Map DMZ to VLAN

bitracer

Instead of forwarding a DMZ to an IP address it would be even more useful to assign it to a VLAN. Possibly user selectable one (excluding reserved VLAN IDs).

POGO 1104

VLAN’s gibt es derzeit bei den Swisscom Internetboxen nicht.
Vielleicht kommt es mal - aber sicher nicht bald…..

bitracer

POGO 1104 Just being able to assign to a fixed DMZ VLAN would already be a big step forward. Could also kind of replace the need for a bridge mode.

NilsL

Die Hardware kann schon VLANs, das zeigen zB die Booster-VLANs (699 und 700) und auch das Gast-Netzwerk (1701)

Jedoch ist das schwierige halt immer, dass man das ganze auch für den Durchschnitts-User verständlich gestalten muss um nicht unnötige Support-Anfragen zu generieren.

Ich persönlich habe das ganze so gelöst, dass ich an meiner Wingo Internet-Box nur die TV-Box direkt verbunden habe und sonst als einziges Netzwerk-Gerät ist mein MikroTik Router im DMZ-Modus verbunden, und dort habe ich dann ganz viele VLANs (inkl. einem DMZ-VLAN wo alle Server bzw. VMs die von aussen aus zugänglich sein müssen dran hängen) und auch ganz viele weitere VLANs (User, Guest, Server, Management, IoT, Business, DMZ)

Das doppelte NAT war dabei noch nie eine Einschränkung für mich und alle Router- und insbesondere Firewall-Einstellungen die ich am MikroTik Router habe wären an einer Internet-Box eh undenkbar. Auch bin ich so absolut Provider-Unabhängig und kann jederzeit meinen Wingo-Router tauschen oder auf einen anderen Anbieter wechseln

bitracer

NilsL Maybe in “Expert mode” the choice could be presented to the user whether to forward DMZ to IP address or assign it to a VLAN.

NilsL

bitracer Wie würdest du dir dann das mit einem zusätzlichen VLAN vorstellen? Das bräuchte ja noch deutlich mehr Optionen in den Internet-Box Einstellungen weil man müsste ja dann auch die IP-Einstellungen (evtl. DHCP) für dieses VLAN ändern können und auch auswählen, welche Ports auf welches Gerät in diesem VLAN durchgegeben werden. Ein gesamtes DMZ-VLAN funktioniert mit nur einer externen IP-Adresse im ganz klassischen Sinn nicht bzw. funktioniert nicht mehr, wenn mehr als ein Gerät verbunden ist.

Oder stellst Du dir das ganze so ähnlich vor wie der IP-Passthrough Modus am Centro Business, einfach statt auf einen physischen LAN-Anschluss wie am CB auf einem Tagged VLAN?

Wobei ich ganz persönlich den IP-Passthrough Modus am Centro Business HASSE, ich stelle auf dem WAN-Interface von meinem daran hängenden Router einfach nicht gerne eine manuelle statische IP-Adresse ein was bei diesem Modus nötig ist.

Bei einem meiner grössten Kunden (3 Standorte) gab es vorletztes Jahr eine rein Administrative Umstellung bei seinen Internet-Abos die nur auf Ende Monat möglich war. Diese Umstellung war blöderweise auf Monatsende bzw. Anfang am 1. August. Alle drei Standorte werden in diesem IP-Passthrough betrieben. Die eigentlich rein administrative Umstellung führte zu einem Reset aller 3 CB-Router.

Wäre auf den WAN-Interfacen der Router vom Kunden (hinter dem CB im im IP-Passthrough) nicht die IPs fix eingestellt gewesen sondern einfach per DHCP dann hätten nach dem Reset zwar alle eingehenden Verbindungen (und damit die Site2Site VPNs und auch sonst VPN-Zugänge aufgehört zu funktionieren, ich wäre aber trotzdem noch in das Netzwerk gekommen (zB in diesem Fall über die Unifi Access Points die auf meinem Hosted Controller sind, da kann man ja ein SSH Debug Terminal aus Sicht der APs über den Unifi Controller starten, dann SSH in den MikroTik Router, auf diesem einen VPN-Client einrichten in mein Netzwerk und dann so über diesen VPN-Tunnel auf das gesamte Netzwerk inkl. Router um die Config der Centros wieder zu richten)

Aber dank der statischen IPs auf dem WAN Interface nichts gewesen, 1. August gegen späten Nachmittag zuerst eine Meldung von meinem Unifi dass bei diesen 3 Sites alle APs offline sind, paar Stunden später ein Anruf vom Chef, der sich wunderte, warum er nicht per VPN auf den Server kam und dann am nächsten Morgen ab 6 Uhr durfte ich die 3 Standorte abklappern dass um spätestens 8 Uhr alle wieder online waren :/

bitracer

NilsL No IP Passthrough or DHCP, just naked VLAN on which you place your router with “WAN” configured for the that specific VLAN. Behind the router, the customer can do whatever one desires.

NilsL

bitracer Und die WAN-Seite von diesem Router bekäme dann per DHCP (“Automatisch”) eine IP-Adresse? Oder wie würde die Konfiguration auf diesem WAN-Interface vom Kunden-Router aussehen

Der IP-Passthrough Modus (Name absolut nicht korrekt) vom Centro Business ist meiner Meinung nach ziemlich genau das

bitracer

NilsL Yes, some address assigned using DHCP or an address you assign from an arbitrary subnet range. With IP Passthrough you need to dedicate one port for the DMZ. Using the VLAN you can place the the router anywhere on the network.