Egal88
Super-Moderator & Mr. Powerforen 2012
Teammitglied
Eine Frage an die Firewall-Cracks:
Ich möchte mit einem Client, nennen wir ihn mal 192.168.1.17, auf zwei verschiedene Server zugreifen.
Beide Server laufen unabhängig voneinander in verschiedenen Netzen (unterschiedliche VLANs), haben jeweils aber die gleiche IP-Adresse, sagen wir mal 10.10.10.10, und jeweils die gleiche IP-Adresse als Gateway konfiguriert, sagen wir mal 10.10.10.1.
Die Konfiguration der Server ist fix und kann nicht geändert werden.
Mein Ziel ist es, eine Firewall-Konfiguration zu finden, die es ermöglicht, auf beide Server zugreifen zu können.
Für den ersten Server ist das relativ einfach: ich konfiguriere auf meiner Firewall eine IP-Adresse im VLAN von Server1, (also z.B. 10.10.10.101), mache ein Source-NAT auf dieses Interface und kann den Server von meinem Client aus ansprechen. Der Server sieht also die 10.10.10.101 als anfragende Adresse, kann also direkt (ohne Nutzung seines Gateways) antworten.
Beim zweiten Server ist das deutlich komplizierter: die Firewall lässt zwei gleiche IP-Interfaces nicht zu, auch wenn sie unterschiedlichen VLANs zugeordnet sind. Ich muss also im zweiten VLAN ein zweites, unterschiedliches Subnetz konfigurieren und irgendwie mit Destination-NAT arbeiten. Wenn das zweite Subnetz-Interface zum Beispiel 10.10.20.101 heißt, gibt es zumindest auf der Firewall keinen IP-Konflikt, aber ich bin eben IP-technisch im falschen Netz. Die Konfiguration einer MIP (Mapped IP) hat zunächst mal kein Ergebnis gebracht.
Mir stehen zwei Juniper-Firewalls (SSG 140 und SSG 5) zur Verfügung, ich würde aber gerne mit der SSG 140 auskommen. Evtl. könnte ich dort auch mehrere virtuelle Router konfigurieren, wenn nötig.
Jemand eine Idee?
Ich möchte mit einem Client, nennen wir ihn mal 192.168.1.17, auf zwei verschiedene Server zugreifen.
Beide Server laufen unabhängig voneinander in verschiedenen Netzen (unterschiedliche VLANs), haben jeweils aber die gleiche IP-Adresse, sagen wir mal 10.10.10.10, und jeweils die gleiche IP-Adresse als Gateway konfiguriert, sagen wir mal 10.10.10.1.
Die Konfiguration der Server ist fix und kann nicht geändert werden.
Mein Ziel ist es, eine Firewall-Konfiguration zu finden, die es ermöglicht, auf beide Server zugreifen zu können.
Für den ersten Server ist das relativ einfach: ich konfiguriere auf meiner Firewall eine IP-Adresse im VLAN von Server1, (also z.B. 10.10.10.101), mache ein Source-NAT auf dieses Interface und kann den Server von meinem Client aus ansprechen. Der Server sieht also die 10.10.10.101 als anfragende Adresse, kann also direkt (ohne Nutzung seines Gateways) antworten.
Beim zweiten Server ist das deutlich komplizierter: die Firewall lässt zwei gleiche IP-Interfaces nicht zu, auch wenn sie unterschiedlichen VLANs zugeordnet sind. Ich muss also im zweiten VLAN ein zweites, unterschiedliches Subnetz konfigurieren und irgendwie mit Destination-NAT arbeiten. Wenn das zweite Subnetz-Interface zum Beispiel 10.10.20.101 heißt, gibt es zumindest auf der Firewall keinen IP-Konflikt, aber ich bin eben IP-technisch im falschen Netz. Die Konfiguration einer MIP (Mapped IP) hat zunächst mal kein Ergebnis gebracht.
Mir stehen zwei Juniper-Firewalls (SSG 140 und SSG 5) zur Verfügung, ich würde aber gerne mit der SSG 140 auskommen. Evtl. könnte ich dort auch mehrere virtuelle Router konfigurieren, wenn nötig.
Jemand eine Idee?