ComputerBase Menü
Aktuelles

DMZ aufbauen / priv. Netzwerk von öffentl. trennen.

N

newsletter

Cadet 4th Year
Registriert
Okt. 2014
Beiträge
65
Moin,

Ich habe seit einigen Jahren einen Server 24/7/365 zuhause am laufen.

Nun möchte ich einige Dienste (Webseite, Mailserver, Nextcloud etc.) davon öffentlich zugänglich machen (Reverse Proxy per Cloudflare).
Habe mich somit bereits über die DMZ informiert und möchte das bei mir zuhause aufbauen.


Aktuell besitze ich als Router die Fritzbox 7490.

Weiss aktuell noch nicht wo ich anfangen soll, weil das Thema für mich neu ist.

Mögliche Lösung/Idee:

WAN -> irgend einen Mikrotik-Router / Port z.B. 80 öffentlich erreichbar zum Server -> DMZ (Webserver etc.) -> Fritzbox 7490 (interne Firewall) -> Privates Netz

Möglicher 1./Haupt-Router um sowas aufzubauen:
https://www.digitec.ch/de/s1/product/mikrotik-cloud-router-switch-css610-8p-2sin-router-23345376

Was meint ihr?
Was könnt ihr mir empfehlen zum damit anzufangen?

Ich weiss, es gibt zahlreiche Anleitungen dazu, aber ggf. kann man mir ja eine aus eigener Erfahrung empfehlen.

Danke

Gruss newsletter
 
Du hast einen CSS Switch ausgewählt. Der wird nicht wirklich als Router taugen. Du brauchst mindestens ein CRS.

Edit: das was @0x7c9aa894 sagt:D
 
  • Gefällt mir
Reaktionen: newsletter
Außerdem haben die Mikrotik Teile kein Modem, im Gegensatz zur Fritzbox.
Also wenn du das so machen willst brauchst Du vermutlich noch ein Modem zwischen WAN -> Modem -> Mikrotik Router (z.B. RB5009, hex, hap, CCR2004 ...)

Edit: Die CRS Reihe sind auch nur Switches auf denen RouterOS läuft.
D.h. die Routing/Firewall Performance ist nicht toll, oft nur so 50-100Mb/s.
Wichtig: Immer das Block Diagramm des Routers anschauen, und prüfen ob die Architektur zur Anwendung paßt.

Edit2: Wenn Du in die Mikrotik Welt einsteigen willst, dann sind vielleicht auch die neuen Features des RouterOS7 interessant wie ZeroTier, Wireguard. In diesem Fall brauchst du einen Router mit ausreichend Storage. Die 16MB Modelle sind dann nicht ausreichend.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: newsletter
Moin,

wenn Du Dir wirklich den K[r]ampf geben willst:

Fritz!Box--Exposed Host-->Firewall
+--> DMZ
+--> LAN

Die Fritz!Box kann dann immer noch die Telefonie- und WLAN-Funktion übernehmen und die dahinter liegende Firewall kann Dir LAN und DMZ trennen. Das bringt Dir zwar doppeltes NAT ein, aber damit kann man leben.
Zwischen Fritz!Box und Firewall hast Du dann ein kleines Transfernetz und die WLAN-Clients, die mittels statischer Routen auf der Fritz!Box auf die DMZ-/LAN-Netze zugreifen können.

Alternativ kannst Du statt einer Fritz!Box Dir auch ein beliebiges Modem organisieren und die Fritz!Box im LAN als Access Point und "Telefonanlage" verwenden.

Mangels redundanter Komponenten fällt dieser Aufbau mit dem spontanen Ableben einer einzigen Komponente.

Hatte ich schon am Laufen, funktionierte ausreichend gut.


Grüße,
Christian

PS: einfach die Tabellenform ignorieren...
 
  • Gefällt mir
Reaktionen: newsletter und Kapsler
Telefon ist definitiv eine Überlegung wert. Ich habe lange gebraucht bis es mit meinem Mikrotik Router lief.
 
  • Gefällt mir
Reaktionen: newsletter
Geht es dir nur um die DMZ oder willst du explizit Firewall und Routing lernen? Wenn es primär um die DMZ geht, wäre eine banale Routerkaskade als DIY-DMZ denkbar.


www
|
(WAN)
InternetRouter
(LAN)
|
| (DMZ)
|
(WAN)
ZweitRouter
(LAN+WLAN)
|
Heimnetzwerk


Dieses Setup lässt sich mit 08/15 Routern wie Fritzbox und Co einfach zusammenstecken. Das Netzwerk des Internetrouters dient als DMZ und die WAN-Firewall des zweiten Routers sichert das Heimnetzwerk gegenüber der DMZ ab, lässt aber Zugriffe auf die DMZ zu.
 
  • Gefällt mir
Reaktionen: newsletter und Nilson
Ups und ich habe mir schon gedacht was denn ein "Router Switch" sein soll :D war bei Digitec unter Router drin :freak: aber ja switch's habe ich ca. 4 hier - da brauche ich nicht mehr...

Naja bisschen kompliziert mit den verschiedenen Varianten...

- Ich denke ich brauche einfach mal was zum anzufangen... Die Kosten hierfür sollten einfach nicht ca. 800 CHF übersteigen. Danach kann ich immer noch einzelne Komponente austauschen / weiter aufbauen usw.
Als Access Point habe ich noch ein Edimax BR-6228nS V3 rumliegen, aber schon länger nicht mehr im Einsatz.

  • Telefon benötige ich definitiv (noch) nicht. - Hatte bisher noch nie die Idee ein Telefon anzuschliessen ;)
  • Wlan im privaten Netzwerk brauche ich.
  • Exposed Host will ich nicht erlauben. - Nicht nur wegen diesem einen Server, sondern weil ich ggf. weitere Geräte in das öffentliche Netz hinzufügen werde. //Sicherheitsrisiko steigend.
  • Vom Privaten Netzwerk werden häufig Daten vom öffentlichen Netzwerk abgerufen aber nie umgekehrt.
  • Mir geht es primär darum zum die "öffentlichen" Geräte komplett von den privaten abzuschirmen wegen der Sicherheit. Zugelassen im öffentlichen Netzwerk dürfen nur einzelne Ports sein, die es jeweils braucht (rest z.B. ssh, ftp etc ist nicht erlaubt).

Nunja, was meint ihr hierzu?

WAN -> Modem(?) -> Router CCR2004-16G-2S+ Cloud Router -> Öffentliches Netz (*server drin) -> Fritzbox 7490 -> Privates Netzwerk mit Wlan

Router:
https://www.brack.ch/mikrotik-router-ccr2004-16g-2s-plus-cloud-router-1245902

Was für ein Modem könnt ihr mir empfehlen?


Gruss newsletter
 
Zuletzt bearbeitet:
newsletter schrieb:
  • Exposed Host will ich nicht erlauben. - Nicht nur wegen diesem einen Server, sondern weil ich ggf. weitere Geräte in das öffentliche Netz hinzufügen werde. //Sicherheitsrisiko steigend.
Zum Vergrößern anklicken....
Dann hast Du meinen Aufbau missverstanden: "Exposed Host" ist lediglich eine Funktion auf der Fritz!Box. Alternativ könntest Du auch explizite Ports Richtung Firewall/2. Router weiterleiten.


newsletter schrieb:
WAN -> Modem(?) -> Router CCR2004-16G-2S+ Cloud Router -> Öffentliches Netz (*server drin) -> Fritzbox 7490 -> Privates Netzwerk mit Wlan
Zum Vergrößern anklicken....
Wozu die Fritz!Box als zweiten Router hinter dem CCR2004? Und wozu so ein dicker Router?
 
  • Gefällt mir
Reaktionen: newsletter
@newsletter
Da wir nahezu zeitgleich gepostet haben: Du hast #7 gesehen?
 
  • Gefällt mir
Reaktionen: newsletter
Hallo zusammen,

Danke vielmal für eure Hilfe!

Raijin schrieb:
Geht es dir nur um die DMZ oder willst du explizit Firewall und Routing lernen? Wenn es primär um die DMZ geht, wäre eine banale Routerkaskade als DIY-DMZ denkbar.
Zum Vergrößern anklicken....

Mir geht es primär nur um die DMZ, sprich: Privates Netzwerk gegen Aussen absichern.
Klar könnte ich einfach einen Port vom Server weiterleiten, sollte jedoch jemand den Server "hacken" hat er ohne DMZ zugriff auf das LAN. Auch ist nicht jeder Dienst vom Server sicher - nicht einmal Passwortgeschützt, deshalb nur explizite Ports.
Alles läuft in einzelnen Containern (Docker) auf dem Server, auf die ich bisher einfach von aussen per VPN zugegriffen habe.

Raijin schrieb:
www
|
(WAN)
InternetRouter
(LAN)
|
| (DMZ)
|
(WAN)
ZweitRouter
(LAN+WLAN)
|
Heimnetzwerk
Zum Vergrößern anklicken....

Das entspricht dem hier, was ich genau will :)

p2.png


Joe Dalton schrieb:
Dann hast Du meinen Aufbau missverstanden: "Exposed Host" ist lediglich eine Funktion auf der Fritz!Box.
Zum Vergrößern anklicken....

Ich glaube du meinst den Fritzbox-Router als Modem + Router zu Nutzen, dabei alles durchlassen und mit dem weiteren Router/Firewall das LAN von der DMZ trennen, wodurch nur gewünschtes weiter geht durch den 2. Router.

Joe Dalton schrieb:
Wozu die Fritz!Box als zweiten Router hinter dem CCR2004? Und wozu so ein dicker Router?
Zum Vergrößern anklicken....

Naja verstehe mich nicht falsch aber ich will nicht sparen es ist egal ob das ganze +100Fr oder +500Fr kostet / Mehr liegt aber nicht im Budget.
Die Fritzbox weiter zu nutzen ist nur eine Idee, weil sie schon vorhanden ist.

Ich glaube das die dicken Router mehr Funktionen bieten / GUI etc. und ich auf längere Sicht vermutlich glücklicher bin aber ja der CR2004 hat viel zu viel Anschlüsse...

Ansonsten geht eventuell auch sowas um anzufangen? - scheint ein wenig günstig zu sein? unterstützt der eine DMZ oder wieder nur "Exposed Host"?
Dann bräuchte ich nur noch irgend ein Modem vor den Hex Router :rolleyes:

https://www.digitec.ch/de/s1/produc...QTmswLgPTloYmwn3Y3RoCW7cQAvD_BwE&gclsrc=aw.ds

Gruss newsletter
 
Zuletzt bearbeitet:
newsletter schrieb:
Mir geht es primär nur um die DMZ, sprich: Privates Netzwerk gegen Aussen absichern.
Klar könnte ich einfach einen Port vom Server weiterleiten, sollte jedoch jemand den Server "hacken" hat er ohne DMZ zugriff auf das LAN. Auch ist nicht jeder Dienst vom Server sicher - nicht einmal Passwortgeschützt, deshalb nur explizite Ports.
Zum Vergrößern anklicken....
Nur so ist es auch sinnvoll...

newsletter schrieb:
Ich glaube du meinst den Fritzbox-Router als Modem + Router zu Nutzen, dabei alles durchlassen und mit dem weiteren Router/Firewall das LAN von der DMZ trennen, wodurch nur gewünschtes weiter geht durch den 2. Router.
Zum Vergrößern anklicken....
Der vermeintliche 2. Router ist in meinem Vorschlag eine Firewall, die mehrere Netze verwalten und absichern kann. Quasi die aufgebohrte Variante von @Raijin. So eine kleine Firewall kann besser als Router filtern und bietet je nach Featurelizenz auch Dinge wie IDS.
Die Funktion Exposed Host reicht einfach nur stumpf alle Anfragen von außen an den besagten Host weiter und man muss sich nicht mit Port Forwading rumschlagen.

newsletter schrieb:
Naja verstehe mich nicht falsch aber ich will nicht sparen es ist egal ob das ganze +100Fr oder +500Fr kostet / Mehr liegt aber nicht im Budget. Die Fritzbox weiter zu nutzen ist nur eine Idee, weil sie schon vorhanden ist.
Zum Vergrößern anklicken....
Bei Dir wird wahrscheinlich nicht der Durchsatz das Problem werden: Sofern Du nicht mit 10/25 Gbit/s am Internet hängst, kann es auch ein kleinerer Router sein.
Ich würde eher den Fokus auf die Sicherheit legen und statt eines "simplen" Routers eine (Next Generation) Firewall nutzen: Eine gebrauchte FortiGate 50E/60E/60F kostet keine Reichtümer mehr und sollte schnell genug für Deine Anwendungen sein.

Den Aufbau hatte ich bei mir schon: Irgendeinen Router mit Modem und Telefonie und dahinter eine kleine FortiGate, die mir meine lokalen Netze inkl. WLAN getrennt hat.

newsletter schrieb:
Ich glaube das die dicken Router mehr Funktionen bieten / GUI etc. und ich auf längere Sicht vermutlich glücklicher bin aber ja der CR2004 hat viel zu viel Anschlüsse...
Zum Vergrößern anklicken....
Das Schöne an Technik ist, dass man nicht auf Glauben angewiesen ist. Ein dicker Router bringt Dir sehr wenig: Die besseren Switches können selbst routen und ACLs sind weder auf Switches noch Routern besonders gut. D.h. man ist doch recht schnell wieder bei einer (phys. oder virt.) Firewall.

newsletter schrieb:
Ansonsten geht eventuell auch sowas um anzufangen? - scheint ein wenig günstig zu sein? unterstützt der eine DMZ oder wieder nur "Exposed Host"?
Dann bräuchte ich nur noch irgend ein Modem vor den Hex Router :rolleyes:
Zum Vergrößern anklicken....

Sofern Du über VLAN-fähige Switches verfügst, kannst Du Deinen Versuchsaufbau auch mit einer virtuellen Firewall starten. Damit spielst Du erstmal rum und bekommst ein Gefühl dafür.

Vor der Hardware steht immer das Konzept - nicht andersrum.
 
  • Gefällt mir
Reaktionen: newsletter
newsletter schrieb:
Ich glaube das die dicken Router mehr Funktionen bieten / GUI etc.
Zum Vergrößern anklicken....
nicht bei Mikrotik, RouterOS ist auf allen Boxen gleich, da ist kein Unterschied zwischen einem hex, und einem CCR2116.
Unterschiede sind aber ob du z.B. die neuen Plugins installeren kannst, oder nicht, wenn die Box zu wenig Speicher hat, oder wie schnell die CPU ist, oder ob der Chipsatz L3 unterstützt. Oder ob die Architektur es erlaubt ein Offloading zu machen oder ob der ganze Traffic über die CPU läuft. Und dann natürlich die Schnittstellen.
Ergänzung ()

Joe Dalton schrieb:
So eine kleine Firewall kann besser als Router filtern und bietet je nach Featurelizenz auch Dinge wie IDS.
Zum Vergrößern anklicken....
IDS ist natürlich eine Überlegung wert. Bei den Mikrotik Teilen, kann man den Traffic clonen, und an eine externe Box für IDS weiterleiten. In diesem Fall ist ein x86 Firewall/Router mit OpnSense und suricata wohl eine bessere Lösung.

Eine weitere Option wäre es noch die erste Firewall auf dem Server zu virtualisieren, wobei man denn einen 4 Port Ethernet Adapter an die VM mit der Firewall weiterreicht.

Viel Spaß beim Designen deines Netzwerks.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: newsletter
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Natriumchlorid
Sicherheit der lokalen Infrastruktur erweitern
Antworten
2
Aufrufe
872
Natriumchlorid
Natriumchlorid
Erbsenkönig
WLAN-Abdeckung eines EFH (135qm) verbunden mit einer Abkehr von AVM
2
Antworten
21
Aufrufe
12.439
Erbsenkönig
Erbsenkönig
J
Grundlagenfragen: Firewall zur Absicherung des Firmennetzwerk
Antworten
5
Aufrufe
3.878
t-6
t-6
paxtn
Welches Synology NAS, welche Zugriffsmöglichkeit und welches Fotosystem
Antworten
15
Aufrufe
4.187
paxtn
paxtn
Rego
"Heimnetzwerk" im ständigen Umbau
Antworten
17
Aufrufe
4.011
Rego
Rego
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz