Ubiquity Edgerouter X - NAT an einem Ausgangsport
Guten Abend,
ich habe da eine Frage bezüglich dem Ubiquity Edgerouter X. Ich hab den seit Jahren im Einsatz um meine normalen Heimgeräte hinter dem Internetmodem und meinem Lab noch eine Zwischenebene zu haben, damit das Lab nicht nach draußen kommt und meine Heimgeräte das Lab nicht erreichen können, außer wenn ich die lokale Routingtabelle ändere.
Der Edgerouter routet von den zwei separaten Netzen nicht ins Internet, aber das soll er auch nicht. Es ginge... wenn ich das Modem im Bridge Mode schalte und einen eigenen Router betreibe, aber genau das ist auch eine Schwachstelle. Beim Providerrouter kann ich mich drauf verlassen, daß er gemangt ist, ein eigener Router ist immer etwas anfällig... neulich war auch mal etwas in den Medien - Ubiquity Edgerouter in genau der Position (Router hinter einem Modem im Bridge Mode) von russichen Hackern geknackt, und vom BND/FBI zurückgepatcht... also kein Route für den Bridgemode.
Nun hab ich aber einen Rechner im Hause, den ich extra isolieren möchte, da auf dem eine Finanzsoftware drauf, die ich gesondert schützen möchte.
Die Idee war halt, ein Doppelnat zu machen, aber im Edgerouter finde ich keine Option, daß ich an ein Interface eine IP Addresse bzw ein Netz aufspannen kann UND das Nat in mein Heimnetz macht. Nat weil... damit man vom Heimnetz nicht ans Gerät in dem "Geheimnetz" kommt, selbst wenn ein Hacker ein Routing auf das Netz dahinter macht - denn per NAt erreicht man ja ohne spezielles Port-Forwarding im Router keine dedizierten Endgeräte.
Ich hab hier mal ein Netzdiagramm gezeichnet... geht das in ein und demselben Edgerouter, oder brauch ich einen zweiten? Der geschützte Rechner soll ins Internet kommen, aber selbst dann nicht erreichbar sein, wenn man ein "route add" verwendet... so mache ich das von einem Privat-PC im nicht geschützen Heimnetz, z.B. um Geräte im Lab zu erreichen... die haben einen Standardgateway was das Netzwerkinterface am Router ist aber faktisch nur in das "öffentliche" Heimnetz 192.168.0/24 routen kann... zwei entsprechend mit Routingeinträgen ergänzte Rechner kennen die Richtung ins Netz 192.168.1/24 und für das Netz hab ich das eingehende Interface vom Router angegeben. Alles an 192.168.1/24 geht an 192.1698.0.254 (Interface vom Edgerouter im 0 Netz.
Ist mein Gedankengang kompeltt abwegig? Der rot eingekreiste PC ist nun mal das Zentrum meiner selbstständigen Einkünfte, und ich möchte den möglichst gut verstecken.
ich habe da eine Frage bezüglich dem Ubiquity Edgerouter X. Ich hab den seit Jahren im Einsatz um meine normalen Heimgeräte hinter dem Internetmodem und meinem Lab noch eine Zwischenebene zu haben, damit das Lab nicht nach draußen kommt und meine Heimgeräte das Lab nicht erreichen können, außer wenn ich die lokale Routingtabelle ändere.
Der Edgerouter routet von den zwei separaten Netzen nicht ins Internet, aber das soll er auch nicht. Es ginge... wenn ich das Modem im Bridge Mode schalte und einen eigenen Router betreibe, aber genau das ist auch eine Schwachstelle. Beim Providerrouter kann ich mich drauf verlassen, daß er gemangt ist, ein eigener Router ist immer etwas anfällig... neulich war auch mal etwas in den Medien - Ubiquity Edgerouter in genau der Position (Router hinter einem Modem im Bridge Mode) von russichen Hackern geknackt, und vom BND/FBI zurückgepatcht... also kein Route für den Bridgemode.
Nun hab ich aber einen Rechner im Hause, den ich extra isolieren möchte, da auf dem eine Finanzsoftware drauf, die ich gesondert schützen möchte.
Die Idee war halt, ein Doppelnat zu machen, aber im Edgerouter finde ich keine Option, daß ich an ein Interface eine IP Addresse bzw ein Netz aufspannen kann UND das Nat in mein Heimnetz macht. Nat weil... damit man vom Heimnetz nicht ans Gerät in dem "Geheimnetz" kommt, selbst wenn ein Hacker ein Routing auf das Netz dahinter macht - denn per NAt erreicht man ja ohne spezielles Port-Forwarding im Router keine dedizierten Endgeräte.
Ich hab hier mal ein Netzdiagramm gezeichnet... geht das in ein und demselben Edgerouter, oder brauch ich einen zweiten? Der geschützte Rechner soll ins Internet kommen, aber selbst dann nicht erreichbar sein, wenn man ein "route add" verwendet... so mache ich das von einem Privat-PC im nicht geschützen Heimnetz, z.B. um Geräte im Lab zu erreichen... die haben einen Standardgateway was das Netzwerkinterface am Router ist aber faktisch nur in das "öffentliche" Heimnetz 192.168.0/24 routen kann... zwei entsprechend mit Routingeinträgen ergänzte Rechner kennen die Richtung ins Netz 192.168.1/24 und für das Netz hab ich das eingehende Interface vom Router angegeben. Alles an 192.168.1/24 geht an 192.1698.0.254 (Interface vom Edgerouter im 0 Netz.
Ist mein Gedankengang kompeltt abwegig? Der rot eingekreiste PC ist nun mal das Zentrum meiner selbstständigen Einkünfte, und ich möchte den möglichst gut verstecken.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84026720583
Url: https://administrator.de/forum/ubiquity-edgerouter-x-nat-an-einem-ausgangsport-84026720583.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
2 Kommentare
Neuester Kommentar
Dein Gedankengang ist nicht abwegig. Ganz im Gegenteil, das ist eine simple und klassische NAT Anwendung.
Du klassifizierst einfach den Traffic aus dem 3er Netz oder noch sicherer nur diese 3er Hostadresse des PCs für NAT und machst dann ein simples outbound Source NAT auf die .0.0 /24er IP Adresse des ERs auf den davorliegenden Router. Dieser "sieht" dann nur eine .0.0er Source IP des PCs und routet den normal ins Internet.
Wenn du einzig nur die PC Adresse NATest musst du allerdings im DHCP Server über eine Mac Adress reservierung dafür sorgen das der immer die gleiche IP bekommt ansonsten würde durch die Dynamik von DHCP irgendwann mal das NAT Statement ins Leere laufen.
So hast du nur den PC hinter einem NAT liegen. Ein simpler Klassiker und normal in 5 Minuten erledigt.
Du klassifizierst einfach den Traffic aus dem 3er Netz oder noch sicherer nur diese 3er Hostadresse des PCs für NAT und machst dann ein simples outbound Source NAT auf die .0.0 /24er IP Adresse des ERs auf den davorliegenden Router. Dieser "sieht" dann nur eine .0.0er Source IP des PCs und routet den normal ins Internet.
Wenn du einzig nur die PC Adresse NATest musst du allerdings im DHCP Server über eine Mac Adress reservierung dafür sorgen das der immer die gleiche IP bekommt ansonsten würde durch die Dynamik von DHCP irgendwann mal das NAT Statement ins Leere laufen.
So hast du nur den PC hinter einem NAT liegen. Ein simpler Klassiker und normal in 5 Minuten erledigt.