Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Netzwerkgrundlagen

Netzwerkaufbau (Routing, Firewall und VPN)

Mitglied: JayS87

JayS87 (Level 1) - Jetzt verbinden

05.11.2012 um 01:51 Uhr, 5355 Aufrufe, 5 Kommentare

Hallo Zusammen!

Hier daheim habe ich ein älteres Netzwerk von meiner Familie (Grafik: Leitung 2). Ist nichts spezielles: Standard-Netz 192, einer Swisscom TV-Box und einigen Clients.

Mittlerweile habe ich eine seperate Swisscom Leitung (Grafik: Leitung 1) in meinem Zimmer, wo ich ein eigenes Netz aufgebaut habe:

9f69727bb7fd0f70f4e47cd6b6538db8 - Klicke auf das Bild, um es zu vergrößern

Nun möchte ich mit einer m0n0wall die beiden Netze verbinden, damit ich von meinem Netzwerk auf die Clients im anderen Netzwerk zugreifen kann. Also mein PC (10.100.1.100) auf den NAS (192.168.1.4).

Ausserdem sollen HTTP Anfragen (also Port 80) aus Leitung 1 (also aus dem WAN) auf den Webserver 10.100.1.15 geleitet werden.

Desweiteren möchte ich zusätzlich einen VPN Verbindung aufbauen können, um übers iPhone eine RemoteDesktop Session auf einen bestimmten Rechner aufzubauen (sagen wir 10.100.1.20).

Nun muss ich in der m0n0wall 1 Route hinzufügen, ca. 3 Firewall Regeln erstellen und ein Mobile VPN einrichten, oder?

Die Verbindung zwischen meinem Centro Piccolo und der m0n0wall ist glaub ich zu kompliziert gelöst und ich müsste nach jetztigen Einstellungen auch dort Port-Weiterleitungen einstellen oder? Soll ich dort "IP-Weiterleiten" aktivieren? Was brauch die m0n0wall dann für eine Einstellung auf dem WAN Interface? DHCP?

Ich hoffe das ganze habe ich nicht zu kompliziert beschrieben.

Vielen Dank schonmal für eure Hilfe!
Guten Start in die neue Woche!

Gruss
Jonas
Mitglied: aqui
05.11.2012, aktualisiert um 09:55 Uhr
Nein das ist nicht zu kompliziert sondern ein simples Allerwelts Szenario ! Also keine Angst...
Die Frage ist WAS diese "Netopia" Kisten sind ? DSL Router ? Kabel TV Router ? Kannst du sie selbst konfigurieren ??
Mit der Monowall_/_pfSense hast du immer 2 Optionen:
a.) Du lässt den DSL Router als simples Modem laufen und konfigurierst den PPPoE Zugang (User Login) auf der Firewall. Das hat den großen Vorteil das du NICHT 2 mal NAT (Adress Translation) machen musst nämlich einmal auf der FW und einmal auf dem DSL Router sondern nur einmal. Es vereinfacht gerade bei VPN Zugang usw. die Konfiguration und das Troupleshooting
Hier trägst du dann am WAN Port den "PPPoE Modus" ein.
b.) Soll oder muss der Router weiter als Router laufen dann nimmst du dort "Static IP", verpasst ihm eine statische IP Adresse mit entsprechender Maske aus dem Router LAN und stellst das Gateway auf die Router IP ein !
WICHTIG: Auch die DNS IP Adresse muss an der FW statisch auf die Router IP gesetzt werden.
Theoretisch ginge auch "Dynamic IP" am WAN Port so das dieser sich alle Daten vom davorliegenden Router holt per DHCP aber das ist gefährlich, da diese IP dynamisch ist. Nicht empfehlenswert für einen Router oder FW ! Wenn du z.B. am Router wegen des VPN Zugangs mit Port Forwarding arbeiten muss zeigt der Port Forwarding Eintrag immer auf die lokale IP also auf die WAN IP der FW. Ändert die sich mal durch die Dynmaik von DHCP ist aus mit allen Port Forwarding Funktionen.
Fazit: Immer besser statische IPs dort verwenden.
Bei TV Modems stellt sich das Problem nicht, da der WAN Port der FW dann immer auf "Dynamic" sprich DHCP steht.
In den zahlreichen Tutorials zum Thema pfSense/Monowall findest du Antworten zu allen den o.a. Punkten.

Der Rest ist klassisches Routing zwischen den beiden Netzen was die FW von Haus aus macht und entsprechendes Firewall Regel einstellen was, wer zwischen den Netzen darf. Port Forwarding für den Webzugriff auf deinen Server erledigt den Rest. (Achtung: Ggf. musst du das 2 mal einstellen je nachdem wie dein netopia Router konfiguriert ist (Modem oder NAT Router Modus)
In der FW musst du auch keinerlei Route hinzufügen, das ist Unsinn. die statischen Routen in die jeweiligen lokalen Netze definierst du auf den jeweiligen Netopia Routern. Einzig wenn diese keine statischen Routen können, dann musst du es auf der FW machen. Traceroute und Pathping sind hier wie immer deine Freunde !
Das sind 3 bis 4 Mausklicks im Setup der FW wie du es schon selber richtig erkannt hast ! Alles in allem also in 10 Minuten erledigt so ein Setup.
Bitte warten ..
Mitglied: Lochkartenstanzer
05.11.2012 um 09:57 Uhr
moin,

Ich würde ja die Netopias einfach auf "Durchzug" (PPPoE-Passthrough) schalten und alles durch die Monowall machen lassen. Dann hätte man sogar eine gewisse Redundanz und Lastverteilung.

lks
Bitte warten ..
Mitglied: JayS87
05.11.2012 um 12:25 Uhr
Schonmal Vielen Dank. Hier und da wurden meine Vermutungen bestätigt.

Die Netopia Kisten sind tatsächlich die Swisscom DSL-Router. Und wo wir grad bei denen sind, da gibt es kein PPPoE-Passthrough.
Die Zugangsdaten sind bei der Swisscom bei Privat-VDSL auf den jeweiligen Ports am DSLAM hinterlegt. Also nur DHCP möglich bzw. IP-Weiterleitung/Bridge-Mode.

Muss ich wirklich mit NAT arbeiten? Ich kann das non-konforme-OSI-Zeug nicht wirklich leiden

Zitat von Lochkartenstanzer:
Dann hätte man sogar eine gewisse Redundanz und Lastverteilung.

Das war nicht das Ziel. Es soll keine Verteilung vorgenommen werden. Im Gegenteil; die Clients aus dem 192-Netz sollen mein Netz (10.100.1.0) nicht mal sehen können - quasi eine Einbahnstrasse.

Die Swisscom-TV-Box hätte ich nicht erwähnen sollen. Diese hat kein Einfluss auf das aktuelle Scenario.

Zitat von aqui:
In der FW musst du auch keinerlei Route hinzufügen, das ist Unsinn. die statischen Routen in die jeweiligen lokalen Netze
definierst du auf den jeweiligen Netopia Routern. Einzig wenn diese keine statischen Routen können, dann musst du es
auf der FW machen.

Hmm... okay... Vielleicht kurz so zum Verständnis... woher weiss mein 10.100.1.100-Client (bzw. der Router), dass eine 192er-Adresse nicht im WAN sondern an einem 3. Ausgang an der FW sitzt?

Danke!!
Bitte warten ..
Mitglied: aqui
05.11.2012 um 14:11 Uhr
Was bitte ist denn an NAT nicht OSI konform ?? Das ist Unsinn was du da erzählst aber egal...
Die Authentisierung ist schon merkwürdig das das nicht vom Endgerät gemacht wird per PPPoE denn so können auch Unbefugte den Anschluss nutzen..aber egal das ist vielleicht bei der Swisscom so Usus und für unserer Design Szenario hier nicht relevant.
An der Swisscom leitung sprich am WAN/DSL Port des Routers bekommst du immer eine öffentliche IP Adresse ob per PPPoE, DHCP oder wie auch immer.
Diese setzt der Router dann zwangsweise mit NAT um auf dein dahinter befindliches RFC 1918 IP Netzwerk mit privaten IPs die im Internet NICHT geroutet werden.
Damit hat sich auch schon deinen laienhafte Frage am Schluss zu den 10.100ern und 192.168er Adressen beantwortet !
Ein klassisches Allerweltsszenario das du nicht umgehen kannst. Es sei denn du bekommst ein öffentliches Subnetz von deinem Provider.
Also musst du zwangsweise NAT machen und das bei dir 2 Mal wenn du so die FW am Router kaskadierst. Das ist generell nicht schlimm erhöht aber etwas den Konfigaufwand. Aber du musst durch die äußeren Bedingungen damit leben.
Belibt also nur für dich das statische Port Forwarding auf dem Router und der FW zu aktivieren auf den Webserver und dein VPN an der FW einzurichten. Fertig ist der Lack.
Die zahlreichen Tutorials und Threads hier geben einen guten Leitfaden...
Bitte warten ..
Mitglied: Lochkartenstanzer
05.11.2012, aktualisiert um 19:09 Uhr
Zitat von JayS87:
Schonmal Vielen Dank. Hier und da wurden meine Vermutungen bestätigt.

Die Netopia Kisten sind tatsächlich die Swisscom DSL-Router. Und wo wir grad bei denen sind, da gibt es kein
PPPoE-Passthrough.

Laut Datenblatt können die 7000er pppoe-passthrough. damit sollte man diese auf "durchzug" schalten können.

Die Zugangsdaten sind bei der Swisscom bei Privat-VDSL auf den jeweiligen Ports am DSLAM hinterlegt.

Das hingegen ist etwas anderes. Allerdings sollte man dann genauso mit der monowall sich verbinden können.


Muss ich wirklich mit NAT arbeiten? Ich kann das non-konforme-OSI-Zeug nicht wirklich leiden

Da hat aqui ja genug dazu geschrieben. Übrigens ist nicht die ISO für die IP-Protokollfamilie zuständig, sondern die IETF und die IESG. Falls Du ISO-protokolle wie z.B. X.21 oder X.400 einsetzen wolltest, wirst Du Pech haben, da es kaum noch jemanden gibt, der das für Privatkunden anbietet.


> Zitat von Lochkartenstanzer:
> ----
> Dann hätte man sogar eine gewisse Redundanz und Lastverteilung.

Das war nicht das Ziel.

Das war auch nur ein Nebenprodukt meines Vorschlages.

>Es soll keine Verteilung vorgenommen werden. Im Gegenteil; die Clients aus dem 192-Netz sollen mein Netz
(10.100.1.0) nicht mal sehen können - quasi eine Einbahnstrasse.

Das ist nur eine Einstellung an der Monowall.

lks
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Netzwerkaufbau, VPN-Routing, generelle Frage
Frage von macherlthomasNetzwerkgrundlagen7 Kommentare

hallo liebe community, habe hier folgende frage. ich bin gerade am aufbau eines größeren netzwerks. meine zentrale hat folgende ...

Netzwerkgrundlagen
Netzwerkaufbau und Routing mit HP ProCurve
Frage von westberlinerNetzwerkgrundlagen16 Kommentare

Hallo zusammen, ich habe hier parallel zum alten Netzwerk ein neues aufgebaut, aber habe jedoch alle 4-5 Tage mal ...

Netzwerke
Fritzbox - HW Firewall oder Pfsense - Netzwerkaufbau
gelöst Frage von dvdreiNetzwerke11 Kommentare

Hallo! nachdem ich jetzt schon unzählige Beiträge hier gelesen habe, muss ich nun doch selbst aktiv werden, da ich ...

LAN, WAN, Wireless
VLAN Routing - L3 oder Firewall?
gelöst Frage von patayaLAN, WAN, Wireless17 Kommentare

Moin, nach ner Menge Lesestoff zum Thema bin ich nicht wirklich fündig zu meinem Vorhaben gekommen: Mein Netzwerk soll ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...