Firewall WAN 83.95.z.z/28 Firewall LAN 192.168.0.1
Win2003 Wan IP 192.168.0.50/24 (sidder bag firewall) - kører Win2003 LAN IP 192.168.1.1/24 med DHCP Server - kører Win2003 defaultGW 192.168.0.1 - kører
Nu kommer det svære: Jeg vil tilføje ipadr 83.95.x.y til win2003 således at jeg kan route statisk til 83.95.x.y via 192.168.0.50 fra firewall.
Videre vil jeg nat'e fra LAN 192.168.1.1 til 83.95.x.y
Hvordan gør jeg det? Gerne udpenslet... Jeg er ikke så stiv i SBS.
Problemet består i at jeg har 2 Cisco VPN klienter kørende på to arbejdsstationer. VPN kører IPSEC - P.T. over UDP. Je vil gerne køre VPN klienterne over TCP i stedet af forskellige årsager.
Firewall'en er ikke VPN aware. Man kan ikke sætte IPSEC klienter op bag firewallen - bl.a. fordi IPSec serveren fra tid til anden sender en UDP pakke retur til klienten med nøgleinformation. Alt er prøvet... Firewall'en kan ikke konfigureres til at tillade IPSec klienter. Og firewall'en kan IKKE udskiftes!
Jeg har dog mulighed for at route transparent igennem firewall'en til een bestemt IP adr. Min tanke er derfor at lade en win2003 server få en offentlig IPaddresse bag firewall'en.
*Serveren har i forvejen en "DMZ" addresse: 192.168.0.50 - kan ikke ændres.
*Serveren har et ekstra netkort - P.T. ipadr 192.168.1.1
*Jeg har den offentlige IPAdresse 83.95.z.z til rådighed.
Hvis nu jeg lader 2003'eren være gateway med offentlig IPadr burde IPSEC klienter rulle gennem. Det burde da kunne lade sig gøre.
Hmm... Ja sådan som du beskrive din firewall er det måske alligevel en mulighed. Hvilken firewall er der tale om?
Som jeg forstår det vil du have din 2003 server til at effektivt set fungere som om dén er direkte forbundet til Internettet. Er det korrekt? Hvis din firewall kan lave "ægte" passthrough bør det kun være nødvendigt at angive din WAN IP på serveren og slet ikke bruge 192.168.0.50 adressen. Firewallen vil essentielt set være "usynlig" for din server.
Hvis IKKE din firewall kan dette stunt, er jeg tilbage til at det ikke er sikkert det kan lade sig gøre. Jeg er ikke umiddelbart bekendt med en funktion i Server 2003 der tillader den form for routning du ønsker.
Firewall (Monowall) kan kun have een IP adr på LAN, men kan fungere som en ren router. Opsætningen er <route> <interface>lan</interface> <network>83.95.z.z/32</network> <gateway>192.168.0.50</gateway> <descr>hack route</descr> </route>
Hvad nu hvis jeg tilføjer 83.95.z.z til samme interface som 192.168.0.50? Hvis det kan lade sig gøre, herunder at 2003'eren æder pakker til det virtuelle interface, er der kun 2 udfordringer tilbage:
1) Traffik fra 2003'erens LAN skal NAT'es til 83.95.z.z 2) 2003'eren (ICS) skal overbevises om at LAN adresser kan være et 192.168.1.0/24 netværk fremfor 192.168.0.0/24 netværk.
P.S. kan man tilføje en statisk IP til et interface med DHCP klient?
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
