Secondary IP

[bgierden]

Hallo und guten Abend,

wir versuchen gerade eine Drittfirewall gegen einen Intranator und scheitern
schon bei "Kleinigkeiten" - die Drittfirewall hatte die Möglichkeit, weitere
IP-Adressen auf das interne Netzwerkinterface zu binden.

Dies brauchen wir, um einzelnen PC´s mit geänderter IP-Adresse VPN-Zugriff
in fremde Netze zu gewähren.
Bsp.: IP internes Intranator Bein = 192.168.x.1, zusätzlich brauchen wir noch
die IP 172.16.x.1 auf dem internen Bein, um einem Rechner mit einer 172.16.x.x eine VPN-Verbindung zu ermöglichen. Leider keine andere Chance, weil
die zusätzlichen Netze von unseren Kunden fremvergeben wurden und deren
Sicherheitspolicies nichts anderes zulassen.
Die Möglichkeit, diese weitere IP an das DMZ-Bein zu binden müssen wir
insofern verwerfen, als dass dies nicht die einzige sekundäre IP ist.

Kann mir bitte jemand helfen - vielleicht bin ich ja auch nur auf dem falschen
Weg.

Danke und schöne Grüße, Bernd Gierden

[bjoerns]

Hallo,

wir versuchen gerade eine Drittfirewall gegen einen Intranator und scheitern
schon bei "Kleinigkeiten" - die Drittfirewall hatte die Möglichkeit, weitere
IP-Adressen auf das interne Netzwerkinterface zu binden.

das ist mit dem Intranator so leider nicht möglich. Sie können aber ohne Probleme eine weitere Netzwerkkarte einbauen, die dann eine IP aus dem 172.16.X.X Netz erhält. Dann können Sie auch das Routing entsprechend anpassen und die zwei Netze durch die Firewall sauber voneinander trennen.

MFG Björn

[bgierden]

Hallo, danke für die Antwort - zusätzliche Netzwerkkarte wäre bei einer zusätzlichen IP auch kein Thema, dann hätte ich die Karte für die DMZ
genommen, aber wie schon geschrieben - ich brauche mehrere zusätzliche IPs
und dann gehen mir die Slots in der Appliance sehr schnell zur Neige.

Ich habe mich gestern mit dem VPN beschäftigt, bei der Einrichtung habe
ich ja die Möglichkeit ein "freies Netzwerk" zu wählen, welches ich auf meiner
lokalen Seite angebe. Wenn ich dort die 172.16.x.x angebe - bekomme ich es
dann hin, eine Adresse aus dem freien Netz über den Intranator zu routen ?
Das würde mir ja auch weiterhelfen.

Danke und schöne Grüße
Bernd Gierden

[bjoerns]

Hallo,

Ich habe mich gestern mit dem VPN beschäftigt, bei der Einrichtung habe
ich ja die Möglichkeit ein "freies Netzwerk" zu wählen, welches ich auf meiner
lokalen Seite angebe. Wenn ich dort die 172.16.x.x angebe - bekomme ich es
dann hin, eine Adresse aus dem freien Netz über den Intranator zu routen ?
Das würde mir ja auch weiterhelfen.

das wäre schön, leider passt dann das Routing immer noch nicht. Die Pakete aus dem 172er Netz würden dann sogar in das VPN geroutet werden, wenn mich nicht alles täuscht. Aber spätestens wenn ein Paket aus dem VPN-Tunnel kommt, weis der Intranator nicht mehr, wie er das 172er zu erreichen hat. Er wird es dann an sein Standardgateway weiterreichen, und das Paket landet beim Provider und wird dort verworfen, weil es sich um einen privaten Netzbereich handelt. Erst wenn Sie ein korrektes Routing unter Netzwerk->Intranet->Routing für das 172er Netz eingerichtet haben, wird es so funktionieren. Voraussetzung für das Routing ist aber, dass der Intranator weis, an welchen Rechner "im lokalen Netz" er die Pakete für das 172er Netz weiterleiten soll.

MFG Bjoern

P.S.: Für diesen Fall gibt es sogar schon ein Support Ticket, wir sind da gerade mit einem Kollegen im Gespräch ;-).