LAN Frage

[Alphatierchen]

Hi

Folgende Frage:
LAN Konfig:

OBSD Router
LAN 1 -> Switch
LAN 2 -> DSL Modem
------------------------------------------
LAN 3 -> Soll ne Rechner hängen

Wie realisiere ich das wen ich ne 3te LAN Karte in de OpenBSD Rechner einbaue dort ne Client dranhänge den ich normal erreichen kann als ob er am Switch hängen würde?


Mfg
Alphatierchen

 

[Illuminatus]

Meinst du Bridging?

 

[Alphatierchen]

Hi

Nee kein Bridging.
Wäre ja auch sinnlos oder?
Will ja den Client der an den OpenBSD Router hängt auch erreichen.
Wollte ne 3te LAN Karte in das OpenBSD reinbauen damit er ans Internet angeschlossen ist und zweitens auch über ganz normale erreichbar is wie ne Rechner der normal am Switch hängt.

 

[kawana]

Hi
Nee kein Bridging.
Wäre ja auch sinnlos oder?
Will ja den Client der an den OpenBSD Router hängt auch erreichen.
Wollte ne 3te LAN Karte in das OpenBSD reinbauen damit er ans Internet angeschlossen ist und zweitens auch über ganz normale erreichbar is wie ne Rechner der normal am Switch hängt.

Hallo Alphatierchen,

du willst den Rechner im 3. LAN aus dem Internet und aus dem internen LAN (Switch) erreichen, oder? Das nennt sich dann DMZ.

Ich gehe mal davon aus, dass Du das ganze mit pf machst; schau mal, ob Dir
http://www.openbsd.org/faq/pf/de/rdr.html
Deine Frage klärt. Ansonsten musst Du mal ein Bild malen, was Du erreichen willst.

Ciao

Der Kawana

 

[wageck]

ich klaub eher das er wll das der reechner sich wie ein switch oder hub verhält

 

[Alphatierchen]

jo genau soll sich so verhalten wie ne Switch die LAN Karte 3
aber ich mal trozdem mal ne Bilder


LAN 3
|
|
OpenBSD ----------LAN1---------------------> Switch
|
|
LAN 2
|
|
DSL Modem


LAN = Netzwerkkarten

So an LAN 3 hängt mein Debian Server dran.
Dieser soll in Internet gehen können und gleichzeitig von den Clients im Netzwerk verfügbar sein. Daher denk ich man müste hier ne art Switch emulieren unter OpenBSD.
Daher die frage wie geht das? Danke

Alphatierchen

 

[TCM]

geraten: lan1 kriegt ip-adresse, lan3 kriegt keine. lan1 und lan3 zusammenbridgen.

 

[Alphatierchen]

hi
nein,
LAN 1 hat ne Feste IP und is an ne Switch angeschlossen
LAN 2 ist direkt mit DSL Modem verbunden
LAN 3 da hängt ne Rechner dran
Die Frage wie realisiere ich das ne andere Rechner der normal an de Switch angeschlossen ist auf dem Rechner zugreifen kann der am LAN 3 hängt.

 

[kawana]

Server mit 3 LANs

Hallo Alphatierchen,

ich möchte Dich nochmal bitten, den von mir oben genannten Artikel auch mal zu lesen und versuchen zu verstehen.

Wenn Dein OpenBSD-Router ein Router ist, ist er kein Switch.

Ich versuche mich auch mal an einem Bild

       the Internet
            |
       -------------
       | DSL-Modem |
       -------------
            |
     <öffentliche IP>
  -----------------------|
  |    < LAN 2 >        ^|                                                       _____________
  | OpenBSD-Router      L| <192.168.1.254/24> ---(Crosskabel)-- <192.168.1.1/24> | Webserver |
  |     pf              3|                                                       _____________
  |    < LAN 1 >        v|
  -----------------------|
     <192.168.0.254/24>
            |
  ----------------------------------------
  |    Switch                            |
  |   192.168.0.253/24                   |
  ----------------------------------------
      |              |             |
  192.168.0.1    192.168.0.2   192.168.0.3
      PC1            PC2           PC3

Wenn Du es so aufbaust, kannst du mit pf/rdr den Webserver aus dem Internet erreichbar machen und das Netz mit dem Webserver kannst du ganz normal aus dem LAN1 erreichen, in dem du es routest.

ABER: Du willst das garnicht., glaube ich.

Denn dann könnest du den Webserver ja auch direkt an den Switch hängen und per pf/rdr aus dem Internet erreichbar machen. Du willst auch den Traffic zwischen Webserver und deinem LAN1(Switch) filtern, oder?

Ciao

Der Kawana

P.S.: Ich hoffe, dass ich jetzt die Frage langsam verstanden habe.

 

[Alphatierchen]

Hi
Kawana

Habs selber hinbekommen trozdem danke nochmal für die ausfuehrliche Info.

Mfg Alphatierchen

 

[kawana]

Hallo Alphatierchen, und was hast du wie gelöst?
Vielleicht hat ja jemand anderes auch das gleiche Problem.

Ciao Der Kawana

 

[sticky bit]

Das nennt sich dann DMZ.

<klugscheissmode>
Nix DMZ, dazu muesste eigentlich noch ein weiter Router / Packetfilter da sein der die DMZ vom Rest des LAN trennt und verhindert, dass Verkehr von der DMZ in das LAN kommen kann (umgekehrt schon).
Liesse sich zwar mit einem Router und drei Interfaces vielleicht aehnlich konfigurieren, ist aber wohl als Sparloesung zu bezeichnen, weils den Angriffspunkt (Router ins LAN) direkt aus dem oeffentlichen Netz angreifbar macht. Mit zwei Routern koennte man den der direkt am Internet haengt so konfigurieren, dass er gar nichts zu dem der zum LAN geht routet (ausgenommen Antworten auf Requests vom LAN aus, also stateful halt, gilt ja auch fuer den LAN-Router, die DMZ soll ja erreichbar sein), dann ist ein Angriff schon mal um Laenegen schwieriger.
Das Vorliegende ist wohl eher ne Mischform aus DMZ und Disposed Host. Letzteres verkaufen einem Hardware Router Hersteller gerne als DMZ, ist halt n Marketing-Gag...
</klugscheissmode>

 

[double-p]

Du meinst sowas?

<code>
Internet
|
Modem
|
ext. pf box---webserver
|
int. pf box
|
LAN
</code>
Ist natuerlich prinzpiell ein "Plus" fuer die Paranoia, aber fuer daheim
halt auch bischen overhead schon alleine fuer die Absicherung/Server/Uplink
3 Kisten + Modem hinzustellen.

Laeuft auf dem Setup von kawana auf der pf box *kein* Service und sind die
pf-regeln sauber konstruiert (v.a. block on $int from $webserver to any), dann
ist so ein "small collapsed DMZ" setup schon zu vertreten.


HTH,

 

[sticky bit]

Du meinst sowas?

Eher sowas, aber glaube dir ist der Strich einfach verrutscht, eigentlich reichen zwei Interfaces am externen Router der Rest wird geschwitcht, (geht wie bei dir aber natürlich auch):

 ...
(WAN)
 ~~~
  |
(<->) externer Router / PF
  |
 ...     ___
(DMZ)---|...| öffentlich zu erreichender Server
 ~~~
  |
(<->) interner Router / PF
  |
 ...
(LAN)

Ist natuerlich prinzpiell ein "Plus" fuer die Paranoia, aber fuer daheim
halt auch bischen overhead schon alleine fuer die Absicherung/Server/Uplink
3 Kisten + Modem hinzustellen.

Hab auch nie behauptet es wäre ne unbedingt notwendige Sache für ne Heimanwendung. Wens interessiert, bei mir ist das LAN auch direkt am externen Router, ich kann trotzdem noch ab und an ruhig schlafen...

Laeuft auf dem Setup von kawana auf der pf box *kein* Service und sind die
pf-regeln sauber konstruiert (v.a. block on $int from $webserver to any), dann
ist so ein "small collapsed DMZ" setup schon zu vertreten.

Wie gesagt, das Gegenteil will ich nicht behaupten, nur, dass per Definition IMHO für ne "echte" DMZ halt zwei Router die Netzte trennen sollen zwecks plus an Sicherheit durch die physikalische Trennung der Maschinen...

P.S.: Man beachte auch den nicht umsonst verwendeten <klugscheissmode></klugscheissmode>!

 

[double-p]

hmja,

also den webserver an einen switch zwischen ext.pf und int.pf zu haengen reduziert
das ganze dann schon wieder.
effektiv kontrolliert dann wieder nur die int.pf den traffic VON der webserver box.

wenn schon, dann mit 3. bein an der ext.pf.
mal es dir einzeln raus.. der webserver ist in meinem setup von aussen genauso gut
geschuetzt wie in deinem. die int.pf hat aber die rules von ext.dmz und ext.int und int.outer
gegen sich. in deinem nur die von int.outer.

HTH,

 

[sticky bit]

also den webserver an einen switch zwischen ext.pf und int.pf zu haengen reduziert
das ganze dann schon wieder.
effektiv kontrolliert dann wieder nur die int.pf den traffic VON der webserver box.

wenn schon, dann mit 3. bein an der ext.pf.
mal es dir einzeln raus.. der webserver ist in meinem setup von aussen genauso gut
geschuetzt wie in deinem. die int.pf hat aber die rules von ext.dmz und ext.int und int.outer
gegen sich. in deinem nur die von int.outer.

You scored a valid point!