DMZ oder Exposed Host und RRAS ?

[XP-Fan 215]

Jop,

 

das wäre dann mein nächster Zug gewesen, das es viel besser und sicherer ist den Router / Firewall die VPN machen zu lassen als den internen Server. So predige ich das auch immer meinen Kunden welche einen " guten Bekannten " haben .. kennt ihr ja auch.

 

Ob das jetzt dieses Modell oder ein anderes ist, ist mal zweitrangig, Preis / Leistung / Nutzen / Sicherheit muß stimmen.

 

@Hirgelzwift

Du solltest beim Hersteller mal auf deine Beiträge verweisen, vielleicht gibts ja was .. :)

[Hirgelzwift 10]

wenn ich die verantwortlichen vom board besser kennen würde und meine alten kontakte bei netgear noch vorhanden sind, was ich so momentan nicht sagen kann, bin ja nicht mehr in der alten fa., würde ich versuchen netgear als sponsor für das board hier zu gewinnen.

[level20peon 10]

ok, ich sehe, dass ich den Fehler gemacht habe einzuschlafen :D

 

Um das Layout nochmal zu verdeutlichen - so soll es dann aussehen:

 

 

Und nun zu dem, was ich mir vorstelle. Wenn daran etwas nicht machbar ist, bitte einfach schreien :eek:

Bei diesem Aufbau müssten dann "NIC 1", "NIC 2" und "Router" statische IP's bekommen. Der "Server" müsste zum Exposed Host gemacht werden, damit er weiterhin ohne weiteren Schnickschnack die Routing Funktion ausführen kann. Und ja, er würde dabei erstmal hardwareseitig ungeschützt am Netz hängen.

 

@ XP-Fan: genau, das ganze soll ohne ICS ablaufen. Muss dann der "Router" oder der "Server" als Gateway eingetragen werden ?

 

@ Hirgelzwift: Ich weiß, dass das sicherheitstechnisch suboptimal ist, aber es gibt keine sensiblen Daten auf dem Server und Möglichkeiten das System innerhalb von 10 Minuten komplett wiederherzustellen, weshalb das erstmal zweitrangig ist. Zudem ist der Rechner wie gesagt softwareseitig abgesichert.

 

Und noch eine Frage: können die Netze hinter "NIC 1" und "NIC 2" dann im selben Subnetz hängen oder müssen diese getrennt sein ?

 

 

So, habe ich alle Klarheiten nun beseitigt ^^ ?

[IThome 10]

NIC1 und die interne Karte des Routers sind in einem Subnetz, NIC2 in einem anderen. Die Clients bekommen NIC2 als Gateway. Auf der NIC1 des Servers (und nur da) wird das Default Gateway auf die interne Karte des Routers eingetragen. Der Router bekommt eine statische Route in das Netz von NIC2 erreichbar über NIC1. Auf dem Router wird das Portforwarding der relevanten Ports mit dem Ziel NIC1 des Servers.

Ich würde trotzdem NAT einsetzen ... ;)

[level20peon 10]

Ja, NAT setze ich zu Zeit ein und würde es auch weiternutzen... das war im letzten Beitrag eben wieder der eine Satz, von dem ich jedes mal einen zu vergessen scheine ;)

 

was ändert sich denn mit NAT an dem von dir beschriebenen Aufbau ?

 

Und verwaltet der "Router" diese statische Route von der du sprichst ? Ich hätte jetzt gedacht, dass der "Server" diese erstellen muss ??

[IThome 10]

Wo setzt Du NAT ein, auf dem Server ? Wenn ja, benötigt der Router keine Route in das interne Netz ...

edit: Ich glaube, ich habe es jetzt erst richtig verstanden, auf dem Router ist die externe Adresse des Servers als DMZ-Host oder wie auch immer das bei dem Ding heisst, eingetragen und der Server ist als NAT-Router konfiguriert, der auch VPN-Verbindungen terminiert ...

[Hirgelzwift 10]

wenn da wirklich zwischem dem inet und dem server ein router steht dann musst du quasi zweimal NAT machen, am router und am server. viel spaß dabei. ich verstehe nicht warum du dich gegen eine saubere lösung mit einem billgen router der auch VPN kann wehrst.

 

ich habe (hoffentlich) meinen standpunkt klar gemacht und habe auch meine empfehlungen abgegeben, wie du es machst ist mir dann im grunde einerlei.

[level20peon 10]

@ IThome: ja, ich setze NAT auf dem "Server" ein und ja, der "Server" soll auch die VPN Verbindungen verwalten.

 

@Hirgelzwift: Das mit dem VPN auf dem Server hat schon seinen Grund: Ich benutze eine Software (oVPN), die UDP Broadcasts unterstützt. Mit der Win2K3 internen VPN Lösung scheint das nicht zu funktionieren. Die reicht zwar für ein "normales" Windows Netzwerk aus, aber kann eben keine UDP Broadcasts beim tunneln übers Internet versenden / empfangen.

Und wie gesagt, ich weiß, dass diese Lösung sicherheitstechnisch suboptimal ist, aber ich habe nichts auf dem Server, was mehr als eine Softwarefirewall rechtfertigen würde :)

Des weiteren möchte ich nicht erst jeden einzelnen Port öffnen müssen, der benötigt wird, sondern das per Abfrage von der Softwarefirewall jeweils entweder zulassen oder blocken.

 

Wenn ich zweimal NAT machen muss, ist das ein Riesenaufwand oder nur in deinen Augen sicherheitskritisch ?

 

Ich verstehe deine Einstellung auch durchaus... du willst mir ja nur helfen, dafür bedanke ich mich auch mal ganz herzlich, aber das ist nichts womit ich dich nun gezielt verärgern möchte, falls du das glaubst :D

[IThome 10]

Machst Du nicht schon immer 2 mal NAT ? Oder ist der Router nicht als NAT-Gerät konfiguriert ? Es ist kein Sicherheitsrisiko, 2 mal NAT zu machen, eher das Gegenteil ...

[Hirgelzwift 10]

nö riskio nicht kann aber beim VPN zu problemen führen und auch manche SSL seiten könnten probleme haben.

[IThome 10]

Ich hab einen Haufen solcher Konfigurationen, extern ein NAT Router (meistens Draytek) und intern eine Watchguard (X700 meistens) , die ebenfalls NAT durchführt und als VPN-Gateway fungiert. Probleme ? Bis jetzt nicht :)

[Hirgelzwift 10]

kommt darauf an wie du das VPN konfigurierst. du machst damit NAT auf eine NAT adresse. von aussen sieht es so aus wie wenn der client mit der externen NAT ankommt. wir hattenn in der alten fa. mal eine anwendung die damit probs hatte.

 

viel wichtiger ist aber das der VPN nur one-way gebaut werden kann. also vom server zum client aber nicht umgekehrt, weil der externe router ja nicht weis was er die vpn anforderung auf seiner IP machen soll, oder sehe ich da was verkehrt?

[IThome 10]

Das klappt auch, selbst wenn beide hinter einem NAT-Router stehen (IPSec NAT-Traversal Fähigkeit vorausgesetzt). Beide sprechen die externe Adresse des Draytek an, der entweder ein Portforwarding von UDP 500 und UDP 4500 auf die externe Adresse des intern befindlichen VPN-Gateways macht oder man die externe Adresse des VPN-Gateways als DMZ-Host konfiguriert.