Show Posts
1861
German - Deutsch / Re: DMZ hinter FritzBox die internes WLAN bereitstellt
« on: March 28, 2017, 01:48:28 pm »
Hi,
> Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:
So ich verstehe hast du eine größere Hardware und da mehrere VMs die du mit der Sense dann nach außen hin absicherst. Korrekt?
> - Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
Ist die Bezeichnung intern nicht irreführend, wenn es die Seite ist, die du der Fritzbox zukehrst? Dann wär es ja eher WAN/extern?
> - Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).
So weit so gut
> Internet > FritzBox > [ OPNsense Interface INTERN | OPNsense Interface DMZ ] < VMs im virtuellen DMZ Netz.
Nochmal die Frage: warum INTERN - aus Sicht der Sense ist das Interface doch WAN/Upstream, nicht Intern?
Sollte somit auf keinen Fall das default LAN Interface mit den Standard Regeln (allow any) sein!
> - Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
> - Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)
Warum so umständlich und nicht einfach exposed Host auf die 10.0.0.254? Wenn die Fritz nur WLAN macht und damit default NAT nach außen ist das egal und keine Beeinträchtigung. Man hat aber nur einen Punkt an dem ma konfiguriert und muss nicht an 2 Kisten herumschrauben.
> Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.
Server VMs sollten kein DHCP nutzen. Das ist zwar praktisch aber in solch einem Setup sehr ungünstig, da sich die IPs ändern könnten wenn kein static mapping gemacht wird. Und wenn dieses schon gemacht wird - warum dann nicht gleich die VM statisch konfigurieren? Damit sind die meisten VMs auch noch schneller am Start und können fixer booten.
> Nun geht Traffic aus dem Internet erstmal von der FritzBox über die interne IP 10.0.0.254 (OPNsense) in die DMZ.
> 1. Wie kritisch seht ihr dieses Sicherheitsproblem?
Da sehe ich da kein Sicherheitsproblem, sondern eher ein Verständigungsproblem von dir. Dein Interface "Intern" ist nicht intern, sondern WAN / extern und muss auch so konfiguriert sein. Dein Interface DMZ ist eigentlich das "intern" bzw. LAN Interface, denn du willst abgehend Kommunikation erlauben (deine VM muss ja bspw. Updates etc. machen können) aber eingehend filtern (bspw. nur 443 reinlassen). Ergo ist deine Sicht auf die Sense falsch. Konfigurierst du das andersrum ist da auch kein Sicherheitsproblem (warum sollte es auch eins sein?)
> 2. Wie könnte ich das Netzwerk schlauer aufbauen?
(...)
Dein einziges Problem ist, dass du verkrampft am WLAN der Fritte fest hältst. Der Rest deiner Idee ist absolut stimmig und würde wesentlich mehr Sinn machen -> das ganze als Dreibein aufzuziehen und die Fritzbox lediglich als Uplink Gateway mit eigenem Transfernetz zu nutzen.
Daher meine Empfehlung (sehr ähnlich zu deinem:)
1) Fritzbox auf relativ nahe "Default" einstellen. Sprich: Meist haben die Kisten 192.168.178.0/24 als Netz. Nutze das. Verändere nur wenig, wie bspw. eben deine Provider/Einwahl Einstellungen und ansonsten setze die Sense auf 192.168.178.2 oder 254 und erstelle ein exposed Host Setting mit der IP der Sense. Bitte die Sense hier NICHT auf DHCP einstellen oder solche Ideen. Das hat schon mehrfach mehr Probleme als Lösungen gebracht!
-> Warum: Da die FB eh nicht wirklich genutzt wird, nahe an den Defaults bleiben und die Konfiguration sichern. Das hilft Probleme zu vermeiden mit Fehlkonfiguration und wenn man die Kiste austauschen muss, ist schnell ein Minimalbetrieb wieder möglich (da eine Ersatz Fritte ebenfalls mit den Defaults kommt, kann man die einfach anschließen und hat meist sofort schon wieder Internet an der Sense womit man erstmal wieder arbeiten kann).
2) Kauf dir einen günstigen Access Point oder nutze ein anderes vorhandenes Gerät dafür. Packe den ggf. auf ein eigenes Interface der Sense oder hänge die Geräte auf Wunsch ins LAN/intern, aber hänge sie hinter die Sense. Dafür, die zu schützen, ist sie da und das ist ihr Job. Nutze sie.
3) LAN für interne Geräte
4) DMZ für deine restlichen VMs
Das wäre mein präferierter Aufbau (bzw. nutze ich selbst im Lab so seit Jahren schon).
Grüße
Jens
> Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:
So ich verstehe hast du eine größere Hardware und da mehrere VMs die du mit der Sense dann nach außen hin absicherst. Korrekt?
> - Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
Ist die Bezeichnung intern nicht irreführend, wenn es die Seite ist, die du der Fritzbox zukehrst? Dann wär es ja eher WAN/extern?
> - Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).
So weit so gut
> Internet > FritzBox > [ OPNsense Interface INTERN | OPNsense Interface DMZ ] < VMs im virtuellen DMZ Netz.
Nochmal die Frage: warum INTERN - aus Sicht der Sense ist das Interface doch WAN/Upstream, nicht Intern?
Sollte somit auf keinen Fall das default LAN Interface mit den Standard Regeln (allow any) sein!
> - Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
> - Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)
Warum so umständlich und nicht einfach exposed Host auf die 10.0.0.254? Wenn die Fritz nur WLAN macht und damit default NAT nach außen ist das egal und keine Beeinträchtigung. Man hat aber nur einen Punkt an dem ma konfiguriert und muss nicht an 2 Kisten herumschrauben.
> Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.
Server VMs sollten kein DHCP nutzen. Das ist zwar praktisch aber in solch einem Setup sehr ungünstig, da sich die IPs ändern könnten wenn kein static mapping gemacht wird. Und wenn dieses schon gemacht wird - warum dann nicht gleich die VM statisch konfigurieren? Damit sind die meisten VMs auch noch schneller am Start und können fixer booten.
> Nun geht Traffic aus dem Internet erstmal von der FritzBox über die interne IP 10.0.0.254 (OPNsense) in die DMZ.
> 1. Wie kritisch seht ihr dieses Sicherheitsproblem?
Da sehe ich da kein Sicherheitsproblem, sondern eher ein Verständigungsproblem von dir. Dein Interface "Intern" ist nicht intern, sondern WAN / extern und muss auch so konfiguriert sein. Dein Interface DMZ ist eigentlich das "intern" bzw. LAN Interface, denn du willst abgehend Kommunikation erlauben (deine VM muss ja bspw. Updates etc. machen können) aber eingehend filtern (bspw. nur 443 reinlassen). Ergo ist deine Sicht auf die Sense falsch. Konfigurierst du das andersrum ist da auch kein Sicherheitsproblem (warum sollte es auch eins sein?)
> 2. Wie könnte ich das Netzwerk schlauer aufbauen?
(...)
Dein einziges Problem ist, dass du verkrampft am WLAN der Fritte fest hältst. Der Rest deiner Idee ist absolut stimmig und würde wesentlich mehr Sinn machen -> das ganze als Dreibein aufzuziehen und die Fritzbox lediglich als Uplink Gateway mit eigenem Transfernetz zu nutzen.
Daher meine Empfehlung (sehr ähnlich zu deinem:)
Quote
Theoretisch könnte ich die FritzBox in ein anderes Netz setzten und an ein neues/separates Interface der OPNsense VM hängen.
Dannn hätte OPNsense die folgenden Interface:
- EXT (Netz der FritzBox, z.B. 10.5.0.254 / 24)
- LAN (Alle internen Geräte, 10.0.0.254 / 24)
- DMZ (Alle VMs im virtuellen DMZ auf KVM, 10.2.0.254 / 24)
1) Fritzbox auf relativ nahe "Default" einstellen. Sprich: Meist haben die Kisten 192.168.178.0/24 als Netz. Nutze das. Verändere nur wenig, wie bspw. eben deine Provider/Einwahl Einstellungen und ansonsten setze die Sense auf 192.168.178.2 oder 254 und erstelle ein exposed Host Setting mit der IP der Sense. Bitte die Sense hier NICHT auf DHCP einstellen oder solche Ideen. Das hat schon mehrfach mehr Probleme als Lösungen gebracht!
-> Warum: Da die FB eh nicht wirklich genutzt wird, nahe an den Defaults bleiben und die Konfiguration sichern. Das hilft Probleme zu vermeiden mit Fehlkonfiguration und wenn man die Kiste austauschen muss, ist schnell ein Minimalbetrieb wieder möglich (da eine Ersatz Fritte ebenfalls mit den Defaults kommt, kann man die einfach anschließen und hat meist sofort schon wieder Internet an der Sense womit man erstmal wieder arbeiten kann).
2) Kauf dir einen günstigen Access Point oder nutze ein anderes vorhandenes Gerät dafür. Packe den ggf. auf ein eigenes Interface der Sense oder hänge die Geräte auf Wunsch ins LAN/intern, aber hänge sie hinter die Sense. Dafür, die zu schützen, ist sie da und das ist ihr Job. Nutze sie.
3) LAN für interne Geräte
4) DMZ für deine restlichen VMs
Das wäre mein präferierter Aufbau (bzw. nutze ich selbst im Lab so seit Jahren schon).
Grüße
Jens
