Also, ich versuche jetzt nochmals alles aufzuführen:
An der FritzBox LAN1 ist der QNAP mit LAN 1 angeschlossen. An der FritzBox ist sonst nichts mehr angeschlossen. Nur DECT Telefonie. WLAN ist auch aus. Auf dem QNAP ist eine VM mit der SOPHOS XG als Home Edition installiert und konfiguriert. Am QNAP wurde der VM 2 LAN Ports zugewiesen. Einmal der LAN Port 1 (von der FritzBox kommend) und einmal LAN Port 2 welches zum HP ProCurve Switch geht. Innerhalb der SOPHOS ist Port 1 als WAN Port konfiguriert und Port 2 als Internes Netz. Der WAN Port innerhalb der SOPHOS ist mit 192.168.0.2. Die FritzBox hat die 192.168.0.1.
Port 2 ist mit 192.168.2.1 konfiguriert. Das ist die IP der Sophos, da dieser auch als DNS gilt und an jedem Rechner innerhalb des Internen Netzwerkes so konfiguriert ist. Ich habe also schon mal 2 getrennte Netze. Einmal VOR der SOPHOS mit 192.168.0.x und einmal NACH der SOPHOS mit 192.168.2.x
Des Weiteren habe ich noch einen SOPHOS AP im Einsatz, der mir das WLAN innerhalb des Internen Netzwerkes zur Verfügung stellt. Hier gibt es Bereits ein "Gäste" Zugang mit der IP Bereich 10.255.0.x
Jetzt soll ja noch der Webserver dazu kommen. Dieser ist im Moment noch gar nicht aufgesetzt. Wird aber auch ein Virtueller. Hier benötige ich weitere angaben von euch, bzw. das ist ja meine Ursprüngliche Frage um die es geht. Wie richtige ich die DMZ jetzt genau ein?
Wenn ich das richtig verstanden habe, darf der Webserver keine Verbindung ins interne Netz herstellen können. Nur vom Internen Netz darf es möglich sein, den Webserver zu erreichen. Das vorgehen möchte ich hier besprechen....
Nun nochmals zu deinen Fragen:
Die SOPHOS ist als Exposed Host an der FritzBox konfiguriert. Oder macht das keinen Sinn? Der Webserver muss ja erreichbar sein.
Die SOPHOS soll den Webserver per https bereitstellen. Ein entsprechendes Zertifikat habe ich bereits. Damit sollte die Verbindung SSL verschlüsselt sein.
Welchen IP Bereich soll ich der DMZ zuweisen? bzw. ich würde gerne der DMZ eine Feste und dem Webserver eine feste IP geben und DHCP komplett abschalten.
Sichern möchte ich den Webserver zusätzlich noch mit dem oben genannten Link