Rechner als Gateway-PC mit Firewall für zweiten Rechner verwenden

Hallo zusammen,

ich habe folgendes Problem, zu dem ich in der Form hier im Forum nicht fündig geworden bin:

Ich arbeite in der Uni und habe dort ein neues Messgerät in Betrieb genommen. Dieses Messgerät ist per Netzwerk-Schnittstelle mit einem Windows 10-Computer verbunden, der die Messdaten entsprechend verarbeitet. Laut Hersteller des Messgerätes muss die lokale Firewall dieses Rechners deaktiviert werden, damit die Datenverarbeitung reibungslos klappt.
Leider sind wir jedoch auf eine Internetverbindung angewiesen, um per Fernzugriff (AnyDesk) auf diesen Rechner zugreifen zu können. Auch für die Fernwartung seitens des Herstellers wird eine Internetverbindung benötigt. Nun möchten wir den Rechner allerdings ohne eine lokale Firewall nicht ans Internet anschließen.

Unsere Idee ist daher, einen zweiten Rechner mit zwei Netzwerkkarten vorzuschalten und diesen sozusagen als Gateway-PC zu verwenden. Dieser Rechner bekommt Internet (über eine statische IP-Adresse im Uni-Netzwerk) und soll dann die Datenpakete per LAN-Kabel an den zweiten Rechner weiterleiten, nachdem sie über die lokale Firewall des Internet-Rechners gelaufen sind.

Meine Frage ist nun also, ob unser Ansatz so wie beschrieben überhaupt funktionieren kann und wie man dies konkret umsetzen müsste?

Bereits getestet haben wir die windowseigene Netzwerkbrücke. Diese funktioniert soweit auch, allerdings benötigt der Messgeräte-Rechner eine andere statische IP-Adresse aus dem Uni-Netzwerk, weshalb wir derzeit davon ausgehen, dass die Brücke nichts anderes tut, als das "Netzwerk-Signal" ohne dazwischen geschaltete Firewall weiterzugeben.

Über Ideen oder Vorschläge wäre ich sehr dankbar!

Falls noch benötigte Informationen fehlen, reiche ich sie natürlich sofort nach.


Vielen Dank im Voraus!

Content-Key: 1718468034

Url: https://administrator.de/contentid/1718468034

Ausgedruckt am: 28.01.2022 um 20:01 Uhr

Mitglied: 149569
Lösung 149569 13.01.2022 aktualisiert um 11:47:59 Uhr
Goto Top
Kann man machen mit ICS, ist aber ehrlich gesagt Grütze. Hol dir für 30 € einen kleinen Mikrotik-Router und klemm anstatt den Rechner an das UNI-Netz und die anderen Geräte dann ebenfalls an den Router dann kannst du fein regulieren wer wo wie ins Netz darf und miteinander kommunizieren kann.
Laut Hersteller des Messgerätes muss die lokale Firewall dieses Rechners deaktiviert werden, damit die Datenverarbeitung reibungslos klappt.
Das sind mir ja die liebsten Hersteller ... 🤮. Keine Ahnung von Firewalls, dann eben einfach deaktivieren... Hirnis.

Nun möchten wir den Rechner allerdings ohne eine lokale Firewall nicht ans Internet anschließen.
Muss man ja auch nicht, die Windows Firewall lässt sich selektiv auf Interfaces aktivieren und deaktivieren ;-) face-wink, oder besser gleich nur eine Firewall-Regel für dein Gerät einrichten die einfach alles für dieses durchlässt.

screenshot
Mitglied: Doskias
Lösung Doskias 13.01.2022 um 11:37:49 Uhr
Goto Top
Moin,

ich halte es @ettsen jetzt mal zu Gute, dass er Anwender ist und daher die nette Erklärung: es gibt keinen Grund die lokale Firewall zu deaktivieren, eigentlich auch nicht 30 Sekunden um mal kurz was zu testen.
Nun möchten wir den Rechner allerdings ohne eine lokale Firewall nicht ans Internet anschließen.
Ist die richtige Einstellung.

Ein zweiter Rechner ist unnötig, wenn ihr die Firewall richtig konfiguriert. Pack den Rechner mit aktivierter Firewall ins Uni-Netz. Das Netz lässt du von der Firewall wie üblich schützen. Dann gehst du in die Firewall und richtest eine Ausnahme für dein Messgerät in der Firewall ein. Du kennst ja die IP des Messgerätes, also gibst du einfach für die IP des Messgerätes alle ein- und ausgehenden Verbindung über alle Ports und Protokolle frei. Faktisch ist damit die Firewall für dieses eine Gerät deaktiviert.

Gruß
Doskias
Mitglied: ettsen
ettsen 13.01.2022 um 11:47:47 Uhr
Goto Top
Vielen lieben Dank für eure Antworten!

Tatsächlich war mir die Möglichkeit, die Firewall nur selektiv für Devices zu verwenden, gar nicht bewusst. Wir haben jetzt hacktors Methode verwendet und die Netzwerk-Adapter von der Firewall ausgeschlossen, die ausschließlich mit den Messgeräten kommunizieren. Der eigentliche "Internet-Adapter" wird nun regulär von der Firewall überwacht.

Ist dies so in Ordnung oder wäre es alternativ ratsam, die Firewall komplett einzuschalten und nur die IP-Ausnahmen einzustellen, wie @Doskias vorgeschlagen hat? Nach meinem Verständnis kommt das ungefähr aufs Gleiche raus, oder?

Und ja, ich habe auf diesem Gebiet leider nahezu gar keine Erfahrung, bin allerdings auch der einzige am Lehrstuhl, der sich einigermaßen mit IT beschäftigt. Daher danke für die netten Erklärungen und Hilfestellungen!

"Fun" fact:
Der Hersteller hat sogar in seiner Betriebs- und Installationsanweisung ein separates Kapitel erstellt, in dem vorgegeben wird, dass sämtliche Firewalls deaktiviert werden müssen.

Aktuell scheint alles gut zu funktionieren! Vielen herzlichen Dank, ich markiere das Thema gleich als gelöst!
Mitglied: Doskias
Doskias 13.01.2022 um 12:22:08 Uhr
Goto Top
Zitat von @ettsen:
Ist dies so in Ordnung oder wäre es alternativ ratsam, die Firewall komplett einzuschalten und nur die IP-Ausnahmen einzustellen, wie @Doskias vorgeschlagen hat? Nach meinem Verständnis kommt das ungefähr aufs Gleiche raus, oder?

Nein kommt aufs gleiche hinaus. Mein Vorschlag würde dich höchstens davor schützen, dass jemand seinen Notebook mit einer anderen IP an den Anschluss klemmt wo jetzt euer Messgerät dran ist, aber wenn er für das Notebook die gleiche IP nutzt wie für das Messgerät, dann nützt meins auch nicht. Und wenn du einen bösen Buben hast, der den Stecker vom Messgerät zieht, sein Laptop anschließt und dann dadurch Schaden verursacht, dann hast du ein ganz anderes Problem. ;-) face-wink
Mitglied: ettsen
ettsen 13.01.2022 um 12:33:34 Uhr
Goto Top
Zitat von @Doskias:

Nein kommt aufs gleiche hinaus. Mein Vorschlag würde dich höchstens davor schützen, dass jemand seinen Notebook mit einer anderen IP an den Anschluss klemmt wo jetzt euer Messgerät dran ist, aber wenn er für das Notebook die gleiche IP nutzt wie für das Messgerät, dann nützt meins auch nicht. Und wenn du einen bösen Buben hast, der den Stecker vom Messgerät zieht, sein Laptop anschließt und dann dadurch Schaden verursacht, dann hast du ein ganz anderes Problem. ;-) face-wink

Okay perfekt, dann lasse ich das jetzt einfach alles so. Und du hast total Recht, wenn da jemand die Stecker abzieht, haben wir sowieso ein riesiges Problem, da dürfte die Firewall noch die geringste Sorge sein. :-D face-big-smile

Also nochmal: besten Dank für die Hilfe!
Mitglied: aqui
aqui 13.01.2022 aktualisiert um 13:11:05 Uhr
Goto Top
Ansonsten erklärt dir auch dieses Foren Tutorial genau wie es geht:
https://administrator.de/tutorial/routing-von-2-und-mehr-ip-netzen-mit-w ...
Einfach mal die Suchfunktion benutzen... !! ;-) face-wink
Heiß diskutierte Beiträge
general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 1 TagFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

question
Vorkehrungen für einen StromausfallahussainVor 1 TagFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Acrobat Reader in 32bit? kein 64?Cougar77Vor 1 TagFrageMultimedia8 Kommentare

Hi, ich versteh grade den Acrobat Reader nicht Wenn ich den aktuellen Reader für die Verteilung im Unternehmen runterlade, installiert es den Reader in der ...

question
Zwei Glasfaseranschlüsse zu einem Lan Netzwerk verbinden gelöst Moritz2009Vor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ist es möglich zwei Glasfaser (FTTH-500Mbits/s) Anschlüsse, mit je einer Fritz!Box 7590 und 7530, in einem Netzwerk zu betreiben? Die Fritz!Boxen werden jeweils ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...

question
OS-Installation auf ProLiant Microserver Gen10 Plus schlägt fehl gelöst keine-ahnungVor 7 StundenFrageWindows Installation11 Kommentare

Moin at all, ich habe gestern stundenlang mit der o.g. Kiste gekämpft, um dort ein Windows 2016 (HPE ROK) zu installieren - keine Chance. In ...