2
Ubiquity Edgerouter X - NAT an einem Ausgangsport
Guten Abend,
ich habe da eine Frage bezüglich dem Ubiquity Edgerouter X. Ich hab den seit Jahren im Einsatz um meine normalen Heimgeräte hinter dem Internetmodem und meinem Lab noch eine Zwischenebene zu haben, damit das Lab nicht nach draußen kommt und meine Heimgeräte das Lab nicht erreichen können, außer wenn ich die lokale Routingtabelle ändere.
Der Edgerouter routet von den zwei separaten Netzen nicht ins Internet, aber das soll er auch nicht. Es ginge... wenn ich das Modem im Bridge Mode schalte und einen eigenen Router betreibe, aber genau das ist auch eine Schwachstelle. Beim Providerrouter kann ich mich drauf verlassen, daß er gemangt ist, ein eigener Router ist immer etwas anfällig... neulich war auch mal etwas in den Medien - Ubiquity Edgerouter in genau der Position (Router hinter einem Modem im Bridge Mode) von russichen Hackern geknackt, und vom BND/FBI zurückgepatcht... also kein Route für den Bridgemode.
Nun hab ich aber einen Rechner im Hause, den ich extra isolieren möchte, da auf dem eine Finanzsoftware drauf, die ich gesondert schützen möchte.
Die Idee war halt, ein Doppelnat zu machen, aber im Edgerouter finde ich keine Option, daß ich an ein Interface eine IP Addresse bzw ein Netz aufspannen kann UND das Nat in mein Heimnetz macht. Nat weil... damit man vom Heimnetz nicht ans Gerät in dem "Geheimnetz" kommt, selbst wenn ein Hacker ein Routing auf das Netz dahinter macht - denn per NAt erreicht man ja ohne spezielles Port-Forwarding im Router keine dedizierten Endgeräte.
Ich hab hier mal ein Netzdiagramm gezeichnet... geht das in ein und demselben Edgerouter, oder brauch ich einen zweiten? Der geschützte Rechner soll ins Internet kommen, aber selbst dann nicht erreichbar sein, wenn man ein "route add" verwendet... so mache ich das von einem Privat-PC im nicht geschützen Heimnetz, z.B. um Geräte im Lab zu erreichen... die haben einen Standardgateway was das Netzwerkinterface am Router ist aber faktisch nur in das "öffentliche" Heimnetz 192.168.0/24 routen kann... zwei entsprechend mit Routingeinträgen ergänzte Rechner kennen die Richtung ins Netz 192.168.1/24 und für das Netz hab ich das eingehende Interface vom Router angegeben. Alles an 192.168.1/24 geht an 192.1698.0.254 (Interface vom Edgerouter im 0 Netz.
Ist mein Gedankengang kompeltt abwegig? Der rot eingekreiste PC ist nun mal das Zentrum meiner selbstständigen Einkünfte, und ich möchte den möglichst gut verstecken.
ich habe da eine Frage bezüglich dem Ubiquity Edgerouter X. Ich hab den seit Jahren im Einsatz um meine normalen Heimgeräte hinter dem Internetmodem und meinem Lab noch eine Zwischenebene zu haben, damit das Lab nicht nach draußen kommt und meine Heimgeräte das Lab nicht erreichen können, außer wenn ich die lokale Routingtabelle ändere.
Der Edgerouter routet von den zwei separaten Netzen nicht ins Internet, aber das soll er auch nicht. Es ginge... wenn ich das Modem im Bridge Mode schalte und einen eigenen Router betreibe, aber genau das ist auch eine Schwachstelle. Beim Providerrouter kann ich mich drauf verlassen, daß er gemangt ist, ein eigener Router ist immer etwas anfällig... neulich war auch mal etwas in den Medien - Ubiquity Edgerouter in genau der Position (Router hinter einem Modem im Bridge Mode) von russichen Hackern geknackt, und vom BND/FBI zurückgepatcht... also kein Route für den Bridgemode.
Nun hab ich aber einen Rechner im Hause, den ich extra isolieren möchte, da auf dem eine Finanzsoftware drauf, die ich gesondert schützen möchte.
Die Idee war halt, ein Doppelnat zu machen, aber im Edgerouter finde ich keine Option, daß ich an ein Interface eine IP Addresse bzw ein Netz aufspannen kann UND das Nat in mein Heimnetz macht. Nat weil... damit man vom Heimnetz nicht ans Gerät in dem "Geheimnetz" kommt, selbst wenn ein Hacker ein Routing auf das Netz dahinter macht - denn per NAt erreicht man ja ohne spezielles Port-Forwarding im Router keine dedizierten Endgeräte.
Ich hab hier mal ein Netzdiagramm gezeichnet... geht das in ein und demselben Edgerouter, oder brauch ich einen zweiten? Der geschützte Rechner soll ins Internet kommen, aber selbst dann nicht erreichbar sein, wenn man ein "route add" verwendet... so mache ich das von einem Privat-PC im nicht geschützen Heimnetz, z.B. um Geräte im Lab zu erreichen... die haben einen Standardgateway was das Netzwerkinterface am Router ist aber faktisch nur in das "öffentliche" Heimnetz 192.168.0/24 routen kann... zwei entsprechend mit Routingeinträgen ergänzte Rechner kennen die Richtung ins Netz 192.168.1/24 und für das Netz hab ich das eingehende Interface vom Router angegeben. Alles an 192.168.1/24 geht an 192.1698.0.254 (Interface vom Edgerouter im 0 Netz.
Ist mein Gedankengang kompeltt abwegig? Der rot eingekreiste PC ist nun mal das Zentrum meiner selbstständigen Einkünfte, und ich möchte den möglichst gut verstecken.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84026720583
Url: https://administrator.de/contentid/84026720583
Printed on: April 27, 2024 at 08:04 o'clock
2 Comments
Latest comment
Dein Gedankengang ist nicht abwegig. Ganz im Gegenteil, das ist eine simple und klassische NAT Anwendung.
Du klassifizierst einfach den Traffic aus dem 3er Netz oder noch sicherer nur diese 3er Hostadresse des PCs für NAT und machst dann ein simples outbound Source NAT auf die .0.0 /24er IP Adresse des ERs auf den davorliegenden Router. Dieser "sieht" dann nur eine .0.0er Source IP des PCs und routet den normal ins Internet.
Wenn du einzig nur die PC Adresse NATest musst du allerdings im DHCP Server über eine Mac Adress reservierung dafür sorgen das der immer die gleiche IP bekommt ansonsten würde durch die Dynamik von DHCP irgendwann mal das NAT Statement ins Leere laufen.
So hast du nur den PC hinter einem NAT liegen. Ein simpler Klassiker und normal in 5 Minuten erledigt.
Du klassifizierst einfach den Traffic aus dem 3er Netz oder noch sicherer nur diese 3er Hostadresse des PCs für NAT und machst dann ein simples outbound Source NAT auf die .0.0 /24er IP Adresse des ERs auf den davorliegenden Router. Dieser "sieht" dann nur eine .0.0er Source IP des PCs und routet den normal ins Internet.
Wenn du einzig nur die PC Adresse NATest musst du allerdings im DHCP Server über eine Mac Adress reservierung dafür sorgen das der immer die gleiche IP bekommt ansonsten würde durch die Dynamik von DHCP irgendwann mal das NAT Statement ins Leere laufen.
So hast du nur den PC hinter einem NAT liegen. Ein simpler Klassiker und normal in 5 Minuten erledigt.
also zur Hälfte hab ich es hingekreigt.
hatte leider etwas Konfusion da ich auf zwei Systemen das Interface vom Router offen hatte... auf dem einen hatte ich die IP Addressen der Interfaces selber geändert weil ich glaubte daß ETH0 eine Sonderbehandlung kriegt...
das einzige was ich geändert hatte, war daß ETH0 nun das 192.168.0.0 Netz zu sehen kriegt und nicht mehr 192.168.1.0
Steht leider nirgends, aber für NAT gehts wohl nur auf ETH0
Namensauflösung geht aber noch nicht...
im System war keiner eingetragen... also nachgeholt. Aber dabei passieren merkwürdige Dinge, ich krieg plötzlich beim Ping auf www.spiegel.de eine Antwort Ping wrid ausgeführt für aacfb9d106f4.link11.de
Nach dem Reboot war dann das NAT kaputt. Meine Güte.... blödes Teil kommt gleich in die Tonne.
Noch ein Edit... das Ding braucht wohl ein Update.
die vorher funktioniernden NAT Regeln waren kaputt. Eine hatte ich als "do not touch" beschriftet und kopiert, aber sie geht nicht mehr... was ist das für ein s***?
Neue NAT Regel erstellt und mit einem Mal gehts... DNS Forward steht richtig da aber warum geht erst nach einem Reboot die Namensauflösung richtig UNd warum ist anch dem Reboot NAT kaputt? Versteh ich nicht aber endlich tut es was es ssoll....
hatte leider etwas Konfusion da ich auf zwei Systemen das Interface vom Router offen hatte... auf dem einen hatte ich die IP Addressen der Interfaces selber geändert weil ich glaubte daß ETH0 eine Sonderbehandlung kriegt...
das einzige was ich geändert hatte, war daß ETH0 nun das 192.168.0.0 Netz zu sehen kriegt und nicht mehr 192.168.1.0
Steht leider nirgends, aber für NAT gehts wohl nur auf ETH0
Namensauflösung geht aber noch nicht...
im System war keiner eingetragen... also nachgeholt. Aber dabei passieren merkwürdige Dinge, ich krieg plötzlich beim Ping auf www.spiegel.de eine Antwort Ping wrid ausgeführt für aacfb9d106f4.link11.de
Nach dem Reboot war dann das NAT kaputt. Meine Güte.... blödes Teil kommt gleich in die Tonne.
Noch ein Edit... das Ding braucht wohl ein Update.
die vorher funktioniernden NAT Regeln waren kaputt. Eine hatte ich als "do not touch" beschriftet und kopiert, aber sie geht nicht mehr... was ist das für ein s***?
Neue NAT Regel erstellt und mit einem Mal gehts... DNS Forward steht richtig da aber warum geht erst nach einem Reboot die Namensauflösung richtig UNd warum ist anch dem Reboot NAT kaputt? Versteh ich nicht aber endlich tut es was es ssoll....
1