IPCop & DHCP-Relay-Agent?

Internet Internet Sicherheit
#1

Hallo miteinander!

Ich hab hier eine Testumgebung aufgebaut. Ein W2K3-SRV läuft mit DNS, DHCP und ADS. Auf dem SRV läuft (in einer VMware) der IPCop. Auf dem ist DNS und DHCP etc. deaktiviert. Der IPCop hat zwei Netze (Red und Green). Green ist per VMNet1 auf HostOnly gestellt. Das funktioniert auch einwandfrei. Das RED- Netzwerk ist an die NIC vom W2K3-SRV gebridged. Nun habe ich an diese reale Nic (über die ja auch der IPCop „nach draußen telefoniert“) mal einen Client angeschlossen. Dieser soll sich eigentlich per DHCP seine Adresse vom Server holen.
Problem: Der IPCop scheint die DHCP-Requests nicht weiterzuleiten! Ich hab bereits (alberner Weise) auf dem Server selbst einen RelayAgent eingerichtet. (Was mich aber nicht wirklich weiter bringt - ich weiß!) Eigentlich bräuchte ich doch nun einen RelayAgent auf dem IPCop - oder kann ich derartige Weiterleitungen auch unter PortForwarding konfigurieren? Ich möchte doch nur, dass der reale, externe Client an dem virtuellen IPCop vorbei an den Server kommt und sich von dort seine DHCP-IP-Addy ziehen kann… *seufz*
Hat vielleicht jemand eine Lösung?

Danke!

PS: Ich weiß, dass einem diese Konstellation vielleicht ein wenig albern vorkommen mag. Aber das mit dem virtuellen IPCop auf dem SRV ist erst mal nur als „Laborumgebung“; später läuft der IPCop dann auf einer realen Maschine. Aber auch dort sollte er in der Lage sein, DHCP-Anfragen weiterzuleiten! Daher frag ich halt jetzt einfach schon mal nach… Gute Ideen sind herzlichst Willkommen!! :wink:

#2

Hallo Anika,

was sagt denn das Log des IPCop?
Normalerweise ist aus RED heraus kein Zugriff auf das LAN gestattet. Du müsstest unter „Firewall / Port Forwarding“ einzelne Ports freischalten.
Sinnvollerweise solltest Du eine DMZ (ORANGE) eirichten und das Ganze darüber realisieren.

stefan

#3

Hallo Stefan!

Danke dir für deine Hilfe… inzwischen hab ich das „Problem“ hier noch mal mit den Verantwortlichen durchgesprochen. Und ihnen erklärt, dass es so, wie sie sich das vorstellen, nicht zu realieren sein wird.
Nun greifen wir also wieder auf die guten, alten, vertrauten Möglichkeite zurück: Ein LAN im Green, in dem die Clients und der Server laufen. Und eine „Internetanbindung“ (über ein anderes LAN), welche(s) sich im RED- Bereich des Cops befindet…
Es leben die guten, alten Dinge! *zwinker*

Dennoch lieben Dank für deine Antwort…

Schönen Tag noch!

ME

#4

Hallo,

ich kann Dir eher nicht so wie gewünscht weiterhelfen, aber.

PS: Ich weiß, dass einem diese Konstellation vielleicht ein
wenig albern vorkommen mag.

Ja, in der Tat :wink:

Aber das mit dem virtuellen IPCop
auf dem SRV ist erst mal nur als „Laborumgebung“;

Sowas auf einem virtuellen Server zu testen halte ich bestenfalls für Fehleranfällig, das ist deutlich neben den Standardanforderungen, die man an solche virtuellen Server hat.

Ich würde da wirklich keine Fehler suchen wollen.

später läuft
der IPCop dann auf einer realen Maschine.

Das ist eine deutlich bessere Idee. Hast Du wirklich keine krüppelige Maschine, auf der Du das testen kannst?

Aber auch dort
sollte er in der Lage sein, DHCP-Anfragen weiterzuleiten!

Naja, DHCP geht erstmal nur in einem Netz. Mit Port-Forwardung zu arbeiten ist eine schlechte Idee, Du solltest für das andere Netz ansonsten einen DHCP-Relay konfigurieren oder aber einen zweiten DHCP-Server oder den DHCP-Server in beide Netze bringen…

Daher frag ich halt jetzt einfach schon mal nach… Gute Ideen
sind herzlichst Willkommen!! :wink:

HTH,

Sebastian

#5

Hallo,

Danke dir für deine Hilfe… inzwischen hab ich das „Problem“
hier noch mal mit den Verantwortlichen durchgesprochen.

Was genau ist denn Euer „Problem“ eigentlich gewesen?

Gruß,

Sebastian