ayhangunay
Goto Top

Router hinter DMZ platzieren

Hallo Freunde,

habe mal eine Frage:

Ich bin im besitz einer Standleitung mit 5 statischen IP.
Die Standleitung kommt direkt in meine Sophos Firewall von dort zur Layer 3 switch usw.

Wenn ich nun an der Firewall eine DMZ-Zone erstelle, dahinter einen Router platziere welche selbst NAT aufbaut und dann von diesem Router wieder ein Eingang in die Firewall mache als eigener WAN Anschluss, baue ich da unbewusst irgendwelche Türen ein die offen sind für jedermann ?!

Der Grund:

Benötige eine VPN Verbindung zwischen zwei Standorten aber standort A soll aber über das Gateway Standort B ins Internet.
Standort B hat ein Draytek Router.
Die Sophos kann zwar VPN zur Draytek aufbauen, aber Standort B nicht als Gateway nutzen.

Deshalb dachte ich mir dass ich am Standort A an die Sophos auch eine Draytek anschließe die hinter DMZ läuft, der wiederum die VPN Verbindung aufbaut und das Gateway Standort B nutz für Internet / NAT.
Dann würde ich Draytek mit der Sophos verbinden als zweite WAN-Anschluss
Somit dürfte die Sophos über zwei WAN Anschlüsse verfügen 1x Standleitung und 1x Draytek

Grundsätzlich möglich, habe auch getestet aber birgt das irgendwelche risiken - hebele ich mir das selbst was auf ?

Danke schonmal

Vg

Content-ID: 5791300862

Url: https://administrator.de/forum/router-hinter-dmz-platzieren-5791300862.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

em-pie
em-pie 02.02.2023 um 08:51:55 Uhr
Goto Top
Moin,

welch eine Verschwendung der STandleitung...

Die Sophos kann zwar VPN zur Draytek aufbauen, aber Standort B nicht als Gateway nutzen.
Quatsch: an der Sophos ein PolicyBased Routing aktivieren und alles, was aus dem LAN kommt, soll an die IP des Drayteks geleitet werden.
"Am Ar$ch" seid ihr nur, wenn Standort B mal kein Internet hat face-wink
AyhanGunay
AyhanGunay 02.02.2023 aktualisiert um 09:13:40 Uhr
Goto Top
@em-pie

Ich kann die Draytek und dessen Subnetz mit der Sophos auch erreichen.
Mit PolicyBased müsste ich zwei Gateway haben, da hängt es bei mir.
Ich kann die VPN Verbindung zur Draytek nicht als Gateway konfigurieren
Mein Ziel ist es dass Geräte im Standort A also im Sophos die Internetleitung der Gegenseite nutzen um die Landessperren zu entgehen.
beide Draytek können dies untereinander
Sophos zur Draytek kann dies nicht oder irre ich mich.

Habe alles probiert auch mit SD-Wan etc.

Mein Sophos ist eine XGS 126.

Hättest du vielleicht einpaar Screenshots oder wie müsste die Configuration aussehen ?
em-pie
em-pie 02.02.2023 um 10:04:08 Uhr
Goto Top
Hmm.. OK.
Bei der XGS bin ich raus...

Die hab ich noch nicht in den Fingern gehabt...

Bei der SG wäre es mit Gateway route funktionsfähig. Vielleicht findest du in der XGS ja einen analogen Modus face-wink
AyhanGunay
AyhanGunay 02.02.2023 um 10:09:24 Uhr
Goto Top
@em-pie

Danke aber trotzdem
Wie gesagt ich kann mein vorhaben realisieren mit einem zweiten Router und als DMZ bin mir aber nicht sicher ob ich mir vielleicht dadurch einen Sicherheitseinstellung aushebele
wasabi
wasabi 02.02.2023 aktualisiert um 13:09:53 Uhr
Goto Top
Hi,

Wieso möchtest du eine DMZ verwenden?
Ich gehe jetzt mal davon aus das du deinem Standort B vertraust.
Dann hänge doch einfach den zweiten Draytek an die Sophos.
Auf der Sophos Weiterleitung/Regeln einrichten IP StandortB:Port zu Draytek2:Port.
Falls keine feste IP an Standort B dann geht auch eine DynDNS.
Dann eben die VPN-Verbindung einrichten.

Zwecks Internetverbindung kannst dann einfach Routen für gewisse Subnetze in der Sophos und den Drayteks einrichten. Eventuell die eine oder andere FW-Regel anpassen.
AyhanGunay
AyhanGunay 02.02.2023 um 13:52:59 Uhr
Goto Top
@wasabi

Danke für die Nachricht und Tipps.

ausgewählte lokale Geräte an der Sophos sollen ja über Standort B ins Internet.
Hierzu kann ich ja an der Sophos über SD-WAN die route einstellen dafür benötige ich aber einen Gateway / WAN Anschluss ın diesem Fall die Draytek, da der Draytek am Standort alles über Standort B routet.

Ich interpretiere wie folgt:

Ich hänge die Draytek an die Sophos kein DMZ.
Draytek1 an der Sophos baut Verbindung zur Draytek2 Standort B auf.
Draytek1 routet den ganzen verkehr über Draytek2.
Ich gehe von der Draytek1 raus und verbinde mit einem weiteren Kabel die Sophos und konfigurieren diese Schnittstelle als WAN Anschluss.
Somit könnte ich dann mittels SD-WAN eine Regel erstellen und sage bitte folgende Geräte benutze die WAN / Gateway Draytek für Internet.

Also gehe ich von der Sophos in die Draytek ( LAN ) und gehe dann von der Draytek raus wieder in Sophos ( WAN ).

Würde dies morgen probieren und gebe auf jeden Fall feedback.
wasabi
wasabi 02.02.2023 aktualisiert um 15:09:52 Uhr
Goto Top
Ich kenne nicht dein komplettes Netzwerk und dein Subnetze,
deswegen kann ich dir nicht pauschal empfehlen alles über die Draytek2 zu routen.
Im Normalfall möchten man das aber nicht, vor allem wenn der zweite Standort nicht in Deutschland ist kann es da Datenschutz Themen geben.
Du musst schon selber wissen was Sicherheitstechnisch und Performancetechnisch Sinn macht.

Für den Internetzugriff über Standort B erstellst du an der Sophos eine Policy Route.
Sophos(LAN) gewünschte Clients und Ports zur Draytek LAN IP
Auf dem Draytek1 eine Route hierfür von Draytek1(LAN) nach VPN Draytek2 IP.
Das kann man aber auch anders machen ist halt die Frage ob deine L3-Switches auch als Router agieren.

Ich kenne die Draytek-Router nicht, aber es kann sein das ein Kabel/Interface dort ausreicht, hängt davon ab wie dort das VPN funktioniert. Laut Internet kann man bei Draytek beim Erstellen der VPN-Verbindung mitteilen welches Interface genutzt werden soll. Wenn jetzt auch die VPN-Verbindung als weiteres Interface verfügbar ist sollte es mit einem Interface(LAN) funktionieren.
Aber klar mit 2 Kabeln bzw. Interfaces geht das auch.
Aber dann würde ich das so machen:
Sophos(DMZ)<->Draytek(WAN) und Sophos(LAN)<->Draytek(LAN)

Aber ich habe gerade gelesen das du mit der Sophos eine Verbindung mit der Draytek aufbauen kannst.
Nur dein Problem ist das du die Draytek nicht als Gateway nutzen kannst.
Erstelle eine Route von Sophos(LAN) gewünschte Clients und Ports nach Sophos(VPN) Gateway VPN Netz IP Standort B.
AyhanGunay
AyhanGunay 02.02.2023 aktualisiert um 15:36:08 Uhr
Goto Top
@wasabi

danke für die scharfen Tipps face-smile

Standort B ist in Deutschland.
A ist in der Türkei.

Mein Ziel ist eigentlich dass ich aus der Türkei Streaming dienst Nutzen kann, welche durch Länderbegrenzung nur in DE Verfügbar ist usw.
Deshalb werden auch nur Handvoll Geräte über Draytek Standort B geroutet.


Werde über Wochenende ausprobieren anderweitig wenn ich es nicht hinbekommen muss ich doch den Weg gehen wie du beschrieben und meine Frage ursprünglich diesbezüglich war wenn ich über DMZ gehe ob ich mir vielleicht unbewusst eine Sicherheitslücke einbaue.

Sophos(DMZ)<->Draytek(WAN) und Sophos(LAN)<->Draytek(LAN)

Vielen Dank nochmals
wasabi
Lösung wasabi 03.02.2023 um 10:04:08 Uhr
Goto Top
Wenn das nur für einen bestimmten Dienst ist dann kannst du das mit einer Policy Route umsetzen.
Du brauchst dann im Endeffekt nur die IP´s und Ports des Dienstes.
Deine Clients --> Dienst IP´s/DNS:Dienst Port(s) nächster Hop VPN Gateway

Dann würde auch nur der relevante Netzwerktraffic umgeleitet.

Ob du das über ein LAN oder DMZ Interface machst ist eigentlich relativ egal,
den ein DMZ Interface kann wie ein LAN Interface konfiguriert werden.
Dementsprechend baust du Sicherheitslücken durch eine falsche Konfiguration ein.

Im Endeffekt baust du dir durch die VPN-Verbindung eine weitere Tür ein.

Deshalb solltest du auch per Firewall-Regeln an der Sophos sowie den Drayteks alles blocken was nicht deinem gewünschten Traffic entspricht.
AyhanGunay
AyhanGunay 03.02.2023 um 10:16:50 Uhr
Goto Top
@wasabi

Danke nochmals werde über DMZ oder LAN lösen und alles was reinkommt blockieren was nicht benötigt wird.