Router, Mail-Server, Firewall ect. wie am besten verbinden?

#1
Ich würde es mal so zusammenstellen wie auf der Skizze oben.
Die Firewall ist gleichzeitig DHCP-Server. Beim Ausfall des ADSL's
wählt es sich über ein ISDN-Modem ein.
Ist die Rot umrandete leitung nötig um mit 100Mbps auf den Server zugreifen zu können? Falls ja bringt sie eine hohen sicherheitsverlust (Server Win2k prof)? Wo würdet Ihr das WLAN anschliessen? In einen Artikel in diesen Forum hab ich gelesen:

Zitat

Warum so kompliziert
Öffne dein WLAN komplett
INTERNET <-> WLAN <-> VPN <-> NETZWERK

Warum so kompliziert? Ganz einfach da kann jeder über meinen Anschluss angriffe auf Server starten und ich hab dann ein Problem zu beweisen das ich es nicht war. Also es soll nicht nur das LAN vor dritten sicher sein sondern auch das I-Net.

Gruss 206HDI

#2 hi

ob die rot umrandete leitung nötig ist, weiß ich nicht, da ich deine switches nicht kenne
eins fällt mir aber auf:

deine work-pc´s hängen am selben switch, wie der mail-server
MS Software ist bekannt für zahlreiche (ungestopfte) sicherheitslücken
es liegt in deiner entscheidung, auf was du deinen mail-server aufsetzt

einfacher für den anfang ist sicher windows, ob es auf lange zeit die bessere lösung (zumal mit nem workstation OS) ist, wage ich zu bezweifeln
früher oder später musst du auf ein natives Server OS umsteigen, um ausfallzeiten gering zu halten und sicherheit zu erhöhen

den mailserver würde ich in eine DMZ stellen, wenn es nicht zu viel aufwand für dich ist [1]
also quasi in die FW noch eine NIC rein und den mailserver daran direkt anschließen
dann ist er logischerweise per 100MBit angeschlossen [2] und bei einem erfolgreichen angriff ist nicht das gesamte netz betroffen

sorry, bissl knapp
aber wenn du noch fragen hast, einfach her damit

greez

[1]
vorausgesetzt er soll von außen erreichbar sein

[2]
voraussetzung:
- switches arbeiten mit 100MBit (fx)
- FW per 100MBit an switches angebunden
- NIC´s der clients arbeiten mit 100MBit (fx)

#3 Hmm wo würdest Du den Mailserver an die FW anschliessen?
Auf der I-Net oder auf Lan-Seite? Auf der Lanseite bring glaube ich kaum etwas, da die Ports untereinander sehrwahrscheinlich, nicht gesichert sind und die I-Netseite ist mit Sat, ADSL und ISDN schon voll belegt aber werde es mal erst ohne die Leitung probieren.

Zu DMZ (demilitarized Zone):
Zwischen Router und FW (Firewall) haben alle Geräte eine I-Net-IP und bekommen alle anfragen egal welcher Port.

Ich weiss dass Windows nicht sicher ist aber bis jetzt fehlte mir die Zeit mich richtig in ein anderes OS einzuarbeiten. Aber kommt noch. Falls der Mailserver ausfällt werden alle Mails auf einen Server in einem richtigigen Hostingcenter gesammelt gehen also nicht verloren. Aber müssen dann von Hand sortiert werden.

Wo und wie würdest Du das WLAN anhängen?

#4 ganz verstehe ich deinen netzaufbau immer noch nicht:

wozu dient denn der router, wenn alle WAN-Dienste an der FW attached sind?
würde grob folgendes machen:

- Work-PC´s und Mailserver in ein Netz (192.168.0.0/24)
- Game PC und PS in ein Netz (192.168.1.0/24)
- WLAN in ein Netz (192.168.2.0/24)

das realisierst du mit den 2 switches
die beiden switches werden nicht direkt miteinander verbunden (kein uplink), sondern kommen jeweils an ein interface der firewall [1]

- die firewall braucht jetzt NIC´s für:

1x router
1x SAT
1x ISDN/Modem
2x switches
1x WLAN

du siehst schon: WLAN kommt direkt an die FW
durch routing- und maskarading-funktionen der FW kann somit jedem rechner im netz ein I-Net-Zugang gewährt werden
alle hosts gehen also zunächst über die firewall und dann über den router, der von seiner seite aus aber nur mit der firewall kommuniziert (maskarading)

der mailserver ist nur im LAN erreichbar und wird von der firewall von zugriffen aus anderen netzen, die nicht mit dem mailserver sprechen dürfen [2], geschützt

sehr komplex, könnte man hier und da sicher noch ein wenig ändern
ich würde es aber so machen

greez

[1]
ich gehe hier von switches aus, die selbst keine routing- und firewallfunktionen bieten - also reine layer2 switches

[2]
bsp: PS, Router, WAN

#5 In meiner Version hat der Mailserver, PS, Router 212.168.432.XXX
die Work-PC's 192.168.1.XXX
und WLAN 192.168.0.XXX

Nicht gut?

#6 was hast du bei letzteren beiden für subnetmasken?

wieso muss der mailserver und die playstation direkt ans internet angeschlossen werden?
das kannst du doch über den router realisieren oder?
dabei wird mittels NAT das gesamte LAN dahinter mit nur einer IP ins internet gebracht und die clients/server sind ein wenig "geschützter"

oder benötigt die PS direkte Internetkommunikation?

greez

#7 255.255.0.0 oder soll ich lieber 255.255.255.0 nehmen?
Der Mailserver müsste nicht. Aber was mach ich sonst mit meinen 16IP's?
Aber eigentlich hast Du recht der braucht nicht direkt am I-Net zu sein.
Vorausgesetzt ich kann bei der FW den Port 25 auf Ihn umleiten.

Aber bei der PS weiss ich nicht welche Ports sie braucht.
Darum lieber direkt ans I-Net, könnte sie man aus dem I-Net schädigen? *fragendgugck*

#8 wow, du hast 16 öffentliche IP's ???
wie macht man denn sowas?

was ist denn das für eine FW?
normalerweise sollte portforwarding nicht das prob sein
aber wenn du sagst, der MS muss nicht von außen erreichbar sein, dann frage ich mich, wieso du ports forwarden musst?
jeder normale SOHO router beherrscht connection tracking und paketfilter implizieren dies mit NAT/Masq.

bei der PS hilft vllt. googlen, von attacken auf PS habe ich noch nichts gehört - liegt aber auch daran, dass ich mich dafür nicht interessiere

als subnet würde ich eine /24er - Maske nehmen (letztere von dir genannte), damit sind die netze WLAN, Game und Work logisch voneinander getrennt

greez

#9 Nimmst Du einfach ADSL Business von Tiscali-Schweiz und dann kannst soviele 8er FixIP-Blöcke Mieten wie Du willst.

Die FW ist die Symantec Firewall VPN 200r.
Geeignet für bis zu 30 Benutzern das sollte reichen denn zur Zeit sind wir max.15.

Die Satverbinding ist eine 1Weg Verbindung und wird nur genutzt wenn das ADSL nicht mehr ausreicht oder Ausfällt das Lohnt sich da ich nach langem suchen einen Anbieter gefunden habe bei dem nur die tatsächlich gebrauchte Bandbreite bezahlt werden muss und keine Grundgebühr hoffe der geht nicht so schnell pleite wie die andern

Der Mailserver muss von aussen erreichbarsein da alle E-Mails an xxxx@unseredomains.xx darüber laufen und nicht nur der Interne Mailverkehr. Da hast Du mich falsch verstanden oder ich hab mich nicht klar ausgedrückt.

Tja wenn Du so einen Spielverrückten kleinen Bruder hättest wie ich müsstest du Dich damit befassen darum auch der ganze Aufwand ... im moment ist ist der Router DHCP-Server und Port 25 wird auf den Mailserver umgeleitet. Bis auf gewisse Spiele funktioniert alles einwandfrei.
Bin jetzt am Dosen montieren danach kannst Du endlich im Netzwerkschränkchen Umpatchen und Deine so belegen wie Du willst ob mit ISDN, I-Net mit Firewall oder I-Net ohne Firewall.

#10 wow, großes netz, oder große familie

jo, dann musst du den port 25 forwarden, kein akt
immer noch besser, als direkt im WAN zu hängen

ist der router so ein kleiner SOHO Router, oder ist dieser OS basiert?
wenn letzteres haben solche dienste darauf nix zu suchen

greez

#11 grosse Familie und viele Gäste und dann Nachbarskinder und und Im Lan sind Games halt schneller als im I-Net *gg*

Der Router ist von ZyXEL der 652 oder so mit der Nummer bin ich mir nicht mehr so ganz sicher ??? Der Fällt doch unter SOHO Router oder nicht?

#12 jep, darunter fällt er

hätten wir ja alles geklärt, oder?

greez

#13 Ja denk ich auch aber wenn wieder fragen auftauchen komm ich wieder
thx & greez