WinFuture-Forum.de: Netzwerkeinrichtug so ok? - WinFuture-Forum.de

Ja mir ist schon bewusst wie eine DMZ arbeitet. Verstehe nur nicht warum ich 3 Netzwerkkarten dann brauch.

Der MiniPC dient nur als HardwareFirewall, nix weiter. Das heißt es wird dort nur IpFire drauf laufen.
Reicht es dann nicht wenn alles danach direkt an dem MiniPC hängt? Das sollte doch eigentlich dann abgeschottet seien.

Oder stehe ich gerade auf dem Schlauch

@Wiesel: Klar, umso weniger umso besser. Nur ist das dann auch so sicher?

Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 28. September 2014 - 18:49

Kommt halt drauf an:

- Brauchst Du eine DMZ? Wenn ja (schlag ich vor) drei Netzwerkkarten in den MiniPC, eine für Internet, eine für DMZ und eine für Intranet.

- Brauchst Du keine, reicht eine Gateway-style Firewall natürlich. Dann ist ja nichts da, was ein zusätzliches Subnet rechtfertigen würde.

Es stellt sich natürlich die Frage, ob es nicht vielleicht sinnvoller wäre, den MiniPC *hinter* die Fritzbox zu hängen. Weniger Konfigurationsaufwand und - erwartungsgemäß - weniger Hardware erforderlich. Fürs WLAN müßte man dann schauen - hab keine Ahnung was die 7360 da für Optionen bietet; wenn man das WLAN-Subnetz abtrennen kann, würde das schon reichen. Wenn nicht, käme von wegen zusätzlicher Sicherheit ein zusätzlicher AP in Frage (optional).

Dann hat man natürlich noch ein bissel zu tun mit den Routen hin und auch wieder zurück, aber... von der Sache her, möchte ich meinen, sollte das so passen.

Fritzbox nach vorne. Modem gespart.
MiniPC mit Anschluß für Drucker und Festplatten. NAS gespart. Da du PCs schreibst werden die wohl direkt über LAN laufen.

Übrig bleibt das WiFi für Telefone?! Hier ist die Frage ob die Kugelsicher sein müssen und auch Zugriff auf den Rest des Netzwerkes benötigen. Bist du unterwegs steht auch nur Mobilfunk zur Verfügung, ohne zusätzliche Firewall. Die kann man dann auch zu Hause vor der Firwall betreiben und einfach das WLan der FritzBox verwenden.

Hat alles in allem den Vorteil dass du Strom und Geräte sparst und z.B. die Fritz!Fon APP auf Smartphones installieren kannst und somit auch deine Festnetznummer ohne zusätzliche Geräte.

Dieser Beitrag wurde von Wiesel bearbeitet: 28. September 2014 - 19:01

Zitat (d4rkn3ss4ev3r: 28. September 2014 - 18:47)

Weil du mindestens drei verschiedene netzwerke bedienst/voneinander trennst:
1. WAN
2. LAN
3. DMZ
Diese werden mit Firewalls voneinander abgeschottet, entweder in 2 Reihe (WAN-FW-DMZ-FW-LAN) oder eben wie in deinem Fall mit dem einen Firewall-PC.

Zitat

Wenn du den Netzwerkkarten beibringen kannst, zwei Netze gleichzeitig zu bedienen, dann ja.

Bei Netzwerksicherheit gilt der Spruch "viel hilft viel" nur bedingt.
Wichtiger ist ein gesundes Konzept und anständige Konfiguration. Sonst hast du am Ende fünf Firewalls rumstehen, die alle auf any-any allow geschaltet sind.

Okay dann bleibt die FritzBox vorne und dahinter der MiniPC.
Dann bleibt jetzt nurnoch offen was besser ist: Das NAS gleich mit im MiniPC oder nicht. Wenn ja, müsste ja etwas anderes rauf als nur IpFire.

Also vorerst doch mit DMZ seien lassen. Hatte da wohl einen Denkfehler. Danke fürs korregieren!

Edit Ich bin mal off, muss morgen früh wieder auf Montage. Kann daher also erst wieder Donnerstag spät Abend antworten.
Schonmal Danke für alle bisherigen Antworten und bis dann!

Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 28. September 2014 - 19:29

Ist da jetzt schon ein Drucker als Netzwerkdrucker am USB-Anschluß der Fritzbox und soll weiter verwendet werden? Dann wäre es kein Problem, dann weiß man, dass es funktioniert, (bzw. existiert ein Drucker, von dem man sicher weiß, dass der funktioniert) ansonsten geht da nicht jeder Drucker. Auf der sicheren Seite wäre man mit einem richtigen Netzwerkdrucker direkt im LAN.

IP-Fire soll nicht das WLAN absichern? Hmm. Also wenn dann würd ich das ja mit absichern. Hat alles so seine Vor- und Nachteile.

Ehrlich gesagt passt ne Fritzbox irgednwie schlecht in son Konzept.

Dieser Beitrag wurde von Grenor bearbeitet: 28. September 2014 - 20:52

Ja, Fritzboxen passen schlecht in "jedes" (professionellere) Konzept. Dafür sind die nicht gemacht, da braucht es "richtige" Hardware.

Nur ist es (für mich) schwierig, hier einen... wie sag ich... angemessenen Rat zu geben, weil ich nicht weiß, was genau erreicht werden soll. Momentan liest es sich (wieder für mich) einfach so, als ob einem "ganz normalen" Heimnetz schlicht eine Hardware-Firewall vorgeschaltet werden soll. Falls ja, hieße das:

Internet >(WAN)Router(LAN) > HW-Firewall > Switch => Clients, wobei einer der Clients ein Access Point sein müßte.

Aber keine Ahnung, ob das den Anforderungen des TO genügt.

Daher, vielleicht etwas verspätet, einfach mal die Frage:

- Was soll erreicht werden?

Dieser Beitrag wurde von RalphS bearbeitet: 28. September 2014 - 21:07

Dann dürfte man aber mit seinem Smartphone auch nicht mehr außerhalb dieses Netzwerkes online gehen. Nützt doch nix wenn die zu Hause "kugelsicher" sind und 100m von zu Hause wird auf Sicherheit geschissen und der Komfort siegt am Ende doch.

Leider wahr. Gegen sowas hilft wohl nur, Mobilgeräte auch im WLAN zuhause zu isolieren, sei es über einfache MAC-Filter, VLAN oder "echte" Abtrennung in ein eigenes Subnetz.

Mit anderen Worten - eine DMZ.

Dieser Beitrag wurde von RalphS bearbeitet: 29. September 2014 - 05:15

Hängt halt völlig vom angedachten Konzept/Bedürfnissen ab, wie genau das WLAN angebunden ist.

Fritzboxen sind wie andere ALLinOne Geräte bei so nem Aufbau suboptimal, da die einzelnen integrierten Teile eigentlich an unterschiedliche Stellen in das Netz gehören.

Bin aber auch der Meinung, dass das für nen Heimnetz bisserl viel Aufwand ist.

Dieser Beitrag wurde von Grenor bearbeitet: 29. September 2014 - 08:43

Scheinbar willst du kein Heimnetzwerk, das hört sich an, als wenn du ein Firmennetzwerk aufbauen möchtest, also schaffe dir einen Server an,eine Hardware Firewall. Alle Clients verwaltest du vom Server aus,genau so die Antivirenlösungen.weiterhin stellst du deinen Intertarif auf Bussiness um mit fester IP,.
Wenn du das alles gemacht hast, kannst du danach zentral vom Server dein ganzes Netzwerk verwalten mit allen Clients
Viel Spaß.

So bin wieder da.

Also ich wollte eigentlich nur 2 PCs mit IpFire schützen. Das hatte ich mir durch diesen MiniPC erhofft.
Ebenso soll ein NAS folgen und WLAN wollte ich dann weiter über die FritzBox nutzen.

Das ganze will ich nur so sicher wie möglich mit so wenig Aufwand wie möglich, ermöglichen.

Der USB Drucker geht ja und sollte auch über der FritzBox laufen. Ein reiner Netzwerkdrucker ist es nicht. Es handelt sich dabei um einen Canon PIXMA MP280

Dass das WLAN nicht abgesichert werden soll, habe ich nicht gesagt. Zur Zeit betreibe ich neben der WPA2 PSK Verschlüsselung mit maximaler Passwortlänge auch eine MAC-Whitelist.

Paar Gedanken:
-Funktioniert der Drucker an der Fritzbox? Schon getestet? Dieses "sollte" gefällt mir nicht.
-So wie ich das verstehe soll das WLAN dann auch hinter die Firewall.
-Sollen LAN und WLan getrennt sein?
-Du brauchst mindestens nen Modem, nen 5Port GBit Switch, nen WLAN AP, nen Druckserver. Die letzten beiden Parts kann die Fritzbox übernehmen. Wobei das so ne Sache ist. Das WLAN bei Fritzboxen ist oft nur mittelmäßig und gute Erfahrungen hab ich mit dem Druckserver auch nicht (die ganze USB Geschichte könnten die imho lieber rausschmeissen).
-Der Mini PC wird 2-3 Netzwerkkarten brauchen, je nachdem ob das WLan nen eigenes Netz bekommt. Leistungsmäßig wird der kaum was brauchen.
-Das ist für privat daheim 2 PC Netzwerk viel zu viel Aufwand/Kosten(z.B. Strom).
-MAC Whitelisting ist kein Sicherheitsfeature. Wenn jemand das Passwort hat hält ihn das Whitelisting nur auf wenn er Null Ahnung hat. Dann lieber nur nen Logging mit eventuellem Notify bei nicht eingetragenen MAC-Adressen. Das geht allerdings mit der Fritzbox nicht.

Gibts irgendnen konkreten Anlass für das ganze?

Dieser Beitrag wurde von Grenor bearbeitet: 02. Oktober 2014 - 22:25

"Nur als Windows-Treiber erhältlich" riecht mir schwer nach GDI. Und das ist ja auch kein Drucker, sondern ein Multifunktionsgerät.

... Würde das daher unbedingt an der Fritzbox testen, ob es läuft; ich würde mich nämlich überhaupt nicht wundern, wenn nicht.

Ansonsten... mh. Man könnte die Routingtabellen und die WLAN-Clients so konfigurieren, daß Traffic vom WLAN-Port an der Fritzbox zunächst durch den MiniPC geschickt wird, damit dieser dort weiterverarbeitet werden kann. Aber ich seh spontan nicht, wie man die Fritzbox selber so abdichten kann, daß das nicht wieder zurückgebogen (also am MiniPC vorbei) werden könnte. Davon abgesehen ist das natürlich auch alles andere als eine saubere Konfiguration... und einen Engpaß im Netz hat man obendrein, auch wenn das für WLAN vielleicht nicht soo gravierend ist.

Eine ordentliche Konfiguration samt WLAN-Absicherung(smöglichkeiten) würde also den zusätzlichen AP erfordern. Dann hätten wir Internet > Fritzbox > MiniPC > Switch_mit_den_übrigen_Clients - das funktioniert dann sauber, wenn der Traffic zwischen den Clients nicht auch noch durch den MiniPC gefiltert werden soll/muß (was nicht heißen soll, daß es unmöglich wäre). So oder so würde das dann sicherlich schneller vonstatten gehen als mit der Fritzbox allein (hard-wired QoS und verschieden schnelle Ports an Heimroutern gehören in die Tonne).

Dann könnte das Fritzbox-WLAN-Subsystem komplett deaktiviert werden. Wenn Telefone & Vergleichbares auch ins WLAN sollen, wäre eine DMZ fürs WLAN eine Idee; das hieße dann aber zwangsläufig, daß "Kabelclients" NICHT auf "WLAN-Clients" zugreifen können und umgekehrt ebenfalls nicht. Hier müßte dann beispielsweise das NAS als "Zwischenstation" agieren, wo beide drauf zugreifen können; es würde dann dem NAS obliegen, eingehende Daten auf Viren oder sonstwelche andere Malware zu prüfen.