Fritzbox 6490 - kein VLAN - webserver separiert vom LAN

[herrkrieger]

Liebe Freunde des gepflegten Netzwerkes,

gerne würde ich für ein kleines privates softwareprojekt externen Zugriff auf das Projekt gestatten.
Hierfür möchte ich aber nicht bei github hosten, sondern gerne selber ein gitlab und eine dev/staging/production-Umgebung auf Basis von virtualbox vagrant bzw. kvm hosten.
Gerne würde ich beide Bereiche getrennt voneinander halten.
Die Fritzbox kann nun kein vlan. Allerdings habe ich an meinem homelab-Server 3 Netzwerkkarten.
Ich überlege ob der homelab-server im Gastbereich eingesperrt genug wäre.
Wie seht Ihr das?

[img]http://www.bilder-hosting.info/vorschau ... 17514a.png[/img]

Die Fritzbox hat aktuell ein 192.168.178.x-Netz
Das Gast-LAN (LAN4) ist so weit ich weiß 192.168.179.x
Das Subnet der Fritzbox ist aktuell 255.255.0.0.
Dennoch scheint das GUEST-LAN separiert zu sein. Gibt es da eine offizielle Dokumentation?

Wenn ich nun den Server in ein anderes Netz packen würde sagen wir mal 192.168.10.x und noch einen weiteren Server(jump-host) in das gleiche Netz müssten die Server ja vom LAN getrennt sein, sofern der extern geteilt server ein subnet 255.255.255.0 hätte und lediglich der jump-host ein 255.255.0.0-Subnet?

Alternativ könnte ich natürlich auch NAT der Virtualbox nutzen. Wie geht Ihr da vor?
Danke im Voraus und auf hoffentlich baldige Antworten

[reneromann]

Dir ist aber schon klar, dass von außen kein Zugriff auf Rechner im Gast-LAN möglich ist...
Weiterhin: Wenn man solche Konstellationen fahren will, ist es manchmal schlauer, einen 2. Router HINTER der Fritte zu betreiben (auch wenn das Doppel-NAT bedeutet)...

Und noch was: Mit VLAN hat das, was du willst, rein prinzipiell nichts zu tun - die Fritte ist für deine Bedürfnisse (nämlich ein "halbwegs professionelles" Netzwerk incl. DMZ-Netz) nicht gemacht und/oder gedacht.

[Boba Fett]

Und noch was: Mit VLAN hat das, was du willst, rein prinzipiell nichts zu tun

Doch, hat es. Man richtet ein separates Netzwerk ein, eigener DHCP, anderes Subnet. Das erwirkst du mit einem zweiten Router und damit Doppel-NAT, wenn der Router eben kein VLAN kann.
Mit VLAN kann man aber sagen, Port 4 kriegt immer VLAN2 mit Subnet 192.168.1.x mit 255.255.255.0, alle anderen Ports kriegen VLAN1/Default mit Subnet 192.168.0.x mit 255.255.255.0.
VLAN braucht man, um das eben auf Portebene trennen zu können, sonst weiß der Router ja nicht, an welchem Anschluss er das andere Subnet verwenden soll. Da aber in dem Fall dann beide Netze am gleichen Router hängen, spart man sich das Doppel-NAT.

Mit entsprechenden Routings muss man dann noch verhindern, dass der Router zwischen beiden Subnets routet, ansonsten wären sie ja auch wieder nicht getrennt.
Das trifft auch auf die Lösung mit einem zweiten Router zu. Der würde per Default auch ins vorherige LAN routen und die Netze wären wieder nicht getrennt.

Den Server im Gastnetzwerk kriegt man übrigens auch vom Internet aus erreichbar, braucht dann halt nur ggf. zwei Portforwardings, eines am ersten Router, eines am zweiten Router.
Ausser die Fritte erlaubt solche Einstellung für ihr "Gastnetz" nicht, das liegt dann aber an der Fritte, und nicht daran, dass es im Netzwerk nicht möglich wäre.

Das geht auch mit einem Jump-Host, nur der muss dann wiederrum auch doppel-NAT machen für den abgetrennten Bereich mit entsprechenden Routen, damit das so erzeugte Gastnetz ausbruchssicher ist. Aber der Jumphost als Schnittstelle ist ebenso angreifbar und hat Zugriff auf beide Netzwerke.

Der Sinn ist ja wohl, dass man entweder einen Gast vom eigenen LAN trennen will, so das der zwar ins Internet kann, aber nicht auf die anderen Rechner zugreifen kann, oder wie hier (vermutlich), dass falls der öffentlich erreichbare Server gehackt wird, die Hacker wenigstens NUR auf diesem Server sind und nicht gleich ins ganze LAN kommen.

Eine DMZ könnte das übrigens auch erledigen. Kann die Fritte sowas nicht?

[reneromann]

Und noch was: Mit VLAN hat das, was du willst, rein prinzipiell nichts zu tun

Doch, hat es. Man richtet ein separates Netzwerk ein, eigener DHCP, anderes Subnet. Das erwirkst du mit einem zweiten Router und damit Doppel-NAT, wenn der Router eben kein VLAN kann.
Mit VLAN kann man aber sagen, Port 4 kriegt immer VLAN2 mit Subnet 192.168.1.x mit 255.255.255.0, alle anderen Ports kriegen VLAN1/Default mit Subnet 192.168.0.x mit 255.255.255.0.
VLAN braucht man, um das eben auf Portebene trennen zu können, sonst weiß der Router ja nicht, an welchem Anschluss er das andere Subnet verwenden soll. Da aber in dem Fall dann beide Netze am gleichen Router hängen, spart man sich das Doppel-NAT.

Aufhören... VLAN hat nichts mit Routing zu tun!
VLAN gibt dir die Möglichkeit, mehrere getrennte Netze über eine gemeinsame Leitung zu jagen und sie dann an einem VLAN-geeigneten Switch wieder "aufzutrennen".
Ob der Router VLAN unterstützt oder nicht, ist dabei völlig egal - im "Zweifel" nimmt man die verschiedenen (bei guten Routern einzeln konfigurierbaren) LAN-Ports und leitet diese auf einen VLAN-fähigen Switch, der die einzelnen, getrennten Netze dann auf die richtigen Ports verteilt.

Letzten Endes benötigt man also einen Router, der mehrere Subnetze -entweder per VLAN oder halt auch mit dedizierten LAN-Ports- unterstützt - und das kann die Fritte, um auf das Ursprungsthema zurückzukommen, halt nicht.

Mit entsprechenden Routings muss man dann noch verhindern, dass der Router zwischen beiden Subnets routet, ansonsten wären sie ja auch wieder nicht getrennt.
Das trifft auch auf die Lösung mit einem zweiten Router zu. Der würde per Default auch ins vorherige LAN routen und die Netze wären wieder nicht getrennt.

Falsch - mit Doppel-NAT hast du noch immer die Firewall und das NAT vom 2. Router zwischen dem Server und dem "richtigen" Netz.
Zumal man natürlich auch mit entsprechenden Routing- oder Firewallregeln eine Verbindung "unterbinden" kann.

Den Server im Gastnetzwerk kriegt man übrigens auch vom Internet aus erreichbar, braucht dann halt nur ggf. zwei Portforwardings, eines am ersten Router, eines am zweiten Router.
Ausser die Fritte erlaubt solche Einstellung für ihr "Gastnetz" nicht, das liegt dann aber an der Fritte, und nicht daran, dass es im Netzwerk nicht möglich wäre.

Die Fritte verbietet es - punkt.

Der Sinn ist ja wohl, dass man entweder einen Gast vom eigenen LAN trennen will, so das der zwar ins Internet kann, aber nicht auf die anderen Rechner zugreifen kann, oder wie hier (vermutlich), dass falls der öffentlich erreichbare Server gehackt wird, die Hacker wenigstens NUR auf diesem Server sind und nicht gleich ins ganze LAN kommen.

Was im Fall von Doppel-NAT oder einem "richtigen" Router der Fall ist.
Nur mit einer Fritte klappt das halt nicht.

Eine DMZ könnte das übrigens auch erledigen. Kann die Fritte sowas nicht?

Die Fritte hat keine "richtige" DMZ im Sinne eines richtig abgetrennten Netzes - die Fritte kennt lediglich eine Exposed-Host-Funktion, wobei alle eingehenden Verbindungen an den Exposed Host weitergeleitet werden (sofern nicht andere Regeln greifen), jedoch ist der Exposed Host halt ganz normaler Teilnehmer im normalen Netzwerk (und nicht extra abgeschottet).

[Boba Fett]

Aufhören... VLAN hat nichts mit Routing zu tun!

Lesen! Wo habe ich geschrieben, dass VLAN was mit Routing zu tun hat?

Letzten Endes benötigt man also einen Router, der mehrere Subnetze -entweder per VLAN oder halt auch mit dedizierten LAN-Ports- unterstützt - und das kann die Fritte, um auf das Ursprungsthema zurückzukommen, halt nicht.

Jap, genau das habe ich geschrieben, man braucht VLAN um das Netz trennen zu können. Hat nichts mit dem Routing zu tun. Das Routing greift aber "hinter" dem VLAN und wenn da ein Routing aktiv ist, dass von einem VLAN ins andere VLAN routet, dann sind die Netze ja trotzdem verbunden.
Ich habe auch nicht behauptet, das die Fritte das könne. Ich habe mich nur auf deinen Kommentar bezogen, dass die Trennung der Netze nichts mit VLAN zu tun hat. Das hat sie sehr wohl, mit VLAN geht das nämlich.

Falsch - mit Doppel-NAT hast du noch immer die Firewall und das NAT vom 2. Router zwischen dem Server und dem "richtigen" Netz.
Zumal man natürlich auch mit entsprechenden Routing- oder Firewallregeln eine Verbindung "unterbinden" kann.

Normalerweise routet der zweite Router aus seinem 192.168.1.x Subnet direkt in sein "WAN" 192.168.0.x Subnet, wenn man keine Routingregeln ändert. Damit ist überhaupt nichts getrennt, weil man aus dem Gastnetz wieder direkt auf die Rechner im anderen Subnet zugreifen kann. Deswegen schrieb ich eben, den Gast-Router muss man extra so einstellen, dass er das NICHT tut.
Ich habe hier sowas laufen, als Gast-WLAN, das Gast-WLAN steht auch hinter einem zweiten NAT, er hat aber ohne explizite Routingänderungen tadellos auf meine Rechner im "Erst-NAT" geroutet, womit die Idee hinter dem Gastnetzwerk ad absurdum wäre.

Die Fritte verbietet es - punkt.

Ja, was die Fritte kann oder nicht, weiß ich nicht. Hab ich doch geschrieben. Ich mag die Dinger eh nicht.

Was im Fall von Doppel-NAT oder einem "richtigen" Router der Fall ist.

Nicht wenn man das Routing von einem Subnet ins andere Subnet eben nicht explizit unterbindet.

Die Fritte hat keine "richtige" DMZ im Sinne eines richtig abgetrennten Netzes - die Fritte kennt lediglich eine Exposed-Host-Funktion, wobei alle eingehenden Verbindungen an den Exposed Host weitergeleitet werden (sofern nicht andere Regeln greifen), jedoch ist der Exposed Host halt ganz normaler Teilnehmer im normalen Netzwerk (und nicht extra abgeschottet).

Ja ok, wenn die Fritte das so macht, dann taugt das natürlich für diesen Fall nicht. Ich kenne halt andere Router, die haben eine richtige DMZ, der DMZ-Rechner ist dann auch in seinem eigenen Netz. Und das können halt auch diverse Router, auch wenn sie kein VLAN unterstützen.

Fazit: Mit einer Fritte geht sowas wohl nicht so recht, ausser man nutzt einen weiteren Router mit Doppel-NAT, oder halt man nutzt gleich einen Router statt der Fritte, der sowas kann, also Fritte in BridgeMode und eigenen fähigen Router dahinter.