Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routerkonfiguration für VPN-Weiterleitung auf LAN hinter DMZ

Frage Netzwerke Router & Routing

Mitglied: cantor

cantor (Level 1) - Jetzt verbinden

13.07.2011, aktualisiert 18.10.2012, 10439 Aufrufe, 2 Kommentare

Hallo zusammen,

trotzdem ich (noch) Netzwerk-Laie bin, habe ich ein funktionierendes Heimnetzwerk am Laufen.
Jetzt möchte ich mir eine DMZ einrichten und stoße hinsichtlich der Router-Konfiguration (in Zusammenhang mit VPN) an meine Grenzen.
Aber vielleicht klappt es ja mit einem hilfreichen Hinweis ...

ich möchte mir mit zwei Routern nach der Anleitung unter http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html eine DMZ "bauen".

Hardwareseitig sieht die Sache wie folgt aus:


DSL-Modem --> 1. Router mit VPN --> 2. Router --> Clients im LAN 
                   NAS in DMZ
Die im Heise-Artikel beschriebene Konfiguration kann ich (als absoluter Netzwerk-Laie) soweit nachvollziehen.

Meine Frage:
Wie muß ich den 2. Router im Hinblick auf Portweiterleitung etc. Konfigurieren, so daß ich, wenn ich mich mit dem ersten Router über VPN verbinde (wenn ich das richtig verstehe, bin ich dann ja zuerst einmal in der DMZ), in das hinter dem 2. Router liegende LAN komme, dort alle Geräte sehe und ggf. auch eine Remotedesktop-Verbindung mit einem im LAN befindlichen PC aufbauen kann? Die VPN-Verbindung wir per IPSec aufgebaut.

Ganz herzlichen Dank im voraus für hilfreiche Tipps und Hinweise.

Gruß Jürgen
Mitglied: aqui
13.07.2011, aktualisiert 18.10.2012
Wenn der Router 1 der VPN Router ist und du von remote dort eine VPN Session hast, dann hat der VPN Client ja eine IP Adresse aus dem DMZ LAN. Der VPN Client verhält sich also exakt genau so wie das NAS oder andere Clients die im lokalen LAN Segment des Router 1 angeschlossen sind. Ist ja auch der tiefere Sinn eines VPNs !
Um in das Client LAN des Router 2 zu kommen musst du die dort aktive NAT Firewall überwinden, was mit entsprechenden Port Forwarding (Weiterleitungs) Einträgen passiert.
Siehe auch hier:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Einfaches Beispiel bei dem das DMZ Netz die 172.16.1.0 /24 ist und das Client Netz die 10.16.1.0 /24 und ein DMZ User (VPN Client) auf einem Webserver .100 im Client Segment will:
Dafür trägst du an Router 2 eine Port Weiterleitungsregel ein:
Eingehend Port TCP 80 wird weitergeleitet auf lokale IP 10.16.1.100 (die .100 ist der lokale PC mit dem Webserver)
Analog machst du das für alle Anwendungen die du im Client Netz erreichen willst.
Erheblicher Nachteil ist hier allerdings das du immer nur genau einen Rechner bzw. Port mit einer Anwendung erreichen kannst. Du kannst mit der Port Weiterleitung niemals gleiche Ports zu mehreren lokalen Zielen forwarden ! Ansonsten blockt dir die NAT Firewall alles.
Transparent routen kannst du so von LAN an Router 1 (DMZ) nicht an das Client LAN an Router 2, klar die NAT FW ist ja dazwischen. Das ist leider der gravierende Nachteil dieser "DMZ des kleinen Mannes".
Hast du diese Anforderung, dann ist es besser das Konzept dieser beiden Router in Kaskade zu vergessen und das mit einer kleinen Firewall zu machen mit 3 Interfaces !
Damit hast du dann eine richtige DMZ und kannst die Zugriffsregeln ganz granular einstellen. Außerdem fliesst dein Traffic aus dem Client Segment nicht mehr frei durch das DMZ Segment und kann da mitgesniffert werden. Deshalb ist das mit den 2 Routern auch keine richtige DMZ !
Wie so ein Konzept aussieht kannst du hier:
http://www.administrator.de/forum/heimnetz%2c-verschiedene-ebenen%2c-zw ...
genau nachlesen, es ist exakt das gleiche Szenario ! Eine einfache Hardware dazu ist z.B. HIER beschrieben.
Damit hast du zentral nur noch ein einziges Gerät zu bedienen was dir alles in einem ermöglicht, VPN, Firewall etc. Von der Handhabe also erheblich einfacher und sicherer !
Wenn du nur einzelne, wenige Applikationen von der DMZ ins Client Netz forwarden musst tuts aber auch das Banalkonzept mit der Kaskadierung 2er billiger Router.
Bitte warten ..
Mitglied: cantor
13.07.2011 um 19:35 Uhr
Danke für die Hinweise sowie die interessanten weiterführenden Links!

Ich glaube fast, dass ich mit m0n0wall unbedingt ansehen sollte (auch wenn ich hier die zwei für eine Kaskadierung benötigten Router schon stehen hätte).

Einziges Problem könnte eventuell die Übertragungsrate bei VPN sein, aber das werde ich ausprobieren müssen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
VPN in LAN-LAN Verbindung zwischen zwei Fritzbox-Netzwerken in DMZ (3)

Frage von Molar88 zum Thema Router & Routing ...

Router & Routing
VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490 (3)

Frage von Samuel113 zum Thema Router & Routing ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst Proxy für den Betrieb in einer DMZ oder im LAN (12)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...