- Registriert
- Dez. 2004
- Beiträge
- 115
Würde folgender Aufbau wie auf diesem Bild dargestellt zur logischen Trennung mehrerer Netzwerke unter verwendung der von der Fritzbox bereitgestellter Internetverbindung auch funktionieren?
Um mehr getrente Netze zu bekommen als mit der DMZ für Arme Lösung, würde ich dann die VLAN Funktion von FreshTomato (Asus Router) benutzen. Der Router hat 4 physikalische Ports und man kann somit maximal 4 VLAN's erstellen. Dadurch wären die Netze nach OSI LEVEL 2 voneinander getrennt, was genau meiner Aufgabenstellung entspricht. Ins Internet würde dann jedes der Gerät im jeweiligen VLAN dann über den WAN Anschluss des Asus Routers gelangen. Der WAN Anschluss ist als DHCP eingestellt (Später wäre hier auch Static möglich, um für das Internet in das richtige Subnetz der Fritzbox zu kommen) und bekommt von dem DHCP Server der Fritzbox auf dem LAN3 Port die IP zugewiesen. Die Fritzbox ist ihrerseits über ihren WAN Anschluss im Internet.
Für die WAN IP des Asus Routers (192.168.10.21) wird in der Fritzbox die Exposed Host (Alle Ports offen) funktionalität aktiviert, somit wäre es quasi so, als ob die Fritzbox für den Asus Router als ein reines Modem fungiert und der WAN Anschluss des Asus Routers direkt am Internet hängt.
Da der Asus Router eine starke Firewall an seinem WAN Anschluss hat, welche genau für diesen Einsatzzweg ausgelegt ist, brauch ich ja nicht zusätzlich so eine aufwendige pfSense Firewall einrichten. Mit den default Einstellungen wäre diese Firewall sicher genug und bei Bedarf kann man anhand der Einstellungen die Sicherheit weiter erhöhen. Bei FreshTomato wären per default alle Portweiterleitungen zunächst deaktiviert und allmählich kann man dann die einzelnen Ports öffnen, nachdem man jeweils die entsprechenden Dienste gut abgesichert hat (z.B. Asymetrische Verschlüsselung mit dem Public und Private Keys für SSH).
Ein Szenario ist, was ist wenn der Pi kompromitiert wird, dann sind ja die Geräte in den anderen VLAN's vor ihm sicher. Die Frage ist, wie sicher ist dann die Fritzbox, theoretisch hat er ja dann Zugriff auf das Subnetz der Fritzbox (192.168.10.1/24) und auch auf deren IP (192.168.10.1)? Er könnte ja versuchen die Login Daten der Fritzbox per einem Brute-Force-Angriff herausfinden, oder andere Techniken anwenden, um auch die Fritzbox zu komprimitieren. Das wäre ja auch der Fall wenn der Pi in dem Bereich DMZ für Arme wäre, wie ihn Raijin in diesem Beitrag #20 dargestellt hat. Kann man dem Pi per einer Restriktion verbieten auf das Subnetz bzw. die IP Adresse der Fritzbox zuzugreifen, entweder per einer Regel in der Fritzbox, oder dem Asus Router?
Um mehr getrente Netze zu bekommen als mit der DMZ für Arme Lösung, würde ich dann die VLAN Funktion von FreshTomato (Asus Router) benutzen. Der Router hat 4 physikalische Ports und man kann somit maximal 4 VLAN's erstellen. Dadurch wären die Netze nach OSI LEVEL 2 voneinander getrennt, was genau meiner Aufgabenstellung entspricht. Ins Internet würde dann jedes der Gerät im jeweiligen VLAN dann über den WAN Anschluss des Asus Routers gelangen. Der WAN Anschluss ist als DHCP eingestellt (Später wäre hier auch Static möglich, um für das Internet in das richtige Subnetz der Fritzbox zu kommen) und bekommt von dem DHCP Server der Fritzbox auf dem LAN3 Port die IP zugewiesen. Die Fritzbox ist ihrerseits über ihren WAN Anschluss im Internet.
Für die WAN IP des Asus Routers (192.168.10.21) wird in der Fritzbox die Exposed Host (Alle Ports offen) funktionalität aktiviert, somit wäre es quasi so, als ob die Fritzbox für den Asus Router als ein reines Modem fungiert und der WAN Anschluss des Asus Routers direkt am Internet hängt.
Da der Asus Router eine starke Firewall an seinem WAN Anschluss hat, welche genau für diesen Einsatzzweg ausgelegt ist, brauch ich ja nicht zusätzlich so eine aufwendige pfSense Firewall einrichten. Mit den default Einstellungen wäre diese Firewall sicher genug und bei Bedarf kann man anhand der Einstellungen die Sicherheit weiter erhöhen. Bei FreshTomato wären per default alle Portweiterleitungen zunächst deaktiviert und allmählich kann man dann die einzelnen Ports öffnen, nachdem man jeweils die entsprechenden Dienste gut abgesichert hat (z.B. Asymetrische Verschlüsselung mit dem Public und Private Keys für SSH).
Ein Szenario ist, was ist wenn der Pi kompromitiert wird, dann sind ja die Geräte in den anderen VLAN's vor ihm sicher. Die Frage ist, wie sicher ist dann die Fritzbox, theoretisch hat er ja dann Zugriff auf das Subnetz der Fritzbox (192.168.10.1/24) und auch auf deren IP (192.168.10.1)? Er könnte ja versuchen die Login Daten der Fritzbox per einem Brute-Force-Angriff herausfinden, oder andere Techniken anwenden, um auch die Fritzbox zu komprimitieren. Das wäre ja auch der Fall wenn der Pi in dem Bereich DMZ für Arme wäre, wie ihn Raijin in diesem Beitrag #20 dargestellt hat. Kann man dem Pi per einer Restriktion verbieten auf das Subnetz bzw. die IP Adresse der Fritzbox zuzugreifen, entweder per einer Regel in der Fritzbox, oder dem Asus Router?
Zuletzt bearbeitet:
