IThome 10 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 kleine Ergänzung: Im Remotenetz muss selbstverständlich auch eine Route in das Netz 192.168.1.0/24 existieren. ;) Gruß Steffen Hehe, ja klar, Du hast recht ... :D @gruemelmonster Wenn der Host, den Du ansprechen möchtest, host.domaene.extern heisst, dann trägst Du als Kondition domaene.extern ein und den Server, der für diese Domäne authoritativ ist. Mit Rückrouten hat s.k. natürlich recht, das ist ja egal, wer die Verbindung initiiert, der Weg zurück muss ja auch gefunden werden ... Zitieren Link zu diesem Kommentar
gruemelmonster 10 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 ok ich glaube ich muss es ein wenig konkretisieren.. also ich weis tatsächlich nur das .extern.. wie finde ich also die komplette domain raus?? eigentlich greifen wir von da aus nur auf diverse portalseiten, und auf ein owa zu. Mittlerweile sind wir auch soweit, das es hin und wieder klappt aber eben auch nur hin und wieder. Ich glaube das mit dem netzwerk von der gegenseite finden ist nicht nötig, da ja der router ne ip im 160. Netzt bekommt, und das dann per nat macht. EDIT: ja nun klappt es alles.. warum genau es vorher nicht geklappt hat weis ich mal wieder nicht aber nun funktioniert es.. evtl war ich zu ungeduldig;-) Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 wie finde ich also die komplette domain raus??Indem Du einfach mal mit den Admins der Gegenseite telefonierst? Beissen die...? :p Ich glaube das mit dem netzwerk von der gegenseite finden ist nicht nötig, da ja der router ne ip im 160. Netzt bekommt, und das dann per nat macht.Dann ist der Routingeintrag auf der Gegenseite tatsächlich nicht erforderlich. eigentlich greifen wir von da aus nur auf diverse portalseiten, und auf ein owa zuAlso nur HTTP(S)? Dann müssen doch nur diese URLs in die richtige IP-Adresse aufgelöst werden. Greifen Deine Clients über einen Webproxy auf Webseiten zu (z.B. ISA-Server)? Dann wäre es das Einfachste, am Server, auf dem der Proxy läuft, in der Hosts-Datei die URLs einzupflegen. Voraussetzung ist natürlich, dass der Proxy selbst die Namensauflösung macht (kein Upstramproxy eingetragen). Gruß Steffen Zitieren Link zu diesem Kommentar
gruemelmonster 10 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 Indem Du einfach mal mit den Admins der Gegenseite telefonierst? Beissen die...? :p Wer weis?? ;-) Eigentlich ist mir auch gerade klar geworden wie die domäne heist. aber es klappt nun tatsächlich auch nur mit der endung "extern" (ich will die richtige jetzt mal nicht nennen, da ich glaube das der wiedererkennungswert recht groß ist;-) ) Also nur HTTP(S)? Dann müssen doch nur diese URLs in die richtige IP-Adresse aufgelöst werden. Greifen Deine Clients über einen Webproxy auf Webseiten zu (z.B. ISA-Server)? Dann wäre es das Einfachste, am Server, auf dem der Proxy läuft, in der Hosts-Datei die URLs einzupflegen. Voraussetzung ist natürlich, dass der Proxy selbst die Namensauflösung macht (kein Upstramproxy eingetragen). Das mit dem proxy war unsere erste idee aber wir haben das nicht hinbekommen, zumal wir die webseiten nicht wirklich alle kennen, sondern mal wieder nur die endung. Und irgendwie hat sich das auch mit der zuerst nötigen einwahl des routers nicht vertragen. Ich werde das mit dem Proxy aber auch noch mal versuchen.. schon aus interesse Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 Das mit dem proxy war unsere erste idee aber wir haben das nicht hinbekommen, zumal wir die webseiten nicht wirklich alle kennen, sondern mal wieder nur die endung.Wenn sie Euch auf ihre internen DNS-Server lassen, dann ist es natürlich eleganter, dies mit DNS-Forwarding zu lösen. Die hosts-Datei-Lösung stößt ohnehin an ihre Grenzen, wenn Dir die Hosts nicht abschließend bekannt sind oder häufig weitere hinzu kommen. Naja und wenn das dann mal fortgeschritten ist, würden wir evtl auch noch gerne den zugriff beschränken, wobei das eigentlich nur sehr niedrige priorität hat.Den Zugriff Eurer Clients in Richtung des Remotenetzes oder den Zugriff aus dem Remotenetz in Eurer Netz? Dass aus dem Remotenetz nicht bei Euch zugegriffen werden kann, ist bereits über das Natten sichergestellt. Ich nehme doch mal an, es handelt sich nicht um ein 1:1-NAT, sondern um ein 1:n-NAT (per PAT)? In letzterem Fall wären Zugriffe von extern zu Euch nur dann möglich, wenn hierfür explizit ein Forwarding eingerichtet wurde. Anderenfalls wüsste der Router gar nicht, was er mit dem Verbindungsversuch anfangen soll und verwirft die Pakete. Gruß Steffen Zitieren Link zu diesem Kommentar
gruemelmonster 10 Geschrieben 4. Oktober 2005 Melden Teilen Geschrieben 4. Oktober 2005 nein eigentlich meinte ich tatsächlich von uns ins andere netz.. Bisher ist uns zwar noch nicht so ganz klaar ob das von unserer Gegenseite gefordert ist. Die haben sich dazu nicht explizit geäussert, und auf die meisten dinge ausser deren Telefonbuch braucht man eh eine kennung aus deren netz, die allerdings nur einige unserer MA haben. Peinlich wäre es aber, auch wenn ich hier bisher allen Mitarbeitern traue, wenn einer mal so aus langeweile beginnt dort portscanns oder ähnliches durchzuführen... Ich meiner der Mensch bekäme schon ärger wenn er es in unserem Netz täte, aber wir bekämmen als Firma richtig ärger wenn sowas aus unserem Netz käme... Mann so ein langer text der eigentlich auch nix aussagt.. Ausser das man sich halt auch von innen nach aussen etwas abschotten will... Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hallo gruemelmonster, nein eigentlich meinte ich tatsächlich von uns ins andere netz.. Bisher ist uns zwar noch nicht so ganz klaar ob das von unserer Gegenseite gefordert ist.Wenn die Admins der Gegenseite auch nur halbwegs wissen, was sie tun, dann schränken sie Euren Zugriff ohnehin bereits auf das unbedingt Notwendige ein. Es gilt der Grundsatz: Für seine eigene Sicherheit ist vorrangig jeder selbst verantwortlich! Deine Bedenken und Dein Ansinnen kann ich aber gleichwohl nachvollziehen. Am ISDN-Router kannst Du aber gar nicht viel machen: Nach Ziel-IPs kannst Du nicht filtern, da Dir die Ziele nicht abschließend bekannt sind (so jedenfalls Deine bisherigen Darstellungen). Du könntest den Kreis der berechtigten Arbeitsstationen anhand der Absender-IP einschränken. Dies setzt aber voraus, dass diese Arbeitsstationen immer die selbe IP-Adresse haben (feste IPs bzw. static DHCP). Besonders manipulationssicher ist das aber sowieso nicht. Sollte bei Deinem Router nicht nur ein Filtern auf Layer 3, sondern auch auf Layer 4 möglich sein, dann könnte man ausgehenden Verkehr noch auf TCP Port 80 und ggf. 443 einschränken (wenn ich Dich richtig verstanden habe, handelt es sich ausschließlich um Webserverzugriffe). Ihr hab doch einen SBS --> Setzt ihr den ISA-Server ein? Dann erlaube doch den Zugriff auf dieses Remotenetz nur über den ISA-Server! Dort kannst Du entsprechende Zielsätze definieren ("*.extern" / 160.0.0.0/8) und den Zugriff darauf nur einer bestimmten Benutzergruppe erlauben. Solange es sich nur um Webzugriffe handelt, genügt hierzu der ISA-Webproxy mit "Webproxyclients" (Browserzugriff). Wenn doch auch andere Protokolle zum Einsatz kommen, kannst Du den Firewallclient nutzen, um auch diesen Datenverkehr benutzerabhängig zu reglementieren. Jedoch musst Du den Verkehr dann über den ISA routen. Vermutlich bedingt dies auch eine kleine Umstellung Deines Netzes. Gruß Steffen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.