san04
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
Hallo zusammen, ich hab überlegt mal eine kleine demilitarisierte Zone (für einen VPN-Server) im Heimnetzwerk einzurichten und dafür einen zweiten Router zu verwenden. Da ich noch eine alte,unbenutzte Fritzbox (7270v3) rumliegen hatte, dachte ich die würde sich ja anbieten. Beim Firmware-Update habe ich allerdings festgestellt, dass die aktuellste Firmware von 2015 ist. Offenbar wird das Gerät länger schon nicht mehr supportet. Da sie ja aktuell hinter einem aktuellen Router hängt ist die Gefahr ja nicht so groß, aber im Fall des Falles soll sie ja einen Angreifer hindern ins andere Subnetz zu wechseln. Daher ist eine veraltete Firmware hier eher nicht empfehlenswert, sehe ich das richtig? Wenn dann eh ein neuer Router her müsste, stellt sich die Frage, welche Router denn entsprechend lange supportet werden. Wäre ja doof, sich jetzt eine Fritzbox 4040 zuzulegen und in einem Jahr läuft der Support aus... Womit habt ihr gute Erfahrungen?
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
Moderiert von sebix: Verschiebung korrigiert.
|
Ubunux
Anmeldungsdatum: 12. Juni 2006
Beiträge: 16426
|
Da würde ich mir eine gebrauchte FRITZ!Box besorgen die von OpenWRT unterstützt wird: https://openwrt.org/toh/hwdata/avm/start
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
san04 schrieb: […] eine kleine demilitarisierte Zone (für einen VPN-Server) im Heimnetzwerk einzurichten und dafür einen zweiten Router zu verwenden.
Das ist primär die Aufgabe, das Routing richtig einzurichten. Außerdem musst Du Dir überlegen, wie bei IPv4 das NAT/PT für den Zugang zum Internet funktionieren soll.
Da ich noch eine alte,unbenutzte Fritzbox (7270v3) rumliegen hatte, dachte ich die würde sich ja anbieten. Beim Firmware-Update habe ich allerdings festgestellt, dass die aktuellste Firmware von 2015 ist. Offenbar wird das Gerät länger schon nicht mehr supportet.
Ja. Der Hersteller AVM erzählt auf seiner Webseite genau, welche seiner Produkte Support erhalten und kündigt auch das Supportende jeweils vorher an.
Da sie ja aktuell hinter einem aktuellen Router hängt ist die Gefahr ja nicht so groß, aber im Fall des Falles soll sie ja einen Angreifer hindern ins andere Subnetz zu wechseln. Daher ist eine veraltete Firmware hier eher nicht empfehlenswert, sehe ich das richtig?
Funktional ist das kein Problem. In in Bezug auf sicheren Betrieb ist es eher eine Frage der vernünftigen Konfiguration.
Wenn dann eh ein neuer Router her müsste, stellt sich die Frage, welche Router denn entsprechend lange supportet werden. Wäre ja doof, sich jetzt eine Fritzbox 4040 zuzulegen und in einem Jahr läuft der Support aus... Womit habt ihr gute Erfahrungen?
Das ist eine zweite Frage, für die Du ein separates Thema unter Kaufempfehlungen eröffnen solltest.
|
san04
(Themenstarter)
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
Ubunux schrieb: gebrauchte FRITZ!Box besorgen die von OpenWRT unterstützt wird: https://openwrt.org/toh/hwdata/avm/start
Danke für den Hinweis, vielleicht schaue ich da einfach mal nach einer gebrauchten... kB schrieb: san04 schrieb: […] eine kleine demilitarisierte Zone (für einen VPN-Server) im Heimnetzwerk einzurichten und dafür einen zweiten Router zu verwenden.
Das ist primär die Aufgabe, das Routing richtig einzurichten. Außerdem musst Du Dir überlegen, wie bei IPv4 das NAT/PT für den Zugang zum Internet funktionieren soll.
Es spricht doch nichts dagegen, in einem kleinen Heimnetz nur IPv4 einzurichten, oder? Am zweiten Router (x.x.188.1 und x.x.178.127) habe ich jetzt bisher nur als Gateway den Internet-Router (x.x.178.1) eingegeben, der mit diesem über LAN1 (WAN-Port) verbunden ist. Aus dem Subnetz (x.x.188.0/24) komme ich jetzt an Geräte in x.x.178.0/24 und ins Internet. Andersherum ist aus x.x.178.0/24 keine Adresse in x.x.188.0/24 mit ping zu erreichen.
Da sie ja aktuell hinter einem aktuellen Router hängt ist die Gefahr ja nicht so groß, aber im Fall des Falles soll sie ja einen Angreifer hindern ins andere Subnetz zu wechseln. Daher ist eine veraltete Firmware hier eher nicht empfehlenswert, sehe ich das richtig?
Funktional ist das kein Problem. In in Bezug auf sicheren Betrieb ist es eher eine Frage der vernünftigen Konfiguration.
Meine Sorge war eher, dass hier die veraltete Software auch Sicherheitslücken haben kann, oder geht es bei Router-Firmware-Updates hauptsächlich um Usability und GUI-Design?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
san04 schrieb: […] Andersherum ist aus x.x.178.0/24 keine Adresse in x.x.188.0/24 mit ping zu erreichen.
Du musst das Routing einrichten. Insbesondere muss der für das Netz 192.168.178/24 zuständige Router wissen, dass er Pakete mit Zieladressen 192.168.188/24 nicht ins Internet schicken soll, sondern an den bei Dir für das Netz 192.168.188/24 zuständigen Router.
[…] Meine Sorge war eher, dass hier die veraltete Software auch Sicherheitslücken haben kann
Jede Software hat Sicherheitslücken, auch nicht veraltete.
|
san04
(Themenstarter)
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
kB schrieb: Du musst das Routing einrichten. Insbesondere muss der für das Netz 192.168.178/24 zuständige Router wissen, dass er Pakete mit Zieladressen 192.168.188/24 nicht ins Internet schicken soll, sondern an den bei Dir für das Netz 192.168.188/24 zuständigen Router.
Okay, mein Verständnis war bisher, dass es ja ein NAT-Router ist, der als Absender mit der Adresse 192.168.178.127 auftritt und daher alle Pakete auch dort hin geschickt werden. Im 192.168.178/24 Netz also gar keine Pakete mit Zieladresse 192.168.188/24 "auftauchen" dürften. Der für das Netz 192.168.178/24 zuständige Router ist eine Unitymedia Connect Box mit entsprechend wenig Einstellmöglichkeiten, IP und Portfilter sind auch nur für IPv6 einstellbar habe ich gerade festgestellt... Ich hab mich an diesem etwas älteren Heise-Artikel orientiert (https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html) Jede Software hat Sicherheitslücken, auch nicht veraltete.
Bei alter Software hätte ich die Gefahr aber deutlich größer eingeschätzt, bei Routern spielt das aber vielleicht auch keine so große Rolle?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
san04 schrieb: […] Im 192.168.178/24 Netz also gar keine Pakete mit Zieladresse 192.168.188/24 "auftauchen" dürften.
Du verwechselst Absender und Empfänger. NAT/PT schreibt nie Zieladressen um.
Der für das Netz 192.168.178/24 zuständige Router ist eine Unitymedia Connect Box mit entsprechend wenig Einstellmöglichkeiten
Wenn dieser „Router“ wirklich keine Möglichkeit zur Definition von Routen bietet, dann verdient er nicht den Namen „Router“. Außerdem ist dieses Gerät dann für Dein Vorhaben untauglich.
|
san04
(Themenstarter)
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
kB schrieb:
Du verwechselst Absender und Empfänger. NAT/PT schreibt nie Zieladressen um.
Könntest du das etwas genauer ausführen? Ich dachte bisher, dass genau das passiert.
https://en.wikipedia.org/wiki/Network_address_translation#/media/File:NAT_Concept-en.svg Also bei ausgehenden Paketen die Quell-Adresse und bei ankommenden Paketen die Ziel-Adresse vom Router umgeschrieben wird. edit: Vielleicht muss ich mir erstmal ein bisschen Literatur über Source- und Destination-NAT zu Gemüte führen... Macht mein Router nur Source-NAT? Spätestens der WAN-Router muss doch beides ersetzen, sonst kommen meine Pakete doch nie zurück zu ihm, oder?
Wenn dieser „Router“ wirklich keine Möglichkeit zur Definition von Routen bietet, dann verdient er nicht den Namen „Router“. Außerdem ist dieses Gerät dann für Dein Vorhaben untauglich.
Das kann leider sein ☹ und die Namensgebung des Gerätes passt ja zu deiner Aussage...
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
kB schrieb: Wenn dieser „Router“ wirklich keine Möglichkeit zur Definition von Routen bietet, dann verdient er nicht den Namen „Router“. Außerdem ist dieses Gerät dann für Dein Vorhaben untauglich.
Das ist doch üblich. Fast alle "Provider-Router" bieten keine Möglichkeit für das hinzufügen von statischen Routen. Dafür musst du dann "Profigeräte" kaufen *hust* san04 schrieb: Könntest du das etwas genauer ausführen? Ich dachte bisher, dass genau das passiert.
https://en.wikipedia.org/wiki/Network_address_translation#/media/File:NAT_Concept-en.svg Also bei ausgehenden Paketen die Quell-Adresse und bei ankommenden Paketen die Ziel-Adresse vom Router umgeschrieben wird. edit: Vielleicht muss ich mir erstmal ein bisschen Literatur über Source- und Destination-NAT zu Gemüte führen... Macht mein Router nur Source-NAT? Spätestens der WAN-Router muss doch beides ersetzen, sonst kommen meine Pakete doch nie zurück zu ihm, oder?
Bei ausgehenden Paketen wird die Interne IP durch die WAN-IP + PortChange ersetzt (Source Address). Target bleibt unverändert.
Bei eingehenden Paketen wird die WAN-IP durch die eigentliche Interne IP ersetzt (Destination Address). Source bleibt unverändert.
|
san04
(Themenstarter)
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
Hi, raptor2101 schrieb:
Bei ausgehenden Paketen wird die Interne IP durch die WAN-IP + PortChange ersetzt (Source Address). Target bleibt unverändert.
Bei eingehenden Paketen wird die WAN-IP durch die eigentliche Interne IP ersetzt (Destination Address). Source bleibt unverändert.
vielen Dank für die Klarstellung, so hatte ich es auch verstanden. Aber wenn der Subnetz-Router (für das Netz *.188/24) das gleiche tut, dann dürften im Adressbereich des WAN-Routers (*.178/24) doch keine Pakete des Subnets landen, weil alles per NAT ersetzt wird, oder nicht?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
san04 schrieb: Aber wenn der Subnetz-Router (für das Netz *.188/24) das gleiche tut, dann dürften im Adressbereich des WAN-Routers (*.178/24) doch keine Pakete des Subnets landen, weil alles per NAT ersetzt wird, oder nicht?
Korrekt. Wenn dein SubNet Router auch NAT macht, "sieht" dein WAN Router das SubNet nicht. Er sieht nur einen Client in seinem Netz der "sehr viele" Verbindungen hält. So kann man sich das einpflegen von Routen an den Routern sparen. Alternativ muss der WAN Router den anderen Router und seine Netze kennen. Üblicherweise macht man das über statische Routen. Wenn man ein bisschen Overkill will, setzt man sich BIRD auf und konfiguriert OSPF 😀 Da NAT nur Probleme macht, gibt es IMHO nur einen Fall, wo der "SubNet Router" machen sollte: wenn du in einen Fremdes LAN/WLAN gehst (Hotel/Pension etc) und du gleich mehrere Geräte hinter einer eigenen FW/VPN und mit guter WLAN Crypto (sprich Zertifikate) absichern willst.
|
san04
(Themenstarter)
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
raptor2101 schrieb: Korrekt. Wenn dein SubNet Router auch NAT macht, "sieht" dein WAN Router das SubNet nicht. Er sieht nur einen Client in seinem Netz der "sehr viele" Verbindungen hält. So kann man sich das einpflegen von Routen an den Routern sparen.
Aber das ist ja eigentlich genau das, was ich will. Also wäre es (abgesehen von der veralteten Firmware) eine Möglichkeit, das Subnetz vor dem davorliegenden Netz abzusichern?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
san04 schrieb: Aber das ist ja eigentlich genau das, was ich will. Also wäre es (abgesehen von der veralteten Firmware) eine Möglichkeit, das Subnetz vor dem davorliegenden Netz abzusichern?
NAT sichert nichts. NAT führt nur zu Problemen. Wenn du etwas "sichern" willst, solltest du einfach die Firewall entsprechend konfigurieren.
|
san04
(Themenstarter)
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1065
|
raptor2101 schrieb: einfach die Firewall entsprechend konfigurieren.
Da hatte ich gehofft, mich einfach auf die Settings der Fritzbox (bzw. ggf. OpenWRT) verlassen zu können. Ist das keine gute Idee?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
san04 schrieb: raptor2101 schrieb: einfach die Firewall entsprechend konfigurieren.
Da hatte ich gehofft, mich einfach auf die Settings der Fritzbox (bzw. ggf. OpenWRT) verlassen zu können. Ist das keine gute Idee?
Das kommt darauf an was du erreichen willst. Du hast geschrieben, das du das Subnetz vor dem "davorliegenden" Netz absichern willst. Das ist etwas zu vage um dir eine Frage zu beantworten.
|