Synology Firewall des RT2600ac - Mir kommt da etwas Spanish vor...

Status
Für weitere Antworten geschlossen.

Hauser_Ger

Benutzer
Mitglied seit
05. Aug 2017
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hi,

ich grübele gerade über ein "Phänomen". Mein Hausnetz besteht aus zwei Netzen:

- Im ersten Netz "DMZ" (192.168.1.0/24 & Switch A) hängen Überwachungskameras, eine DiskStation auf der die Videos der Kameras landen und eine Fritz-Box, die Internet bereitstellt.
- Ein RT2600ac steht nun mit dem WAN-Beinchen in diesem Netz und mit dem LAN-Beinchen im...
- "Hausnetz". Dort (192.168.2.0/24 & Switch B) stehen zwei weitere DiskStations, sowie sämtliche Notebooks, PCs, usw...

Sinn der Sache ist, die Trennung (logisch per IP & physisch per Switch) der gefährdeten (weil aus dem INet erreichbaren) Kameras von dem restlichen Hausnetz.

Nun habe ich auf einer der Heimnetz-DiskStations CMS und den Directory Server installiert und die zweite Heimnetz-Station, sowie die DS in der DMZ hinzugefügt. Wunderlicher Weise funktioniert auch alles! Und genau das ist das Phänomen. Denn eigentlich dürfte, ohne Firewall-Freigabe, der RT2600ac doch gar keine Kommunikation aus dem "Internet" (also meiner DMZ) in mein Heimnetz zulassen. Doch die DMZ-DiskStation erreicht wunderbar die Ports 389 & 636 der Heimnetz-DiskStation. - Natürlich habe ich geprüft, ob die Firewall aktiv ist. ;)

Habt ihr eine Idee dazu? (Der Kommunikationsaufbau bei LDAP ist ja definitiv vom LDAP-Client (DMZ) zum LDAP-Server (Hausnetz) und somit aus Sicht des RT2600ac aus dem INet ins Heimnetz. Somit müsste die Kommunikation geblockt werden.)

Grüße,
Hauser
 
Zuletzt bearbeitet:

Hauser_Ger

Benutzer
Mitglied seit
05. Aug 2017
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
So, ich habe noch mal ein bisschen getestet.

Habe einen Windows-Client in die DMZ gehängt und per TelNet versucht die LDAP-DiskStation im Heimnetz zu erreichen: Fehlanzeige
Dann habe ich die DMZ-DS heruntergefahren und deren IP für den Windows-Client verwendet. Nun hat der TelNet die LDAP-Ports im Heimnetz erreicht.

Das heisst also, der RT2600ac muss eine Kommunikation vom CMS (Heimnetz) in Richtung DMZ-DS festgestellt haben und aufgrund dessen die Kommunikation in die andere Richtung erlauben. Eine andere Erklärung habe ich nicht.

Grüße,
Hauser
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat