Anzahl der öffentl. IP-Adressen für LAN und DMZ

Computer: Hardware Netzwerk
1

Hallo!

Ich möchte mein Netzwerk, dass im moment aus einem LAN (Clients und 1 Server) und einer Firewall besteht um eine DMZ erweitern. Dazu würde ich gerne vor „außerhalb“ von der bestehenden Firewall eine zweite (kleine) Firewall anschließen und damit eine DMZ bilden. In der DMZ sollten nur 1 oder zwei Rechner stehen.

Die DMZ sollte ins Internet geroutet (1:1 = öffentliche IPs) werden, das LAN geNATet (Masquarading = NAT = NPAT). Auf der inneren der beiden Firewalls (Cisco Pix) möchte ich meinen VPN Tunnel enden lassen.

Nun frage ich mich, wieviele IP - Adressen ich dafür brauche und wie die Netzwerknummern und die Routingtabellen aussehen sollen.

Ein sg. 8er Subnetz ist ohne Probleme zu haben, nur damit (denke ich) komme ich nicht durch. Von den 6 möglichen IP-Adressen fällt nich eine weg für das Gateway nach außen. Blieben 5 übrig. Davon werden für die DMZ zumindest 4 benötigt.

Die andere Möglichkeit ist wohl, eine Firewall zu verwenden, die einen DMZ-Port hat. Damit spare ich mir mir eine zweite Firewall und würde mit den Adressen durchkommen.

Diese Lösung scheint mir aber weniger sicher!?

Wie habt ihr das gemacht?

tks!
Herbert

2

Moin Herbert,

Deine Frage(n) kann man wie viele, mit dem Satz beantworten.

„Kommt darauf an“

Ich werde in meiner Antwort versuchen dir aufzuzeigen wie es aussehen kann. Du weißt selber am Besten wie deine Anforderungen sind.

Ich werde jedoch nicht alle Möglichkeiten erwähnen die mir einfallen. Da ich sonst stunden schreiben müsste :smile:

Beispiel Netz

Nehmen wir mal an das Prefix 172.16.0.0/12 ist aus dem öffentlichen Bereich (Was eigentlich nicht der Fall ist).

Transfernetz = 172.16.0.0/30
Kundennetz = 172.31.0.0/29

/\ Router Provider
\/ (Leider bieten manche Provider nicht dieses Setup an)
 |172.16.0.1
 |
 | 172.16.0.0/30
 |
 | 172.16.0.2
/\FW
\/
 | 172.31.0.1
 |
 | DMZ 172.31.0.0/29
 |---------------------
 |
 |172.31.0.2
/\ 
\/
 |
 | LAN 192.168.0.0/24
 |--------------------------------

Somit hast du noch 4 IP’s die du verwenden kannst.
Das VPN kannst du auf der IP der internen FW terminieren und diese kannst du auch ohne Probleme fürs NAT verwenden.
Solltest du jedoch VPN und NAT als getrennte IP verwenden wollen. Kannst du immer noch 3 Server in die DMZ stellen.

Solltest du auf der externen FW NAT Einsetzen würdest du mit deinem /29 (8 IP’s) Prefix noch mehr Server versorgen können.

Jetzt könnte es sein das dich dein Provider zu folgen Setup zwing.

/\ Router Provider
\/
 | 172.31.0.1
 |
 | 172.31.0.0/29
 |
 | 
/\ FW 
\/ ^1 
 | 
 | 172.31.0.0/29 (Magie:smile:


^1 Die Firewall muss dann den Prefix, das für den Provider ausserhalb deiner Firewall liegt auf magische Weise innen bringen.
Stichworte: brigde / proxy arp / Layer 2
BTW Routing findet auf Layer 3 statt.

Die andere Möglichkeit ist wohl, eine Firewall zu verwenden,
die einen DMZ-Port hat. Damit spare ich mir mir eine zweite
Firewall und würde mit den Adressen durchkommen.

Diese Lösung scheint mir aber weniger sicher!?

Auch hier wieder.
„Kommt darauf an“ :smile:

Wie habt ihr das gemacht?

Ich persönlich nutze am liebsten die 2 Firewall Variante.

Wobei wir bei uns auch die 1 Firewall Variante im Einsatz haben.

Wie gesagt es kommt darauf an.

polaripe

/29 = 255.255.255.248 = 8 IP’s
/30 = 255.255.255.252 = 4 IP’s