ComputerBase Menü
Aktuelles

VPN Firewall - Routing

Zaiga

Zaiga

Lieutenant
Registriert
März 2011
Beiträge
907
Hallo Leute!

wenn ich mir ne VPN Firewall anschaffe übernimmt diese ja dann auch das Routing. Dh der Router muss ein DMZ Port aufmachen und komplett das Routing einstellen?

Also kann es mir am Ende egal sein was es für ein Router ist, oder doch nicht?
Also macht der Router dann irgendwas mehr als nur eine Internet Verbindung herstellen?

Gerne auch Hardware Empfehlungen in die Richtung für max. 300-400€.

Danke Gruß!
 
Ein kleines Netz mit 4 Rechnern einem Server verbunden über managed Switch und eine Telekom Router soll durch eine VPN Firewall erreichbar werden.
 
Der vorhandene Router muss mindestens die Ports fürs VPN an die neue Firewall forwarden.

Ich bevorzuge da immer die Fritzboxen mit ihrer Exposed host Funktion. Die neue Firewall als Exposed Host konfigurieren, alle anderen Ports deaktivieren außer dem, an dem die neue Firewall hängt (ihr davor eine feste IP im Netz der FB geben, zb 192.168.178.2), FB IP an der neuen Firewall als Gateway nach draussen und an der neuen Firewall nach belieben VLANs, VPN etc. konfigurieren.

Ansonsten gibts zumindest für die Telekom-Businessgeräte immer Anleitungen für den Fall, gerade Geräte auf Bintec-Basis finde ich da echt schlimm :D

Meine Empfehlung für 400€ (netto) wäre eine Sophos SG105v3 mit kostenloser UTM-Home Lizenz:
https://utm-shop.de/utm/sophos-sg/s...105-security-appliance-sg105?number=SG1AT3HEK

Oder Du baust nen eigenen kleinen Rechner oder stattest den Server mit genug NIC aus, um eine virtuelle UTM laufen zu lassen (würde ich an deiner Stelle machen, wenn eh ein Server da ist).
 
  • Gefällt mir
Reaktionen: Zaiga
Zaiga schrieb:
Ein kleines Netz mit 4 Rechnern einem Server verbunden über managed Switch und eine Telekom Router soll durch eine VPN Firewall erreichbar werden.
Zum Vergrößern anklicken....

Erläutere genauer was du vorhast? Denn bisher klingt das so anspruchslos das sogar eine Fritzbox ausreicht :D

Wie siehts aus mit:
- Benötigter VPN Durchsatz
- VPN „Art“? (Site-to-Site, End-to-Site, SSL-VPN, IPSec, etc.)
- Was soll die Firewall können?
(Standardkram bis Layer 4 oder auch mehr wie Bsp. IDS, IPS, Anti-Virus, usw.)
- Bei einem DSL Anschluss sollte man ein Modem miteinplanen. Exposed Host und Co. können durchaus Probleme - in bestimmten Szenarien - mit sich bringen.
- Und: Wie gut kennst du dich mit der Materie aus? (Stichwort: Dienstleister zwecks Service)

corvus schrieb:
kostenloser UTM-Home Lizenz
Zum Vergrößern anklicken....
Wäre hier illegal. Firma ungleich Home ;)
Dann doch lieber eine der gängigen Opensource Firewalls. pfSense, OPNsense, usw.
 
Zuletzt bearbeitet:
Nizakh schrieb:
Erläutere genauer was du vorhast? Denn bisher klingt das so anspruchslos das sogar eine Fritzbox ausreicht :D

Wie siehts aus mit:
- Benötigter VPN Durchsatz
- VPN „Art“? (Site-to-Site, End-to-Site, SSL-VPN, IPSec, etc.)
- Was soll die Firewall können?
(Standardkram bis Layer 4 oder auch mehr wie Bsp. IDS, IPS, Anti-Virus, usw.)
- Bei einem DSL Anschluss sollte man ein Modem miteinplanen. Exposed Host und Co. können durchaus Probleme - in bestimmten Szenarien - mit sich bringen.
- Und: Wie gut kennst du dich mit der Materie aus? (Stichwort: Dienstleister zwecks Service)
Zum Vergrößern anklicken....

Es ist auch jetzt anspruchlos da ist nix besonderes. Der Server hat ne winzige Datenbank auf die man von außen zugreifen will. Das ist der workcase.

VPN Durchsatz, winzig
VPN Art pers. bevorzuge ich SSL VPN
Firewall wäre natürlich mit den Anwendungssachen interessant
Was würdest du mir dann mit dem Modem raten?
Kein Dienstleister, ich komme aus einem nahe verwandten Bereich (Informationstechnik Master usw.)
Die Theorie kenn ich super, in die Praxis muss ich mich halt immer etwas einlesen.

Danke Gruß
Ergänzung ()

corvus schrieb:
Der vorhandene Router muss mindestens die Ports fürs VPN an die neue Firewall forwarden.

Ich bevorzuge da immer die Fritzboxen mit ihrer Exposed host Funktion. Die neue Firewall als Exposed Host konfigurieren, alle anderen Ports deaktivieren außer dem, an dem die neue Firewall hängt (ihr davor eine feste IP im Netz der FB geben, zb 192.168.178.2), FB IP an der neuen Firewall als Gateway nach draussen und an der neuen Firewall nach belieben VLANs, VPN etc. konfigurieren.

Ansonsten gibts zumindest für die Telekom-Businessgeräte immer Anleitungen für den Fall, gerade Geräte auf Bintec-Basis finde ich da echt schlimm :D

Meine Empfehlung für 400€ (netto) wäre eine Sophos SG105v3 mit kostenloser UTM-Home Lizenz:
https://utm-shop.de/utm/sophos-sg/s...105-security-appliance-sg105?number=SG1AT3HEK

Oder Du baust nen eigenen kleinen Rechner oder stattest den Server mit genug NIC aus, um eine virtuelle UTM laufen zu lassen (würde ich an deiner Stelle machen, wenn eh ein Server da ist).
Zum Vergrößern anklicken....


Danke! :=)
 
Zuletzt bearbeitet:
Wozu in der Fritzbox einen VPN-Server im Netzwerk - sei es nun ein VPN-Router oder ein reiner Server - als exposed einstellen? Die Funktion tut nichts anderes als eine Portweiterleitung udp+tcp 1-65535 @ exposed host. Wozu alles weiterleiten und nicht nur die relevanten Ports für das VPN? Wozu bei dann 2 Firewalls eine davon absichtlich tot schalten?

Doppel-NAT kann nicht das Argument sein, weil man bei einem dedizierten Router (pfSense, Sophos, MikroTik, EdgeRouter, Cisco, etc) das NAT am WAN auch abschalten kann und diesen VPN-Router dann quasi zum reinen LAN-Router mit Firewall macht.
 
Raijin schrieb:
Wozu in der Fritzbox einen VPN-Server im Netzwerk - sei es nun ein VPN-Router oder ein reiner Server - als exposed einstellen? Die Funktion tut nichts anderes als eine Portweiterleitung udp+tcp 1-65535 @ exposed host. Wozu alles weiterleiten und nicht nur die relevanten Ports für das VPN? Wozu bei dann 2 Firewalls eine davon absichtlich tot schalten?

Doppel-NAT kann nicht das Argument sein, weil man bei einem dedizierten Router (pfSense, Sophos, MikroTik, EdgeRouter, Cisco, etc) das NAT am WAN auch abschalten kann und diesen VPN-Router dann quasi zum reinen LAN-Router mit Firewall macht.
Zum Vergrößern anklicken....

Also ist der letzte Satz dein Vorschlag?
Gruß
 
Weil man es auch übertreiben kann. Spätestens wenn noch weitere Dienste außer VPN hinzu kommen sollten ist muss man immer an zwei Stellen konfigurieren. Eine professionelle Firewall genügt wenn sauber konfiguriert, da muss die der Fritzbox nicht extra dazu.
Nur VPN gebe ich frei, wenn ich zB eine NAS mit VPN-Server statt dem VPN der Fritzbox nutzen will. Dann wird nur der Port fürs VPN weitergereicht.
Abgesehen davon frage ich mich, wie es mit dem Logging ausschaut, wenn nur der VPN-Port weitergegeben wird. Dann kann die Funktion eingehende Verbindungen betreffend quasi nicht genutzt werden (braucht man natürlich nicht unbedingt).
Wenn ich nur VPN und Routing hinter Fritzbox und Co will genügt auch ne NAS mit VPN-Funktion und ein L3-Switch.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Zaiga
Wenn man ein VPN nutzt, dann ist das in der Regel eh der einzige Port, der freigegeben bzw. weitergeleitet wird. Und wenn man dennoch weitere Dienste (zB einen Webserver) hat, dann kann man diese ins Netz des Internet-Routers hängen und hat so gewissermaßen eine DMZ. Bei einem exposed Host säße besagter Webserver dann auch gleich im Hauptnetzwerk sofern man nicht explizit dort noch eine DMZ einrichtet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Arcor Easy Box A 800 - Bintec 123 VPN per Lan verbunden
Antworten
8
Aufrufe
520
norKoeri
N
Grimba
Nextcloud: VPN vs. Portforwarding + Routerkaskade
Antworten
11
Aufrufe
575
qiller
Q
J
Tp Link MR600 VPN mit wireguard
Antworten
11
Aufrufe
972
norKoeri
N
conf_t
Fritzbox IPSec VPN mit Wireguard ablösen, Anleitungen funktionieren nicht
2
Antworten
25
Aufrufe
1.576
conf_t
conf_t
K
OpenWRT mit Wireguard Client und Server hinter FritzBox
Antworten
10
Aufrufe
1.427
Kratzlos
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz