[gelöst] DMZ mit 1783VAW aufbauen

[Josh]

Hallo zusammen!

Ich verzweifle gerade an dem Aufbau einer DMZ mit meinem 1783VAW.

Ziel 1:
Separates Testnetz (192.168.198.0/24) erzeugen, in dem ich Tests mit VMs bzw. LXCs machen kann, ohne bei einer Fehlkonfiguration die Sicherheit des ganzen Netzwerks auf's Spiel zu setzen. Datenverkehr erstmal nur ausgehend.

Ziel 2:
Bereitstellen eines Serverdienstes z.B. Mailserver im Internet.

Aus dem LAN (192.168.178.0/24) sollen das Testnetz und später auch der Mail- oder Webserver erreichbar sein. Das Testnetz soll aber keinen Zugriff auf das LAN haben. Ein klassischer Fall für eine DMZ habe ich mir gedacht. So schwer wird's schon nicht sein...

So weit so gut. Was bisher geschah:

1) Schnittstellen -> LAN -> Ethernet-Ports
ETH0 macht den DSL über ext. Modem
ETH1 -> LAN1 = internes produktiv-LAN
ETH2, ETH3 -> LAN2 = Testnetz

Bei allen ETHs den Haken rein bei: "Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden (Private Mode)"


2) LAN-Bridge
Erstmal den Haken bei "Verbindung über eine Bridge herstellen (Standard)" drin gelassen. Aber hierzu später mehr.


3) IPv4 -> IP-Netzwerke -> DMZ
Für die DMZ einen IP-Bereich definiert, als Netzwerktyp "DMZ" und die Schnitstellenzuordnung auf "LAN-2" eingestellt.


4) IPv4 -> DHCPv4 -> DHCP-Netzwerke
Einen DHCP-Server für die Zuweisung der IPs im Testnetz erstellt.


5) IP-Router -> IPv4-Routing-Tabelle
erstmal nix verändert


6) Firewall/QoS -> Regeln
Zum Testen http und https von innen nach außen freigegeben.


Das war ja gar nicht so schwer, dachte ich mir. Denn beim ersten Test eines LXCs, wurde eine IP aus dem DMZ-Bereich vergeben und diese kam sofort ins Internet. Danach kam die Ernüchterung. Denn die beiden Netze waren nicht wie erwartet getrennt. Ich konnte fleißig alle IPs aus dem jeweils anderen Netz pingen.

Nun gut, man gibt nicht auf und recherchiert etwas im Internet. Da gibt's immer eine Lösung. Irgendwann las ich dann von einem "isolierten Modus". Das ist das Richtige und stellte bei 2) die Lan-Bridge auf "Verbindung über den Router herstellen (isolierter Modus)". Danach war sofort das LAN vom Internet und dem Zugang zum Lancom-Router getrennt. Zum Glück hatte das Testnetz noch einen Zugang zum Router und ich konnte die Einstellung wieder rückgängig machen, sodass das LAN wieder Internetzugriff hatte und auch der Zugang vom LAN auf dem Lancom war wieder hergestellt.

Da ich nun etwas ängstlich geworden bin und meine Familie auch nicht begeistert davon war, dass ich (temporär) das Internet kaputt gemacht hatte, habe ich beschlossen, nicht einfach mit Halbwissen irgendwelche Sachen auf dem Lancom auszuprobieren, ohne sicher zu sein, dass nix passiert.

Aus dem Grund bitte ich um Unterstützung zu der (für euch wahrscheinlich) banalen Aufgabe. Gerne gebe ich noch weitere Infos.

Gruß Josh

EDIT: IP-Adressbereiche ergänzt.

[Josh]

Zur Trennung von LAN und DMZ habe ich das hier gefunden.

Habe in der Firewall folgende Regeln erstellt:
DMZ -> HAUPTNETZ(LAN) = alles auf DENY
DMZ -> INET = alles auf ALLOW
HAUPTNETZ(LAN) -> DMZ = alles auf ALLOW
(Siehe Anhang)
Als letztes kommt natürlich noch ein DENY_ALL.

Somit sollte das Ziel erstmal erreicht sein. Kann mir bitte nochmal jemand die Firewall-Regeln bestätigen?!?!

Trotz allem hätte ich gedacht, dass die Kommunikation bereits früher (Layer-2) zwischen der DMZ und dem LAN unterbunden wird. Ich zitiere aus obigem Link:

Obwohl Intranet und DMZ vielleicht bereits schon auf Ethernet-Ebene durch dedizierte Interfaces voneinander getrennt sind, so muss in jedem Fall noch eine Firewall-Regel zur Trennung auf IP-Ebene eingerichtet werden!

Wieso "vielleicht"? Wie würde denn auf Ethernet-Ebene getrennt?

[backslash]

Hi Josh

Wieso "vielleicht"? Wie würde denn auf Ethernet-Ebene getrennt?

indem du die Netze an getrennte LAN-Interfaces bindest... denn wenn sie ans selbe LAN-Interface gebunden sind, dann sind sie nicht auch getrennt (zumindest was Broad- und Multicasts angeht).

Aber in deinen Fall kannst du es dir eigentlich recht einfach machen - du müßtest nicht mal Firewallregeln erstellen...
Denn genau dafür dein Problem ist ARF erfunden worden: Gib deinem HAUPTNETZ das Schnittstellen-Tag 0 und de, DMZ-Netz das Schnittstellen-Tag 1 - fertig... Den Rest lösen die ARF-Sichtbarkeitsregeln: Nur Netze mit gleichem Tag können sich sehen. Eine Ausnahme bildet da nur das Tag 0 - das ist sozusagen das "Supervisor"-Tag, d.h. Netze mit Tag 0 können alle anderen Netze sehen.

Gruß
Backslash

[Josh]

Hallo backslash!

Vielen Dank für Deine Erklärungen.

Ich habe das mit dem Schnittstellen-Tag ausprobiert. Kappt super

Ich verstehe nur nicht, warum das ohne Schnittstellen-Tag bei mir nicht funktioniert bzw. nur mit Firewall-"Trennung". Ich habe schließlich die LAN-Interfaces jeweils den beiden Netzen zugeordnet, wie Du auch beschrieben hast. Siehe Anhänge.

ETH0 -> DSL (ext. Modem)
ETH1 -> LAN1 (Hauptnetz)
ETH2 -> LAN2 (DMZ)
ETH3 -> LAN2 (DMZ)

[backslash]

Hi Josh

Ich verstehe nur nicht, warum das ohne Schnittstellen-Tag bei mir nicht funktioniert bzw. nur mit Firewall-"Trennung". Ich habe schließlich die LAN-Interfaces jeweils den beiden Netzen zugeordnet, wie Du auch beschrieben hast.

Das is eigentklich ganz einfach.... Das LANCOM routet zwischen den Netzen...
Die unterschiedlichen LAN-Interfaces sorgen ja erstmal nur dafür, daß die Netze "elektrisch" getrennt sind. Die Firewall-Regeln - oder halt die Routing-Tags - sorgen dafür, daß die Netze auch "logisch" voneinander getrennt werden

Gruß
Backslash

[Josh]

hmmm.... und welche Route wäre für das Routen zwischen den Netzen (192.178.168.0/24 und 192.178.198.0/24) zuständig? bzw. was müsste ich an der Route verändern, dass nicht zwischen den Netzen geroutet wird?

(sry für die blöden Fragen aber bisher hatte ich noch keine Notwendigkeit Routen einzurichten bzw. zu interpretieren)

[backslash]

Hi Josh

und welche Route wäre für das Routen zwischen den Netzen (192.178.168.0/24 und 192.178.198.0/24) zuständig?

Die Routen zu den direkt angebundenenen Netzen werden implizit abgelegt. Du findest sie im CLI unter /Status/IP-Router/Act.-IPv4-Routing-Tab. (bzw. über das Kommando "show ipv4-fib")

bzw. was müsste ich an der Route verändern, dass nicht zwischen den Netzen geroutet wird?

Gib den Netzen unterschiedliche Schnittstellen/Routung-Tags und du verschiebst die Netze in getrennte Kontexte ("show ipv4-fib" zeigt dir für alle Kontexte die dort jeweils gültigen Routing-Tabellen).
Das Routing zwischen Netzen im gleichen Konext kannst du nur über Firewallregeln verhindern.
Beatchte dabei, daß das Tag 0 das Supervisor-Kontext ist, der alles sehen kann - sprich Zurgriffe aus dem Tag 0 kannst du nur explizit über Firewallregeln steuern

Gruß
Backslash

[Josh]

OK, verstanden. Ich hatte die Routen nur in der WebGUI gesucht. Wenn ich nun das eine 24'er Netz z.B. in 192.168.178.0 hänge und das zweite in 10.0.0.0, wären die Netze aber von Hause aus schon getrennt, oder?

Eine Sache verstehe ich dann aber doch noch nicht. Was ist denn der Unterschied zwischen dem Netzwerktyp "Intranet" und "DMZ"? Ich kann mir schließlich mit dem Typ "Intranet", dem Schnittstellen Tag und ggf. zusätzlich mit Firewallregeln auch eine Art DMZ bauen. Wofür braucht man da noch den Typ "DMZ"?

[backslash]

Hi Josh

Wenn ich nun das eine 24'er Netz z.B. in 192.168.178.0 hänge und das zweite in 10.0.0.0, wären die Netze aber von Hause aus schon getrennt, oder?

nein, der Router tut seine Aufgabe und routet zwischen den Netzen... sie sind nur getrennt, wenn du sie mit unterschirdlichen Routuing-Tags versiehst...

Was ist denn der Unterschied zwischen dem Netzwerktyp "Intranet" und "DMZ"?

der Typ "DMZ" hat zwei Sonderbedeutungen:

1. wenn in der Routing-Tabelle die Maskierungs-Option auf "nur Intranet maskieren" steht, dann werden die Adressen in der DMZ nicht maskiert.
2. eine DMZ ist aus allen ARF-Kontexten sichtbar - unabhängig von ihrem Scnittstellen/Routing-Tag

Gruß
Backslash

[Josh]

Jetzt ist alles klar .... hoffe ich

Recht herzlichen Dank für Deine Geduld und Deine Unterstützung.