codingsheep
Goto Top

Wie kann ich meinen Webserver im vom Rest des Netzwerkes abschotten

Hallo,

ich betreibe in meinem Heimnetzwerk einen NGINX Webserver, auf dem meine WP Website und ein paar andere Spielereien wie die Nextcloud laufen.

Eigentlich wollte ich ein VLAN oder Subnetz für die Server einrichten, um sie vom Rest des Netzwerkes aus Sicherheitsgründen abzugrenzen. Nun habe ich aber bemerkt, dass meine heimische Fritz Box weder VLAN´s noch Subnetting unterstützt.

Hat jemand eine Idee, wie ich die Server vom Rest meines Netzwerkes getrennt betreiben kann, aber trotzdem über DynDNS über die FritzBox aus dem Internet Zugriff habe ?

PS: Ich habe einen Managed Switch, der Tagged und Portbasierte VLAN´s unterstützt.

Vielen Dank !

CodingSheep

Content-Key: 598186

Url: https://administrator.de/contentid/598186

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.08.2020 um 10:41:14 Uhr
Goto Top
Firewall + DMZ, die Fritzbox bringt dich nicht weit.
Mitglied: Tezzla
Tezzla 21.08.2020 um 10:47:00 Uhr
Goto Top
Moin,

setze eine virtuelle oder physikalische Firewall deiner Wahl auf, z.B. eine opnsense.
Nutze dort die Fritzbox als Gateway und schließe das Switch als zweites Bein an die opnsense an. Und dann bist du mit VLANs und anderes Subnetz inkl. Firewall Regeln auf dem richtigen Weg.

VG
Tezzla
Mitglied: it-fraggle
it-fraggle 21.08.2020 um 12:06:10 Uhr
Goto Top
Du könntest dir eine apu2d4 kaufen und pfSense/Opnsense installieren. Das Gerät hat 3 Netzwerkschnittstellen. Eines könnte LAN sein und das andere deine DMZ. Den Zugriff auf den Webserver regelst du dann über die Firewallregeln. Die Fritzbox kannst du ja noch davor setzen. Damit fährst du schon ganz gut und die Kosten bleiben überschaubar.
Mitglied: aqui
aqui 21.08.2020 aktualisiert um 12:59:09 Uhr
Goto Top
Ich habe einen Managed Switch, der Tagged und Portbasierte VLAN´s unterstützt.
Kann der Layer 3 (Routing) oder ist das ein einfacher Layer 2 VLAN Switch ?
Sofern er L3 kann ist das kinderleicht mit dem Switch zu lösen:
Verständnissproblem Routing mit SG300-28
Nun habe ich aber bemerkt, dass meine heimische Fritz Box weder VLAN´s noch Subnetting unterstützt.
Ein kleiner, zusätzlicher 20 Euro Router löst dein Problem im Handumdrehen...
https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
Anleitung dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
oder wenn du es mit VLANs lösen willst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Mitglied: Fabezz
Fabezz 21.08.2020 um 14:52:08 Uhr
Goto Top
Hi,
vergiss die Antowrt von Certified.
Die FritzBox kann das was du willst sehr wohl.
Nennt sich exposed host.

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Wenn du richtig sicher sein willst dann kommst an einer Firewall wie z.B. pfSense nicht vorbei.
Oder schau, wie aqui schon geschrieben hat, ob das Switch ein L3 ist oder nicht. Falls ja Routing falls nein Firewall.

Grüße
Mitglied: aqui
aqui 21.08.2020 aktualisiert um 15:24:57 Uhr
Goto Top
Die FritzBox kann das was du willst sehr wohl.
Sorry, aber das ist technisch falsch und zudem auch noch gefährlich. Die exposed Host Funktion hat rein gar nichts mit der Funktion zu tun die der TO anstrebt.
Schlimmer noch es bewirkt genau das Gegenteil, denn damit öffnet man den Webserver ungeschützt ins Internet. Doppelt böse bei der FritzBox weil diese das wegen der fehlenden Segmentierungs Möglichkeit auch noch im lokalen LAN macht ohne jeglichen Schutz.
Mit diesem Rat erweist sich der TO also einen gefährlichen Bärendienst.

Versteht man ihn richtig will er ja genau das Gegenteil, nämlich seinen Webserver komplett trennen im lokalen LAN. Genau das erreicht er schnell und einfach mit einem kleinen Firewall Router wie oben mehrfach ja schon gesagt.
Mitglied: Fabezz
Fabezz 21.08.2020 um 20:43:35 Uhr
Goto Top
Da hab ich wohl schnell quer gelesen.

Aber bevor man dumm wird sollte mal mal lieber sich an der eigenen Nase fassen bevor man solche Aussagen wie "Fähigkeit zum Admin" oder "Hobby Admin" was man selbst offenkundig ist. Dein kleinzeug kannst vielleicht an deine 2 Mann nutzen verscherbeln und dein dummes Gelaber ebenfalls. Naja Idioten und inkompetente Leute die gibts anscheinend überall.

@aqui: hast recht habe es so verstanden dass er das öffentlich betreiben möchte. Bei einem ordentlichen konfigurieren Server ist es aber möglich. Die FB lässt dann den Verkehr von DMZ nach intern nicht zu jedoch andersrum schon.

Sorry fürs querlesen.
Mitglied: Fabezz
Fabezz 21.08.2020 um 21:08:13 Uhr
Goto Top
Ohje ein geistiger Tiefflieger der von seinen Eltern keine Erziehung genossen hat.

Es gibt Firmen welche in Sektoren agieren bei welchen das zum einen nicht gewünscht ist und zum anderen das nicht nötig haben bzw es auch nicht nötig haben um Kunden zu ringen wie deine.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.08.2020 um 21:15:26 Uhr
Goto Top
Schlecht drauf, wieder einen erfolglose Woche gehabt, und dann auch noch nicht lesen können...Tut mir Leid für dich..face-smile

(Kinder mit Erziehung entschuldigen sich für eine Misverstandene Frage und blöcken nicht weiter rum. )

Denk ich mir, Exposed Host statt Netzwerksegmentierung verkaufen dürfte in der Öffentlichkeit auch nicht gut ankommen. Da kann man gerne auch so um neue Kunden ringen, denn jeder (fast) Kunde ist ein Problem weniger im weltweiten IT-Sicherheitsgefüge, dafür stehe ich mit dem gleichen Engagement, wie ich dir dein Gehabe nicht durchgehen lasse. face-wink IT-Sicherheit ist eben kein Exposed Host oder Any-Any.
Mitglied: Ad39min
Ad39min 21.08.2020 um 22:33:29 Uhr
Goto Top
Oh man was muss man hier denn bitte lesen???

Exposed Host ist in keinem Fall mit einer DMZ gleichzusetzen.
Das ist wie, wenn man ein Loch in den Damm bricht und behauptet, man hätte jetzt eine sichere Schleuse.

Dass teilweise sogar (insb. bei älteren Modellen) von Router-Herstellern behauptet wird, es handle sich dabei um eine DMZ, ist einfach nur ein Unding!

Schönen Abend
Mitglied: falscher-sperrstatus
falscher-sperrstatus 22.08.2020 aktualisiert um 12:16:51 Uhr
Goto Top
Lustig, wie hier die Stasi am Werk ist. Das eine wird ausgeblendet und das andere (Ursprung durch komplette falsch-Aussage) bleibt stehen? Ehrlich?