Waldbone hat geschrieben: 
09.11.2020 12:13:04
3. Ein Zugriff auf die SQL-Datenbank (192.168.1.3) aus dem Maschinennetz (192.168.100.0/24). Dies würde ich gerne über ein (Destination-)NAT Eintrag auf dem Router 2 lösen (z.B. 192.168.100.3 –> 192.168.1.3). Alternativ über Portforwarding auf Router 2(z.B Port 3306 → 192.168.1.3:3306).
NAT (und damit Portforwarding) auf Router 2 ist sinnlos. Router 2 kennt beide Netze out of the box (nach IF-Konfig.), da direct connected - und kann dazwischen routen.
Waldbone hat geschrieben: 13.11.2020 13:59:05
Jeder Mitarbeiter kann irgenwo ein Netzwerkkabel ziehen oder ein anderes Gerät einstecken. Da kann auch kein IT-Administarot was machen.
Kann ein richtiger Admin weitgehend unterbinden, indem er einen Authentifizierungsserver (Domaincontroller, Radius) und Berechtigungskonzepte einsetzt und Enterprise-Switches mit Portsicherheit konfiguriert. Notfalls bittet er den Chef, bei Ebay gebrauchte Switches zu beschaffen.
https://de.wikipedia.org/wiki/Port_Security
Beispiel Cisco:
https://itsecblog.de/cisco-port-security/
(Hoffentlich steckt bei euch nicht mal ein beleidigter Mitarbeiter eine einfache Schleife, brückt 2 Switchports, dann geht das gesamte Segment nicht mehr. Viel Spaß bei der Suche mit Logs von Consumertechnik.)
Waldbone hat geschrieben: 13.11.2020 13:59:05
Woher weisst du ob ich SPS-Steuerungen (insbesondere von Siemens) im Einsatz habe?
Ich weiss auch nicht, ob schon die Nachfolger von Stuxnet für eure NC-Maschinensteuerungen, IoT und Soft-SPS, Datenbanken und ERP-Systeme installiert wurden, Botnetze, Industriespionage sowie Locky" & Co. sind wohl etwas üblicher heutzutage. Also nimm meine Worte einfach als Beispiel, als Warnung, ob ihr größere Ausfallzeiten tolerieren wollt, du als Anfänger-Admin von Billigsttechnik dafür den Kopf hinhälst, währenddessen der Chef lieber produzieren lassen und Geld verdienen möchte, was dann hoffentlich allen MA zumindest teilweise zugute kommt.
Waldbone hat geschrieben: 09.11.2020 12:13:04
Internetzugang aus dem Maschinennetz –> funktioniert schon mit default Konfigurations von OpenWRT
Das weist darauf hin, dass mit deinem "Default" NAT aktiv ist (*), was auf Router 2 sinnlos und kontraproduktiv ist, jedoch ootb dem Netz dahinter Zugang auf das Netz davor - aber nicht umgekehrt - beschert. Du mögest dich also mit statischen Routen und Routing-Tabellen beschäftigen, beide Router müssen die Netze hinter dem Partnerrouter kennen. Router 1 benötigt also eine statische Route zum 100er Netz, Router 2 (ohne NAT) eine Default-Route über Router 1. Iptables auf OpenWrt / Router 2 benötigst du nur, um Zugänge zu beschränken, nicht um zu verbinden, NAT mit Portforwarding zu vergewaltigen/aufzubohren!
Tipp
Weiterhin ungünstig geplant: Router 1 (Default Gateway für Firmennetz) empfängt und sendet auf dem gleichen IF Richtung Maschinennetz. 1 Router mit 3 IFs genügt hier - verbessert und vereinfacht. OpenWrt kann VLANs, VLAN-fähige Switches vervielfachen Ports. Und OpenWrt kann man auch auf vernünftiger (gebrauchter) Server-Hardware mit Reserveserver (cold standby) installieren. Dazu vielleicht 2 hübsche Netzwerkkarten I350-T4 von Ebay? Moderne, kleine, stromsparende, leise Firewalls von Netgate bzw. Deciso sind für eine Firma, die nicht kurz vor der Insolvenz steht, wohl angemessener. Bei Bedarf kauft man eben Support oder Erstkonfiguration. Man kann billig und gleichzeitig verantwortungsvoll bauen. Mit Plastikroutern bist du an xWRt für ARM-CPUs gebunden und hoffst auf die richtige Forenhilfe (hier eh falsch, Debian <> xWrt). OPNSense und pfSense mit möglichem hot standby installieren viele Firmenadmins, OpenWrt kaum.
hier nur antworten was mir wirklich hilft und bei dem ich an MEINEM Vorhaben weiter komme. Danke!
Es ist eher ein Vorhaben deiner FIRMA mit Verantwortung für ein menschenwürdiges Einkommen aller Mitarbeiter. Aber gern geschehen.
(*) Admin-Sprichwort: Hinter jeden Router passt immer noch ein NAT-Router.
