89725
Aug 15, 2010
5951
13
0
100 Mbit Router und Gigabitnetz in einer DMZ
Hallo, ich besitze einen Lancom r800+ mit T-Systems Label. Das Netz ist so aufgebaut, dass es ein Subnetz A, welches für die Internetpcs gedacht ist, und ein Netz B (DMZ) welches nur ein NAS bereithält.
Die Trennung zwischen den Schichten ist einfach. Trennung mittels der ID. 0 = von hier in alle Netze und 1 = nur in das eigene Netz.
Das Problem: Beim Zugriff von A nach B wird der Rest der Gigabithardware durch den 100 Mbit Hals des Lancoms gedrosselt. Suboptimal.
Ich habe schon überlegt, über einen Gigabitrouter die beiden Netzen zu verbinden und irgendwie den Zugriff zu beschränken. Nur wie und ist das überhaupt die richtige Idee?
Wie kann ich das Problem umschiffen, ohne Löcher in die DMZ zu reißen?
Vielen Dank!
Ich habe schon überlegt, über einen Gigabitrouter die beiden Netzen zu verbinden und irgendwie den Zugriff zu beschränken. Nur wie und ist das überhaupt die richtige Idee?
Wie kann ich das Problem umschiffen, ohne Löcher in die DMZ zu reißen?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 149032
Url: https://administrator.de/contentid/149032
Printed on: April 26, 2024 at 18:04 o'clock
13 Comments
Latest comment
Natürlich kann man das so machen, warum nicht?
Wenn es aber um wirklich viel Traffic geht musst du immer mit Geschwindigkeitseinbußen rechnen oder einen sehr teuren Router kaufen.
Wenn es aber um wirklich viel Traffic geht musst du immer mit Geschwindigkeitseinbußen rechnen oder einen sehr teuren Router kaufen.
(Internet)
|
|
Lancom
|
|--- NAS
|
Gbit-Router
|
|
LAN
Hallo dog, danke für die schnelle Rückmeldung.
Ich weiß allerdings nicht welche "billig" gigabitrouter dazu taugen und welche Einstellungen richtig sind.
Schotte ich die Netze dann per Firewall ab? Irgendwie muss ich ja die Route definieren.
Und vorallem: Leidet die Sicherheit? Der Sinn ist doch bei einer DMZ, dass wenn ein Fremder den Server in der DMZ kapert und utopischer Weise zugriff auf den Rest des Subnetzes erhält, nicht viel mehr findet als das NAS und die Routeroberfläche? Soweit korrekt?
Entschuldigt meine lange Ausführung.
Dank geht vorraus ;)
EDIT: Danke für deine Zeichnung. Aber bedeutet dass, das ich die DMZ Struktur mit den zwei Outputs (Eth 0 für Lan und Eth1 für DMZ) komplett aufgebe? Und nur noch der Gigabitrouter das Abschottungskommando bildet?
Ich weiß allerdings nicht welche "billig" gigabitrouter dazu taugen und welche Einstellungen richtig sind.
Schotte ich die Netze dann per Firewall ab? Irgendwie muss ich ja die Route definieren.
Und vorallem: Leidet die Sicherheit? Der Sinn ist doch bei einer DMZ, dass wenn ein Fremder den Server in der DMZ kapert und utopischer Weise zugriff auf den Rest des Subnetzes erhält, nicht viel mehr findet als das NAS und die Routeroberfläche? Soweit korrekt?
Entschuldigt meine lange Ausführung.
Dank geht vorraus ;)
EDIT: Danke für deine Zeichnung. Aber bedeutet dass, das ich die DMZ Struktur mit den zwei Outputs (Eth 0 für Lan und Eth1 für DMZ) komplett aufgebe? Und nur noch der Gigabitrouter das Abschottungskommando bildet?
Ich weiß allerdings nicht welche "billig" gigabitrouter dazu taugen
Mikrotik RB750G oder besser RB450G
und welche Einstellungen richtig sind.
Das muss man natürlich wissen.
MT schenkt einem bei der Konfiguration, wie Cisco, nichts.
Und vorallem: Leidet die Sicherheit?
So wie ich das sehe hast du momentan eine einbeinige DMZ, die nur aus dem Lancom besteht.
Das ist keine echte DMZ, weil es bei DMZs eben auch um die Sicherheit geht, wenn ein Router kompromittiert wird!
Mein Bild zeigt eine echte DMZ.
Danke soweit!
Warum sagst du, die Mikrotikteile mit eigenem OS sind am besten geeignet? Wegen guter / sicherer Software?
Also ist die Konfiguration wie ein Hürdenlauf? Nicht, dass ich nichts gegen Herausforderungen habe ;)
Ich dachte immer, Lancom gilt fast als Ferrari unter den Heim / Minibüroroutern?
Sind diese so leicht zu kapern?
Zielst du auf zwei verschiedene Geräte ab, damit ein Angreifer gleich an zwei Schrauben Sprengsätze zünden müsste und nicht nur einmal, da beide gleichen Router die gleiche Lücke haben?
Vielen Dank! Ich hätte nicht gedacht, das Mikrotik schon für 50 Euro zu haben ist? (Falsch geschaut?!)
Warum sagst du, die Mikrotikteile mit eigenem OS sind am besten geeignet? Wegen guter / sicherer Software?
Also ist die Konfiguration wie ein Hürdenlauf? Nicht, dass ich nichts gegen Herausforderungen habe ;)
Ich dachte immer, Lancom gilt fast als Ferrari unter den Heim / Minibüroroutern?
Sind diese so leicht zu kapern?
Zielst du auf zwei verschiedene Geräte ab, damit ein Angreifer gleich an zwei Schrauben Sprengsätze zünden müsste und nicht nur einmal, da beide gleichen Router die gleiche Lücke haben?
Vielen Dank! Ich hätte nicht gedacht, das Mikrotik schon für 50 Euro zu haben ist? (Falsch geschaut?!)
Warum sagst du, die Mikrotikteile mit eigenem OS sind am besten geeignet?
Du wolltest einen günstigen Gigabit-Router und das sind die günstigsten, die es auf dem Markt gibt.
Die nächsten sind dann irgendwelche Netgear-Schrotthaufen.
Also ist die Konfiguration wie ein Hürdenlauf?
Nö, aber man muss wissen, was man will.
Dann ist das ganz einfach, im Gegensatz zu Lancom, wo ich nach spätestens 3 Minuten Wutanfälle bekommen
Ich dachte immer, Lancom gilt fast als Ferrari unter den Heim / Minibüroroutern?
In der Kategorie, vielleicht.
Mikrotik spielt aber allein im Featureset ein paar Ligen über Lancom.
und nicht nur einmal, da beide gleichen Router die gleiche Lücke haben?
Das ist in etwa die Idee bei DMZ.
Ich danke dir vielmals für deine geduldige Auskunft.
Stimmt, das Teil sieht für den Preis sehr gut aus. Ist eigentlich auch openvpn auf den Teilen möglich? Steh nicht so auf das Lancom VPN welches beim Einwahlpunkt (also dort wo ich fremd bin) freie Ports für VPN benötigt.
Ist denn, wer Lancom mal durchschaut hat, mit Mikrotik besser bedient ;)?
http://www.mikrotik-shop.de/product_info.php?info=p536_MikroTik-RouterB ...
Heißt hier komplett, wirklich komplett? MIt lizenz?
Danke!
Stimmt, das Teil sieht für den Preis sehr gut aus. Ist eigentlich auch openvpn auf den Teilen möglich? Steh nicht so auf das Lancom VPN welches beim Einwahlpunkt (also dort wo ich fremd bin) freie Ports für VPN benötigt.
Ist denn, wer Lancom mal durchschaut hat, mit Mikrotik besser bedient ;)?
http://www.mikrotik-shop.de/product_info.php?info=p536_MikroTik-RouterB ...
Heißt hier komplett, wirklich komplett? MIt lizenz?
Danke!
Ist eigentlich auch openvpn auf den Teilen möglich?
Mikrotik kann
- PPTP
- OpenVPN
- SSTP
- IPSec
- L2TP/IPSec
- PPP
Ein Nachteil bei OVPN: Mikrotik kann das nur mit TCP und nicht UDP, weshalb es langsamer ist.
Heißt hier komplett, wirklich komplett? MIt lizenz?
Ja
Okay vielen vielen Dank!
Ich könnte mir in den Arsch beißen. 120 Euro für den Lancom zum Fesnter rausgeworfen. Ein Teil für 50 Euro tut es schon fast viel besser. *schäm*
Ich werde mir das Teil die Tage bestellen.
Im Forum gibt es sicherlich gute Anleitungen um die DMZ richtig einzurichten.
Werden die Gigabitteile auch wirklich mit einem 32 Mbit Anschluss klarkommen? Entschuldige diese zweifelhafte Frage, aber ich kannt nicht glauben, dass ich so viel für so wenig Geld bekomme.
Wer mal bei einem VW Vertragshändler weiß was ich meine, viel Geld für einen feuchten Händedruck....
Edit: Für die unterverteilung wollte ich mir einen einfachen gigabitswitch für 33 euronen holen, glaubst du, dass sich ein managbarer switch von mikrotik über kurz oder lang mehr lohnt? Oder gleich noch nen zweiten router? Also als Sicherheitsfanatiker hat man ja dann noch mehr steuerungsmöglichkeiten...
Ich könnte mir in den Arsch beißen. 120 Euro für den Lancom zum Fesnter rausgeworfen. Ein Teil für 50 Euro tut es schon fast viel besser. *schäm*
Ich werde mir das Teil die Tage bestellen.
Im Forum gibt es sicherlich gute Anleitungen um die DMZ richtig einzurichten.
Werden die Gigabitteile auch wirklich mit einem 32 Mbit Anschluss klarkommen? Entschuldige diese zweifelhafte Frage, aber ich kannt nicht glauben, dass ich so viel für so wenig Geld bekomme.
Wer mal bei einem VW Vertragshändler weiß was ich meine, viel Geld für einen feuchten Händedruck....
Edit: Für die unterverteilung wollte ich mir einen einfachen gigabitswitch für 33 euronen holen, glaubst du, dass sich ein managbarer switch von mikrotik über kurz oder lang mehr lohnt? Oder gleich noch nen zweiten router? Also als Sicherheitsfanatiker hat man ja dann noch mehr steuerungsmöglichkeiten...
Werden die Gigabitteile auch wirklich mit einem 32 Mbit Anschluss klarkommen?
Sogar die Variante ohne Gigabit kommt mit VDSL50 klar
glaubst du, dass sich ein managbarer switch von mikrotik über kurz oder lang mehr lohnt?
Von dem würde ich vorerst mal abraten.
Das Gerät ist ganz neu und in meinen Augen nicht konkurrenzfähig zum Rest vom Markt.
Und wie sieht es aus, einen weiteren Mikrotik Router als Switch zu nutzen?
Die 30 Euro mehr habe ich dann auch noch, wenn davon auszugehen ist, dass ich künftig flexibler mein Netz umbauen kann...
Die 30 Euro mehr habe ich dann auch noch, wenn davon auszugehen ist, dass ich künftig flexibler mein Netz umbauen kann...
Halte ich zwar für ein bisschen übertrieben, aber sicher kannst du das machen...
Danke.
Ich lese gerade die Review hier bezüglich des Gerätes. Gibt es Firewallregeln wie bei Lancom auch als Download?
Erst alles verbieten und dann halt nur Port80 etc durchlassen?
Die DMZ entsteht doch dadurch, dass ich das Subnetz wechsel und die Firewall nutze, oder?
Dank!
Ich lese gerade die Review hier bezüglich des Gerätes. Gibt es Firewallregeln wie bei Lancom auch als Download?
Erst alles verbieten und dann halt nur Port80 etc durchlassen?
Die DMZ entsteht doch dadurch, dass ich das Subnetz wechsel und die Firewall nutze, oder?
Dank!
Gibt es Firewallregeln wie bei Lancom auch als Download?
Unter http://wiki.mikrotik.com/wiki/Main_Page findet man ein paar, aber selber machen macht schlau
Die DMZ entsteht doch dadurch, dass ich das Subnetz wechsel und die Firewall nutze, oder?
Jo