Hallo Leute!
Ich habe mal eine Verständnisfrage.
Ich möchte gerne mite einem 1711 insgesamt vier DSL-Leitung mittels ML-PPP bündeln. Die Leitung würde ich an den vier LAN-Ports anschließen und dann den Router über den WAN-Port ans Netz hängen.
Wenn wir von rh-tec das IP-Netz 85.199.166.x/29 zugeteilt bekommen haben, dann wären die doch die Daten für die DMZ, oder?
Bei der o. g. Konfiguration habe ich doch aber nur einen Port frei, um den Router ins LAN zu hängen und der ist schon für die DMS verbraucht. Wie erfolgt der Anschluß ans LAN?
Vielen Dank im Voraus.
MfG
Konfig für ML-PPP (4-fach) über rh-tec
Moderator: Lancom-Systems Moderatoren
-
Turbo-Master
- Beiträge: 27
- Registriert: 08 Feb 2006, 11:55
Hi Turbo-Master
Gruß
Backslash
korrekt...Wenn wir von rh-tec das IP-Netz 85.199.166.x/29 zugeteilt bekommen haben, dann wären die doch die Daten für die DMZ, oder?
nun ja, du könntest einen VLAN-fähigen Switch an den Port anklemmen und drüber Intranet und DMZ separieren. Im LANCOM vergibst du dafür den Netzen nur verschiedene VLAN-IDs (z.B. 1 für das Intranet und 2 für die DMZ)...Bei der o. g. Konfiguration habe ich doch aber nur einen Port frei, um den Router ins LAN zu hängen und der ist schon für die DMS verbraucht. Wie erfolgt der Anschluß ans LAN?
Gruß
Backslash
-
Turbo-Master
- Beiträge: 27
- Registriert: 08 Feb 2006, 11:55
Hi Turbo-Master,
Wenn du tatsächlich Rechner mit öffentlichen Adressen bei dir betreiben willst, dann kommst du um die Einrichtung eines DMZ-Netzes nicht herum. Dazu richtest du genau das Netz ein, das dir von rh-tec zugewiesen wurde und deklarierst es als DMZ. In der Routing-Tabelle stellst du zudem noch die Maskierungsoption der Defaultroute von "Ein" auf "nur Intranet maskieren" um
Wenn es dir egal ist, ob es eine physikalische Trennung zwischen DMZ und Intranet gibt, dann bist du nun fertig und kannst du dir das Ganze mit dem VLAN auch sparen - das ist dann halt so, wei z.B. bei einem 1611, das ja auch nur ein LAN-Interface hat: DMZ und Intranet liegen im selben Ethernet-Segment.
Du solltest das Ganze aber auch unter Sicherheitsaspekten betrachten - und dann wirst du ganz schnell darauf kommen, daß eine physikalische Trennung von Intranet und DMZ mehr als sinnvoll ist: Da DMZ und Intranet im selben Ethernet-Segment liegen, kann ein Angreifer, der sich in einen Rechner in der DMZ eingehackt hat, nun direkt auf alle Rechner im restlichen LAN zugreifen, ohne daß du die Chance hättest, das über die Firewall im LANCOM zu verhindern.
Wenn du gar nicht vor hast, die öffentlichen Adressen zu verwenden, dann erübrigt sich das Problem - zumindest so lange du kein Portforwarding einsetzt, denn auch das sollte aus Sicherheitsgründen nur zu Rechnern in einer vom restlichen LAN physikalisch getrennten DMZ erfolgen.
Gruß
Backslash
die Frage ist, ob du die Adressen wirklich an Rechner vergeben willst und wenn ja, ob du die DMZ physikalisch vom Intranet getrennt haben willst.Könnte ich nicht auch das öffentliche Netz, welches wir von rh-tec bekommen haben, als Intranet eintragen?
Wenn du tatsächlich Rechner mit öffentlichen Adressen bei dir betreiben willst, dann kommst du um die Einrichtung eines DMZ-Netzes nicht herum. Dazu richtest du genau das Netz ein, das dir von rh-tec zugewiesen wurde und deklarierst es als DMZ. In der Routing-Tabelle stellst du zudem noch die Maskierungsoption der Defaultroute von "Ein" auf "nur Intranet maskieren" um
Wenn es dir egal ist, ob es eine physikalische Trennung zwischen DMZ und Intranet gibt, dann bist du nun fertig und kannst du dir das Ganze mit dem VLAN auch sparen - das ist dann halt so, wei z.B. bei einem 1611, das ja auch nur ein LAN-Interface hat: DMZ und Intranet liegen im selben Ethernet-Segment.
Du solltest das Ganze aber auch unter Sicherheitsaspekten betrachten - und dann wirst du ganz schnell darauf kommen, daß eine physikalische Trennung von Intranet und DMZ mehr als sinnvoll ist: Da DMZ und Intranet im selben Ethernet-Segment liegen, kann ein Angreifer, der sich in einen Rechner in der DMZ eingehackt hat, nun direkt auf alle Rechner im restlichen LAN zugreifen, ohne daß du die Chance hättest, das über die Firewall im LANCOM zu verhindern.
Wenn du gar nicht vor hast, die öffentlichen Adressen zu verwenden, dann erübrigt sich das Problem - zumindest so lange du kein Portforwarding einsetzt, denn auch das sollte aus Sicherheitsgründen nur zu Rechnern in einer vom restlichen LAN physikalisch getrennten DMZ erfolgen.
Gruß
Backslash