2
Einrichten einer DMZ im Heimnetz (Newbiefrage)
Hallo liebe Experten,
ich habe als Newbie eine Frage wie ich Zuhause eine DMZ für einen Nextcloud und Wordpress-Server einrichten kann.
Die Server selbst kann ich freigeben (habe eine öffentliche IPv4 Adresse, DynDNS und beim Einrichten der Freigabe geht alles).
Nun möchte ich aber die Server von meinem Heimnetz abtrennen.
Was ich habe und wie es momentan aussieht:
- EIne Fritzbox 6690 Cable (kein Providergerät, FritzOS 7.50) dient als Router. Es dient auch als Modem, Mediaserver, Telefonanlage und ich kann via WireGuard VPN ins Heimnetz.
- Unsicherer Geräte kommen nur ins Gastnetz. Das Gastnetz kann man aber nicht freigeben, deshalb muss ich jetzt eine DMZ bauen.
Was an Hardware vorhanden ist:
- Ich habe ein TP-Link WR1043ND mit der neuesten OpenWRT Version.
- Noch einen Netgear GS 108e (mit VLAN-Funktionalität)
Daraus möchte ich nun eine DMZ bauen.
Die Fritzbox soll als Modem/AP/Mediaserver eigentlich erhalten bleiben.
Also dachte ich ich schliesse das TP_Link Gerät einfach an die Fritzbox an und erstelle ein eigenes Subnetz (nicht das 192.168.178.0/24 sondern 192.168.1.0/24). Das TP-Gerät bekommt die IP von der Fritzbox, die Clients am TP-Link aber die vom TP-Link.
Schließe ich die Geräte an dem TP-Gerät an, habe ich zwar Internet und auch eine .1.0er Adresse, aber ich kann alle Geräte im 178.0er Netz anpingen.
VOn den 178.0er kann ich keine des 1.0er Netzes erreichen. Es soll aber umgekehrt sein.
Wie kann ich das bewerkstelligen?
VG
Ein Newbie
ich habe als Newbie eine Frage wie ich Zuhause eine DMZ für einen Nextcloud und Wordpress-Server einrichten kann.
Die Server selbst kann ich freigeben (habe eine öffentliche IPv4 Adresse, DynDNS und beim Einrichten der Freigabe geht alles).
Nun möchte ich aber die Server von meinem Heimnetz abtrennen.
Was ich habe und wie es momentan aussieht:
- EIne Fritzbox 6690 Cable (kein Providergerät, FritzOS 7.50) dient als Router. Es dient auch als Modem, Mediaserver, Telefonanlage und ich kann via WireGuard VPN ins Heimnetz.
- Unsicherer Geräte kommen nur ins Gastnetz. Das Gastnetz kann man aber nicht freigeben, deshalb muss ich jetzt eine DMZ bauen.
Was an Hardware vorhanden ist:
- Ich habe ein TP-Link WR1043ND mit der neuesten OpenWRT Version.
- Noch einen Netgear GS 108e (mit VLAN-Funktionalität)
Daraus möchte ich nun eine DMZ bauen.
Die Fritzbox soll als Modem/AP/Mediaserver eigentlich erhalten bleiben.
Also dachte ich ich schliesse das TP_Link Gerät einfach an die Fritzbox an und erstelle ein eigenes Subnetz (nicht das 192.168.178.0/24 sondern 192.168.1.0/24). Das TP-Gerät bekommt die IP von der Fritzbox, die Clients am TP-Link aber die vom TP-Link.
Schließe ich die Geräte an dem TP-Gerät an, habe ich zwar Internet und auch eine .1.0er Adresse, aber ich kann alle Geräte im 178.0er Netz anpingen.
VOn den 178.0er kann ich keine des 1.0er Netzes erreichen. Es soll aber umgekehrt sein.
Wie kann ich das bewerkstelligen?
VG
Ein Newbie
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6005086227
Url: https://administrator.de/contentid/6005086227
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo.
Welches Regelwerk ist denn seitens des TP-Link in Richtung deines "WAN" (das 192.168.178.0/24 Subnetzes) vorhanden?
Wahrscheinlich vom 1er Subnetz eine any to any Regel da sein.
Damit dein 178er vom 1er Netz weiß, muss da noch eine statische Route in die Fritzbox. Sonst wird das nichts.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische ...
Per Se blockiert der TP-Link auch alles was über das WAN Interface reinkommt. Das heißt auch hier musst du das Regelwerk entsprechend anpassen, dass von außen bestimmte (nicht jedes) Geräte des 178er Netzes ins 1er Netz dürfen.
Gruß
Marc
Welches Regelwerk ist denn seitens des TP-Link in Richtung deines "WAN" (das 192.168.178.0/24 Subnetzes) vorhanden?
Wahrscheinlich vom 1er Subnetz eine any to any Regel da sein.
Damit dein 178er vom 1er Netz weiß, muss da noch eine statische Route in die Fritzbox. Sonst wird das nichts.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische ...
Per Se blockiert der TP-Link auch alles was über das WAN Interface reinkommt. Das heißt auch hier musst du das Regelwerk entsprechend anpassen, dass von außen bestimmte (nicht jedes) Geräte des 178er Netzes ins 1er Netz dürfen.
Gruß
Marc
1
Generell ist das Vorhaben mit jedem Router, Firewall usw. einfach lösbar. Die Verwendung von VLANs macht die Sache dann noch komfortabler.
Mit dem OpenWRT Router und deinem 108E Switch bist du also bestens dafür gerüstet.
Vielleicht helfen dir die hiesigen Firewall u. VLAN Tutorials dabei dein Setup umzusetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wie immer: Lesen und verstehen... 😉
Mit dem OpenWRT Router und deinem 108E Switch bist du also bestens dafür gerüstet.
Vielleicht helfen dir die hiesigen Firewall u. VLAN Tutorials dabei dein Setup umzusetzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wie immer: Lesen und verstehen... 😉
1
