Durchgrif von LAN über DMZ auf fremdes Netzwerk

[AlexD1979]

Hallo,
Ich hoffe hier finde ich eine Antwort auf meine Frage. Es ist für einen Netzwerkexperten sicherlich kein größeres Problem.
Wir haben eine Firewall, die neben WAN und LAN Anschluss auf physikalisch eine DMZ unterstützt.

Nun wollen wir in die DMZ einen Server packen und dazu einen VPN Router, der die DMZ mit einem Firmennetz eines Kunden verbindet.

Meine Frage daher, funktioniert dann so einfach ein direkter Durchgriff von unserem LAN über die DMZ in das LAN des Kunden. D.h. kann man die DMZ quasi als transparent betrachten?
Es gibt unterschiedliche Adressbereiche:
Unser Lan 192.168.1.0
Die DMZ 192.168.2.0
Kundennetzwerk 10.x.x.x über einen Arcor Cisco VPN Router in die DMZ gelegt.
Der Server hat 2 Netzwerkkarten. Muss ich also eine Karte mit 192.168.2.0 Adresse versehen und andere mit 10.x.x.x damit der Server mit je einem Bein im Netzwerk steht?

[grizzly999]

Zitat von AlexD1979 Kundennetzwerk 10.x.x.x über einen Arcor Cisco VPN Router in die DMZ gelegt. Der Server hat 2 Netzwerkkarten. Muss ich also eine Karte mit 192.168.2.0 Adresse versehen und andere mit 10.x.x.x damit der Server mit je einem Bein im Netzwerk steht?

Welcher Server?? Bitte immer ein Szenario so beschreiben, dass jeder, der keinen Netzwerkplan vor sich liegen hat, trotzdem weiss, um was es geht.

Allgemein zu der Frage; Ja, das geht, wenn das Routing stimmt


grizzly999

[AlexD1979]

Folgendes Szenario:
Eine Sonicwall 2040 Pro Hardwarefirewall hat 3 NICs, 1x WAN mit Anbindung direkt zum ISP, 1x LAN, wo komplettes LAN des Standortes dran hängt und 1x DMZ.
In dem DMZ Port steckt nun ein Switch 5 Port, an dem folgende Kabel angeschlossen sind:
1 x Kabel zum DMZ Port der Firewall
1x Kabel zum Hardware VPN Router Cisco von Arcor
2x Kabel zum Server X

Der Router ist so konfiguriert bisher, dass er nur ausgehenden Traffic zulässt. Im Zuge der Umstellung auf DMZ Lösung soll er in beide Richtungen zulassen. Der Router verbindet zwei Standorte über eine DSL Verbindung mit VPN Tunnel

Server X ist ein Windows 2003 SP1 Server der die Dienste http und ftp bereit stellt.
NIC 1 : 192.168.2.2 / 255.255.255.0 / GW : 192.168.2.1
NIC 2 : 10.49.152.14 / 255.255.255.240 / GW 10.49.152.13

Der Server soll nun von beiden Seiten Von der LAN Seite hier und von der entfernten VPN Zone aus angesprochen werden können. Dabei der besondere Clou, die User von der LAN Seite sollen durch den VPN Tunnel auf Clients auf der andern Seite des Tunnels zugreifen können.
Wo muss ich nun das Routing erstellen? Auf dem Server selber oder in der Firewall ? Oder muss jeder Client eine statische Route eintragen ?

Bisher waren auf den Clients folgende Route eingetragen :
10.49.0.0 255.255.0.0 192.168.2.2 1
Dabei hing der Router direkt in unserem LAN und erlaubte nur ausgehenden Verkehr.. diese Route mussten die Leute eintragen in ihren PCs damit sie die PCs auf der anderen Seite erreichen konnten.

[AlexD1979]

ist das so ok ?