VPN Firewall - Routing

Zaiga

Lieutenant
Registriert
März 2011
Beiträge
932
Hallo Leute!

wenn ich mir ne VPN Firewall anschaffe übernimmt diese ja dann auch das Routing. Dh der Router muss ein DMZ Port aufmachen und komplett das Routing einstellen?

Also kann es mir am Ende egal sein was es für ein Router ist, oder doch nicht?
Also macht der Router dann irgendwas mehr als nur eine Internet Verbindung herstellen?

Gerne auch Hardware Empfehlungen in die Richtung für max. 300-400€.

Danke Gruß!
 
Ein kleines Netz mit 4 Rechnern einem Server verbunden über managed Switch und eine Telekom Router soll durch eine VPN Firewall erreichbar werden.
 
Der vorhandene Router muss mindestens die Ports fürs VPN an die neue Firewall forwarden.

Ich bevorzuge da immer die Fritzboxen mit ihrer Exposed host Funktion. Die neue Firewall als Exposed Host konfigurieren, alle anderen Ports deaktivieren außer dem, an dem die neue Firewall hängt (ihr davor eine feste IP im Netz der FB geben, zb 192.168.178.2), FB IP an der neuen Firewall als Gateway nach draussen und an der neuen Firewall nach belieben VLANs, VPN etc. konfigurieren.

Ansonsten gibts zumindest für die Telekom-Businessgeräte immer Anleitungen für den Fall, gerade Geräte auf Bintec-Basis finde ich da echt schlimm :D

Meine Empfehlung für 400€ (netto) wäre eine Sophos SG105v3 mit kostenloser UTM-Home Lizenz:
https://utm-shop.de/utm/sophos-sg/s...105-security-appliance-sg105?number=SG1AT3HEK

Oder Du baust nen eigenen kleinen Rechner oder stattest den Server mit genug NIC aus, um eine virtuelle UTM laufen zu lassen (würde ich an deiner Stelle machen, wenn eh ein Server da ist).
 
  • Gefällt mir
Reaktionen: Zaiga
Zaiga schrieb:
Ein kleines Netz mit 4 Rechnern einem Server verbunden über managed Switch und eine Telekom Router soll durch eine VPN Firewall erreichbar werden.

Erläutere genauer was du vorhast? Denn bisher klingt das so anspruchslos das sogar eine Fritzbox ausreicht :D

Wie siehts aus mit:
- Benötigter VPN Durchsatz
- VPN „Art“? (Site-to-Site, End-to-Site, SSL-VPN, IPSec, etc.)
- Was soll die Firewall können?
(Standardkram bis Layer 4 oder auch mehr wie Bsp. IDS, IPS, Anti-Virus, usw.)
- Bei einem DSL Anschluss sollte man ein Modem miteinplanen. Exposed Host und Co. können durchaus Probleme - in bestimmten Szenarien - mit sich bringen.
- Und: Wie gut kennst du dich mit der Materie aus? (Stichwort: Dienstleister zwecks Service)

corvus schrieb:
kostenloser UTM-Home Lizenz
Wäre hier illegal. Firma ungleich Home ;)
Dann doch lieber eine der gängigen Opensource Firewalls. pfSense, OPNsense, usw.
 
Zuletzt bearbeitet:
Nizakh schrieb:
Erläutere genauer was du vorhast? Denn bisher klingt das so anspruchslos das sogar eine Fritzbox ausreicht :D

Wie siehts aus mit:
- Benötigter VPN Durchsatz
- VPN „Art“? (Site-to-Site, End-to-Site, SSL-VPN, IPSec, etc.)
- Was soll die Firewall können?
(Standardkram bis Layer 4 oder auch mehr wie Bsp. IDS, IPS, Anti-Virus, usw.)
- Bei einem DSL Anschluss sollte man ein Modem miteinplanen. Exposed Host und Co. können durchaus Probleme - in bestimmten Szenarien - mit sich bringen.
- Und: Wie gut kennst du dich mit der Materie aus? (Stichwort: Dienstleister zwecks Service)

Es ist auch jetzt anspruchlos da ist nix besonderes. Der Server hat ne winzige Datenbank auf die man von außen zugreifen will. Das ist der workcase.

VPN Durchsatz, winzig
VPN Art pers. bevorzuge ich SSL VPN
Firewall wäre natürlich mit den Anwendungssachen interessant
Was würdest du mir dann mit dem Modem raten?
Kein Dienstleister, ich komme aus einem nahe verwandten Bereich (Informationstechnik Master usw.)
Die Theorie kenn ich super, in die Praxis muss ich mich halt immer etwas einlesen.

Danke Gruß
Ergänzung ()

corvus schrieb:
Der vorhandene Router muss mindestens die Ports fürs VPN an die neue Firewall forwarden.

Ich bevorzuge da immer die Fritzboxen mit ihrer Exposed host Funktion. Die neue Firewall als Exposed Host konfigurieren, alle anderen Ports deaktivieren außer dem, an dem die neue Firewall hängt (ihr davor eine feste IP im Netz der FB geben, zb 192.168.178.2), FB IP an der neuen Firewall als Gateway nach draussen und an der neuen Firewall nach belieben VLANs, VPN etc. konfigurieren.

Ansonsten gibts zumindest für die Telekom-Businessgeräte immer Anleitungen für den Fall, gerade Geräte auf Bintec-Basis finde ich da echt schlimm :D

Meine Empfehlung für 400€ (netto) wäre eine Sophos SG105v3 mit kostenloser UTM-Home Lizenz:
https://utm-shop.de/utm/sophos-sg/s...105-security-appliance-sg105?number=SG1AT3HEK

Oder Du baust nen eigenen kleinen Rechner oder stattest den Server mit genug NIC aus, um eine virtuelle UTM laufen zu lassen (würde ich an deiner Stelle machen, wenn eh ein Server da ist).


Danke! :=)
 
Zuletzt bearbeitet:
Wozu in der Fritzbox einen VPN-Server im Netzwerk - sei es nun ein VPN-Router oder ein reiner Server - als exposed einstellen? Die Funktion tut nichts anderes als eine Portweiterleitung udp+tcp 1-65535 @ exposed host. Wozu alles weiterleiten und nicht nur die relevanten Ports für das VPN? Wozu bei dann 2 Firewalls eine davon absichtlich tot schalten?

Doppel-NAT kann nicht das Argument sein, weil man bei einem dedizierten Router (pfSense, Sophos, MikroTik, EdgeRouter, Cisco, etc) das NAT am WAN auch abschalten kann und diesen VPN-Router dann quasi zum reinen LAN-Router mit Firewall macht.
 
Raijin schrieb:
Wozu in der Fritzbox einen VPN-Server im Netzwerk - sei es nun ein VPN-Router oder ein reiner Server - als exposed einstellen? Die Funktion tut nichts anderes als eine Portweiterleitung udp+tcp 1-65535 @ exposed host. Wozu alles weiterleiten und nicht nur die relevanten Ports für das VPN? Wozu bei dann 2 Firewalls eine davon absichtlich tot schalten?

Doppel-NAT kann nicht das Argument sein, weil man bei einem dedizierten Router (pfSense, Sophos, MikroTik, EdgeRouter, Cisco, etc) das NAT am WAN auch abschalten kann und diesen VPN-Router dann quasi zum reinen LAN-Router mit Firewall macht.

Also ist der letzte Satz dein Vorschlag?
Gruß
 
Weil man es auch übertreiben kann. Spätestens wenn noch weitere Dienste außer VPN hinzu kommen sollten ist muss man immer an zwei Stellen konfigurieren. Eine professionelle Firewall genügt wenn sauber konfiguriert, da muss die der Fritzbox nicht extra dazu.
Nur VPN gebe ich frei, wenn ich zB eine NAS mit VPN-Server statt dem VPN der Fritzbox nutzen will. Dann wird nur der Port fürs VPN weitergereicht.
Abgesehen davon frage ich mich, wie es mit dem Logging ausschaut, wenn nur der VPN-Port weitergegeben wird. Dann kann die Funktion eingehende Verbindungen betreffend quasi nicht genutzt werden (braucht man natürlich nicht unbedingt).
Wenn ich nur VPN und Routing hinter Fritzbox und Co will genügt auch ne NAS mit VPN-Funktion und ein L3-Switch.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Zaiga
Wenn man ein VPN nutzt, dann ist das in der Regel eh der einzige Port, der freigegeben bzw. weitergeleitet wird. Und wenn man dennoch weitere Dienste (zB einen Webserver) hat, dann kann man diese ins Netz des Internet-Routers hängen und hat so gewissermaßen eine DMZ. Bei einem exposed Host säße besagter Webserver dann auch gleich im Hauptnetzwerk sofern man nicht explizit dort noch eine DMZ einrichtet.
 
Zurück
Oben