DMZ oder geht`s auch anders?

lbpshell · Beitrag von **lbpshell** » 28 Jan 2009, 23:50

Hallo,

folgendes Szenario:

ein Lancom 1821+ mit 3 WAN Verbindungen (2x DSL, 1xSDSL incl. 5 IPs).
am Lancom hängt das Firmennetzwerk.
Nun haben wir einen Webserver der von aussen erreichbar sein soll. Dieser soll nur über das SDSL Interface angesprochen werden und bekommt eine IP zugewiesen. Derzeit hängt dieser mit im LAN und bekommt den port 80 geforwardet unter verwendung der angabe einer IP aus der SDSL Range. Das klappt sowwit super.

Nun meine Frage:
Aus Sicherheitsgründen denke ich das es Sinn macht den Webserver in eine DMZ zu packen.
Ich möchte also folgendes tun: Weberver in DMZ stellen - wie geht das? muss ich den an einen freien Port vom Lancom hängen? Wie definiere ich eine DMZ (ich habe da nur im Routing angaben zu gefunden, kann aber kein DMZ auf einen Ethernet Port zuweisen.)
Außerdem soll er dann eine IP Adresse aus meiner Range bekommen, besser noch wenn ih nur einen Port forwarden könnte.
Wenn er nun in der DMZ steht, wie komm ich vom LAN zum Server (das soll laut Lancom angeblich gehen).
Wie kann ich eine VPN verbindung einrichten die nur in die DMZ geht? (sie soll für eine externe Wartung des Servers sein) oder wie kann ich eine VPN verbindung so eingerenzen das sie nur auf den Webserver zugreifen kann?

Ich brache einfach ein paar kleine Starttips - dann komm ich schon weiter

Vielen dank,
marco

backslash · Beitrag von **backslash** » 29 Jan 2009, 15:58

Hi lbpshell,

Weberver in DMZ stellen - wie geht das? muss ich den an einen freien Port vom Lancom hängen?

In jedem Fall muß die DMZ an einem anderen Port hängen als das Intranet. Die DMZ soll ja physikalisch vom Intranet getrennt sein.

Wie definiere ich eine DMZ (ich habe da nur im Routing angaben zu gefunden, kann aber kein DMZ auf einen Ethernet Port zuweisen.)

Du wählst den (oder die) Port(s) aus, die zur DMZ gehören sollen und weist ihnen das Interface LAN-2 zu (unter Schnittstellen -> LAN -> Ethernet-Ports -> ETH x -> Schnittstellen-Verwendung)

Danach richtest du ein unter TCP-IP -> Allgemein -> IP-Netzwerke nei neues Netz ein und bindest es an das logische Interface (Schnittstellen-Zuordnung) LAN-2. Zusätzlich stellst du als Netzwerktyp DMZ ein

Außerdem soll er dann eine IP Adresse aus meiner Range bekommen, besser noch wenn ih nur einen Port forwarden könnte.

Wenn du der DMZ das gleiche Netz gibst, das auch auf dem SDSL-Inteerface eingestellt ist (und in der Routing-Tabelle die Maskierungsoption auf "nur Intranet maskieren") stellt, dann kannst du dem Server eine der öffentlichen Adressen geben.

Wenn du ein Portforwarding machen willst, dann nimmst du als Netz für die DMZ auch ein privates Netz, das sich natürlich von deinem Intranet unterscheiden muß.

Wenn er nun in der DMZ steht, wie komm ich vom LAN zum Server (das soll laut Lancom angeblich gehen).

Da das LANCOM sowohl für dein Intranet als auch für den Server das Defaultgateway ist, routet das LANCOM einfach zwischen den Netzen... Es sei denn, du hättest das in der Firewall verboten, was zumindest für den umgekehrten Traffic, also von der DMZ ins Intranet, anzuraten ist.

Gruß
Backslash

lbpshell · Beitrag von **lbpshell** » 29 Jan 2009, 18:45

Moin backslash,

Vielen Dank - so hat es sofort geklappt! Irgendwie hat nur ein kleiner Anstoss gefehlt

Gruß
marco