11
Wie kann ich meinen Webserver im vom Rest des Netzwerkes abschotten
Hallo,
ich betreibe in meinem Heimnetzwerk einen NGINX Webserver, auf dem meine WP Website und ein paar andere Spielereien wie die Nextcloud laufen.
Eigentlich wollte ich ein VLAN oder Subnetz für die Server einrichten, um sie vom Rest des Netzwerkes aus Sicherheitsgründen abzugrenzen. Nun habe ich aber bemerkt, dass meine heimische Fritz Box weder VLAN´s noch Subnetting unterstützt.
Hat jemand eine Idee, wie ich die Server vom Rest meines Netzwerkes getrennt betreiben kann, aber trotzdem über DynDNS über die FritzBox aus dem Internet Zugriff habe ?
PS: Ich habe einen Managed Switch, der Tagged und Portbasierte VLAN´s unterstützt.
Vielen Dank !
CodingSheep
ich betreibe in meinem Heimnetzwerk einen NGINX Webserver, auf dem meine WP Website und ein paar andere Spielereien wie die Nextcloud laufen.
Eigentlich wollte ich ein VLAN oder Subnetz für die Server einrichten, um sie vom Rest des Netzwerkes aus Sicherheitsgründen abzugrenzen. Nun habe ich aber bemerkt, dass meine heimische Fritz Box weder VLAN´s noch Subnetting unterstützt.
Hat jemand eine Idee, wie ich die Server vom Rest meines Netzwerkes getrennt betreiben kann, aber trotzdem über DynDNS über die FritzBox aus dem Internet Zugriff habe ?
PS: Ich habe einen Managed Switch, der Tagged und Portbasierte VLAN´s unterstützt.
Vielen Dank !
CodingSheep
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 598186
Url: https://administrator.de/contentid/598186
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
11 Kommentare
Neuester Kommentar
Firewall + DMZ, die Fritzbox bringt dich nicht weit.
1
Moin,
setze eine virtuelle oder physikalische Firewall deiner Wahl auf, z.B. eine opnsense.
Nutze dort die Fritzbox als Gateway und schließe das Switch als zweites Bein an die opnsense an. Und dann bist du mit VLANs und anderes Subnetz inkl. Firewall Regeln auf dem richtigen Weg.
VG
Tezzla
setze eine virtuelle oder physikalische Firewall deiner Wahl auf, z.B. eine opnsense.
Nutze dort die Fritzbox als Gateway und schließe das Switch als zweites Bein an die opnsense an. Und dann bist du mit VLANs und anderes Subnetz inkl. Firewall Regeln auf dem richtigen Weg.
VG
Tezzla
1
Du könntest dir eine apu2d4 kaufen und pfSense/Opnsense installieren. Das Gerät hat 3 Netzwerkschnittstellen. Eines könnte LAN sein und das andere deine DMZ. Den Zugriff auf den Webserver regelst du dann über die Firewallregeln. Die Fritzbox kannst du ja noch davor setzen. Damit fährst du schon ganz gut und die Kosten bleiben überschaubar.
Ich habe einen Managed Switch, der Tagged und Portbasierte VLAN´s unterstützt.
Kann der Layer 3 (Routing) oder ist das ein einfacher Layer 2 VLAN Switch ?Sofern er L3 kann ist das kinderleicht mit dem Switch zu lösen:
Verständnissproblem Routing mit SG300-28
Nun habe ich aber bemerkt, dass meine heimische Fritz Box weder VLAN´s noch Subnetting unterstützt.
Ein kleiner, zusätzlicher 20 Euro Router löst dein Problem im Handumdrehen...https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
Anleitung dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
oder wenn du es mit VLANs lösen willst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Hi,
vergiss die Antowrt von Certified.
Die FritzBox kann das was du willst sehr wohl.
Nennt sich exposed host.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Wenn du richtig sicher sein willst dann kommst an einer Firewall wie z.B. pfSense nicht vorbei.
Oder schau, wie aqui schon geschrieben hat, ob das Switch ein L3 ist oder nicht. Falls ja Routing falls nein Firewall.
Grüße
vergiss die Antowrt von Certified.
Die FritzBox kann das was du willst sehr wohl.
Nennt sich exposed host.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Wenn du richtig sicher sein willst dann kommst an einer Firewall wie z.B. pfSense nicht vorbei.
Oder schau, wie aqui schon geschrieben hat, ob das Switch ein L3 ist oder nicht. Falls ja Routing falls nein Firewall.
Grüße
Die FritzBox kann das was du willst sehr wohl.
Sorry, aber das ist technisch falsch und zudem auch noch gefährlich. Die exposed Host Funktion hat rein gar nichts mit der Funktion zu tun die der TO anstrebt.Schlimmer noch es bewirkt genau das Gegenteil, denn damit öffnet man den Webserver ungeschützt ins Internet. Doppelt böse bei der FritzBox weil diese das wegen der fehlenden Segmentierungs Möglichkeit auch noch im lokalen LAN macht ohne jeglichen Schutz.
Mit diesem Rat erweist sich der TO also einen gefährlichen Bärendienst.
Versteht man ihn richtig will er ja genau das Gegenteil, nämlich seinen Webserver komplett trennen im lokalen LAN. Genau das erreicht er schnell und einfach mit einem kleinen Firewall Router wie oben mehrfach ja schon gesagt.
Da hab ich wohl schnell quer gelesen.
Aber bevor man dumm wird sollte mal mal lieber sich an der eigenen Nase fassen bevor man solche Aussagen wie "Fähigkeit zum Admin" oder "Hobby Admin" was man selbst offenkundig ist. Dein kleinzeug kannst vielleicht an deine 2 Mann nutzen verscherbeln und dein dummes Gelaber ebenfalls. Naja Idioten und inkompetente Leute die gibts anscheinend überall.
@aqui: hast recht habe es so verstanden dass er das öffentlich betreiben möchte. Bei einem ordentlichen konfigurieren Server ist es aber möglich. Die FB lässt dann den Verkehr von DMZ nach intern nicht zu jedoch andersrum schon.
Sorry fürs querlesen.
Aber bevor man dumm wird sollte mal mal lieber sich an der eigenen Nase fassen bevor man solche Aussagen wie "Fähigkeit zum Admin" oder "Hobby Admin" was man selbst offenkundig ist. Dein kleinzeug kannst vielleicht an deine 2 Mann nutzen verscherbeln und dein dummes Gelaber ebenfalls. Naja Idioten und inkompetente Leute die gibts anscheinend überall.
@aqui: hast recht habe es so verstanden dass er das öffentlich betreiben möchte. Bei einem ordentlichen konfigurieren Server ist es aber möglich. Die FB lässt dann den Verkehr von DMZ nach intern nicht zu jedoch andersrum schon.
Sorry fürs querlesen.
Ohje ein geistiger Tiefflieger der von seinen Eltern keine Erziehung genossen hat.
Es gibt Firmen welche in Sektoren agieren bei welchen das zum einen nicht gewünscht ist und zum anderen das nicht nötig haben bzw es auch nicht nötig haben um Kunden zu ringen wie deine.
Es gibt Firmen welche in Sektoren agieren bei welchen das zum einen nicht gewünscht ist und zum anderen das nicht nötig haben bzw es auch nicht nötig haben um Kunden zu ringen wie deine.
Schlecht drauf, wieder einen erfolglose Woche gehabt, und dann auch noch nicht lesen können...Tut mir Leid für dich..
(Kinder mit Erziehung entschuldigen sich für eine Misverstandene Frage und blöcken nicht weiter rum. )
Denk ich mir, Exposed Host statt Netzwerksegmentierung verkaufen dürfte in der Öffentlichkeit auch nicht gut ankommen. Da kann man gerne auch so um neue Kunden ringen, denn jeder (fast) Kunde ist ein Problem weniger im weltweiten IT-Sicherheitsgefüge, dafür stehe ich mit dem gleichen Engagement, wie ich dir dein Gehabe nicht durchgehen lasse.
IT-Sicherheit ist eben kein Exposed Host oder Any-Any.
(Kinder mit Erziehung entschuldigen sich für eine Misverstandene Frage und blöcken nicht weiter rum. )
Denk ich mir, Exposed Host statt Netzwerksegmentierung verkaufen dürfte in der Öffentlichkeit auch nicht gut ankommen. Da kann man gerne auch so um neue Kunden ringen, denn jeder (fast) Kunde ist ein Problem weniger im weltweiten IT-Sicherheitsgefüge, dafür stehe ich mit dem gleichen Engagement, wie ich dir dein Gehabe nicht durchgehen lasse.
IT-Sicherheit ist eben kein Exposed Host oder Any-Any.
Oh man was muss man hier denn bitte lesen???
Exposed Host ist in keinem Fall mit einer DMZ gleichzusetzen.
Das ist wie, wenn man ein Loch in den Damm bricht und behauptet, man hätte jetzt eine sichere Schleuse.
Dass teilweise sogar (insb. bei älteren Modellen) von Router-Herstellern behauptet wird, es handle sich dabei um eine DMZ, ist einfach nur ein Unding!
Schönen Abend
Exposed Host ist in keinem Fall mit einer DMZ gleichzusetzen.
Das ist wie, wenn man ein Loch in den Damm bricht und behauptet, man hätte jetzt eine sichere Schleuse.
Dass teilweise sogar (insb. bei älteren Modellen) von Router-Herstellern behauptet wird, es handle sich dabei um eine DMZ, ist einfach nur ein Unding!
Schönen Abend
2
Lustig, wie hier die Stasi am Werk ist. Das eine wird ausgeblendet und das andere (Ursprung durch komplette falsch-Aussage) bleibt stehen? Ehrlich?
1
