4
Fritzbox 7560 mit DMZ oder Gastzugang
Hi, auf den Fritzboxen sind ja keine DMZ Netzwerke konfigurierbar, nur dieser Exposed Host, der allerdings eine komplette Firewallose Platzierung im Internet darstellt.
Ich habe also eine Fritzbox und ein lokales Netzwerk (192.168.2.0/24), in dem auch ein DB Server steht. Die 3 Clients nutzen den DB Server. Jetzt gibt es vom Hersteller eine Möglichkeit einen Webserver zu installieren, der per Mobilgeräten Zugriff zum DB Server gewährt.
Nun habe ich diesen Webserver und frage mich, wie ich den am besten integriere. Ich kann bereits eine Portweiterleitung auf die interne Adresse der Servers herstellen und die Kommunikation mit WebServer und DB funktioniert. Nur, wenn der Webserver kompromittiert wird, könnte man auf das interne Netz zugreifen.
Der Webserver und der DB Server haben jeweils 2 Netzwerkkarten.
Meine Idee ist es nun den Port 4 der Fritzbox als Gastzugang zu konfigurieren. Hieran schließe ich den einen (öffentlichen) Port des Webservers. Das Netz zwischen den Servern ist ein anderes als das interne. (192.168.1.100/30). Der Wan Port des Fritzbox Gastzuganges wird wohl per DHCP zugewiesen oder ich kann ihn fest konfigurieren, hab ich noch nicht ausprobiert (ich muss da erst hinfahren...).
Firewalltechnisch ist auf dem Webserver alles zu, ausser der Kommunikationsport, der Zwischen DB-Server und WebServer kommuniziert.
Könnte das so funktionieren oder ist da die Fritzbox soweit nicht konfigurierbar? Ich müsste für den Gastzugang ein Portforwarding einrichten und ggf eine Feste IP Adresse des Webservers, damit die Pakete dementsprechend weitergeleitet werden können.
Hat da wer Erfahrung?
Danke für Eure Tipps,
Karsten
Ich habe also eine Fritzbox und ein lokales Netzwerk (192.168.2.0/24), in dem auch ein DB Server steht. Die 3 Clients nutzen den DB Server. Jetzt gibt es vom Hersteller eine Möglichkeit einen Webserver zu installieren, der per Mobilgeräten Zugriff zum DB Server gewährt.
Nun habe ich diesen Webserver und frage mich, wie ich den am besten integriere. Ich kann bereits eine Portweiterleitung auf die interne Adresse der Servers herstellen und die Kommunikation mit WebServer und DB funktioniert. Nur, wenn der Webserver kompromittiert wird, könnte man auf das interne Netz zugreifen.
Der Webserver und der DB Server haben jeweils 2 Netzwerkkarten.
Meine Idee ist es nun den Port 4 der Fritzbox als Gastzugang zu konfigurieren. Hieran schließe ich den einen (öffentlichen) Port des Webservers. Das Netz zwischen den Servern ist ein anderes als das interne. (192.168.1.100/30). Der Wan Port des Fritzbox Gastzuganges wird wohl per DHCP zugewiesen oder ich kann ihn fest konfigurieren, hab ich noch nicht ausprobiert (ich muss da erst hinfahren...).
Firewalltechnisch ist auf dem Webserver alles zu, ausser der Kommunikationsport, der Zwischen DB-Server und WebServer kommuniziert.
Könnte das so funktionieren oder ist da die Fritzbox soweit nicht konfigurierbar? Ich müsste für den Gastzugang ein Portforwarding einrichten und ggf eine Feste IP Adresse des Webservers, damit die Pakete dementsprechend weitergeleitet werden können.
Hat da wer Erfahrung?
Danke für Eure Tipps,
Karsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334934
Url: https://administrator.de/contentid/334934
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Auch der FB Gastzugang ist eine Lachnummer und für ein pfiffiges Script Kiddie in Minutenschnelle überwunden.
Vergiss diesen Unsinn auf einem billigen Consumer Plastik Router eine sichere DMZ zu etablieren die auch den Namen verdient. Dafür ist das Gerät schlicht nicht vorgesehen und auch mit Frickelei bekommt man es nicht wirklich hin.
Mit der einen Ausnahme vielleicht wenn man dort die alternative Firmware Freetz flasht was jetzt aber einen erheblichen Eingriff darstellt.
Viel sinnvoller ist es du investierst ein paar Euros in eine kleine Firewall mit 3 Ports, klemmst an den WAN Port deine FB entweder im Modem only Mode (besser) oder als Router Kaskade an.
Dann schliesst du an einem Port deine DMZ an und am anderen dein lokales LAN. Fertisch...
Mit entsprechenden Firewall Regeln ist das dann eine DMZ Bilderbuchlösung die allen deinen Anforderungen genügt und auch entsprechend sicher ist und du musst nicht mehr frickeln.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Alternative: Du entsorgst die FB oder nutzt sie nur als reines Passthrough Modem an einem Breitband Firewall Router mit entsprechend mehr Ports wie einen Mikrotik 2011 z.B. oder nutzt einen Router mit integriertem Modem und Firewall und entsprechender Anzahl an lokalen LAN Ports wie dieser hier:
http://www.ebay.de/itm/Cisco-886VA-100-Mbps-4-Port-10-100-CISCO886VA-SE ...
und konfigurierst den entsprechend für die DMZ Nutzung:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die üblichen Verdächtigen von Lancom, Bintec und Co leisten das auch.
Es gibt viele Möglichkeiten das richtig zu machen. Sicherlich aber nicht das mit einem nicht dafür vorgesehem billigen Consumer System irgendwie hinzufrickeln wenn du es sicher und verlässlich haben willst !
Vergiss diesen Unsinn auf einem billigen Consumer Plastik Router eine sichere DMZ zu etablieren die auch den Namen verdient. Dafür ist das Gerät schlicht nicht vorgesehen und auch mit Frickelei bekommt man es nicht wirklich hin.
Mit der einen Ausnahme vielleicht wenn man dort die alternative Firmware Freetz flasht was jetzt aber einen erheblichen Eingriff darstellt.
Viel sinnvoller ist es du investierst ein paar Euros in eine kleine Firewall mit 3 Ports, klemmst an den WAN Port deine FB entweder im Modem only Mode (besser) oder als Router Kaskade an.
Dann schliesst du an einem Port deine DMZ an und am anderen dein lokales LAN. Fertisch...
Mit entsprechenden Firewall Regeln ist das dann eine DMZ Bilderbuchlösung die allen deinen Anforderungen genügt und auch entsprechend sicher ist und du musst nicht mehr frickeln.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Alternative: Du entsorgst die FB oder nutzt sie nur als reines Passthrough Modem an einem Breitband Firewall Router mit entsprechend mehr Ports wie einen Mikrotik 2011 z.B. oder nutzt einen Router mit integriertem Modem und Firewall und entsprechender Anzahl an lokalen LAN Ports wie dieser hier:
http://www.ebay.de/itm/Cisco-886VA-100-Mbps-4-Port-10-100-CISCO886VA-SE ...
und konfigurierst den entsprechend für die DMZ Nutzung:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die üblichen Verdächtigen von Lancom, Bintec und Co leisten das auch.
Es gibt viele Möglichkeiten das richtig zu machen. Sicherlich aber nicht das mit einem nicht dafür vorgesehem billigen Consumer System irgendwie hinzufrickeln wenn du es sicher und verlässlich haben willst !
Hallo,
auch jeweils den Server via LAN Port reinhängen.
- Eine Firewall mit zwei Switchen (DMZ und LAN) und dann mittels Firewallregeln.
Gruß
Dobby
Hi, auf den Fritzboxen sind ja keine DMZ Netzwerke konfigurierbar, nur dieser Exposed Host, der allerdings eine komplette
Firewallose Platzierung im Internet darstellt.
LAN Port 4 mit DMZ Funktion.Firewallose Platzierung im Internet darstellt.
Ich habe also eine Fritzbox und ein lokales Netzwerk (192.168.2.0/24), in dem auch ein DB Server steht. Die 3 Clients nutzen
den DB Server. Jetzt gibt es vom Hersteller eine Möglichkeit einen Webserver zu installieren, der per Mobilgeräten Zugriff zum
DB Server gewährt.
Via WLAN auf den Server zugreifen?den DB Server. Jetzt gibt es vom Hersteller eine Möglichkeit einen Webserver zu installieren, der per Mobilgeräten Zugriff zum
DB Server gewährt.
Nun habe ich diesen Webserver und frage mich, wie ich den am besten integriere. Ich kann bereits eine Portweiterleitung auf
die interne Adresse der Servers herstellen und die Kommunikation mit WebServer und DB funktioniert. Nur, wenn der Webserver
kompromittiert wird, könnte man auf das interne Netz zugreifen.
Dann einfach eine Firewall kaufen und eine richtige DMZ einrichten.die interne Adresse der Servers herstellen und die Kommunikation mit WebServer und DB funktioniert. Nur, wenn der Webserver
kompromittiert wird, könnte man auf das interne Netz zugreifen.
Der Webserver und der DB Server haben jeweils 2 Netzwerkkarten.
- Zwei Switche kaufen und dann einen an den LAN Port 4 und die DMZ Funktion aktivieren und einen an den LAN Port 1 und dort dannauch jeweils den Server via LAN Port reinhängen.
- Eine Firewall mit zwei Switchen (DMZ und LAN) und dann mittels Firewallregeln.
Gruß
Dobby
Okay, danke Für Deine Tipps.
Es handelt sich um einen IP Anschluss und die FB fürde dafür konfiguriert. Es existieren DECT Telefone und Wlan wird auch bedient. Auf die FB kann ich also nicht verzichten.
Wenn ich jetzt einen Router zwischen FB und Internet hängen möchte, bekomme ich dann Probleme mit der IP Telefonie? Oder werden dann die Pakete einfach durchgeroutet?
Was brauche ich dann für einen Router, denn der müsste dann ja die Verbindung mit der Telekom als Modem herstellen und dafür geeignet sein?
Vielen Dank für Tipps,
Karsten
Es handelt sich um einen IP Anschluss und die FB fürde dafür konfiguriert. Es existieren DECT Telefone und Wlan wird auch bedient. Auf die FB kann ich also nicht verzichten.
Wenn ich jetzt einen Router zwischen FB und Internet hängen möchte, bekomme ich dann Probleme mit der IP Telefonie? Oder werden dann die Pakete einfach durchgeroutet?
Was brauche ich dann für einen Router, denn der müsste dann ja die Verbindung mit der Telekom als Modem herstellen und dafür geeignet sein?
Vielen Dank für Tipps,
Karsten
Auf die FB kann ich also nicht verzichten.
Doch kann man immer wenn man sie als reinen WLAN AP nutzt und die VoIP Anbindung mit einem einfachen VoIP Adapter macht (Cisco SPA 112 z.B.) Aber egal....Wenn ich jetzt einen Router zwischen FB und Internet hängen möchte, bekomme ich dann Probleme mit der IP Telefonie?
Nein ,natürlich NICHT ! Wie kommst du dadrauf ?Oder werden dann die Pakete einfach durchgeroutet?
Ja, weiss man aber auch als Netzwerker.denn der müsste dann ja die Verbindung mit der Telekom als Modem herstellen und dafür geeignet sein?
Die Aussage ist ja Blödsinn und wiederspricht dem was du oben gesagt bzw. gefragt hast.Denk mal bitte vorher etwas nach !!! Ziegt auch das du die o.a. Tutorials völlig ignoriert hast
Wenn du deine FB im Netz belassen willst ist DIE doch Modem und VoIP Gateway bzw. bleibt das !
Einen zweiten Router oder eine Firewall kaskadierst du dann ganz einfach über den LAN Port der bestehenden FB und fertig ist der Lack.
Was du brauchst ist also einen kleine pfSense Firewall mit 3 Ports wie die oben aus dem Tutorial oder einen Router der mindestens 3 Ports hat.
Ein Mikrotik hexLite erfüllt alle deine Anforderungen:
http://varia-store.com/Wireless-Systeme/MikroTik-RouterBoard/MikroTik-R ...
Die Firewall bietet aber in punkto Sicherheit und DMZ mehr funktionen und ist für einen Anfänger etwas einfacher zu bedienen....aber auch etwas teurer.
