Webdesign, Tutorials und mehr - Webmasterpro.de

Wie am besten Netzwerk aufbauen?

Nocke1984, am Freitag den 19.12.2008 um 18:48:42

N'Abend zusammen,

ich hab da mal wieder ein Problem, bzw. ist es eher eine Frage. Wie würdet ihr am besten/sichersten ein privates Netzwerk aufbauen, in dem ein Online-Server steht?

Zur kurzen Erläuterung:
Ich habe mehrere öffentliche, statische IP Adressen. In möchte mein Netzwerk eigentlich in zwei Netze teilen, ein Netz (192.168.1.XXX) in dem die Server stehen und ein Netz (192.168.2.XXX) in dem die privaten PCs stehen.

Die privaten PCs sollen natürlich auf die Server zugreifen können (FTP, FTP-Backup und Samba), die Server sollen aber keinen zugriff auf die privaten PCs haben (also falls die mal "gehackt" werden sollten, sollte es dem Angreifer nicht möglich sein über die Server in das Netz der privaten PCs zu kommen. Die Server selbst sollten von aussen "uneingeschränkt" erreichbar sein. Zur Verfügung für das Netzwerk habe ich 2x Switch, 3x Router und ges. 16 öffentliche IP Adressen. Am liebsten wäre mir, wenn ich die öffentlichen IP Adressen alle in das Netz der Server leite (also keine Portweiterleitung in dem Sinne, sondern (korrigiert mich wenn ich mich jetzt vertue) per NAT? direkt auf die internen IP Adressen der Server leite.

Wie baue ich das Netzwerk den am besten/sichersten auf? Ich hatte überlegt, einen Router dann als DMZ zu konfigurieren, weiss aber halt grad nicht wie ich das am besten umsetzen kann.


Habt ihr evt. Tips für mich???


Gruß
Sascha

David Danier, am Freitag den 19.12.2008 um 19:22:46

NAT wäre genau der Zugriff über Port-Weiterleitungen, siehe auch:
http://de.wikipedia.org/wiki/Network_Address_Translation

Zum eigentlichen Problem:

Du musst eigentlich nur den Router richtig konfigurieren, der restliche Aufbau sollte ca. so aussehen:

Nocke1984, am Freitag den 19.12.2008 um 19:35:20

NAT wäre genau der Zugriff über Port-Weiterleitungen, siehe auch:
http://de.wikipedia.org/wiki/Network_Address_Translation

Hm, ich verstehe den Artikel so, das ich mit NAT die IP Adresse weiterleite, also das wenn z.B. ein Anfrage auf -219.239.57.109- komm, diese direkt auf -192.168.1.1 geleitet werden kann?! Ich möchte direkt am Server konfigurieren welche Ports offen sind und welche nicht, nicht im Router. Also egal auf welchen Port eine Anfrage kommt, wenn die Beispiel IP genutzt wird soll er alle Anfragen auf den entsprechenden Server leiten:

Beispiel:

219.239.57.109 >>> 192.168.1.11

219.239.57.110 >>> 192.168.1.12

219.239.57.111 >>> 192.168.1.13

Also egal auf welchem Port eine Anfrage kommt, soll sie erst mal auf den Server geleitet werden...

Weiss auch nicht, aber hab grad irgendwie eine Blockade. Deine Skizze ist mir soweit klar, dachte nur das ich irgendwie den zweiten Router einbauen muss wegen der DMZ, aber das sollte auch mit einem gehen.

Markus B., am Freitag den 19.12.2008 um 19:58:03

Naja wende sowas haben möchtest, muste deinen Router so einstellen das dein PC bzw. Server sich über PPOE einwehelen kann. So werden erstmal alle Verbindungen durchgelassen und zum Server geleitet, der wiederum leitet diese im Netz Weiter. Wende sowas aber machen möchtest brauchste inprizip keinen Router mehr sondern kanst den Server als diesen nutzen. Dort halt 3 Netzwerk Karten rein und die IP´s dementsprechend weiterleiten usw... Hatte sowas ähnliches auch mal gemacht nur war es halt mit einem IP Netz und nicht Zwei verschiedenen

Das Prog was die Ports weitergibt müste ich auch irgend wo noch haben, also melde dich wende es brauchst... Dan schaue ich mal genauer nach...

Gruß eXis

Sven Sager, am Freitag den 19.12.2008 um 20:02:44

Klingt nach einem ganz normalen Netzaufbau mit statischen IP's
Ich kann da Endian (http://www.endian.com/de/products/hardware/) empfelen.

Nocke1984, am Freitag den 19.12.2008 um 20:03:37

Hm da hab ich noch gar nicht dran gedacht, was du sagtest mit dem Server als Router, das könnte ich doch dann mit dem IP Cop machen oder? Also den IP Cop direkt an Modem, dann die beiden Netze in den IP Cop, das sollte doch gehen oder?

Markus B., am Freitag den 19.12.2008 um 20:08:16

Ja ich denke schon, aber dan soltest du Linux verwenden. Weil ich nicht so genau weis wie Win Server mit zwei Verschidenen IP Netzen klar kommt... Und Linus (z.B. Debian or so) solten damit gut klar kommen, durch die Relativ einfache weiterleitung (mir kommt grad nich der richtige Begriff in den sin).. xD

Das ganze nent sich übrigenz Port Forwading... Fals du mal Googeln soltest...

Gruß eXis

Nocke1984, am Freitag den 19.12.2008 um 20:43:24

Ja das da Linux läuft ist mir klar ;-) die Server laufen auch auf Linux, das sollte nicht das Problem darstellen.

Danke für eure Hilfe =)

Sven Sager, am Freitag den 19.12.2008 um 21:34:16

Wichtig ist zu wissen, wie dir die meheren IP Adressen zugeteilt werden. Hast du ein ganzes Subnetz welches du nach dem Router frei definieren kannst oder musst du dich irgendwie mehrmals mit PPoE einwählen?

David Danier, am Samstag den 20.12.2008 um 10:58:18

Ich selbst hab keine allzu guten Erfahrungen mit IPCop gemacht, kann aber pfsense empfehlen. Das basiert zwar auf FreeBSD, weshalb Linux-Kennntnisse wenig helfen, kann aber wirklich gut über die Oberfläche eingerichtet werden.

Grundsätzlich sollte dir ein System mit 3 Netzwerkkarten (Internet, Server-Netz und Privat-Netz) reichen, siehe den Netzwerkplan von mir oben. Die Kästen neben denen Server/Privat steht sind übrigens Switches. ;-)

Bzgl. NAT:
Da du im Internet gültige IP-Adressen hast benötigst du keine Änderung/Übersetzung von IP und/oder Port, genau das macht NAT. Die gebräuchlichste Form vom NAT ist die Port-Weiterleitung, siehe auch Wikipedia). Was du allerdings machen willst ist das einfache routen von Paketen, heißt dein Router bekommt ein Paket an IP-Adresse XY, weiß, dass der zugehörige Rechner an Netzwerkinterface ABC hängt und schleift (routet) dann das Paket an eben dieses Interface weiter. Hier empfängt es der entsprechende Server ohne, dass Änderungen vorgenommen wurden, kann also direkt an die passende IP antworten. Die Antwort wird wieder nur durchgeschleift an das richtige Interface.

Netzwerk-Plan mit mehr Details:

Nocke1984, am Samstag den 20.12.2008 um 11:14:37

@Sven Sager:

Die IP Adressen sind mir über ein eigenes Subnetz zugeteilt, ich brauche mich also nicht mehrmals via PPPoE einwählen.

@David Danier:

Dann hätte ich doch links im Servernetz die DMZ oder?

David Danier, am Samstag den 20.12.2008 um 11:24:09

Wenn der Router entsprechende Firewall-Regeln für das Server-Netzwerk hat schon.

Nocke1984, am Samstag den 20.12.2008 um 14:14:14

Hab gerade mal nachgesehen, einer von den beiden Routern hat einen extra Port für DMZ, dann werde ich das so machen wie du das dargestellt hast.

Ich danke dir bis hierher schon mal sehr für deine Hilfe, ich lasse den Thread aber noch offen falls es unverhofft noch Probleme bei der Konfiguration gibt ok? Dann muss ich dann keinen neuen eröffnen...

Vielen Dank :-)