Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ mit 2 Routern...Wer bekommt feste IPs?

Frage Netzwerke Router & Routing

Mitglied: timbo2601

timbo2601 (Level 1) - Jetzt verbinden

29.05.2007, aktualisiert 30.05.2007, 4452 Aufrufe, 4 Kommentare

Hallo Zusammen,

folgendes Szenario...

Ich möchte in der Firma ein kleines "SICHERES" Netzwerk aufbauen.
Ich habe hierfür 2 Netgear Router, 2MBit Standleitung + Router , 8 feste IP's, 1 Server für unserer Vertriebler & 1 Produktiv-Server.

Ich hatte mir folgendes vorgestellt...

Der "Vetriebs" Server soll in eine DMZ, hierfür wollt eich ein kleines Netz nur mit diesem Server bauen...dies soll dann das "EXTERNE" netz sein. Desweiteren wollte ich dann nich ein weiteres Netz "INTERN" mit dem Produktiv-Server und unseren Clienst (Workstations) bauen...

Ist das OK so?!

Soll ich in diesem Fall nur dem Vetriebs-Server eine feste IP geben...wegen der Sicherheit?! Oder dem "EXTERNEN" Router auch!?

Zur Zeiz hat nur der Rouetr von der Telekom (an den unsere Stansleitung hängt) ne feste IP...dieser Router (Telekom) geht dann erstmal zuerst in meinen "Externen", danach in den "INTERNEN"...

Alle Anfragen der Clients werden dann zuerst über den "INTERENEN", danach über den "EXTERNEN" und dann über den Telekom-Router laufen...Ist das so richtig?!

Danke für die Antwoerten...

Gruß
timbo2601
Mitglied: Rafiki
29.05.2007 um 21:43 Uhr
Hast du dir das so gedacht wie in diesem Artikel beschrieben?

Heise Netze: "Mit zwei einfachen Routern lässt sich eine echte Demilitarized Zone einrichten"
http://www.heise.de/netze/artikel/78397
Bitte warten ..
Mitglied: timbo2601
29.05.2007 um 21:47 Uhr
Ja...eigentlich schon...!
Verstehe das nur mit dem Routing nicht so ganz...!!!
Was bekommt der "INTERENE" als Gateway/ DNS Eintrga?! Und was der "EXTEREN"?!

Und was ich den Routern für IP's gebn sollte?! Feste?!

Danke für die schenlle Antwort
Bitte warten ..
Mitglied: Rafiki
29.05.2007 um 22:13 Uhr
Ich würde Vorschlagen das die Vertriebsmitarbeiter eine VPN Verbindung zu dem externen Router aufbauen. Für die VPN Verbindung ist es praktisch wenn der externe Router eine feste IP Adresse bekommt. Durch die VPN Verbindung sind dann die Geräte in der DMZ erreichbar, in deinem Fall wäre das der Vertriebsserver. Es ist nicht zwingend erforderlich das der Vertriebsserver eine feste öffentliche IP von der Telekom verwendet. Es genügt wenn du hier eine private IP Adresse fest einträgst. Wie in dem Beispiel aus dem Heise Artikel: 192.168.0.2

Der sekundäre Router, den du als internen Router bezeichnest, trägst du wie in dem Beispiel bei Heise dargestellt, als default Gateway und DNS Server den externen Router ein. Der Sekundäre Router schützt das interne Netzwerk vor Angriffen aus der DMZ wenn z.B. ein VPN Benutzer zu neugierig wird oder sein Notebook mit einem Virus infiziert sein sollte.

Da der sekundäre Router ein ganz normales NAT durchführt ist es nicht erforderlich dem externen Router etwas von dem Netzwerk hinter dem ersten Router zu erzählen. Dort ist kein zusätzlicher Routingeintrag notwendig.

Gruß Rafiki
Bitte warten ..
Mitglied: aqui
30.05.2007 um 10:50 Uhr
Ein Routing Eintrag nicht aber es sollte klar sein das du dann nicht so ohne weiteres über die NAT Firewall in dem Router hinwegkommst wenn du nicht mit Port Forwarding Einträgen leben willst. Die wiederum bedeuten dann das du jeden Dienst (TCP Port) nur ein einziges Mal an eine Adresse im internen Netz forwarden kannst und nicht mehr.

Dein Netzwerk sieht dann so aus:

(Internet)---2MB---(ISP-Router)---LAN---(Router1)---DMZ_LAN---(Router2)---Internes_LAN---(PC)

In solch einen Konstrukt kannst du hinter dem Router1 gar nicht mehr mit öffentlichen IPs arbeiten, da du deine 8 öffentlichen Adressen nicht weiter subnetten kannst.
Jetzt wirst du mit Sicherheit eine 29 Bit Maske haben (255.255.255.248). Daraus könntest du 2 Subnets a 30 Bit (255.255.255.252) machen, mit dem Nachteil, das du dann nur 2 Hostadressen pro Subnet hast, die du aber schon für deine Routeradressen verwenden musst. Für den Vertriebsserver bleibt dann nichts mehr. Ausserdem verschwendest du durch das weitere Subnetteing eine Menge deiner kostbaren öffentlichen IP Adressen.

Du solltest dann also im DMZ_LAN auch RFC 1918 Adressen verwenden und den o.a. Router1 als VPN Einwahlrouter nehmen. Von dort aus kannst du dann proplemlos den Vertreibsserver im DMZ_LAN erreichen und gleichzeitig ist dieser durch die NAT Funktion am Router1 nicht direkt im Internet exponiert.
Aus dem DMZ_LAN kommt man so ohne weiteres auch nicht in dein internes LAN, das geht nur durch Port Forwarding an Router 2 sofern der auch NAT aktiv hat.
Allerdings ist das auch ein Hinderniss für dich. Man sollte dann besser das Portforwarding an Router 2 nutzen um nur bestimmte Dinge zwischen den Servern auszutauschen die mobile Vertriebler auch wirklich benutzen.
Letztlich eine Frage der Sicherheit was du zwischen internem Netz und DMZ_LAN durchlassen willst.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Proxmox WAN IPs (13)

Frage von sebastian2608 zum Thema Router & Routing ...

Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...