4
DMZ mit 2 Routern...Wer bekommt feste IPs?
Hallo Zusammen,
folgendes Szenario...
Ich möchte in der Firma ein kleines "SICHERES" Netzwerk aufbauen.
Ich habe hierfür 2 Netgear Router, 2MBit Standleitung + Router , 8 feste IP's, 1 Server für unserer Vertriebler & 1 Produktiv-Server.
Ich hatte mir folgendes vorgestellt...
Der "Vetriebs" Server soll in eine DMZ, hierfür wollt eich ein kleines Netz nur mit diesem Server bauen...dies soll dann das "EXTERNE" netz sein. Desweiteren wollte ich dann nich ein weiteres Netz "INTERN" mit dem Produktiv-Server und unseren Clienst (Workstations) bauen...
Ist das OK so?!
Soll ich in diesem Fall nur dem Vetriebs-Server eine feste IP geben...wegen der Sicherheit?! Oder dem "EXTERNEN" Router auch!?
Zur Zeiz hat nur der Rouetr von der Telekom (an den unsere Stansleitung hängt) ne feste IP...dieser Router (Telekom) geht dann erstmal zuerst in meinen "Externen", danach in den "INTERNEN"...
Alle Anfragen der Clients werden dann zuerst über den "INTERENEN", danach über den "EXTERNEN" und dann über den Telekom-Router laufen...Ist das so richtig?!
Danke für die Antwoerten...
Gruß
timbo2601
folgendes Szenario...
Ich möchte in der Firma ein kleines "SICHERES" Netzwerk aufbauen.
Ich habe hierfür 2 Netgear Router, 2MBit Standleitung + Router , 8 feste IP's, 1 Server für unserer Vertriebler & 1 Produktiv-Server.
Ich hatte mir folgendes vorgestellt...
Der "Vetriebs" Server soll in eine DMZ, hierfür wollt eich ein kleines Netz nur mit diesem Server bauen...dies soll dann das "EXTERNE" netz sein. Desweiteren wollte ich dann nich ein weiteres Netz "INTERN" mit dem Produktiv-Server und unseren Clienst (Workstations) bauen...
Ist das OK so?!
Soll ich in diesem Fall nur dem Vetriebs-Server eine feste IP geben...wegen der Sicherheit?! Oder dem "EXTERNEN" Router auch!?
Zur Zeiz hat nur der Rouetr von der Telekom (an den unsere Stansleitung hängt) ne feste IP...dieser Router (Telekom) geht dann erstmal zuerst in meinen "Externen", danach in den "INTERNEN"...
Alle Anfragen der Clients werden dann zuerst über den "INTERENEN", danach über den "EXTERNEN" und dann über den Telekom-Router laufen...Ist das so richtig?!
Danke für die Antwoerten...
Gruß
timbo2601
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 24420
Url: https://administrator.de/contentid/24420
Printed on: April 24, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hast du dir das so gedacht wie in diesem Artikel beschrieben?
Heise Netze: "Mit zwei einfachen Routern lässt sich eine echte Demilitarized Zone einrichten"
http://www.heise.de/netze/artikel/78397
Heise Netze: "Mit zwei einfachen Routern lässt sich eine echte Demilitarized Zone einrichten"
http://www.heise.de/netze/artikel/78397
Ja...eigentlich schon...!
Verstehe das nur mit dem Routing nicht so ganz...!!!
Was bekommt der "INTERENE" als Gateway/ DNS Eintrga?! Und was der "EXTEREN"?!
Und was ich den Routern für IP's gebn sollte?! Feste?!
Danke für die schenlle Antwort
Verstehe das nur mit dem Routing nicht so ganz...!!!
Was bekommt der "INTERENE" als Gateway/ DNS Eintrga?! Und was der "EXTEREN"?!
Und was ich den Routern für IP's gebn sollte?! Feste?!
Danke für die schenlle Antwort
Ich würde Vorschlagen das die Vertriebsmitarbeiter eine VPN Verbindung zu dem externen Router aufbauen. Für die VPN Verbindung ist es praktisch wenn der externe Router eine feste IP Adresse bekommt. Durch die VPN Verbindung sind dann die Geräte in der DMZ erreichbar, in deinem Fall wäre das der Vertriebsserver. Es ist nicht zwingend erforderlich das der Vertriebsserver eine feste öffentliche IP von der Telekom verwendet. Es genügt wenn du hier eine private IP Adresse fest einträgst. Wie in dem Beispiel aus dem Heise Artikel: 192.168.0.2
Der sekundäre Router, den du als internen Router bezeichnest, trägst du wie in dem Beispiel bei Heise dargestellt, als default Gateway und DNS Server den externen Router ein. Der Sekundäre Router schützt das interne Netzwerk vor Angriffen aus der DMZ wenn z.B. ein VPN Benutzer zu neugierig wird oder sein Notebook mit einem Virus infiziert sein sollte.
Da der sekundäre Router ein ganz normales NAT durchführt ist es nicht erforderlich dem externen Router etwas von dem Netzwerk hinter dem ersten Router zu erzählen. Dort ist kein zusätzlicher Routingeintrag notwendig.
Gruß Rafiki
Der sekundäre Router, den du als internen Router bezeichnest, trägst du wie in dem Beispiel bei Heise dargestellt, als default Gateway und DNS Server den externen Router ein. Der Sekundäre Router schützt das interne Netzwerk vor Angriffen aus der DMZ wenn z.B. ein VPN Benutzer zu neugierig wird oder sein Notebook mit einem Virus infiziert sein sollte.
Da der sekundäre Router ein ganz normales NAT durchführt ist es nicht erforderlich dem externen Router etwas von dem Netzwerk hinter dem ersten Router zu erzählen. Dort ist kein zusätzlicher Routingeintrag notwendig.
Gruß Rafiki
Ein Routing Eintrag nicht aber es sollte klar sein das du dann nicht so ohne weiteres über die NAT Firewall in dem Router hinwegkommst wenn du nicht mit Port Forwarding Einträgen leben willst. Die wiederum bedeuten dann das du jeden Dienst (TCP Port) nur ein einziges Mal an eine Adresse im internen Netz forwarden kannst und nicht mehr.
Dein Netzwerk sieht dann so aus:
(Internet)---2MB---(ISP-Router)---LAN---(Router1)---DMZ_LAN---(Router2)---Internes_LAN---(PC)
In solch einen Konstrukt kannst du hinter dem Router1 gar nicht mehr mit öffentlichen IPs arbeiten, da du deine 8 öffentlichen Adressen nicht weiter subnetten kannst.
Jetzt wirst du mit Sicherheit eine 29 Bit Maske haben (255.255.255.248). Daraus könntest du 2 Subnets a 30 Bit (255.255.255.252) machen, mit dem Nachteil, das du dann nur 2 Hostadressen pro Subnet hast, die du aber schon für deine Routeradressen verwenden musst. Für den Vertriebsserver bleibt dann nichts mehr. Ausserdem verschwendest du durch das weitere Subnetteing eine Menge deiner kostbaren öffentlichen IP Adressen.
Du solltest dann also im DMZ_LAN auch RFC 1918 Adressen verwenden und den o.a. Router1 als VPN Einwahlrouter nehmen. Von dort aus kannst du dann proplemlos den Vertreibsserver im DMZ_LAN erreichen und gleichzeitig ist dieser durch die NAT Funktion am Router1 nicht direkt im Internet exponiert.
Aus dem DMZ_LAN kommt man so ohne weiteres auch nicht in dein internes LAN, das geht nur durch Port Forwarding an Router 2 sofern der auch NAT aktiv hat.
Allerdings ist das auch ein Hinderniss für dich. Man sollte dann besser das Portforwarding an Router 2 nutzen um nur bestimmte Dinge zwischen den Servern auszutauschen die mobile Vertriebler auch wirklich benutzen.
Letztlich eine Frage der Sicherheit was du zwischen internem Netz und DMZ_LAN durchlassen willst.
Dein Netzwerk sieht dann so aus:
(Internet)---2MB---(ISP-Router)---LAN---(Router1)---DMZ_LAN---(Router2)---Internes_LAN---(PC)
In solch einen Konstrukt kannst du hinter dem Router1 gar nicht mehr mit öffentlichen IPs arbeiten, da du deine 8 öffentlichen Adressen nicht weiter subnetten kannst.
Jetzt wirst du mit Sicherheit eine 29 Bit Maske haben (255.255.255.248). Daraus könntest du 2 Subnets a 30 Bit (255.255.255.252) machen, mit dem Nachteil, das du dann nur 2 Hostadressen pro Subnet hast, die du aber schon für deine Routeradressen verwenden musst. Für den Vertriebsserver bleibt dann nichts mehr. Ausserdem verschwendest du durch das weitere Subnetteing eine Menge deiner kostbaren öffentlichen IP Adressen.
Du solltest dann also im DMZ_LAN auch RFC 1918 Adressen verwenden und den o.a. Router1 als VPN Einwahlrouter nehmen. Von dort aus kannst du dann proplemlos den Vertreibsserver im DMZ_LAN erreichen und gleichzeitig ist dieser durch die NAT Funktion am Router1 nicht direkt im Internet exponiert.
Aus dem DMZ_LAN kommt man so ohne weiteres auch nicht in dein internes LAN, das geht nur durch Port Forwarding an Router 2 sofern der auch NAT aktiv hat.
Allerdings ist das auch ein Hinderniss für dich. Man sollte dann besser das Portforwarding an Router 2 nutzen um nur bestimmte Dinge zwischen den Servern auszutauschen die mobile Vertriebler auch wirklich benutzen.
Letztlich eine Frage der Sicherheit was du zwischen internem Netz und DMZ_LAN durchlassen willst.
