Einrichten einer echten demilitarisierten Zone (DMZ) mit zwei FritzBoxen

Häufig gibt es auch im privaten Umfeld das Bedürfnis nach einer sogenannten „echten“ demilitarisierten Zone (DMZ), da z.B. ein kleiner eigener Webserver oder FTP-Server betrieben werden soll, diese Server aber kein gesteigertes Sicherheitsrisiko für das restliche Heimnetz darstellen sollen.

Der Heise-Verlag in Form der Zeitschrift c’t hat hier einen sehr guten Grundlagenartikel (DMZ selbst gebaut) geschrieben, den ich auch hier als Wissensbasis benutzt habe, um eine solche DMZ-Lösung mit zwei Fritzboxen zu realisieren.

Folgendes stand mir zur Verfügung:

Starten wir mit den Grundlagen, also welche Rolle welche Box übernehmen soll und wie diese grundsätzlich verkabelt werden:

  • die Fritz!Box 3370 sollte das sogenannte „Border-Gateway“ bilden, also die echte Außengrenze per ADSL Richtung Internet
  • die Fritz!Box 7390 unterstützt IP-Telefonie und sollte damit schon vom Funktionsumfang her den Router für das geschützte „Heimnetz“ bilden

Verkabelt werden die Boxen deswegen wie folgt:

  • das Kabel vom DSL-Anschluss führt an die „DSL-Buchse“ des Border Gateways
  • einen Port des 4-fach-Switches der 3370 führt man an einen weiteren Port an der 7390 und stellt damit die Verbindung zwischen den beiden Routern her
  • die restlichen Ports des 4-fach-Switches der 3370 können für die Server genutzt werden die in der DMZ liegen sollen

Wie müssen die beiden Fritz!Boxen konfiguriert werden?

Starten wir mit der 3370 die das Border-Gateway bildet. Dabei beachten wir, dass das Border-Gateway, die Zugangsdaten zum Internetprovider haben muss, die wir hier eintragen:

Zugangsdaten Border Gateway

Im nächsten Schritt legen wir die Netzwerkeinstellungen des Border Gateway fest. In unserem Fall nehmen wir den für private Netzwerke reservierten IP-Bereich: 192.168.0.X

Netzwerkeinstellungen des Border Gateway festlegen

Bitte beachten, dass nach abspeichern dieser Einstellungen, das Border Gateway nur noch unter seinen neuen IP-Adresse 192.168.0.1 erreichbar ist. Dazu wird es mit hoher Sicherheit nötig sein, den Rechner mit dem man die Box konfiguriert in den gleichen Adressbereich zu setzen, um die nachfolgenden Schritte zu konfigurieren.

Eine weitere Erhöhung der Sicherheit ist das Abschalten des DHCP-Servers auf dem Border Gateay. Den Servern in der DMZ weist man dann fixe IP-Adressen zu. Ebenso empfehlenswert ist das Abschalten jeglicher weiterer Dienste, wie z.B. WLAN und Fernwartung.

Das waren schon soweit alle Schritte auf dem Border Gateway. Verbunden mit dem DSL-Anschluss sollte die Box sich sauber mit dem Internetprovider synchronisieren.

Nun beschäftigen wir uns mit dem Router des Heimnetzes der 7390. Auch hier beginnen wir mit den Zugangsdaten:

Zugangsdaten Router Heimnetz

Bei Anschluss wählen wir „Externes Model oder Router„, da dieser Router keine Verbindung zum DSL-Provider aufbauen muss. Er nutzt die Verbindung mit, die unser Border Gateway alias 3370 bereits schon aufgebaut hat. Etwas missverständlich ist dabei der nächste Punkt von AVM formuliert, für uns aber essentiell wichtig. Wir wählen unter Betriebsart Internetverbindung selbst aufbauen„. In unserem Anwendungsfall bedeutet dies, dass die 7390 als Router für das Heimnetz einen eigenen IP-Bereich erhalten wird. Dieser ist komplett abgetrennt vom Außennetz und dem Internet und nur über das Border Gateway mit dem Außennetz verbunden. Unter Zugangsdaten geben wir an, dass keine benötigt werden.

Kommen wir zum spannenden Teil der Konfiguration der Zugangsdaten:

Verbindungseinstellungen des Routers Heimnetz

Unter Verbindungseinstellungen legen wir die IP-Einstellungen manuell fest. Im Einzelnen sind dies:

  • die IP-Adresse des Routers „Heimnetz“. Diesen legen wir in den Adressbereich unseres Border Gateway. Sie erinnern sich? Das Border Gateway haben wir auf 192.168.0.1 festgelegt. Damit die beiden Boxen sich „sehen“ können, müssen diese im selben Netz liegen. Deshalb wählen wir für den zweiten Router die IP 192.168.0.254 und die dazu passende Subnetzmaske 255.255.255.0
  • Unter Standard-Gateway legen wir die IP unseres Border Gateway fest: 192.168.0.1. Damit ist sichergestellt, dass alle Anfragen, die im „Heimnetz“ nicht „aufgelöst“ werden können, an das Border Gateway weitergeleitet und von diesem verarbeitet werden
  • Das Border Gateway ist in diesem Fall auch der primäre DNS-Server für unseren zweiten Router für das Heimnetz. Auch hier setzen wir also auf die IP 192.168.0.1. Da es keinen zweiten DNS-Server auf unserem Border Gateway gibt, bleibt das letzte Feld des sekundären DNS-Server auf 0.0.0.0 stehen

Jetzt fehlt uns nur noch die Konfiguration des DHCP-Server des Routers „Heimnetz“. Dieser soll Adressen im Bereich 192.168.1.20 bis 192.168.1.200 an die angeschlossenen Rechner des Heimnetzes ausliefern. Und wir müssen noch die IP-Adresse des Routers aus dem Heimnetz festlegen, damit dieser entsprechend erreichbar ist. Dies stellen wir auf dem „Heimnetz“ Router wie folgt ein:

IP-Adresse und DHCP des Routers Heimnetz festlegen

Unter „Heimnetz“ legen wir deshalb die IP-Adresse der Fritz!Box 7390 auf die IP 192.168.178.1 und die dazu passende Subnetzmaske 255.255.255.0. Passend zu den oben gemachten Angaben zum DHCP-Server legen wir dessen Adressbereich auch noch fest. Dieser sollte im gleiche Subnetz – also 192.168.178.X liegen wie der Router selbst.

Zusammenfassung:

  • nach all diesen Einstellungen erreichen wir die Konfigurationsoberfläche des Border Gateways über 192.168.0.1 und die des Heimnetz-Routers über 192.168.178.1
  • alle Anfragen aus dem Heimnetz werden über das Border Gateway sauber nach außen aufgelöst

Have Fun 🙂

Ergänzung:

Wenn man das Border Gateway nicht als Modem nutzen möchte oder nicht nutzen kann, weil man z.B. hinter dem Kabelmodem des Providers hängt oder es dafür andere gute Gründe gibt, dann kann man dies recht einfach ändern:

Abschalten der Modemfunktion der Fritz!Box und Nutzung eines externen Modems oder Routers

 

8 Antworten auf „Einrichten einer echten demilitarisierten Zone (DMZ) mit zwei FritzBoxen“

  1. Sehr schöner Beitrag!
    Ich habe die Konfiguration bei mir mit zwei 7490 erfolgreich nachgestellt. Was ich zusätzlich einrichten möchte ist eine VPN Verbindung von aussen auf die Geräte im geschützen Heimnetzwerk.

    Bei AVM gibt es hierzu eine Anleitung: http://at.avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/229_Mit-FRITZ-Fernzugang-auf-mehrere-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/

    Allerdings schaffe ich es nicht über den Tunnel auf das geschütze Netzwerk zuzugreifen. Über Tipps würde ich mich freuen!

    1. Hallo Alex,

      herzlichen Glückwunsch 🙂 Deine eingerichtete DMZ funktioniert so, wie eine DMZ das tun soll. Sie „sieht“ dein geschütztes „Heimnetz“ hinter dem 2. Router einfach nicht. Das ist so gewollt. Deshalb endet deine VPN-Verbindung auch auf dem ersten Router der mit dem Internet verbunden ist.

      Wenn du der Anleitung von AVM, die du verlinkt hattest folgen würdest, dann gibt es über das Einrichten einer „static route“ zwar die Möglichkeit den Außenrouter mit dem Innenrouter zu verbinden, allerdings ist dann die DMZ nix mehr wert, weil man von außen nach innen dann wieder problemlos durchdringen kann.

      Gruß,
      Ernst.

  2. Hallo,
    das ist wirklich eine super Anleitung, die auf Anhieb funktioniert hat.
    Vielen Dank dafür.
    Ist es möglich aus dem Netz der 7390 direkt ohne über das Internet zu gehen, einen Rechner im Netz der 3370 anzusprechen?
    Zum Beispiel über eine Statische Route oder Port Weiterleitung?
    Danke Und Gruß
    Chris

    1. Hallo,

      freue mich, dass es gut geklappt hat. Anfragen aus dem geschützten Netz der 7390 in das Netz der 3370 sind problemlos möglich ohne Umweg über das externe Netz. Die Anfrage an eine IP z.B. 192.168.0.XXX wird nicht über eine externe Route aufgelöst sondern bleibt automatisch im internen Netz. Anders gesprochen: der DNS der 7390 schaut ob er die Adresse auflösen kann, kann er nicht –> deswegen leitet er die Anfrage weiter an die zweite Fritzbox (3370). Deren DNS kann die Adresse auflösen und liefert deswegen eine saubere „interne“ Antwort. Erst wenn der zweite DNS nicht mehr auflösen kann, geht es an den externen DNS des Providers weiter.

      Gruß,
      Ernst.

  3. Hallo,

    vielen Dank für Aufklärung. Es funktioniert wie beschrieben.
    Hast Du vielleicht auch eine Idee, warum ich Probleme mit dem Vo-Ip auf der 7390 habe. Bei ankommenden Anrufen klingelt das Telefon beim Abnehmen ist dann die Leitung aber Tot. Beim dritten oder vierten Mal funktioniert es dann. Zumindest für 3 -5 Minuten. Dann ist wieder Gesprächs Abbruch. Kann das eine Einstellungssache an einer der Fritzboxen sein?

    Danke und Gruß
    Chris

  4. Hallo,
    vielen Dank für diese super Anleitung!
    Hat sofort perfekt funktioniert.

    Auch wenn es ein Risiko ist, so würde mich allerdings noch eine Portöffnung ins Heimnetz interessieren ; )

    VG Matz

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.