wsammy
Goto Top

Routerfirewall vs. Firewall

vielleicht auch ein komplett falscher Titel

Hallo

Ich habe mich in den letzten Tagen mit Netzwerken beschäftigt und versuche unser aktuelles Firmennetzwerk ( zu rekonstruieren.

Ich dachte immer, dass unser Netzwerk aus folgenden Komponenten besteht:

Router Zyxel Series 600
Firewall Zywall 2
Switch ?
WLan-Router (Netgear WPN824 fungiert nur als AccessPoint)
Server
Workstations
4 LAN
1 WLAN

Was mir schon länger etwas laienhaft vorkommt ist die Verwendung von 3(4) verschiedenen Komponenten bei Router-Firewall-Accespoint-(Switch)

1. Was ist der Unterschied zwischen einer Firewall im Router und einer separaten Firewall ?
2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800)

Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.

4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?

Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)

6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)

Eigentlich möchte ich sogar eine Verbindung mit der Kamera aufbauen, ohne VPN Verbindung. (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Falls es nur bei diesem Punkt Probleme geben würde, läge es vermutlich am Router (weil dort kein Port Forwarding eingestellt ist, da ich ja nicht darauf zugreifen kann) aber zurzeit muss es noch eine andere Fehlerquelle haben.

Besten Dank für eure Hilfe !

Gruss
Samuel

PS: Mein Ziel ist es, ein neues Netzwerk in einem anderen Betrieb aufzubauen, wo folgendes möglich sein sollte:

- LAN
- WLAN
- Internet
- VPN
- Sicherheit: Firewall, AntiVirus
- so einfach wie möglich 1 Gerät? (Router, Firewall (VPN), AccessPoint, Switch in einem, oder doch getrennt?)

Content-ID: 82232

Url: https://administrator.de/contentid/82232

Ausgedruckt am: 14.11.2024 um 09:11 Uhr

iVirusYx
iVirusYx 04.03.2008 um 01:36:49 Uhr
Goto Top
In Punkto Firewall hast du eigentlich 3 verschiedene Grundtypen:

-Personal Firewall
Dies ist meist die Software Firewall welche sich auf allen PC wie Servern befinden kann (Anti-
Virus ist ein muss!)

-Hardware Firewall
Wie der Name schon sag ist das ein Firewallgerät welches hinter den Router geklemmt wird.
Zyxel Router haben meist eine integrierte Firewall.

-Proxy
Dieser ist eher um den Internetzugang zu kontrollieren und/oder die verschiedenen Ports zu
verwalten


Wenn du jetzt diene IP-Adress 192.168.1.1 eingibst klemmt der sich auf dem Firewall ein weil du
der Firewall sagen musst dass er dich weiterleiten soll.

Deine Konstruktion scheint relativ gut zu sein wie du sie schilderst aber wenn du sowas versuchst aufzubauen solltest du doch shcon gewisse Kenntnisse haben und ich glaube die scheinst du nicht wirklich zu haben, ich kann mich aber auch irren.

Weist du was ein NAT ist und wie man damit arbeitet? Der NAT ist ein sehr wichtiger Bestandteil eines Routers wie auch einer Firewall.
spacyfreak
spacyfreak 04.03.2008 um 06:35:06 Uhr
Goto Top
Ob die FW auf dem Router läuft oder ein seperates Gerät ist ist mehr oder weniger egal.
Wenn ein Port zu ist, ist er zu.
Teurere Firewalls unterscheiden sich im Datendurchsatz und in den speziellen Eigenschaften, z.B. um Denial of Service Angriffe zu erkennen und abzuwehren, z. B. halboffene TCP Verbindungen ab einem Limit zu verwerfen.

Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.

Die Draytec Geräte gefallen mir für kleinere Firmen sehr gut, zumindest nach dem Datenblatt. Wenns sie auch stabil laufen wäre das wohl das Produkt meiner Wahl.
Ich habe in grösseren Umgebungen jedoch eher mit Cisco Maschinen zu tun, die haben einfach einen grösseren Datendurchsatz und verkraften mehr Verbindungen, bei tausenden von Usern kommt man mit einem kleinen Router nicht weit.
wsammy
wsammy 04.03.2008 um 10:52:12 Uhr
Goto Top
Besten Dank für die Infos soweit. Leider wurde nur eine meiner Fragen beantwortet (1.)


1. Was ist der Unterschied zwischen einer Firewall im Router und einer separaten Firewall ?

1a. Wenn es praktisch das gleiche ist, warum kostet dann die Zywal 2 WG ca. 300 Euro und der Draytek Router 2800G inkl. Firewall (SPI) nur ca. 150 Euro?

2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800) (wird vermutlich bei 1a. beantwortet)

Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.

4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
Wenn du jetzt diene IP-Adress 192.168.1.1 eingibst klemmt der sich auf dem Firewall ein weil >du der Firewall sagen musst dass er dich weiterleiten soll.

4a. Wohin weiterleiten?

5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?

Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)

6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)

Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die > IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.

6a. Es besteht die Weiterleitung von Port 8000 -> zur static IP der Kamera (zumindest auf der Firewall) Aber ist dies im lokalen Netz bzw. bei einer VPN Verbindung überhaupt notwendig? (Früher oder später soll die Kamera von jedem Explorer aus erreichbar sein, auch wenn nur zu Übungszwecken, zuerst soll es mal "intern" bzw. über VPN 100% funktionieren.

Weist du was ein NAT ist und wie man damit arbeitet? Der NAT ist ein sehr wichtiger >Bestandteil eines Routers wie auch einer Firewall.

siehe oben: (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Wenn ich NAT zumindest oberflächlich verstanden habe, wird ein Portforwarding mit NAT eingerichtet.

7. Aber, warum die Frage?

Nochmals Danke ! Wie ihr richtig erahnen konnte, weiss ich noch sehr wenig über die ganze Sache. Wenn ich aber Antworten auf meine mehr oder weniger direkten Frage erhalte, komme ich vermutlich sehr schnell einige Schritte vorwärts. Ich habe natürlich auch schon einzelne Definitionen über die Geräte (Firewall, Router, etc) gelesen, aber diese sind mir noch zu theoretisch, deshalb frage ich am Beispiel des Netzwerkes unserer Firma. Sobald ich das verstanden habe, lese ich nochmals das theoretische mit hoffentlich mehr Verständnis.

Besten Dank nochmals !
Arch-Stanton
Arch-Stanton 04.03.2008 um 11:17:36 Uhr
Goto Top
Moin,

Du schreibst, daß Du das Netzwerk für Eure Firma ändern sollst. Nimm es mir nicht übel, aber das sollte jemand machen der sich damit auskennt. Mal eben im Forum anfragen, ersetzt doch keine Erfahrung! Fange doch erst einmal in einem Übungsnetzwerk an zu basteln.

Gruß,
Arch Stanton
wsammy
wsammy 04.03.2008 um 16:31:06 Uhr
Goto Top
Ich möchte es nicht ändern ! Ich möchte an diesem praktischen Beispiel lernen. Damit ich in einem anderen Betrieb ein neues Netzwerk aufbauen kann. Die Fragen sollten doch relativ einfach zu beantworten sein.

Besten Dank!
Gruss
aqui
aqui 04.03.2008 um 17:34:21 Uhr
Goto Top
1. Was ist der Unterschied zwischen einer Firewall im Router und einer separaten Firewall ?

Im Router ist meist nur eine NAT Firewall, die nicht stateful ist. Eine externe Firewall ist meistens eine statueful Firewall (sicherer)

1a. Wenn es praktisch das gleiche ist, warum kostet dann die Zywal 2 WG ca. 300 Euro und der Draytek Router 2800G inkl. Firewall (SPI) nur ca. 150 Euro?

Das ist der unterschied die Software für Stateful und non staeful zu programmieren.

2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
Ist sicherer aber auch teurer...

3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800) (wird vermutlich bei 1a. beantwortet)

Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.

Das verhindern wahrscheinlich die Access Listen der Firewall. Also Firewall entsprechend konfigurieren, das die Zugriffe auf die IP des Routers (Telnet, HTTP etc.) zulässt.

4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
Wenn du jetzt diene IP-Adress 192.168.1.1 eingibst klemmt der sich auf dem Firewall ein weil >du der Firewall sagen musst dass er dich weiterleiten soll.

4a. Wohin weiterleiten?

...auf den Router natürlich, wenn sie dies Packet blockt ! ...logisch ! Wenn alles nichts hilft einen PC direkt am Router anschliessen mit Hub oder Switch und Router direkt connecten ohne durch die FW zu müssen...

5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?

Das ist kompletter Unsinn es sei denn der Router ist kein Router und nur ein dummes passives DSL Modem. Oder er ist ein Router der mit dem PPPoE Passthrough Feature zu einem NUR Modem gemacht wurde !

Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)

Da fehlt wohl das Port Forwarding bzw. Port Translation vom incoming Port TCP 8000 auf die IP und Port 80 der Kamera. Ggf. benutzt die Kamera auch noch weitere Ports als TCP 80 die dann ebenfalls freigegeben werden müssen.

6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)

Ja richtig. Eine VPN Verbindung verhält sich wie eine lokale Verbindung im lokalen Netz.

Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die > IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.

6a. Es besteht die Weiterleitung von Port 8000 -> zur static IP der Kamera (zumindest auf der Firewall) Aber ist dies im lokalen Netz bzw. bei einer VPN Verbindung überhaupt notwendig? (Früher oder später soll die Kamera von jedem Explorer aus erreichbar sein, auch wenn nur zu Übungszwecken, zuerst soll es mal "intern" bzw. über VPN 100% funktionieren.

Du musst ja 2mal forwarden, auf dem Router (sofern er als Router arbeitet ??!) und auf der Firewall. Die Packete müssen ja durch beide Geräte zur Kamera. ggf. fehlt auch noch ein Port wenns nicht nur Port TCP 80 ist.

Weist du was ein NAT ist und wie man damit arbeitet? Der NAT ist ein sehr wichtiger >Bestandteil eines Routers wie auch einer Firewall.

siehe oben: (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Wenn ich NAT zumindest oberflächlich verstanden habe, wird ein Portforwarding mit NAT eingerichtet.

Ja aber dir große Frage ist wer NAT macht, der Router, die FW oder beide ??? Ein Punkt den du ja selber nicht weisst scheibar face-sad

Ein guter Packet Sniffer wie www.WIRESHARK.de oder der MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
sind ein große Hilfe beim Troubleshooting...
spacyfreak
spacyfreak 04.03.2008 um 22:04:39 Uhr
Goto Top
Also, das würd ich nicht unterschreiben, dass Routerfirewalls meist nicht statefull sind.
Die sind doch mittlerweile so gut wie alle statefull, selbst die 50€ WLAN Router bei MediaMurks.
Ob statefull sicherer ist da bin ich auch nicht sicher - es ist jedenfalls "bequemer" da von drinnen nach draussen erstmal alles funktioniert, und Antwortpakete anhand des SYN+Ack auch automatisch durchgelassen werden ohne dass man jeden Pups-Port extra öffnen muss.
Andererseits bläst ein Trojaner-infizierter PC reichlich Spam und anderes Ungemach ins Internet, da die Statefull halt so bequem ist und alles durchlässt was nicht explizit verboten wird per Regel.

Also eine Abwägung zwischen Bequemlichkeit und Sicherheit.

Aber ich glaub das geht jetzt allmählich am Thema vorbei.

Wo waren wir? Maut auf albanischen Autobahnen?
wsammy
wsammy 04.03.2008 um 23:08:34 Uhr
Goto Top
@aqui dir muss ich bald mal was überweisen ! Vielen Dank!

Im Router ist meist nur eine NAT Firewall, die nicht stateful ist. Eine externe Firewall ist >meistens eine statueful Firewall (sicherer)

1. Beim Draytek steht aber Firewall (SPI = Stateful Packet Inspection), demnach wäre die Firewall Stateful und der Preisunterschied nicht zu gerechtfertigen, oder muss man SPI bzw. stateful weiter differenzieren? EDIT: "Zusätzlich verfügen die meisten DSL-Router auch über einen rudimentären Paketfilter, teilweise auch stateful" (http://de.wikipedia.org/wiki/Router#_note-0) Demnach ist für mich klar, dass wir im Geschäft eine Firewall dazwischen setzen.

Das verhindern wahrscheinlich die Access Listen der Firewall. Also Firewall entsprechend >konfigurieren, das die Zugriffe auf die IP des Routers (Telnet, HTTP etc.) zulässt.

2. Kann es auch sein, dass es nicht möglich ist, weil der Router dieselbe IP hat wie die Firewall ?

3. Ist ein Zugriff auf den Router mit einer Firewall dazwischen automatisch nicht möglich, und man muss den Zugriff explizit zulassen, oder muss der Zugriff verweigert worden sein?

Das ist kompletter Unsinn es sei denn der Router ist kein Router und nur ein dummes >passives DSL Modem. Oder er ist ein Router der mit dem PPPoE Passthrough Feature zu >einem NUR Modem gemacht wurde !

4. Es scheint so als ob der Router nur als Modem dient. Denn beim Router sind keine WAN ISP Daten hinterlegt. Zudem ist (Ich bin mir leider nicht mehr ganz sicher wo) unter General Setup folgende Einstellung: "Bridge = yes" Ist das eine sinnvolle Lösung?

Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, >kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine >VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer >zugreifen, aber nicht auf die Kamera. (http://ip:8000)

Da fehlt wohl das Port Forwarding bzw. Port Translation vom incoming Port TCP 8000 auf die >IP und Port 80 der Kamera. Ggf. benutzt die Kamera auch noch weitere Ports als TCP 80 die >dann ebenfalls freigegeben werden müssen.

5. Bei der Firewall habe ich unter NAT Setup / Port Forwarding Setup / Rule 2. Start Port 8000 End Port 8000 IP Adress: IP der Kamera Beim Router habe ich zustäzlich unter SUA Server Setup Port 8000 -> IP der Kamera eingerichtet// bei der Kamera kann eingestellt werden, welcher Port benutzt werden soll. Standardmässig 80, ich habe diesen aber auf 8000 geändert. Und nochmals.. im Geschäft funktioniert der Zugriff ohne Probleme. Was ich nicht begreife, warum muss bei einer bestehenden VPN Verbindung eine andere Einstellung vorgenommen werden, als wen man vom lokalen Netzwerk darauf zugreift? Ich dachte, die VPN Verbindung verhält sich wie eine lokale Verbindung im lokalen Netz.

Ja richtig. Eine VPN Verbindung verhält sich wie eine lokale Verbindung im lokalen Netz.

Was hier auch bestätigt wird.

Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die > IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.

Du musst ja 2mal forwarden, auf dem Router (sofern er als Router arbeitet ??!) und auf der >Firewall. Die Packete müssen ja durch beide Geräte zur Kamera. ggf. fehlt auch noch ein Port >wenns nicht nur Port TCP 80 ist.

Ich habe auf dem Router geforwarded. (obwohl dieser anscheinend nicht einmal als Router arbeitet). Müssen demnach also auch bei einer VPN Verbindung die Ports weitergeleitet werden, oder nicht? (Frage für mein Verständnis, gemacht wurde es ja sowieso)

Ja aber dir große Frage ist wer NAT macht, der Router, die FW oder beide ??? Ein Punkt den >du ja selber nicht weisst scheibar

richtig.. es scheint so, als ob es nur die Firewall ist. Aber da bin ich mir nicht 100% sicher.

Was vielleicht noch wichtig ist:

Der Kamera habe ich eine fixe IP gegeben: 192.168.1.90 Die Firewall hat eine DHCP Range von 192.168.1.51 - 192.168.1.99.

Nochmals vielen Dank!
aqui
aqui 08.03.2008 um 13:37:24 Uhr
Goto Top
ad 1.)
Ja, Draytek ist eine gute Wahl die bieten eine SPI Firewall im Router, da wäre eine zusätzliche externe dann Unsinn.

ad 2.)
Das ist natürlich ein typischer und böser IP Konfigurationsfehler und darf niemals vorkommen ! IP Adressen müssen innerhalb des gleichen IP Netzes einzigartig sein !!!

ad 3.)
Nein, der Zugriff ist immer verweigert per default und du musst ihn explizit zulassen !

ad 4.)
Du musst es ja machen wenn der Router kein eingebautes Modem hat oder du musst ein dediziertes Modem verwenden. Das Modem Feature heisst oft "Bridge" oder "PPPoE Passthrough".

ad 5.)
Mit einer VPN Verbindung benutzt du IP Adressen aus deinem lokalen LAN, was verschlüsselt über einen IPsec (oder PPTP) Tunnel auf den Client PC geleitet wird. Bei einer VPN Verbindung ist also folglich logischerweise kein Port Forwarding nötig, da sich der Client dann wie ein lokal angeschlossener PC verhält !
Kommst du von aussen mit einer öffentlichen IP OHNE VPN Tunnel also mit der reinen datenverbindung musst du zwangsläufig Port Forwarding oder Translation machen.
Du solltest mit einem Packet Snifer wie dem www.WIRESHARK.org oder dem MS-Netmonitor einmal genau nachsehen ob diese Packete an deiner Kamera überhaupt ankommen und ob die Portzuweisung stimmt.
Damit kannst du das Problem schnell und auf Schlag lösen !!

VPN Verbindung:
Ja, wenn dein VPN Server hinter dem Router ist dann benötigst du zwingend eine Port Weiterleitung dahin.
Wenn der Router selber VPN Server ist wie bei den Drayteks, dann ist das nicht nötig. Deshalb ist diese Lösung technisch auch die bessere !

"Der Kamera habe ich eine fixe IP gegeben: 192.168.1.90 Die Firewall hat eine DHCP Range von 192.168.1.51 - 192.168.1.99. "

Diesen IP Unsinn muss man hier wohl nicht weiter kommentieren, oder ??? Das sollte dir auch als Laien schon einleuchten wenn du auf die Wahl der .90 siehst !!!
Die feste IP der Kamera ist mitten in der DHCP Range, was die Gefahr einer IP Doppelbelegung birgt.
Hast du naiv gedacht die Kamera wird dem DHCP Server schon irgendwie sagen das sie mitten in seiner Range liegt und er die .90 doch bitte nicht vergeben soll !! Falsch, beide wissen nichts voneinander und es kann ein IP Chaos mit der .90 drohen !
Das solltest du unbedingt ändern !