xDSL.at

[Div4]

So Fall 1.:

Ich hab ADSL.business von Inode mit statischer ip.
Der Router von Inode hat keine Firewall somit hab ich mit den
Netgear Fvs 114 besorgt.
Auf dem router muss nun die ip's configurieren, und die einwahl vom router auf Modem.



so nun Nach circa 8 Stunden Telefonieren mit inode die nicht wirklich begeister waren das mann ihre zyxel router ohne firewall als Büro nicht wirklich brauchen kann bin ich jetzt so fertig und bitte euch um hilfe!

mfg Jakob

[jutta]

http://xDSL.at/new/viewtopic.php?p=216855
http://xDSL.at/new/viewtopic.php?p=247142
http://xDSL.at/new/viewtopic.php?p=247843

ich habe aber keine ahnung, ob das mit deinem netgear funktionioniert. sicher funktioniert es mit einem zyxel prestige 324 (oder jedem anderen zyxel router) und mit jedem bintec router.

wenn dir die 8 oeffentlichen ip adressen egal sind und du nur 1 verwenden willst, kannst du den netgear auch ganz einfach wie bei jedem adsl konfigurieren. pptp, wan ip 10.0.0.140, server 10.0.0.138, username, passwort; nat.

//update: links angepasst:

http://xDSL.at/viewtopic.php?p=216855
http://xDSL.at/viewtopic.php?p=247142
http://xDSL.at/viewtopic.php?p=247843

[jutta]

noch eine frage:

> Der Router von Inode hat keine Firewall somit ...

welchen router von inode meinst du da genau? vielleicht koennte man deinen netgear ja daran anschliessen und als firewall/nat-router verwenden.

abgesehen davon gibt es von inode firewall-loesungen fuer adsl businessanschluesse http://www6.inode.at/inode.at/business/ ... /firewall/

[Div4]

Ich hab den Router ZYAIR B2000 v2 von Zyxel.
der is so konfiguriert das ich bei jedem client eine fixe ip angeben muss :

zb:
ip: 62.99.xxx.x33 hat der router

nun die ip von den clients
sind von:
62.99.xxx.xx34 - 38 von einode angeschrieben.
subnetmask: 255.255.255.248
gateway = Router ip

nun hab ich deine links befolgt und das auf den netgear übertragen.

dh.

pptp mit
server ip: 10.0.0.138
client ip: 10.0.0.140

dann fragen sie nach einem accountname:
da hab ich [email protected] angegeben

dann bei login :
wieder [email protected]
und pw:...

Nat is auf enable! kann ich aber umschalten

Dns is :
ip1: 195.58.160.192
ip2: 195.58.161.122

er connectet zwar mit dem modem,
bekommt auch die ip mit 33 am ende so wie der alte router von zyxel aber eine mask von 255.0.0.0
is die mask nun unabhängig? oder nicht vom ethernet weil von inode die mask vorgeschreiben ist mit 255.255.255.248?

Die clients :
Wenn ich ihnen die fixe ip gebe komm ich in die config vom router aber nicht ins I-Net

von Lansetup hab ich mal Dhcp off

[al]

Bei einem Business-Anschluß fällt das Netz (idF Dein /29) beim Router LAN-seitig heraus. Ungeschützt. Sprich, Du mußt selbst für den entsprechendne Schutz sorgen.

Das einfachste Setup wäre, das B2000 als SUA-NAT-Router (sozus. als "Firewall") zu verwenden, sprich es bekommt WAN-seitig 62.99.xxx.x34 (Encapuslation "Ethernet", kein PPTP oder PPPoe!) und SUA wird eingeschaltet, dann hat man LAN- und WLAN-seitig ein frei wählbares privates Netz, zB 192.168.1.0/24, und go (incl. DHCP-Server und allem).

Wollte man die anderen IP-Adressen des /29 Netzes sicher nutzen, bräuchte man eine Firewall, die ein Multi-NAT kann. B2000 bin ich mir nicht sicher, ZyWall 2 plus wäre zB sinnvoll... oder gleich was mit DMZ, kommt halt auf den Anwendungsfall an. Ein /29 kamma nimmer sinnvoll subnetten, aber mit 1:1 NAT kann man sich "einzelne IP-Adressen hereinholen" (mit allen Sicherheitsproblemen, weil bei 1:1 NAT hilft einem das SUA nimmer; drum schrieb ich oben von einer Firewall).

/al

[al]

Das "einfachste Setup" kann man auch noch simpler formulieren: man nehme ein B2000 mit default Config, gebe ihm IP-Adresse 62.99.xxx.x34/29 und go. Oben erwähntes ist nämlich alles default.

/al

[Div4]

Ich glaub du hast mich falsch verstanden:
Der zyxel is von inode der bringt nüsse da er keine firewall hat!

[jutta]

der zyair *hat* eine spi firewall, lies doch bitte zumindest das data-sheet, wenn dir das manual zu lang ist. aber wenn du den clients die oeffentlichen ip adressen gibst, wird dir die firewall von dem zyair nicht viel helfen.

lies dir die vorschlaege von /al noch einmal durch und ueberleg dir, was du genau willst. eventuell solltest du professionelle hilfe in anspruch nehmen, wenn dir das zu kompliziert ist.

//typo korrigiert

[Div4]

so habs geschafft.
fixe ip und past alles thx vor help.

[al]

Zu den Nüssen:
Firewall und Firewall sind zwei paar Schuh. Auch das B2000 hat die ZyXEL'sche Firewall eingebaut, trotzdem kannst Du das nicht mit einer Firewall vergleichen, wo Du auch sinnvoll Regeln einstellen kannst, eine (oder mehrere) DMZ hast usw. Es kommt sehr auf den Anwendungsfall (und die Brieftasche; und den erwänschten Datendurchsatz; und die VPN-Channels; und...) an.

Und BTW, jede SUA-NAT Implementierung liefert eine statefull packet inspection frei Haus, anders läßt sich das SUA nämlich nicht implementieren... Es ist halt immer die Frage, wem man wie sehr vertraut... und viel wichtiger: wie man's implementiert.

Firewall und Netgear in einem Satz zu nennen ist ja schon "verdächtig", aber wenn Du drauf bestehst, kannst Du genauso ein Netgear vors B2000 hängen. Du mußt Dir nur genau überlegen, wer was tut: routet das Netgear? Oder NATet es auch? usw...

Und abschließend sein noch gesagt, daß das, was man mit stateful packet inspection abdecken kann, nicht alles ist, was es an Bedrohungen gibt (viren, würmer und trojaner, zero day exploits, trojan downloader, und, und, und). Nicht umsonst gibt's UTM... Empfehlenswert wäre halt mal ein Sicherheitskonzept...

/al

[jutta]

so habs geschafft.
fixe ip und past alles thx vor help.

damit auch andere was davon haben: wuerdest du deine loesung bitte genauer beschreiben?