Hardware-Firewall (Inode)

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Hardware-Firewall (Inode)

Beitragvon Sepu » So 24 Okt, 2004 10:09

Ich habe einen xdsl@home - Anschluß von inode mit Mehrplatzfähigkeit.

"Router" von Inode ist der Zyxel Prestige 650H-31, der lt. Support-Hotline nicht als Hardware-Firewall konfiguriert ist.

Da ich noch einen alten Netgear MR814v2 Router hier herumliegen habe wäre meine Idee die, daß ich zw. Zyxel-Router und PCs eben diesen Netgear-Router schalte. Dann hätte ich eine gescheite Hardware-Firewall...

Ist das techn. überhaupt möglich? Wenn ja, schaff ich das ale Laie auch?
Sepu
Neu im Board
Neu im Board
 
Beiträge: 5
Registriert: Sa 27 Mär, 2004 13:57

Beitragvon gruber » So 24 Okt, 2004 10:47

wenn du keinen dieser anschlĂĽsse mit der bescheidenen einwahlvariante, sondern den mit der 16er ip hast, ja.
wenn du einen zweiten router verwendest, ist aber die mehrplatzvariante sinnlos.
inode xdsl - das so viele probleme macht, die ich vorher gar nicht kannte
gruber
Board-Mitglied
Board-Mitglied
 
Beiträge: 1853
Registriert: Do 27 Nov, 2003 22:22
Wohnort: AT

Beitragvon jutta » So 24 Okt, 2004 10:58

hi Sepu,

wenn du die dhcp/nat mehrplatzvariante hast, ist dein lan ohnehin durchs nat geschuetzt. eine zusaetzliche hw-firewall bringt da nur was, wenn du drauf stehst, stundenlang logfiles zu lesen oder wenn du ausgehende verbindungen sperren willst.

sinn macht eine zusaetzliche hw-firewall im zusammenhang mit der von gruber erwaehnten loesung mit der ip adresse 10.xx.0.16 - dafuer sollte der netgear mr814v2 geeignet sein. (gib ihm einfach 10.xx.0.16 als wan-ip und verwende 192.168.0.1... fuers lan)

bei der pptp/vpn mehrplatzloesung macht eine eigene hw-firewall auch sinn, aber dafuer ist der mr814v2 afaik nicht geeignet.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Earny » So 24 Okt, 2004 12:19

Ich bin mir nicht so sicher ob NAT alleine ein Schutz ist. Wenn alle ports offen sind wohl kaum; ich kann z.B bei meinem Router im NATbetrieb eine interne IP so freigeben dass alles und jeder vom Internet auf den betreffenden Computer zugreifen kann.
mit freundlichen GrĂĽĂźen

Earny

Wenn ich all jene Nahrungsmittel nicht essen wĂĽrde, vor welchen auf Gesundheitsseiten gewarnt wird, wĂĽrde ich verhungern!
Earny
Advanced Profi-User
Advanced Profi-User
 
Beiträge: 2450
Registriert: Mi 25 Feb, 2004 13:18

Beitragvon hannibal218bc » So 24 Okt, 2004 12:59

Earny hat geschrieben:Ich bin mir nicht so sicher ob NAT alleine ein Schutz ist. Wenn alle ports offen sind wohl kaum; ich kann z.B bei meinem Router im NATbetrieb eine interne IP so freigeben dass alles und jeder vom Internet auf den betreffenden Computer zugreifen kann.


Das ja, aber wenn Du das nicht tust, ist ein Zugriff von außen eben nicht möglich. Und, Du kannst *einzelne* Ports weiterleiten -- wenn der Rechner eine öffentliche IP hat, sind automatisch alle Ports adressierbar (und Du musst am Rechner mit einer Softwarefirewall aussieben).

Bei der VPN-Variante ist eine Hardware-Firewall *zwischen dem VPN-Endpunkt und dem Modem* sinnlos, weil die nur den VPN-Traffic sieht. Wenn müsste man die Hardware-Firewall einwählen lassen, und wenn man das tut stellt sich die Frage wozu man eigentlich Mehrplatz bezahlt.


lg
-h
hannibal218bc
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 382
Registriert: Mi 18 Aug, 2004 21:11
Wohnort: Wien

Beitragvon jutta » So 24 Okt, 2004 13:28

hannibal218bc hat geschrieben: Wenn müsste man die Hardware-Firewall einwählen lassen, und wenn man das tut stellt sich die Frage wozu man eigentlich Mehrplatz bezahlt.


so hatte ich es gemeint - und sinnvoll kann es sein, wenn man die 4 oeffentlichen ips braucht/will. - zb fuer routertests, weil ein router allein nicht genug aerger macht *fg, aber ich geb zu, dass das ein ausgerissenes beispiel ist. realistischer waere die trennung von dmz (webserver etc) und hinterm nat geschuetzen lan, die damit sehr einfach realisierbar waere.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon mak » Mo 25 Okt, 2004 20:58

Kann mir jemand erklären wie das bei inode@home/VoIP/Einzelplatz funktioniert?

Gibt es eine Lan Verbindung zum Modem über die ein VPN-Tunnel vom PC durch Modem und Router zu irgendeinem Inode-Server aufgebaut wird, der mich dann per dynamischer IP ins Internet läßt? Dann wäre ja eine Hardware-Firewall Funktion eines zwischengeschalteten Routers auf jeden Fall sinnlos, weil der Tunnel auch da durch gehen würde.

Oder gibt es Router, die selbst diese VPN-Verbindung zu Inode aufbauen können?

FĂĽrs VoIP mĂĽĂźte der 650er Router ja eine fixe IP haben - sonst kann mich ja niemand anrufen?
mak
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Di 27 Jul, 2004 23:39

Beitragvon jutta » Mo 25 Okt, 2004 21:04

es gibt router, die die vpn-verbindung zum inode-server aufbauen koennen - siehe zb www.filipic.biz/network3.htm - aber auch hier im forum (such-funktion .... router xdsl@home voip)

der router bekommt die ip dynamisch, genauso wie jetzt der direkt angeschlossene pc. voip ist davon nicht betroffen, da der ata auch bei router-betrieb direkt am modem angeschlossen bleibt (vorausgesetzt, dass du *inode* voip meinst und nicht sipgate etc)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon hannibal218bc » Di 26 Okt, 2004 18:58

mak hat geschrieben:FĂĽrs VoIP mĂĽĂźte der 650er Router ja eine fixe IP haben - sonst kann mich ja niemand anrufen?


Nein, VOIP braucht keine fixen IPs: die ATAs melden sich am Inode-VOIP-Server an, und ĂĽber den werden eingehende Anrufe signalisiert.


lg
-h
hannibal218bc
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 382
Registriert: Mi 18 Aug, 2004 21:11
Wohnort: Wien

Beitragvon mak » Di 26 Okt, 2004 20:26

filipic.biz kenn ich natĂĽrlich, und die diskussionen im forum verfolge ich seit juli. die meisten wollen halt nur mehrere pcs betreiben. ich hab nur einen und mir gehts vor allem um die sicherheit einer firewall. Ich versteh aber diese VPN-Geschichte nicht ganz.

bei @home/einzelplatz+VoiP schauts so aus:
pptp server: 10.0.0.138
standard gateway: 10.3.0.1
per dhcp zugewiesene IP: immer(!) 10.3.0.126

die vpn(PPTP) Verbindung hat aber:
als server 62.99.171.xxx (wechselt)
als client 83.xxx.xxx.xxx (wechselt - die "dyn. IP?")

Bedeutet das, daß das Inode-Zyxel so konfiguriert ist, daß es NAT macht und LAN-seitig DHCP? Sind die 10.3.0.xxx-Adressen LAN-Adressen? Dann wäre die IP unter der ich surfe die übers VPN zugewiesene (83.xxx.xxx.xxx)?
Was macht dann der PPTP-Server? Weist der nur den VPN-Server zu?
mak
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Di 27 Jul, 2004 23:39

Beitragvon jutta » Di 26 Okt, 2004 20:46

schau dir einmal diesen thread an, da wird alles genau erklaert:
http://xDSL.at/phpbb2/viewtopic.php?t=25473
in kurzform: dein pc (oder was immer am modem haengt) bekommt zunaechst vom inode dhcp-server eine ip aus dem (privaten) 10er bereich. nachdem die pptp-einwahl funktioniert hat, bekommst du die (dynamische) oeffentliche ip. voraussetzung fuer den aufbau eines vpn-tunnels ist, dass bereits eine internetverbindung besteht - in diesem fall ist es eine verbindung zum inode-netz. das p650 ist uebrigens doppelt konfiguriert - als router und als bridge - deshalb ist es nicht so ganz leicht zu durchschauen, was da passiert.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon mak » Di 26 Okt, 2004 22:03

alles klar ;-)
danke, den thread hab ich vorher nicht gefunden.
mak
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Di 27 Jul, 2004 23:39

Beitragvon Sepu » Mi 27 Okt, 2004 16:45

Wow, danke erstmal fĂĽr die sehr detaillierte Info... ich werd mir das dann einmal in Ruhe zu GemĂĽte fĂĽhren ;)
Sepu
Neu im Board
Neu im Board
 
Beiträge: 5
Registriert: Sa 27 Mär, 2004 13:57


ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 13 Gäste