.titleBar { margin-bottom: 5px!important; }

5012 vor oder hinter Firewall?

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von uspange, 25 Jan. 2006.

  1. uspange

    uspange Neuer User

    Registriert seit:
    6 Jan. 2006
    Beiträge:
    34
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 uspange, 25 Jan. 2006
    Zuletzt bearbeitet: 25 Jan. 2006
    Wo stelle ich die FritzBox 5012 (war beim GMX-Angebot dabei) auf?

    Ich habe eine Symantec Gateway Security 360 und will mir die Option auf VPN-Tunnel erhalten.

    Andererseits möchte ich das Trafficshaping (so wie ich das verstehe kann ich dort Bandbreiten für Daten und VoIP festlegen) nutzen.

    :noidea:
     
  2. JSchling

    JSchling Gesperrt

    Registriert seit:
    21 Sep. 2004
    Beiträge:
    1,543
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    also ich wuerde dir raten die Fritz als erstes Geraet zu nutzen inklsuive dem eingebautem DSL Modem.
    Wenn du unter Portweiterleitungen deinen jetzigen "Symantec-Quark", bzw dessen IP als "Exposed Host" in der Fritz eintraegst, sollte das grundsaetzlich weiterhin funzen und die Fritz-Firewall sollte da nicht dazwischenfunken, sondern umgangen werden
     
  3. uspange

    uspange Neuer User

    Registriert seit:
    6 Jan. 2006
    Beiträge:
    34
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #3 uspange, 25 Jan. 2006
    Zuletzt bearbeitet: 25 Jan. 2006
    Mein "Symantec-Quark" hat 60Mbit/s Stateful-Durchsatz inkl. IDS/IPS und 15 MBit/s bei 3DES VPN, wieviel hat die FritzBox mit 3DES und IDS/IPS????!!!

    Jetzt lese ich hier seit geraumer Zeit prima Beiträge und dann so eine unqualifizierte Bemerkung! Bist du auch ein Mediamarkt-Geschädigter? Guck mal hier auf die Seite und zähl mir auf wieviel Produkte du davon kennst und einrichten kannst:
    http://www.symantec.com/product/index.html

    Ich bin es echt leid mit euch Mein-AntiVirus-200dings-hat-meinen-Rechner-lahmgelegt, ich nehm jetzt nur noch OpenSourceDings3.x.! Lest Ihr keine Fachliteratur oder warum kennt ihr nur die Produkte unter Home & Home Office Products? Rafft Ihr denn gar nicht, dass die Security News von Bugtraq und Security Focus von Symantec sind? Damit werden die Artikel auf heise.de gefüllt, wo die Trolle ihre Sprüche absondern. Rallt ihr nicht, dass Symantec den Security Markt dominiert, stellt ihr in Abrede, dass Firmen wie Schering fähiges IT-Personal haben???? Was ist los mit euch Typen??? Hat euch keiner erklärt, dass abfällige Äußerungen über Produkte im Idealfall mißtrauisch aufgenommen werden und manchmal von Menschen gelesen werden, die sich damit auskennen?
     
  4. DirkKn

    DirkKn Mitglied

    Registriert seit:
    15 Nov. 2005
    Beiträge:
    475
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Na nun las mal wieder Luft ab! :p Meinst Du nicht, dass das für einen DSL-Anschluss etwas überdimentioniert ist? ;) Außerdem hoffe ich doch nicht, dass Du so naiv bist und meinst nur weil Symantec drauf steht bist du damit immer 100%'ig geschützt, auch die haben ihre Schwachstellen.

    Trotzdem würde ich auch vorschlagen die 5012 vor das Gateway zu stellen und falls die VPN-Verbindungen nicht funktionieren es als Exposed Host zu definieren. Vom Durchsatz ist die FBF auf ADSL2+, also auf 25MBit ausgelegt, auch wenn ich nicht glaube, das sie das mit einem umfangreicheren Regelwerk (Portfreigaben, VoIP-Verbindnugen etc.) problemlos packt. Bei der Exposed Host Konfiguration wird ja die Firewall umgangen, so dass zumindest da der höchste Durchsatz zu erreichen sein wird.
     
  5. uspange

    uspange Neuer User

    Registriert seit:
    6 Jan. 2006
    Beiträge:
    34
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #5 uspange, 25 Jan. 2006
    Zuletzt bearbeitet: 25 Jan. 2006
    Ich bin ganz ruhig :mad: , hehehe....

    Ich mag es nur nicht, wenn der Einfachheit halber vereinfacht wird und Trolle einfach bei mindestens 5 Firewall Systemen von Symantec von "quark" sprechen (Ah, Sygate auch Quark, oder erst kurz nach der Übernahme?, oder was ist ein Cyberwolf???)
     
  6. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    #6 frank_m24, 25 Jan. 2006
    Zuletzt bearbeitet: 25 Jan. 2006
    Hallo,

    Es tut mir leid das so deutlich sagen zu müssen, aber wenn es in diesem Thread eine unqualifizierte Aussage gibt, dann ist es offensichtlich diese hier. Denn im Grunde hat JSchling absolut recht, wenn er es auch nicht ausführlich begründet hat.

    In einer Konfiguration Symantec hinter FBF leitet die FBF den Traffic doch nur durch. Sie muss ja schließlich nicht die Kryptographie übernehmen. Kann sie auch gar nicht, denn die Box unterstützt nämlich nicht IPSEC oder PPTP und die damit verbundenen Verschlüsselungsprotokolle (von Haus aus), sondern nur VPN Passthrough.
    Damit hat sie qausi Null Einfluss auf die Übertragungsgeschwindigkeit, wenn wir über einen DSL Anschluss reden, sie fungiert schließlich nur als Gateway.

    Grundsätzlich gilt: Die Box muss Router sein, um Trafficsahping nutzen zu können. Einstellen kann man da nichts, sie priorisiert einfach nur den VoIP Traffc.
    Hängt die Box hinter der Firewall, so musst du alle weiteren Clients (PCs, Spielekonsolen, Server, d-boxen, etc.) an die Box hängen (Verkabelung?), denn Clients an der Firewall führen TrafficShaping ad absurdum (ist klar, warum, oder?). Außerdem musst Du die entsprechenden Portweiterleitungen in der Symantec zur Box realisieren (VoIP). Baust du eine VPN Verbindung zur Symantec auf, so bist du immer noch VOR der Box, musst also für alle Dienste, die du über VPN Nutzen willst, Portweiterleitungen in der Box zu den Servern/PCs durch die Box einrichten. Gleiche Dienste auf mehreren Rechnern werden dabei natürlich zum Problem, vor allem, wenn du auf der Quellseite die Ports nicht umbiegen kannst. Z.B. NetBIOS/SMB wird so mit Sicherheit ein Problem über VPN.

    Ist die Symantec hinter der Box, könnte die Konfiguration, wie sie momentan ist (Anschlüsse, IPs etc), bestehen bleiben. Eine zu ihr aufgebaute VPN Verbindung bringt dich direkt in ihr Subnetz, Zugriff auf mehrere Rechner und NetBIOS gehen problemlos. ABER: Wie reagiert die Firewall hinter einem NAT Router? Wie baut sie ihre Internetverbindung denn momentan auf? Hat sie die PPPOE Kennung? Kann sie auch eine vorhandene IP Verbindung mitnutzen?
    Ist sie auch VPN Client (hast du die Lizenz?), dann könnte evtl. NAT-Traversal für IPSec ein Problem werden. Gibt es weitere VPN Clients im Netz (Road Warrier Konfiguration)? Denn zwei gleichzeitige PPTP Verbindungen über einen NAT Router sind laut RFC eigentlich nicht zulässig. Es gibt zwar einige NAT-Router / PPTP-Server Kombinationen, die das zulassen, aber ich würde mich nicht darauf verlassen. Cisco VPN Server z.B. lassen es nicht zu.

    Zusammenfassend würde ich sagen: Die Box vor den Symantec-Quark zu hängen, bedeutet weniger Aufwand, aber du musst dir sicher sein, dass deine Symantec den Dienst hinter einem NAT Router auch problemlos versieht. Grundsätzlich sollte sie das Unterstützten, aber VPNs über NAT können immer mal für Ärger sorgen. SO oder so hast du anschließend eine Doppel-NAT Konfiguration.

    Ich wundere mich ein bisschen, dass du das alles nicht weißt, wo du doch offensichtlich bei der Konfiguration professioneller Produkte uns "unter-HomeOfficeStandard-Produkt-Nutzern" theoretisch deutlich überlegen sein solltest. Mit solchen Profi-Produkten macht man so ein bisschen Traffcshaping, VPN und NAT doch ohne drüber nachzudenken, oder? Anders gefragt: Was sollte man denn sonst auch damit?
    :groesste:

    Vielleicht gibt es aber auch einige Sysadmins, oder gar Protokoll- und Applikationsexperten für IP-Dienste, denen man ihr Know-How an den verwendeten Produkten aus der Signatur einfach nicht ansieht. :-Ö

    Bevor du das jetzt auf mich beziehst: Ich bin noch Schüler.

    Viele Grüße

    Frank
     
  7. DirkKn

    DirkKn Mitglied

    Registriert seit:
    15 Nov. 2005
    Beiträge:
    475
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Na aber hallo, wer so große Töne spuckt, dem sollten aber folgende Aussagen nicht passieren.

    Und das VPN Passthrough funktioniert auch einwandfrei?! Da hat man schon anderes gehört. Bei "exposed Host" vielleicht noch am sichersten.

    Das ist aber sowas von falsch... Es gibt genügend andere Router, die QoS bzw. Trafficshaping hervorragend beherrschen.

    Wie gesagt ich meine auch, dass die FBF vor der Symantec die leichter zu administrierende Lösung ist, es ist aber durchaus möglich sie auch dahinter zu hängen und es gibt eben auch Gründe dafür.
     
  8. uspange

    uspange Neuer User

    Registriert seit:
    6 Jan. 2006
    Beiträge:
    34
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Lediglich das Wort "Symantec-Quark" hat mich aufgeregt. Wer ein solch abfällige Bemerkung über ein Produkt macht, welches er gar nicht kennt, ist ein Troll und bei heise.de besser aufgehoben.

    Da ich die Box noch nicht in Händen halte und Informationen zur Konfiguration nur von der AVM-Seite und aus diesem Forum habe, ist es nicht verwunderlich, dass ich keine Ahnung habe, huh?

    @frank Deine Geschichte ist schön geschrieben, das war sehr lieb von dir :doof: