Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ mit 2 Routern...Wer bekommt feste IPs?

Frage Netzwerke Router & Routing

Mitglied: timbo2601

timbo2601 (Level 1) - Jetzt verbinden

29.05.2007, aktualisiert 30.05.2007, 4495 Aufrufe, 4 Kommentare

Hallo Zusammen,

folgendes Szenario...

Ich möchte in der Firma ein kleines "SICHERES" Netzwerk aufbauen.
Ich habe hierfür 2 Netgear Router, 2MBit Standleitung + Router , 8 feste IP's, 1 Server für unserer Vertriebler & 1 Produktiv-Server.

Ich hatte mir folgendes vorgestellt...

Der "Vetriebs" Server soll in eine DMZ, hierfür wollt eich ein kleines Netz nur mit diesem Server bauen...dies soll dann das "EXTERNE" netz sein. Desweiteren wollte ich dann nich ein weiteres Netz "INTERN" mit dem Produktiv-Server und unseren Clienst (Workstations) bauen...

Ist das OK so?!

Soll ich in diesem Fall nur dem Vetriebs-Server eine feste IP geben...wegen der Sicherheit?! Oder dem "EXTERNEN" Router auch!?

Zur Zeiz hat nur der Rouetr von der Telekom (an den unsere Stansleitung hängt) ne feste IP...dieser Router (Telekom) geht dann erstmal zuerst in meinen "Externen", danach in den "INTERNEN"...

Alle Anfragen der Clients werden dann zuerst über den "INTERENEN", danach über den "EXTERNEN" und dann über den Telekom-Router laufen...Ist das so richtig?!

Danke für die Antwoerten...

Gruß
timbo2601
Mitglied: Rafiki
29.05.2007 um 21:43 Uhr
Hast du dir das so gedacht wie in diesem Artikel beschrieben?

Heise Netze: "Mit zwei einfachen Routern lässt sich eine echte Demilitarized Zone einrichten"
http://www.heise.de/netze/artikel/78397
Bitte warten ..
Mitglied: timbo2601
29.05.2007 um 21:47 Uhr
Ja...eigentlich schon...!
Verstehe das nur mit dem Routing nicht so ganz...!!!
Was bekommt der "INTERENE" als Gateway/ DNS Eintrga?! Und was der "EXTEREN"?!

Und was ich den Routern für IP's gebn sollte?! Feste?!

Danke für die schenlle Antwort
Bitte warten ..
Mitglied: Rafiki
29.05.2007 um 22:13 Uhr
Ich würde Vorschlagen das die Vertriebsmitarbeiter eine VPN Verbindung zu dem externen Router aufbauen. Für die VPN Verbindung ist es praktisch wenn der externe Router eine feste IP Adresse bekommt. Durch die VPN Verbindung sind dann die Geräte in der DMZ erreichbar, in deinem Fall wäre das der Vertriebsserver. Es ist nicht zwingend erforderlich das der Vertriebsserver eine feste öffentliche IP von der Telekom verwendet. Es genügt wenn du hier eine private IP Adresse fest einträgst. Wie in dem Beispiel aus dem Heise Artikel: 192.168.0.2

Der sekundäre Router, den du als internen Router bezeichnest, trägst du wie in dem Beispiel bei Heise dargestellt, als default Gateway und DNS Server den externen Router ein. Der Sekundäre Router schützt das interne Netzwerk vor Angriffen aus der DMZ wenn z.B. ein VPN Benutzer zu neugierig wird oder sein Notebook mit einem Virus infiziert sein sollte.

Da der sekundäre Router ein ganz normales NAT durchführt ist es nicht erforderlich dem externen Router etwas von dem Netzwerk hinter dem ersten Router zu erzählen. Dort ist kein zusätzlicher Routingeintrag notwendig.

Gruß Rafiki
Bitte warten ..
Mitglied: aqui
30.05.2007 um 10:50 Uhr
Ein Routing Eintrag nicht aber es sollte klar sein das du dann nicht so ohne weiteres über die NAT Firewall in dem Router hinwegkommst wenn du nicht mit Port Forwarding Einträgen leben willst. Die wiederum bedeuten dann das du jeden Dienst (TCP Port) nur ein einziges Mal an eine Adresse im internen Netz forwarden kannst und nicht mehr.

Dein Netzwerk sieht dann so aus:

(Internet)---2MB---(ISP-Router)---LAN---(Router1)---DMZ_LAN---(Router2)---Internes_LAN---(PC)

In solch einen Konstrukt kannst du hinter dem Router1 gar nicht mehr mit öffentlichen IPs arbeiten, da du deine 8 öffentlichen Adressen nicht weiter subnetten kannst.
Jetzt wirst du mit Sicherheit eine 29 Bit Maske haben (255.255.255.248). Daraus könntest du 2 Subnets a 30 Bit (255.255.255.252) machen, mit dem Nachteil, das du dann nur 2 Hostadressen pro Subnet hast, die du aber schon für deine Routeradressen verwenden musst. Für den Vertriebsserver bleibt dann nichts mehr. Ausserdem verschwendest du durch das weitere Subnetteing eine Menge deiner kostbaren öffentlichen IP Adressen.

Du solltest dann also im DMZ_LAN auch RFC 1918 Adressen verwenden und den o.a. Router1 als VPN Einwahlrouter nehmen. Von dort aus kannst du dann proplemlos den Vertreibsserver im DMZ_LAN erreichen und gleichzeitig ist dieser durch die NAT Funktion am Router1 nicht direkt im Internet exponiert.
Aus dem DMZ_LAN kommt man so ohne weiteres auch nicht in dein internes LAN, das geht nur durch Port Forwarding an Router 2 sofern der auch NAT aktiv hat.
Allerdings ist das auch ein Hinderniss für dich. Man sollte dann besser das Portforwarding an Router 2 nutzen um nur bestimmte Dinge zwischen den Servern auszutauschen die mobile Vertriebler auch wirklich benutzen.
Letztlich eine Frage der Sicherheit was du zwischen internem Netz und DMZ_LAN durchlassen willst.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Richtige DMZ mit 2 Routern
gelöst Frage von linuxverbrezlerRouter & Routing4 Kommentare

Hallo Ein Schönes Neues , will Webserver @ home am DSL Anschluß betreiben. Kann ich das so aufziehen? Internet ...

Router & Routing
Lancom DMZ und öffentliche IPs!
Frage von GL-LionRouter & Routing5 Kommentare

Hallo zusammen, folgendes Problem habe ich hier und benötige mal Eure Kompetenzen. Folgendes Szenario: - Neuer Kabelanschluss mit 5 ...

Router & Routing
Kopplung von 2 Routern am DSL Port, DMZ selbst gebaut
Frage von KamelleRouter & Routing1 Kommentar

Ich habe eine konfiguration wie unter beschrieben aufgesetzt. Jetzt grübele ich darüber nach, wie ich nach der Beschreibung "Außerdem ...

Router & Routing
Subdomains auf lokale IPs routen
gelöst Frage von insaimRouter & Routing4 Kommentare

Hallo zusammen, des Öfteren stolpere ich über folgendes Szenario: Ich möchte gerne 2 verschiedene Subdomains auf unterschiedliche Server routen, ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...