Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ zweiter Router

Frage Netzwerke

Mitglied: Yoyoba

Yoyoba (Level 1) - Jetzt verbinden

01.10.2010, aktualisiert 18.10.2012, 5762 Aufrufe, 9 Kommentare

Guten Tag,

wir haben bei uns in der Firma einen VPN-Server stehen. Um trotzdem Dateien möglichst sicher - zentral - abspeichern zu können möchten wir einen zweiten Server haben. Das ganze werde ich so konfigurieren das wir für den VPN-Server eine DMZ errichten. Habe bereits nachgeschaut es gibt Geräte (Watchguard Firebox) womit es zu realisieren ist, aber mir reicht doch die normale Methode, dass man einen zweiten Router dazuschaltet. Nun wäre meine Frage, habt ihr einen Router den ihr bevorzugen würdet, welcher sich als besonder gut bewährt hat? Die Internetverbindung wird über einen Draytek 2700 aufgebaut. Die Server sowie Workstations haben Kaspersky als Firewall und Antivirus.

Vielen Dank.

MfG
Mitglied: aqui
01.10.2010, aktualisiert 18.10.2012
Das ist eigentlich vollkommen egal. Jeder baumarkt Router für 30 Euro leistet das.
Generell sicherer für ein DMZ Szenario ist allerdings eine kleine Firewall wie z.B. sowas:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Damit kannst du sogar problemlos den Draytek ersetzen und machst mit einem Gerät alles zusammen und das einfach mit ein paar Mausklicks über ein Webinterface.
Für die "DMZ des armen Mannes" also die Routerkaskade ist nur wichtig das der 2te Router kein integriertes Modem hat was nicht abschaltbar ist.
Bedenke auch das bei der DMZ Routerkaskade die DMZ eine Einbahnstaße ist durch die NAT Firewall. Willst du transparent Routen ist eine FW Lösung in jedem Falle besser !
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 16:13 Uhr
Danke!

Mh, ich will ehrlich sein, wieso eine kleine Firewall eine große ersetzt bzw auch ein zweites Gerät ersetzt will mir nicht ganz klar werden. Wenn ich den VPN-Server an dem Router 1 angeschlossen habe, welchen ich gleichzeitig mit dem Internet verbinde habe ich meine VPN-Verbindung ins Internet gebracht. Bringe ich nun den zweiten Router ins Spiel und schließe ihn an Router 1 an, lasse ihn über Router 1 auch ins Internet so habe ich, sofern ich nun den Port des VPN's sperre doch eigentlich alles sicher gemacht, sofern die weiteren Ports geschlossen sind, hierfür kann ich ja nicht einfach ein Gerät selber bauen mit kleiner Firewall?! Wie gesagt es gibt Geräte wie eine Watchguard Firebox, welche VPN fähig ist und die rechtlichen PC's abschirmt. Also wäre deine Ideallösung ein selbstgebautest Gerät? Ich (auch wenn ich zugebe nicht soviel Ahnung zu haben) denke doch eher ein zweiter Router hier hinzustellen wäre sicherer oder nicht?

Könnt der Draytek alleine nicht evtl. schon reichen? Er bietet einen DMZ Host und auch das VLAN?


MfG
Bitte warten ..
Mitglied: aqui
01.10.2010, aktualisiert 18.10.2012
Mmmhhh...wieso eine große ersetzt ??? Du hast aber nicht geschrieben das du schon eine "große" Firewall im Einsatz hast ?? Dann wäre natürlich der Aufwand totaler Unsinn, das ist richtig.
Hast du nur einen Router könntest du auch den Router ersetzen...muss aber nicht.
Die o.a. Firewall hat 3 Ports (1xWAN/Internet mit optional PPPoE, 1x DMZ Segment, 1 x lokales LAN) damit hast du also alles in einem exakt wie eine Firebox nur das die eben erheblich teurer ist.
Das entsprechende Netzdesign sähe dann so aus: ("Firma-2" wäre hier dann analog deine DMZ !)
e7970cc4b276e8c6e24e892d0f41c1fc - Klicke auf das Bild, um es zu vergrößern

Nebenbei ist die Firebox mehr oder weniger auch "selbstgebaut" denn dort ist ein simples PC Mainboard drin mit einem gehärteten Linux drauf und einer Weboberfläche. Letztlich also exakt das gleiche wie Monowall oder Pfsense auf der ALIX Hardware. Das die VPN können ist bei FWs so oder so Standard.
Die FW ist aber immer sicherer, da sie eine bidirektionale Traffic Inspection macht, was ein simpler NAT Router in einer "DMZ des kleinen Mannes" nicht macht.
Ferner hast du zusätzlich den Nachteil das du von der DMZ in Richtung lokales LAN durch die NAT Firewall nicht oder nur sehr bedingt mit Port Forwarding arbeiten kannst, nur andersrum geht es transparent.
Dieses Tutorial zur "DMZ des kleinen Mannes"
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
erklärt es dir im Abschnitt "Internas" noch einmal genau.
Die Router Kaskade hat also schon technische Nachteile. Wenn das aber nicht relevant ist für dich da dein Draytek ja auch VPN Zugriff zulässt und die Erweiterung mit einem 30 Euro Router schnell gemacht ist, dann funktioniert natürlich so ein DMZ Szenario mit 2 Routern auch problemlos !
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 17:44 Uhr
Okay,
also rätst du grundsätzlich zu dieser selbstgebauten Methode mit Monowall oder Pfsense? Relevant wäre auf jedenfall noch einmal zu wissen wieviele VPN-Verbindungen gleichzeitig möglich sind?

Vielen Dank!
MfG
Bitte warten ..
Mitglied: aqui
01.10.2010 um 17:50 Uhr
Nein, grundsätzlich kann man das nicht raten ! Über ein Forum kann aber niemand annonym dein "Sicherheits Bauchgefühl" und dein Budget erraten oder für dich in Kombination bringen.
Technisch geht beides und letztlich ist es deine finale Entscheidung. Es ging hier lediglich um das Abwägen von Pros und Cons !
Nebenbei ist es NICHT zwingend selbstgebaut ! Du kannst die Appliance auch komplett fertig erwerben oder eine zertifizierte Juniper Firewall erwerben. Es sollte nur zeigen das man das auch mit sehr wenig finanziellem Aufwand sicher und einfach realisieren kann ! Die HW Entscheidung triffst letzlich du selber.
Bei der Anzahl VPN Verbindungen hast du bei der FW generell keine Limitierungen in Software egal ob IPsec, PPTP oder OpenVPN. Die Limitierung ist hier die Performance der Hardware. Auch bei einem ALIX Board liegt das noch im oberen zweistelligen Bereich !
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 18:00 Uhr
Top, Danke dir!

Werde mich aber wohl für deine Methode/Variante entscheiden! Eine Frage bleibt noch, hast du noch ein Tut. über die Einstellung einer Monowall geschrieben?

MfG
Bitte warten ..
Mitglied: aqui
01.10.2010 um 18:23 Uhr
Was meinst du mit Einstellung ?? Die Settings für DMZ, Filter und VPN usw. sind eigentlich intuitiv wenn man die Webseite der FW sieht. Der Rest ist in separaten Tutorials zu lesen.
Wenn du spezielle Einstellungen meinst schick eine PM.
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 18:26 Uhr
Ne, gut, hat sich dann erledigt!
Dann danke ich dir wiedereinmal für astreine Hilfe - wie so oft!

MfG und bestem Dank
Yoyoba
Bitte warten ..
Mitglied: aqui
03.10.2010 um 10:44 Uhr
Wenns das war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Richtige DMZ mit 2 Routern
gelöst Frage von linuxverbrezlerRouter & Routing4 Kommentare

Hallo Ein Schönes Neues , will Webserver @ home am DSL Anschluß betreiben. Kann ich das so aufziehen? Internet ...

DSL, VDSL
DMZ mit Speedport - Asus Router
Frage von BVBSPEZIDSL, VDSL13 Kommentare

Hallo Kollegen, versuche seit Tagen, mit meinen 2 Routern eine DMZ zu konfigurieren, bislang ohne Erfolg. Habe die 2. ...

Router & Routing
Freigaben aus LAN in DMZ routen
gelöst Frage von EverdtRouter & Routing22 Kommentare

Hallo Zusammen Ich sitze seit Stunden vor einem Problem und vermute, dass ich einen Denkfehler habe oder mir selbst ...

Netzwerke
SMB Freigabe mit Router DMZ
gelöst Frage von danielr1996Netzwerke6 Kommentare

Hallo Leute, ich habe eine Fake Router DMZ mit zwei Fritzboxen aufgebaut die folgendermaßen aussieht Jetzt möchte ich von ...

Neue Wissensbeiträge
Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 7 MinutenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 12 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 18 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...