7
Fragen zur Netzwerkplanung (Portforwarding und Security)
Die psykalische Infrastruktur steht und die eingerichte Netzwerke funktionieren bereits. Nun geht es um witchige Details wie Portforwarding und Security.
Hallo,
zuerst einmal das Netzwerk Setup, damit die Ausgangsposition klar wird.
Anschluss: DSL 16+ (T-Home)
Netzwerk Topologie:
1. Router (T-Com Speedport w701v)
IP: 192.168.1.1
Verwendungszweck:
DSL Modem + LAN für den T-Com Media Reciever + DYNDNS
2. Router (LinkSYS WRT54GL mit DD-WRT Firmware)
WAN IP: 192.168.1.2
IP: 192.168.2.1
Verwendungszweck:
AP - stellt LAN und WLAN für alle andere Netzwerk Geräte zur Verfügung
Clients:
- VMware Server
IP 192.168.2.8 für OS, VMware UI
IP 192.168.2.9 für die VMs
Was möchte ich erreichen:
1.) Ich würde gerne (SICHER) über DYNDNS dei WebUI des VMware Server erreichen können. Dazu müßte das Portforwarding richtig eingestellt werden. Der VMware WebServer hört auf 80 (HTTP) und 443(HTTPS).
Stelle ich nun folgendes Portforwarding ein (dnydns.adresse:9999 -> Router 1:9999 -> Router 2:9999 -> 192.168.2.8:443). Werde ich zwar dahin geroutet aber ausser loading als Page titel bekomme ich nichts mehr angezeigt.
2.) Wie oben beschreiben würde ich dem ganzen gerne etwas Sicherheit verleihen. Bei der Konfiguration wie in Punkt 1 erwähnt schützt nur noch des VMWare Passwort vor dem unbefugtem Zugriff auf die den VM Server Verwaltung.
3.) Eine der verfügbaren VMs ist ein Windows XP (Hoppingstation in interene Netz). Diese würde ich gerne per RDP ebenfalls über einen DYNDNS.adresse:PORT erreichen. Wie müßte ich das Portforwarding konfigurieren?
4.) Welche Sicherheitskonzepte könnte man bei diesen Setups empfehlen.
Vielen Dank schonmal
Benjay
zuerst einmal das Netzwerk Setup, damit die Ausgangsposition klar wird.
Anschluss: DSL 16+ (T-Home)
Netzwerk Topologie:
1. Router (T-Com Speedport w701v)
IP: 192.168.1.1
Verwendungszweck:
DSL Modem + LAN für den T-Com Media Reciever + DYNDNS
2. Router (LinkSYS WRT54GL mit DD-WRT Firmware)
WAN IP: 192.168.1.2
IP: 192.168.2.1
Verwendungszweck:
AP - stellt LAN und WLAN für alle andere Netzwerk Geräte zur Verfügung
Clients:
- VMware Server
IP 192.168.2.8 für OS, VMware UI
IP 192.168.2.9 für die VMs
Was möchte ich erreichen:
1.) Ich würde gerne (SICHER) über DYNDNS dei WebUI des VMware Server erreichen können. Dazu müßte das Portforwarding richtig eingestellt werden. Der VMware WebServer hört auf 80 (HTTP) und 443(HTTPS).
Stelle ich nun folgendes Portforwarding ein (dnydns.adresse:9999 -> Router 1:9999 -> Router 2:9999 -> 192.168.2.8:443). Werde ich zwar dahin geroutet aber ausser loading als Page titel bekomme ich nichts mehr angezeigt.
2.) Wie oben beschreiben würde ich dem ganzen gerne etwas Sicherheit verleihen. Bei der Konfiguration wie in Punkt 1 erwähnt schützt nur noch des VMWare Passwort vor dem unbefugtem Zugriff auf die den VM Server Verwaltung.
3.) Eine der verfügbaren VMs ist ein Windows XP (Hoppingstation in interene Netz). Diese würde ich gerne per RDP ebenfalls über einen DYNDNS.adresse:PORT erreichen. Wie müßte ich das Portforwarding konfigurieren?
4.) Welche Sicherheitskonzepte könnte man bei diesen Setups empfehlen.
Vielen Dank schonmal
Benjay
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131863
Url: https://administrator.de/contentid/131863
Printed on: April 23, 2024 at 07:04 o'clock
7 Comments
Latest comment
Moin,
Portforwardings direkt auf die Maschinen sind immer so ne Sache... Wie du selbst sagst, selbst wenn es klappt wäre die letzte Hürde nur noch das Passwort für die webUI bzw. die Logindaten der Remote-Sitzung.
Eleganter ist da meist auf einem älteren/ausgemusterten Rechner eine schlanke Firewall a la IPCop oder IPFire aufzusetzen und diese als VPN-Endpunkt zu nutzen. PPTP-Tunnel sind leicht (unter Windows sogar mit Bordmitteln) aufgesetzt und mit längeren und etwas kryptischen Usernamen/Passwörtern auch vergleichsweise sicher, ansonsten kannste auch die "harten Geschütze auffahren" und dich mit IPSec auseinandersetzen. Und bei so einem Szenario musst du nur die VPN-Ports auf die Firewallmaschine umlenken und das war s. Das lässt sich dann immer noch weiter verfeinern, IPCop & Co kannst du über Add-Ons so ausbauen dass du z.B. den VPN-Tunnel selbst so weit abschottest dass aus dem VPN-Netz ins LAN nur HTTPS auf die VMWare-Maschine und RDP auf XP erlaubt ist, sonst nix.
Braucht zwar dann etwas Einarbeitung bis die Firewall und VPN laufen, aber dann hast du immerhin die Sicherheit dass nicht irgendein Witzbold per Portscan deinen VMWare-Server findet und sich daran zu schaffen macht...
Portforwardings direkt auf die Maschinen sind immer so ne Sache... Wie du selbst sagst, selbst wenn es klappt wäre die letzte Hürde nur noch das Passwort für die webUI bzw. die Logindaten der Remote-Sitzung.
Eleganter ist da meist auf einem älteren/ausgemusterten Rechner eine schlanke Firewall a la IPCop oder IPFire aufzusetzen und diese als VPN-Endpunkt zu nutzen. PPTP-Tunnel sind leicht (unter Windows sogar mit Bordmitteln) aufgesetzt und mit längeren und etwas kryptischen Usernamen/Passwörtern auch vergleichsweise sicher, ansonsten kannste auch die "harten Geschütze auffahren" und dich mit IPSec auseinandersetzen. Und bei so einem Szenario musst du nur die VPN-Ports auf die Firewallmaschine umlenken und das war s. Das lässt sich dann immer noch weiter verfeinern, IPCop & Co kannst du über Add-Ons so ausbauen dass du z.B. den VPN-Tunnel selbst so weit abschottest dass aus dem VPN-Netz ins LAN nur HTTPS auf die VMWare-Maschine und RDP auf XP erlaubt ist, sonst nix.
Braucht zwar dann etwas Einarbeitung bis die Firewall und VPN laufen, aber dann hast du immerhin die Sicherheit dass nicht irgendein Witzbold per Portscan deinen VMWare-Server findet und sich daran zu schaffen macht...
Hi,
VPN war auch bereits ein Gedankenspiel was ich durch exerziert habe. Das Problem ist das ich eigentlich vermeiden wollte, dass ein weiterer PC läuft und Strom frisst (deshabl auch die Virtualsierung Geschichte).
Da der DD-WRT Router mit dem VPN Package geflasht wurde, lässt sich evtl. darüber ein sicheres Setup aufbauen?
VPN war auch bereits ein Gedankenspiel was ich durch exerziert habe. Das Problem ist das ich eigentlich vermeiden wollte, dass ein weiterer PC läuft und Strom frisst (deshabl auch die Virtualsierung Geschichte).
Da der DD-WRT Router mit dem VPN Package geflasht wurde, lässt sich evtl. darüber ein sicheres Setup aufbauen?
Sollte gehen. Hab mich mit DD-WRT noch nicht wirklich auseinandergesetzt, aber immerhin gibts in deren Wiki extra Tutorials wie man den PPTP-Server aktiviert und eine (XP-)Maschine für den Zugriff darauf konfiguriert. Siehe hier: http://www.dd-wrt.com/wiki/index.php/VPN_(tutorial)
Wie gesagt, bei PPTP nur darauf achten dass du etwas komplexere User und PWs nimmst, dann hast du ein akzeptables Sicherheitslevel.
Wie gesagt, bei PPTP nur darauf achten dass du etwas komplexere User und PWs nimmst, dann hast du ein akzeptables Sicherheitslevel.
Dafür gibts auch hier ein Tutorial:
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Oder wie man OpenVPN auf dem dd-wrt installiert:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw. PPTP
VPNs einrichten mit PPTP
Entweder mit PPTP VPN oder einem OpenVPN eine VPN Verbindung auf den DD-WRT Router aufzumachen, das sollte für dich der Ansatz sein. Damit brauchst du keinerlei Löcher in deine Firewall bohren und du hast einen vollkommen transparenten Zugriff auf dein lokales LAN.
Sicherer gehts nicht !!
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Oder wie man OpenVPN auf dem dd-wrt installiert:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw. PPTP
VPNs einrichten mit PPTP
Entweder mit PPTP VPN oder einem OpenVPN eine VPN Verbindung auf den DD-WRT Router aufzumachen, das sollte für dich der Ansatz sein. Damit brauchst du keinerlei Löcher in deine Firewall bohren und du hast einen vollkommen transparenten Zugriff auf dein lokales LAN.
Sicherer gehts nicht !!
<quote>
1. Router (T-Com Speedport w701v)
IP: 192.168.1.1
Verwendungszweck:
DSL Modem + LAN für den T-Com Media Reciever + DYNDNS
2. Router (LinkSYS WRT54GL mit DD-WRT Firmware)
WAN IP: 192.168.1.2
IP: 192.168.2.1
Verwendungszweck:
AP - stellt LAN und WLAN für alle andere Netzwerk Geräte zur Verfügung
</quote>
Gibt es für dieses Setup einen driftigen Grund?
Ansonsten gilt wie immer: Am 2. Router den WAN-Port nicht benutzen, keinen DHCP-Server einschalten und eine beliebige IP aus dem normalen LAN-Subnetz benutzen.
Grüße
Max
1. Router (T-Com Speedport w701v)
IP: 192.168.1.1
Verwendungszweck:
DSL Modem + LAN für den T-Com Media Reciever + DYNDNS
2. Router (LinkSYS WRT54GL mit DD-WRT Firmware)
WAN IP: 192.168.1.2
IP: 192.168.2.1
Verwendungszweck:
AP - stellt LAN und WLAN für alle andere Netzwerk Geräte zur Verfügung
</quote>
Gibt es für dieses Setup einen driftigen Grund?
Ansonsten gilt wie immer: Am 2. Router den WAN-Port nicht benutzen, keinen DHCP-Server einschalten und eine beliebige IP aus dem normalen LAN-Subnetz benutzen.
Grüße
Max
Gibt es für dieses Setup einen driftigen Grund?
Ansonsten gilt wie immer: Am 2. Router den WAN-Port nicht benutzen, keinen DHCP-Server einschalten und eine >beliebige IP aus dem normalen LAN-Subnetz benutzen.
Ansonsten gilt wie immer: Am 2. Router den WAN-Port nicht benutzen, keinen DHCP-Server einschalten und eine >beliebige IP aus dem normalen LAN-Subnetz benutzen.
Ja gibt es. IPTV von T-Home benötigt Multicast - Forwarding. Der DD-WRT geflashte Router unterstützt dies zwar,
aber das Thema ist trotz OpenSource noch einige riesige Baustelle. Deshalb hängt der MediaReciever am org. T-Com Router und im "2ten Subnetz" sozusagen der Rest.
Warum nicht den WAN - Port benutzen?
Cheers
weil da logischerweise die NAT Firewall aktiv ist und dir allen eingehenden Traffic ablockt !!!
