Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 38 subscribers
  • Views 6976 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit Routing interner LANs

PeterS_01
Guten Tag,

in unserem Projekt sollen 3 LAN Segmente duch eine FW gesichert werden. Zur Wahl steht ASG 7.3, die Testinstallation ist im Gange und soll im Enststadium der angefügten, schematischen Konfigurationszeichnung entsprechen. 

Die ASG ist vom Grundsatz her installiert und die Verbindung ins Internet funktioniert so weit. Schwierikeiten macht das Routing zwischen den LAN-Segmenten 

Die WLAN Router schützen einerseits die Daten Server vor dem Internet, andereseits sollen die VoIP Telefone nicht unbedingt im Internet telefonieren.

Was muss ich für das Routing der LAN-Segmente untereinander einstellen, damit ich z.B. aus Segment III Rechner im Segment II managen kann?

Danke im Voraus für Antworten.

PeterS


This thread was automatically locked due to age.
  • 0 in reply to trollvottel
    Sorry, I can't get my brain to write everything in German right now...

    You are right Mario, it's sloppy of us to use "segment" when we are talking about routed subnets.

    But, I don't understand that you say there's no probnlem with double natting (masquerading)  when IPSec and, I thought, other protocols have difficulty with it.  Can you be more specific?

    Entschuldigt mein Englisch zurück auf Deutsch, bitte.

    vD im Voraus - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to trollvottel
    Nun ich versuche zu erklären, dass es etwas anderes bedeutet als hier offenbar mehrfach angenommen wird.


    OK, also für mich ist ein Lan-Segment (sehr vereinfacht dargestellt):
    ein Switch wo nur Geräte angeschlossen sind, die sich das selbe IP-Netz teilen.

    Mann kann natürlich via VLAN eine quasi Trennung auf dem Switch bewirken,
    oder mit mehreren IPs auf der selben Hardware eine logische Trennung bewirken.
    Ich meinte aber aber eine strikte physikalische Trennung also mehrere Lan-Segmente. Oder habe ich wieder was was falsch verstanden ? 

    Gregor Kemter
  • 0 in reply to gkemter
    Wenn die Netze physikalisch getrennt sind (Durch Router), spricht man von mehreren Netzen und nicht von Segmenten. Denn genau das sind sie [:D]

    Segmente _sind_ physikalisch getrennt (Bei Verwendung von Switches statt Hubs). Sonst könnte man an jedem Port am Switch den gesamten Verkehr der anderen Ports mithören (Wie bei einem Hub), wenn tatsächlich dasselbe Medium verwendet würde.

    Also nochmal:
    Switch oder Router/Rechner  Switch oder Router/Rechner
    => Dann ist genau das eine Kabel genau ein Segment.

    Switch oder Router/Rechner  Hub  Switch oder Router/Rechner
    => Dann ist es auch genau ein Segment.

    Switch oder Router/Rechner  Switch  Switch oder Router/Rechner
    => Dann sind es 2 Segmente.

    Ist doch ganz einfach?
  • 0 in reply to BAlfson
    But, I don't understand that you say there's no probnlem with double natting (masquerading)  when IPSec and, I thought, other protocols have difficulty with it.  Can you be more specific?


    Well. Surfing using one Masquerading Router seems no problem for you, right? Every Soho-Router does it so one can assume it just works [:P].

    So, what do the two Masquerading Routers do here?

    Lets assume the SQL-Server in LAN II wants to access the web. It sends the packet to its default Gateway which should be Router I. Router I translates the SOURCE-IP of the SQL-Server to its own IP of its interface in DMZ I and keeps a record for that translation in its NAT-Table (including unchanged DEST-IP) so that answer-packets can be translated back to the SQL-Server. That translated packet is now being send to the ASG which sould be default gateway of Router I. The ASG translates the SOURCE-IP of Router I to its public Internet-IP and keeps a record for that translation in its NAT-Table (including unchanged DEST-IP) so that answer-packets can be translated back to the  ASG. Then it sends the packet into the Internet.

    When the answer comes from the Internet, the ASG translates it back to Router I and Router I translates it to the SQL-Server. That works as long as the Masquerading Routers still have the matching record for that packet in their NAT table.

    So:
    Masquerading does NAT for a whole IP-Network with very simple configuration. The NAT-Table is filled and maintained fully automatically.

    NAT on its own just describes the actual translation of IP-Adresses and/or IP-Port numbers (for UDP/TCP). S/D/FNAT are _single_ NAT configurations. The NAT-Table is filled and maintained manually.

    But both methods can be combined.

    IPSec does not necessarily work because IPSec disallows by design the manipulation of the IP packet itself - which happens during NATing.

    Other connections are just blocked if there is no NAT entry for them. Thats why many users think their Masquerading Router is some sort of firewall and it in fact is. Only connections that have been _initiated from the inside_ can pass trough (except manual NAT entries, also called "Port Forwardings" in Soho-Routers).

    Ooops sorry habe erst zum schluss gemerkt dass ich hier eigentlich  im deutschen Forum bin...
Unfiltered HTML