Router ohne Bridge - DMZ nutzen ?

[dannym5]

Bei Mobilfunk Routern kriegt ja leider immer das Gerät selber die öffentliche IP und Einstellmöglichkeiten sind bei denen auch meist Mangelware.
Es gibt daher im Gegensatz zu DSL-Routern dort keine Möglichkeit für den Bridge Modus, damit der dahinter liegende Haupt-Router die öffentliche IP bekommt.
Es bleibt also bei Huawei Routern nur die DMZ Option, wo der Router sämtlichen Verkehr ungefiltert an eine IP weiterleitet.

Die IP Adressen der zwei Router bei DMZ sind dabei z.B. so konfiguriert:
Mobilfunk Router WAN: Öffentliche IP
Mobilfunk Router LAN:10.0.0.1
Mobilfunk Router DMZ IP: 10.0.0.2

Haupt-Router WAN, statische IP: 10.0.0.2
Haupt-Router LAN IP Bereich: 192.168.1.x


Welche Nachteile und Probleme in der Praxis hat eine DMZ beim hintereinander Betreiben von zwei Routern, hinsichtlich NAT, Port-Forwarding, PC Erreichbarkeit von Außen, usw.?
Habe ich dadurch immer ein doppeltes NAT?
Muss man jedes Port-Forwarding in beide Router eintragen?!
Funktionieren VPN (per IPsec im Hauptrouter) und andere Anwendungen gar nicht mehr?
Gibt es sonstige Internet Probleme die euch bei DMZ so aufgefallen sind?

 

[Digi-Quick]

Grundsätzlich erstmal kein Problem.
Bei DMZ wird alles an eingehendem Traffic an den 2. Router weitergegeben. Das ganze verhält sich so, als wenn der erste router nicht da wäre. Natürlich "verursacht" der Erste Router ein NAT auch für den DMZ-Host (hier der 2. Router), da hier eine IP Adresse aus dem Pool für Private Netze verwendet wird. NAT wird zwingend eingesetzt, um Private Netze ans Internet zu koppeln. Für klassisches Routing sind öffentliche IP Adressen hinter dem Router erforderlich

Ein Portwarding muss nur auf dem 2. Router eingerichtet werden, da dieses mit Einrichtung der DMZ auf dem 1. Router Bereits eingerichtet ist (Leite Port 0-65xxx an den DMZ-Port).
Nichtsdestortrotz konnen PCs, die an dem ersten Router angeschlossen werden weiterhin ins Internet (Surfen, FTP, Streamingt etc.), da für diese PCs eigene NAT Sessions eingerichtet werden. dies PCs können aber nicht von aussen erreicht werden, da sämtlicher eingehender Traffic (also von aussen angestossene Verbindungen) an die DMZ gehen.

Zum Thema VPN hinter einem NAT Router:
Hier heisst es leider aufpassen, nicht jeder VPN-Router kann IPSec-VPN hinter einem NAT-Router.
Definitv funktionieren tut es mit den ProSafe-VPN-Gateways/Routern von Netgear (FVS336G, FVS318N, FVS318G)
Laut Draytek Support können die Vigor2920 und Vigor2925 Serien dies ebenfalls (beides dUAL WAN Router, weitere Geräte habe ich nicht nachgefragt), ebenso der TL-ER6120 von TP-Link, auch hier hatte ich das expizit beim Support nachgefragt.
Für die genannten Router dieser 3 Hersteller gibt es auch kein Problem mit dynamischen IP Adressen (mit Hostnamen bei einem der DynDNS Anbieter).

Der angebliche Marktführer Cisco versagt hier bei den für den SoHo/KMU Bereich konzipierten Produktserien (z.B. 800er Series) auf ganzer Linie. VPN hinter NAT geht gar nicht, und mindestens eine Seite der VPN Verbindung muss über eine statische IP-Adresse verfügen (auch wenn dieses im Handbuch anders steht, geht es nicht mit 2 dynamischen IPs, dieses ist vom Produktsupport bestätigt).

Ich setze genau hierfür mehrere Geräte von Netgear ein. und es funzt so wie es soll.
Einzige "Baustelle": einer der eingesetzten FVS336Gv1 mag so etwa 9-4 mal im jahr keine neue IPSec-Verbindung mehr annehmen und der Router muss rebootet werden. Aus diesem Grund ist geplant diesen demnächst auszutauschen, vermutlich wird es ein Draytek Vigor2925, der darüberhinaus auch noch etwas performanter sein dürfte - nach erster unüberprüfter Einschätzung.

 

[dannym5]

Danke für die ausführliche Antwort! Und auch die hier erwähnten Router kenne ich.
Ich brauche nämlich einen Dual WAN Router zum Koppeln von nicht 100% stabilem LTE und dem flink reagierenden, ausfallsicheren DSL mit nur wenig MBit.

Draytek Vigor Dual WAN Router habe ich schon, aber die haben leider alle wenig Einstellmöglichkeiten hinsichtlich Verteilung auf die zwei WAN.
Der auch erwähnte Netgear FVS336G ist hingegen momentan einer meiner Kauf-Favoriten, weil er mehr Einstellungen zu WAN Lastverteilung und Überwachung der WAN hat. Auch gibt es von diesem Netgear bereits eine v2 Variante die hoffentlich bei VPN, usw. stabiler ist.