11
DMZ hinter Fritzbox
Hallo zusammen,
ich verzweifle gerade an folgender Anforderung, da ich es so noch nie gemacht habe und ich glaube fast es geht nicht.
Anforderungen:
1. Es soll das Geschäftsnetz(DMZ) vom Hausnetz getrennt werden. Vom Hausnetz soll aber auf das Geschäftsnetz zugegriffen werden können. Das Geschäftsnetz darf nicht in das Hausnetz kommen
2. Es werden im Hausnetz bereits Kameras und Fritzbox VPN betrieben. Das soll so beibehalten werden
3. WLAN für Zuhause soll weiter über die Fritzbox laufen
4. Das Geschäftsnetz soll in das Internet dürfen und soll auch aus dem Internet erreichbar sein.
5. Die Fritzbox ist zuständig für den ALL-IP Zugang.
Das Problem durch die Fritzbox ist also, dass das Hausnetz(interne Netz) aktuell in das Internet geht und das wäre dann wohl für die DMZ auch das öffentliche Netz(Internet)
Ich hab hier noch ein Mikrotik Routerboard. Das kann ich verwenden.
Die einzige Idee die ich habe, ist von der FritzBox den LAN4 Port (als Gastzugang einrichten) zu benutzen und damit die DMZ in das Internet zu schicken. Ich weiß aber nicht wie das dann mit Portweiterleitung von außen Funktioniert, bzw. ob das funktioniert
Wie geht man da vor?
Danke
ich verzweifle gerade an folgender Anforderung, da ich es so noch nie gemacht habe und ich glaube fast es geht nicht.
Anforderungen:
1. Es soll das Geschäftsnetz(DMZ) vom Hausnetz getrennt werden. Vom Hausnetz soll aber auf das Geschäftsnetz zugegriffen werden können. Das Geschäftsnetz darf nicht in das Hausnetz kommen
2. Es werden im Hausnetz bereits Kameras und Fritzbox VPN betrieben. Das soll so beibehalten werden
3. WLAN für Zuhause soll weiter über die Fritzbox laufen
4. Das Geschäftsnetz soll in das Internet dürfen und soll auch aus dem Internet erreichbar sein.
5. Die Fritzbox ist zuständig für den ALL-IP Zugang.
Das Problem durch die Fritzbox ist also, dass das Hausnetz(interne Netz) aktuell in das Internet geht und das wäre dann wohl für die DMZ auch das öffentliche Netz(Internet)
Ich hab hier noch ein Mikrotik Routerboard. Das kann ich verwenden.
Die einzige Idee die ich habe, ist von der FritzBox den LAN4 Port (als Gastzugang einrichten) zu benutzen und damit die DMZ in das Internet zu schicken. Ich weiß aber nicht wie das dann mit Portweiterleitung von außen Funktioniert, bzw. ob das funktioniert
Wie geht man da vor?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334657
Url: https://administrator.de/contentid/334657
Printed on: April 18, 2024 at 23:04 o'clock
11 Comments
Latest comment
und ich glaube fast es geht nicht.
Ja, das ist richtig. Mit einer FritzBox ist kein DMZ Design umzusetzen. Das liegt daran das die FritzBox keine Option hat ein separates LAN Segment aufzusetzen mit entsprechenden Firewall Regeln was als DMZ dient.Technisch ist das mit so einem billigen Consumer Router nicht möglich. Es sei denn man verwendet eine alternative Firmware wie z.B. Freetz.
Einzig eine sog. DMZ des kleinen Mannes wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Davon kann man dir aber nur dringenst abraten, denn das ist keine wirkliche DMZ und bringt auch keinerlei Sicherheit was eine DMZ natürlich soll und du oben mit deinem Design anstrebst.
Fazit:
Mit der FB ist das technisch nicht machbar.
Nimm dir eine kleine preiswerte Firewall mit 3 Ports, mit der ist sowas im Handumdrehen erledigt und du hast dann auch eine DMZ die den Namen verdient.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Statt der Firewall kannst du natürlich auch deinen Mikrotik verwenden. Das Design ist identisch
Du betreibst dann eine Router Kaskade mit FB und MT oder Firewall und richtest deine beiden IP Segmente dann dort am kaskadierten Router oder FW ein.
Die FB kannst du dann so belassen wie sie ist.
Vielen Dank für deine Antwort,
die Fritzbox kommt dann hinter der Mikrotik oder wie meinst du das?
Aber das geht ja auch nicht wirklich, wegen der Einwahl und der Telefonie....
die Fritzbox kommt dann hinter der Mikrotik oder wie meinst du das?
Aber das geht ja auch nicht wirklich, wegen der Einwahl und der Telefonie....
Hallo,
Switch wie dem Cisco SG300 oder SG350! Oder aber, haben die AVM FB und der MikroTik Router denn GB LAN Ports oder gar
beide nur 10/100 MBit/s LAN Ports?
VLAN20 - Hausnetz
VLAN30 - Arbeitsnetz
Layer2 Switch dazu der VLANs unterstützt oder aber auch einen Layer3 Switch der gleich die VLANs routen kann, dann aber mit
"Wire Speed".
Ist da Entertain mit drinnen enthalten?
Was ist das für ein IP Anschluss und von welchem ISP ist der denn nun genau?
pfSense auf
- APU2C4
- Jetway NF9HG-2930
- Supermicro SYS-E200-9B (2. überarbeitete Version)
und mit Cisco SG220-10 oder SG350-10 Switch dazu, dann kann man das alles ganz in Ruhe erledigen.
Gruß
Dobby
1. Es soll das Geschäftsnetz(DMZ) vom Hausnetz getrennt werden. Vom Hausnetz soll aber auf das Geschäftsnetz zugegriffen
werden können.
Mit der AVM FB so aber nicht möglich, entweder den LAN Port 4 mit aktivierter DMZ "Funktion" und man kann nicht mehrwerden können.
untereinander zugreifen, aber da genau so etwas ja gewünscht wird wäre hier ein VLAN fähiger Switch von Nöten bzw. das beste.
Das Geschäftsnetz darf nicht in das Hausnetz kommen
VLAN10 und VLAN20 eines darf auf das andere zugreifen und rückwärts ist es unterbunden mit Switch ACLs an einem Layer3Switch wie dem Cisco SG300 oder SG350! Oder aber, haben die AVM FB und der MikroTik Router denn GB LAN Ports oder gar
beide nur 10/100 MBit/s LAN Ports?
2. Es werden im Hausnetz bereits Kameras und Fritzbox VPN betrieben. Das soll so beibehalten werden
VLAN10 - Kamera NetzVLAN20 - Hausnetz
VLAN30 - Arbeitsnetz
3. WLAN für Zuhause soll weiter über die Fritzbox laufen
Und wer macht das WLAN für das Geschäftsnetz?4. Das Geschäftsnetz soll in das Internet dürfen und soll auch aus dem Internet erreichbar sein.
Offene Ports oder nur via VPN?5. Die Fritzbox ist zuständig für den ALL-IP Zugang.
Telefonie und VPN ok, aber für was noch!?Das Problem durch die Fritzbox ist also, dass das Hausnetz(interne Netz) aktuell in das Internet geht
das wäre dann wohl für die DMZ auch das öffentliche Netz(Internet)
???das wäre dann wohl für die DMZ auch das öffentliche Netz(Internet)
Ich hab hier noch ein Mikrotik Routerboard. Das kann ich verwenden.
Und dürfen wir auch den Namen erfahren?Die einzige Idee die ich habe, ist von der FritzBox den LAN4 Port (als Gastzugang einrichten) zu benutzen und damit die DMZ in
das Internet zu schicken. Ich weiß aber nicht wie das dann mit Portweiterleitung von außen Funktioniert, bzw. ob das funktioniert
Dann lieber gleich Nägel mit Köpfen machen und eine kleine Firewall kaufen die mindestens drei Ports hat und dann noch einendas Internet zu schicken. Ich weiß aber nicht wie das dann mit Portweiterleitung von außen Funktioniert, bzw. ob das funktioniert
Layer2 Switch dazu der VLANs unterstützt oder aber auch einen Layer3 Switch der gleich die VLANs routen kann, dann aber mit
"Wire Speed".
Wie geht man da vor?
Welche Internetgeschwindigkeit hast Du denn?Ist da Entertain mit drinnen enthalten?
Was ist das für ein IP Anschluss und von welchem ISP ist der denn nun genau?
pfSense auf
- APU2C4
- Jetway NF9HG-2930
- Supermicro SYS-E200-9B (2. überarbeitete Version)
und mit Cisco SG220-10 oder SG350-10 Switch dazu, dann kann man das alles ganz in Ruhe erledigen.
Gruß
Dobby
Danke für deine Antwort,
solang die Fritzbox sich in das Internet einwählt, ist deren internes Netz + WLAN die DMZ. Wenn ich jetzt einen weiteren Router Installiere, dann komm ich immer in das Netz der Fritzbox weil die ja ins Internet geht.
Wenn ich jetzt eine Firewall vorne hin setze, wer wählt sich dann in das Internet ein? Wer macht dann die Telefonie?
ISP ist die Telekom, die einwahl über PPPoE. Entertain soll glaub noch kommen.
solang die Fritzbox sich in das Internet einwählt, ist deren internes Netz + WLAN die DMZ. Wenn ich jetzt einen weiteren Router Installiere, dann komm ich immer in das Netz der Fritzbox weil die ja ins Internet geht.
Wenn ich jetzt eine Firewall vorne hin setze, wer wählt sich dann in das Internet ein? Wer macht dann die Telefonie?
ISP ist die Telekom, die einwahl über PPPoE. Entertain soll glaub noch kommen.
die Fritzbox kommt dann hinter der Mikrotik oder wie meinst du das?
Nein !Wie willst du denn dein DMZ Segment dann noch realisieren ?? Wäre ja vollkommen unlogisch.
Davor natürlich.
solang die Fritzbox sich in das Internet einwählt, ist deren internes Netz + WLAN die DMZ.
Das ist natürlich technischer Quatsch dann von einer DMZ zu sprechen, denn in diesem Szenario gibt es ja keinerlei DMZ !Wenn ich jetzt eine Firewall vorne hin setze, wer wählt sich dann in das Internet ein?
Das kann die Firewall mit einem reinen Modem dann natürlich selber:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Die Telefonie macht man dann mit einem VoIP Telefon direkt, oder wenn man noch analoge Geräte hat mit einem Adapter wie dem Cisco SPA 112 oder einer kleinen VoIP Anlage wie der Auerswald 3000 VoIP usw.
Oder man belässt schlicht und einfach die FB einfach als davor kaskadierten Router der dann nur Internet und telefonie terminiert und die DMZ und das private LAN realisiert man schlicht und einfach auf den dahinter kaskadierten Router.
Eigentlich ganz einfach und logisch...?!
1solang die Fritzbox sich in das Internet einwählt, ist deren internes Netz + WLAN die DMZ.
Das Netz an der DMZ ist aber nicht von dem anderen internen Netz zu erreichen!Wenn ich jetzt einen weiteren Router Installiere, dann komm ich immer in das Netz der Fritzbox weil die ja ins Internet geht.
- Wenn man hinter der AVM FB einen weiteren Router installiert der VLANs kann ist das nicht so, wenn der kein NAT macht!- Wenn man hinter der AVM FB einen Layer3 Switch wie den Cisco SG350-10 installiert dann kann auch der die Netze trennen
und man ist trotz alledem via VPN von außen in allen Netzen drin je nach Konfiguration des VPN Zugangs, dann muss eben
ein VPN Zugang für das Arbeitsnetz und eines für das private LAN angelegt werden!
Wenn ich jetzt eine Firewall vorne hin setze, wer wählt sich dann in das Internet ein? Wer macht dann die Telefonie?
Ein DrayTek 130, ein Zyxel 3112 oder ein anderes reines Modem was man halt passend zu dem uns noch immer unbekanntenInternetzugang kauft! Und ob Entertain dabei ist wissen wir auch immer noch nicht oder gar welches Budget zur Verfügung steht.
EIn Cisco Telfonadapter kann das auch wenn man dann möchte! Ist auch nicht teuer
ISP ist die Telekom, die einwahl über PPPoE.
ADSL, VDSL, VDSL2 mit Vectoring, FTTH/C oder FTTB oder per Kabelanschluss oder,.....Entertain soll glaub noch kommen.
Das sollten wir aber auch vorher besprechen denn wenn schon dann gleich richtig machen, von mir aus auch nach und nachaber eben so das man dann nicht wieder anfangen muss und alles neu her muss.
Mit Entertain;
- AVM FB 7490 oder FB 7580 & MikroTik Router & Layer2 oder Layer3 Switch (Cisco SG220 oder SG350)
- Modem & pfSense Firewall & Layer2 oder Layer3 Switch (Cisco SG220 oder SG350) & RaspBerry PI 3.0
Ohne Entertain;
- pfSense Firewall & Layer2 oder Layer3 Switch
Gruß
Dobby
1
Ja das macht schon Sinn, aber so verliere ich die WLAN Funktionalität der Fritzbox für das Interne Netz, richtig?
Das wäre ja Möglich, nur wie kommt der Client hinter dem Router dann in das Internet wenn der kein NAT macht? D.h. der Client hinter dem Router stellt ja dann die Anfrage an diesen Router, und der frägt direkt die Fritzbox die dann NAT macht?
Das mit dem NAT verstehe ich nicht, der Client hinter dem zweiten Router hat z.b. die IP 192.168.175.2, der router hat die IP 192.168.175.1 und 192.168.2.2
Die FB hat die Interne IP 192.168.2.1 und extern 81.x.x.x
Wenn jetzt der Client 192.168.175.2 eine Internetseite aufruft, dann stellt er die anfrage an die 192.168.175.1, der muss doch dann NATen denn woher soll die Fritzbox wissen, wo die Antwort hin soll? Das kann doch nur Funktionieren wenn der Router dann NAT macht und die Anfrage an die Fritzbox stellt. Diese schickt die Antwort dann an 192.168.175.1.
Jetzt ist es aber so, dass mein Client mit 192.168.175.2 auch auf 192.168.2.0/24 zugreifen kann, weil dieser kann ja extern auf 0.0.0.0 zugreifen... Also alles. Ich könnte höchsten eine exclude Regel einführen, dass meine Clients eben nicht auf 192.168.2.0/24 zugreifen dürfen. Um auf meine Clients zugreifen zu können müsste ich eben auch die Ports entsprechend frei geben.
- Wenn man hinter der AVM FB einen weiteren Router installiert der VLANs kann ist das nicht so, wenn der kein NAT macht!Das mit dem NAT verstehe ich nicht, der Client hinter dem zweiten Router hat z.b. die IP 192.168.175.2, der router hat die IP 192.168.175.1 und 192.168.2.2
Die FB hat die Interne IP 192.168.2.1 und extern 81.x.x.x
Wenn jetzt der Client 192.168.175.2 eine Internetseite aufruft, dann stellt er die anfrage an die 192.168.175.1, der muss doch dann NATen denn woher soll die Fritzbox wissen, wo die Antwort hin soll? Das kann doch nur Funktionieren wenn der Router dann NAT macht und die Anfrage an die Fritzbox stellt. Diese schickt die Antwort dann an 192.168.175.1.
Jetzt ist es aber so, dass mein Client mit 192.168.175.2 auch auf 192.168.2.0/24 zugreifen kann, weil dieser kann ja extern auf 0.0.0.0 zugreifen... Also alles. Ich könnte höchsten eine exclude Regel einführen, dass meine Clients eben nicht auf 192.168.2.0/24 zugreifen dürfen. Um auf meine Clients zugreifen zu können müsste ich eben auch die Ports entsprechend frei geben.
Moin,
Wie die Kollegen schon sagten, ist dein Vorhaben ohne weitere Hardware zum Scheitern verurteilt.
Das sinnvollste wäre, das Du das ordentlich z.B. mit einem Cisco, Mikrotik, pfesense o.ä. machst und dei fritzbox dann in Dein "HausLAN" längst. Sofern Du keinen Router mit integriertem ADSL/VDSL-Modem wie z.B. eine Cisco nimmst, benötigst Du noch zusätzlich ein ADSL/VDSL-Modem vor der Firewall. das kann z.B. der allseits beliebte draytek Vigor 130 sein, oder Du könnetst aucgh einfach eine 7430 o.ä im "Modemmodus" betreiben.
lks
Wie die Kollegen schon sagten, ist dein Vorhaben ohne weitere Hardware zum Scheitern verurteilt.
Das sinnvollste wäre, das Du das ordentlich z.B. mit einem Cisco, Mikrotik, pfesense o.ä. machst und dei fritzbox dann in Dein "HausLAN" längst. Sofern Du keinen Router mit integriertem ADSL/VDSL-Modem wie z.B. eine Cisco nimmst, benötigst Du noch zusätzlich ein ADSL/VDSL-Modem vor der Firewall. das kann z.B. der allseits beliebte draytek Vigor 130 sein, oder Du könnetst aucgh einfach eine 7430 o.ä im "Modemmodus" betreiben.
lks
Danke für die Antwort, mir ist aber immer noch nicht klar, warum hinter der Firewall noch die Fritzbox soll. Nur für die Telefonie?
Wenn ich eine Firewall vorne hin setze, dann kann ich gleich in verschiedene Netze trennen. Dann brauch ich die Fritzbox nur noch für Telefonie.
Dann müsste man für das WLAN eben so nen TP-Link Router kaufen und diesen als AP betreiben...
Aktuell ist es halt so:
https://1.f.ix.de/scale/geometry/350/q75/ct/imgs/04/9/9/8/2/0/8/routerka ...
Nur mit dem Unterschied, das die grüne Zone bei mir das Geschäftslan ist und die Rote Zone das Hausnetz, ich bräuchte es genau anders rum, bzw. das man von der "grünen Zone" nicht auf die "rote Zone" (DMZ) kommt.
(Also: 192.168.11.1 == Fritzbox && 192.168.77.1 == MikroTik)
--> Wenn jetzt der Router (192.168.77.1) eine Firewall wäre und folgende Regel bekommt:
(Stateful Inpsection müsste angeschalten sein)
192.168.11.0/24 --> 192.168.77.0/24 --> allow
192.168.77.0/24 --> 192.168.11.0/24 --> drop
Wäre das nicht auch möglich?
Wenn ich eine Firewall vorne hin setze, dann kann ich gleich in verschiedene Netze trennen. Dann brauch ich die Fritzbox nur noch für Telefonie.
Dann müsste man für das WLAN eben so nen TP-Link Router kaufen und diesen als AP betreiben...
Aktuell ist es halt so:
https://1.f.ix.de/scale/geometry/350/q75/ct/imgs/04/9/9/8/2/0/8/routerka ...
Nur mit dem Unterschied, das die grüne Zone bei mir das Geschäftslan ist und die Rote Zone das Hausnetz, ich bräuchte es genau anders rum, bzw. das man von der "grünen Zone" nicht auf die "rote Zone" (DMZ) kommt.
(Also: 192.168.11.1 == Fritzbox && 192.168.77.1 == MikroTik)
--> Wenn jetzt der Router (192.168.77.1) eine Firewall wäre und folgende Regel bekommt:
(Stateful Inpsection müsste angeschalten sein)
192.168.11.0/24 --> 192.168.77.0/24 --> allow
192.168.77.0/24 --> 192.168.11.0/24 --> drop
Wäre das nicht auch möglich?
Zitat von @leon123:
Wenn ich eine Firewall vorne hin setze, dann kann ich gleich in verschiedene Netze trennen. Dann brauch ich die Fritzbox nur noch für Telefonie.
Dann müsste man für das WLAN eben so nen TP-Link Router kaufen und diesen als AP betreiben...
Wenn ich eine Firewall vorne hin setze, dann kann ich gleich in verschiedene Netze trennen. Dann brauch ich die Fritzbox nur noch für Telefonie.
Dann müsste man für das WLAN eben so nen TP-Link Router kaufen und diesen als AP betreiben...
So kannst Du es natürlich auch machen.
lks
Hallo nochmal,
MikroTik Router problemlos. Alternativ kann man auch ein ISDN/VOIP/FAX Geräte kaufen wie das Siemens Gigaset DX600A oder
DX800A, damit kann man dann auch alles realisieren wie Du es möchtest.
dann ist es schon besser via Firewallregeln und/oder IDS das ganze zu beobachten, pfSense und Snort können das
gut, und noch besser wäre wenn Deine Server gar keinen direkten Kontakt zum Internet haben und da noch ein Proxy
dazwischen ist wie zum Beispiel Squid, und dann wäre das eben pfSense & Squid & Snort und pfBlockerNG & DNSBL!
Oder aber man kauft ein paar kleinere MikroTik mAPs oder mAP lights dazu! Da geht mehr als man denkt.
Links ist ein Kamerazeichen zum Bildereinfügen und das sollte hier benutzt werden!
- DrayTek Vigor 130 & pfSense auf APU2C4 & Cisco SG220 und dahinter VLANs
Ist die einfachere Variante aber nicht so stark und schnell
- DrayTek Vigor 130 & pfSense auf JetwayNF9HG-2930 & Cisco SG350 und dahinter VLANs
Stärkere und schnellere Variante
- DrayTek Vigor 130 & MikroTik RB850Gx2, RB2011 oder RB3011 kann das aber auch alles.
Hat allerdings eine steilere Lernkurve mit vielen Funktionen aber bietet auch weniger Optionen wie die pfSense
Und dann entweder mit Siemens Gigaset DX600A oder DX800X oder gar nur dem Cisco Telefonadapter.
aufgeteilt ist, da kann man alles machen was Du möchtest und zwar in einem Rutsch und nicht mit extra und Spezial und drum herum
und wieder anders und nochmal selber gestrickt, und, und, und, und,....... Denn eines muss auch gleich ganz klar sein je mehr ab und an
dazu kommt wird es immer schwerer einen "normalen Weg" (strukturierte(s) Verkabelung und Netzwerk) zu gehen und man wird dann
immer wider mehr oder weniger Probleme bekommen! Wenn ich eine 0815 Lösung für zu Hause sucht ist die AVM FB die erste Wahl,
aber wenn man Ports öffnen möchte und Server ins Internet stellen möchte passt es irgend wann nicht mehr richtig. Also ich würde
da stark drüber nachdenken das man sich einmal richtig Gedanken macht wie man das alles aufsetzt.
Gruß
Dobby
Danke für die Antwort, mir ist aber immer noch nicht klar, warum hinter der Firewall noch die Fritzbox soll. Nur für die Telefonie?
Nein muss sie nicht! Es gibt auch von Cisco Telefonadapter dazu! Dann funktioniert das auch mit einer pfSense und/oder einemMikroTik Router problemlos. Alternativ kann man auch ein ISDN/VOIP/FAX Geräte kaufen wie das Siemens Gigaset DX600A oder
DX800A, damit kann man dann auch alles realisieren wie Du es möchtest.
Wenn ich eine Firewall vorne hin setze, dann kann ich gleich in verschiedene Netze trennen.
Ist in Deinem Fall auch besser so denn wenn vorne die AVM FB verbaut wird und dort auch Server in eine DMZ sollendann ist es schon besser via Firewallregeln und/oder IDS das ganze zu beobachten, pfSense und Snort können das
gut, und noch besser wäre wenn Deine Server gar keinen direkten Kontakt zum Internet haben und da noch ein Proxy
dazwischen ist wie zum Beispiel Squid, und dann wäre das eben pfSense & Squid & Snort und pfBlockerNG & DNSBL!
Dann brauch ich die Fritzbox nur noch für Telefonie.
Nicht zwingend denk mal an den Cisco Telefon Adapter oder gar das Siemens DX600A/DX800A.Dann müsste man für das WLAN eben so nen TP-Link Router kaufen und diesen als AP betreiben...
Kann man auch machen nur muss man es nicht! In der pfSense kann man auch eine WLAN Karte installieren!Oder aber man kauft ein paar kleinere MikroTik mAPs oder mAP lights dazu! Da geht mehr als man denkt.
Links ist ein Kamerazeichen zum Bildereinfügen und das sollte hier benutzt werden!
Nur mit dem Unterschied, das die grüne Zone bei mir das Geschäftslan ist und die Rote Zone das Hausnetz, ich bräuchte
es genau anders rum, bzw. das man von der "grünen Zone" nicht auf die "rote Zone" (DMZ) kommt.
(Also: 192.168.11.1 == Fritzbox && 192.168.77.1 == MikroTik)
Aufgrund der Internetkonnektivität Deiner Server würde ich folgendes vorschlagen wollen;es genau anders rum, bzw. das man von der "grünen Zone" nicht auf die "rote Zone" (DMZ) kommt.
(Also: 192.168.11.1 == Fritzbox && 192.168.77.1 == MikroTik)
- DrayTek Vigor 130 & pfSense auf APU2C4 & Cisco SG220 und dahinter VLANs
Ist die einfachere Variante aber nicht so stark und schnell
- DrayTek Vigor 130 & pfSense auf JetwayNF9HG-2930 & Cisco SG350 und dahinter VLANs
Stärkere und schnellere Variante
- DrayTek Vigor 130 & MikroTik RB850Gx2, RB2011 oder RB3011 kann das aber auch alles.
Hat allerdings eine steilere Lernkurve mit vielen Funktionen aber bietet auch weniger Optionen wie die pfSense
Und dann entweder mit Siemens Gigaset DX600A oder DX800X oder gar nur dem Cisco Telefonadapter.
Wäre das nicht auch möglich?
Du machst es Dir unnötig kompliziert! Nimm eine pfSense und dann setz dort eine DMZ auf und dahinter ein LAN was in VLANsaufgeteilt ist, da kann man alles machen was Du möchtest und zwar in einem Rutsch und nicht mit extra und Spezial und drum herum
und wieder anders und nochmal selber gestrickt, und, und, und, und,....... Denn eines muss auch gleich ganz klar sein je mehr ab und an
dazu kommt wird es immer schwerer einen "normalen Weg" (strukturierte(s) Verkabelung und Netzwerk) zu gehen und man wird dann
immer wider mehr oder weniger Probleme bekommen! Wenn ich eine 0815 Lösung für zu Hause sucht ist die AVM FB die erste Wahl,
aber wenn man Ports öffnen möchte und Server ins Internet stellen möchte passt es irgend wann nicht mehr richtig. Also ich würde
da stark drüber nachdenken das man sich einmal richtig Gedanken macht wie man das alles aufsetzt.
Gruß
Dobby
