13
TP-ER5120 DMZ für Webserver
Nabend! 
Ich bin auf der Suche nach einer Lösung für das folgende Problem.
Ich habe am TP-ER5120 (*.10.254) im NAT-Mode einen neuen Internetanschluss (Feste IP) an WAN1 konfiguriert und will einen WebServer (*.10.10) für http/https für das Interne Netz und Internet freigeben.
Momentan befindet sich der WebServer über eine Interne Schnittstelle im Domänennetzwerk und läuft noch über den alten Internetanschluss.
Auf dem WebServer (Windows Server 2003 auf Hyper-V VM) wurden Ausnahmen für die externe Schnittstelle per Windows Firewall auf http (80) und https (443) aktiviert.
Es gibt insgesamt zwei Netze, LAN1 (*.10.0/20) und VOIP1 (*.11.0/24)
Der VM-Host (*.10.2) hat insgesamt zwei VMs:
- Einen SBS 2008, wo der DC, DNS, Exchange 2007, DHCP usw. konfiguriert ist (*.10.1).
- Der WebServer (*.10.10)
Jetzt zu meiner Frage:
Kann ich den VM-Host einfach am DMZ-Port hängen, Public Mode aktivieren und erstelle dann einfach einen neuen Adressbereich für die DMZ, oder benötige ich einen extra Server, der als DMZ-Server fungiert? Kann ich irgend einen Adressbereich nehmen, oder was gibt es hier zu beachten?
Ich bin auf der Suche nach einer Lösung für das folgende Problem.
Ich habe am TP-ER5120 (*.10.254) im NAT-Mode einen neuen Internetanschluss (Feste IP) an WAN1 konfiguriert und will einen WebServer (*.10.10) für http/https für das Interne Netz und Internet freigeben.
Momentan befindet sich der WebServer über eine Interne Schnittstelle im Domänennetzwerk und läuft noch über den alten Internetanschluss.
Auf dem WebServer (Windows Server 2003 auf Hyper-V VM) wurden Ausnahmen für die externe Schnittstelle per Windows Firewall auf http (80) und https (443) aktiviert.
Es gibt insgesamt zwei Netze, LAN1 (*.10.0/20) und VOIP1 (*.11.0/24)
Der VM-Host (*.10.2) hat insgesamt zwei VMs:
- Einen SBS 2008, wo der DC, DNS, Exchange 2007, DHCP usw. konfiguriert ist (*.10.1).
- Der WebServer (*.10.10)
Jetzt zu meiner Frage:
Kann ich den VM-Host einfach am DMZ-Port hängen, Public Mode aktivieren und erstelle dann einfach einen neuen Adressbereich für die DMZ, oder benötige ich einen extra Server, der als DMZ-Server fungiert? Kann ich irgend einen Adressbereich nehmen, oder was gibt es hier zu beachten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 315744
Url: https://administrator.de/contentid/315744
Printed on: April 19, 2024 at 09:04 o'clock
13 Comments
Latest comment
hallo,
die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24. Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server läuft. Vergiss nicht die Policy DMZ zum Firmennetz in der Firewall zu konfigurieren
Gruß
Moritz
PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24. Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server läuft. Vergiss nicht die Policy DMZ zum Firmennetz in der Firewall zu konfigurieren
Gruß
Moritz
PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
1
Warum Server 2003 als Webserver?
1
Moin,
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im Hypervisor-OS und du kannst die Firma dicht machen.
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf. Wobei Regeln von DMZ -> LAN vermieden werden sollten.
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Gruß,
Dani
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im Hypervisor-OS und du kannst die Firma dicht machen.
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf. Wobei Regeln von DMZ -> LAN vermieden werden sollten.
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Gruß,
Dani
13) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Ich bin mir nicht sicher ob er punkt 3 verstandet hat. Wissen leider gottes viele Admins noch immer nicht.
https://www.youtube.com/watch?v=UeGflP1D-1E
Warum möchtest du den Web Server überhaut in den eigenen 4 Wänden stehen haben. Angst vor Daten Diebstahl wirst es wohl nicht sein.
1
Hallo Moritz,
Alles klar!
Ja ich kenne die Einstellung. Sprich die DMZ allein ist kein ausreichender Schutz von Außen auf das Interne Netzwerk, richtig verstanden? Dabei ist das doch die Funktionsweise von NAT und DMZ in public-Mode...oder habe ich da was falsch verstanden?
Warum kann man sich das mit VLAN sparen, wenn der VM-Host über mehrere Ethernet-Ports verfügt?
Wir beschäftigen uns auch mit dem Thema VLAN, wollen aber erst sicherstellen, dass der WebServer innerhalb der DMZ funktioniert. Nach bisherigem Kenntnisstand, soll VLAN ja auch auf Ethernet-Ebene sinnvoll sein...
Von welchen Regeln ist hier an welcher Stelle genau die Rede? Meinst Du in der Windows-Firewall auf dem WebServer (konnte leider bisher noch nichts hierzu finden). Welche Regeln soll ich erstellen?
Danke für deinen Support!
Zitat von @erhardm:
die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24.
die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24.
Alles klar!
Zitat von @erhardm:
Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server > läuft.
PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server > läuft.
PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
Ja ich kenne die Einstellung. Sprich die DMZ allein ist kein ausreichender Schutz von Außen auf das Interne Netzwerk, richtig verstanden? Dabei ist das doch die Funktionsweise von NAT und DMZ in public-Mode...oder habe ich da was falsch verstanden?
Warum kann man sich das mit VLAN sparen, wenn der VM-Host über mehrere Ethernet-Ports verfügt?
Wir beschäftigen uns auch mit dem Thema VLAN, wollen aber erst sicherstellen, dass der WebServer innerhalb der DMZ funktioniert. Nach bisherigem Kenntnisstand, soll VLAN ja auch auf Ethernet-Ebene sinnvoll sein...
Von welchen Regeln ist hier an welcher Stelle genau die Rede? Meinst Du in der Windows-Firewall auf dem WebServer (konnte leider bisher noch nichts hierzu finden). Welche Regeln soll ich erstellen?
Danke für deinen Support!
Ja, den müssen wir unbedingt updaten...welche Version kannst Du empfehlen, kann ich eine Migration machen?
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Ich bin mir nicht sicher ob er punkt 3 verstandet hat. Wissen leider gottes viele Admins noch immer nicht.
https://www.youtube.com/watch?v=UeGflP1D-1E
https://www.youtube.com/watch?v=UeGflP1D-1E
Ja da bin ich absolut auf deiner Seite! Sicherheit ist extrem wichtig. Mein Chef sieht das in diesem Fall nicht so eng . Ich konnte keine Beispiele für Angriffe finden, die ich ihm als quasi Referenz gern gezeigt hätte. Hast Du evtl. Beispiele von Angriffen, die ich meinem Chef zeigen kann, um das zu pushen? :D
Zitat von @erhardm:
Warum möchtest du den Web Server überhaut in den eigenen 4 Wänden stehen haben. Angst vor Daten Diebstahl wirst es wohl nicht sein.
Warum möchtest du den Web Server überhaut in den eigenen 4 Wänden stehen haben. Angst vor Daten Diebstahl wirst es wohl nicht sein.
Gute Frage! Was empfiehlst Du mir?! Ich bin noch nicht lange im Unternehmen und soll mehr Netzwerkaufgaben übernehmen, was mich sehr motiviert! Wir sind gerade dabei die aus der Historie gewachsene Struktur zu durchleuchten und zu optimieren.
Alles Step by Step. Da der alte Internetanschluss schon im Oktober ausläuft, ist das Thema mit dem WebServer/DMZ bzw. auch Ext. Mailrouting zu priorisieren.
Ich bin erst seit heute in diesem Forum weil ich selber gerade mit einem Problem zukämpfen habe.
Daher weiß ich nicht wie ich dir helfen kann. Es ist hat sehr fahrlässig an einem Produktiven System zu arbeiten, wenn man wenig davon versteht. Ich hoffe dir helfen folgende link.
http://kompendium.infotip.de/netzwerkkomponenten-firewalls-und-dmz.html
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Gruß
Moritz
Daher weiß ich nicht wie ich dir helfen kann. Es ist hat sehr fahrlässig an einem Produktiven System zu arbeiten, wenn man wenig davon versteht. Ich hoffe dir helfen folgende link.
http://kompendium.infotip.de/netzwerkkomponenten-firewalls-und-dmz.html
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Gruß
Moritz
1Zitat von @Dani:
Moin,
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im > Hypervisor-OS und du kannst die Firma dicht machen.
Moin,
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im > Hypervisor-OS und du kannst die Firma dicht machen.
Moinsen,
warum muss die Firma gleich dicht gemacht werden, kann man dann nicht erstmal nen Restore machen?
Was empfiehlst Du uns denn hier?
Zitat von @Dani:
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf.
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf.
Der Load-Balancer hat eine integrierte Firewall. Ich habe schon ein paar Regeln mit dem Hersteller-Support erstellt u.a. unter Virtual-Server, die ich hier gerne morgen mal durchgeben kann.
Klar, das würde sich ja beißen durch den aktiven NAT/DMZ public Mode, siehe http://www.tp-link.com/en/faq-1079.html, richtig?
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Gruß,
Dani
Gruß,
Dani
Dein DHCP verteilt doch bestimmt die IP der Standardgateway *10.0."1". Wenn jetzt deine 2te Gateway(neuer Router) die IP *10.0."254" hat, kannst du e nicht in die DMZ Routen. Hast du das bedacht?
Ah okay, und an welchem Problem arbeitest Du gerade? Auf jeden Fall ist ne Testumgebung sinnvoll, aber die muss auch erst mal Budgetmäßig genehmigt und aufgebaut werden.
Das ist kein Thema, für die Links danke ich dir, jede Info ist doch in irgend ner Form hilfreich!
Das ist kein Thema, für die Links danke ich dir, jede Info ist doch in irgend ner Form hilfreich!
Der Load-Balancer vergibt keine IPs. Das macht der DHCP auf unserem DC, der samt DNS, Exchange 2007, FileServer, Printserver usw. auf SBS2008 - Basis auch (neben dem WebServer eben) auf dem VM-Host beheimatet ist. Habe ich so bisher auch noch nicht gesehen. Eine Herausforderung die mich sehr motiviert!
P.s.: Ich liebe es, wenn es kompliziert wird! :D
P.s.: Ich liebe es, wenn es kompliziert wird! :D
Moin,
Gruß,
Dani
warum muss die Firma gleich dicht gemacht werden, kann man dann nicht erstmal nen Restore machen?
meist spricht das ziemlich schnell um und ist man erstmal in der Presse, wird es schwerer Kunden zu gewinnen und die bisherigen überzeugen, weiterhin der richtige Partner zu sein. Was empfiehlst Du uns denn hier?
Ganz klar, alle Netzsegmente (LAN, DMZ) auf jeden Fall physikalisch sauber durch Firewalls (ebenfalls physikalisch) trennen.Der Load-Balancer hat eine integrierte Firewall.
Na dann wird es an einem separaten VM-Host nicht scheitern.Klar, das würde sich ja beißen durch den aktiven NAT/DMZ public Mode, siehe http://www.tp-link.com/en/faq-1079.html, richtig?
Ich halte davon nichts und solche Modis gibt's auf reinen Firewalls gar nicht. Mit Regeln klar definieren wie was wo und gut ist.Gruß,
Dani
