Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ zweiter Router

Frage Netzwerke

Mitglied: Yoyoba

Yoyoba (Level 1) - Jetzt verbinden

01.10.2010, aktualisiert 18.10.2012, 5582 Aufrufe, 9 Kommentare

Guten Tag,

wir haben bei uns in der Firma einen VPN-Server stehen. Um trotzdem Dateien möglichst sicher - zentral - abspeichern zu können möchten wir einen zweiten Server haben. Das ganze werde ich so konfigurieren das wir für den VPN-Server eine DMZ errichten. Habe bereits nachgeschaut es gibt Geräte (Watchguard Firebox) womit es zu realisieren ist, aber mir reicht doch die normale Methode, dass man einen zweiten Router dazuschaltet. Nun wäre meine Frage, habt ihr einen Router den ihr bevorzugen würdet, welcher sich als besonder gut bewährt hat? Die Internetverbindung wird über einen Draytek 2700 aufgebaut. Die Server sowie Workstations haben Kaspersky als Firewall und Antivirus.

Vielen Dank.

Mit freundlichen Grüßen
Mitglied: aqui
01.10.2010, aktualisiert 18.10.2012
Das ist eigentlich vollkommen egal. Jeder baumarkt Router für 30 Euro leistet das.
Generell sicherer für ein DMZ Szenario ist allerdings eine kleine Firewall wie z.B. sowas:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Damit kannst du sogar problemlos den Draytek ersetzen und machst mit einem Gerät alles zusammen und das einfach mit ein paar Mausklicks über ein Webinterface.
Für die "DMZ des armen Mannes" also die Routerkaskade ist nur wichtig das der 2te Router kein integriertes Modem hat was nicht abschaltbar ist.
Bedenke auch das bei der DMZ Routerkaskade die DMZ eine Einbahnstaße ist durch die NAT Firewall. Willst du transparent Routen ist eine FW Lösung in jedem Falle besser !
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 16:13 Uhr
Danke!

Mh, ich will ehrlich sein, wieso eine kleine Firewall eine große ersetzt bzw auch ein zweites Gerät ersetzt will mir nicht ganz klar werden. Wenn ich den VPN-Server an dem Router 1 angeschlossen habe, welchen ich gleichzeitig mit dem Internet verbinde habe ich meine VPN-Verbindung ins Internet gebracht. Bringe ich nun den zweiten Router ins Spiel und schließe ihn an Router 1 an, lasse ihn über Router 1 auch ins Internet so habe ich, sofern ich nun den Port des VPN's sperre doch eigentlich alles sicher gemacht, sofern die weiteren Ports geschlossen sind, hierfür kann ich ja nicht einfach ein Gerät selber bauen mit kleiner Firewall?! Wie gesagt es gibt Geräte wie eine Watchguard Firebox, welche VPN fähig ist und die rechtlichen PC's abschirmt. Also wäre deine Ideallösung ein selbstgebautest Gerät? Ich (auch wenn ich zugebe nicht soviel Ahnung zu haben) denke doch eher ein zweiter Router hier hinzustellen wäre sicherer oder nicht?

Könnt der Draytek alleine nicht evtl. schon reichen? Er bietet einen DMZ Host und auch das VLAN?


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
01.10.2010, aktualisiert 18.10.2012
Mmmhhh...wieso eine große ersetzt ??? Du hast aber nicht geschrieben das du schon eine "große" Firewall im Einsatz hast ?? Dann wäre natürlich der Aufwand totaler Unsinn, das ist richtig.
Hast du nur einen Router könntest du auch den Router ersetzen...muss aber nicht.
Die o.a. Firewall hat 3 Ports (1xWAN/Internet mit optional PPPoE, 1x DMZ Segment, 1 x lokales LAN) damit hast du also alles in einem exakt wie eine Firebox nur das die eben erheblich teurer ist.
Das entsprechende Netzdesign sähe dann so aus: ("Firma-2" wäre hier dann analog deine DMZ !)
e7970cc4b276e8c6e24e892d0f41c1fc - Klicke auf das Bild, um es zu vergrößern

Nebenbei ist die Firebox mehr oder weniger auch "selbstgebaut" denn dort ist ein simples PC Mainboard drin mit einem gehärteten Linux drauf und einer Weboberfläche. Letztlich also exakt das gleiche wie Monowall oder Pfsense auf der ALIX Hardware. Das die VPN können ist bei FWs so oder so Standard.
Die FW ist aber immer sicherer, da sie eine bidirektionale Traffic Inspection macht, was ein simpler NAT Router in einer "DMZ des kleinen Mannes" nicht macht.
Ferner hast du zusätzlich den Nachteil das du von der DMZ in Richtung lokales LAN durch die NAT Firewall nicht oder nur sehr bedingt mit Port Forwarding arbeiten kannst, nur andersrum geht es transparent.
Dieses Tutorial zur "DMZ des kleinen Mannes"
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
erklärt es dir im Abschnitt "Internas" noch einmal genau.
Die Router Kaskade hat also schon technische Nachteile. Wenn das aber nicht relevant ist für dich da dein Draytek ja auch VPN Zugriff zulässt und die Erweiterung mit einem 30 Euro Router schnell gemacht ist, dann funktioniert natürlich so ein DMZ Szenario mit 2 Routern auch problemlos !
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 17:44 Uhr
Okay,
also rätst du grundsätzlich zu dieser selbstgebauten Methode mit Monowall oder Pfsense? Relevant wäre auf jedenfall noch einmal zu wissen wieviele VPN-Verbindungen gleichzeitig möglich sind?

Vielen Dank!
Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
01.10.2010 um 17:50 Uhr
Nein, grundsätzlich kann man das nicht raten ! Über ein Forum kann aber niemand annonym dein "Sicherheits Bauchgefühl" und dein Budget erraten oder für dich in Kombination bringen.
Technisch geht beides und letztlich ist es deine finale Entscheidung. Es ging hier lediglich um das Abwägen von Pros und Cons !
Nebenbei ist es NICHT zwingend selbstgebaut ! Du kannst die Appliance auch komplett fertig erwerben oder eine zertifizierte Juniper Firewall erwerben. Es sollte nur zeigen das man das auch mit sehr wenig finanziellem Aufwand sicher und einfach realisieren kann ! Die HW Entscheidung triffst letzlich du selber.
Bei der Anzahl VPN Verbindungen hast du bei der FW generell keine Limitierungen in Software egal ob IPsec, PPTP oder OpenVPN. Die Limitierung ist hier die Performance der Hardware. Auch bei einem ALIX Board liegt das noch im oberen zweistelligen Bereich !
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 18:00 Uhr
Top, Danke dir!

Werde mich aber wohl für deine Methode/Variante entscheiden! Eine Frage bleibt noch, hast du noch ein Tut. über die Einstellung einer Monowall geschrieben?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
01.10.2010 um 18:23 Uhr
Was meinst du mit Einstellung ?? Die Settings für DMZ, Filter und VPN usw. sind eigentlich intuitiv wenn man die Webseite der FW sieht. Der Rest ist in separaten Tutorials zu lesen.
Wenn du spezielle Einstellungen meinst schick eine PM.
Bitte warten ..
Mitglied: Yoyoba
01.10.2010 um 18:26 Uhr
Ne, gut, hat sich dann erledigt!
Dann danke ich dir wiedereinmal für astreine Hilfe - wie so oft!

Mit freundlichen Grüßen und bestem Dank
Yoyoba
Bitte warten ..
Mitglied: aqui
03.10.2010 um 10:44 Uhr
Wenns das war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerke
gelöst SMB Freigabe mit Router DMZ (6)

Frage von danielr1996 zum Thema Netzwerke ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...