DMZ: Kabelmodem vom Netzbetreiber + Router oder eigenes Kabelmodem + Router?

76joda

Benutzer
Mitglied seit
12. Mai 2016
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Hallo zusammen,

ich möchte mein NAS von außen erreichen und beschäftige mich gerade mit dem Aufbau eines sichereren (als jetzt) Heimnetzwerkes mit einer DMZ. Da ich kurzfristig die Möglichkeit habe günstig an Hardware zu kommen interessiert mich erstmal nur, mit welchen zwei Routern ich das am besten umsetzte.

vorhanden:
Hitron-Kabelmodem CVE 30360 (könnte laut Vodaphone aber ein aktuelles Modell bekommen)
Apple-Airport Extreme (kommt weg)

geplant:
Kabelmodem vom Netzanbieter (z.B. Hitron oder Nachfolger) + Router (z.B. Fritzbox... oder Synology RT2600ac)
vs.
eigenes Kabelmodem (z.B. Fritzbox 6660) + Router (z.B. Synology RT2600ac)

Ich überschaue derzeit noch nicht alle Einschränkungen/Möglichkeiten der verschiedenen Kombinationen. Der Vorteil der Verwendung des Kabelmodems wäre: Bei Netzwerkproblemen müsste ich nicht das Kabelmodem raussuchen und anschließen, um Support von Vodaphone zu erhalten.

Falls meine Infos noch nicht ausreichen, was müsst ihr noch wissen?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Ich würde wenn möglich immer ein Kabelmodem nutzen um dahinter dauerhaft einen Router zu betreiben, der selbst bei einem Providerwechsel stehen bleiben kann. Nutzt man ein Kombigerät muss man bei jedem Wechsel alle Einstellungen auf das neue Gerät übertragen.

Was den modemlosen Router angeht, Synology verkauft sowas ist aber kein etablierter Hersteller solcher Geräte. Ich sehe die Dinger sehr skeptisch.
Auch wenn es den ein oder anderen nervt, das beste Preis-/Leistungsverhältnis liefert für mich Draytek.
1. schnelle VPN Hardware
2. kostenfreier VPN Client für alle BS
3. sehr gute Firewall, die auch Portweiterleitungen für die Syno durch die Firewall pipeline schleust und nicht wie die kleinen Soho Geräte und auch AVM an der Firewall vorbei direkt zur Syno.
4. kompetenter Support in D der auch jederzeit per Telefon erreichbar ist.
 
  • Like
Reaktionen: 76joda und blurrrr

76joda

Benutzer
Mitglied seit
12. Mai 2016
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Nutzt man ein Kombigerät muss man bei jedem Wechsel alle Einstellungen auf das neue Gerät übertragen.
Aber am Modem muss ich doch auch Einstellungen vornehmen, wenn ich es für die DMZ nutzen und es nicht im Bridge-Modus mit 2 eigenen Routern dahinter betreiben will. Oder funktioniert das gar nicht wie gedacht und ich muss auf jeden Fall hinter dem Modem 2 Router für eine DMZ betreiben?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Ein Modem wird in der Regel vom Provider gestellt und liefert nur noch einen Ethernet Port zur Verbindung mit dem nachgeschalteteten Router.
Wann immer möglich empfiehlt sich auch nur die Verwendung eines Modems, möglichst kein Router der im Bridge Mode betrieben wird. Bei DOCSIS Kabelanschlüssen nutzt man zB ein Technicolor Modem statt der meist gestellten Fritz. Eine so freigewordene Fritz kann man dann zB super hinter der Firewall als VOIP Telefonanlage nutzen.
Wenn nur Bridgemode möglich ist muss man diese Krücke halt schlucken.
Der Vorteil des abgesetzten Routers ist halt, dass alle deine Einstellungen für dein LAN, Portweiterleitungen etc erhalten bleiben, egal bei welchem Provider du deinen Internetzugang beziehst. Firmen bauen ihre Netzwerk Infra nur so auf.
Du brauchst auch keine 2 Router für eine DMZ plus LAN, das macht zB ein Draytek VPN Router auch unter voller Einbindung der Firewall. Das sogar sehr clever, indem durch durch VLANs intern trotzdem eine Verbindung zwischen DMZ und LAN herstellen kannst. Irgendwie muss man ja aus dem LAN auch mal auf die DMZ zugreifen können.
 
  • Like
Reaktionen: 76joda

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
P.S.: Nur um dem zu entgegenen: Ich habe nichts davon wenn jemand Draytek kauft, arbeite da auch nicht. Habe mit den Geräten und auch mit dem Zusammenspiel der verschiedenen Komponenten (ähnlich Ubiqiti) nur beste Erfahrungen gemacht.
zudem ist der Support und das Updateverhalten von D. vorbildlich.
 
  • Like
Reaktionen: 76joda

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich mach es immer so: Eigenen Router/Firewall + Gerät vom ISP (dann können die da im Fehlerfall auch dran rumfummeln und ich hab damit nix an der Mütze). Ansonsten so wie @NSFH schon sagte, damit auch ein ISP-Wechsel kein Stress macht :)
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Soweit ich weiss, ist es für den Privatnutzer derzeit fast unmöglich, ein reines Kabelmodem (z.B. Technicolor) zu erwerben. Der einzige Importeur liefert gerade nicht. Und die Idee mit der Fritzbox 6660 ist nur teilweise eine, weil sie eben kein reines Modem ist, sondern ein Modemrouter. D.h., wenn Du daran noch einen weiteren Router klemmst, hast Du doppeltes NAT. Die einzige Lösung, die ich dabei kenne, jedenfalls hatte das bei mir Unitymedia damals gemacht/machen können, dass die mir meine Kabelfritzbox übers Internet ge-bridged haben (=zu einem reinen Kabelmodem degradiert), da ich daran einen Draytek ohne doppeltes NAT anschliessen wollte.

Oder man lebt halt mit doppeltem Nat, stellt den Modemrouter so ein, dass alles auf den weiteren, daran angeschlossenen Router (z.B. Draytek) weitergeleited wird. (=Exposed Host).

Soweit ich weiss, ist das Hitron auch kein Modem, sondern ein ModemRouter.

Modem: Ist einzig und allein dafür da, elektrische Signale in IP-Pakete zu übersetzen, ein angeschlossener Router übernimmt dann die Einwahl zum Kabelnetzbetreiber und routet die IP-Pakete zwischen den angeschlossenen Geräten. Und ein ModemRouter (wie die Fritzbox) sind dann beide Funktionen in einem Gerät. Nur dass man bei der Fritzbox als Endkunde die Routerfunktion nicht mehr selbst abschalten kann.
 
  • Like
Reaktionen: 76joda

76joda

Benutzer
Mitglied seit
12. Mai 2016
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Okay, ich sehe schon, dass das etwas komplexer ist als gedacht. Ich habe noch nicht alles verstanden und lese daher erstmal weiter.

Ich nehme erstmal mit:
- ISP-Modem behalten bzw. aktualisieren, kein Gerät mit Doppelfunktion nutzen
- Router von Draytek als Empfehlung
- Eigentlich wollte ich mitnehmen, dass ich die Router nicht kaskadieren sollte um Doppel-NAT zu vermeiden. Nach etwas Recherche finde ich aber Beiträge von Leuten, die trotz Doppel-NAT keine Geschwindigkeitseinbußen haben oder trotz zweier Router kein Doppel-NAT, weil sich dies in einem der Router deaktivieren lässt (modellabhängig natürlich).


Wann immer möglich empfiehlt sich auch nur die Verwendung eines Modems, möglichst kein Router der im Bridge Mode betrieben wird. Bei DOCSIS Kabelanschlüssen nutzt man zB ein Technicolor Modem statt der meist gestellten Fritz. Eine so freigewordene Fritz kann man dann zB super hinter der Firewall als VOIP Telefonanlage nutzen.
Wenn nur Bridgemode möglich ist muss man diese Krücke halt schlucken.

Übrigens ist das Hitron tatsächlich ein Modem/Router und kann im Bridge-Modus betrieben werden. Da es schön relativ alt ist und wahrscheinlich nicht mehr gepflegt wird, will ich es lieber gegen was aktuelleres bei Vodaphone tauschen. Wahrscheinlich ist es aber auch wieder ein Gerät mit Doppelfunktion - im Idealfall abschaltbar.
Ich habe jetzt nicht verstanden, weshalb der Kabelrouter im Bridgemodus einen Nachteil darstellt. Zumal ich wahrscheinlich nichts anderes bekommen werde.
Du brauchst auch keine 2 Router für eine DMZ plus LAN, das macht zB ein Draytek VPN Router auch unter voller Einbindung der Firewall.

Dann schütze ich aber beide Netzwerkbereiche mit ein und derselben Firewall. Ich dachte, dass es gerade sinnvoll wäre mit zwei (unterschiedlichen) Firewalls - also eine je Bereich - zu arbeiten. Oder gilt das nur für Businessnetzwerke und ist privat Overkill?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Macht im privaten in der Tat nur als Redundanz Sinn, sich quasi ein zweites Gerät vorbereitet hinzustellen, wenn Gerät 1 abschmiert, die konfig auf Nr 2 spielen und weiter machen.
Und selbst das ist übertrieben (wobei, mit dem PiHole raspi hab ich das auch so gemacht... Hmmm).
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Nimm die Kabelfritzbox, daran einen Draytek-(oder anderen Router/Firewall), diesen in der Kabelfritzbox als Exposed Host eintragen (oder Du fragst Deinen ISP, ob dieser Dir die FB bridgen kann), und dann machst Du alles weitere im Router (Firewall, VPN) etc. Zwar Routerkaskade, aber wenn man nicht gerade Hard-Gamer ist, ist das zu verschmerzen. Und mit z.B. einem Draytek als Router hast Du 1000mal mehr Möglichkeiten (und auch schnellere, Stichwort VPN) als bei der Fritzbox.
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
ich möchte mein NAS von außen erreichen und beschäftige mich gerade mit dem Aufbau eines sichereren (als jetzt) Heimnetzwerkes mit einer DMZ
Ich hoffe das ist nicht ernst gemeint! Nimm einen Router (vom provider oder eigene z.b. Fritz box), Kauf dir einen pi auf dem du wireguard vpn installierst, machst einen port im router für den pi auf und fertig. Und vergesse DMZ ganz schnell wieder.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
?????
Wenn der TE ein LAN und eine DMZ betreiben will, was zwei unterschiedliche Dinge sind, warum sollte er dieses Vorhaben vergessen?
 
  • Like
Reaktionen: the other

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Er will sein NAS in die DMZ hängen, oder habe ich was überlesen?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Na selbst wenn er das möchte, wäre das ok, wenn die Verwendung das erfordert. Eine DMZ ist für Serverbetrieb gedacht, der Zweck ist entscheidend.
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Okay, ich sehe schon, dass das etwas komplexer ist als gedacht. Ich habe noch nicht alles verstanden und lese daher erstmal weiter.
Jo, beste Voraussetzungen um die Kiste an die "frische Luft" zu hängen.... Zumal es m.E. genau gar keinen Grund gibt eine NAS in die DMZ zu stellen, ganz im Gegenteil... Aber naja, jeder wie er will.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Ich kann dir gleich 10 Gründe nennen, warum es sinnvoll ist einen Server in einer DMZ zu betreiben!
IT-Sicherheit in der Infrastruktur besteht aus mehr als einem Router und einem LAN dahinter.
Ich glaube über so triviale Basics muss man hier nicht diskutieren, zumindest hab ich dazu keine Lust. Lesen bildet.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich würde es vllt nicht ganz so harsch ausdrücken, aber... wenn Dienste sowohl von intern, als auch von extern erreichbar sein "müssen" (und das "ohne" VPN - öffentliche Webserver sind ja auch nicht nur via VPN erreichbar...), dann wäre eine DMZ wohl am zweckdienstlichsten.

Um mich ggf. nochmal zu wiederholen - 2 verschiedene Hardware-Firewalls für den Privatbetrieb ist doch schon ein "bisschen" Overkill :)
(Habe hier - aus "Faulheit" - 2 ISP-Router (normaler Modus, inkl. NAT) und dahinter halt "eine" Firewall, kritische Geschäftsdaten liegen hinter zwei Firewalls (eigentlich sogar 3 :ROFLMAO:) und sind auch nur via VPN zu erreichen)
 
  • Like
Reaktionen: schoeli


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat