Planung Heimnetzwerk - war: Wie würdet

[WSUSPraxis 48]

Ich will bei mir zu Hause die ganze Infastruktur umstellen......

 

Und weiß noch nicht so genau wie ich das lösen soll ?

 

 

Internet Anbindung ist QDSL mit einer festen IP

 

 

Es sollte eine DMZ für 2 FTP und Webserver geben

 

mein eigenes "Hemnetzwerk"

 

und 2 Rechner die nicht im Heimnetzwerk sind,

sonder per VPN mit dem Firmennetzwerk sind.

 

 

Folgende Server werden benötigt und sind vorhanden :

 

1 SBS 2003 mit Exchange

 

2 Debian Webserver

 

 

und dann ein Paar Clientrechner

 

 

Nun die Frage wieviele router brauche ich ? Wenn dann welche ?

[Data1701 10]

Hallo,

 

kommt ganz darauf an, ob der Router von Hause aus eine DMZ unterstützt. Wenn dem so ist, dann brauchst Du eigentlich nur einen Router. Draytek stellen solche Router her und sind auch noch bezahlbar. Des Weiteren kannst Du über den Draytek auch eine VPN-Einwahl kofigurieren.

 

Du kannst natürlich auch eine Back-to-Back-Lösung aufbauen, mit zwei Routern welche die DMZ umschließen. Es hängt ganz von Deinen Sicherheitsbedürfnissen ab.

 

Aber im Prinzip reicht ein Router mit DMZ-Unterstützung.

 

Gruß Data

[WSUSPraxis 48]

Das mit der DMZ ist soweit klar............

 

 

Wahrschleich bräuchte ich doch ein 2 router weil ich ja das heimnetz und die 2 Firmenpc auch trennen sollte ?

[Data1701 10]

Ich müsste mir noch mal die Konfig durchschauen, allerdiungs sollte von der DMZ in das LAN nur von dir zugelassener Verkehr fließen.

Faktisch hängt die DMZ und das LAN auf einem Router wird allerdings durch das Regelwerk und Routing getrennt. Die DMZ hätte dann also eine andere IP-Range als Dein Heimnetz und wird von der Firewall wie ein outside-Netzwerk behandelt.

 

Gruß Data.

[WSUSPraxis 48]

Habe mich vielleicht etwas komisch ausgedrückt ?

 

 

Sind 2 Webserver

 

2 Firmen PC´s

 

und das Heimnetzwerk

[Data1701 10]

Hi Arnd,

 

OK, sorry, mehrere Clients stellen ein Problem dar, auf jeden Fall mit den Draytek Routern. Da kann ich nur einen Client zum DMZ-Client machen.

 

Kannst ja trotzdem mal schauen:

http://www.vigor-users.de/index.htm?gr_nat-routing.htm

 

Deine Konfig, wirst Du mit einem "SOHO" Router nicht hinbekommen. Ich kenne keinen Router in dieser Klasse, welcher mehere voneinander getrennte Interface mitbringt.

 

Bei der Ein-Router-Lösung brächtest Du:

 

1 x OutsideInterface

1 x DMZ-Interface

1 x Inside-interface

 

Cisco kann das, aber dann auch für einen stolzen Preis.

 

So müsstest Du dann wirklich auf eine Zwei-Router-Lösung zurückgreifen.

 

Einen vor der DMZ und einer vor Deinem LAN, dessen Outside Interface in die DMZ zeigt. Alle Adressen vom LAN werden genattet und nur diese NAT-Adresse wird für direkten Verkehr über den zweiten Router zugelassen. Dein Insidewelt ist dann sehr gut abgeschottet.

 

Wie gesagt ich kann die Draytek-Router nur empfehlen, ünterstützten VPN/IPSEC mit AES128 und LAN-LAN (Bis zu 16 Stück)Kopplungen. In der neueren Firmware sind auch VLAN integriert. Damit wären Deine Einwahlansprüche sichergestellt.

 

Gruß Data

[WSUSPraxis 48]

Bin grad am überlegen ob die funktion mit "mehr" als Interfaces z.B IPCOP oder Smoothwall kann ???

[Data1701 10]

Sollte gehen. IPCOP-Rechner mit 3 NICs ausstatten und schwups, man eine Router mit 3 Interfaces. Theoretisch, allerdings kann ich zur Konfig nicht wirklich viel sagen, da müsste mal ein anderer helfen.

 

Gruß Data

[WSUSPraxis 48]

Bräuchte dann aber 4 Netzwerkkarten 3 mal intern, 1 mal nach extern....

[deoli1987 10]

Hey arnd,

 

schau dir doch mal die Netopia Router an, so ein 3387-ENT da kann man meines Wissen ziemlich gutes Subnetting (getrennte Netze --> DMZ) aufziehen ...

 

Kosten auch nicht die Welt ... http://www.netopia.com

[Data1701 10]

Vier ist korrekt.

 

1 x Outside 1 x DMZ (Inside)

 

1 x Outside (In die DMZ zeigend) 1 x Inside (LAN)

 

Subnetting kann ja fast jeder "guter" Router. Alleinige Trennung der Netze über subnetting ist aber noch nicht optimal, erstrebenswert ist eine pysikalische Trennung der Verkehrs.

 

Gruß Data

[WSUSPraxis 48]

Joi ..........

 

Nur die Ciscos die das können, das sprengt dann doch den Geldbeutel..........

[Data1701 10]

Nur um mal ne Hausnummer zu nennen,

 

ca. 1800 Euro musst Du für einen Cisco-Router mit 3 Interfacen springen lassen. Eine Pix ist noch einmal etwas teurer.

 

Gruß und gute Nacht Data

[mister2x 10]

Billiger würde es mit einem 1711er oder 1712er Cisco gehen.

 

Die haben 1x Fast EN, sowie ein 4 Port Fast EN Interface (Switch).

 

Mittels VLANs, welche von diesen Routern unterstützt werden, könntest du deine gewünschte Konfiguration locker realisieren. Ist streng genommen aber keine physikalische Trennung.

 

Bei eBay gibts die Teile spärlich, aber dann so um 350-400€ oder 600-700$.

[Data1701 10]

Stimmt VLANs, habe ich gar nicht mehr dran gedacht. Das machen die Drayteks auch, ich glaube das habe ich ja selbst in einem vorhergehenden Post erwähnt.

 

Wie mister2x bereits erwähnte ist das aber keine phsikalische Trennung.

 

Mit VLAN geht es auch, wobei es dann allerdings noch immer eine Layer2-Verbindung zwischen den Zonen gibt. Damit wären wir wieder beim Sichersbedürfnis. Da müsste sich arnd dann entscheiden.

 

Günstig und nicht ganz so sicher (1 Router und VLANS) , günstig viel Arbeit und sicher (IPCOP), teuer und sicher (Cisco), mittlere Preisklasse 2 Router (á 130 Euro) und auch sicher, allerdings weniger Arbeit.

 

Gruß Data