doppellhelix
Goto Top

DMZ weiter absichern - Weiterleitung für VPN Teilnehmer

Hallo alles zusammen.

Ich habe mir ein eigenes DMZ für meine NAS aufgebaut. Möchte es jetzt aber noch weiter absichern, bin mir aber bei der Weiterleitung zur NAS unsicher.
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher ob ich alles beachtet habe und mich nicht in einer trügerischen Sicherheit befinde.

Folgende Konstellation habe ich.

Eine Fritzbox (192.168.100.1) die im Internet hängt.
An dieser Fritzbox befindet sich ein ASUS Router (192.168.1.1, WAN IP 192.168.100.20). An dem ASUS Router ist mein weiteres Netzwerk. Also PC, Handys usw.
Weiterhin ist an der Fritzbox meine NAS (192.168.100.2) angeschlossen und, per VPN, noch zwei weitere (externe) Fritzboxen.

Im Grunde will ich aus meinem privaten Netzwerk auf das NAS zugreifen und die beiden externen Fritz Boxen sollen auch drauf zugreifen können.
Bei den PCś hinter den externen Fritzboxen ist das NAS (bzw. nur bestimmte freigegebene Ordner), als Netzwerklaufwerk eingerichtet.
Stand jetzt funktioniert das auch alles so.

Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
Mir schwebt vor, daß ich in meiner FritzBox eine Weiterleitung einrichte, damit die externen FritzBoxen (und nur DIE!!) nur Zugriff auf das NAS haben.

Daher meine Fragen.
1. habe ich richtig überlegt? face-smile
2. wie richte ich in meiner FritzBox diese Weiterleitung ein
3. was kann ich noch verbessern, woran ich noch nicht gedacht habe?

Vielen Dank für eure Hilfe.

Gruß Helix

Content-ID: 390900

Url: https://administrator.de/forum/dmz-weiter-absichern-weiterleitung-fuer-vpn-teilnehmer-390900.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

129580
Lösung 129580 27.10.2018 aktualisiert um 10:37:47 Uhr
Goto Top
Hallo,

mach es einfacher und erstell einfach auf der Fritzbox entsprechende Firewall Regeln. Müsste über die .cfg Funktionieren. Ob man das auch inzwischen über die Weboberfläche machen kann, kann ich dir aktuell leider nicht sagen.

Edit:
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.

Auf dieses Netz sollte kein Zugriff möglich sein bzw. keine Rückmeldung möglich, da per default nur das interne Fritzbox Netz auf den VPN zugreifen darf.

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...

Viele Grüße,
Exception
Vision2015
Lösung Vision2015 27.10.2018 um 10:40:54 Uhr
Goto Top
moin..
Zitat von @Doppellhelix:

Hallo alles zusammen.

Ich habe mir ein eigenes DMZ für meine NAS aufgebaut. Möchte es jetzt aber noch weiter absichern, bin mir aber bei der Weiterleitung zur NAS unsicher.
mit fast jedem China Router kannst du eine DMZ nutzen, einfach nur einschalten...
in einer DMZ etwas weiter abzusichern ist sinnfrei.... die kommunikation mit der DMZ muss geregelt sein!
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher ob ich alles beachtet habe und mich nicht in einer trügerischen Sicherheit befinde.
ok...

Folgende Konstellation habe ich.

Eine Fritzbox (192.168.100.1) die im Internet hängt.
ok..
An dieser Fritzbox befindet sich ein ASUS Router (192.168.1.1, WAN IP 192.168.100.20). An dem ASUS Router ist mein weiteres Netzwerk. Also PC, Handys usw.
Weiterhin ist an der Fritzbox meine NAS (192.168.100.2) angeschlossen und, per VPN, noch zwei weitere (externe) Fritzboxen.
warum die ganzen Router Kaskaden?

Im Grunde will ich aus meinem privaten Netzwerk auf das NAS zugreifen und die beiden externen Fritz Boxen sollen auch drauf zugreifen können.
kein problem...

Bei den PCś hinter den externen Fritzboxen ist das NAS (bzw. nur bestimmte freigegebene Ordner), als Netzwerklaufwerk eingerichtet.
Stand jetzt funktioniert das auch alles so.
oha...

Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
klar...
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.
wenn du es erlaubt hast, ja...
Mir schwebt vor, daß ich in meiner FritzBox eine Weiterleitung einrichte, damit die externen FritzBoxen (und nur DIE!!) nur Zugriff auf das NAS haben.
wozu?

Daher meine Fragen.
1. habe ich richtig überlegt? face-smile
nein...
2. wie richte ich in meiner FritzBox diese Weiterleitung ein
garnicht...
was du machen sollst, ist die VPN´s auf die IP des NAS beschränken....
3. was kann ich noch verbessern, woran ich noch nicht gedacht habe?
einen ordentlichen router kaufen... den ein Router reicht!
ein MikroTik hEX würde da ausreichen... kostet etwa 40 euro oder so...

Vielen Dank für eure Hilfe.

Gruß Helix
Frank
Doppellhelix
Doppellhelix 27.10.2018 um 10:46:37 Uhr
Goto Top
Zitat von @129580:

Edit:
Für mein Verständnis. können die beiden externen Fritzboxen momentan ja auf den kompletten Adressbereich (192.168.1.x) zugreifen.

Auf dieses Netz sollte kein Zugriff möglich sein bzw. keine Rückmeldung möglich, da per default nur das interne Fritzbox Netz auf den VPN zugreifen darf.

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...

Viele Grüße,
Exception

Du hast natürlich vollkommen Recht.
Mein Fehler.
Ich meinte den Adressbereich 192.168.100.x
aqui
Lösung aqui 27.10.2018 aktualisiert um 14:45:36 Uhr
Goto Top
Da ich nur rudimentäre Netzwerkkenntnisse habe, bin ich oftmals unsicher
Keine gute Voraussetzung und leider merkt man das auch deutlich an deiner gruseligen Bastellösung oben ! face-sad
An dieser Fritzbox befindet sich ein ASUS Router
Dann hast du also eine "Pseudo" DMZ ! Das ist keine richtige DMZ die sicher ist sondern eine Bastel DMZ oder "DMZ des kleinen Mannes" wie sie auch genannt wird. Siehe hier:
Kopplung von 2 Routern am DSL Port
Sowas ist NICHT sicher und keine DMZ im engsten Sinne !
In so einer Kaskade muss dein privater Traffic immer über die DMZ. Eindringlinge hätten so immer Zugriff auf deine Daten. Sowas kann man wahrlich nicht "sicher" nennen. Vergiss das also besser und mache es gleich richtig !

Eine DMZ baut man immer nur in Verbindung mit einer Firewall auf, die ein separates DMZ Segment mit entsprechenden Regeln hat: Siehe auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Nur DAS ist eine DMZ die den Namen auch verdient.
Dein grundsätzlicher Fehler liegt also schon gleich im Netzwerk Design selber bzw. an der falschen Hardware. Das wird so niemals sicher.
Deshalb: Wenn du dir schon zu Recht Gedanken um deine wirkliche Sicherheit in einer DMZ machst, dann mache es wenigstens gleich richtig von Anfang an !!
Ich frage mich nur, ob man die Sache nicht noch sicherer machen kann.
Ja das kann man natürlich.
Indem du die o.a. kleine Firewall mit stateful Regeln dazu verwendest. Das Tutorial beschreibt es dir ganz genau !
Das IPsec VPN der externen FritzBoxen terminierst du dann auf der Firewall selber:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und fertig ist der Lack !
Minimal aber mit einem Mehrport Router der eine Firewall hat um das DMZ Segment sauber zu trennen.
Ein kleiner 50 Euro Mikrotik_hex ist dort allemal besser und sinnvoller als die gruselige ASUS Gurke.
Diese 2 Optionen sind wasserdicht, eine wirkliche DMZ und eine saubere Lösung !
Was du da machst ist unsicherere Bastel Frickelei mit billigen Plaste Consumer Geräten.
Doppellhelix
Doppellhelix 27.10.2018 um 14:57:37 Uhr
Goto Top
Diese gruslige Bastellösung habe ich aus diesem Artikel:

https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html
Vision2015
Vision2015 27.10.2018 um 15:52:15 Uhr
Goto Top
Zitat von @Doppellhelix:

Diese gruslige Bastellösung habe ich aus diesem Artikel:

https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html

das macht es nicht besser face-smile

Frank
aqui
aqui 27.10.2018 aktualisiert um 19:15:28 Uhr
Goto Top
Heise sagt ja auch des es eine "gruslige Bastellösung" ist und rät von einem produktiven Einsatz ab ! face-wink
Wie gesagt mit einem simnplen 35 Euro Firewall Router kann man sowas wasserdicht und anständig lösen....