3 subnetze, 3 IPs, 3 router - sichere verbindung untereinander?

#0
28.12.2006, 15:15
...neu hier

Beiträge: 2
#1 Hallo alle zusammen!

Ich habe folgendes Problem:
Wir haben 3 fixe IP Adressen und auf jeder dieser IP Adresse läuft ein Router (Zywall 5 und Symantec VPN 100).
Hinter der ersten IP hängen sämtliche Clients und auf den beiden anderen IP die Server. Nun soll auch aus dem LAN auf die Server zugegriffen werden.
Im Moment sind die Router der Server über einen Switch mit dem LAN verbunden und sie haben auch IP Alias mit der selben subnet des LAN bekommen. Das ist aber im Moment nicht befriedigend, da es alles andere als sicher ist.
Die Server sollten von außen und auch vom LAN erreichbar sein, jedoch soll es keine Möglichkeit geben von den Servern auf das LAN zuzugreifen, falls sich mal jemand Zutritt zu den Servern verschafft.

Noch dazu ist das LAN über VPN erreichbar und es soll auch die Möglichkeit gegeben sein, dass auch die Server erreichbar sind.


hier mal zu Illustration

1. IP ------ Zywall ------LAN .123.0
|
|
2. IP ------ Symantec ------ Server 1 .100.1 und .123.190
|
|
3. IP ------ Netgear -------- Server 2 .0.1 und .123.191


Die beiden anderen Firewall sind also mit der Zywall verbunden und genau diese Verbindung soll sicherer werden.

Hat wer vielleicht eine idee, wie die zywall konfiguriert werden könnte?
Seitenanfang Seitenende
28.12.2006, 21:26
Member

Beiträge: 371
#2 Klingt nach klassischem Fall für einen BSD oder Linux-Router.
M0N0-Wal oder IPCOP zum Beispiel.
Für IPCOP die URL: www.ipcop.org
Forum unter: www.ipcop-forum.de
Seitenanfang Seitenende
29.12.2006, 11:50
Member

Beiträge: 93
#3 Prinzipiell kannst du mit einer Statefull Inspection Firewall (die wohl alle drei haben) erreichen, dass zwar PCs aus dem privaten Lan die Server erreichen können, aber von den Servern nicht auf das LAN zugegriffen werden kann.

Mit drei IPs meinst du drei öffentliche IPs von einem Provider?

Ich glaub ich würd die ganze Sache recht simpel halten..

1. Einen Router mit Firewall und VPN Fähigkeiten, der das LAN vor dem Internet schützt und gesicherte Verbindung von extern per VPN ermöglicht.

2. Auf dem Router portforwarding auf bestimmte Ports (zb. 80, 443, 25) auf interne Server, wenn dies benötigt wird bzw. die Server von extern für jedermann erreichbar sein sollen (zb. Webserver)

3. Im LAN bei Bedarf zwei Subnetze bereitstellen, so dass Servernetz und Clientnetze getrennt sind, durch ACLs bzw. Firewallregeln zwischen den Subnetzen genau definieren, welche Clients auf welchen Ports auf die Server zugreifen können.
Seitenanfang Seitenende
29.12.2006, 12:32
...neu hier

Themenstarter

Beiträge: 2
#4 Danke schon mal für die hinweise.

die IPs sind öffentlich IPs. Es ist auch wichtig, dass diese IPs ehalten bleiben, also die Server über je eine IP erreichbar sind.

Portforwarding ist momentan eingestellt

Ich werde mal ausprobieren, die Firewallregeln so zu konfigurieren.
Seitenanfang Seitenende
29.12.2006, 16:39
Member

Beiträge: 371
#5

Zitat

ibridd postete
Danke schon mal für die hinweise.

die IPs sind öffentlich IPs. Es ist auch wichtig, dass diese IPs ehalten bleiben, also die Server über je eine IP erreichbar sind.

Portforwarding ist momentan eingestellt

Ich werde mal ausprobieren, die Firewallregeln so zu konfigurieren.
IPCOP kann damit umgehen. Habe das zwar nie gebraucht (wann hat man privat 3 IP-Adressen?), aber im Forum kam es öfter vor.
Wenn die 3 Adressen von außen erreichbar sein sollen kenne ich keinen SOHO Router der damit umgehen kann. Da ist die flexibilität von Linux im Vorteil.
Seitenanfang Seitenende
30.12.2006, 12:10
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

PerryRhodan postete

Zitat

ibridd postete
Danke schon mal für die hinweise.

die IPs sind öffentlich IPs. Es ist auch wichtig, dass diese IPs ehalten bleiben, also die Server über je eine IP erreichbar sind.

Portforwarding ist momentan eingestellt

Ich werde mal ausprobieren, die Firewallregeln so zu konfigurieren.
IPCOP kann damit umgehen. Habe das zwar nie gebraucht (wann hat man privat 3 IP-Adressen?), aber im Forum kam es öfter vor.
Wenn die 3 Adressen von außen erreichbar sein sollen kenne ich keinen SOHO Router der damit umgehen kann. Da ist die flexibilität von Linux im Vorteil.
Für sowas brauch man eigentlich gar keine Regeln, einfach nur IP-forwarding genügt schon.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: