7
DMZ weiter absichern - Weiterleitung für VPN Teilnehmer
Hallo alles zusammen.
Ich habe mir ein eigenes DMZ für meine NAS aufgebaut. Möchte es jetzt aber noch weiter absichern, bin mir aber bei der Weiterleitung zur NAS unsicher.
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher ob ich alles beachtet habe und mich nicht in einer trügerischen Sicherheit befinde.
Folgende Konstellation habe ich.
Eine Fritzbox (192.168.100.1) die im Internet hängt.
An dieser Fritzbox befindet sich ein ASUS Router (192.168.1.1, WAN IP 192.168.100.20). An dem ASUS Router ist mein weiteres Netzwerk. Also PC, Handys usw.
Weiterhin ist an der Fritzbox meine NAS (192.168.100.2) angeschlossen und, per VPN, noch zwei weitere (externe) Fritzboxen.
Im Grunde will ich aus meinem privaten Netzwerk auf das NAS zugreifen und die beiden externen Fritz Boxen sollen auch drauf zugreifen können.
Bei den PCś hinter den externen Fritzboxen ist das NAS (bzw. nur bestimmte freigegebene Ordner), als Netzwerklaufwerk eingerichtet.
Stand jetzt funktioniert das auch alles so.
Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
Mir schwebt vor, daß ich in meiner FritzBox eine Weiterleitung einrichte, damit die externen FritzBoxen (und nur DIE!!) nur Zugriff auf das NAS haben.
Daher meine Fragen.
1. habe ich richtig überlegt?
2. wie richte ich in meiner FritzBox diese Weiterleitung ein
3. was kann ich noch verbessern, woran ich noch nicht gedacht habe?
Vielen Dank für eure Hilfe.
Gruß Helix
Ich habe mir ein eigenes DMZ für meine NAS aufgebaut. Möchte es jetzt aber noch weiter absichern, bin mir aber bei der Weiterleitung zur NAS unsicher.
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher ob ich alles beachtet habe und mich nicht in einer trügerischen Sicherheit befinde.
Folgende Konstellation habe ich.
Eine Fritzbox (192.168.100.1) die im Internet hängt.
An dieser Fritzbox befindet sich ein ASUS Router (192.168.1.1, WAN IP 192.168.100.20). An dem ASUS Router ist mein weiteres Netzwerk. Also PC, Handys usw.
Weiterhin ist an der Fritzbox meine NAS (192.168.100.2) angeschlossen und, per VPN, noch zwei weitere (externe) Fritzboxen.
Im Grunde will ich aus meinem privaten Netzwerk auf das NAS zugreifen und die beiden externen Fritz Boxen sollen auch drauf zugreifen können.
Bei den PCś hinter den externen Fritzboxen ist das NAS (bzw. nur bestimmte freigegebene Ordner), als Netzwerklaufwerk eingerichtet.
Stand jetzt funktioniert das auch alles so.
Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
Mir schwebt vor, daß ich in meiner FritzBox eine Weiterleitung einrichte, damit die externen FritzBoxen (und nur DIE!!) nur Zugriff auf das NAS haben.
Daher meine Fragen.
1. habe ich richtig überlegt?
2. wie richte ich in meiner FritzBox diese Weiterleitung ein
3. was kann ich noch verbessern, woran ich noch nicht gedacht habe?
Vielen Dank für eure Hilfe.
Gruß Helix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 390900
Url: https://administrator.de/contentid/390900
Printed on: April 19, 2024 at 13:04 o'clock
7 Comments
Latest comment
Hallo,
mach es einfacher und erstell einfach auf der Fritzbox entsprechende Firewall Regeln. Müsste über die .cfg Funktionieren. Ob man das auch inzwischen über die Weboberfläche machen kann, kann ich dir aktuell leider nicht sagen.
Edit:
Auf dieses Netz sollte kein Zugriff möglich sein bzw. keine Rückmeldung möglich, da per default nur das interne Fritzbox Netz auf den VPN zugreifen darf.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Viele Grüße,
Exception
mach es einfacher und erstell einfach auf der Fritzbox entsprechende Firewall Regeln. Müsste über die .cfg Funktionieren. Ob man das auch inzwischen über die Weboberfläche machen kann, kann ich dir aktuell leider nicht sagen.
Edit:
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
Auf dieses Netz sollte kein Zugriff möglich sein bzw. keine Rückmeldung möglich, da per default nur das interne Fritzbox Netz auf den VPN zugreifen darf.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Viele Grüße,
Exception
moin..
in einer DMZ etwas weiter abzusichern ist sinnfrei.... die kommunikation mit der DMZ muss geregelt sein!
Folgende Konstellation habe ich.
Eine Fritzbox (192.168.100.1) die im Internet hängt.
ok..
Im Grunde will ich aus meinem privaten Netzwerk auf das NAS zugreifen und die beiden externen Fritz Boxen sollen auch drauf zugreifen können.
kein problem...
Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
klar...
Daher meine Fragen.
1. habe ich richtig überlegt?
nein...
was du machen sollst, ist die VPN´s auf die IP des NAS beschränken....
ein MikroTik hEX würde da ausreichen... kostet etwa 40 euro oder so...
Vielen Dank für eure Hilfe.
Gruß Helix
Frank
Zitat von @Doppellhelix:
Hallo alles zusammen.
Ich habe mir ein eigenes DMZ für meine NAS aufgebaut. Möchte es jetzt aber noch weiter absichern, bin mir aber bei der Weiterleitung zur NAS unsicher.
mit fast jedem China Router kannst du eine DMZ nutzen, einfach nur einschalten...Hallo alles zusammen.
Ich habe mir ein eigenes DMZ für meine NAS aufgebaut. Möchte es jetzt aber noch weiter absichern, bin mir aber bei der Weiterleitung zur NAS unsicher.
in einer DMZ etwas weiter abzusichern ist sinnfrei.... die kommunikation mit der DMZ muss geregelt sein!
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher ob ich alles beachtet habe und mich nicht in einer trügerischen Sicherheit befinde.
ok...Folgende Konstellation habe ich.
Eine Fritzbox (192.168.100.1) die im Internet hängt.
An dieser Fritzbox befindet sich ein ASUS Router (192.168.1.1, WAN IP 192.168.100.20). An dem ASUS Router ist mein weiteres Netzwerk. Also PC, Handys usw.
Weiterhin ist an der Fritzbox meine NAS (192.168.100.2) angeschlossen und, per VPN, noch zwei weitere (externe) Fritzboxen.
warum die ganzen Router Kaskaden?Weiterhin ist an der Fritzbox meine NAS (192.168.100.2) angeschlossen und, per VPN, noch zwei weitere (externe) Fritzboxen.
Im Grunde will ich aus meinem privaten Netzwerk auf das NAS zugreifen und die beiden externen Fritz Boxen sollen auch drauf zugreifen können.
Bei den PCś hinter den externen Fritzboxen ist das NAS (bzw. nur bestimmte freigegebene Ordner), als Netzwerklaufwerk eingerichtet.
Stand jetzt funktioniert das auch alles so.
oha...Stand jetzt funktioniert das auch alles so.
Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
wenn du es erlaubt hast, ja...Mir schwebt vor, daß ich in meiner FritzBox eine Weiterleitung einrichte, damit die externen FritzBoxen (und nur DIE!!) nur Zugriff auf das NAS haben.
wozu?Daher meine Fragen.
1. habe ich richtig überlegt?
2. wie richte ich in meiner FritzBox diese Weiterleitung ein
garnicht...was du machen sollst, ist die VPN´s auf die IP des NAS beschränken....
3. was kann ich noch verbessern, woran ich noch nicht gedacht habe?
einen ordentlichen router kaufen... den ein Router reicht!ein MikroTik hEX würde da ausreichen... kostet etwa 40 euro oder so...
Vielen Dank für eure Hilfe.
Gruß Helix
Zitat von @129580:
Edit:
Auf dieses Netz sollte kein Zugriff möglich sein bzw. keine Rückmeldung möglich, da per default nur das interne Fritzbox Netz auf den VPN zugreifen darf.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Viele Grüße,
Exception
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
Auf dieses Netz sollte kein Zugriff möglich sein bzw. keine Rückmeldung möglich, da per default nur das interne Fritzbox Netz auf den VPN zugreifen darf.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Viele Grüße,
Exception
Du hast natürlich vollkommen Recht.
Mein Fehler.
Ich meinte den Adressbereich 192.168.100.x
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher
Keine gute Voraussetzung und leider merkt man das auch deutlich an deiner gruseligen Bastellösung oben ! 
An dieser Fritzbox befindet sich ein ASUS Router
Dann hast du also eine "Pseudo" DMZ ! Das ist keine richtige DMZ die sicher ist sondern eine Bastel DMZ oder "DMZ des kleinen Mannes" wie sie auch genannt wird. Siehe hier:Kopplung von 2 Routern am DSL Port
Sowas ist NICHT sicher und keine DMZ im engsten Sinne !
In so einer Kaskade muss dein privater Traffic immer über die DMZ. Eindringlinge hätten so immer Zugriff auf deine Daten. Sowas kann man wahrlich nicht "sicher" nennen. Vergiss das also besser und mache es gleich richtig !
Eine DMZ baut man immer nur in Verbindung mit einer Firewall auf, die ein separates DMZ Segment mit entsprechenden Regeln hat: Siehe auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Nur DAS ist eine DMZ die den Namen auch verdient.
Dein grundsätzlicher Fehler liegt also schon gleich im Netzwerk Design selber bzw. an der falschen Hardware. Das wird so niemals sicher.
Deshalb: Wenn du dir schon zu Recht Gedanken um deine wirkliche Sicherheit in einer DMZ machst, dann mache es wenigstens gleich richtig von Anfang an !!
Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
Ja das kann man natürlich.Indem du die o.a. kleine Firewall mit stateful Regeln dazu verwendest. Das Tutorial beschreibt es dir ganz genau !
Das IPsec VPN der externen FritzBoxen terminierst du dann auf der Firewall selber:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und fertig ist der Lack !
Minimal aber mit einem Mehrport Router der eine Firewall hat um das DMZ Segment sauber zu trennen.
Ein kleiner 50 Euro Mikrotik_hex ist dort allemal besser und sinnvoller als die gruselige ASUS Gurke.
Diese 2 Optionen sind wasserdicht, eine wirkliche DMZ und eine saubere Lösung !
Was du da machst ist unsicherere Bastel Frickelei mit billigen Plaste Consumer Geräten.
Diese gruslige Bastellösung habe ich aus diesem Artikel:
https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html
https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html
Zitat von @Doppellhelix:
Diese gruslige Bastellösung habe ich aus diesem Artikel:
https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html
Diese gruslige Bastellösung habe ich aus diesem Artikel:
https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html
das macht es nicht besser
Frank
Heise sagt ja auch des es eine "gruslige Bastellösung" ist und rät von einem produktiven Einsatz ab ! 
Wie gesagt mit einem simnplen 35 Euro Firewall Router kann man sowas wasserdicht und anständig lösen....
Wie gesagt mit einem simnplen 35 Euro Firewall Router kann man sowas wasserdicht und anständig lösen....
