Doppeltes NAT vermeiden

[KALEL]

Hi zusammen, 

Ich bin gerade in der Ausbildung und möchte zum ausprobieren mein Heimnetzwerk segmentieren. Dabei habe ich aber das Problem, dass ich mit meinem aktuellen Ansatz doppeltes NAT habe. Ich weiß, das ist kein Beinbruch aber ich würde es trotzdem gerne loswerden.

Ich habe eine Fritzbox mit der IP 192.168.178.1 als Router/Modem im Einsatz, die das Internet für das Netzwerk bereitstellt. 
Von der Fritzbox geht ein LAN Kabel auf den WAN Port meiner Firewall (WAN Interface mit der Adresse 192.168.178.2).
Auf der Fritzbox habe ich statische Routen für die geplanten Subnetze eingestellt:
10.0.10.0 bzw. 10.0.20.0 mit 192.168.178.2 als Gateway.
Auf der Firewall habe ich 2 VLANs (10.0.10.1 und 10.0.20.1) definiert und auf meinem Switch einen Trunk Port und Access Ports eingestellt. Das Funktioniert soweit wie gewollt, Geräte die ich an die Access Ports anschließe erhalten eine IP im 10er Netz und ich habe Internetzugriff. 
Ich habe auf der Firewall sowohl für den WAN Port als auch für alle Interfaces NAT deaktiviert. 

Wenn ich jetzt aber tracert auf z.B. google.com auf einem Gerät im 10er Netz durchführe habe ich immer 2 interne IPs bevor das Paket "rausgeht"
10.0.10.1
192.168.178.1

Wie kann ich das verhindern?
 

[Destructor]

Hallo,

das ist kein doppeltes NAT sondern schlichtweg Routing. Mit Tracert siehst du die einzelnen Hops, die ein Paket durchläuft bis es am Ziel ankommt.

Wenn du von dem Client Google öffnen möchtest, dann prüft der Client erstmals seine lokale Routing Tabelle. Da das Ziel nicht in seiner Routing Tabelle drin steht, schickt er das Paket an sein Default Gateway, in deinem Falle wäre das die Firewall. Die Firewall empfängt das Paket, prüft die Zieladresse und schaut in seine Routing Tabelle. Die Firewall wird das Paket ebenfalls an sein Default Gateway weiterleiten, was dann die Fritzbox ist. Und so geht es immer weiter bis das Paket an seinem Ziel ankommt. Die Hops (Router) werden dir dann im Trace angezeigt. 

Wenn du nicht möchtest, dass deine Fritzbox im Trace angezeigt wird, dann musst du ICMP deaktivieren. Ich bin mir nicht sicher, ob das bei der Fritzbox möglich ist. Aber selbst wenn es möglich sein würde: ich würde davon dringend abraten. ICMP abschalten bringt kein Sicherheitsvorteil! Ganz im Gegenteil. ICMP ist in vielen Dingen sehr nützlich und im Falle von IPv6 wird ICMPv6 sogar für die Funktionalität von manchen Diensten vorausgesetzt!

Bearbeitet 5. Oktober von Destructor

[Eye-Q]

vor einer Stunde schrieb KALEL:

Ich habe auf der Firewall sowohl für den WAN Port als auch für alle Interfaces NAT deaktiviert. 

Mit dieser Konfiguration hast Du nur eingestellt, dass die Fritzbox die echten IP-Adressen der Netzwerkgeräte hinter der Firewall sieht. Da Du die entsprechenden Routen auf der Fritzbox gesetzt hast, funktioniert das auch wie gewünscht. Das ist prinzipiell ein funktionierender Ansatz, allerdings müsstest Du eine weitere Route in der Fritzbox einrichten, wenn Du ein weiteres Netzwerksegment hinter die Firewall setzen willst. Mit NAT auf der Firewall brauchst Du das nicht.

Hättest Du NAT auf der Firewall deaktiviert und keine Routen auf der Fritzbox gesetzt, dann hättest Du keinen Internetzugriff bei den Geräten.

Wenn Du willst, dass die Fritzbox im Netzwerkverkehr nicht mehr auftaucht (aus welchen Gründen auch immer), müsste die als reines Modem verwendet und die Internetzugangsdaten in die (nicht spezifizierte) Firewall eingetragen werden.

[KALEL]

vor 25 Minuten schrieb Destructor:

Hallo,

das ist kein doppeltes NAT sondern schlichtweg Routing. Mit Tracert siehst du die einzelnen Hops, die ein Paket durchläuft bis es am Ziel ankommt.

Wenn du von dem Client Google öffnen möchtest, dann prüft der Client erstmals seine lokale Routing Tabelle. Da das Ziel nicht in seiner Routing Tabelle drin steht, schickt er das Paket an sein Default Gateway, in deinem Falle wäre das die Firewall. Die Firewall empfängt das Paket, prüft die Zieladresse und schaut in seine Routing Tabelle. Die Firewall wird das Paket ebenfalls an sein Default Gateway weiterleiten, was dann die Fritzbox ist. Und so geht es immer weiter bis das Paket an seinem Ziel ankommt. Die Hops (Router) werden dir dann im Trace angezeigt. 

Wenn du nicht möchtest, dass deine Fritzbox im Trace angezeigt wird, dann musst du ICMP deaktivieren. Ich bin mir nicht sicher, ob das bei der Fritzbox möglich ist. Aber selbst wenn es möglich sein würde: ich würde davon dringend abraten. ICMP abschalten bringt kein Sicherheitsvorteil! Ganz im Gegenteil. ICMP ist in vielen Dingen sehr nützlich und im Falle von IPv6 wird ICMPv6 sogar für die Funktionalität von manchen Diensten vorausgesetzt!

Hi, vielen Dank für die Erklärung. Also habe ich den zweiten internen Hop fälschlicherweise als NAT interpretiert 🙂  
Gruß