Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 863 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Isolation zweier Netzwerke (2003-SBS / 2012-R2)

Clyde
Miau zusammen,

Folgende Konfiguration:
UTM220-AP FW 9.111-7
ETH0 verbunden mit "OldDomain"   10.0.0.0/16
ETH4 verbunden mit "NewDomain"  10.10.0.0/16

OldDomain umfasst unser bisheriges System, mit einem patriachischen Windows2003-SBS (!) DC

NewDomain umfasst das neue (zu inbetrieb-nehmende) Netzwerk, basierend auf Windows 2012-R2 Server

Beide Netzwerke sollen zur Zeit (geschützten) Internetzugriff haben.

Nun das Problem:
der 2003-SBS sieht über irgendwelche verschlungenen Pfade den DHCP des neuen Systems und schaltet seinen eigenen DHCP/DNS im Frust einfach ab!
Firma tot. Toll!

Habe bereits Netzwerkregeln erstellt, um ETH0 und ETH4 gegenseitig alle Dienste zu "rejecten" (auch schon explizit Ports 53,67,68). Der 2003-SBS sieht den DHCP des 2012er immernoch und bockt.

Wie muss ich die Firewall prinzipiell konfigurieren, dass beide Domänen aufs Internet kommen, einander aber nicht sehen?

Miau!
Clyde


This thread was automatically locked due to age.
Parents
  • 0
    Genau die letzte Aussage müsste bezweifelt werden. 
    Eine Option wäre ein tcpdump auf den beiden Interfaces der UTM ... oder die Bemühungen von Grundlagen: Wenn ihr keine Bridge und keinen DHCP-Relay auf der UTM konfiguriert habt, wie sollen dann die Broadcasts vom DHCP Client durchkommen?
  • 0 in reply to K.N.
    Hallo K.N.

    Richtig, zuerst mal alle Angaben hinterfragen.
    Und siehe da, auf dem CoreSwitch gab es doch noch einen falschen Eintrag in einem VLAN, wo ein 10G-FC Port Richtung 2012er Server (fürs SAN) im 2003er-VLAN auf "tagged" war. Sprich, der Pfad war tatsächlich vorhanden, wenn auch sehr verschlungen. Danke fürs ankicken [:$]

    Habe nun die Netzwerke mit Firewallregeln gegenseitig blockiert (drop) und getestet. Der 2003er SBS bockt nun nicht mehr.

    tnx
    Clyde

    __________________
    System-Administrator
    Astaro-User since Dez.2009
    2 x SG230-HA (Fw. V9.x)

Reply
  • 0 in reply to K.N.
    Hallo K.N.

    Richtig, zuerst mal alle Angaben hinterfragen.
    Und siehe da, auf dem CoreSwitch gab es doch noch einen falschen Eintrag in einem VLAN, wo ein 10G-FC Port Richtung 2012er Server (fürs SAN) im 2003er-VLAN auf "tagged" war. Sprich, der Pfad war tatsächlich vorhanden, wenn auch sehr verschlungen. Danke fürs ankicken [:$]

    Habe nun die Netzwerke mit Firewallregeln gegenseitig blockiert (drop) und getestet. Der 2003er SBS bockt nun nicht mehr.

    tnx
    Clyde

    __________________
    System-Administrator
    Astaro-User since Dez.2009
    2 x SG230-HA (Fw. V9.x)

Children
No Data
Unfiltered HTML