OPNsense Forum
International Forums => German - Deutsch => Topic started by: MBG on December 07, 2018, 12:36:26 pm
-
Hallo Zusammen
Ich bins mal wieder :P
Hab folgendes Problem:
Ich hab mein Netz hinter der Firewall geschafft zu segmentieren! :D (Endlich XD)
Nun hab ich ein paar Geräte die mir verbieten, aus anderen (privaten) Netzen auf sie zuzugreifen.
Ich möchte jetzt aber nicht, die Segmentation weg schmeissen und meinen PC in die Management-Zone und Client-Zone packen, sodass ich die Geräte konfigurieren kann (So bringt ja die Segmentation nichts)...
Gibt es eine Möglichkeit, dass ich intern ein NAT machen kann?
Als Beispiel:
i8sw01 (Switch) hat die IP: 192.168.500.2 (VLAN500)
PC hat die IP: 192.168.2.2 (VLAN30)
kann ich auf der Firewall eine Regel anlegen, dass ich z.B. die IP 192.168.2.250 (VLAN30) weiterleite (NAT) zu 192.168.500.2?
somit würde der Switch denken, dass ich im selben Netz bin, da er IP und MAC der Firewall vom Interface in diesem Netz bekommt, obwohl ich nicht iim Netz wäre.
Es wäre sehr sehr hilfreich!
Ich bedanke mich schon einmal für die Bemühungen!
Gruss :)
-
Deine Idee ist zwar sehr einfallsreich. ;)
Aber macht den Sinn von Vlan´s und Netzwerksegmentation zunichte.
Entweder du lässt auf dem Switch die IP deines PC´s als Management Gerät zu, oder du stöpselst jedes mal um wenn du an den Switch möchtest.
-
Demnach ist es also nicht möglich?
Schade eigentlich...
Da ich weiss, dass bei meiner alten Firma (Fortinet Firewalls) dies ging...
-
Demnach ist es also nicht möglich?
Schade eigentlich...
Da ich weiss, dass bei meiner alten Firma (Fortinet Firewalls) dies ging...
Das meinte ich nicht, alles was mit den Fortinet Firewalls möglich ist geht auch mit Opnsense (sogar noch viel mehr). Ich meinte halt, das deine Frage das VLAN Konzept zunichte macht, denn man trennt die Geräte doch nicht in logische Segmente auf, nur um dann mithilfe eines NAT Routers die Trennung für bestimmte Quelladressen aufzuheben und so den Überblick des Konmunikationsverlaufs zu verlieren indem sich ein Gerät so ausgibt, als wäre es physikalisch in mehreren Segmenten vorhanden.
-
Also ich weiß zwar nicht, was NicholasRush da als großes "Aufbrechen von VLANs" sieht, aber was du möchtest MBG ist relativ problemlos möglich. Dein Stichwort ist NAT Outbound.
In diesem Fall allerdings nicht wie normalerweise auf dem WAN, sondern auf dem Interface, auf dem der Switch hängt, der aus doofen Gründen kein anderes lokales Netz an sich ranlässt. Und JA, sowas gibt es, da kann man problemlos mit NAT arbeiten und hat damit keine Sicherheitsnachteile oder sonst irgendwas. Da gehts nicht darum, dass sich ein Gerät ausgibt als wäre es physikalisch in zwei Netzen, sondern darum, dass ein Zielgerät so beschränkt ist (pun intended!), dass es nichts außer SEINEM LAN zulässt. Ergo macht hier ein NATting Sinn, damit man eben NICHT das VLAN wieder aufbrechen muss, sondern den PC brav in seinem eigenen Netz getrennt lassen kann.
In dem Fall sollte genügen:
- Hybrid/Manual Outbound NAT einstellen (wenn nicht schon vorhanden)
- Neue NAT Regel anlegen, Interface VLAN500
- definieren als Source PC (192.168.2.2), Destination Switch (192.168.500.2) [Ich hoffe das mit .500.2 war ein Witz ;) ]
- Regeln auf dem VLAN30 prüfen, ob PC .2.2 überhaupt auf Switch zugreifen darf.
Wenn die Regeln den Zugriff erlauben sollte anschließend jeder Zugriff auf die .500.2 (wirklich: .500? ;) ) auf die IP der Sense in dem Netz geNATtet werden. Sprich dein Switch sieht den Zugriff von der Firewall kommen die im gleichen Netz sitzt wie er - und damit sollte es gut sein. Mit der Eingrenzung ist das auch nur für die PC <-> Switch Kommunikationsbeziehung definiert, alles andere sollte brav geroutet werden.
Cheers
Jens
-
Also ich weiß zwar nicht, was NicholasRush da als großes "Aufbrechen von VLANs" sieht, aber was du möchtest MBG ist relativ problemlos möglich.
@JeGr ich meinte damit nur, was du in deinem Beitrag schon erklärt hast, und zwar das durch NAT alles so aussieht, als käme der Traffic von der Firewall selbst. Das widerspricht dem VLAN Konzept insofern, dass der Switch oder generell jedes Endgerät schon sehen sollte von welchem Host die Anfragen kommen. Eben das die Pakete halt einfach "nur" geroutet werden sollten.
-
> dass der Switch oder generell jedes Endgerät schon sehen sollte von welchem Host die Anfragen kommen
Der Switch sieht das alles völlig entspannt. Das Endgerät sieht dann lediglich die Firewall, korrekt. Ist aber keinerlei Unterlaufen von VLANs oder sonstigem Sicherheitskonzept, sondern eben Hilfsmittel für störrische Hardware. Muss man wie NAT nicht lieben ;) aber unterläuft auch kein Konzept hier. Trennung ist auf Switchebene nach wie vor vorhanden, lediglich die Firewall ist involviert als "Proxy" anstatt lediglich zu routen, aber das ist alles :) Das "Konzept" VLAN (wenn es sowas überhaupt gibt) definiert lediglich m.E. dass eine physische Trennung von Netzwerkgeräten in unterschiedliche "virtuelle Switches" und das ist nach wie vor der Fall. Jeder weitere Sicherheitsgewinn hängt allein von der weiter verwendeten Hardware "dazwischen" ab - also ob du dazwischen lediglich ohne irgendwelche Regeln routest (Switch/Coreswitch) oder ob dazwischen wirklich ein Filter hängt der Zugriffe regelt. Da das der Fall ist, gibt es hier ein Sicherheitsplus, ganz egal ob es NAT gibt oder nicht :)
Grüße