Router hinter DMZ platzieren
Hallo Freunde,
habe mal eine Frage:
Ich bin im besitz einer Standleitung mit 5 statischen IP.
Die Standleitung kommt direkt in meine Sophos Firewall von dort zur Layer 3 switch usw.
Wenn ich nun an der Firewall eine DMZ-Zone erstelle, dahinter einen Router platziere welche selbst NAT aufbaut und dann von diesem Router wieder ein Eingang in die Firewall mache als eigener WAN Anschluss, baue ich da unbewusst irgendwelche Türen ein die offen sind für jedermann ?!
Der Grund:
Benötige eine VPN Verbindung zwischen zwei Standorten aber standort A soll aber über das Gateway Standort B ins Internet.
Standort B hat ein Draytek Router.
Die Sophos kann zwar VPN zur Draytek aufbauen, aber Standort B nicht als Gateway nutzen.
Deshalb dachte ich mir dass ich am Standort A an die Sophos auch eine Draytek anschließe die hinter DMZ läuft, der wiederum die VPN Verbindung aufbaut und das Gateway Standort B nutz für Internet / NAT.
Dann würde ich Draytek mit der Sophos verbinden als zweite WAN-Anschluss
Somit dürfte die Sophos über zwei WAN Anschlüsse verfügen 1x Standleitung und 1x Draytek
Grundsätzlich möglich, habe auch getestet aber birgt das irgendwelche risiken - hebele ich mir das selbst was auf ?
Danke schonmal
Vg
habe mal eine Frage:
Ich bin im besitz einer Standleitung mit 5 statischen IP.
Die Standleitung kommt direkt in meine Sophos Firewall von dort zur Layer 3 switch usw.
Wenn ich nun an der Firewall eine DMZ-Zone erstelle, dahinter einen Router platziere welche selbst NAT aufbaut und dann von diesem Router wieder ein Eingang in die Firewall mache als eigener WAN Anschluss, baue ich da unbewusst irgendwelche Türen ein die offen sind für jedermann ?!
Der Grund:
Benötige eine VPN Verbindung zwischen zwei Standorten aber standort A soll aber über das Gateway Standort B ins Internet.
Standort B hat ein Draytek Router.
Die Sophos kann zwar VPN zur Draytek aufbauen, aber Standort B nicht als Gateway nutzen.
Deshalb dachte ich mir dass ich am Standort A an die Sophos auch eine Draytek anschließe die hinter DMZ läuft, der wiederum die VPN Verbindung aufbaut und das Gateway Standort B nutz für Internet / NAT.
Dann würde ich Draytek mit der Sophos verbinden als zweite WAN-Anschluss
Somit dürfte die Sophos über zwei WAN Anschlüsse verfügen 1x Standleitung und 1x Draytek
Grundsätzlich möglich, habe auch getestet aber birgt das irgendwelche risiken - hebele ich mir das selbst was auf ?
Danke schonmal
Vg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5791300862
Url: https://administrator.de/forum/router-hinter-dmz-platzieren-5791300862.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
10 Kommentare
Neuester Kommentar
Moin,
welch eine Verschwendung der STandleitung...
"Am Ar$ch" seid ihr nur, wenn Standort B mal kein Internet hat
welch eine Verschwendung der STandleitung...
Die Sophos kann zwar VPN zur Draytek aufbauen, aber Standort B nicht als Gateway nutzen.
Quatsch: an der Sophos ein PolicyBased Routing aktivieren und alles, was aus dem LAN kommt, soll an die IP des Drayteks geleitet werden."Am Ar$ch" seid ihr nur, wenn Standort B mal kein Internet hat
Hi,
Wieso möchtest du eine DMZ verwenden?
Ich gehe jetzt mal davon aus das du deinem Standort B vertraust.
Dann hänge doch einfach den zweiten Draytek an die Sophos.
Auf der Sophos Weiterleitung/Regeln einrichten IP StandortB:Port zu Draytek2:Port.
Falls keine feste IP an Standort B dann geht auch eine DynDNS.
Dann eben die VPN-Verbindung einrichten.
Zwecks Internetverbindung kannst dann einfach Routen für gewisse Subnetze in der Sophos und den Drayteks einrichten. Eventuell die eine oder andere FW-Regel anpassen.
Wieso möchtest du eine DMZ verwenden?
Ich gehe jetzt mal davon aus das du deinem Standort B vertraust.
Dann hänge doch einfach den zweiten Draytek an die Sophos.
Auf der Sophos Weiterleitung/Regeln einrichten IP StandortB:Port zu Draytek2:Port.
Falls keine feste IP an Standort B dann geht auch eine DynDNS.
Dann eben die VPN-Verbindung einrichten.
Zwecks Internetverbindung kannst dann einfach Routen für gewisse Subnetze in der Sophos und den Drayteks einrichten. Eventuell die eine oder andere FW-Regel anpassen.
Ich kenne nicht dein komplettes Netzwerk und dein Subnetze,
deswegen kann ich dir nicht pauschal empfehlen alles über die Draytek2 zu routen.
Im Normalfall möchten man das aber nicht, vor allem wenn der zweite Standort nicht in Deutschland ist kann es da Datenschutz Themen geben.
Du musst schon selber wissen was Sicherheitstechnisch und Performancetechnisch Sinn macht.
Für den Internetzugriff über Standort B erstellst du an der Sophos eine Policy Route.
Sophos(LAN) gewünschte Clients und Ports zur Draytek LAN IP
Auf dem Draytek1 eine Route hierfür von Draytek1(LAN) nach VPN Draytek2 IP.
Das kann man aber auch anders machen ist halt die Frage ob deine L3-Switches auch als Router agieren.
Ich kenne die Draytek-Router nicht, aber es kann sein das ein Kabel/Interface dort ausreicht, hängt davon ab wie dort das VPN funktioniert. Laut Internet kann man bei Draytek beim Erstellen der VPN-Verbindung mitteilen welches Interface genutzt werden soll. Wenn jetzt auch die VPN-Verbindung als weiteres Interface verfügbar ist sollte es mit einem Interface(LAN) funktionieren.
Aber klar mit 2 Kabeln bzw. Interfaces geht das auch.
Aber dann würde ich das so machen:
Sophos(DMZ)<->Draytek(WAN) und Sophos(LAN)<->Draytek(LAN)
Aber ich habe gerade gelesen das du mit der Sophos eine Verbindung mit der Draytek aufbauen kannst.
Nur dein Problem ist das du die Draytek nicht als Gateway nutzen kannst.
Erstelle eine Route von Sophos(LAN) gewünschte Clients und Ports nach Sophos(VPN) Gateway VPN Netz IP Standort B.
deswegen kann ich dir nicht pauschal empfehlen alles über die Draytek2 zu routen.
Im Normalfall möchten man das aber nicht, vor allem wenn der zweite Standort nicht in Deutschland ist kann es da Datenschutz Themen geben.
Du musst schon selber wissen was Sicherheitstechnisch und Performancetechnisch Sinn macht.
Für den Internetzugriff über Standort B erstellst du an der Sophos eine Policy Route.
Sophos(LAN) gewünschte Clients und Ports zur Draytek LAN IP
Auf dem Draytek1 eine Route hierfür von Draytek1(LAN) nach VPN Draytek2 IP.
Das kann man aber auch anders machen ist halt die Frage ob deine L3-Switches auch als Router agieren.
Ich kenne die Draytek-Router nicht, aber es kann sein das ein Kabel/Interface dort ausreicht, hängt davon ab wie dort das VPN funktioniert. Laut Internet kann man bei Draytek beim Erstellen der VPN-Verbindung mitteilen welches Interface genutzt werden soll. Wenn jetzt auch die VPN-Verbindung als weiteres Interface verfügbar ist sollte es mit einem Interface(LAN) funktionieren.
Aber klar mit 2 Kabeln bzw. Interfaces geht das auch.
Aber dann würde ich das so machen:
Sophos(DMZ)<->Draytek(WAN) und Sophos(LAN)<->Draytek(LAN)
Aber ich habe gerade gelesen das du mit der Sophos eine Verbindung mit der Draytek aufbauen kannst.
Nur dein Problem ist das du die Draytek nicht als Gateway nutzen kannst.
Erstelle eine Route von Sophos(LAN) gewünschte Clients und Ports nach Sophos(VPN) Gateway VPN Netz IP Standort B.
Wenn das nur für einen bestimmten Dienst ist dann kannst du das mit einer Policy Route umsetzen.
Du brauchst dann im Endeffekt nur die IP´s und Ports des Dienstes.
Deine Clients --> Dienst IP´s/DNS:Dienst Port(s) nächster Hop VPN Gateway
Dann würde auch nur der relevante Netzwerktraffic umgeleitet.
Ob du das über ein LAN oder DMZ Interface machst ist eigentlich relativ egal,
den ein DMZ Interface kann wie ein LAN Interface konfiguriert werden.
Dementsprechend baust du Sicherheitslücken durch eine falsche Konfiguration ein.
Im Endeffekt baust du dir durch die VPN-Verbindung eine weitere Tür ein.
Deshalb solltest du auch per Firewall-Regeln an der Sophos sowie den Drayteks alles blocken was nicht deinem gewünschten Traffic entspricht.
Du brauchst dann im Endeffekt nur die IP´s und Ports des Dienstes.
Deine Clients --> Dienst IP´s/DNS:Dienst Port(s) nächster Hop VPN Gateway
Dann würde auch nur der relevante Netzwerktraffic umgeleitet.
Ob du das über ein LAN oder DMZ Interface machst ist eigentlich relativ egal,
den ein DMZ Interface kann wie ein LAN Interface konfiguriert werden.
Dementsprechend baust du Sicherheitslücken durch eine falsche Konfiguration ein.
Im Endeffekt baust du dir durch die VPN-Verbindung eine weitere Tür ein.
Deshalb solltest du auch per Firewall-Regeln an der Sophos sowie den Drayteks alles blocken was nicht deinem gewünschten Traffic entspricht.