4. Hilfe: zwei Router hintereinander schalten

Hilfe: zwei Router hintereinander schalten

  • ?

    Hallo, den Beitrag habe ich bereits gelesen, nur wird leider
    über die Konfiguration bei solchen Geschichten nicht wirklich
    etwas verraten. Dachte nur dass evtl. jemand sagen kann ob ich
    das so auch richtig gemacht habe 🙂

    0
  • U

    Der Hauptrouter (LAN-Port z.B. 192.168.1.1) geht ins WAN. Auf einem dieser Lan-Ports hänst du den WAN-Port des Subrouters. Dieser bekommt auf seinen WAN-Port eine IP-Adresse (z.B. 192.168.1.2 - 254) des Hauptrouters und routet auf die LAN-IP-Adresse (192.168.1.1) des Hauptrouters.
    Der Subrouter vergibt selbst eine IP-Adresse (z.B. 192.168.2.2 - 254) auf den LAN-Port und hat selbst z.B. 192.168.2.1.
    Die Clienten Routen nun alle auf den Subrouter 192.168.2.1 als Gateway. Dieser weiß wiederum das sein Gateway 192.168.1.1 ist und Routet weiter.

    0
  • E

    Stichwort "Static IP" - so heißt es jedenfalls bei meinem SMC hier.

    0
  • ?

    Ich habe noch Probleme mit dem WAN! Meine Netgear Router verfügen über
    ein "WAN-Setup" mit DMZ-Standardserver.
    Hier ist bislang nichts eingetragen beim Subrouter. Nun muss ich praktisch dort
    192.168.0.1 (IP des Hauptrouter) eintragen ?

    Unter Static-Routes des Subrouter habe ich bislang als Ziel die IP die der
    Hauptrouter dem Subrouter gibt eingetragen (192.168.0.5).
    Und route auf Gateway-IP des Subroutes rauf (192.168.7.1), welches die
    LAN-IP des Subrouters selbst ist.

    Ist das WAN-Setup noch zu üebrarbeiten, sind die Einstellungen so richtig ?

    Danke euch für die Unterstützung! Wenn man nicht wirklich vom Fach ist finde
    ich das als Neuland noch sehr kompliziert 😮

    0
  • C

    Zur Konfiguration:
    Bei dem Wort DMZ in einer Feature-Liste (ergo Marketing-Sprech) wäre ich sehr vorsichtig und so wie sich daß anhört (DMZ-Standardserver) heißt DMZ hier lediglich, daß alle Anfragen an den als "DMZ" deklarierten Rechner weitergeleitet werden. Das wäre aber keine DMZ sondern lediglich ein "exposed host".
    So wie ich Dich verstehe, hast Du den Subrouter so konfiguriert, daß er alle Anfragen nicht an den Hauptrouter sondern an sich selber schickt. ("als Ziel die IP die der Hauptrouter dem Subrouter gibt eingetragen (192.168.0.5)")
    Wenn Du aus dem LAN ins Internet willst, sollte es eigentlich genügen, im LAN die Private-Adresse des Subrouters (192.168.7.1) und beim Subrouter die Private-Adresse des Hauptrouters (192.168.0.1) jeweils als Default Gateway einzutragen. Die Netzmaske bei diesen Adressbereichen ist standardmäßig 255.255.255.0, dies sollte jedoch nicht von so großer Bedeutung sein, falls Du nicht mehrere Subnetze im LAN betreibst.
    Falls Du IP-Masquerading z.B. für FTP benötigst, muß Du natürlich noch die Ports vom Hauptrouter zum Subrouter und von diesen zum Zielrechner im LAN weiterleiten.

    Zur Sinnfrage:
    Die Konstellation ist IMHO nur sinnvoll, wenn Du auch eine (richtige) DMZ zwischen den beiden Routern betreibst. Bietest Du hingegen Dienste im LAN an bzw. sind diese Rechner aus dem WAN ansprechbar, ist der Subrouter reine Stromverschwendung.

    0
  • ?

    DMZ Standardserver kann ich leider nur im gleichen IP-Bereich angeben.
    Bei dem Hauptrouter ist es kein Problem, da der Sub ja eine LAN-IP bekommen hat,
    weil er als angeschlossenes Gerät erkannt wird.

    Der Hauptrouter kann nur leider nicht als DMZ Standard im Sub eingerichtet werden,
    da dort nur aus dem gleichen IP-Bereich eine IP eingetragen werden kann.

    Mit den statischen Routen sollte es doch theoretisch auch gehen oder?
    Es soll halt ein Sicherheitsaspekt in dem Sinne sein, dass der Sub die
    Anfragen die mit dem Internet zusammenhängen erst über den
    Hauptrouter und dessen Hardware Firewall gehen lassen muss.
    Ist das nicht ohnehin der Fall ?

    Der Rechner im IP-Bereich 192.168.7.2 kann komischerweise den PC im Bereich
    des Hauptrouter 192.168.0.2 sehen. Andersherum gehts aber nicht...

    Wie kann ich eigentlich sehen welchen Weg mein PC der am Subrouter
    angeschlossen ist zum Internet nimmt z.b. 192.168.7.2->192.168.7.1
    ->>192.168.0.1-->www.c-plusplus.net 😕

    0
  • ?

    Zumindest das mit der Routenverfolgung hat sich schon erledigt. Mit tracert sehe ich,
    was ich sehen will.

    0
  • ?

    Also im Logfile der beiden Router sehe ich momentan folgendes:

    Subrouter nach Aufruf der Seite www.n-tv.de:
    ALLOW:www.n-tv.de Source:192.168.7.2

    Dazu im Hauptrouter:
    Wed, 2005-07-06 15:31:57 - TCP Packet - Source:192.168.0.5,lfd.nr.,Destination:217.27.2.150,80 - [Any(ALL) match]

    tracert www.n-tv.de ergibt ausgeführt vom PC am Subrouter:
    192.168.7.1
    192.168.0.1
    ...
    ip von www.n-tv.de

    Von aussen müsste doch nun ein Angriff den gleichen Weg nehmen.
    Also zunächst über Router 1, Router2 dann zum PC am Router2.
    Und das sollte doch zumindest theoretisch schon mal sicher sein oder ?

    0
  • U

    wofor hast du angst.
    Hast du keine Weiterleitung eines Ports auf einen Interne Rechner des Hauptrouters aktiviert bist du fast sicher. Jetzt noch die Verwaltungswebseite von WAN abschalten und das wars. 100% gibt es nicht.
    Es kann zumindest keine Verbindung vom WAN hergestellt werden
    Lediglich von Innen kann viel passieren. Da kannman sich aber auch mit Firewall helfen indem man z.B. nur Port 80 für außen freigibt.
    Der 2te Router ist Sinnlos.

    0
  • ?

    Hast Du meinen Post gelesen?
    Wenn ja: Hast Du ihn nicht verstanden?
    Wenn ja: Hast Du irgendwelche Fragen?

    Falls die Antwort auf irgend eine der Fragen "nein" lautet, frage ich mich, wofuer ich mir die Muehe ueberhaupt mache? 🙄

    Also nochmal von vorn:
    Falls Du aus dem WAN Zugriff auf einen Rechner im LAN haben willst, musst Du auf dem Hauptrouter eine Route einrichten, der den entspr. Port vom Hauptrouter zum Subrouter leitet und auf dem Subrouter eine Route einrichten der diesen Port zum Ziel-PC im LAN weiterleitet.

    Bsp:
    Auf PC1 (192.168.7.7) im LAN laeuft ein Webserver (Port 80)
    Alle Anfragen aus dem WAN an Port 80 des Hauptrouters werden an Port 80 des Subrouter geleitet.
    Alle Anfragen vom Hauptrouter an Port 80 des Subrouters werden an Port 80 von PC1 geleitet.

    Vorsicht:
    Wie bereits erwaehnt ist ein zweiter Router sowieso nutzlos, wenn Du Anfragen aus den WAN sowieso ins LAN leitest. Es macht fuer den Angreifer keinen Unterschied, ob seine Angriffe ueber nur einen oder ueber zwei Router geleitet werden.
    Ich habe Dich gewarnt. 😉

    Und nochmals zur Sinnfrage:
    Ich bin mir nun ziemlich sicher, dass, was Dein Router-Hersteller Dir als DMZ verkauft hat, definitionsgemaess keine DMZ, sondern ein exposed host ist, d.h. alle Zugriffe/Anfragen/Angriffe werden einfach an diesen Rechner weitergeleitet. Falls Du einen PC im LAN als exposed host konfigurierst, kannst Du die ganzen Router auch gleich weglassen. Es macht keinen Unterschied, ob alle Anfragen direkt an einen Rechner gehen oder ob sie zuerst ueber einen Router laufen.

    0
Anmelden zum Antworten