yoyoba
Goto Top

DMZ zweiter Router

Guten Tag,

wir haben bei uns in der Firma einen VPN-Server stehen. Um trotzdem Dateien möglichst sicher - zentral - abspeichern zu können möchten wir einen zweiten Server haben. Das ganze werde ich so konfigurieren das wir für den VPN-Server eine DMZ errichten. Habe bereits nachgeschaut es gibt Geräte (Watchguard Firebox) womit es zu realisieren ist, aber mir reicht doch die normale Methode, dass man einen zweiten Router dazuschaltet. Nun wäre meine Frage, habt ihr einen Router den ihr bevorzugen würdet, welcher sich als besonder gut bewährt hat? Die Internetverbindung wird über einen Draytek 2700 aufgebaut. Die Server sowie Workstations haben Kaspersky als Firewall und Antivirus.

Vielen Dank.

MfG

Content-ID: 152197

Url: https://administrator.de/contentid/152197

Ausgedruckt am: 05.11.2024 um 23:11 Uhr

aqui
aqui 01.10.2010, aktualisiert am 18.10.2012 um 18:43:39 Uhr
Goto Top
Das ist eigentlich vollkommen egal. Jeder baumarkt Router für 30 Euro leistet das.
Generell sicherer für ein DMZ Szenario ist allerdings eine kleine Firewall wie z.B. sowas:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit kannst du sogar problemlos den Draytek ersetzen und machst mit einem Gerät alles zusammen und das einfach mit ein paar Mausklicks über ein Webinterface.
Für die "DMZ des armen Mannes" also die Routerkaskade ist nur wichtig das der 2te Router kein integriertes Modem hat was nicht abschaltbar ist.
Bedenke auch das bei der DMZ Routerkaskade die DMZ eine Einbahnstaße ist durch die NAT Firewall. Willst du transparent Routen ist eine FW Lösung in jedem Falle besser !
Yoyoba
Yoyoba 01.10.2010 um 16:13:16 Uhr
Goto Top
Danke!

Mh, ich will ehrlich sein, wieso eine kleine Firewall eine große ersetzt bzw auch ein zweites Gerät ersetzt will mir nicht ganz klar werden. Wenn ich den VPN-Server an dem Router 1 angeschlossen habe, welchen ich gleichzeitig mit dem Internet verbinde habe ich meine VPN-Verbindung ins Internet gebracht. Bringe ich nun den zweiten Router ins Spiel und schließe ihn an Router 1 an, lasse ihn über Router 1 auch ins Internet so habe ich, sofern ich nun den Port des VPN's sperre doch eigentlich alles sicher gemacht, sofern die weiteren Ports geschlossen sind, hierfür kann ich ja nicht einfach ein Gerät selber bauen mit kleiner Firewall?! Wie gesagt es gibt Geräte wie eine Watchguard Firebox, welche VPN fähig ist und die rechtlichen PC's abschirmt. Also wäre deine Ideallösung ein selbstgebautest Gerät? Ich (auch wenn ich zugebe nicht soviel Ahnung zu haben) denke doch eher ein zweiter Router hier hinzustellen wäre sicherer oder nicht?

Könnt der Draytek alleine nicht evtl. schon reichen? Er bietet einen DMZ Host und auch das VLAN?


MfG
aqui
aqui 01.10.2010, aktualisiert am 18.10.2012 um 18:43:40 Uhr
Goto Top
Mmmhhh...wieso eine große ersetzt ??? Du hast aber nicht geschrieben das du schon eine "große" Firewall im Einsatz hast ?? Dann wäre natürlich der Aufwand totaler Unsinn, das ist richtig.
Hast du nur einen Router könntest du auch den Router ersetzen...muss aber nicht.
Die o.a. Firewall hat 3 Ports (1xWAN/Internet mit optional PPPoE, 1x DMZ Segment, 1 x lokales LAN) damit hast du also alles in einem exakt wie eine Firebox nur das die eben erheblich teurer ist.
Das entsprechende Netzdesign sähe dann so aus: ("Firma-2" wäre hier dann analog deine DMZ !)
e7970cc4b276e8c6e24e892d0f41c1fc

Nebenbei ist die Firebox mehr oder weniger auch "selbstgebaut" denn dort ist ein simples PC Mainboard drin mit einem gehärteten Linux drauf und einer Weboberfläche. Letztlich also exakt das gleiche wie Monowall oder Pfsense auf der ALIX Hardware. Das die VPN können ist bei FWs so oder so Standard.
Die FW ist aber immer sicherer, da sie eine bidirektionale Traffic Inspection macht, was ein simpler NAT Router in einer "DMZ des kleinen Mannes" nicht macht.
Ferner hast du zusätzlich den Nachteil das du von der DMZ in Richtung lokales LAN durch die NAT Firewall nicht oder nur sehr bedingt mit Port Forwarding arbeiten kannst, nur andersrum geht es transparent.
Dieses Tutorial zur "DMZ des kleinen Mannes"
Kopplung von 2 Routern am DSL Port
erklärt es dir im Abschnitt "Internas" noch einmal genau.
Die Router Kaskade hat also schon technische Nachteile. Wenn das aber nicht relevant ist für dich da dein Draytek ja auch VPN Zugriff zulässt und die Erweiterung mit einem 30 Euro Router schnell gemacht ist, dann funktioniert natürlich so ein DMZ Szenario mit 2 Routern auch problemlos !
Yoyoba
Yoyoba 01.10.2010 um 17:44:30 Uhr
Goto Top
Okay,
also rätst du grundsätzlich zu dieser selbstgebauten Methode mit Monowall oder Pfsense? Relevant wäre auf jedenfall noch einmal zu wissen wieviele VPN-Verbindungen gleichzeitig möglich sind?

Vielen Dank!
MfG
aqui
aqui 01.10.2010 um 17:50:54 Uhr
Goto Top
Nein, grundsätzlich kann man das nicht raten ! Über ein Forum kann aber niemand annonym dein "Sicherheits Bauchgefühl" und dein Budget erraten oder für dich in Kombination bringen.
Technisch geht beides und letztlich ist es deine finale Entscheidung. Es ging hier lediglich um das Abwägen von Pros und Cons !
Nebenbei ist es NICHT zwingend selbstgebaut ! Du kannst die Appliance auch komplett fertig erwerben oder eine zertifizierte Juniper Firewall erwerben. Es sollte nur zeigen das man das auch mit sehr wenig finanziellem Aufwand sicher und einfach realisieren kann ! Die HW Entscheidung triffst letzlich du selber.
Bei der Anzahl VPN Verbindungen hast du bei der FW generell keine Limitierungen in Software egal ob IPsec, PPTP oder OpenVPN. Die Limitierung ist hier die Performance der Hardware. Auch bei einem ALIX Board liegt das noch im oberen zweistelligen Bereich !
Yoyoba
Yoyoba 01.10.2010 um 18:00:32 Uhr
Goto Top
Top, Danke dir!

Werde mich aber wohl für deine Methode/Variante entscheiden! Eine Frage bleibt noch, hast du noch ein Tut. über die Einstellung einer Monowall geschrieben?

MfG
aqui
aqui 01.10.2010 um 18:23:15 Uhr
Goto Top
Was meinst du mit Einstellung ?? Die Settings für DMZ, Filter und VPN usw. sind eigentlich intuitiv wenn man die Webseite der FW sieht. Der Rest ist in separaten Tutorials zu lesen.
Wenn du spezielle Einstellungen meinst schick eine PM.
Yoyoba
Yoyoba 01.10.2010 um 18:26:05 Uhr
Goto Top
Ne, gut, hat sich dann erledigt!
Dann danke ich dir wiedereinmal für astreine Hilfe - wie so oft!

MfG und bestem Dank
Yoyoba
aqui
aqui 03.10.2010 um 10:44:15 Uhr
Goto Top
Wenns das war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !