Router per Exposed Host betreiben sinnvoll/ möglich ?

L

Leonleon1

Experte
Thread Starter
Mitglied seit
01.01.2016
Beiträge
925
Moin Moin,

heute ist mein Edgerouter X angekommen, der die gesamte Netzwerkverwaltung des Heimnetzes übernehmen soll. Momentan ist eine Easybox 904 LTE für alles verantwortlich und mit der Situation sichtlich überfordert. Da LTE-Modems vergleichsweise teuer sind, zumindest vernünftige, möchte ich ersteinmal die Easybox als "Modem" nutzen. Der ohnehin schon stark begrenzte Funktionsumfang der Easyboxen wurde bei dem LTE-Modell leider nocheinmal reduziert, sodass die einzige Möglichkeit den Edgerouter halbwegs direkt anzubinden der Betrieb des Routers als Exposed Host ist.

Somit wird der Traffic direkt an eine feste Adresse ( in diesem Fall der Edgerouter ) geschickt und man sollte die Double-NAT Problematik eigentlich halbwegs umgangen haben. Sämtliche Funktionen der Easybox werden in diesem Fall deaktiviert, sodass ihr einziger Job in der Weiterleitung des Traffics besteht.

Meine Frage ist also: Lässt sich ein Router sinnvoll als Exposed Host hinter einem anderen Router betreiben ohne die typischen Probleme wie Double-NAT, Portprobleme, Performanceverlust, usw.. ?

Sobald ich ein günstiges reines LTE-Modem geschossen habe, wird natürlich eine vernünftige Lösung gebaut.

Ich hoffe jemand kann mir meine Frage beantworten oder hat vielleicht sogar Tipps/ Verbesserungsvorschläge für mich und mein Setup :-)


Beste Grüße
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Moin,

ich betreibe schon recht lange so eine Routerkaskade mit einer Fritte als front Router mit pfSense als custom Router und als exposed Host in der Fritte eingetragen.
Das ganze funktioniert stressfrei mit einem 200Mbit Anschluss. Das hinter den Kulissen eine double NAT stattfindet ist mir völlig wumpe, da ich nichts davon merke. Nahezu die komplette Konfiguration findet seitens pfSense statt, Iso Files ziehe ich mit maximal ~23 MByte per Wget. Diverse VPN auf der pfSense eingerichtet tun es sowohl als Server als auch als Client. Die 5 Euro für die Fritte von KD tun mir nicht weh, ich betrachte sie als Überspannungsschutz und Serviceversicherung: Habe ich Probleme mit dem Internetzugang wird kurz das WLan an der Fritte aktiviert, probiert, Problem behoben --> Mein Problem, Problem besteht weiter --> KD hat ein Problem und es gibt keine Diskussion wegen Kundenhardware :bigok:

-teddy
 
Zuletzt bearbeitet:
magicteddy schrieb:
Moin,

ich betreibe schon recht lange so eine Routerkaskade mit einer Fritte als front Router mit pfSense als custom Router und als exposed Host in der Fritte eingetragen.
Das ganze funktioniert stressfrei mit einem 200Mbit Anschluss. Das hinter den Kulissen eine double NAT stattfindet ist mir völlig wumpe, da ich nichts davon merke.
Iso Files ziehe ich mit maximal ~23 MByte per Wget.

-teddy
Zum Vergrößern anklicken....

Hey,

danke für deine Antwort. Double-NAT sollte eigentlich auch nur Probleme verursachen, wenn Dienste von außen auf die Rechner zugreifen und dafür extra offene Ports brauchen. Hast du Erfahrungen mit VPN-Diensten gemacht ? Die Sicherheit wird auch nicht beeinträchtigt oder ? Der einzige von außen erreichbare Rechner bleibt ja der Edgerouter und dessen Firewall regelt dann alles, richtig ?

Beste Grüße
 
Moin,

Du hast halt imho 3 Möglichkeiten:

1. Du machst es als exposed Host, dann gibt es keine Problem mit den Ports weil eh alles am zweiten Router landet. Nachteil: Baust Du hier Bockmist stehst Du mit runtergelassenen Hosen und nach der Seife gebückt mit blankem Mors im Internet.

2. Du richtest auf beiden Routern die Port Weiterleitungen einzeln ein, ist etwas mehr Arbeit, schützt dich aber u. U. vor dem bei 1 genannten Fehler.

3. Reines Modem vor dem Router ist funktional fast wie 1

Hier musst Du einfach abwägen. Ich habe die Setups 1 & 3 am Laufen und merke in der Praxis keinen Unterschied. Alle Regeln setzt pfSense bei mir um.

-teddy
 
Zuletzt bearbeitet:
magicteddy schrieb:
Moin,

Hier musst Du einfach abwägen. Ich habe die Setups 1 & 3 am Laufen und merke in der Praxis keinen Unterschied. Alle Regeln setzt pfSense bei mir um.

-teddy
Zum Vergrößern anklicken....

Ich werde ersteinmal Option 1 nutzen und später auf Option 3 wechseln. Man muss dann halt aufpassen. Hast du eventuell noch eine Empfehlung wie man seine Verbindung prüfen kann ? Ein simpler Portscan der eignen IP via NMap o.ä. ist sicherlich schon aufschlussreich, aber logischerweise keine hunderprozentige Garantie.
 
Exposed Host ist kein Double NAT mehr!!

Es ist keinerlei Firewall Funktionalität mehr vorhanden, NAT ist eine Firewall / Filter Funktion!

Genau diese Konstellation nutze ich für diverse VPN-Gateways.
 
Zuletzt bearbeitet:
Digi-Quick schrieb:
Exposed Host ist kein Double NAT mehr!!

Es ist keinerlei Firewall Funktionalität mehr vorhanden, NAT ist eine Firewall / Filter Funktion!

Genau diese Konstellation nutze ich für diverse VPN-Gateways.
Zum Vergrößern anklicken....

Hey,

dann hat sich das Thema ja geklärt:)
Theoretisch wäre ja dann auch kein Modem mehr notwendig richtig ?

Beste Grüße
 
Moin,

Digi-Quick schrieb:
Exposed Host ist kein Double NAT mehr!!
Zum Vergrößern anklicken....

mööhp, falsche Antwort https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung

Double NAT findet in den Beispielen 1 und 2 immer noch statt :cool:

Beispiel: Client 192.168.17.3 --> int. Router 1 (172.16.3.1) --> ext Router (192.168.178.1) --> WAN
Es finden 2 Adressumsetzungen statt ...

Achso NAT würde ich nicht unbedingt als Firewallfunktionalität bezeichnen, das ist einfaches Routing. Firewall würde ich das ganze erst mit einem Regelwerk fürs Routing nennen.

Leonleon1 schrieb:
Theoretisch wäre ja dann auch kein Modem mehr notwendig richtig ?
Zum Vergrößern anklicken....
Natürlich ist ein Modem notwendig, was hat das eine mit dem Anderen zu tun? Genau, garnichts. Das Modem ist nur ein "dummer" Schnittstellenwandler, z.B.: Eine Seite DSL, andere Seite PPPoE. Ohne Modem keine Kommunikation weil beide Seiten unterschiedliche Sprachen sprechen.

-teddy
 
Zuletzt bearbeitet:
magicteddy schrieb:
Moin,
Natürlich ist ein Modem notwendig, was hat das eine mit dem Anderen zu tun? Genau, garnichts. Das Modem ist nur ein "dummer" Schnittstellenwandler, z.B.: Eine Seite DSL, andere Seite PoE.
Zum Vergrößern anklicken....
Modem mit PoE? Ich hoffe noch nicht!

Exposed ist zwar grundsätzlich ein NAT, allerdings "fühlt" es sich anders an, da man eben an der Stelle nicht mehr weiterleiten muss, weil einfach alles statisch und ungefiltert an den exposed host weitergeleitet wird.
Man muss als für einen externen Dienst nur noch ein einer Stelle was eintragen. (nämlich im exposed host)
Vom Grunde her ist es noch immer nen NAT und bei 2 Routern dann eben auch ein DoppelNAT, fühlt sich halt nur anders an.

Und selbstverständlich ist NAT eine Firewallfunktionalität, auch wenn das viele gerne anders sehen.
NAT ist eine Art Portfilter. Es sind nämlich alle externen Ports, für die keine Regel definiert ist, auf blocked gesetzt. Nichts anderes macht ein Portfilter, der eine Firewallfunktionalität ist.
Die Regeln sind:
1. weitergeleiteter Port
2. Ports die offen sind, weil ein interner Dienst dies in der NAT "hinterlegt" hat
Fakt ist, wenn ich einen Webserver @Port80 im internen Netz laufen habe und keine Regel eingetragen ist, die von außen nach intern IP:80 weiterleitet, dann passiert da auch nichts.

Eine Firewall muss nicht immer als Mega Hardware ausgeführt werden. Auch kleine Sachen können eine Firewall sein.

Ansonsten empfehle ich mal, sich die (einfachste) Definition einer Firewall anzuschauen, da steht nix von DPI und Co. drin.
 
Zuletzt bearbeitet:
Moin,

PoE war ein Fipptehler, natürlich PPPoE gemeint.

underclocker2k4 schrieb:
...Und selbstverständlich ist NAT eine Firewallfunktionalität, auch wenn das viele gerne anders sehen.
NAT ist eine Art Portfilter. Es sind nämlich alle externen Ports, für die keine Regel definiert ist, auf blocked gesetzt.
Zum Vergrößern anklicken....

Jain, für die Antwort auf eine ausgehende Anfrage wird ein Eintrag in der Routingtabelle vorgenommen, die Antwort wird damit gemäß Tabelleneintrag an den richtigen Clienten weitergeleitet. Besteht kein Eintrag wird ein ankommendes Datenpaket schlicht verworfen weil es nicht zuzuordnen ist. Ausnahmen: Es wird auf dem 1. Router selber verwurstet oder an einen anderen Client weitergeleitet. Wenn Du am ersten Router einen exposed Host konfigurierst kannst Du aber trotzdem parallel dazu einen weiteren "normalen" Host in diese Transferzone aufnehmen, der Rechner kann ebenso wie der exposed Host auf das WAN zugreifen, zumindest bei Routern der typischen SoHo Klasse. Dieses Verhalten habe ich ausprobiert und anfänglich für nicht vollkommen vertrauenswürdige Fremdrechner genutzt, um zwar Software aus dem Netz laden zu können aber keinerlei Zugriff aufs LAN zulassen zu müssen. Insgesamt nennt sich das auch NAT Overloading Port Adress Translation PAT

Profigeräte arbeiten oft ein wenig anders, was nicht explizit zugelassen ist ist verboten. Da ist es stressfrei möglich einen exposed Host als einziges Ziel einzutragen, alles andere ist dicht. Für den Normalo natürlich ungünstig wenn er sich den Weg ins WAN, außer Eingabe der Zugangsdaten, erst freikonfigurieren muss :stupid:

Als Firewallfunktionlität sehe ich NAT aber noch lange nicht, dazu wird das ganze erst mit einem Regelwerk über die Grundlegenden Funktionen hinaus.
Die Nichterreichbarkeit des LAN aus dem WAN ist einfach die Funktionsweise.

-teddy
 
Deine Definition einer Firewall ist also, dass dies nur mit einem Profigerät geht und sich daher selbiges auch nur Firewall nennen darf?
Demzufolge ist alles was non Profigerät ist, per Definition keine Firewall?

Hmm?
Hab ich irgendwie anders gelernt.
Dann kläre mich mal auf, was ein Profigerät ausmacht?
19"?
grün/gelb gestreift?
30kg?
20k EUR?
min. Dr. der Informatik + 2 weitere Fortbildungen in dem Bereich um sie zu warten?

Ohne dir jetzt zu nahe zu treten.
Ich sehe es, genauso wie die Väter des Internet/Netzwerk (aka IEEE), schon so, dass NAT ebene eine Form der Firewall ist. Dass dies nur die einfachste und sicherlich nicht die geschickteste ist, ist keine Definitionsgrundlage für eine Firewall.
"all traffic from inside to outside, and vice-versa, must pass through it; only authorized traffic, as defined by the local security policy, is allowed to pass through it; and the system itself is immune to penetration. "
Das ist die allgemeine Definition einer Firewall.
Auch NAT folgt dieser Arbeitsweise. Nur ist die Regel eine sehr einfache und nur bedingt nur den Anwender einzustellen. (aber das steht bereits oben)
Dennoch werden Telegramme von außen, für die kein Ziel bekannt ist, einfach weggeworfen. Nichts anderes macht eine "richtige" Firewall auch, nur das bekannt/unbekannt durch die Funktion erlaubt/nicht erlaubt ersetzt wird.
Man kann auch sagen, als Default-Regel, alles was bekannt ist, ist erlaubt, der rest ist nicht erlaubt.
Und auch eine DPI funktioniert genauso, nur dass es eben im Paket noch ne Ecke weiter schaut. Dennoch bedingt eine Firewall noch lange kein "kompliziertes" Regelwerk oder ein DPI.
Den Punkt "immune to penetration" muss man auch etwas relativieren. Denn viele Firewall sind nicht immune, weil oftmals die Architektur anders vorsieht. (z.B. Managebarkeit via LAN)

Du darfst aber gerne, wenn du das anders siehst, dich bei der IEEE melden. Die Herren sind für sämtliche Hinweise sehr dankbar. Nur bist du, denke ich, mal eben 20Jahre zu spät.

PS:
Du brauchst mir NAT/PAT/Mapping nicht erklären, ich verdiene mein Geld damit. (wobei wir NAT nicht als Firewall missbrauchen)

PPS: Eine Firewall mit Any Any -Regel ist auch eine Firewall. Wenn gleich es da evtl. auch ein einfacher "RJ45-RJ45"-Adapter getan hätte.
 
Zuletzt bearbeitet:
@Teddy
Bitte versteh mich nicht falsch. Jemand, der wirklich Netzsecurity umsetzen will, wird einen Teufel tun, das mit einem NAT oder gar einer Fritzbox umzusetzen. Weil er idR, so hoffe ich, ganz andere Features braucht, um sein Ziel zu erreichen.
Dennoch ist NAT eine low-level 0815 minimal Firewall.
Genauso wie:
Geländewagen: Die schönsten und ältesten Land-Rover-Modelle - WELT
das ein Auto ist.
Würde zwar so keiner mit rumfahren. Aber der Wille zum Rumfahren bestimmt nicht über die Definition.

EDIT:
Und genau das (NAT) ist das Problem bei IPv6. Wenn man da nicht aufpasst, und gerade das tun Ottonormalos nicht, sitzen alle Geräte und damit auch der User mit runtergelassener Hose im Internet.
Das wird dann noch richtig lustig. Botnetze zum wasauchimmer minen sind schon bald einfach so machbar ohne irgendeine Hürde.
 
Zuletzt bearbeitet:
Für mich bleibt die NAT-Sicherheit aber erhalten oder ? Das übernimmt der Edgerouter ja in dem Fall.
 
Definition Profigerät: Es setzt die Vorgaben des einrichtenden Netzwerkers ohne wenn und aber um. Davon ist eine Fritte und ähnliches weit entfernt, sie lassen viele Einstellungen gar nicht zu.
Ein preiswerter MikroTik routerboard hEX lite für ~36€ hingegen spielt in einer ganz anderen Liga, bietet aber auch deutlich mehr Möglichkeiten sich ins Knie zu schießen.

@underclocker2k4: Wie Du den jetzt lackierst oder ob du ihn in ein anderes Gehäuse verfrachtest überlasse ich Deiner Fantasie.

-teddy
 
Kurze Rückmeldung von mir:

Der Edgerouter X läuft hinter der Easybox 904 LTE als exposed Host absolut ohne Probleme. Die Performance stimmt, Firewall funktioniert einwandfrei, Port-forwarding usw klappt ebenfalls.

Besten Dank dafür :-)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh