Messages

1

German - Deutsch / Re: OPNsense auf Hardware Firewall für Server

« on: November 01, 2020, 04:59:52 pm »

was wäre hier die beste Lösung, um lokalen Zugriff darauf zu bekommen?

Ich bin mir nicht sicher, ob ich deine Frage richtig verstehe: Also du hast zwei "Kisten" ein Server um deine Applikation zu hosten und eine physische Firewall mit opnsense drauf. Du möchtest nun die Firewall direkt mit deinem Server verbinden (patchen), um keinen zusätzlichen Switch kaufen zu müssen, korrekt?

Ja genau. Und der Server bzw. Firewall haben beide mehr als genügend Ports, Firewall hat 6 und Server hat 7 (2x WAN redundant, 1x ILO, 4x Sonstige). Das Datacentrum verrechnet zusätzliche Geräte, darum müsste ich für den Switch evtl. mehr im Monat bezahlen für das Housing.

Du bräuchtest dann an der Firewall mindestens 3 Ports: WAN, und 2 LAN Ports. Dann verbidest du LAN Port 1 mit dem iLO und LAN Port 2 mit dem LAN interface vom Server. Dann musst du aber (wie du ursprünglich beschrieben hast) die zwei LAN ports in ein anderes Netz konfigurieren. Also hättest du ein "iLO Netz" und ein "Server Netz". Wenn die miteinander kommunizieren sollen, dann musst du noch eine entsprechende Firewall Rule konfigurieren.

Das Problem ist folgendes - Alles steht momentan noch bei mir zuhause, und ich habe keinen Zugriff auf ILO bzw. Proxmox, wenn diese am Firewall angeschlossen sind, eben weil sie sich in verschiedenen Subnetzen befinden. Darum wäre es sehr praktisch, wenn ich von meinem Laptop Zugriff auf diese Hätte (wenn auch nur temporär), wenn dieser ebenfalls an der Firewall angeschlossen ist. Habe mir schon überlegt, dem Server und dem ILO Netz je ein zusätzlicher Port an der Firewall zu geben, via Bridging, dann könnte ich meinen Laptop an das jeweilige Netz anschliessen und hätte Zugriff auf beide Netze. Wie das per Rule geht, konnte ich leider bisher noch nicht herausfinden. Alles, was ich getested habe, hat nicht funktioniert.

Aber ehrlich gesagt: Ein kleiner (smart managed) Switch ist ja echt kein Kostenpunkt.
Ausserdem (wie von lfirewall1243 angemerkt) würde ich jetzt auch nicht unbedingt das iLO direkt im Internet exponieren. Funktioniert zwar grundsätzlich mit Port-Forwarding, aber du hast nur den Schutz von iLO Login/Passwort. Schliesse mich der Empfehlung von lfirewall1243 an: Internes Management wie das iLO sollte nur über VPN erreichbar sein. Den Web-Zugriff würde ich via HAProxy umsetzen.

VPN Einrichten sollte kein Problem sein, gibt ja genügend Tutorials dafür - Aber eine Frage zu der grundsätzlichen funktionsweise hätte ich noch, hoffentlich weis da jemand weiter. Wenn ich einen VPN Zugang konfiguriere, kann ich meineswissens in den Tunnel Settings eines oder mehrere IPV4 Local Networks wählen - in meinem Fall dann ja das ILO Netz und das Proxmox Netz, mit Komma getrennt. Wenn ich dann per Open VPN Verbinde, habe ich dann Zugriff auf beide Netze zusammen, so also wäre ich lokal mit diesen beiden Netzwerken verbunden?

Für die die einzelnen Proxmox vms solltest du eine DMZ Zone erstellen.
Falls da also dein Webserver gehackt wird, ist erstmal kein direkter Zugriff auf Proxmox und ILO möglich.

Also eigentlich ein separates virtuelles Netzwerk, in dem alle VMs sind, und keinen Zugriff auf das Proxmox Admin interface haben? Ich sehe keine Lösung, wie ich einen der freien Ports an der Ffrewall für das VM Netzwerk nutzen kann, ohne zusätzlichen Switch - Oder gibt es eine?

2

German - Deutsch / Re: OPNsense auf Hardware Firewall für Server

« on: October 31, 2020, 05:32:44 pm »

Erstmal vielen Dank für Deine Antwort

Moin, moin..

Wo finde ich mehr Infos dazu, wie ich mehrere Externe IPs mit internen interfaces verbinden kann?

Wenn du eine Interne IP gegen aussen (Internet) exponieren willst, ist die einfachste Methode die Port-Weiterleitung (Port Forwarding). Du kannst dabei einen Port (also z.B. 442 für https) nur an eine interne IP weiterleiten.

Kann ich auch zwei externe IPs komplett auf zwei interne weiterleiten?

warum kann ich nicht auf Geräte, welche an anderen Interfaces angeschlossen sind, zugreifen?

Du hast ja ein 192.168.1.0/24 Netz. /24 bedeute eine 24-Bit Subnetmaske, also 255.255.255.0. Wenn du also dein iLO irgendwas mit 192.168.2.x adressierst, ist diese IP in einem anderen Netz und die zwei Geräte können einander nicht sehen.

Alles klar. was wäre hier die beste Lösung, um lokalen Zugriff darauf zu bekommen? Sagen wir mal es gibt Probleme mit etwas, und ich möchte lokalen Zugriff auf alles, was an der Firewall angeschlossen ist - muss ich da pro Subnetz einen Port freihalten, damit ich meinen Laptop jeweils ebenfalls an dieses Netz anschliessen kann?

Noch eine grundsätzliche Frage - Ist der Aufbau so OK, oder besser alles in einem Subnetz? (Rounter & ILO4)? Mit einer internen Bridge? Allerdings steht ja in der Dokumentation, dass die performance bei internen Bridges nicht sehr gut sei. Einen Switch möchte ich nicht extra auch noch kaufen.

3

German - Deutsch / OPNsense auf Hardware Firewall für Server

« on: October 31, 2020, 12:44:27 am »

Hallo zusammen

Ich habe einen alten gebrauchten Server und Hardware Firewall gekauft, welche ich in ein Server Housing stellen will, um einige Seiten zu hosten. Ich habe auf der Hardware Firewall schon OPNsense installiert, läuft alles soweit.

Jetzt ist mir jedoch nicht ganz klar, wie ich folgenden (relativ simplen) Setup am besten einrichten sollte, und wäre darum für einige Tips sehr dankbar:

Hardware Interfaces:
0: LAN (192.168.1.1/24)
1: WAN
2: ILO4 (Admin interface für Server, hat separaten Ethernet Port) (192.168.2.1/24)
3: SERVER1 (Für proxmox) (192.168.3.1/24)

Ich habe zwei öffentliche IP Adressen, welche eine auf ILO4 und eine auf den Server leiten sollte, weil ich nicht will, dass ILO4 mit der gleichen Adresse erreichbar ist, wie der Server.

Bisher habe ich die 2 neuen Interfaces erstellt:
ILO4 und SERVER1 und so konfiguriert, dass angeschlossene Geräte eine IP bekommen. Schliesse ich also den Server oder ILO4 an das jeweilige Interface an, bekommen die eine IP (welche ich auch noch fest machen werde).

Der nächste Schritt wäre dann, die Interfaces ILO4 und SERVER1 so zu konfigurieren, dass sie Internet haben, und jeweils die richtige externe IP den richtigen interface zugeordnet ist.

Meine erste Frage ist nun - bin ich hier auf dem richtigen Weg, kann man das so machen? Wo finde ich mehr Infos dazu, wie ich mehrere Externe IPs mit internen interfaces verbinden kann?
Und meine zweite Frage ist, warum kann ich nicht auf Geräte, welche an anderen Interfaces angeschlossen sind, zugreifen? Zum Beispiel ich habe meinen Laptop am LAN interface und er hat die IP 192.168.1.10 , und der Server ILO Port ist am ILO4 interface und hat die IP 192.168.2.10 - Wieso kann ich vom Laptop nicht auf 192.168.2.10 zugreifen? (Zeitüberschreitung, keine Verbindung)

Vielen Dank für die Hilfe!