Routerkonfiguration für VPN-Weiterleitung auf LAN hinter DMZ

Mitglied: cantor

cantor (Level 1) - Jetzt verbinden

13.07.2011, aktualisiert 18.10.2012, 14362 Aufrufe, 2 Kommentare

Hallo zusammen,

trotzdem ich (noch) Netzwerk-Laie bin, habe ich ein funktionierendes Heimnetzwerk am Laufen.
Jetzt möchte ich mir eine DMZ einrichten und stoße hinsichtlich der Router-Konfiguration (in Zusammenhang mit VPN) an meine Grenzen.
Aber vielleicht klappt es ja mit einem hilfreichen Hinweis ... :) face-smile

ich möchte mir mit zwei Routern nach der Anleitung unter http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html eine DMZ "bauen".

Hardwareseitig sieht die Sache wie folgt aus:


Die im Heise-Artikel beschriebene Konfiguration kann ich (als absoluter Netzwerk-Laie) soweit nachvollziehen.

Meine Frage:
Wie muß ich den 2. Router im Hinblick auf Portweiterleitung etc. Konfigurieren, so daß ich, wenn ich mich mit dem ersten Router über VPN verbinde (wenn ich das richtig verstehe, bin ich dann ja zuerst einmal in der DMZ), in das hinter dem 2. Router liegende LAN komme, dort alle Geräte sehe und ggf. auch eine Remotedesktop-Verbindung mit einem im LAN befindlichen PC aufbauen kann? Die VPN-Verbindung wir per IPSec aufgebaut.

Ganz herzlichen Dank im voraus für hilfreiche Tipps und Hinweise.

Gruß Jürgen
Mitglied: aqui
13.07.2011, aktualisiert 18.10.2012
Wenn der Router 1 der VPN Router ist und du von remote dort eine VPN Session hast, dann hat der VPN Client ja eine IP Adresse aus dem DMZ LAN. Der VPN Client verhält sich also exakt genau so wie das NAS oder andere Clients die im lokalen LAN Segment des Router 1 angeschlossen sind. Ist ja auch der tiefere Sinn eines VPNs ! ;-) face-wink
Um in das Client LAN des Router 2 zu kommen musst du die dort aktive NAT Firewall überwinden, was mit entsprechenden Port Forwarding (Weiterleitungs) Einträgen passiert.
Siehe auch hier:
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Einfaches Beispiel bei dem das DMZ Netz die 172.16.1.0 /24 ist und das Client Netz die 10.16.1.0 /24 und ein DMZ User (VPN Client) auf einem Webserver .100 im Client Segment will:
Dafür trägst du an Router 2 eine Port Weiterleitungsregel ein:
Eingehend Port TCP 80 wird weitergeleitet auf lokale IP 10.16.1.100 (die .100 ist der lokale PC mit dem Webserver)
Analog machst du das für alle Anwendungen die du im Client Netz erreichen willst.
Erheblicher Nachteil ist hier allerdings das du immer nur genau einen Rechner bzw. Port mit einer Anwendung erreichen kannst. Du kannst mit der Port Weiterleitung niemals gleiche Ports zu mehreren lokalen Zielen forwarden ! Ansonsten blockt dir die NAT Firewall alles.
Transparent routen kannst du so von LAN an Router 1 (DMZ) nicht an das Client LAN an Router 2, klar die NAT FW ist ja dazwischen. Das ist leider der gravierende Nachteil dieser "DMZ des kleinen Mannes".
Hast du diese Anforderung, dann ist es besser das Konzept dieser beiden Router in Kaskade zu vergessen und das mit einer kleinen Firewall zu machen mit 3 Interfaces !
Damit hast du dann eine richtige DMZ und kannst die Zugriffsregeln ganz granular einstellen. Außerdem fliesst dein Traffic aus dem Client Segment nicht mehr frei durch das DMZ Segment und kann da mitgesniffert werden. Deshalb ist das mit den 2 Routern auch keine richtige DMZ !
Wie so ein Konzept aussieht kannst du hier:
https://www.administrator.de/forum/heimnetz%2c-verschiedene-ebenen%2c-zw ...
genau nachlesen, es ist exakt das gleiche Szenario ! Eine einfache Hardware dazu ist z.B. HIER beschrieben.
Damit hast du zentral nur noch ein einziges Gerät zu bedienen was dir alles in einem ermöglicht, VPN, Firewall etc. Von der Handhabe also erheblich einfacher und sicherer !
Wenn du nur einzelne, wenige Applikationen von der DMZ ins Client Netz forwarden musst tuts aber auch das Banalkonzept mit der Kaskadierung 2er billiger Router.
Bitte warten ..
Mitglied: cantor
13.07.2011 um 19:35 Uhr
Danke für die Hinweise sowie die interessanten weiterführenden Links!

Ich glaube fast, dass ich mit m0n0wall unbedingt ansehen sollte (auch wenn ich hier die zwei für eine Kaskadierung benötigten Router schon stehen hätte).

Einziges Problem könnte eventuell die Übertragungsrate bei VPN sein, aber das werde ich ausprobieren müssen.
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 1 TagFrageExchange Server63 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Exchange Server
Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?
StefanKittelVor 15 StundenFrageExchange Server12 Kommentare

Hallo, ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden. Das führt mich zu der Vermutung, dass ...

Exchange Server
Exchange-Hack (2021-03) war Angriff erfolgreich? Was dann?
FrM222Vor 3 StundenFrageExchange Server15 Kommentare

Hallo Zusammen, ich bin ganz neu hier im Forum, daher entschuldige ich mich schon mal im Voraus, falls ich beim Einstellen etwas falsch gemacht ...

Python
Könnt ihr bugs finden ?
adriaanVor 18 StundenAllgemeinPython10 Kommentare

Guten Tag liebe Forenmitglieder, Ich schreibe heute diesen Beitrag, weil ich einen Python Zähler entwickelt habe. Diesen würde ich gerne härten und entsprechend gerne ...

Off Topic
So funktioniert das Internet! - Danke, Maus
em-pieVor 1 TagInformationOff Topic2 Kommentare

Anlässlich des Geburtstages unserer orangenen Freundin: So funktioniert das Internet: Alles Gute, liebe Maus :-)

Ausbildung
Projektantrag abgelehnt (IHK)
StrowayerVor 4 StundenFrageAusbildung9 Kommentare

Guten Tag, mein Projektantrag für die IHK wurde leider abgelehnt mit der Begründung: "Bitte überarbeiten Sie Ihren Zeitplan. Die Projektdokumentation sollte nicht 25% der ...

Netzwerke
Cisco IOS: grep?
gelöst PeterGygerVor 20 StundenFrageNetzwerke11 Kommentare

Hallo Falls jemand die Antwort aus dem Ärmel schütteln kann , danke ich im Voraus. In einem Vortrag wurde die Cisco IOS (Catalyst / ...