DMZ mit 2 Routern aufbauen

    Hät da mal ne Frage:


    Ich möchte bei mir im Netz eine DMZ einrichten. Dazu kann man entweder einen entsprechenden Router mit 3 Netzwerkkarten nutzen, oder aus 2 "normalen" Routern mit integrierter Firewall die Zone zwischen LAN und WAN abgrenzen ( Ich hoffe Ihr habt mich verstanden)


    Frage:
    Kann ich für die beiden Router nicht einfach 2 DSL-Router nutzen?? Die schließt man ja sowieso immer noch über Ethernet ans DSL-Modem. Bin mir nicht ganz sicher wegen den Protokollen...


    Ich stelle mir das vor:


    Internet(WAN)<->DSL-Modem<->Router<->DMZ<->Router<->LAN


    Hardwareseitig denke ich an den NETGEAR RP614, soll recht gut sein und ist bezahlbar.


    Hintergrund: Ich ahbe heute noch einen PC mit IPCOP als Router am laufen. Leider sind die beiden einzigen PCI-Slots mit zwei Netzwerkkarten voll, und eine dritte würde nur noch als ISA da reinpassen. Zudem ist der Stromverbrauch bei den Netgeargeräten (oder vergleichbaren) bei weitem nicht so hoch.


    Hat jemand damit Erfahrung? Oder bin ich der einzige Verrückte der eine DMZ basteln will :rolleyes:

    VDR 1.4.6 Duron 1300 - 736 MB Ram - 4*160GB Samsung SP1604N - 2*160GB WD - 1*400GB Samsung - 1*500GB WD - 1*Nexus Rev.2.1 - 1*NovaSE

    Würde ja behaupten, das die Firewall-Geschichten bei den DSL Routern nur auf den WAN-Port wirken, da intern ja ungehinderter Netzverkehr möglich ist. Leider ist der WAN-Port ja mit dem DSL-Modem belegt...


    Vielleicht irre ich aber auch :)


    Greets!

    Da gabs über genau das Thema (2 Router -> 1 DMZ) in der c't 5/04 einen interessanten (aber kurzen) Artikel auf S. 200.


    Man muss m.W. einen sekundären (DSL-)Router benutzen, der einen 10/100Mbit-WAN-Port hat. Hab den Artikel aber nicht mehr im Kopf...


    Find ich eigentlich auch ganz sinnvoll so eine Einrichtung... :]

    VDR 1: AOpen AK33 + Duron 750 + 256 MB PC100+ Technisat Skystar 2.6C + 10 GB IBM (SuSE 9.3, VDR 1.4.1 mit streamdev-0.3.3, nvram-wakeup und vdradmin)
    VDR 2: ECS K7VTa3 + Duron 1600 + 256 MB DDR266 + TT Budget T-1300 + Technisat Airstar 2 + DXR3 + 20 GB IBM (SuSE 9.3, VDR 1.4.0 mit ein paar Plugins)

    Zitat

    Würde ja behaupten, das die Firewall-Geschichten bei den DSL Routern nur auf den WAN-Port wirken


    Richtig, und genau das will ich ja nutzen, um mit dem zweiten Router das LAN von der DMZ anzuschotten. Problem ist wohl, dass die Router auf der WAN-Seite meist nur das PPPOE-Protokoll beherschen und meist nur für 10MBit ausgelegt sind.


    Mit den 10Mbit könnte ich sogar noch leben, ich will ja nur meinen FTP/Web/EMailserver aus meinem LAN in die DMZ schieben.


    Bei netgear auf der HP findest Du zwar "normale" Router mit FW, aber keine Ahnung was die Kosten und woher bekommen....

    VDR 1.4.6 Duron 1300 - 736 MB Ram - 4*160GB Samsung SP1604N - 2*160GB WD - 1*400GB Samsung - 1*500GB WD - 1*Nexus Rev.2.1 - 1*NovaSE

    Zitat

    Da gabs über genau das Thema (2 Router -> 1 DMZ) in der c't 5/04 einen interessanten (aber kurzen) Artikel auf S. 200.


    Genau der Artikel war es der mich auf die Idee gebracht hat, aber finde mal einen NICHT-DSL-Router mit Firewall und Webinterface zur Administration (am besten zum akzeptablem Preis) .....

    VDR 1.4.6 Duron 1300 - 736 MB Ram - 4*160GB Samsung SP1604N - 2*160GB WD - 1*400GB Samsung - 1*500GB WD - 1*Nexus Rev.2.1 - 1*NovaSE

    Hi,


    dazu habe ich mir einen Lex-Barebone (533Mhz) hingestellt.
    Das Ding hat 3 Netzwerkkarten und läuft mit debian problemlos...
    Verbrauchen tut es so um die 13W...


    Lars

    server H97M Anniversary + i7-4790 (16GB) im lxc container ubuntu 15.04 server 3.19.0-20-generic / vdr 2.2.0 container ubuntu 14.10 satip 2.2.2 / inverto iplnb V1.20.0.71 / openelec (Zotac AD02) / FireTV mit kodi

    So was könnte ich auch mit dem IPcop machen, dritte Karte läst sich besorgen.


    Neben dem Strom ist bei mir aber auch die Verkabelung ein Problem, von daher bietet sich bei DMZ eine örtliche Trennung der beiden Firewalls bei mir an...

    VDR 1.4.6 Duron 1300 - 736 MB Ram - 4*160GB Samsung SP1604N - 2*160GB WD - 1*400GB Samsung - 1*500GB WD - 1*Nexus Rev.2.1 - 1*NovaSE

    Bin auch gerade dabei, das Bastelprojekt aus der c't nachzubauen. Mein Via Mini-ITX zieht mit Festplatte (2,5") gerade mal 15W - und die Teile waren gar nicht so teuer.


    Gruß


    Marcedi


    EDIT : HoppaZ woher hats Du denn den LEX Barebone ?

    Mein "Neuer":
    Hardware : Asrock ION330HT | 2x TT-connect S2-3650 (DVBS2-USB) | FreeNAS im Keller (1TB) für DVD Images
    Software : yaVDR 0.3


    Mein "Schmuckstück" im Ruhestand:
    Hardware : Silverstone Lascala LC04 | Via Epia ME 6000 | 512 MB | 250GB Samsung HDD | TT FF 1.6 | SkyStar 2.6D | AVBoard
    Software : LinVDR Mahlzeit 3.2

    Einmal editiert, zuletzt von marcedi ()

    LEX Light-860A-3R53F habe ich bei www.hrt.de bestellt. (ca. 273€)


    Ne alte Laptopplatte habe ich noch gehabt und dann mußte da nur noch Speicher rein...


    Nun hört man Webserver und Firewall nicht mehr lüftern! Als Firewall läuft das ganze mit einer Netzwerkkarte.


    Die angenehme Ruhe und die Stromaufnahme rechtfertigen den Preis...!


    Installieren kann man den Kram über ein Debian-Netzboot-Image...

    server H97M Anniversary + i7-4790 (16GB) im lxc container ubuntu 15.04 server 3.19.0-20-generic / vdr 2.2.0 container ubuntu 14.10 satip 2.2.2 / inverto iplnb V1.20.0.71 / openelec (Zotac AD02) / FireTV mit kodi

    Hi,


    grundsätzlich ist sowas sicher sinnvoll. Mit DSL Routern würde ich das aber nicht unbedingt machen, da deren Firewalls aka portfilter nicht unbedingt der Hit sind. Zumal, wenn man sichd en Aufwand der DMZ gibt will man evtl. doch mehr an Funktionalität haben. Routerseitig würde ich sowas evtl mit fli4l lösen und via ebay kleine Rechner (Pizzabox) besorgen. Das ist flexibler und als Hardware reicht da ein PI 200, d.h. das lässt sich auch passiv kühlen.


    bye


    Sven


    Link: Richtig fragen

    Wenn der Router DMZ <-> Trusted sich am WAN Port eine statische IP geben lässt, man PAT ausschalten kann oder der Router selbst erkennt, dass er, wenn es sich um zwei RFC1819 Netze handelt, PAT ausschaltet, dann sollte es wohl funktionieren. 2x PAT (aka NAT) würde wohl auch funktionieren, aber zum einen ist es eigentlich nicht üblich und zum anderen kann's mit manchen Protokollen Probleme geben, die an und für sich schon nicht direkt PAT-freundlich sind (z.B. Netmeeting dürfte über 2x PAT wohl die Hölle sein, hab's aber noch nicht getestet).

    Problems in Windows? - Reboot!
    Problems in Linux? - Be Root!

    Hi


    gehen tut sowas (NAT und diverse garstige Protokolle) aber glaub mir, das will man nicht mit soho DSL Routern machen. entweder ein ausgewachsener Linux/BSd rEchner als Router oder ein "richtiger" Router (Cisco oder was in dem Kaliber) mit vernünftigem IOS das weitergehende Konfiguration zulässt.


    bye


    Sven


    Link: Richtig fragen

    Zitat

    Original von SvenS
    gehen tut sowas (NAT und diverse garstige Protokolle) aber glaub mir, das will man nicht mit soho DSL Routern machen.


    ACK. Aber es ging ja erst mal um die grundsätzliche technische Möglichkeit.


    Zitat

    Original von SvenS
    entweder ein ausgewachsener Linux/BSd rEchner als Router oder ein "richtiger" Router (Cisco oder was in dem Kaliber) mit vernünftigem IOS das weitergehende Konfiguration zulässt.


    Ich möchte jetzt mal anmerken, dass ein Cisco für ein Heimnetzwerk wohl "etwas" oversized ist (btw. bin CCNA). Sogar ein Bintec (die sind wirklich schön einfach zu konfigurieren) ist da wohl schon eher High-End.
    Ich persönlich würde ja auch die Linux-Lösung mit 3 NICs bevorzugen, aber wenn's halt slot-technisch nicht geht...

    Problems in Windows? - Reboot!
    Problems in Linux? - Be Root!

    Kann auch nur von den billigen Boxen ( SMC, Netgear, etc ) abraten. Die FW bzw Packetfilter sind net besonders.


    Bei Boxen würde ich Cisco oder Watchguard empfehlen, wenn das Kleingeld reicht, oder aber auf nen Barebone (s.o.) IPCop oder FLI4L packen.

    Registered VDR User #841
    P4 1.7, 256 MB Ram, 200 GB Samsung, TT DVB-C 2.1, TT DVB-C 1500, VDR Extension Board, 12.1" TFT, Pearl Mod-It Gehäuse  
    Suse 10, Kernel 2.6.13-15.11-default, VDR 1.4.2-BP

    ui jetzt habe ich mir schon solagne überlegt wie ich mein Netzwerk ins Internet bringen will und war schon bei einem Router + DSL-Modem angelangt so 60 Euro würde des zusammen machen.


    Ich habe eine Fritzcard DSL+ISDN und Netzwerk karten habe ich auch so mir mal 25 Stück in der Schule aus alten REchnern mal vor paar vielen Jahren mitgenommen.


    Dann bräuchte ich doch nur noch ein Board und Netzteil das sehr sehr wenig Strom zieht und dann wäre ich doch von der Stromaufnahme besser da stehen wie mit einem Router + DSL Modem oder?


    Könnt ihr mir ein Board und netzteil empfehlen das solche Futures mitbringt?

    Aktuelle Systeme:
    VDR-Server: MSI KT6A Ultra FISR ; Athlon XP 2200+ ; GrKa Geforce 2 MX; 256MB DDR-SDRam Plugins: streamdev-server, remote
    2 x DVB-Budget Karte, Gentoo, Kernel 2.6.8 usw....

    Zitat

    Leider sind die beiden einzigen PCI-Slots mit zwei Netzwerkkarten voll, und eine dritte würde nur noch als ISA da reinpassen.


    Es gibt doch USB <==> Ethernet Adapter
    Oder
    Es gab doch auch mal Netzwerkkarten mit mehreren NIC's

    Aktuelle Systeme:
    VDR-Server: MSI KT6A Ultra FISR ; Athlon XP 2200+ ; GrKa Geforce 2 MX; 256MB DDR-SDRam Plugins: streamdev-server, remote
    2 x DVB-Budget Karte, Gentoo, Kernel 2.6.8 usw....

    Als Firewall Software kann ich


    http://www.astaro.de/


    empfehlen, die kann bis zu 8 Netzwerkkarten und ist absolut professionell, kann mit Cisco Pix und Watchguard mithalten.


    Läuft ab ca 200 MHz CPU.


    Für kleinere Rechner kann man


    http://www.smoothwall.org


    verwenden, läuft bei mir mir mit 3 ISA-Netzwerkarten auf einem 486 DX 50.


    Beide können auch DSL, Smoothwall sogar DynDNS.


    Beide können in wenigen Minuten installiert werden, Linux-Kenntnisse sind (im Gegensatz zu vdr) absolut nicht notwendig.


    Beide sind bei privater Nutzung kostenlos.

    VDR : POV Atom 330-1 Mainboard, MSI TV@nywhere Satellite II, 2 GB RAM, natürlich mit yaVDR 0.61. Heimkino mit Onkyo AVR, Nubert-Surround-Boxen und JVC Beamer mit 4K und HDR. HD-VDR für Newbies: www.partyfotos.de/vdr

    Einmal editiert, zuletzt von Bernie7 ()

    Zitat

    Original von BlackKing
    Dann bräuchte ich doch nur noch ein Board und Netzteil das sehr sehr wenig Strom zieht und dann wäre ich doch von der Stromaufnahme besser da stehen wie mit einem Router + DSL Modem oder?


    Könnt ihr mir ein Board und netzteil empfehlen das solche Futures mitbringt?


    Hi,


    besorg Dir via ebay einen alten 486er inkl. Board. Der lässt sich passiv kühlen, braucht echt wenig Strom und auf "neueren" Boards sind auch PCI Slots drauf. Dazu noch ein Pizzabox Gehäuse und schon hast du einen feinen kleinen, nicht sehr stromhungrigen Router. wenn das ganze dann noch von CF-Card, diskette oder CD bootet, dann fällt die Platte auch noch weg.


    bye


    Sven


    Link: Richtig fragen

    Hallo!
    Wer von euch betreibt denn seinen Router ohne Festplatte?
    Ich benutze zZt. den IPCop 1.3 und bin damit zufrieden, bis darauf, dass die Festplatte sich nicht abschalten lässt.
    Der Rechner ist ein sehr alter 133Mhz Pentium mit ner 420MB Platte. Die ist alt und laut, deshalb würd ich sie gerne nach dem booten in den Schlafmodus versetzen.
    Das Problem ist, dass der Router IPSec können muss, da ich mich über ein VPN manchmal in ein RZ verbinden muss. Deshalb schied bis jetzt FLI4L für mich aus.
    Also: Wer kennt Alternativen (am besten für lau) zum IPCop die während des Betriebes die Festplatte abschalten und die IPSec-fähig sind?


    Gruß
    Jarny

    MLD 3.0.3 Server. Aufnahmen schaue ich mit einem separaten XBMC (OpenElec Distribution) im Wohnzimmer am 47 Zoll HD Fernseher

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden