4
DMZ für kleines LAN
Hallo,
da ich wegen OpenVPN einen zweiten Router (Asus RT-N16 mit DD-WRT) gekauft habe, würde ich den Alten Netgear ProSafe (mit eigenem Firmware) für DMZ benutzen.
mein Netzwerk sieht also so aus
INET--> Modem --> OpenVPN-Router (10.1.1.0) --> LAN (192.168.0.1.)
--> DMZ (10.2.1.0)
Was befindet sich im LAN: 2 x Synology NAS (Datenbackup und Mailserver) bzw. 4 PCs (nur als Workgroup)
Rein theoretisch müsste die Maildienst in DMZ und die zu schützenden Daten bzw. E-Mails im LAN stehen.
Da die Mailserver-GUI der Synology diese Trennung nicht anbietet wäre es rein technisch nur möglich eine NAS nur als Mailserver bzw. als Backup-Speicher der Benutzerdaten im DMZ zu benutzen. Die Benutzerdaten selbst würden sich also auf dem NAS (im LAN) befinden. Die Syncronisierung der Daten auf den Backup-NAS wäre nur in eine Richtung möglich. (ist es ein ausreichender Schutz???)
Ports:
aus dem LAN ins Internet wären alle Ports offen.
aus dem Internet wären also nur Ports 1194 (--> LAN) bzw. die für den Mailserver notwendigen (25, 143, 993, 995 usw --> DMZ) offen.
aus dem DMZ ins LAN wäre kein Port offen.
Was meint ihr? Ergibt es so Sinn? Welche Netzstruktur wäre hier die beste wenn ich mehr Geld nicht ausgeben möchte?
Danke für die Hilfe.
Gr. I.
da ich wegen OpenVPN einen zweiten Router (Asus RT-N16 mit DD-WRT) gekauft habe, würde ich den Alten Netgear ProSafe (mit eigenem Firmware) für DMZ benutzen.
mein Netzwerk sieht also so aus
INET--> Modem --> OpenVPN-Router (10.1.1.0) --> LAN (192.168.0.1.)
--> DMZ (10.2.1.0)
Was befindet sich im LAN: 2 x Synology NAS (Datenbackup und Mailserver) bzw. 4 PCs (nur als Workgroup)
Rein theoretisch müsste die Maildienst in DMZ und die zu schützenden Daten bzw. E-Mails im LAN stehen.
Da die Mailserver-GUI der Synology diese Trennung nicht anbietet wäre es rein technisch nur möglich eine NAS nur als Mailserver bzw. als Backup-Speicher der Benutzerdaten im DMZ zu benutzen. Die Benutzerdaten selbst würden sich also auf dem NAS (im LAN) befinden. Die Syncronisierung der Daten auf den Backup-NAS wäre nur in eine Richtung möglich. (ist es ein ausreichender Schutz???)
Ports:
aus dem LAN ins Internet wären alle Ports offen.
aus dem Internet wären also nur Ports 1194 (--> LAN) bzw. die für den Mailserver notwendigen (25, 143, 993, 995 usw --> DMZ) offen.
aus dem DMZ ins LAN wäre kein Port offen.
Was meint ihr? Ergibt es so Sinn? Welche Netzstruktur wäre hier die beste wenn ich mehr Geld nicht ausgeben möchte?
Danke für die Hilfe.
Gr. I.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174796
Url: https://administrator.de/forum/dmz-fuer-kleines-lan-174796.html
Ausgedruckt am: 24.04.2025 um 02:04 Uhr
4 Kommentare
Neuester Kommentar
Das ist keine wirkliche DMZ...nichtmal ne halbe. Du musst alle Daten der "DMZ" über dein LAN schleifen. Eine wirkliche Trennung wie in eier DMZ findet also nicht statt. Das ist erher fromme Bastelei zur Gewissenberuhigung..mehr nicht !
Für eine wirkliche DMZ benötigst du besser ein 3tes Interface:
Asus RT-N16 Ergibt pfSense neben DD-WRT Sinn?
Für eine wirkliche DMZ benötigst du besser ein 3tes Interface:
Asus RT-N16 Ergibt pfSense neben DD-WRT Sinn?
Danke Aqui,
ich habe mir dieses Gerät angeschaut:
http://shop.varia-store.com/product_info.php?info=p886_pfSense-ready-sy ...
Scheint OK zu sein.
Ist sonst meine Konzeption für DMZ richtig?:
- NAS für Mailserver und Datenbackup in DMZ und
- NAS für den primären Datenspeicher ins LAN.
Datenbackup brauche ich leider, weil beide NAS ziemlich klein sind, nur mit einer Platte. Das Risiko, was dadurch ensteht, dass Backup-Daten im DMZ sind, nehme ich in Kauf.
Gr. I.
ich habe mir dieses Gerät angeschaut:
http://shop.varia-store.com/product_info.php?info=p886_pfSense-ready-sy ...
Scheint OK zu sein.
Ist sonst meine Konzeption für DMZ richtig?:
- NAS für Mailserver und Datenbackup in DMZ und
- NAS für den primären Datenspeicher ins LAN.
Datenbackup brauche ich leider, weil beide NAS ziemlich klein sind, nur mit einer Platte. Das Risiko, was dadurch ensteht, dass Backup-Daten im DMZ sind, nehme ich in Kauf.
Gr. I.
Soviel Geld musst du gar nicht ausgeben. Wenn du nicht gerade 2 linke Hände hast und mit einem Schraubendreher umgehen kannst dann ist dieses allemal ausreichend:
http://shop.varia-store.com/product_info.php?products_id=1224
Na ja den Datenbackup in eine DMZ auszulagern ist nicht gerade das gelbe vom Ei aus Sicherheitsgründen. Aber wenn du das Risiko tragen kannst ist das ein gangbarer Weg. Viel andere sinnvolle Alternativen gibt es auch nicht !
Funktionieren tut so ein Konzept natürlich auch.
http://shop.varia-store.com/product_info.php?products_id=1224
Na ja den Datenbackup in eine DMZ auszulagern ist nicht gerade das gelbe vom Ei aus Sicherheitsgründen. Aber wenn du das Risiko tragen kannst ist das ein gangbarer Weg. Viel andere sinnvolle Alternativen gibt es auch nicht !
Funktionieren tut so ein Konzept natürlich auch.
Ok. Danke sehr.
Habe den Alix-Board bei Amazon bestellt.
Gr. I.
Habe den Alix-Board bei Amazon bestellt.
Gr. I.
