"
Alles klar, dann weiß ich Bescheid. Danke nochmal für den ganzen Input, ist wirklich Gold wert! :)
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#2
German - Deutsch / Re: "Sicheres" betreiben eines Webserver
January 29, 2026, 09:50:29 PM
Danke meyergru für deine schnelle und ausführliche Antwort. Aktuell ist mir die IPv6 Thematik egal und ich habe in deinem Post ,,How (not) to expose services in your home network" schon gelesen, dass man sich der Thematik eigentlich annehmen muss.
Der Hinweis mit dem Revers Proxy ist super, du meinst ich soll dann in meine ,,öffentlichen" LAN ein Reverse Proxy einsetzen, der dann die eingehenden Verbindungen (aus dem Internet) an die entsprechenden Services (z. B. mein Webserver) im ,,öffentlichen" LAN delegiert?
Der verlinkte Beitrag zu den Subnetzen ist auch super, danke. Tatsächlich ist auch der Grund meines 10.1.0.0/16 Netzt, dass ich vor Jahren zwei Netze per VPN verbinden wollte und dann feststellen musste, dass es nicht funktioniert, weil beide Netze die gleichen privaten IP Ranges hatten und ich ein Netzwerk neugestalten musste. Die /16 ist bei mir so, damit ich meine Clients (<254) ein wenig strukturieren kann, da die Fritzbox keine VLANs erstellen kann. (10.1.1.x sind z. B. normale Clients / 10.1.2.x sind Drucker / 10.1.3.x sind ...)
Ziel ist es auf lange Sicht (wenn ich wieder mehr Zeit habe) die OpnSense richtig zu nutzen, also ,,vorne" und die Fritzbox nur noch als Telefonanlage zu nutzen (so wie du das auch schon beschrieben hast). Deswegen würde ich jetzt schon eine ordentliche Hardware für die OpnSense kaufen, um sie dann wieder zu verwenden.
Ziel: OpnSense ganz "vorne" und dann an der OpnSense ein echtes DMZ Netz und ein privates LAN mit verschieden VLANs
Der Hinweis mit dem Revers Proxy ist super, du meinst ich soll dann in meine ,,öffentlichen" LAN ein Reverse Proxy einsetzen, der dann die eingehenden Verbindungen (aus dem Internet) an die entsprechenden Services (z. B. mein Webserver) im ,,öffentlichen" LAN delegiert?
Der verlinkte Beitrag zu den Subnetzen ist auch super, danke. Tatsächlich ist auch der Grund meines 10.1.0.0/16 Netzt, dass ich vor Jahren zwei Netze per VPN verbinden wollte und dann feststellen musste, dass es nicht funktioniert, weil beide Netze die gleichen privaten IP Ranges hatten und ich ein Netzwerk neugestalten musste. Die /16 ist bei mir so, damit ich meine Clients (<254) ein wenig strukturieren kann, da die Fritzbox keine VLANs erstellen kann. (10.1.1.x sind z. B. normale Clients / 10.1.2.x sind Drucker / 10.1.3.x sind ...)
Ziel ist es auf lange Sicht (wenn ich wieder mehr Zeit habe) die OpnSense richtig zu nutzen, also ,,vorne" und die Fritzbox nur noch als Telefonanlage zu nutzen (so wie du das auch schon beschrieben hast). Deswegen würde ich jetzt schon eine ordentliche Hardware für die OpnSense kaufen, um sie dann wieder zu verwenden.
Ziel: OpnSense ganz "vorne" und dann an der OpnSense ein echtes DMZ Netz und ein privates LAN mit verschieden VLANs
#3
German - Deutsch / "Sicheres" betreiben eines Webserver
January 29, 2026, 06:18:13 PM
Hallo Leute,
wie man erkennen kann bin ich neu hier, habe aber schon sehr viele Posts aus dem Forum gelesen.
(OpnSense für Dummies (speziell für Fritzbox-Umsteiger))
(How (not) to expose services in your home network)
(Netzwerk-Umbau nach Glasfaser-Umstellung - FRITZ!Box vor oder hinter OPNsense?)
(...)
Meine Fragen wurden teilweise schon in anderen Posts beantwortet, wollte hier aber nochmal alles zusammenbringen, damit ich auf der sicheren Seite bin und eventuell auch anderen Personen, die das gleiche Problem haben, mit diesem Post weiterhelfe.
Meine Fragestellung ist, wie betrieb ich einen Webserver ,,sicher" in einem Heimnetz, sicher in ,,"weil es ja bekanntlich nie 100% Sicherheit gibt. Und ich spreche von einem einfach Webserver, der einfach eine persönliche Webseite hosten soll.
Mir ist bewusst das die optimale Lösung eine andere darstellt, jedoch ist optimal immer Ansichtssache und mit meinem Ansatz möchte ich mit wenig Aufwand (FritzBox Telefonie und weiteres so lassen wie es ist), ein hohes Maß an Sicherheit erreichen.
Mein Aufbau würde so aussehen: (alles auf IPv4, ich bekomme auch von meinem ISP eine IPv4 Adresse)
Internet <-->(public ipv4)Fritzbox (10.1.0.1/16) <--> Privates LAN (10.1.0.0/16) <--> (10.1.0.3/16)OpnSense(192.168.0.1/24) <--> "Öffentliches" LAN (192.168.0.0/24)
Aktuell ist mein Netzwerk wie oben aufgebaut jedoch ohne der OpnSense und dem ,,öffentlichen" LAN. Ich will die Fritzbox so lassen wie sie ist, jedoch will ich nicht, dass mein Webserver im gleichen LAN wie meine privaten Geräte hängt. Deswegen würde ich gerne die OpnSense zwischen schalten und in dem neuen ,,öffentlichen" LAN mein Webserver bereitstellen.
Dazu würde ich:
- Auf der Frirtbox eine statische Route auf mein ,,öffentliches" LAN setzten, damit das doppelte NAT wegfällt.
- Eine Portweiterleitung (80, 443) auf die IP-Adresse des Webservers im ,,öffentlichen" Netz (192.168.0.2/24).
Zusätzlich würde ich in der OpnSense ein Firewall Regel erstellen, dass alle Verbindungen aus dem Netzt 192.168.0.0/24 auf private IP Adressen blockiert werden.
Ihr könnt davon ausgehen, dass die Default-Gateways an der Fritzbox und der OpnSense richtig gesetzt sind.
Nach meinem Verständnis müsste jetzt mein Webserver aus dem Internet erreichbar sein. Zusätzlich sollte vom Webserver aus nur Verbindungen in das Internet möglich sein (für Updates oä.).
Durch diesen Aufbau erhoffe ich mir ein zusätzliches Maß an Sicherheit, weil wenn mein Webserver kompromittiert wird, dieser in einem abgeschotteten Netzt sitzt und niemanden erreichen kann.
Sind meine Gedanken so korrekt?
Danke für euere Unterstützung! Grüße Philip
wie man erkennen kann bin ich neu hier, habe aber schon sehr viele Posts aus dem Forum gelesen.
(OpnSense für Dummies (speziell für Fritzbox-Umsteiger))
(How (not) to expose services in your home network)
(Netzwerk-Umbau nach Glasfaser-Umstellung - FRITZ!Box vor oder hinter OPNsense?)
(...)
Meine Fragen wurden teilweise schon in anderen Posts beantwortet, wollte hier aber nochmal alles zusammenbringen, damit ich auf der sicheren Seite bin und eventuell auch anderen Personen, die das gleiche Problem haben, mit diesem Post weiterhelfe.
Meine Fragestellung ist, wie betrieb ich einen Webserver ,,sicher" in einem Heimnetz, sicher in ,,"weil es ja bekanntlich nie 100% Sicherheit gibt. Und ich spreche von einem einfach Webserver, der einfach eine persönliche Webseite hosten soll.
Mir ist bewusst das die optimale Lösung eine andere darstellt, jedoch ist optimal immer Ansichtssache und mit meinem Ansatz möchte ich mit wenig Aufwand (FritzBox Telefonie und weiteres so lassen wie es ist), ein hohes Maß an Sicherheit erreichen.
Mein Aufbau würde so aussehen: (alles auf IPv4, ich bekomme auch von meinem ISP eine IPv4 Adresse)
Internet <-->(public ipv4)Fritzbox (10.1.0.1/16) <--> Privates LAN (10.1.0.0/16) <--> (10.1.0.3/16)OpnSense(192.168.0.1/24) <--> "Öffentliches" LAN (192.168.0.0/24)
Aktuell ist mein Netzwerk wie oben aufgebaut jedoch ohne der OpnSense und dem ,,öffentlichen" LAN. Ich will die Fritzbox so lassen wie sie ist, jedoch will ich nicht, dass mein Webserver im gleichen LAN wie meine privaten Geräte hängt. Deswegen würde ich gerne die OpnSense zwischen schalten und in dem neuen ,,öffentlichen" LAN mein Webserver bereitstellen.
Dazu würde ich:
- Auf der Frirtbox eine statische Route auf mein ,,öffentliches" LAN setzten, damit das doppelte NAT wegfällt.
- Eine Portweiterleitung (80, 443) auf die IP-Adresse des Webservers im ,,öffentlichen" Netz (192.168.0.2/24).
Zusätzlich würde ich in der OpnSense ein Firewall Regel erstellen, dass alle Verbindungen aus dem Netzt 192.168.0.0/24 auf private IP Adressen blockiert werden.
Ihr könnt davon ausgehen, dass die Default-Gateways an der Fritzbox und der OpnSense richtig gesetzt sind.
Nach meinem Verständnis müsste jetzt mein Webserver aus dem Internet erreichbar sein. Zusätzlich sollte vom Webserver aus nur Verbindungen in das Internet möglich sein (für Updates oä.).
Durch diesen Aufbau erhoffe ich mir ein zusätzliches Maß an Sicherheit, weil wenn mein Webserver kompromittiert wird, dieser in einem abgeschotteten Netzt sitzt und niemanden erreichen kann.
Sind meine Gedanken so korrekt?
Danke für euere Unterstützung! Grüße Philip
Pages1
