---

Jeg er i gang med at konfigurere en DrayTek Vigor2900G-router. Mit setup er
følgende:

- WAN-siden er et offentligt /27-net
- LAN 10.10.10.0/24 med DHCP-server aktiveret
- DMZ (pseudo, har ikke eget ben) 192.168.0.0/24
- Servere på DMZ, koblet op via den indbyggede switch
- Offentlige IP-adresser oprettet som "WAN IP Alias'er" og "Join'et NAT IP
Pool"
- NAT-regler til servere oprettet via "DMZ Host Setup", hvor der er oprettet
1-1 mellem WAN IP-adresser og tilhørende DMZ IP-adresser
- Firewall-regler, der tillader indgående trafik til en række porte på hele
DMZ-nettet
- Ingen FW-begrænsninger mht. udgående trafik

Klienter, der kobler sig på via det indbyggede AP, får en korrekt IP-adresse
fra 10.10.10.0-nettet og fungerer fint. Servere, der har fast IP-adresse fra
192.168.0.0-nettet, kan tilgås udefra, men ikke fra LAN-klienter. Server kan
ikke tilgå WAN eller LAN. Servere kan fint pinge routeren på 192.168.0.1.

Jeg har en idé om, at der er noget galt med NAT. Nogen, der kan hjælpe?

--
-Jens B.
http://www.fotolog.dk - My photo diary (Last updated 11/19/05)
http://gallery.bruun.com/index.php?cat=10003 - My photo gallery

---

Jens Bruun wrote:
> Jeg er i gang med at konfigurere en DrayTek Vigor2900G-router. Mit setup er
> følgende:
>
> - DMZ (pseudo, har ikke eget ben) 192.168.0.0/24

Hvis det ikke har sit eget ben (og der i øvrigt blot står en dum switch
bagved), så er DMZ ikke rigtigt noget værd. Mit råd: drop dit DMZ.

Anon

---

"Anon" <invalid@invalid.invalid> skrev i en meddelelse
news:douhqe$316u$1@gnd.k-net.dk

> Hvis det ikke har sit eget ben (og der i øvrigt blot står en dum
> switch bagved), så er DMZ ikke rigtigt noget værd. Mit råd: drop dit
> DMZ.

Det kan blive resultatet, men det gør det ulig meget lettere med separat net
til serverne, når jeg skal lave firewall-regler.

--
-Jens B.
http://www.fotolog.dk - My photo diary (Last updated 11/19/05)
http://gallery.bruun.com/index.php?cat=10003 - My photo gallery

---

Jens Bruun wrote:
> Det kan blive resultatet, men det gør det ulig meget lettere med separat net
> til serverne, når jeg skal lave firewall-regler.

Kender ikke DrayTek-boksene (endnu), men kunne det tænkes at du mangler
eksplicitte regler for at tillade trafik mellem 10-nettet og 192-nettet?

Anon

---

"Anon" <invalid@invalid.invalid> skrev i en meddelelse
news:doumo1$192$1@gnd.k-net.dk

> Kender ikke DrayTek-boksene (endnu), men kunne det tænkes at du
> mangler eksplicitte regler for at tillade trafik mellem 10-nettet og
> 192-nettet?

Den vej har jeg været ned af - uden succes. Jeg er til gengæld kommet lidt
videre i fejlsøgningen: Det er alene routeren, der svarer, når jeg pinger
servere udefra, selvom routeren burde NAT'e videre. Pinger jeg en server fra
LAN-nettet, får jeg korrekt svar fra serveren. Noget tyder på, at jeg uden
problemet kan tilgå DMZ-noderne fra LAN-nettet uden problemer, men ikke
udefra. Routeren ruter altså korrekt fra LAN-net til DMZ-net. Jeg kan dog
stadig ikke nå noget som helst fra DMZ-nettet bortset fra routeren selv.

--
-Jens B.
http://www.fotolog.dk - My photo diary (Last updated 11/19/05)
http://gallery.bruun.com/index.php?cat=10003 - My photo gallery

---

Jens Bruun wrote:
> Den vej har jeg været ned af - uden succes. Jeg er til gengæld kommet lidt
> videre i fejlsøgningen: Det er alene routeren, der svarer, når jeg pinger
> servere udefra, selvom routeren burde NAT'e videre. Pinger jeg en server fra

Hvor ved du fra at det er routeren som svarer - har du været i gang med
en sniffer? Jeg går ud fra at vi snakker 1-1 NAT ind mod serverne? Hvad
med at prøve noget NAT/PAT og se om du kan komme igennem med noget TCP?

> LAN-nettet, får jeg korrekt svar fra serveren. Noget tyder på, at jeg uden
> problemet kan tilgå DMZ-noderne fra LAN-nettet uden problemer, men ikke
> udefra. Routeren ruter altså korrekt fra LAN-net til DMZ-net. Jeg kan dog
> stadig ikke nå noget som helst fra DMZ-nettet bortset fra routeren selv.

Men det strider jo mod dit første indlæg ("Servere, der har fast
IP-adresse fra 192.168.0.0-nettet, kan tilgås udefra, men ikke fra
LAN-klienter. Server kan ikke tilgå WAN eller LAN"). Hvad er problemet? :)

Anon

PS: Drop dit DMZ. Du vinder sikkerhedsmæssigt intet med det med dit
nuværende setup udover at skabe problemer. :)

---

"Anon" <invalid@invalid.invalid> skrev i en meddelelse
news:doupbv$2fb$1@gnd.k-net.dk

> Hvor ved du fra at det er routeren som svarer - har du været i gang
> med en sniffer?

Tja, det kan man vel godt sige, jeg har.

> Jeg går ud fra at vi snakker 1-1 NAT ind mod
> serverne?

Jepper.

> Hvad med at prøve noget NAT/PAT og se om du kan komme
> igennem med noget TCP?

Samme problem. Intet slipper hverken den ene eller anden vej til/fra DMZ.

> Men det strider jo mod dit første indlæg ("Servere, der har fast
> IP-adresse fra 192.168.0.0-nettet, kan tilgås udefra, men ikke fra
> LAN-klienter. Server kan ikke tilgå WAN eller LAN"). Hvad er
> problemet? :)

At jeg var for hurtig med mit første indlæg. Jeg forsøgte kun at tilgå
udefra med ping, og har siden fundet ud af, at intet slipper igennem. Jeg
har dog verificeret, at der er fuldt hul igennem fra LAN til DMZ, men sjovt
nok ikke den anden vej.

> PS: Drop dit DMZ. Du vinder sikkerhedsmæssigt intet med det med dit
> nuværende setup udover at skabe problemer. :)

Næ, det har du ret i. Det er heller ikke af sikkerhedsmæssige årsager, jeg
bliver ved, men af praktiske (og fordi det irriterer mig, at det ikke
virker, som det bør). Jeg ender nok op med et helt andet scenarie.

--
-Jens B.
http://www.fotolog.dk - My photo diary (Last updated 11/19/05)
http://gallery.bruun.com/index.php?cat=10003 - My photo gallery

---

"Jens Bruun" <bruun_jens@hotmail.com> skrev i en meddelelse
news:43b2c41b$0$78285$157c6196@dreader1.cybercity.dk

Problemet er langt om længe løst. Det viste sig, at et soft-reset af
routeren foran (en Cisco 677) ikke clearede ARP-tabellen. Sluk/tænd for
strøm på Cisco'en løste problemet.

--
-Jens B.
http://www.fotolog.dk - My photo diary (Last updated 11/19/05)
http://gallery.bruun.com/index.php?cat=10003 - My photo gallery