hi eddia,
Nun könnte man ja einfach die DMZ-Funktion des Lancom nutzen - angesichts der nicht vollständigen Trennung (trotz private Mode) und der nicht möglichen Zuordnung einer IP zu einem bestimmten Switch-Port habe ich da jedoch einige Bauchschmerzen. Oder bin ich nur paranoid?
das ist eine Frage des eigenen Sicherheitsbedürfnisses, aber der Private-Mode sorgt zumindest dafür, daß Pakete aus der DMZ durch die Firewall müssen und geblockt werden können. Auch ein Adreß-Spoofing wird unterbunden - zumindest, eines der Art, daß sich ein gehackter Recher in der DMZ als Rechner aus dem Intranet ausgibt und versucht andere Rechner im Intranet zu hacken (das wäre ein Backrouting vom Intranet ins Intranet und das blockt der Router)
Der WAN-Port des Lancom wird mit IPoE und der zugedachten WAN-IP konfiguriert. Einer der Switchports wird ebenfalls als WAN-Interface mit IPoE und einer Adresse aus dem /29 Netz konfiguriert und ist so DMZ-Port.
Für mich stellt sich jetzt die Frage, ob das so funktionieren würde. Kann der eingehende WAN-Traffic auf den so konfigurierten DMZ-Port geroutet werden?
Prinzipiell geht das, doch es ist nicht so einfach wie du es dir vorstellst. Das Problem liegt in der Maskierung. Du hast in der Routing-Tabelle ja nur die Möglichkeit entweder alles zu maskieren oder nur das Intranet, was nicht anderes heißt, als daß alles maskiert wird außer der DMZ.
Da deine DMZ nun aber nicht mehr am LAN hängt, greift dieser Schalter nicht mehr. Es gibt nun zwei Möglichkeiten:
1) Du konfigurierst die DMZ zusätzlich auf dem LAN (DMZ-Adresse und -Netzmaske) und schaltest Proxy-ARP ein - dann kannst dui den Schalter wie gewohnt setzen
2) Du arbeitest mit Policy based Routing, so daß du Pakete, die aus der DMZ kommen, taggst und eine unmaskierte Route ins Internet für diese getaggten Pakete einrichtest. Beachte dabei, daß normalerweise von aussen auf sie DMZ zugegriffen wird, also diese Regel als Quelle "alle Stationen" und als Ziel die DMZ haben muß...
Und falls das geht, welcher Lancom wäre dafür von der Leistung angemessen? Ich gehe mal davon aus, dass die 2MBit vom WAN keine Probleme machen sollten. Aber der Zugriff vom LAN in die DMZ sollte schon mit grösstmöglichster Geschwindigkeit (idealerweise 100MBit) erfolgen können
Das Problem dabei ist, daß geroutet wird und nicht mehr gewitcht. Die 100MBit kannst du also vergessen. Ein 1811 dürfte in diesem Szenario so 25 bis 30 MBit schaffen, ein 8011 um die 60 bis 70... (Achtung das sind keine garantierten Werte)
Gruß
Backlsash
