bvbspezi
Goto Top

DMZ mit Speedport - Asus Router

Hallo Kollegen,
versuche seit Tagen, mit meinen 2 Routern eine DMZ zu konfigurieren, bislang ohne Erfolg.
Habe die 2. Alternative von acqui dazu mehrmals studiert und auch der Heisse Artikel hängt bei mir über dem Bett !.
Ich meine alle wichtigen Einzelheiten, die in den beiden Beschreibungen angesprochen wurden, bedacht zu haben. Jedenfalls bekommen meine LAN-Clients keine Verbindung ins Internet, obwohl ihr Router eine diesbezügliche Verbindung hält.

Lange Rede kurzer Sinn - anbei meine Konfig - vielleicht habe ich ja doch was elementares übersehen und würde mich über einen Tip, das Problem zu lösen, freuen:

f0bd24f7829c6c6b8942de1499a0941f

Mit freundlichen Grüßen
BVBSpezi

Content-ID: 253688

Url: https://administrator.de/contentid/253688

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

aqui
aqui 03.11.2014 aktualisiert um 20:43:40 Uhr
Goto Top
Erstmal vorab als Klarstellung: Der Tutorial Author heisst aqui und der ct Verlag ist der Heise Verlag. Mit heissen Würstchen hat der nix zu tun face-wink
So sieht das erstmal alles gut aus....
Einige Dinge sind unklar:
  • Am SpeedPort steht "WAN IP ..." das müsste Unsinn sein, denn am WAN Port ist ja das Internet mit einer öffentlichen IP. Vermutlich meinst du hier also LAN IP denn das ist die Adresse des loaklen LAN am SP, richtig ?
  • Der Knackpunkt ist vermutlich der WAN Port des Asus: Du schreibst hier Statische WAN IP was soweit korrekt ist aber weiter unten dann DHCP on ?? Das geht so niemals denn du kannst entweder nur statische IP Adresse nutzen aber kein DHCP dann niemals aber beides. Klar.
Was aber viel wichtiger ist WO ist hier die Angabe des Default Gateways auf der WAN Port Konfig ???
Wenn du bei einem Router eine statische WAN Port IP Konfiguration machst wird im Setup Menü immer nach einer Gateway IP gefragt und auch nach einem DNS.
Beide IP Adressen zeigen auf den SP davor also hier muss unbedingt 192.168.2.1 eingetragen werden !! Ist das geschehen ?
Bei dir ist das auf dem LAN Interface konfiguriert worden und das wäre syntaktisch vollkommen falsch. Diese Dinge gehären auf den WAN Port !

Sollte das dennoch nicht klappen kannst du testweise mal den DHCP Server auf dem SP wieder aktivieren und am WAN Port des ASUS auf Dynamic also DHCP gehen.
Dann bekommt der ASUS seine WAN IP, Gateway- und DNS Adresse dynmaisch vom SP via DHCP.
Das müsste in jedem Falle klappen. Tut es das bestätigt das deine falsche Konfiguration von WAN Port Gateway und DNS auf dem LAN Port ind der statischen Konfig.

In jedem Falle solltest du eine statische Konfig vorziehen, denn wenn du mit Port Forwarding arbeiten solltest auf dem SP ist das immer die sinnvollere Variante.

Zum Thema ASUS solltest du das hier lesen:
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
http://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlre ...
ASUS ist da berühmt berüchtigt: Also hier drauf achten die aktuelle Firmware zu verwenden.
Noch besser: Den Router (wenn supportet) mit einer freien Firmware wie z.B. DD-WRT flashen.
http://www.dd-wrt.com/site/support/router-database
KellogsFR
KellogsFR 03.11.2014 um 21:22:49 Uhr
Goto Top
Also, mir ist jetzt nicht ganz klar, wo du deine DMZ haben willst, aber eins nach dem anderen:

Der Asus hat die IP 192.168.2.254, der SP die 192.168.2.1. So wie es aussieht, haben deine Clients ein Default GW auf die 192.168.2.1.

Frage: Ist der Asus als Router konfiguriert oder einfach nur als Switch? Wenn das Teil als Switch reagiert, dann sollte der Anschluss des SP nicht links im Bild sein, sondern unten. Ist das Teil ein Router, dann sollte der SP in einem anderen Netzwerk hängen, z.B. 192.168.3.xxx. Beispielsweise so: SP: 192.168.3.1 und Asus 192.168.3.2. Hängen beide im gleichen Netzwerk, kannst du auch einen doofen Switch einsetzten und dir den Asus sparen. (ich geh mal davon aus, dann du eine FW im Asus hast und dort die DMZ konfigurieren willst.)

Jetzt kannst du das GW auf die 192.168.2.254 sezten und der Asus muss dann ein GW 192.168.3.1 haben. Vermutlich weiss der Asus aber implizit, wo sein GW ist.

Für die DMZ brauchst du aber noch ein weiteres Netzwerk, beispielweise die 192.168.4.xxx.

Wenn die DMZ im Asus sein soll, musst du die Dienste z.B. http über Port 80 vom SP an den Asus weiterleiten un dim Asus dann in die DMZ umbiegen.

Denk einfach mal wie ein IP Paket, das rein oder raus will. Ein Ping ist da ne gute Hilfe.
Lochkartenstanzer
Lochkartenstanzer 03.11.2014 um 22:50:57 Uhr
Goto Top
Zitat von @BVBSPEZI:

Jedenfalls bekommen meine LAN-Clients keine Verbindung ins Internet, obwohl ihr Router eine diesbezügliche Verbindung hält.

  • Wie stelltst Du das fest?
  • Hast Du NAT im ASUS aktiv?
  • Was soll NAT-Passtrhough denn bewirken?

lks
aqui
aqui 04.11.2014 um 09:38:43 Uhr
Goto Top
@KellogsFR
Also, mir ist jetzt nicht ganz klar, wo du deine DMZ haben willst, aber eins nach dem anderen:
Dann solltest du dir dringest mal das Konzept: "DMZ des kleinen Mannes" durchlesen:
Kopplung von 2 Routern am DSL Port --> Alternative 2
bzw.
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Dann wird dir das vermutlich schnell klar !?!
Der Asus hat die IP 192.168.2.254, der SP die 192.168.2.1. So wie es aussieht, haben deine Clients ein Default GW auf die 192.168.2.1.
Nein, seine Clients sind am ASUS im lokalen LAN mit der IP 192.168.123.0 /24.
Das .2.0er Netz ist die pseudo DMZ zwischen den beiden Routern. Aus der DMZ kommt durch die Router Kaskade keiner in das .123.0er Netz. Das ist eben die DMZ des kleinen Mannes !
Frage: Ist der Asus als Router konfiguriert oder einfach nur als Switch?
Wenn du die "Alternative 2" im obigen Tutorial liest beantwortet das die Frage... Als Router natürlich !
Vermutlich weiss der Asus aber implizit, wo sein GW ist.
Nein, das kann er logischerweise NICHT implizit wissen mit einer statischen IP am WAN Port...wie auch ?
Das muss man ihm eben da auch statisch konfigurieren (und ist vermutlich genau der Fehler des TO !)
Ausnahme ist er setzt das WAN Interface in den DHCP Client Mode, dann holt der ASUS sich alles dynamisch vom davorgeschalteten SP sofern er den DHCP Server dort wieder aktiviert. Ist ja aber oben alles schon gesagt worden !
Für die DMZ brauchst du aber noch ein weiteres Netzwerk, beispielweise die 192.168.4.xxx.
Nein, Unsinn. Die DMZ ist ja das .2.0er Netz ! Siehe Tutorial oder Heise Artikel oben !
Abgesehen davon hat er gar keinen Port mehr an diesen Routern für ein weiteres IP Segment ! Außer natürlich er flasht DD-WRT oder OpenWRT auf den ASUS.
Wenn die DMZ im Asus sein soll, musst du die Dienste z.B. http über Port 80 vom SP an den Asus weiterleiten un dim Asus dann in die DMZ umbiegen.
Nein auch das ist falsch. Wie wir gelernt haben ist die DMZ das Netz zw. den Routern ! Das Port Forwarding passiert also auf dem vorgeschalteten SP Router.
Denk einfach mal wie ein IP Paket, das rein oder raus will.
Autsch....Eigentor !
BVBSPEZI
BVBSPEZI 04.11.2014 um 17:33:23 Uhr
Goto Top
Hi Kollegen,
sorry aqui für den Schreibfehler in Deinem alias - habe Deine und Kellogs Anmerkungen gestern Abend noch über Handy gelesen und war vollkommen verwirrt, da Eure Erklärungen sich teilweise widersprachen bzw. von einem 3. Netz in der DMZ-Variante von aqui nie die Rede war. Habe mir das jetzt nochmals in Ruhe auf dem großen Monitor durchgelesen und auch aqui's Anmerkungen zu Kellogs Kommentar.
Also zur Klarstellung:
Klar ist, sich DHCP und Statische IP's widersprechen ( obwohl im DHCP über Reservierungen feste IP's an MAC's schon festgenagelt werden können und damit dem Zugriff des DHCP entzogen werden können face-smile ).
Im WAN-Teil auf dem ASUS ( als Router konfiguriert - auch klar ) ist die statische IP-Adresse eingestellt ( selbes Netz wie SP ), DHCP im ASUS ist für das Client LAN 192.168.123 .... - soweit auch klar.
Als WAN-Gateway im ASUS ist der SP selbst eingetragen - also 192.168.2.1 - funktioniert ja auch, da ping, traceroute, nslookup auf Internet-Adressen auch funktionieren. Das Einzige was nicht funktioniert ist eben, daß die Clients im 123er-Subnet-LAN keine Internetverbindung bekommen. Also kann es doch nur am Gateway der LAN-Konfiguration liegen oder ? Da das Default Gateway im 123er-Subnet die .123.1 gar nicht funktioniert stellt sich mir hier die Frage, welches Gateway konfiguriert werden muß ( wie komme ich als Paket aus dem 123er Subnet in das 2er-Subnet von ASUS und SP ?). Das muß doch dann über statische Routen im ASUS gehen um ihm klar zu machen wie er vom 123er-Subnet ins 2er-Subnet routen soll oder - im SP geht mit statischen Routen gar Nichts - in diesem Zusammenhang hatte ich dann die NAT-Aktivierung im ASUS als 2. Weg gelesen ?
Bin ich dan jetzt komplett auf dem Holzweg oder ist noch Hoffnung das geregelt zu bekommen ?
In diesem Sinne danke schon Mal für etwaige weitere Hilfestellungen.
Sveny79
Sveny79 05.11.2014 um 11:26:28 Uhr
Goto Top
Hallo BVBSPEZI,

warum gibst du dem ASUS Router nicht einfach die 192.168.123.1 als IP und schließt den SpeedPort am WAN Port des Asus Routers an? So hast du deine DMZ (192.168.2.x) und dein "Heimnetz" 192.168.123.x. Im Asus Router verweißt du dann auf die 192.168.2.1 als statische IP am WAN Port oder du aktivierst den DHCP Server im Speedport und könntest so auch mit anderen Geräten ins Internet gehen, die aber keinen Zugriff in dein Heimnetz haben sollen. Dann kannst du den WAN Port auch auf dynamische IP konfigurieren.

Gruß Sven
aqui
aqui 05.11.2014 um 18:48:03 Uhr
Goto Top
obwohl im DHCP über Reservierungen feste IP's an MAC's schon festgenagelt werden können und damit dem Zugriff des DHCP entzogen werden können
Klar, mit dem "Trick" gehts dann auch mit DHCP und sollte auch die Option sein wenn deine statische Konfig scheitert !
Das Einzige was nicht funktioniert ist eben, daß die Clients im 123er-Subnet-LAN keine Internetverbindung bekommen
Kannst du eine nackte IP wie z.B. 8.8.8.8 oder 193.99.144.85 (heise.de) anpingen ?
Da das Default Gateway im 123er-Subnet die .123.1 gar nicht funktioniert stellt sich mir hier die Frage, welches Gateway konfiguriert werden muß
Kein anderes. Das next Hop Gateway der Clients MUSS ja immer im gleichen IP Netzwerk liegen. Folglich kann man dem Client ja auch nur die .123.1 angeben, was ja die IP des ASUS Routers im loklaen LAN am ASUS ist. Das ist also genau richtig !
So oder so bekommt der Client dieses Gateway ja auch per DHCP vom ASUS.
Was für ein Gateway würdest du denn sonst am Client eintragen ?? Der hat ja sonst gar keins mehr im .123.0 /24er Segment ?!?
SP wäre ja totaler Blödsinn, denn das liegt in einem IP netz und dafür bräuchte der .123.x Client ja wieder...na was wohl ...?? Ja ! Ein Gateway ! um in dieses Netz zu kommen ! Oder wie hattest du dir das gedacht ?
Das muß doch dann über statische Routen im ASUS gehen um ihm klar zu machen wie er vom 123er-Subnet ins 2er-Subnet routen soll
Vergiss den Blödsinn !! Das .2.0er Netz und auch das .123.0er IP Netz sind doch direkt physisch am ASUS angeschlossen. Folglich "kennt" also der ASUS diese Netze direkt ! Was sollten da dann statische Routen noch für einen tieferen Sinn haben... Schnell vergessen den Unsinn... !
Wenn überhaupt braucht der eine Default Route wohin er alles schicken soll was NICHT .2.0 oder .123.0 ist. Das hast du ja gemacht und das ist der SP also die .2.1 !
in diesem Zusammenhang hatte ich dann die NAT-Aktivierung im ASUS als 2. Weg gelesen ?
Aha....da kommen wir dem Problem schon etwas näher !! Wenn du NAT deaktivieren kannst im ASUS ist das ein Fehler, denn dann tauchen die Clients mit ihren .123.x IP Adressen ohne NAT am SP auf. Der ist aber doof und kann nur IPs aus dem .2.0er Netz, also seinem lokeln LAN hier NATten !
Folglich MUSS also zwingend NAT aktiviert sein am ASUS Router damit das .123.0er Netz komplett auf seine .2.254er IP am WAN Port geNATtet wird.
So "sieht" der doofe SP dann das komplette .123.0er IP Netz als lokale .2.254er IP Adresse und NATet es dann problemlos.
Achte also zwingend darauf das NAT am ASUS aktiv ist !!!

@Sveny79
warum gibst du dem ASUS Router nicht einfach die 192.168.123.1 als IP und schließt den SpeedPort am WAN Port des Asus Routers an?
Lese oben den Thread und sieh aufs Bild...genau so hat er es ja gemacht ! Eine Router Kaskade...
Im Asus Router verweißt du dann auf die 192.168.2.1 als statische IP am WAN Port
Geht nicht, denn der SP nimmt sich ja wie jeder weiss der SP geschädigt ist, selber schon die .2.1 am LAN Port, deshalb hat Kollege BVBSPEZI ja auch richtigerweise die .2.254 genommen !
Fazit: Er hat alles so gemacht wie du es eigentlich überflüffigerweise beschrieben hast und auch hier_im_Tutorial in der Alternative 2 beschrieben ist.
Viel schlauer sind wir nun auch nicht face-sad
mrmomba
mrmomba 06.11.2014 um 17:45:00 Uhr
Goto Top
Versuch nur mal Testweise:
DHCP beim Speedport ON für LAN
ASUS evtl. Reset (Wer weiß wo man noch ein "Haken" gesetzt hatte)
DHCP & LAN beim ASUS ON für WAN
DHCP beim ASUS ON für LAN

Wenn du keine Portweiterleitung von Speedport an Asus machst, weil da kein Server steht bräuchte im Prinzip der ASUS keine feste IP.
(Dem Speedport ist's egal von und wo hin er schickt)

Wenn du dann Glück hast kannst du dir die Konfig vom Asus anschauen und bist eigentlich fertig, Wenn du die abspeichern kannst. Als "Statisch"
aqui
aqui 07.11.2014 aktualisiert um 09:14:16 Uhr
Goto Top
DHCP & LAN beim ASUS ON für WAN
Das ist schlicht FALSCH !!!
Achtung: Niemals darf der ASUS DHCP Server auf dem WAN Port machen, denn dann "beharken" sich die DHCP Server von beiden Routern und es kommt zum Adress Chaos !

Richtig ist hier nur das der WAN Port des ASUS im DHCP Client Modus laufen muss. Sprich er holt sich vom SP LAN Port mit dem er verbunden ist eine IP Adresse !
Vermutlich meinte mrmomba das aber auch so ?!
mrmomba
mrmomba 07.11.2014 um 12:24:13 Uhr
Goto Top
Hallo.

Jep so meinte ich das. Hätte ich deutlicher schreiben sollen.
Was bewirkt den die Funktion virtuelles DMZ auf dem Asus? Kann man damit ein Port auf den Gerät als ein "anderes" Netz behandeln? (Also Switch an den Port und DMZ "aufgebaut")
Oder wird da alles auf ein HOST durch gereicht? Quasi wie eine Portfreigabe von allen Ports auf das Gerät was angegeben wurde (widerlich)

Vielleicht eine bessere Lösung für eine DMZ ohne zwei Geräte zu nutzen?
- das setzt voraus, dass der Speedport weichen darf/kann, sofern man die in von AQUI verlinkten Sicherheitslücken bedenkt. DD-WRT ist lt. deren Liste nicht möglich.
aqui
aqui 07.11.2014 um 16:00:22 Uhr
Goto Top
Das hat nix mit DMZ zu tun. Was dort gemacht wird ist das ALLE Ports die nicht für ein dediziertes Port Forwarding eingetragen sind an die IP Adresse die bei der "virtuellen DMZ" konfiguriert ist geforwardet werden.
Quasi exponiert man also das Endgerät mit dieser IP direkt im Internet !!
Dadurch das solche Billigrouter dafür kein geschütztes Segment haben und diese Endgeräte IP im lokalen Netz hängt macht man so also sein gesamtes lokales Netz auf. Ein Festmahl und eine fürstliche Einladung für Hacker und Co.
Ein absolutes NoGo sowas !! Genau wie UPnP auf dem Router. Nicht mal dran denken an sowas !

Eine richtige DMZ macht man nur mit sowas:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und einem separaten 3ten Segment wie es hier skizziert ist in der ersten Grafik nach der Überschrift:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
BVBSPEZI
BVBSPEZI 07.11.2014 um 17:55:29 Uhr
Goto Top
Hallo, sorry war einige Tage dienstlich verhindert, danke Für Eure Tips.
Update: NAT ist an ( war schon an )
WAN: Umgestellt: SP DHCP On
ASUS Autom. IP
ASUS Reset
LAN ASUS DHCP On

Hat nix gebracht, ASUS kann Alles anpingen, traceroute,netstat - Alles Ok
Clients im .123 weiterhin keine Verbindung ins Internet:
Habe zufällig mal versucht, als 123-Client mein Default-Gateway 123.1 anzupingen
Zu meinem Erstaunen kann er das nicht ( erklärt dann auch die fehlende connections ins Internet!)
im Gegensatz dazu kann er aber das Default WAN Gateway 192.68.2.1 anpingen ?
Verstehe ich jetzt auf Anhieb auch nicht, da in der LAN-Konfig .123.1 gesetzt ist
Sorry muß wieder weg,
Ciao Bis Bald
aqui
aqui 07.11.2014 um 20:08:54 Uhr
Goto Top
Habe zufällig mal versucht, als 123-Client mein Default-Gateway 123.1 anzupingen
Da ist doch irgendwas oberfaul am LAN Port mit der ASUS Gurke !!!
Wenn die keinen Hardware Defekt hat mach dort unbedingt mal einen Factory Default RESET !!
Und dann startest du nochmal neu.
Wenn das auch nicht hilft schmeiss das Ding bloss wech und kauf dir für 30 Euro einen Mikrotik 750...der kann das wenigstens und noch zig andere Sachen mehr !!!
Sicherer als ASUS ist der allemal.
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...