Ergebnis 1 bis 8 von 8

Thema: DMZ "rückwärts"

  1. #1
    SYS64738

    Moderator

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.825
    ngb:news Artikel
    41

    DMZ "rückwärts"

    Hallo zusammen,

    ich bin gerade wieder mal dabei, eine Zauberlösung für mein Heimnetzwerk zu basteln und bräuchte da mal kurz eine zweite Meinung dazu. Folgendes ist hier Sache:

    Ich habe von unserem Haus aus mehrere Netzwerkkabel in Nebengebäude gelegt. Unter anderem sind dort Solarwechselrichter angebunden und auch das Gartenhaus über DLAN. Nun wäre es ja rein theoretisch jederzeit möglich, dass ein Fremder z. B. in das Gartenhaus eindringt und sich an mein Netzwerk anstöpselt. Macht zwar normalerweise hier niemand aber mir gefällt der Gedanke einfach nicht, dass das möglich wäre.

    Außerdem habe ich hier im Zimmer immer einen Netzwerkport liegen, an den ich immer mal wieder fremde Geräte anstecke. Da auf den Geräten alles mögliche an Schadsoftware oben sein könnte, sollte auch dieser vom restlichen Netz abgeschottet sein. Und last but not least - auch WPA2 war schonmal sicherer und WPA3 ist noch in weiter Ferne. Also sollte auch ein WLAN-Accesspoint in das abgeschottete Netz.

    Netzwerk sieht gerade wie folgt aus:



    Router und Odroid (Mini-Server) hängen mittlerweile an einer USV da hier immer mal wieder die Sicherung fliegt. Am Router hängt wiederum ein Switch, welcher auf die anderen Geräte im Netzwerk verteilt. Örtlich ist das allerdings nicht so "einfach" verteilt wie in dem Schaubild.

    Korrekte Vorgehensweise wäre nun:
    Zwischen den Zyxel-Router und dem Switch einen weiteren Router/Server/whatever einbauen und somit eine DMZ bauen. Alle Geräte, die nicht in der DMZ sein sollen (Wechselrichter, Gartenhaus), direkt an den Router. Leider ist das allerings nicht so einfach, da die Geräte örtlich dafür eher dämlich stehen. Außerdem schafft man sich das eine oder andere Problem damit. Der Odroid-Server sollte nämlich weiterhin von außen erreichbar sein (Konfigurationsaufwand, Firewallregeln), zusätzliche Latenzzeiten für die Clients, das zusätzliche Gerät müsste auch an die USV, etc.

    Nun kam mir die Idee: Wie wäre es denn nun, wenn ich Wechselrichter/Gartenhaus an einem separaten Router anschließe und einfach an den anderen Geräten "vorbeitunnel"? Also sozusagen die DMZ verkehrtherum aufbaue. Ein kurzer Griff in die Bastelkiste brachte einen Signamax 065-1507 hervor (erstmal zum Probieren, wenn das geht, kommt ggf. was neueres dorthin). Das ist ein Uralt-Router mit WAN-Port. Das Netzwerk würde ich nun so aufbauen:



    Heißt, auf dem Signamax-Router kommt ein eigener DHCP-Server zum Einsatz und er versorgt das Netz 192.168.1.x als IP-Client in meinem Netz 192.168.5.x. Das Routing habe ich wie folgt konfiguriert:

    Signamax als IP-Client am Zyxel:



    Alle Anfragen auf die IP-Range 192.168.5.x auf's LAN umleiten (kein Zugriff mehr auf die Clients):



    Aber auf den Zyxel 192.168.5.1 wollen wir zugreifen:



    Kommunikation in die andere Richtung auf die Wechselrichter (192.168.1.21-23):



    So sind die Wechselrichter über die Adressen 192.168.5.11-13 für mich ganz normal im Heimnetz erreichbar.


    So sind nun die einzigen zwei Geräte, die noch erreichbar sind, wenn man einen Client am Signamax-Router ansteckt, der Signamax-Router und der Zyxel-Router. Alle weiteren Geräte kann ich nicht mehr anpingen. Auch über IPv6 sehe ich da keine Möglichkeit, da der Signamax-Router das einfach noch nicht kann.


    Nun stellen sich mir aber die Fragen:

    • Übersehe ich da was? Kann man aus diesem "Gefängnis" mit diesen Routing-Regeln noch irgendwie ausbrechen und auf die Clients zugreifen? Ich mein, ja, wenn man das Kennwort vom Zyxel oder Signamax knackt, dann kann man das sicherlich. Aber jemand der in der Nacht in's Gartenhaus einsteigt, wird da wohl kaum die Zeit dazu haben.
    • Mittelfristig sehe ich da nun noch kein Problem mit dem Setup aber langfristig gesehen werde ich durch die mangelnde IPv6-Fähigkeit auf Probleme stoßen. Kann man das dort ebenfalls so konfigurieren/umsetzen? Bin leider mit dem Thema IPv6 noch eher wenig bewandert.
    • Weitere Anmerkungen?

    Danke!

  2. #2
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: DMZ "rückwärts"

    Übersehe ich da gerade was, oder ist das, was du suchst, ein simples VLAN? Das kann ja so ziemlich jeder managed switch. Weiß nicht, ob der Zyxel 5501 damit umgehen kann, ich nutze das Ding immer nur als Modem und hänge einen Ubiquiti EdgeRouter dahinter.
    Für diesen Beitrag bedankt sich nik
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  3. #3
    SYS64738

    Moderator

    (Threadstarter)

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.825
    ngb:news Artikel
    41

    Re: DMZ "rückwärts"

    Weder der Zyxel, noch der Switch können mit VLAN umgehen. Ist halt ganz normale Consumerhardware hier. Ansonsten hätte ich das so gemacht, z. B. mit einer Fritzbox hätte man den Gastzugang auf LAN4 freischalten können und dann mit einem VLAN-fähigen Switch verteilen. Aber die Fritzboxen haben leider immer noch Stabilitätsprobleme an Vectoring-VDSL und wenn man der Fritzbox ein anderes Modem vorschaltet, geht der Gastzugang afaik nicht mehr. Ansonsten kommen außer dem Zyxel nicht viele IAD in Frage, da ich einen S0-Bus brauche und mir wär da wirklich keines bekannt, welches einen Gastzugang bzw. sogar VLAN könnte. Daher kann auch ein anderer Router, dem Zyxel nachgeschaltet, nicht die Einwahl übernehmen, weil sonst die IP-Telefonie flachfällt.

    Außer man würde den S0-Bus abbauen und die Telefone durch IP-Telefone ersetzen. Aber dann müsste ich drei Telefone neu kaufen und alles umverdrahten.

  4. #4

    Re: DMZ "rückwärts"

    An WPA2 hat sich trotz aller Panikmache gar nix geändert. Krack wurde gepatcht und die neue Sicherheitslücke ist nur ein Schrei nach Aufmerksamkeit.
    Hashes konnte man schon immer mitsniffen. Vorher musste man eben warten bis sich jemand neu angemeldet hat (oder man eben DEAUTH-Packets gesendet hat) und nun klappt das eben einfacher.
    Den Hash zu entschlüsseln (2^256 Möglichkeiten) bei nem 256 Bit Schlüssel dauert noch genauso lang wie vorher auch. Das macht absolut 0 Unterschied.

    Die einzige vernünftige Lösung für dein Anliegen sind VLANs.
    Deine DLAN Adapter übertragen übrigens aufgrund ihres Layers das VLAN mit.
    Für diesen Beitrag bedankt sich electric.larry

    Wir schätzen die Menschen, die frisch und offen ihre Meinung sagen - vorausgesetzt, sie meinen dasselbe wie wir.
    Auf Picflash deine Bilder schnell und unkompliziert teilen. Anonym.

  5. #5
    SYS64738

    Moderator

    (Threadstarter)

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.825
    ngb:news Artikel
    41

    Re: DMZ "rückwärts"

    Ok, drücken wir das mit dem WLAN nochmal anders aus: Dann könnte ich auch mit weniger Bauchweh das WLAN hier Gästen zur Verfügung stellen.

    Ja, VLAN wäre die sauberste Lösung. Aber dafür müsste ich hier halt einiges umbauen und meinen Switch wegwerfen. Und ein VLAN-fähiger Switch mit mindestens 16 Ports kostet ja durchaus auch etwas Geld. Aber so im Grunde bin ich eigentlich der Meinung, dass meine Lösung mit dem Router auch funktionieren sollte. Zumindest habe ich nach etwas Ausprobieren keinerlei Möglichkeit gefunden, aus dem Netz auszubrechen und auf meine Clients zuzugreifen.

    • Zugriff auf 192.168.5.1 wird auf den WAN-Port geroutet.
    • Zugriff auf alle anderen Adressen im Netz 192.168.5.x werden auf die LAN-Ports geroutet.

    Ich wüsste da nun nicht, wie ich aus dem Netz auf die Clients in 192.168.5.x zugreifen sollte. Selbst wenn ich meinem Gerät von Hand am DHCP-Server vorbei im Netz 192.168.5.x eine Adresse gebe, leitet der Router immer noch alle Zugriffe auf 192.168.5.x auf die LAN-Buchsen und nicht auf den WAN-Port. Aber wie schon gesagt: Übersehe ich da gerade irgendwas? Habe ich da irgendeinen kapitalen Denkfehler drin?

  6. #6

    Re: DMZ "rückwärts"

    Client statisch konfigurieren und Route per Hand eintragen?
    Allerdings wird das schon ausreichen vermute ich.

    Zum Thema IPv6: Da brauchst du dir noch keine Sorgen machen. Noch immer nutzen das die allerwenigsten wirklich und wenn man dann mal um die Ecke sieht zu Vodafone, dann bemerkt man sogar, dass die noch nichtmal IPv6 ihren Kunden anbieten, welche ihren Router im Bridge-Modus als reines Modem verwenden. Die bekommen tatsächlich ausschliesslich eine IPv4 und können weder über IPv6 erreichen oder gar erreicht werden.
    Für diesen Beitrag bedankt sich phre4k

    Wir schätzen die Menschen, die frisch und offen ihre Meinung sagen - vorausgesetzt, sie meinen dasselbe wie wir.
    Auf Picflash deine Bilder schnell und unkompliziert teilen. Anonym.

  7. #7
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: DMZ "rückwärts"

    @thom53281: wenn der Signamax-Router nicht von potentiellen Einbrechern zugänglich ist, passt das so. Du willst dich ja hier nicht vor Hackern schützen, sondern vor Gelegenheitsnoobs.

    Empfehle einen Ubiquiti EdgeRouter ER-X. Der hat eine richtige Firewall und kann GBit Ethernet, für <60€.
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  8. #8
    SYS64738

    Moderator

    (Threadstarter)

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.825
    ngb:news Artikel
    41

    Re: DMZ "rückwärts"

    Der Router kommt auch in den Serverschrank direkt neben den Zyxel. "Gelegenheitsnoobs" ist imho genau der treffende Begriff. Alles was mehr als ne halbe Stunde Zeit verbrennt, schätze ich da als ausreichend ein.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •