Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Routerkonfiguration für VPN-Weiterleitung auf LAN hinter DMZ

Mitglied: cantor

cantor (Level 1) - Jetzt verbinden

13.07.2011, aktualisiert 18.10.2012, 12237 Aufrufe, 2 Kommentare

Hallo zusammen,

trotzdem ich (noch) Netzwerk-Laie bin, habe ich ein funktionierendes Heimnetzwerk am Laufen.
Jetzt möchte ich mir eine DMZ einrichten und stoße hinsichtlich der Router-Konfiguration (in Zusammenhang mit VPN) an meine Grenzen.
Aber vielleicht klappt es ja mit einem hilfreichen Hinweis ...

ich möchte mir mit zwei Routern nach der Anleitung unter http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html eine DMZ "bauen".

Hardwareseitig sieht die Sache wie folgt aus:


DSL-Modem --> 1. Router mit VPN --> 2. Router --> Clients im LAN 
                   NAS in DMZ
Die im Heise-Artikel beschriebene Konfiguration kann ich (als absoluter Netzwerk-Laie) soweit nachvollziehen.

Meine Frage:
Wie muß ich den 2. Router im Hinblick auf Portweiterleitung etc. Konfigurieren, so daß ich, wenn ich mich mit dem ersten Router über VPN verbinde (wenn ich das richtig verstehe, bin ich dann ja zuerst einmal in der DMZ), in das hinter dem 2. Router liegende LAN komme, dort alle Geräte sehe und ggf. auch eine Remotedesktop-Verbindung mit einem im LAN befindlichen PC aufbauen kann? Die VPN-Verbindung wir per IPSec aufgebaut.

Ganz herzlichen Dank im voraus für hilfreiche Tipps und Hinweise.

Gruß Jürgen
Mitglied: aqui
13.07.2011, aktualisiert 18.10.2012
Wenn der Router 1 der VPN Router ist und du von remote dort eine VPN Session hast, dann hat der VPN Client ja eine IP Adresse aus dem DMZ LAN. Der VPN Client verhält sich also exakt genau so wie das NAS oder andere Clients die im lokalen LAN Segment des Router 1 angeschlossen sind. Ist ja auch der tiefere Sinn eines VPNs !
Um in das Client LAN des Router 2 zu kommen musst du die dort aktive NAT Firewall überwinden, was mit entsprechenden Port Forwarding (Weiterleitungs) Einträgen passiert.
Siehe auch hier:
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Einfaches Beispiel bei dem das DMZ Netz die 172.16.1.0 /24 ist und das Client Netz die 10.16.1.0 /24 und ein DMZ User (VPN Client) auf einem Webserver .100 im Client Segment will:
Dafür trägst du an Router 2 eine Port Weiterleitungsregel ein:
Eingehend Port TCP 80 wird weitergeleitet auf lokale IP 10.16.1.100 (die .100 ist der lokale PC mit dem Webserver)
Analog machst du das für alle Anwendungen die du im Client Netz erreichen willst.
Erheblicher Nachteil ist hier allerdings das du immer nur genau einen Rechner bzw. Port mit einer Anwendung erreichen kannst. Du kannst mit der Port Weiterleitung niemals gleiche Ports zu mehreren lokalen Zielen forwarden ! Ansonsten blockt dir die NAT Firewall alles.
Transparent routen kannst du so von LAN an Router 1 (DMZ) nicht an das Client LAN an Router 2, klar die NAT FW ist ja dazwischen. Das ist leider der gravierende Nachteil dieser "DMZ des kleinen Mannes".
Hast du diese Anforderung, dann ist es besser das Konzept dieser beiden Router in Kaskade zu vergessen und das mit einer kleinen Firewall zu machen mit 3 Interfaces !
Damit hast du dann eine richtige DMZ und kannst die Zugriffsregeln ganz granular einstellen. Außerdem fliesst dein Traffic aus dem Client Segment nicht mehr frei durch das DMZ Segment und kann da mitgesniffert werden. Deshalb ist das mit den 2 Routern auch keine richtige DMZ !
Wie so ein Konzept aussieht kannst du hier:
https://www.administrator.de/forum/heimnetz%2c-verschiedene-ebenen%2c-zw ...
genau nachlesen, es ist exakt das gleiche Szenario ! Eine einfache Hardware dazu ist z.B. HIER beschrieben.
Damit hast du zentral nur noch ein einziges Gerät zu bedienen was dir alles in einem ermöglicht, VPN, Firewall etc. Von der Handhabe also erheblich einfacher und sicherer !
Wenn du nur einzelne, wenige Applikationen von der DMZ ins Client Netz forwarden musst tuts aber auch das Banalkonzept mit der Kaskadierung 2er billiger Router.
Bitte warten ..
Mitglied: cantor
13.07.2011 um 19:35 Uhr
Danke für die Hinweise sowie die interessanten weiterführenden Links!

Ich glaube fast, dass ich mit m0n0wall unbedingt ansehen sollte (auch wenn ich hier die zwei für eine Kaskadierung benötigten Router schon stehen hätte).

Einziges Problem könnte eventuell die Übertragungsrate bei VPN sein, aber das werde ich ausprobieren müssen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
DMZ hinter LAN?
gelöst Frage von Lars15Netzwerkmanagement8 Kommentare

Hallo, normalerweise wird eine DMZ ja folgendermaßen aufgebaut: WAN>Router1>DMZ>Router2>LAN. Aus organisatorischen Gründen würde ich gerne die Position von LAN ...

Netzwerke
Kann von LAN nicht in DMZ
gelöst Frage von 118080Netzwerke23 Kommentare

Moin Leute Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich. Habe nun an ...

Netzwerkmanagement

Proxy für den Betrieb in einer DMZ oder im LAN

gelöst Frage von M.MarzNetzwerkmanagement12 Kommentare

Hallo zusammen, wir möchten im Betrieb einen Squid Proxy installieren. Meine Frage ist nun, muss der Proxy in einer ...

Router & Routing

Routerkonfiguration für bulgarisches ipTV über VPN-Anbieter

Frage von TomFusionRouter & Routing7 Kommentare

Hallo zusammen, ich habe folgendes Thema und versuche die Angelegenheit stichpunktartig darzustellen: - Ziel der Maßnahme: Es soll am ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 7 StundenDatenschutz

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...