Firewall für Heimnetz gesucht

[whitbread]

@Bordi: Warum muss er doppeltes NAT machen, wenn die Fritte der NAT-Router bliebe und dahinter die FW vor dem LAN hinge?

Ich trenne WLAN und LAN sehr wohl und meine SIP-Phones hängen quasi in der DMZ

Auch wenn bisserl oT: Wenn mehrere AP's benötigt werden würde ich dringend raten, hier Produkte zu verwenden, die zentral gemanaged werden können. Ob Ubiquity oder MikroTik ist da Geschmacksfrage. Hintergrund ist, dass sich bestimmte devices (Apple u.a.) einfach weigern vernünftig zu roamen; da muss dann mit dem AP nachgeholfen werden.

 

[Bordi]

Warum muss er doppeltes NAT machen, wenn die Fritte der NAT-Router bliebe und dahinter die FW vor dem LAN hinge?.

Weil beide Router & FWS ein eigenes NAT haben. Es kommt also zum NAT hinter einem NAT (Ventil hinter Ventil). Schmeisst du bei der Fritte das NAT raus, wird sie zum "dummen" Modem. Aber hey, keine sache: Auf ebay findet sich sicherlich ein günstiges P-870M, und wen du die Fritte hinter allem nur zum Telefonieren nutzt, interessiert es auch keinen.

 

[whitbread]

Sry - da komme ich jetzt nicht mit. Der Router mit der öffentlichen IP muss NATen das ist klar, aber warum muss eine dahinter liegende FW auch NAT machen. Geht doch mit ganz normalem Routing...

 

[wuebra]

Was spricht eigentlich gegen den Neuen Synology Router? Der hat ja alles möglichen VPN. SW Firewall. DMZ...soweit die Grunddinge

 

[JudgeDredd]

Was spricht eigentlich gegen den Neuen Synology Router? Der hat ja alles möglichen VPN. SW Firewall. DMZ...soweit die Grunddinge

Ich kenne das Ding ja nicht, aber ....

• wie sieht es mit 802.1Q aus
• kann man das NAT abschalten
• hat er ein CaptivePortal
• kann sich der VPN Host an einem ADS authentifizieren
• kann er er WPA2 Enterprise

 

[Bordi]

..Geht doch mit ganz normalem Routing...

Wen du meinst.... Ich freue mich auf deine Ergebnisse.

 

[whitbread]

Hmm - stehe ich auf dem Schlauch?!? Also ich versuche mal kurz zu skizzieren:

<Public IP>
|
[NAT-Router]
|
<192.168.0.0/24> (Transfer-Subnetz)
|
[Firewall] - <192.168.7.0/24> (DMZ)
|
<192.168.1.0/24>
(LAN)


oder alternativ:

<Public IP>
|
[NAT-Router]
|
<192.168.0.0/24> (DMZ)
|
[Firewall]
|
<192.168.1.0/24>
(LAN)

Nicht das dies jetzt das optimale Setup wäre, aber wenn Gründe für die Nutzung der Fritte sprechen (bspw. Telefonie) zumindest besser als nix imho. Ich hatte dieses Setup gewählt bis ich mit dem Setup meines Routers / meiner FW soweit vertraut und zufrieden war, dass ich den vom ISP gelieferten NAT-Router zum Modem degradieren konnte.

 

[Bordi]

dass ich den vom ISP gelieferten NAT-Router zum Modem degradieren konnte.

Also ne, jetzt wirds Bunt. Deine Variante 1 ist genau das was nicht soll, es sei den du degradierst den NAT-Router zum Modem, aber dann musst du an der stelle auch ein Modem aufzeichnen und das Transfer-Subnetz entfernen da die Verbindung mittel PPPoE aufgebaut wird (How-to). Zweitens macht man nicht zwei Netze im selben Netzadressbereich.

<Public IP>
|
[Modem]
|
[Firewall]
| - <172.16/12> (DMZ)
| - <192.168/16> (LAN)

Drittens: Wen du schon mit zwei Routern ein DMZ aufbauen möchtest, ohne einen davon zu degradieren, dann gibt es dafür nur einen möglichen Aufbau.

...und fünftens hast du ja noch die Möglichkeit die Fritte als reine VoIP-Telefonbox zu nutzen. Anders als beim Modem-Modus ("Bridge-Mode") ist hierfür kein Umbau notwendig.

<Public IP>
|
[Modem]
|
[Firewall]
| - <172.16/12> (DMZ)
| - <192.168/16> (LAN)
| - <10/8> (VoIP) alias FritzBox

Wobei die FB auch im LAN hängen kann und unter der Voraussetzung das man auch tatsächlich VoIP nutzt. Bei POTS oder ISDN sieht das ganz anders aus, weil du da ein DSL-Splitter vor das Modem setzt (den du bei VoIP only nicht brauchst)...und sechstens kannst du deine FB auch zum AP umbauen.

<Public IP>
|
[Modem]
|
[Firewall]
| - <172.16/12> (DMZ)
| - <192.168/16> (LAN) + (WLAN) alias FritzBox


Ich hoffe das hilft dir jetzt von deinem Schlauch runter.



|_

 

[whitbread]

Vorab: ich habe weder eine Fritte und fahre das von Dir im Bild angegebene Setup mit zwei Routern und DMZ.

Mir ging es darum, ggf. einen Pfad einer Step-by-Step Umsetzung aufzuzeigen, um nicht gleich dieses umfängliche Setup aufbauen zu müssen.
Genau das ist ja jetzt mit Setup auf Basis nur einer Firewall, die DMZ und LAN trennt, skizziert. Da gehe ich völlig konform.

Also ne, jetzt wirds Bunt. Deine Variante 1 ist genau das was nicht soll, es sei den du degradierst den NAT-Router zum Modem

Kannst Du aber bitte nochmal erklären warum Du die von mir skizzierte Variante einen klassischen NAT-Router zur Einwahl zu verwenden und an diesen (i) die NAS mittels Portfreigabe und (ii) die Firewall / Router ohne erneutes NATing mit dahinter liegendem LAN zu hängen so strikt ablehnst?

 

[Outlaw]

Kurze Frage dazu: Wozu eine extra Firewall vor die FritzBox ??

Nur aus eigenem Interesse, was für Vorteile hätte ich dadurch ??

 

[JudgeDredd]

Kurze Frage dazu: Wozu eine extra Firewall vor die FritzBox ??

"Vor" die FritzBox ist relativ. ( ISP -> Modem (Fritzbox) -> FW -> LAN)

Falls Du die FW nur als NAT FW hernimmst, dann ist die Fritte genauso schön.

Ansonsten hast Du je nach FW-Software erheblich mehr Möglichkeiten bzgl. Konfiguration.

 

[whitbread]

Ich denke er meint das Setup, in dem die Fritte als AP und fürs Telefonieren weiter verwendet wird: In so einem Szenario geht es ja darum, die DMZ vom (W)LAN zu trennen; und genau das macht die FW in jenem Szenario.

 

[Bordi]

...Kannst Du aber bitte nochmal erklären warum Du ..

Ach ..
Nun, in deinem Netz bist du der Admin, und kannst als solcher auch tun und lassen was du willst. Selbstverständlich kannst du deine Türen (Ports) alle doppelt öffnen, und hoffen das alles was raus soll, auch nirgends hängen bleibt. Du kannst dir such eine pfSense basteln bei der das NAT voll aus ist, und sie hinter deiner Fritzbox Platzieren. Oder dein DMZ als Exposed Host rennen lassen. Wieso den nach Lehrbuch, wen es auch anders geht? Zudem bist du Herrscher über deine Netzwerktopologie, und nicht das Lehrbuch.

 

[Frogman]

...Zweitens macht man nicht zwei Netze im selben Netzadressbereich.

<Public IP>
|
[Modem]
|
[Firewall]
| - <172.16/12> (DMZ)
| - <192.168/16> (LAN)

Und einen NAT-Router musst Du dann auch noch zeichnen

...
Drittens: Wen du schon mit zwei Routern ein DMZ aufbauen möchtest, ohne einen davon zu degradieren, dann gibt es dafür nur einen möglichen Aufbau.

Und dieses Beispiel, was Du bringst, entspricht dann aber nicht Deinem

...Zweitens macht man nicht zwei Netze im selben Netzadressbereich.

Eben eine solche Subnet-Aufteilung hatte whitbread ja auch in seiner Alternative gewählt, ohne den hinteren Router.

 

[Bordi]

..ist jetzt wohl der Zeitpunkt um auszusteigen. Mit der Hilfe von JudgeDredd wurde soweit ja alles gesagt. Sollten noch Fragen sein, ihr hab die Lösungen vor der Nase.

 

[Outlaw]

Ich denke er meint das Setup, in dem die Fritte als AP und fürs Telefonieren weiter verwendet wird: In so einem Szenario geht es ja darum, die DMZ vom (W)LAN zu trennen; und genau das macht die FW in jenem Szenario.

Die Fritte hat ja auch ne Möglichkeit eine DMZ zu aktivieren und vom Rest zu trennen.

Man könnte dafür auch den Gastmodus "missbrauchen".

 

[Swp2000]

Wo muss ich den bei Router 2 der nun eine Ganz andere IP Hat das Netzwerkkabel einstecken
? Bei irgendeinem LAN Port oder in den WAN Port?

 

[JudgeDredd]

Wen Du die Topologie von "Bordi" umsetzen möchtest, dann in den WAN von Router 2.
Allerdings bin ich mir nicht so ganz sicher, was Du am Ende überhaupt erreichen willst.

In diesem Thread fragst Du nach Bridge und AP.
Geht es Dir evtl. darum, wie man einen Router als AP verwendet ?

 

[Swp2000]

Nein dieser Thread hat nichts mit dem anderen zu tun. Ich erfrage lediglich die Optionen zu denen ich nicht weiß welche Art der Möglichkeiten man hat.
Nochmal zu dem Schbild. Wenn man die IPs des ersten Routers nimmt, kann ich diese nicht auch nach dem 2 Router weiterführen bzw. ist dies immer so das Router 2 Nach der FW in den WAN gesteckt weren muss?
Mich irritiert das Router 2 die 192.168.0.254 hat und im Anschluss auf einen ganz anderen IP Bereich routet?!

 

[JudgeDredd]

Mich irritiert das Router 2 die 192.168.0.254 hat und im Anschluss auf einen ganz anderen IP Bereich routet?!

Naja, dafür ist ein Router ja da. Er verbindet die beiden Netze und routet zwischen ihnen. Nichts anderes passiert ja auch an Router 1. Nur das es da nicht LAN/LAN sonder WAN/LAN ist.