Routerkonfiguration für VPN-Weiterleitung auf LAN hinter DMZ
Hallo zusammen,
trotzdem ich (noch) Netzwerk-Laie bin, habe ich ein funktionierendes Heimnetzwerk am Laufen.
Jetzt möchte ich mir eine DMZ einrichten und stoße hinsichtlich der Router-Konfiguration (in Zusammenhang mit VPN) an meine Grenzen.
Aber vielleicht klappt es ja mit einem hilfreichen Hinweis ...
ich möchte mir mit zwei Routern nach der Anleitung unter http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html eine DMZ "bauen".
Hardwareseitig sieht die Sache wie folgt aus:
Die im Heise-Artikel beschriebene Konfiguration kann ich (als absoluter Netzwerk-Laie) soweit nachvollziehen.
Meine Frage:
Wie muß ich den 2. Router im Hinblick auf Portweiterleitung etc. Konfigurieren, so daß ich, wenn ich mich mit dem ersten Router über VPN verbinde (wenn ich das richtig verstehe, bin ich dann ja zuerst einmal in der DMZ), in das hinter dem 2. Router liegende LAN komme, dort alle Geräte sehe und ggf. auch eine Remotedesktop-Verbindung mit einem im LAN befindlichen PC aufbauen kann? Die VPN-Verbindung wir per IPSec aufgebaut.
Ganz herzlichen Dank im voraus für hilfreiche Tipps und Hinweise.
Gruß Jürgen
trotzdem ich (noch) Netzwerk-Laie bin, habe ich ein funktionierendes Heimnetzwerk am Laufen.
Jetzt möchte ich mir eine DMZ einrichten und stoße hinsichtlich der Router-Konfiguration (in Zusammenhang mit VPN) an meine Grenzen.
Aber vielleicht klappt es ja mit einem hilfreichen Hinweis ...
ich möchte mir mit zwei Routern nach der Anleitung unter http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html eine DMZ "bauen".
Hardwareseitig sieht die Sache wie folgt aus:
DSL-Modem --> 1. Router mit VPN --> 2. Router --> Clients im LAN
|
|
NAS in DMZ
Meine Frage:
Wie muß ich den 2. Router im Hinblick auf Portweiterleitung etc. Konfigurieren, so daß ich, wenn ich mich mit dem ersten Router über VPN verbinde (wenn ich das richtig verstehe, bin ich dann ja zuerst einmal in der DMZ), in das hinter dem 2. Router liegende LAN komme, dort alle Geräte sehe und ggf. auch eine Remotedesktop-Verbindung mit einem im LAN befindlichen PC aufbauen kann? Die VPN-Verbindung wir per IPSec aufgebaut.
Ganz herzlichen Dank im voraus für hilfreiche Tipps und Hinweise.
Gruß Jürgen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169644
Url: https://administrator.de/contentid/169644
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Wenn der Router 1 der VPN Router ist und du von remote dort eine VPN Session hast, dann hat der VPN Client ja eine IP Adresse aus dem DMZ LAN. Der VPN Client verhält sich also exakt genau so wie das NAS oder andere Clients die im lokalen LAN Segment des Router 1 angeschlossen sind. Ist ja auch der tiefere Sinn eines VPNs !
Um in das Client LAN des Router 2 zu kommen musst du die dort aktive NAT Firewall überwinden, was mit entsprechenden Port Forwarding (Weiterleitungs) Einträgen passiert.
Siehe auch hier:
Kopplung von 2 Routern am DSL Port
Einfaches Beispiel bei dem das DMZ Netz die 172.16.1.0 /24 ist und das Client Netz die 10.16.1.0 /24 und ein DMZ User (VPN Client) auf einem Webserver .100 im Client Segment will:
Dafür trägst du an Router 2 eine Port Weiterleitungsregel ein:
Eingehend Port TCP 80 wird weitergeleitet auf lokale IP 10.16.1.100 (die .100 ist der lokale PC mit dem Webserver)
Analog machst du das für alle Anwendungen die du im Client Netz erreichen willst.
Erheblicher Nachteil ist hier allerdings das du immer nur genau einen Rechner bzw. Port mit einer Anwendung erreichen kannst. Du kannst mit der Port Weiterleitung niemals gleiche Ports zu mehreren lokalen Zielen forwarden ! Ansonsten blockt dir die NAT Firewall alles.
Transparent routen kannst du so von LAN an Router 1 (DMZ) nicht an das Client LAN an Router 2, klar die NAT FW ist ja dazwischen. Das ist leider der gravierende Nachteil dieser "DMZ des kleinen Mannes".
Hast du diese Anforderung, dann ist es besser das Konzept dieser beiden Router in Kaskade zu vergessen und das mit einer kleinen Firewall zu machen mit 3 Interfaces !
Damit hast du dann eine richtige DMZ und kannst die Zugriffsregeln ganz granular einstellen. Außerdem fliesst dein Traffic aus dem Client Segment nicht mehr frei durch das DMZ Segment und kann da mitgesniffert werden. Deshalb ist das mit den 2 Routern auch keine richtige DMZ !
Wie so ein Konzept aussieht kannst du hier:
Heimnetz, verschiedene Ebenen, zwei Router
genau nachlesen, es ist exakt das gleiche Szenario ! Eine einfache Hardware dazu ist z.B. HIER beschrieben.
Damit hast du zentral nur noch ein einziges Gerät zu bedienen was dir alles in einem ermöglicht, VPN, Firewall etc. Von der Handhabe also erheblich einfacher und sicherer !
Wenn du nur einzelne, wenige Applikationen von der DMZ ins Client Netz forwarden musst tuts aber auch das Banalkonzept mit der Kaskadierung 2er billiger Router.
Um in das Client LAN des Router 2 zu kommen musst du die dort aktive NAT Firewall überwinden, was mit entsprechenden Port Forwarding (Weiterleitungs) Einträgen passiert.
Siehe auch hier:
Kopplung von 2 Routern am DSL Port
Einfaches Beispiel bei dem das DMZ Netz die 172.16.1.0 /24 ist und das Client Netz die 10.16.1.0 /24 und ein DMZ User (VPN Client) auf einem Webserver .100 im Client Segment will:
Dafür trägst du an Router 2 eine Port Weiterleitungsregel ein:
Eingehend Port TCP 80 wird weitergeleitet auf lokale IP 10.16.1.100 (die .100 ist der lokale PC mit dem Webserver)
Analog machst du das für alle Anwendungen die du im Client Netz erreichen willst.
Erheblicher Nachteil ist hier allerdings das du immer nur genau einen Rechner bzw. Port mit einer Anwendung erreichen kannst. Du kannst mit der Port Weiterleitung niemals gleiche Ports zu mehreren lokalen Zielen forwarden ! Ansonsten blockt dir die NAT Firewall alles.
Transparent routen kannst du so von LAN an Router 1 (DMZ) nicht an das Client LAN an Router 2, klar die NAT FW ist ja dazwischen. Das ist leider der gravierende Nachteil dieser "DMZ des kleinen Mannes".
Hast du diese Anforderung, dann ist es besser das Konzept dieser beiden Router in Kaskade zu vergessen und das mit einer kleinen Firewall zu machen mit 3 Interfaces !
Damit hast du dann eine richtige DMZ und kannst die Zugriffsregeln ganz granular einstellen. Außerdem fliesst dein Traffic aus dem Client Segment nicht mehr frei durch das DMZ Segment und kann da mitgesniffert werden. Deshalb ist das mit den 2 Routern auch keine richtige DMZ !
Wie so ein Konzept aussieht kannst du hier:
Heimnetz, verschiedene Ebenen, zwei Router
genau nachlesen, es ist exakt das gleiche Szenario ! Eine einfache Hardware dazu ist z.B. HIER beschrieben.
Damit hast du zentral nur noch ein einziges Gerät zu bedienen was dir alles in einem ermöglicht, VPN, Firewall etc. Von der Handhabe also erheblich einfacher und sicherer !
Wenn du nur einzelne, wenige Applikationen von der DMZ ins Client Netz forwarden musst tuts aber auch das Banalkonzept mit der Kaskadierung 2er billiger Router.