Hallo,
ich habe folgendes vor:
Internet -> opnsense1 -> netzwerk1 -> wlanbrigde -> opnsense2 -> server
bis auf die 2. sense funktioniert das alles schon super aber ich moechte nach der wlanbrigde nochmal die server mit einer sense absichern.
Muss ich da etwas besonderes beachten?
Wie sollten die wan regeln aussehen, das 3-4 IP's nur auf die server Zugreifen duerfen?
Danke.
gruss rrbs
Moin, darf ich fragen warum du es so machst:
- warum über wlan?
- was genau ist dein Ziel (dmz)?
- bitte mal einen grafischen netzwerkplan (damit ich dein Problem besser verstehen kann)
Gesendet von iPhone mit Tapatalk Pro
Moin,
wlanbridge ist erforderlich, da sich das Buero ca 200m weiter weg befindet
und in einem anderen Gebaeude wie der Serverraum.
d.h. ich muss vom Buero auf die Server und will aber diese noch einmal
mit einer sense absichern. Die server haengen nicht am Internet und sind ein eigenes Netzwerk, momentan sogar physisch getrennt.
Allerdings durch die wlanbridge waeren die angreifbar und das soll verhindert werden.
Mir gehts nur um die Einstellung des wan der opnsense im serverraum.
Nur bestimmte Rechner sollen da zugriff haben.
| Bueronetzwerk
|
.----'--------------.
| wlanbridge AP |
'----.--------------'
|
|
.----'---------------.
| wlanbridge Station |
'----.---------------'
|
|
|
.----------.
| OPNsense |
'----.-----'
|
|
LAN | static 192.22.1/24
|
|--------------------------.
| | | | |
server 1 2 3 4 5
Quote from: rrbs on December 02, 2023, 10:35:14 PM
Internet -> opnsense1 -> netzwerk1 -> wlanbrigde -> opnsense2 -> server
Was verstehst Du unter dem Begriff "WLANBridge"? AP? Station? Einen "normalen" AccessPoint? Gleiches IP Netzwerk? Oder zwei getrennte IP-Netzwerke?
OPNSense macht auf seinem WAN-Interface üblicherweise NAT. Das wirst Du vermutlich ausschalten wollen. Sonst musst Du mit Portweiterleitungen arbeiten, könnte bei Servern mit den gleichen Diensten schwierig werden.
Per default ist auf der OPNSense eingehend alles geblockt. Hier darfst Du dann auch konfigurieren.
Aber dennoch auch einmal gefragt, warum das sein soll? Was meinst Du "durch die WWLANBridge waren die Server angreifbar"?
Entweder die Server bieten Dienste an, dann musst Du das fürs Netzwerk1 freischalten. Oder sie werden geblockt. Ist denn Dein Büronetzwerk kein vertrauenswürdiges Netzwerk? Dann wwürde ich da auch keine Dienste anbieten wollen. GARKEINE!
Für ein "ich fühle mich aber sicherer mit einer solchen Firewall" ist es mit KAnonen auf Spatzen geschossen....
Packe einen Layer3 Switch/ Router anstelle der OPNSense hin (wenn Du unbedingt die Netze trennen willst) und aktiviere die lokalen Firewalls der Server. Fertig ist die Laube... aber nur meine MEinung.
/KNEBB
/KNEBB
Ja klar ist das mit Kanonen auf Spatzen geschossen aber ich habe noch eine APU4D4 hier rumliegen und bevor die nix tut. ;-)
Das eigentliche Buero und Servernetzwerk ist physisch komplett getrennt.
Ich will die sense so konfigurieren, das sie nur betimmte ip's reinlaesst.
Das ist ggf. eigentlich schon alles.
Danke
Dann habe ich oben ja shcon alles dazu geschrieben:
NAT deaktivieren
Firewall-Regeln auf ROT setzen.
Fertig.
Hast du daran gedacht, dass die Systeme im Büronetzwerk aber eine zusätzliche, manuelle Route brauchen, um das Servernetzwerk zu erreichen? Sonst wird das ja sowieo nix....
/KNEBB
Es gibt per PC 2xlan, einmal Internet ueber eine sense und einmal Servernetzwerk. also echt richtig getrennt. Ist so gewachsen und kann ja so bleiben.
Das steht ja schon alles und arbeitet, nur eben ohne die sense im serverraum.
Geht mir nur um bei angriff ueber das wlan eine absicherung zu haben.
(Wobei es ja nicht einfach wlan ist sondern mehr "richtfunk".)
Danke fuer Deine Tips.
Moin,
das ändert nichts daran, dass Du vermutlich eine zusätzliche Route brauchst. Wenn die PCs ein Interface im Büronetzwerk haben und das andere Richtung Internet geht, müssen die wissen über welches Gateway sie edas Servernetzwerk erreichen können!
Sonst wird das nie was!
Und es wäre echt hilfreich, eine vollständige Infrastruktur hier mitgeteilt zu bekommen, anstatt immer nur kleine Informationshappen. Sonst wird das schwierig mit der Fehlersuche.
Ich vermute mal, dass ein ping weder von den Servern noch zu den Servern (zu/vom Büronetzwerk) funktioniert?
Während des pings in der OPNSense mal ein packet tracking auf ROT machen, gucken, was da so rein und raus geht.
/KNEBB
so siehts aus, es funktioniert alles, da die sense im Servergebaeude noch nicht drin ist (also rausdenken ;-) )
Jetzt soll nur die sense rein.
internet
|
.---------.
| 1.sense |
'---------'
|
| Bueronetzwerk 192.168.33.1
|---------------------------------------------.
| | | |
.------. .------. .------. .---------.
PC | 1 | | 2 | | 3 | | Drucker |
'------' '------' '------' '---------'
| | | ----------192.168.158.1
.----------' .------' | (Jeder PC hat 2 Lan Anschluesse sprich 2 getrennte Netze)
| | |
| .------------' |
| | .-----------------------------'
| | |
.--------.
| Router |
'--------'
|
|
.----'-------.
| wlanbridge |
'----.-------'
|
Buerogebaeude
-------------------------------------------------------------------
Servergebaeude
|
.----'---------------.
| wlanbridge Station |
'----.---------------'
|
|
|
.----------.
| OPNsense |
'----.-----'
|
|
LAN | static 192.22.1/24
|
.--------.
| Router |
'--------'
|--------------------------.
| | | | |
server 1 2 3 4 5
Ok, wird klarer.
Aber immer noch unvollständig ;D
In wekchem IP-Bereich hängt das WAN-Interface der OPNSense2?
Welchen IP-Bereich haben die Server?
Da hängt ja NOCH ein Router drinne ::) Kein Wunder, dass da keiner mehr durchblickt bei so vielen (IMHO unnötigen) verschiedenen Netzwerken....
Voraussetzungen:
- Deaktiviere NAT auf dem WAN Interface der OPNSense, erlaube Traffic eingehend zu den Servern
- Erlaube ICMP eingehend auf allen Interfaces der OPNSense
Du darfst Dich jetzt mal Schritt für Schritt vortasten:
- Von einem Server: ping LAN IFace OPNSense
- Von einem Server: ping zu einem BüroPC
- PacketCapture auf dem WAN IFace der OPNSense ICMP traffic- welche Absenderadresse haben die Pakete?
- Auf der OPNSense: ping einen Server
- Auf der OPNSense: ping einen BüroPC
- Von einem BüroPC: ping auf WAN-IP OPNSense2
- Von einem BüroPC: ping WAN IFace OPNSense
- Von einem BüroPC: ping Server
So, wenn das abgearbeitet ist, sagst Du uns bitte, was von der Liste geht und was nicht.
Und dann bitte die jeweils lokalen Routingtabellen der OPNSense als auch der BüroPC und Server zeigen.
/KNEBB
Der Router fungiert nur als hub zur verteilung.
alles bei Server liegt im 192.168.22.1/24
Danke.
Ich hatte Dir zwei Fragen gestellt, davon hast Du eine beantwortet.
Kennst Du den Unterschied zischen Hub/Swith/Router? Falls nein: Schlau machen, hier richtige Begriffe verwenden.
Waren zwei Aufgaben zur Konfiguration genannt. Hast Du das gemacht?
Hatte ich eine Reihenfolge von Prüfungen vorgegeben. Wie sieht das Ergebnis dazu aus?
Entzschuldige, aber wenn das so weitergeht, ist für mich Ende. Hilfe kann es nur geben, wenn man genug Informationen hat und diese auch dann bekommt, wenn man sie anfordert. Ich habe keine Lust, jedes noch so kleine Fitzelchen Dir Stück für Stück auss der Nase ziehen zu müssen. Du brauchst Unterstützung, dann sorge dafür, dass wir die auch geben können.
/KNEBB
Danke Dir, jetzt passt alles.
Hab das anders geloest, da es einen Denkfehler meinerseits gab.
Die Zugriffsregelung auf die einzelnen server
ueberleg ich mir noch.
schoenen 1. Advent noch
Wie wäre es mit einer Auflösung?
Die sense raus, alles was nach und die server server geht sind in einem Netzwerk 192.168.158.0/24.
FW der wlanstation sind nur die ip's freigegeben, die das aus dem buero aus duerfen.
Soweit wars das. Server brauchen kein internet und somit sind buero und server wirklich getrennt.
Den Zugriff auf die server selbst werde ich pro server mit ufw loesen.
Damit sollte das alles gut sein.
:-)
und damit sind wir genau da, was wir anfänglich vermutet haben: OPNSense macht da keinen Sinn ;D :o