Messages

Moin,

Wenn ich die FritzBox nicht nur als Modem nutze, habe ich dann nicht doppelten NAT, von der FB und OPNsene?

Ja, aber glaub mir das tut überhaupt nicht weh ;)
Ich doublenate seit Jahren und nicht mal meine Zwerge mit ihren Spielen merken da was von. wenn ich Nachts wget mal auf Knoppix ansetze kommt das auch mit Volldampf rein. Ich habe die Zwerge testweise mal in das VLan direkt hinter die Fritte verfrachtet, sie haben keinen Unterschied bemerkt.

-teddy

Du musst in der FritzBox die OPNSense eine feste IP Adresse vergeben und diese dann als exposed host eintragen.
Normal filtert die FritzBox noch den Datenverkehr, als exposed Host geht alles an die opnsense durch.

Die Feste IP macht aus Gründen der einfachen Konfigurierbarkeit Sinn, exposed Host macht nur dann Sinn wenn die Dienste auf der Sense von außen erreichbar sein sollen und ist absolut kein muss.
Geh mal auf die Sense unter Schnittstellen: Diagnose: Ping, Host 9.9.9.9, Quelladresse LAN IPv4, alternativ das Gleiche noch mal vom WAN Interface.
Ergebnisse bitte posten.

Moin,

es braucht nichtmal ein Webserver sein, ich stell mir einfach vor jemand baut seine Surfstation als VM, das Image ist gesichert so kann er die Kiste jederzeit ratzfaz wieder herstellen. Und jetzt nutzt er die Kiste um Raubsoft P0rn oder sonstiges auzuprobieren, soger ein veralteter Browser reicht schon.
Das die Surfstation verseucht wird hat er einkalkuliert aber der Rest ...

-teddy

[für mich]

...
Allerdings gibt es für Spectre noch keinen wirksamen Angriff und es ist auch nicht mal einfach so aus dem Internet auszunutzen.

Es geht mir nicht um Angriffe aus dem Internet. Hast Du die Firewall auf dem Blech laufen musst Du dort auch einen potenziellen Schädling drauf bekommen. Ohne physischen Zugriff ist das garnicht so einfach. Hast du es aber virtualisiert und laufen auf dem Blech weitere Maschinen dann kannst Du nicht sicher sein das ein Ausbruch aus der VM nicht deine Systeme Kompromittieren kann. Es gibt sicherlich noch weitere Lücken in diese Richtung von denen wir noch nichts ahnen  :'(
Über Wahrscheinlichkeiten brauchen wir uns nicht zu streiten. Ich habe es halt auf einer APU2 am laufen und da läuft nichts anderes, also habe ich für mich das Risiko minimiert.

Muss nur schauen, dass ich es hinbekomme dass OS dann meinen DNS-Server (PiHole) nutzt...

PiHole als VM oder auf nem Raspi? Du musst halt nur dafür sorgen das OS Dein PiHole per IP erreichen kann, wenn echte Hardware dann einfach an den Switch der Fritte klöppeln und in OS als Nameserver eintragen und habe fertich  ;D Wenn als VM dann mit der WAN Seite der OS verheiraten und eintragen und habe fertich.

-teddy

[DoubleNAT = Null Problemo]

Moin,

ok, IPSec nutze ich nicht, ich nutze OpenVPN, aber SIP läuft hier absolut stressfrei. WLan über die Fritte abzuwickeln habe ich mir abgewöhnt seit ich die Unifi AP kennengelernt habe. Was ich vorher mit 3 Kisten in frittenqualität mit WLan abgedeckt hatte schafft in meinen Fall auch ein Unifi AP :P Nichtmal unsere beiden Daddelkings beschweren sich über Probleme bei Onlinegames, also hier: DoubleNAT = Null Problemo 8)

-teddy

ps.: Firewall virtualisieren? Zu Testzwecken klar, kein Ding im echten Betrieb? Zur Zeit eher nicht mein Ding siehe Spectre und Meltdown. Ich befürchte da kommt noch mehr auf uns zu  :'(

[Internet --> Fritte (WAN DHCP / LAN 192.168.178.1) --> Geräte im LAN (192.168.178.0/24)]

Moin,

halt, anderer Vorschlag der es Dir vielleicht noch einfacher macht. ;) Ausgehend von folgendem Zustand:

Internet --> Fritte (WAN DHCP / LAN 192.168.178.1) --> Geräte im LAN (192.168.178.0/24)

machst Du daraus:

Internet --> Fritte (WAN DHCP / LAN 192.168.200.1) --> OPNsense (WAN: 192.168.200.2 / LAN: 192.168.178.1) --> Geräte im LAN (192.168.178.0/24)
Eventuell musst Du einige DHCP Leases anpassen / erstellen, aber sonst brauchst Du nix umzukonfigurieren.

Warum werden Portweiterleitungen schwieriger? Du könntest Deine OPNsense einfach als exposed Host in der Fritte eintragen, dann geht alles was die Fritte nicht irgendwie nutzt (Telefonie?) ungefiltert an Deine OPNsense und Du hast nur noch eine zentrale Baustelle fürs Netzwerk.

-teddy

Moin,

Was mir aber dabei aufgefallen ist, ist das man alles langsam Schritt für Schritt angehen muss.
Man muss Verwandtschaften, Eltern, Freunde oder wen auch immer man "administriert" ::) einfach nur genug Zeit geben sich damit vertraut zu machen. Menschen sind halt nun mal Gewohnheitstiere und schwerfällig :)

Oder einfach Schützenhilfe aus einer Richtung bekommen die man nicht erwartet hat :o
Kumpel hatte eine recht offene WLan Policy, jeder Bekannte bekam Zugang. Somit hatten sich natürlich einige Leute mit Zugangsdaten angesammelt, natürlich auch Exfreunde der Töchter. Ich kann nur vermuten das einer die Trennung schwer verkraftet hat, Beweise gibt es nicht, war ja alles offen, jedenfalls waren etliche Daten seines Servers plötzlich gelöscht und natürlich gab es keine Backup. Jedenfalls ist sein Server seither dicht und er hat ein abgeschottetes Gäste-Wlan ohne Zugriff auf sein LAN. Ob es inzwischen ein Backup gibt?? Keine Ahnung. 8)