Två routrar efter varandra men ändå ha brandväggstjosan på bägge, är det möjligt?

Jag har ett gäng datorer som kör bakom en brandvägg/router. Nu har jag med i ett projekt som ska skicka upp viss mätdata till en sida på internet och jag har fått en liten liten dator hemskickad till mig av något slag, som ska sitta på mitt nätverk o kasta upp mätdata.

Eftersom jag inte vet alls vad denna lilla dosa gör, förutom att skicka mätdata från antenner och det faktum att jag är född paranoid, så vill jag skydda mitt egna nätverk, men jag vill även skydda denna lilla dosa/dator eller vad det nu är, från internet, så gått det går.
Således vill jag ha en router/brandvägg det första jag har som jag sedan kopplar den lilla dosan på samt ytterligare en brandvägg/router där jag kopplar in mitt eget privata nätverk bakom.

internet-router-dosa
-router-privat nätverk

Typ något sådant där om ni förstår.

Jag vet inte om det spelar någon roll om dosan sitter oskyddad och öppen för internet, men det känns lite som om man kan hacka den så sitter man på min lina och härjar och jag får ut för det.
Jag vill heller inte ha dosan på samma interna nätverk som mina övriga datorer då jag inte vet om den går att fjärrstyra. Den kanske sniffar massa trafik eller gud vet vad.
Dosan är så pass stor att den mycket väl kan innehålla en ssd-disk men den har inga cpu-fläktar eller dyl så den lär inte vara en fet processor i den, fast man kan säkert ställa till med jävligheter med en slö processor med, om den nu har en processor ens...

Vågar man ha en switch först av allt och sedan en brandvägg?
Kan man utifrån få tillgång till en switch o styra om trafik till andra websidor o dyl, om den inte är bakom en brandvägg?

Vilken metod är bäst?
Fungerar det att ha två routrar efter varandra och ändå använda sig av brandväggen i båda?

Om det är en managed switch och det finns säkerhetshål i den så kan man såklart göra det.


Ja, men om du pratar om "konsument NAT/PAT-burkar" av den sort man köper på webhallen/elgiganten/inet så får man tänka till hur man skall hantera NAT/PAT om man vill kunna köra trafik mellan segmenten.

Har man dessutom enbart en publik ipadress från sin internetleverantör så blir det ännu jövligare.

Du måste då göra såhär.

1. Sätt router 1 till din internetförbindelse.
2. Koppla "mystisk låda" till en LAN port på Router1
3. Koppla WAN på Router 2 till en LAN på Router 1
4. Koppla dina egna burkar till LAN på R2.

uPNP kommer inte att funka, och du måste hantera all portmappning i BÅDE R1 och R2... dessutom så kommer de flesta spel och skype och sånt inte längre att funka eftersom dubbel-NAT kommer att ställa till det.

NEJ du kan inte koppla tvärt om och sätta Mystisk låda bakom R2 och dina egna burkar bakom R1, eftersom mystisk låda då får full tillgång till allt bakom R1.

Själv har jag sedan länge slutat med konsumentroutrar, så jag skulle bara definiera upp två separata nät i min router, och sätta accessregler mellan nätet.. sen är det bara att köra.

Varför är överhuvud du med i projektet, om du nu inte litar på en hemskickade utrustningen?

Varför inte sätta burken i en DMZ zon och skapa regler därefter.

Hmm..mycket o tänka på med andra ord:P

Jag har adsl så jag får bara en IP-adress, tyvärr.
Jag har iofs ett gästnätverk som man kan aktivera på den trådlösa delen, men gillar inte strålning så kör bara på fasta kablar, ja jag är jobbig jag vet
Jag antar att man hade hamnat i en egen brandväggsbubbla då.

Det är en vanlig konsumentrouter jag kör på, så finns inga inställningar för att köra två separata nät, vilket annars hade varit himla soft.
Jag antar att dessa routrar är snäppet dyrare.

Kollade precis på adsl-modemet och det har ju faktiskt 4 portar så det är en router i den antar jag.
Min router som jag har är 192.168.1.1 så jag gissar att adsl-modemet kör 192.168.0.1...fast verkar inte vara någon som svarar där:P

Kanske enklare att bara trycka in en enkel switch som inte har möjligheten att fjärrmanövreras och sedan dra in router i den och ha min hemliga låda instoppad i switchen.

Oändligt med pengar har man ju inte heller så kan inte köpa mig en monsterrouter med massa portar:P

Ska klura lite mer

Ärligt talat så tänkte jag inte så långt som att det kunde vara evilprylar i den lilla boxen. Tanken slog mig först när jag fick hem sakerna
Jag litar iofs inte på något jag inte plockat ihop själv, vilket kanske även det är dumt för vem vet egentligen vad som är hårdkodat in i en processor idag eller hur Windows hanterar hemliga konton som är kodat in i OS.

Projektet i sig är ett intressant ett som jag gärna vill vara med i. Jag kanske borde gå i terapi istället för mina konstiga tankebanor?:P

Dels så har jag bara fyra portar på min router och jag vill inte uppta en av dem med denna lilla apparat och sedan så är väl DMZ helt oskyddat?
Jag vet heller inte om DMZ är helt separerat från det interna nätverket eller om det är en svag länk i den annars så väldigt robusta ogenomträngliga brandväggen.
Kan man lita på att DMZ är som ett eget nät på utsidan av brandväggen eller öppnar den upp för att kunna ta sig in i övriga nätverk?

Snarare billigare:
http://www.routerboard.se/prest/sv/r...-rb951-2n.html (Om det räcker med 500Mbps) vill man ha 1Gbps och WiFi så blir det en femhundring till. Men jag lovar att den 500Mbps versionen är betydligt snabbare än en Netgear/Dlink/Zyxel konsumentrouter som skryter om "1Gbps throughput". Jag lovar.

Dock, dessa prylar utgår ifrån att användaren faktiskt kan det här med nätverksteknik. Jag har dock valt en av deras CRS - enheter.


Eller http://www.routerboard.se/prest/sv/r...b2011l-in.html

Notera att på dessa är alla interfacen separata, och delar inte på en switchport. Dessutom har du ALL tänkbar nätverkslogik i dem.


Ja. Men alla switchportar fungerar som en logisk switch.


Modemet har som regel ingen IP-adress.


Återigen, då måste du ha två IP-adresser från din ISP.

Tyvärr så har jag insett att min tid numera är rätt så begränsad, så har nog inte möjlighet att sätta mig in på avancerad nivå om hur en sådan ska ställas in:P
Märkligt att de är så pass billiga, trodde faktiskt det skulle röra sig runt 5000 kr för att få något bra.

Lutar väl åt att man får åka till netonnet eller beställa en router på det däringa Internet o sedan koppla ihop med den gamla routern man har.

Tackar för all hjälp

När man som företag lägger ganska exakt noll kronor på marknadsföring, reklam och konsumentanpassade manualer och gränssnitt så kan man göra sådär.

Jag gissar att det var första gången du hörde namnet MikroTik trots att de funnits i drygt femton år? Då kan man ju också tänka på att Ericsson länge använde MikroTik-utrustning när de gjorde installationer i länder dit man inte fick exportera Cisco/HP/etc.

Deras sjukaste produkt är nog http://www.routerboard.se/prest/sv/c...1036-8g-2.html Vi pratar om 36 processorkärnor, och över 30Gbps routingprestanda, jag skulle gissa att man får betala tio gånger så mycket för en Cisco isamma prestanda.

Däremot så kan man inte köpa samma serviceåtagande från MikroTik som från "de andra". Så, om du vill vara säker på att vcara igång igen på X timmar med en Mikrotik om något händer: Köp två.

Jo, namnet har jag aldrig hört förut. Det finns hur många olika tillverkare som helst i datorernas värld så det är iofs inget konstigt.

Kollade lite på deras manualer, det verkar tungrott med enradskommandon för att styra routern.
Lär ta en evighet att konfigurera.

För mina behov så känns en 36processorkärnig router liiite overkill

Man kanske kan koppla router nr 2 till dmz på router nr 1 och på så vis slippa alltför mycket filtrering?

Lyckligtvis behöver man inte...
http://i44.tinypic.com/15gvvro.png


Beroende på exakt hur den hanterar ett såkallat DMZ så kan det vara ett alternativ, ja.