Stehen mehrere offizielle IPs zur Verfügung und soll damit ein Server in einer De-Militarized Zone (DMZ) angebunden werden, so kann dies in drei unterschiedlichen Varianten erfolgen.
![[Hinweis]](../images/admon/note.png) | Hinweis |
|---|---|
Bitte beachten Sie, dass Sie bei allen Verfahren immer mindestens 8 offizielle IPs benötigen um (mindestens) einen Server in einer DMZ anbinden zu können. |
| Vorteile | einfach verständlich, weit verbreitet |
| Nachteile | Verschwendung von IP-Adressen durch Teilung des Netzes, Subnetz-Routing muss auf dem Router eingetragen werden |
Bei dieser Variante wird das vorhandene Netz mit offiziellen IPs in zwei kleinere Subnetze geteilt: Ein sog. Transfernetz zwischen Router und Intranator und ein DMZ-Netz. Da pro Subnetz immer zwei IPs für Netzadresse und Broadcast benötigt werden und der Intranator in beiden Netzen eine IP benötigt, steht von 8 offiziellen IPs am Ende nur eine für einen Server in der DMZ zur Verfügung.
Auf dem Router muß eingestellt werden, dass das direkt angeschlossene Netz (Transfernetz) verkleinert wurde und dass das DMZ-Netz über den Intranator geroutet wird. Da der Benutzer auf einen vom Provider gestellten Router oft keinen Zugriff hat, muß diese Einstellung der Provider für Sie vornehmen.
| Vorteile | flexibel, gute Ausnutzung der IPs |
| Nachteile | funktioniert nicht mit allen Protokollen |
Bei dieser Variante wird die DMZ wie ein normales LAN mit IPs aus dem privaten Adressraum (z.B. 192.168.x.x) eingerichtet. Legen Sie alle DMZ-Server unter Netzwerk > Intranet > Rechner an. Im Menü Netzwerk > Firewall > Statische NAT wird dann eine Weiterleitung der offiziellen IP auf den Server in der DMZ konfiguriert.
Der Intranator legt automatisch ein virtuelles Netzwerkinterface beim Provider an, sobald die offizielle IP im Netz zwischen Router und Intranator liegt. Deshalb benötigen Sie auf dem Router keine speziellen Routingeinträge für diese IPs.
Da der Server nur seine IP aus dem LAN - nicht aber seine offizielle - kennt, funktionieren manche Protokolle nicht. Denn einige Protokolle übertragen zusätzlich die verwendete IP im normalen Datenstrom. Bei einigen Protokollen kann der Intranator dies kompensieren (z.B. FTP und PPTP), bei anderen aber nicht (z.B. H.323).
| Vorteile | funktioniert mit allen Protokollen, gute Ausnutzung der IPs |
| Nachteile | komplexere Konfiguration |
Bei Proxy-ARP wird das Netz zwischen Router und Intranator mit den gleichen Daten ein weiteres mal als DMZ angelegt. Unter Netzwerk > Interfaces tragen Sie für die DMZ den Typ "Proxy-ARP" ein. Geben Sie dem Intranator in diesem Netz die gleiche IP wie Sie sie auch unter Netzwerk > Provider > Profile eingetragen haben. Tragen Sie unbedingt alle Rechner in dem DMZ-Netz einzeln unter Netzwerk > Intranet > Rechner ein. Der Intranator geht davon aus, dass alle dort nicht eingetragenen Rechner in dem Netz zwischen Intranator und Router liegen.
Stellen Sie das Default-Gateway auf dem Server in der DMZ auf den Intranator. Der Intranator vermittelt jetzt zwischen den beiden Netzteilen, ohne dass die beteiligten Rechner davon etwas mitbekommen. Für die Rechner sieht es so aus, als ob es sich um ein einzelnes, größeres Netz handelt. Selbstverständlich kontrolliert die Firewall den Datenverkehr zwischen den beiden Netzteilen.
Auf dem Router müssen Sie für das interne Netz keine speziellen Einstellungen vornehmen.
![[Achtung]](../images/admon/caution.png) | Achtung |
|---|---|
Bei der Erstinstallation kann es leicht zu Problemen mit dem ARP-Cache des Routers kommen. Der Router denkt dann, dass der Server noch im Netz zwischen Router und Intranator liegt. Konfigurieren Sie zuerst den Intranator, dann den Server in der DMZ und starten danach den Router neu um dieses Problem zu vermeiden. |
