DMZ mit einer Fritzbox und einer Air Port Time Capsule, geht das?

[Nobody4711]

Morgens,

ich möchte gerne eine NAS von Extern erreichbar machen und einen Webserver. Diese sollen in eine DMZ kommen. Da ich nun ich das Geld für eine "Richtige" Firewall ausgeben möchte kam mir die Idee das mit 2 Routern zu machen. Bisher habe ich eine Fritzbox 7390, an der alles hängt, auch das Fax und die DECT Telefone. Die Fritzbox macht auch das Gastnetzwerk per Wlan.

Nun war mein Gedanke an den Port 1 der Fritzbox die Apple Air Port Time Capsule ( WAN Anschluss) zu setzen und von da über einen Switch meine PC´s alle erst zu verbinden. An der Fritzbox würde an Port 2 die NAS kommen und an Port 3 der Webserver. Port 4 Soll für ein zweites Gastnetz offen bleiben für Später.

An der Fritzbox würde das DHCP abgeschaltet werden, die Fritzbox bekäme z.B. die IP 192.168.1.1, das NAS die IP 192.168.1.2 und der Webserver die IP 192.168.1.3

Die Apple Air Port Time Capsule bekommt die 192.168.78.1, Maske 255.255.255.0 Router 192.168.1.1. Hier würde auch das DHCP eingeschaltet werden Von der Apple Air Port Time Capsule aus würden dann alle anderen Geräte angeschlossen werden.

Somit müsste doch die DMZ funktionieren, oder, wie muss ich die Apple Air Port Time Capsule Einstellen damit diese Sicher ist? Und es so funktioniert. Anbei mal ein Bild wie es aussehen soll.

Muss ich noch was beachten?

Habe ich was vergessen?

Würdet ihIhr es auch so machen oder ehr nicht.

Danke für eure Hilfe.

 

[roedert]

Eine richtige DMZ erreichst du damit nicht.
In der Fritzbox ist doch eine Firewall integriert - wenn du nur die Ports für NAS und Webserver öffnest und auf die entsprechenden Geräte weiterleitest, ist der Rest des Netzwerks doch geschützt.
Wie soll denn auf das NAS zugegriffen werden? Lokale Netzwerkprotokolle wie afp und smb sind für einen Internetzugriff eher ungeeignet!

 

[Nobody4711]

Morgens roedert,

danke für deine Antwort.

Ja, die Fritzbox kann das, aber das Problem ist wenn jemand der PC der als Webserver laufen soll karpert dann ist er im Netz und könnte an alles ran, so wäre er maximal in der DMZ.
Der Zugriff auf das Nas würde per Web Oberfläche laufen, wobei auch ein Direkter Zugriff per IP Adresse gehen müsste, das würde ich aber noch testen.

 

[pc-bastler]

Also meiner Erfahrung nach gibt es bei dieser Konfiguration schon alleine wegen dem Doppelhop-NAT große Probleme. Wenn du mehr Sicherheit möchtest, würde ich statt der Time Capsule eher eine Firewall-Appliance mit vernünftigem Regelwerk nehmen und die TC im Bridgemode im internen LAN anbinden.

 

[nanotek]

bei heise gab es mal einen artikel zu einer dmz. dort wurden 3 router verwendet:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

 

[Nobody4711]

Also meiner Erfahrung nach gibt es bei dieser Konfiguration schon alleine wegen dem Doppelhop-NAT große Probleme. Wenn du mehr Sicherheit möchtest, würde ich statt der Time Capsule eher eine Firewall-Appliance mit vernünftigem Regelwerk nehmen und die TC im Bridgemode im internen LAN anbinden.

Morgens,

klar ist eine Richtige Firewall bestimmt besser, aber die meisten sind recht Teuer und Schwierig einzurichten, wenn man sich da nicht auskennt macht man mehr falsch und ich befürchte das man mehr falsch als richtig macht.

Das mit der Doppelten NAT verstehe ich nicht. Wie äussert sich das?

 

[Nobody4711]

bei heise gab es mal einen artikel zu einer dmz. dort wurden 3 router verwendet:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

Morgens, das ist ja das was ich oben aufgezeichnet habe nur halt mit einer Apple Air Port, da ist ja die Frage ob das so geht.

 

[Olivetti]

der einfachere artikel ist der hier: https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html

und warum sollte das keine richtige DMZ sein.