Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routerkonfiguration für VPN-Weiterleitung auf LAN hinter DMZ

Frage Netzwerke Router & Routing

Mitglied: cantor

cantor (Level 1) - Jetzt verbinden

13.07.2011, aktualisiert 18.10.2012, 11550 Aufrufe, 2 Kommentare

Hallo zusammen,

trotzdem ich (noch) Netzwerk-Laie bin, habe ich ein funktionierendes Heimnetzwerk am Laufen.
Jetzt möchte ich mir eine DMZ einrichten und stoße hinsichtlich der Router-Konfiguration (in Zusammenhang mit VPN) an meine Grenzen.
Aber vielleicht klappt es ja mit einem hilfreichen Hinweis ...

ich möchte mir mit zwei Routern nach der Anleitung unter http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html eine DMZ "bauen".

Hardwareseitig sieht die Sache wie folgt aus:


DSL-Modem --> 1. Router mit VPN --> 2. Router --> Clients im LAN 
                   NAS in DMZ
Die im Heise-Artikel beschriebene Konfiguration kann ich (als absoluter Netzwerk-Laie) soweit nachvollziehen.

Meine Frage:
Wie muß ich den 2. Router im Hinblick auf Portweiterleitung etc. Konfigurieren, so daß ich, wenn ich mich mit dem ersten Router über VPN verbinde (wenn ich das richtig verstehe, bin ich dann ja zuerst einmal in der DMZ), in das hinter dem 2. Router liegende LAN komme, dort alle Geräte sehe und ggf. auch eine Remotedesktop-Verbindung mit einem im LAN befindlichen PC aufbauen kann? Die VPN-Verbindung wir per IPSec aufgebaut.

Ganz herzlichen Dank im voraus für hilfreiche Tipps und Hinweise.

Gruß Jürgen
Mitglied: aqui
13.07.2011, aktualisiert 18.10.2012
Wenn der Router 1 der VPN Router ist und du von remote dort eine VPN Session hast, dann hat der VPN Client ja eine IP Adresse aus dem DMZ LAN. Der VPN Client verhält sich also exakt genau so wie das NAS oder andere Clients die im lokalen LAN Segment des Router 1 angeschlossen sind. Ist ja auch der tiefere Sinn eines VPNs !
Um in das Client LAN des Router 2 zu kommen musst du die dort aktive NAT Firewall überwinden, was mit entsprechenden Port Forwarding (Weiterleitungs) Einträgen passiert.
Siehe auch hier:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Einfaches Beispiel bei dem das DMZ Netz die 172.16.1.0 /24 ist und das Client Netz die 10.16.1.0 /24 und ein DMZ User (VPN Client) auf einem Webserver .100 im Client Segment will:
Dafür trägst du an Router 2 eine Port Weiterleitungsregel ein:
Eingehend Port TCP 80 wird weitergeleitet auf lokale IP 10.16.1.100 (die .100 ist der lokale PC mit dem Webserver)
Analog machst du das für alle Anwendungen die du im Client Netz erreichen willst.
Erheblicher Nachteil ist hier allerdings das du immer nur genau einen Rechner bzw. Port mit einer Anwendung erreichen kannst. Du kannst mit der Port Weiterleitung niemals gleiche Ports zu mehreren lokalen Zielen forwarden ! Ansonsten blockt dir die NAT Firewall alles.
Transparent routen kannst du so von LAN an Router 1 (DMZ) nicht an das Client LAN an Router 2, klar die NAT FW ist ja dazwischen. Das ist leider der gravierende Nachteil dieser "DMZ des kleinen Mannes".
Hast du diese Anforderung, dann ist es besser das Konzept dieser beiden Router in Kaskade zu vergessen und das mit einer kleinen Firewall zu machen mit 3 Interfaces !
Damit hast du dann eine richtige DMZ und kannst die Zugriffsregeln ganz granular einstellen. Außerdem fliesst dein Traffic aus dem Client Segment nicht mehr frei durch das DMZ Segment und kann da mitgesniffert werden. Deshalb ist das mit den 2 Routern auch keine richtige DMZ !
Wie so ein Konzept aussieht kannst du hier:
http://www.administrator.de/forum/heimnetz%2c-verschiedene-ebenen%2c-zw ...
genau nachlesen, es ist exakt das gleiche Szenario ! Eine einfache Hardware dazu ist z.B. HIER beschrieben.
Damit hast du zentral nur noch ein einziges Gerät zu bedienen was dir alles in einem ermöglicht, VPN, Firewall etc. Von der Handhabe also erheblich einfacher und sicherer !
Wenn du nur einzelne, wenige Applikationen von der DMZ ins Client Netz forwarden musst tuts aber auch das Banalkonzept mit der Kaskadierung 2er billiger Router.
Bitte warten ..
Mitglied: cantor
13.07.2011 um 19:35 Uhr
Danke für die Hinweise sowie die interessanten weiterführenden Links!

Ich glaube fast, dass ich mit m0n0wall unbedingt ansehen sollte (auch wenn ich hier die zwei für eine Kaskadierung benötigten Router schon stehen hätte).

Einziges Problem könnte eventuell die Übertragungsrate bei VPN sein, aber das werde ich ausprobieren müssen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
DMZ hinter LAN?
gelöst Frage von Lars15Netzwerkmanagement8 Kommentare

Hallo, normalerweise wird eine DMZ ja folgendermaßen aufgebaut: WAN>Router1>DMZ>Router2>LAN. Aus organisatorischen Gründen würde ich gerne die Position von LAN ...

Netzwerke
Kann von LAN nicht in DMZ
gelöst Frage von 118080Netzwerke23 Kommentare

Moin Leute Ich spiele grad ein wenig mit DMZ rum, ist aber totales Neuland für mich. Habe nun an ...

Netzwerkmanagement
Proxy für den Betrieb in einer DMZ oder im LAN
gelöst Frage von M.MarzNetzwerkmanagement12 Kommentare

Hallo zusammen, wir möchten im Betrieb einen Squid Proxy installieren. Meine Frage ist nun, muss der Proxy in einer ...

LAN, WAN, Wireless
Hotspot im DMZ mit Übergang zum anderen Lan - wie?
gelöst Frage von sleeplessnightLAN, WAN, Wireless19 Kommentare

Hi mein Ziel ist es, das ich ein CP (Capitve Portal) einrichte, was selbst im DMZ sitzt. Gibt der ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 21 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...