0.0er Netz physisch getrennt, so dass nur der Server mit 2 Netzwerkkarten dort im Netzwerk ist. Oder hat der Server auf einer Netzwerkkarte einfach 2 IP-Adressen? Hast du das Netz mit VLANs im gleiche Switch getrennt?

Die sind Physisch getrennt, und das muss auch so bleiben.
Der Server hat zwei Netzwerkkarten eine hängt im 192.168.2.0er Netz und die zweite im 10.0.0.0er Netz.

Fakt ist: Irgendwie musst du eine Verbindung zwischen dem 10er und dem 192er Netz herstellen, damit du auf die Dongle kommst. Dazu könnte man dem Dongleserver entweder eine 2te IP-Adresse auf der gleichen Netzwerkkarte geben, eine zweite Netzwerkkarte des Dongle-Servers benutzen, an deiner VLAN-Konfiguration was ändern, vielleicht muss auch nur eine Route eingerichtet werden, die dann nur für die IP des Dongle-Severs gültig ist.... gibt viele Möglichkeiten abhängig von deiner Umgebung, die (in meinen Augen) dazu nicht ausreichen beschrieben ist um die die Lösung geben zu können.

Die Lösung wäre die einfachste, ist leider aber nicht möglich, da es ein fertiges System ist:
SEH Dongle Server Pro

Außerdem: In deiner Beschreibung ist das Firmennetz das 10er und das Maschinennetz das 192er. Auf deiner Zeichnung sind die Clients aber im 192er Netz. meinem Verständnis nach müssten die Clients doch im Firmennetz sein, oder? Wenn die Clients im gleichen Netz sind wie der Dongle-Server, dann sollte es bereits jetzt schon klappen.

Das sind Workstations im Maschinennetz, welche die Steuerung und Auswertung der Maschine machen, die ohne jeglichen Schutz laufen.

Und noch ein letzter Hinweis: Es wird wohl seinen Grund haben, wieso das Firmennetz und das Maschinen-Netz von einander getrennt sind. Du solltest dir überlegen ob du diese Trennung für Ausnahmefälle aufheben willst/musst.

Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv.
Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.

Hintergrund ist dass die "Anlagenverantwortlichen" vom VPN auf den Dongleserver kommen, bis jetzt war das nicht notwendig da eigentlich immer einer vor Ort war, das hat sich in der aktuellen Lage geändert.
Bitte warten ..
Mitglied: uncelsam
2021/01/12 um 09:53 Uhr
Zitat von aqui:

Hier stehen alle Details zu diesem einfachen Routing Szenario auf einem Windows System und wie das im Handumdrehen umgesetzt ist:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...

Das hatte ich schon gefunden, aber wohl vor Bäumen den Wald nicht gefunden...
Für meinen Fall würde es ja reichen, wenn ich mich auf den
"Spezialfall: Port Weiterleitung aus dem Internet auf Clients im Segment LAN-2"
Konzentiere

Oder sehe ich das falsch?

Unter Windows musst du dazu in der Registry das IP Forwarding aktivieren:
https://www.edv-lehrgang.de/ip-routing-aktivieren/

Danke, das hatte ich beachtet
Bitte warten ..
Mitglied: aqui
LÖSUNG 2021/01/12 um 10:05 Uhr
Ja, das siehst du ganz falsch, denn NAT (IP Adress Translation) solltest du in dem Design niemals machen !!
Folglich brauchst du auch keinerlei Port Weiterleiutung das wäre Blödsinn !
Stinknormales Routing Design und die Zugriffs Steuerung machst du schlicht und einfach mit der Winblows Firewall. Das geht dann über die Ereignissteuerung sogar zeitlich.
Bitte warten ..
Mitglied: Doskias
LÖSUNG 2021/01/12 um 10:25 Uhr
Das geht auf keinen Fall, das 192.168.2.0er Netz ist komplett offen und Schutzlos, hier ist kein Virenscanner und keine Firewall aktiv. Dass das alles andere als sinnvoll ist, ist mir vollkommen klar, lässt sich aber nicht ändern da eben vom Anlagen Hersteller so vorgegeben.

Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.

Versteh mich nicht falsch: Ich mag dein Konzept mit getrennten Netzen, die nicht untereinander Kommunizieren sollen. Aber eine Frage solltest du dir noch stellen: Wie sicher ist die IT eurer Anlagenverantwortlichen? Wenn die sich via VPN in das Maschinennetz schalten, dann hast du ein externes Gerät wo du nicht den Virenschutz oder Patch-Status überwachen kannst, oder sind das eure Geräte auf die ihr vollen Zugriff habt?

Ansonsten hat aqui ja schon geschrieben wie es geht.
Bitte warten ..
Mitglied: uncelsam
2021/01/12 um 10:55 Uhr
Zitat von Doskias:
Sinnvoll ist das sicherlich, sich an die Vorgaben des Herstellers zu halten. Wir haben eine sehr ähnliche Umgebung bei unseren Maschinen. Wir betreiben die Maschinen im rahmen von Dos 5.x bis Windows 10. Alles ohne Virenscanner und ohne Firewall. Daher ist unser Netz wirklich physisch getrennt. Du hebst deine Trennung durch die Netzwerkkarte im Server defacto auf. Theoretisch könnte bei dir eine Bedrohung über den Server zu den Maschinen wandern. Wir haben aber auch den Vorteil (dir gegenüber), dass bei uns kein externer auf die Maschinen schauen muss.

Wenn es auf dem Server eine Bedrohung gibt, ist das Maschinennetzwerk das kleinste Problem.
Dann hätte es jemand geschafft, sehr tief in unser Firmennetz einzudringen.
Der Server ist auf Client Level ans "10.0.0.0." Netzwerk angebunden.

Versteh mich nicht falsch: Ich mag dein Konzept mit getrennten Netzen, die nicht untereinander Kommunizieren sollen. Aber eine Frage solltest du dir noch stellen: Wie sicher ist die IT eurer Anlagenverantwortlichen? Wenn die sich via VPN in das Maschinennetz schalten, dann hast du ein externes Gerät wo du nicht den Virenschutz oder Patch-Status überwachen kannst, oder sind das eure Geräte auf die ihr vollen Zugriff habt?

Die Analgenverantwortlichen sind Mitarbeiter im Homeoffice. Hardware kommt ausschließlich von unsere IT, und ist entsprechend sicher.

Ansonsten hat aqui ja schon geschrieben wie es geht.

Ich werde mich am spätestens am Wochenende dran versuchen.
Bitte warten ..
Mitglied: aqui
2021/01/12 um 12:14 Uhr
Die Analgenverantwortlichen sind Mitarbeiter
Igitt, ist das was Unanständiges weil Anal ?!
Bitte warten ..
Mitglied: Doskias
2021/01/12 um 12:18 Uhr
@aqui: Ach komm gib es zu. Du hast die ganze Zeit darauf gewartet, dass der Buchstabendreher passiert.

@UncleSam: Wieso erst am Wochenende? Am Wochenende ist es hier immer etwas ruhiger :) face-smile Um das Routing einzurichten brauchst du doch nicht zuhause zu sein.
Bitte warten ..
Mitglied: uncelsam
2021/01/12 um 12:32 Uhr
@aqui: Keine Ahnung, manchmal glaub schon :-) face-smile

@Doskias: Im laufenden Betrieb lass ich da die Finger weg, keine Lust auf Stress :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragt1 day agoQuestionWindows Tools7 Comments

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Telecommunication
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
solved jensgebken1 day agoQuestionTelecommunication26 Comments

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Windows Server
Migration v. Exchange 2010 SP3 RU30 auf Exchange 2019
Joka25061 day agoQuestionWindows Server9 Comments

Hallo, ich habe bereits die 2008R2 DCs gegen 2 2016Std. ausgetauscht, die Domänenfunktionsebene und die Gesamtstruktur v. 2003 erstmal auf 2008R2 angehoben. Aktuelle Situation ...

Windows Server
NET 4.8 Installation scheitert auf Server 2016
solved powerkeks1 day agoQuestionWindows Server13 Comments

Hallo, ich habe einen Server 2016 Essentials auf Blech zu laufen. Der update Stand ist aktuell. Das Gerät läuft bis dato unauffällig. Nun sollte ...

Routers & Routing
Erklärung zu diesen Geräten
Roadmax18 hours agoQuestionRouters & Routing7 Comments

Hallo Zusammen, bei uns war heute spontan das Internet weg und wir mussten die Carrier Geräte neu starten. Mir stellt sich die Frage, welches ...

Detection and blocking
GDATA oder Defender in MS W10-Umgebung?
winacker1 day agoQuestionDetection and blocking7 Comments

Hallo, seit Jahren habe ich eine Firmenlizenz des GDATA-AV. Die ist nun wieder zur Verlängerung fällig und ich frage mich ob das noch Sinn ...

Routers & Routing
VPN zwischen zwei Standorten - Fortigate und ISP Business Modem
solved Freak-On-Silicon1 day agoQuestionRouters & Routing16 Comments

Servus; Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas. Da ist bereits SSL VPN im ...

Firewall
PfSense als Exposed Host hinter FritzBox 6591 Cable
SMT00020 hours agoQuestionFirewall5 Comments

Hallo zusammen, ich kenne mich mit dem Thema leider nicht gut aus und habe deshalb einige Verständnisfragen. Vorab, ich hab hier eine FritzBox 6591 ...