xDSL.at

[Sepu]

Ich habe einen xdsl@home - Anschluß von inode mit Mehrplatzfähigkeit.

"Router" von Inode ist der Zyxel Prestige 650H-31, der lt. Support-Hotline nicht als Hardware-Firewall konfiguriert ist.

Da ich noch einen alten Netgear MR814v2 Router hier herumliegen habe wäre meine Idee die, daß ich zw. Zyxel-Router und PCs eben diesen Netgear-Router schalte. Dann hätte ich eine gescheite Hardware-Firewall...

Ist das techn. überhaupt möglich? Wenn ja, schaff ich das ale Laie auch?

[gruber]

wenn du keinen dieser anschlüsse mit der bescheidenen einwahlvariante, sondern den mit der 16er ip hast, ja.
wenn du einen zweiten router verwendest, ist aber die mehrplatzvariante sinnlos.

[jutta]

hi Sepu,

wenn du die dhcp/nat mehrplatzvariante hast, ist dein lan ohnehin durchs nat geschuetzt. eine zusaetzliche hw-firewall bringt da nur was, wenn du drauf stehst, stundenlang logfiles zu lesen oder wenn du ausgehende verbindungen sperren willst.

sinn macht eine zusaetzliche hw-firewall im zusammenhang mit der von gruber erwaehnten loesung mit der ip adresse 10.xx.0.16 - dafuer sollte der netgear mr814v2 geeignet sein. (gib ihm einfach 10.xx.0.16 als wan-ip und verwende 192.168.0.1... fuers lan)

bei der pptp/vpn mehrplatzloesung macht eine eigene hw-firewall auch sinn, aber dafuer ist der mr814v2 afaik nicht geeignet.

[Earny]

Ich bin mir nicht so sicher ob NAT alleine ein Schutz ist. Wenn alle ports offen sind wohl kaum; ich kann z.B bei meinem Router im NATbetrieb eine interne IP so freigeben dass alles und jeder vom Internet auf den betreffenden Computer zugreifen kann.

[hannibal218bc]

Ich bin mir nicht so sicher ob NAT alleine ein Schutz ist. Wenn alle ports offen sind wohl kaum; ich kann z.B bei meinem Router im NATbetrieb eine interne IP so freigeben dass alles und jeder vom Internet auf den betreffenden Computer zugreifen kann.

Das ja, aber wenn Du das nicht tust, ist ein Zugriff von außen eben nicht möglich. Und, Du kannst *einzelne* Ports weiterleiten -- wenn der Rechner eine öffentliche IP hat, sind automatisch alle Ports adressierbar (und Du musst am Rechner mit einer Softwarefirewall aussieben).

Bei der VPN-Variante ist eine Hardware-Firewall *zwischen dem VPN-Endpunkt und dem Modem* sinnlos, weil die nur den VPN-Traffic sieht. Wenn müsste man die Hardware-Firewall einwählen lassen, und wenn man das tut stellt sich die Frage wozu man eigentlich Mehrplatz bezahlt.


lg
-h

[jutta]

Wenn müsste man die Hardware-Firewall einwählen lassen, und wenn man das tut stellt sich die Frage wozu man eigentlich Mehrplatz bezahlt.

so hatte ich es gemeint - und sinnvoll kann es sein, wenn man die 4 oeffentlichen ips braucht/will. - zb fuer routertests, weil ein router allein nicht genug aerger macht *fg, aber ich geb zu, dass das ein ausgerissenes beispiel ist. realistischer waere die trennung von dmz (webserver etc) und hinterm nat geschuetzen lan, die damit sehr einfach realisierbar waere.

[mak]

Kann mir jemand erklären wie das bei inode@home/VoIP/Einzelplatz funktioniert?

Gibt es eine Lan Verbindung zum Modem über die ein VPN-Tunnel vom PC durch Modem und Router zu irgendeinem Inode-Server aufgebaut wird, der mich dann per dynamischer IP ins Internet läßt? Dann wäre ja eine Hardware-Firewall Funktion eines zwischengeschalteten Routers auf jeden Fall sinnlos, weil der Tunnel auch da durch gehen würde.

Oder gibt es Router, die selbst diese VPN-Verbindung zu Inode aufbauen können?

Fürs VoIP müßte der 650er Router ja eine fixe IP haben - sonst kann mich ja niemand anrufen?

[jutta]

es gibt router, die die vpn-verbindung zum inode-server aufbauen koennen - siehe zb www.filipic.biz/network3.htm - aber auch hier im forum (such-funktion .... router xdsl@home voip)

der router bekommt die ip dynamisch, genauso wie jetzt der direkt angeschlossene pc. voip ist davon nicht betroffen, da der ata auch bei router-betrieb direkt am modem angeschlossen bleibt (vorausgesetzt, dass du *inode* voip meinst und nicht sipgate etc)

[hannibal218bc]

Fürs VoIP müßte der 650er Router ja eine fixe IP haben - sonst kann mich ja niemand anrufen?

Nein, VOIP braucht keine fixen IPs: die ATAs melden sich am Inode-VOIP-Server an, und über den werden eingehende Anrufe signalisiert.


lg
-h

[mak]

filipic.biz kenn ich natürlich, und die diskussionen im forum verfolge ich seit juli. die meisten wollen halt nur mehrere pcs betreiben. ich hab nur einen und mir gehts vor allem um die sicherheit einer firewall. Ich versteh aber diese VPN-Geschichte nicht ganz.

bei @home/einzelplatz+VoiP schauts so aus:
pptp server: 10.0.0.138
standard gateway: 10.3.0.1
per dhcp zugewiesene IP: immer(!) 10.3.0.126

die vpn(PPTP) Verbindung hat aber:
als server 62.99.171.xxx (wechselt)
als client 83.xxx.xxx.xxx (wechselt - die "dyn. IP?")

Bedeutet das, daß das Inode-Zyxel so konfiguriert ist, daß es NAT macht und LAN-seitig DHCP? Sind die 10.3.0.xxx-Adressen LAN-Adressen? Dann wäre die IP unter der ich surfe die übers VPN zugewiesene (83.xxx.xxx.xxx)?
Was macht dann der PPTP-Server? Weist der nur den VPN-Server zu?

[jutta]

schau dir einmal diesen thread an, da wird alles genau erklaert:
http://xDSL.at/phpbb2/viewtopic.php?t=25473
in kurzform: dein pc (oder was immer am modem haengt) bekommt zunaechst vom inode dhcp-server eine ip aus dem (privaten) 10er bereich. nachdem die pptp-einwahl funktioniert hat, bekommst du die (dynamische) oeffentliche ip. voraussetzung fuer den aufbau eines vpn-tunnels ist, dass bereits eine internetverbindung besteht - in diesem fall ist es eine verbindung zum inode-netz. das p650 ist uebrigens doppelt konfiguriert - als router und als bridge - deshalb ist es nicht so ganz leicht zu durchschauen, was da passiert.

[mak]

alles klar
danke, den thread hab ich vorher nicht gefunden.

[Sepu]

Wow, danke erstmal für die sehr detaillierte Info... ich werd mir das dann einmal in Ruhe zu Gemüte führen