Einrichten einer echten demilitarisierten Zone (DMZ) mit zwei FritzBoxen Häufig gibt es auch im privaten Umfeld das Bedürfnis nach einer sogenannten echten demilitarisierten Zone (DMZ), da z.b. ein kleiner eigener Webserver oder FTP-Server betrieben werden soll, diese Server aber kein gesteigertes Sicherheitsrisiko für das restliche Heimnetz darstellen sollen. Der Heise-Verlag in Form der Zeitschrift c t hat hier einen sehr guten Grundlagenartikel (DMZ selbst gebaut) geschrieben, den ich auch hier als Wissensbasis benutzt habe, um eine solche DMZ-Lösung mit zwei Fritzboxen zu realisieren. Folgendes stand mir zur Verfügung: eine Fritz!Box 3370 eine Fritz!Box 7390 Starten wir mit den Grundlagen, also welche Rolle welche Box übernehmen soll und wie diese grundsätzlich verkabelt werden: die Fritz!Box 3370 sollte das sogenannte Border- Gateway bilden, also die echte Außengrenze per ADSL Richtung Internet die Fritz!Box 7390 unterstützt IP-Telefonie und sollte damit schon vom Funktionsumfang her den Router für das geschützte Heimnetz bilden Verkabelt werden die Boxen deswegen wie folgt: das Kabel vom DSL-Anschluss führt an die DSL-Buchse des Border Gateways einen Port des 4-fach-Switches der 3370 führt man an einen weiteren Port an der 7390 und stellt damit die
Verbindung zwischen den beiden Routern her die restlichen Ports des 4-fach-Switches der 3370 können für die Server genutzt werden die in der DMZ liegen sollen Wie müssen die beiden Fritz!Boxen konfiguriert werden? Starten wir mit der 3370 die das Border-Gateway bildet. Dabei beachten wir, dass das Border-Gateway, die Zugangsdaten zum Internetprovider haben muss, die wir hier eintragen: Zugangsdaten Border Gateway Im nächsten Schritt legen wir die Netzwerkeinstellungen des Border Gateway fest. In unserem Fall nehmen wir den für private Netzwerke reservierten IP-Bereich: 192.168.0.X
Netzwerkeinstellungen des Border Gateway festlegen Bitte beachten, dass nach abspeichern dieser Einstellungen, das Border Gateway nur noch unter seinen neuen IP-Adresse 192.168.0.1 erreichbar ist. Dazu wird es mit hoher Sicherheit nötig sein, den Rechner mit dem man die Box konfiguriert in den gleichen Adressbereich zu setzen, um die nachfolgenden Schritte zu konfigurieren. Eine weitere Erhöhung der Sicherheit ist das Abschalten des DHCP-Servers auf dem Border Gateay. Den Servern in der DMZ weist man dann fixe IP-Adressen zu. Ebenso empfehlenswert ist das Abschalten jeglicher weiterer Dienste, wie z.b. WLAN und Fernwartung. Das waren schon soweit alle Schritte auf dem Border Gateway. Verbunden mit dem DSL-Anschluss sollte die Box sich sauber mit dem Internetprovider synchronisieren. Nun beschäftigen wir uns mit dem Router des Heimnetzes der 7390. Auch hier beginnen wir mit den Zugangsdaten:
Zugangsdaten Router Heimnetz Bei Anschluss wählen wir Externes Model oder Router, da dieser Router keine Verbindung zum DSL-Provider aufbauen muss. Er nutzt die Verbindung mit, die unser Border Gateway alias 3370 bereits schon aufgebaut hat. Etwas missverständlich ist dabei der nächste Punkt von AVM formuliert, für uns aber essentiell wichtig. Wir wählen unter Betriebsart Internetverbindung selbst aufbauen. In unserem Anwendungsfall bedeutet dies, dass die 7390 als Router für das Heimnetz einen eigenen IP-Bereich erhalten wird. Dieser ist komplett abgetrennt vom Außennetz und dem Internet und nur über das Border Gateway mit dem Außennetz verbunden. Unter Zugangsdaten geben wir an, dass keine benötigt werden. Kommen wir zum spannenden Teil der Konfiguration der Zugangsdaten:
Verbindungseinstellungen des Routers Heimnetz Unter Verbindungseinstellungen legen wir die IP-Einstellungen manuell fest. Im Einzelnen sind dies: die IP-Adresse des Routers Heimnetz. Diesen legen wir in den Adressbereich unseres Border Gateway. Sie erinnern sich? Das Border Gateway haben wir auf 192.168.0.1 festgelegt. Damit die beiden Boxen sich sehen können, müssen diese im selben Netz liegen. Deshalb wählen wir für den zweiten Router die IP 192.168.0.254 und die dazu passende Subnetzmaske 255.255.255.0 Unter Standard-Gateway legen wir die IP unseres Border Gateway fest: 192.168.0.1. Damit ist sichergestellt, dass alle Anfragen, die im Heimnetz nicht aufgelöst
werden können, an das Border Gateway weitergeleitet und von diesem verarbeitet werden Das Border Gateway ist in diesem Fall auch der primäre DNS-Server für unseren zweiten Router für das Heimnetz. Auch hier setzen wir also auf die IP 192.168.0.1. Da es keinen zweiten DNS-Server auf unserem Border Gateway gibt, bleibt das letzte Feld des sekundären DNS-Server auf 0.0.0.0 stehen Jetzt fehlt uns nur noch die Konfiguration des DHCP-Server des Routers Heimnetz. Dieser soll Adressen im Bereich 192.168.1.20 bis 192.168.1.200 an die angeschlossenen Rechner des Heimnetzes ausliefern. Und wir müssen noch die IP-Adresse des Routers aus dem Heimnetz festlegen, damit dieser entsprechend erreichbar ist. Dies stellen wir auf dem Heimnetz Router wie folgt ein: IP-Adresse und DHCP des Routers Heimnetz festlegen Unter Heimnetz legen wir deshalb die IP-Adresse der Fritz!Box 7390 auf die IP 192.168.178.1 und die dazu passende Subnetzmaske 255.255.255.0. Passend zu den oben gemachten Angaben zum DHCP-Server legen wir dessen Adressbereich auch noch fest. Dieser sollte im gleiche Subnetz also
192.168.178.X liegen wie der Router selbst. Zusammenfassung: nach all diesen Einstellungen erreichen wir die Konfigurationsoberfläche des Border Gateways über 192.168.0.1 und die des Heimnetz-Routers über 192.168.178.1 alle Anfragen aus dem Heimnetz werden über das Border Gateway sauber nach außen aufgelöst Have Fun Ergänzung: Wenn man das Border Gateway nicht als Modem nutzen möchte oder nicht nutzen kann, weil man z.b. hinter dem Kabelmodem des Providers hängt oder es dafür andere gute Gründe gibt, dann kann man dies recht einfach ändern: Abschalten der Modemfunktion der Fritz!Box und Nutzung eines externen Modems oder Routers