Mein LAN trennen - Router und Proxy

[thobro]

Hallo Leute,

ich habe einmal eine kurze Frage.

Ich habe jetzt meinen Provider gewechselt und von dem noch einen Router bekommen, den ich VOR meine bereits vorhandene Fritz!Box 7170 geschaltete habe. an der Fritz!Box hängt ein Switch und an dem Switch hängen meine Clients und auch ein Windows 2003 Server und ein Debian (Lenny 5.0.1) Server.

Der Debianserver soll meine Schnittstelle LAN/Internet sein und ich habe mir gedacht das ich ihn als Router zwischen den beiden Netzen konfiguriere.

Jedoch will ich auf meinen bisherigen Komfort (hier vor allen Dingen Java-Chats, Videokonferenzen mittels Messanger [ICQ, MSN, Y!M]) nicht verzichten.

Wie kann ich das möglichst schnell und einfach einrichten, weiss das jmd? oder muss ich hier wirklich Abstriche machen ?

Danke schonmal für Eure Hinweise ....

Thomas

 

[LinuxAdmin]

Kannst Du vielleicht mal eine kurze Zeichnung (ASCII-Art reicht, oder ein Bild im Anhang) deiner Netzwerktopologie (a) wie Du sie jetzt hast und (b) wie Du sie Dir vorstellst (sofern das von (a)) abweicht, posten?

Irgendwie klingt das, was Du schreibst, etwas merkwürdig und bedarf mehr Klarheit.

 

[thobro]

Hallo,
auf Wunsch und weil es sich so besser vorstellen lässt, als Anlage eine Zeichnung meines Netzwerkes.

Alice ist eine Alice-Box meines ISP. Leider kannich die nicht ersetzen, da diese für mein VoIP benötigt wird. Die Alice-Box baut auch die Verbindung ins Internet auf.

Fritz ist eine Fritz!Box Fon WLAN. Hier ist mein ISDN-Telefon angeschlossen.

Switch ist ein Alcatel OmniStack 4024. Ein ganz normaler 10/100 Switch also.

SR1 ist der o.g. LinuxServer mit OS Lenny 5.0.1. Die eth0 ist sofort an der Fritz!Box angeschlossen. Eth1 ist am Switch angeschlossen. Auf SR1 läuft neben anderen Diensten auch der SQUID-Proxy in der Version 2.7.STABLE3.

SR2 ist ein Windows 2003 Server. Hier melden sich die Clients am AD an.

CL1 + CL2 sind Windows XP Clients der Benutzer.

Bisher war es so gewesen, dass ich die Fritz!Box direkt an den Switch angeschlossen hatte und der SR1 nur mit einer Netzwerkkarte ausgestattet war (im Switch angeschlossen).

Nachdem sich jetzt mehrfach rausgestellt hat, dass ich mehrfach ungebetenen Besuch auf meinen Rechnern hatte, nun diese Konfiguratiosänderung.

Es soll so sein, dass ich wie bisher auch, als ich "direkten" Zugang zum Internet hatte, die Messanger ordnungsgemäß funktionieren. D.h. der normale Chat funktioniert, wo es jetzt halt hapert ist die Videoverbindung und der Dateitransfer. Für die Messanger MSN, Y!M und ICQ.

Ausserdem habe ich festgestellt, dass nicht alle Chats auf verschiedenen Webseiten funktionieren. Hier ist vor allen Dingen der Java-Chat von Chat - Knuddels.de überhaupt nicht mehr funktioniert.

Ich hoffe ich konnte mit meinen Ausführungen einen kurzen Einblick geben und würde mich freuen, wenn mir jmd. den ein oder anderen Tipp geben könnte.

Danke
Thomas

 

[djrick]

Hallo,

Die Frage ist: Wie möchtest du den Router zwichen dem LAN und dem Internet einsetzen? Wenn er ein ganz normaler Router ist, sollte es keine Probleme mit Chats etc. geben.
Möchtest du diesen Rechner als Firewall einrichten? Wie ist die Momentane Konfiguration? Setzt du einen Proxy ein?
Was heisst "ungebetene" Gäste. Für 3 Clients halte ich einen physikalischen Rechner als Firewall etc. eigentlich für oversized.

 

[thobro]

MoinMoin,

Wie möchtest du den Router zwichen dem LAN und dem Internet einsetzen? Wenn er ein ganz normaler Router ist, sollte es keine Probleme mit Chats etc. geben.

Eigentlich hatte ich vorgehabt, den Rechner einfach nur dazwischenzusetzen, damit die Netze (LAN und INet) getrennt werden. Der Rechner soll also im Prinzip vollkommen transparent arbeiten, so das ich nach Möglichkeit auch nicht viel Verwaltungs-/Konfigurationsaufwand betreiben muss. Weder bei den Clients noch beim Server.

Möchtest du diesen Rechner als Firewall einrichten? Wie ist die Momentane Konfiguration? Setzt du einen Proxy ein?

Die Momentane Konfiguration ist nur die, ich habe 2 Netzwerkkarten eingebaut, IPs vergeben und damit man surfen kann den Proxy (Squid Version 2.7.STABLE3) installiert. Mehr eigentlich nicht. Naja, DNS und DHCP und Postfix noch, aber sonst eigentlich nichts.

Was heisst "ungebetene" Gäste. Für 3 Clients halte ich einen physikalischen Rechner als Firewall etc. eigentlich für oversized.

Ungebetene Gäste heisst, dass ich in den Logdateien Portscans registriert habe, ausserdem wurde versucht sich vom Internet mit dem Benutzer <root> anzumelden etc.
Wenn es nur 3 Clients wären, würde ich den ganzen Aufstand ja nicht machen. Es sind z.Z. etwa 20 Clients, dazu kommen nochmal etwa 10 Laptops als Clients.

Grüße
Thomas

 

[djrick]

Und wegen fehlgeschlagener Loginversuche rutscht dir das Herz in die Hose?
Wenn du den Router transparent machen willst, hast du auch keine bessere Sicherheit.
Wie ich das sehe hängt dort eine FritzBox als erster Router in deinem LAN. Wie wäre folgendes: Nur (Port-)Freigaben einrichten, die du wirklich nutzt. Dann werden die ungebetenen Gäste schon geblockt und kommen gar nicht mehr zum Login.
Falls du eine SSH oder FTP oder wo auch immer deine Gäste versucht haben sich einzuloggen auf dem Rechner wirklich brauchst und freigegeben haben möchtest, dann wird dir auch der Rechner dazwichen nichts nützen, weils ja dann immer noch freigegeben werden müsste.

Wie gesagt: Ich bleibe dabei: Der Rechner ist absolut überflüssig und kostet nur Strom. Für die Clients wo sich Leute einloggen wollen leg ich dir: fail2ban als Software ans Herz.
Sei doch froh dass es nur fehlgeschlagene Logins sind. Die echten Probleme entstehen wenn sich Leute einloggen
Aber zum Vergleich: Meine Server verzeichnen manchmal an einigen Tagen mehrere tausend einlogg versuche. Das einzige was ich davon wahrnehme ist die Summary-Email der geblockten IPs von Fail2Ban

 

[fuchzga]

Ich verstehe gar nicht, wie können denn an den Clients Portscans von aussen ankommen?
Man geht doch gewöhnlich mit NAT ins Internet? Wie kann dann ein Zugriff von draussen erfolgen? Spätestens an der Fritz-Box sollte schluss sein?

 

[thobro]

Moin Moin,

Und wegen fehlgeschlagener Loginversuche rutscht dir das Herz in die Hose?

Nein, eigentlich nicht. Es geht nur um das Prinzip. Ich will mein Netzwerk generell etwas sicherer machen.

Wenn du den Router transparent machen willst, hast du auch keine bessere Sicherheit.

Ich will den Proxy ja nicht tranparent von aussen her machen, sondern nur von innen. Ob ich dann jeden Client anfassen muss um die Browser zu Konfigurieren einen Proxy zu benutzen, ist mir egal. Das kann ich auch mit einer kleinen Batch-Datei machen.

Wie ich das sehe hängt dort eine FritzBox als erster Router in deinem LAN.

Ganz so einfach ist das nicht. Die Routerbox des ISP hängt zu erst im Netz und baut auch die Verbindung ins I-Net auf.

Wie wäre folgendes: Nur (Port-)Freigaben einrichten, die du wirklich nutzt.

Da die Fritz!Box keine Internetverbindungsdaten hat und somit auch keine Internetverbindung aufbaut, kann ich dort auch keine (Port-)Freigaben einrichten.

Dann werden die ungebetenen Gäste schon geblockt und kommen gar nicht mehr zum Login.

An sich ja keine Dumme Idee, nur leider nicht auszuführen. Ich benötige auch eigentlich keine Ports, von aussen nach innen, abgesehen von HTTP- und HTTPS-Verbindungen.

Sonnige Grüße aus Elsdorf

Thomas

 

[thobro]

Ich verstehe gar nicht, wie können denn an den Clients Portscans von aussen ankommen?
Man geht doch gewöhnlich mit NAT ins Internet? Wie kann dann ein Zugriff von draussen erfolgen? Spätestens an der Fritz-Box sollte schluss sein?

Das Problem ist ja, dass die Fritz!Box keine Verbindung ins internet herstellt. Das macht ja die Box meines ISPs (also die Alice-Box). Und das die Fritz!Box keine Internetverbindung herstellt funktioniert wohl auch deren Paketfilter, etc nicht oder nicht richtig.

Sonnige Grüße aus Elsdorf

Thomas

 

[djrick]

Und das die Fritz!Box keine Internetverbindung herstellt funktioniert wohl auch deren Paketfilter, etc nicht oder nicht richtig.

Das halte ich für ein Gerücht
Setz die FritzBox doch trodzdem als Router ein. Wer dahinter und wie eine Internetverbindung aufbaut ist der FritzBox relativ schnuppe

Ich hab mal ein wenig Paint bemüht um das alles zu veranschaulichen:

Dein ganzes LAN (Server / Switch / Clients) hab ich unter der Gruppe "LAN" zusammen gefasst, wie das aufgeteilt ist, ist ja primär hier nicht von bedeutung.

Von deinem LAN geht dann ein physikalisches Kabel in die FritzBox in LAN Anschluss 2.
In den LAN Anschluss 1 oder den DSL Anschluss (keine Ahnung was dein Alice Ding für einen Ausgang hat, vermute aber LAN 1), solltest du dann das Alice Zeug einstecken, was deine Verbindung ins Internet herstellt. Dann konfigurierst du die FritzBox so wie in meinem zweiten Screenshot (Allerdings bei der zweiten Option NAT Router auswählen nicht IP Client). Damit funktioniert die FritzBox als Router und tut so als würde sie selbst die Verbindung ins I-Net herstellen. Und voila: Deine FritzBox übernimmt deine Internetsicherheit (die auch so zwar schon gewährleistet ist, aber du willst ja nicht auf uns hören ) und du sparst dir jede Menge Strom, Konfiguration, Rechner und nerven Und eine FritzBox ist IMHO ausfallsicherer als ein ganzer Rechner

 

[LinuxAdmin]

Anmerkung: Gegebenenfalls muss man die Firmware der Fritzbox auf einen aktuellen Stand bringen (siehe AVM Homepage) -- das hat auch meiner alten Kiste diese Features beigebracht