118080
Apr 07, 2016
2362
23
0
Kann von LAN nicht in DMZ
Moin Leute
Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich.
Habe nun an unserem Router (inkl. integriertem Switch) dem Port 3+4 das VLAN3 zugewiesen. Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
- LAN = 192.168.2.0/24
- DMZ = 192.168.3.0/24
- Router ist ein Zyxel SBG3300
Nun möchte ich vom LAN den PC im DMZ erreichen, aber kein Ping kommt durch. Firewall hab ich zu Testzwecken vom LAN in die DMZ für Port "any" geöffnet.
Anders rum gehts auch nicht (sprich DMZ ins LAN), dies ist ja aber auch der Sinn der DMZ ^^
Hat jemand ne Idee woran es liegt? Routing?
LG Luca
Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich.
Habe nun an unserem Router (inkl. integriertem Switch) dem Port 3+4 das VLAN3 zugewiesen. Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
- LAN = 192.168.2.0/24
- DMZ = 192.168.3.0/24
- Router ist ein Zyxel SBG3300
Nun möchte ich vom LAN den PC im DMZ erreichen, aber kein Ping kommt durch. Firewall hab ich zu Testzwecken vom LAN in die DMZ für Port "any" geöffnet.
Anders rum gehts auch nicht (sprich DMZ ins LAN), dies ist ja aber auch der Sinn der DMZ ^^
Hat jemand ne Idee woran es liegt? Routing?
LG Luca
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 301173
Url: https://administrator.de/contentid/301173
Printed on: April 16, 2024 at 15:04 o'clock
23 Comments
Latest comment
Zitat von @118080:
Moin Leute
Moin Leute
Aloha!
Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich.
Habe nun an unserem Router (inkl. integriertem Switch) dem Port 3+4 das VLAN3 zugewiesen. Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
- LAN = 192.168.2.0/24
- DMZ = 192.168.3.0/24
- Router ist ein Zyxel SBG3300
soweit so gut- LAN = 192.168.2.0/24
- DMZ = 192.168.3.0/24
- Router ist ein Zyxel SBG3300
Nun möchte ich vom LAN den PC im DMZ erreichen, aber kein Ping kommt durch. Firewall hab ich zu Testzwecken vom LAN in die DMZ für Port "any" geöffnet.
Anders rum gehts auch nicht (sprich DMZ ins LAN), dies ist ja aber auch der Sinn der DMZ ^^
Hat jemand ne Idee woran es liegt? Routing?
Kann sicherlich am Routing liegen.Anders rum gehts auch nicht (sprich DMZ ins LAN), dies ist ja aber auch der Sinn der DMZ ^^
Hat jemand ne Idee woran es liegt? Routing?
Hast du evtl. eine Routing-Tabelle?
Anderer Ansatz:
Hast du beim Rechner in der DMZ die lokale Firewall ausgeschaltet?
LG Luca
Hier die Routingtabelle, bin mir nicht sicher ob das so stimmt, laut einer Anleitung von Zyxel sollte es so stimmen..
Anderer Ansatz:
Hast du beim Rechner in der DMZ die lokale Firewall ausgeschaltet?
Kurzerhand gemacht: Brachte nichts... Aber Pings sollten normalerweise immer durchkommen, ausser man ändert das explizit..Hast du beim Rechner in der DMZ die lokale Firewall ausgeschaltet?
Moin,
am Routing kann es eigentlich nicht liegen, denn sobald die beiden Subnetze am gleichen Router/Firewall verbunden sind, kennen sich diese selbstverständlich. Hast du evtl an den Clients im LAN bzw. DMZ das falsche Gateway hinterlegt? Hier wäre auch noch interessant welche IP-Adresse Router im jeweiligen Netz hat und ob die Subnetzmasken stimmen.
Gruß,
Dani
am Routing kann es eigentlich nicht liegen, denn sobald die beiden Subnetze am gleichen Router/Firewall verbunden sind, kennen sich diese selbstverständlich. Hast du evtl an den Clients im LAN bzw. DMZ das falsche Gateway hinterlegt? Hier wäre auch noch interessant welche IP-Adresse Router im jeweiligen Netz hat und ob die Subnetzmasken stimmen.
Gruß,
Dani
Zitat von @Dani:
am Routing kann es eigentlich nicht liegen, denn sobald die beiden Subnetze am gleichen Router/Firewall verbunden sind, kennen sich diese selbstverständlich.
Davon ging ich aus, aber dies geriet ins wanken, als es nicht fnktionierte.am Routing kann es eigentlich nicht liegen, denn sobald die beiden Subnetze am gleichen Router/Firewall verbunden sind, kennen sich diese selbstverständlich.
Hast du evtl an den Clients im LAN bzw. DMZ das falsche Gateway hinterlegt? Hier wäre auch noch interessant welche IP-Adresse Router im jeweiligen Netz hat und ob die Subnetzmasken stimmen.
LAN Router: 192.168.2.1
Subnetz: 255.255.255.0
Gateway wird automatischeingetragen über DHCP
DMZ
Router: 192.168.3.1
Subnetz: 255.255.255.0
Gateway wird auch hier über DHCP automatisch eingetragen
Gruß,
Dani
LG LucaDani
Hallo,
das Routing geht nur auf 192.168.3.2 (Maske 32 Bit). Wenn ich das richtig deute, kommst Du dann nur auf den einen Rechner.
Was ist mit einer 24-Bit Maske? Du willst doch in das LAN 192.168.3.0/24 ?
vG
LS
das Routing geht nur auf 192.168.3.2 (Maske 32 Bit). Wenn ich das richtig deute, kommst Du dann nur auf den einen Rechner.
Was ist mit einer 24-Bit Maske? Du willst doch in das LAN 192.168.3.0/24 ?
vG
LS
Hab ich 2-3x probiert, aber er meckert, evtl habe ich aber auch etwas falsch gemacht.. Aber das Routing sollte ich doch nicht einrichten müssen?
Aber das Routing sollte ich doch nicht einrichten müssen?
Normalerweise macht das der Router selbst, wenn Du die LANs / Zonen erstellst.Wenn Du die DMZ nochmal löschst und neu einrichtest?
Gibt es noch Firewall-Rules? Die müssten dann wahrscheinlich von Hand eingestellt werden.
Zitat von @laster:
Normalerweise macht das der Router selbst, wenn Du die LANs / Zonen erstellst.
Wenn Du die DMZ nochmal löschst und neu einrichtest?
Kann ich machen, aber auch dann werd ich es nicht sehen.. Der Router erstellt das Routing im Hintergrund und trägt sie nicht manuell in die Liste ein.Normalerweise macht das der Router selbst, wenn Du die LANs / Zonen erstellst.
Wenn Du die DMZ nochmal löschst und neu einrichtest?
Gibt es noch Firewall-Rules? Die müssten dann wahrscheinlich von Hand eingestellt werden.
Diese habe ich bereits manuell erstellt! 
Kann ich machen, aber auch dann werd ich es nicht sehen.. Der Router erstellt das Routing im Hintergrund und trägt sie nicht manuell in die Liste ein.
Richtig, aber wenn du beim Einrichten entsprechend die Subnetzmaske angibst, stimmt auch das Routing. Gruß,
Dani
Bei einem Port und einer Maschine die direkt daran hängt ist doch schnurz, ob ich den Port Tagged wähle oder nicht oder?
EDIT:Ich habe jetzt alles neu erstellt: Funktionierte nicht!
Dann habe ich die IEEE 802.1p-Prioriät auf höchste gestellt und den Port auf Tagged: Es klappt, leider in beide Richtungen..
EDIT2:Priorität wieder runter: Und es klappt nicht mehr..
EDIT3: Wieder auf höchste und es funktioniert trotzdem nicht mehr..
EDIT4: Immer wenn ich den DMZ Port auf Tagged umstelle funktioniert es für 45 Sekunden etwa wieder
EDIT:Ich habe jetzt alles neu erstellt: Funktionierte nicht!
Dann habe ich die IEEE 802.1p-Prioriät auf höchste gestellt und den Port auf Tagged: Es klappt, leider in beide Richtungen..
EDIT2:Priorität wieder runter: Und es klappt nicht mehr..
EDIT3: Wieder auf höchste und es funktioniert trotzdem nicht mehr..
EDIT4: Immer wenn ich den DMZ Port auf Tagged umstelle funktioniert es für 45 Sekunden etwa wieder
Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
Wenn an dem internen Switch des Routers die DMZ über VLAN eingerichtet wird, dann wird es wohl so sein, dass Du am (DMZ)Port ein Gerät anschließen musst, welches nur Pakete annimmt, die mit VLAN-Tag 3 markiert sind.Hänge also einen kleinen Switch (z.B. Netgear GS108T) an den Router-DMZ-Port und tagge den Switchport auf VLAN 3. Die anderen Switchports nimmst Du ungetaggt als VLAN3-Member auf. Dann sind alle Endgeräte an diesem kleinen Switch in der DMZ.
Ansonsten, wenn nur ein Gerät am DMZ-Port hängt, musst Du die NIC an dem Gerät mit VLAN 3 taggen.
vG
LS
Zitat von @laster:
Hänge also einen kleinen Switch (z.B. Netgear GS108T) an den Router-DMZ-Port und tagge den Switchport auf VLAN 3. Die anderen Switchports nimmst Du ungetaggt als VLAN3-Member auf. Dann sind alle Endgeräte an diesem kleinen Switch in der DMZ.
Leider habe ich nur haufenweise Unmanaged Switche hier rumliegend.. Schade..Nun habe ich dieses VLAN3 zu einer DMZ ernannt. (So wird bei diesem Gerät eine DMZ erstellt..)
Wenn an dem internen Switch des Routers die DMZ über VLAN eingerichtet wird, dann wird es wohl so sein, dass Du am (DMZ)Port ein Gerät anschließen musst, welches nur Pakete annimmt, die mit VLAN-Tag 3 markiert sind.Hänge also einen kleinen Switch (z.B. Netgear GS108T) an den Router-DMZ-Port und tagge den Switchport auf VLAN 3. Die anderen Switchports nimmst Du ungetaggt als VLAN3-Member auf. Dann sind alle Endgeräte an diesem kleinen Switch in der DMZ.
Ansonsten, wenn nur ein Gerät am DMZ-Port hängt, musst Du die NIC an dem Gerät mit VLAN 3 taggen.
Wie mache ich das unter Windows?vG
LS
LG auch LS
Wie mache ich das unter Windows?
keine Ahnung, würde bei den Eigenschaften der NIC nachschauen oder googeln ...
So.. Hab die NIC nun mit dem VLAN3 getaggt. Funktioniert immernoch nicht..
Aus VLAN3(DMZ) kann ich nichts im LAN anpingen, ausser das Gateway im LAN.
Aus dem LAN kann ich gar nichts im VLAN3(DMZ) anpingen, auch nicht das Gateway im VLAN3(DMZ)
Aus VLAN3(DMZ) kann ich nichts im LAN anpingen, ausser das Gateway im LAN.
Aus dem LAN kann ich gar nichts im VLAN3(DMZ) anpingen, auch nicht das Gateway im VLAN3(DMZ)
Moin,
warum "untaggst" du den DMZ-Port nicht der Einfachheithalber? Oder gibt es einen Grund für ein tagging?
Würde schon mal nen Fehler beim tagging der Netzwerkkarte ausschließen.
Bist du dir sicher, dass die Regeln der Firewall korrekt sind?
Gruß,
Thorsten
warum "untaggst" du den DMZ-Port nicht der Einfachheithalber? Oder gibt es einen Grund für ein tagging?
Würde schon mal nen Fehler beim tagging der Netzwerkkarte ausschließen.
Bist du dir sicher, dass die Regeln der Firewall korrekt sind?
Gruß,
Thorsten
Hi!
warum "untaggst" du den DMZ-Port nicht der Einfachheithalber?
Würde schon mal nen Fehler beim tagging der Netzwerkkarte ausschließen.
Hab ich auch bereits schon getan, nützt nichts..Würde schon mal nen Fehler beim tagging der Netzwerkkarte ausschließen.
Bist du dir sicher, dass die Regeln der Firewall korrekt sind?
Ich erstelle hier keine Regeln, sonder ich habe in der Firewall die Funktion "Zone Control":Gruß,
Thorsten
Grüsse auch Thorsten
Ich erstelle hier keine Regeln, sonder ich habe in der Firewall die Funktion "Zone Control":
Ich kenne die Zyxel-Geräte leider gar nicht aber mir scheint so als erlaube die "Zone Control" generell erstmal den Traffic zwischen den Zonen.
Was dann expliziet an Traffic bzw. Services erlaubt wird könnte unter "Access Control" eingestellt werden.
Also z.B. Ping von DMZ in LAN oder ähnliches...
EDIT: Lese gerade das in der Access Control ja alles auf "any" steht. Dann fällt mir auch nix mehr ein.
Zitat von @Thorsten85:
Was dann expliziet an Traffic bzw. Services erlaubt wird könnte unter "Access Control" eingestellt werden.
Hier habe ich eine Regel erstellt welche jeden Traffic vom LAN in die DMZ durchlässt. Und dies von jeder Source- zu jeder Ziel-IP...Was dann expliziet an Traffic bzw. Services erlaubt wird könnte unter "Access Control" eingestellt werden.
Habs schon gesehen und meine Antwort editiert.
Vll. liest es ja noch wer der die Zyxel kennt.
Sonst wird es ohne Zugriff auf das Gerät wohl schwierig.
Vll. liest es ja noch wer der die Zyxel kennt.
Sonst wird es ohne Zugriff auf das Gerät wohl schwierig.
Schade.. habe vorhin mit dem Support des schweizer Generalimporteurs für Zyxel telefoniert, musste dem Typ am Telefon zuerst erklären was eine DMZ sei
man man man da frag ich mich schon...
Selbst nach dem ich ihm das erklärt hatte wusste er nicht mehr weiter..
man man man da frag ich mich schon...
Selbst nach dem ich ihm das erklärt hatte wusste er nicht mehr weiter..
Ich habe hier nun den Port 4 am Router als getaggtes Mitglied vom VLAN3 markiert und von dort ein Kabel zu einem Managed Switch (Port 1), dann vom Port 5 des Managed Switch zum Endgerät. Am Managed Switch habe ich Port 1 als getaggtes Mitglied des VLAN3 eingestellt und den Port 5 als untagged Member des VLAN3. Klappt allerdings nicht. Das Endgerät kriegt eine IP aus dem LAN. und nicht aus dem VLAN3.
Kann das nicht einfach an sch*** Zyxel liegen?
Kann das nicht einfach an sch*** Zyxel liegen?
Hallo,
laut Deiner Beschreibung hast Du alles richtig gemacht/getaggt
Das Problem würde ich auf der "sch*** Zyxel" suchen.
viel Erfolg
LS
laut Deiner Beschreibung hast Du alles richtig gemacht/getaggt
Das Endgerät kriegt eine IP aus dem LAN. und nicht aus dem VLAN3
wie kann das Endgerät im VLAN 3 eine IP ais dem VLAN 1 (default / LAN) bekommen??Das Problem würde ich auf der "sch*** Zyxel" suchen.
viel Erfolg
LS
Morgen 
wie kann das Endgerät im VLAN 3 eine IP ais dem VLAN 1 (default / LAN) bekommen??
Wenn ich das wüsste Das Problem würde ich auf der "sch* Zyxel" suchen.
Ich meinte es könnte ja am Gerät liegen.. Hab schon ein paar mal gesagt bekommen wie scheis*** Zyxel eigentlich ist, und dass es für solche Verwendungszwecke nicht brauchbar ist. Könnte das der Grund sein, wieso es einfach nicht geht? Weil ich sehe den Fehler wirklich beim besten Willen nicht..viel Erfolg
LS
Danke ^^ LGLS