Posted: Wed Mar 21, 2012 11:08 Post subject: Router für kleines Firmennetzwerk
Hallo,
Ich bin momentan auf der suche nach einem günstigen Router für ein kleines Netzwerk
- 5 Clients
- NAS
- Windows Server
ich würde gerne folgende Funktionen nutzen und es würde mich interessieren, ob das mit ddwrt so geht und welchen Router ihr empfehlt:
- WPA2
- Port Forwarding
- Feste IPs
- VPN Server (gerne für openvpn, kann man das von direkt am iPhone/pad einrichten?)
- Firewall für ausgehende Ports (also z.B. Rechner a darf über Port 8373 raus.... Alle Rechner Port 80.. usw...
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Wed Mar 21, 2012 11:45 Post subject:
- WPA2 = JA
- Port Forwarding = JA
- Feste IPs = JA
- VPN Server (gerne für openvpn, kann man das von direkt am iPhone/pad einrichten?) = JA / sämtlich Konfigurations Dateien als auch Zertifikate müssen per hand erstellt werden und auf den Router eingetragen / auf das iphone/pad importiert werden.
- Firewall für ausgehende Ports (also z.B. Rechner a darf über Port 8373 raus.... Alle Rechner Port 80.. usw... = JA ausgehende Ports müssen per Kommandozeile bzw. per script gesperrt werden -> grundlegende iptables Kenntnisse sind Voraussetzung!
Danke schonmal,
Lassen sich die vpn Einstellungen über das webInterface vornehmen?
Mit iptables kenne ich nicht aus, aber da kann man sich ja einlesen.
Hat die sw denn auf allen Routen die gleiche Funktionalität? Und ist die Leistung des Routers wichtig? (Soll an normalen DSL 16000 Anschluss engeschlossen werden)
z.B: der Linksys WRT54GL-DE ist ja ziemlich günstig.
Ich hätte hierzu mal eine kleine Frage:
- Angenommen ich verbiete erstmal alles
- Erlaube den Clients dann Dienste wie http/imap...
Das sind dann ja alles Einstellungen der Firewall.
Wenn ich jetzt im Router ein Port-FWD erstelle, z.B. Port 9999 von außen soll an die IP 192.168.1.99 weitergeleitet werden. Muss ich dann in der Regel auch eine passende Policy (outside - 192.168.1.99 - 9999 - Accept) erstellen? oder macht der Router das von selbst? Oder kommt sich das eh in die Quere und ich mache das Port Fwd auch direkt über iptables?
Hintergrund ist, ich habe mir das hier (http://www.dd-wrt.com/wiki/index.php/Firewall_Builder) beschriebene Programm Firewall Builder angeguckt und es gefällt mir sehr gut. Aber es erstellt ja am ende eine config-Datei. überschreibt die dann alle Änderungen des Routers? Weil der Router konfiguriert die Fwd's doch sicher auch über iptables, oder?
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Thu Mar 22, 2012 9:33 Post subject:
Ja Klar die Router FW ist iptables!
Du brauchst um ausgehende Ports zu blocken kein kommplettes FW Script schreiben
das würde ich auch nicht machen weil du damit auch einfluss auf alles andere nimmst (QOS/ VPN Pathtrough / die Layer7 Filter etc.) damit machst du dir mehr arbeit als nötig.
Um ausgehende Ports für ein oder mehrere PCs zu blocken reicht es aus die entsprecheden Regeln
(grob überschlagen sind es drei) als FW Script im router zu hinterlegen. _________________ http://www.dd-wrt.com/phpBB2/search.php? http://www.dd-wrt.com/wiki/index.php/Main_Page http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation
hmm, das sind aber schon einige Regeln, oder? Hast du Fw Builder? Ich habe nämlich gestern mal eine erste Version erstellt, nur um etwas zu testen. Da sind schon ein paar Regeln zusammengekommen...
Sowas wie
1. Alle Ports sperren
2. Gruppe User (mit 5 Rechnern) erlaubt für pop,smtp,http ....
3. Gruppe Server (mit 2 Servern) erlaubt für xyz
4. User 1 noch Port 31234
5. user 3 noch Port 2341
6. Mobile Geräte über Wlan nur port 80
usw...
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Thu Mar 22, 2012 10:18 Post subject:
Das du es so umfangreich machen willst lies sich nicht erkennen.
Dann muss du mal schauen in wie weit die anderen funktionen eingeschränkt werden
Portforwarding sollte aber aufjeden fall noch gehen
ja, das hatte ich nicht so klar gesagt
Sehe ich das denn richtig, dass wenn ich so eine iptalbes conf mit FW Bilder erzeuge damit alle anderen Einstellungen verloren gehen?
Oder wenn ich etwas im Webinterface ändere. Überschreibt mir das dann die iptables conf vom FW Builder?