OPNsense auf Hardware Firewall für Server

[sim101]

Hallo zusammen

Ich habe einen alten gebrauchten Server und Hardware Firewall gekauft, welche ich in ein Server Housing stellen will, um einige Seiten zu hosten. Ich habe auf der Hardware Firewall schon OPNsense installiert, läuft alles soweit.

Jetzt ist mir jedoch nicht ganz klar, wie ich folgenden (relativ simplen) Setup am besten einrichten sollte, und wäre darum für einige Tips sehr dankbar:

Hardware Interfaces:
0: LAN (192.168.1.1/24)
1: WAN
2: ILO4 (Admin interface für Server, hat separaten Ethernet Port) (192.168.2.1/24)
3: SERVER1 (Für proxmox) (192.168.3.1/24)

Ich habe zwei öffentliche IP Adressen, welche eine auf ILO4 und eine auf den Server leiten sollte, weil ich nicht will, dass ILO4 mit der gleichen Adresse erreichbar ist, wie der Server.

Bisher habe ich die 2 neuen Interfaces erstellt:
ILO4 und SERVER1 und so konfiguriert, dass angeschlossene Geräte eine IP bekommen. Schliesse ich also den Server oder ILO4 an das jeweilige Interface an, bekommen die eine IP (welche ich auch noch fest machen werde).

Der nächste Schritt wäre dann, die Interfaces ILO4 und SERVER1 so zu konfigurieren, dass sie Internet haben, und jeweils die richtige externe IP den richtigen interface zugeordnet ist.

Meine erste Frage ist nun - bin ich hier auf dem richtigen Weg, kann man das so machen? Wo finde ich mehr Infos dazu, wie ich mehrere Externe IPs mit internen interfaces verbinden kann?
Und meine zweite Frage ist, warum kann ich nicht auf Geräte, welche an anderen Interfaces angeschlossen sind, zugreifen? Zum Beispiel ich habe meinen Laptop am LAN interface und er hat die IP 192.168.1.10 , und der Server ILO Port ist am ILO4 interface und hat die IP 192.168.2.10 - Wieso kann ich vom Laptop nicht auf 192.168.2.10 zugreifen? (Zeitüberschreitung, keine Verbindung)

Vielen Dank für die Hilfe!

[liceo]

Moin, moin..

Wo finde ich mehr Infos dazu, wie ich mehrere Externe IPs mit internen interfaces verbinden kann?

Wenn du eine Interne IP gegen aussen (Internet) exponieren willst, ist die einfachste Methode die Port-Weiterleitung (Port Forwarding). Du kannst dabei einen Port (also z.B. 442 für https) nur an eine interne IP weiterleiten.

warum kann ich nicht auf Geräte, welche an anderen Interfaces angeschlossen sind, zugreifen?

Du hast ja ein 192.168.1.0/24 Netz. /24 bedeute eine 24-Bit Subnetmaske, also 255.255.255.0. Wenn du also dein iLO irgendwas mit 192.168.2.x adressierst, ist diese IP in einem anderen Netz und die zwei Geräte können einander nicht sehen.

[sim101]

Erstmal vielen Dank für Deine Antwort

Moin, moin..

Wo finde ich mehr Infos dazu, wie ich mehrere Externe IPs mit internen interfaces verbinden kann?

Wenn du eine Interne IP gegen aussen (Internet) exponieren willst, ist die einfachste Methode die Port-Weiterleitung (Port Forwarding). Du kannst dabei einen Port (also z.B. 442 für https) nur an eine interne IP weiterleiten.

Kann ich auch zwei externe IPs komplett auf zwei interne weiterleiten?

warum kann ich nicht auf Geräte, welche an anderen Interfaces angeschlossen sind, zugreifen?

Du hast ja ein 192.168.1.0/24 Netz. /24 bedeute eine 24-Bit Subnetmaske, also 255.255.255.0. Wenn du also dein iLO irgendwas mit 192.168.2.x adressierst, ist diese IP in einem anderen Netz und die zwei Geräte können einander nicht sehen.

Alles klar. was wäre hier die beste Lösung, um lokalen Zugriff darauf zu bekommen? Sagen wir mal es gibt Probleme mit etwas, und ich möchte lokalen Zugriff auf alles, was an der Firewall angeschlossen ist - muss ich da pro Subnetz einen Port freihalten, damit ich meinen Laptop jeweils ebenfalls an dieses Netz anschliessen kann?

Noch eine grundsätzliche Frage - Ist der Aufbau so OK, oder besser alles in einem Subnetz? (Rounter & ILO4)? Mit einer internen Bridge? Allerdings steht ja in der Dokumentation, dass die performance bei internen Bridges nicht sehr gut sei. Einen Switch möchte ich nicht extra auch noch kaufen.

[lfirewall1243]

Grundsätzlich würde ich ILO schon Mal garnicht aus dem Internet erreichbar machen. Zu hohes Sicherheitsrisiko.
ILO per VPN auf der OPNsense reicht aus

[lfirewall1243]

Daher würde ich das ganze so machen.
ILO und der Proxmox können in ein LAN.
Von außen dann die benötigten Portweiterleitungen für die Webserver VM.
Und auf die Proxmox WebUI sowie ILO greifst du per VPN, der Einfachheit halber nimmst du da am besten OpenVPN.

Für die die einzelnen Proxmox vms solltest du eine DMZ Zone erstellen.
Falls da also dein Webserver gehackt wird, ist erstmal kein direkter Zugriff auf Proxmox und ILO möglich.

Deine OPNsense hat ja denke ich mehrere Ethernet Ports und dein Hardware Server auch.
Dann belegst du diebPorst mit den unterschiedlichen Netzen und schließt den Server dann mit mehreren Ports an die OPNsense an.
Dann ist alles sauber getrennt ohne Schnickschnack wie VLans o.ä..

[liceo]

Kann ich auch zwei externe IPs komplett auf zwei interne weiterleiten?

Ja, du kannst pro externe IP und Port Kombination, den Verkehr auf eine interne IP und Port weiterleiten. Die Einstellungen dazu findest du unter Firewall > NAT > Port Forward.

was wäre hier die beste Lösung, um lokalen Zugriff darauf zu bekommen?

Ich bin mir nicht sicher, ob ich deine Frage richtig verstehe: Also du hast zwei "Kisten" ein Server um deine Applikation zu hosten und eine physische Firewall mit opnsense drauf. Du möchtest nun die Firewall direkt mit deinem Server verbinden (patchen), um keinen zusätzlichen Switch kaufen zu müssen, korrekt?

Du bräuchtest dann an der Firewall mindestens 3 Ports: WAN, und 2 LAN Ports. Dann verbidest du LAN Port 1 mit dem iLO und LAN Port 2 mit dem LAN interface vom Server. Dann musst du aber (wie du ursprünglich beschrieben hast) die zwei LAN ports in ein anderes Netz konfigurieren. Also hättest du ein "iLO Netz" und ein "Server Netz". Wenn die miteinander kommunizieren sollen, dann musst du noch eine entsprechende Firewall Rule konfigurieren.

Aber ehrlich gesagt: Ein kleiner (smart managed) Switch ist ja echt kein Kostenpunkt.
Ausserdem (wie von lfirewall1243 angemerkt) würde ich jetzt auch nicht unbedingt das iLO direkt im Internet exponieren. Funktioniert zwar grundsätzlich mit Port-Forwarding, aber du hast nur den Schutz von iLO Login/Passwort. Schliesse mich der Empfehlung von lfirewall1243 an: Internes Management wie das iLO sollte nur über VPN erreichbar sein. Den Web-Zugriff würde ich via HAProxy umsetzen.

[Gauss23]

Ausserdem (wie von lfirewall1243 angemerkt) würde ich jetzt auch nicht unbedingt das iLO direkt im Internet exponieren. Funktioniert zwar grundsätzlich mit Port-Forwarding, aber du hast nur den Schutz von iLO Login/Passwort.

Zumal ILO sowie andere IPMI/BMC Lösungen in der Vergangenheit durchaus ihre Sicherheitslücken hatten und dann selbst ohne Login/Passwort Zugriff ermöglichten.

Daher kommt das klar in ein privates Netz. Proxmox Host entweder ins selbe Netz wie das ILO oder eben ein eigenes Netz. Und dann die VMs in noch ein weiteres privates Netz.

1:1 NAT würde ich eingehend nicht nutzen. Leite doch einfach nur die Ports weiter, die Du weiterleiten willst.

Also z.B. Port 80 der externen IP1 auf VM1 Port 80, Port 993 der externen IP1 aber auf Port 993 von VM2. Die virtuellen IPs auf der OPNsense konfigurieren und entsprechend Ports durchreichen, die gebraucht werden. So kannst Du sogar mit nur einen externen IP diverse Dienste anbieten. Mit einem Reverse Proxy (HaProxy oder nginx) kannst Du sogar Webseiten mehrerer VMs mit nur einen externen IP abbilden.

[sim101]

was wäre hier die beste Lösung, um lokalen Zugriff darauf zu bekommen?

Ich bin mir nicht sicher, ob ich deine Frage richtig verstehe: Also du hast zwei "Kisten" ein Server um deine Applikation zu hosten und eine physische Firewall mit opnsense drauf. Du möchtest nun die Firewall direkt mit deinem Server verbinden (patchen), um keinen zusätzlichen Switch kaufen zu müssen, korrekt?

Ja genau. Und der Server bzw. Firewall haben beide mehr als genügend Ports, Firewall hat 6 und Server hat 7 (2x WAN redundant, 1x ILO, 4x Sonstige). Das Datacentrum verrechnet zusätzliche Geräte, darum müsste ich für den Switch evtl. mehr im Monat bezahlen für das Housing.

Du bräuchtest dann an der Firewall mindestens 3 Ports: WAN, und 2 LAN Ports. Dann verbidest du LAN Port 1 mit dem iLO und LAN Port 2 mit dem LAN interface vom Server. Dann musst du aber (wie du ursprünglich beschrieben hast) die zwei LAN ports in ein anderes Netz konfigurieren. Also hättest du ein "iLO Netz" und ein "Server Netz". Wenn die miteinander kommunizieren sollen, dann musst du noch eine entsprechende Firewall Rule konfigurieren.

Das Problem ist folgendes - Alles steht momentan noch bei mir zuhause, und ich habe keinen Zugriff auf ILO bzw. Proxmox, wenn diese am Firewall angeschlossen sind, eben weil sie sich in verschiedenen Subnetzen befinden. Darum wäre es sehr praktisch, wenn ich von meinem Laptop Zugriff auf diese Hätte (wenn auch nur temporär), wenn dieser ebenfalls an der Firewall angeschlossen ist. Habe mir schon überlegt, dem Server und dem ILO Netz je ein zusätzlicher Port an der Firewall zu geben, via Bridging, dann könnte ich meinen Laptop an das jeweilige Netz anschliessen und hätte Zugriff auf beide Netze. Wie das per Rule geht, konnte ich leider bisher noch nicht herausfinden. Alles, was ich getested habe, hat nicht funktioniert.

Aber ehrlich gesagt: Ein kleiner (smart managed) Switch ist ja echt kein Kostenpunkt.
Ausserdem (wie von lfirewall1243 angemerkt) würde ich jetzt auch nicht unbedingt das iLO direkt im Internet exponieren. Funktioniert zwar grundsätzlich mit Port-Forwarding, aber du hast nur den Schutz von iLO Login/Passwort. Schliesse mich der Empfehlung von lfirewall1243 an: Internes Management wie das iLO sollte nur über VPN erreichbar sein. Den Web-Zugriff würde ich via HAProxy umsetzen.

VPN Einrichten sollte kein Problem sein, gibt ja genügend Tutorials dafür - Aber eine Frage zu der grundsätzlichen funktionsweise hätte ich noch, hoffentlich weis da jemand weiter. Wenn ich einen VPN Zugang konfiguriere, kann ich meineswissens in den Tunnel Settings eines oder mehrere IPV4 Local Networks wählen - in meinem Fall dann ja das ILO Netz und das Proxmox Netz, mit Komma getrennt. Wenn ich dann per Open VPN Verbinde, habe ich dann Zugriff auf beide Netze zusammen, so also wäre ich lokal mit diesen beiden Netzwerken verbunden?

Für die die einzelnen Proxmox vms solltest du eine DMZ Zone erstellen.
Falls da also dein Webserver gehackt wird, ist erstmal kein direkter Zugriff auf Proxmox und ILO möglich.

Also eigentlich ein separates virtuelles Netzwerk, in dem alle VMs sind, und keinen Zugriff auf das Proxmox Admin interface haben? Ich sehe keine Lösung, wie ich einen der freien Ports an der Ffrewall für das VM Netzwerk nutzen kann, ohne zusätzlichen Switch - Oder gibt es eine?

[lfirewall1243]

VPN geht genau so
Aber ehr als würdest du aus einem anderen Subnetz kommen. Regel und Routen müssen also passen




Du könntest es mit VLans umsetzen da sparst du dir die Hardware Anschlüsse teilw.

[liceo]

OK, also erst mal das Basis-Setup:

• Weise auf der opnsense mal alle interfaces zu, unter "Interfaces" > "Assignments". Ein Interface nennst du WAN und die anderen z.B. LAN1, LAN2, LAN3 usw. (was du ja vermutlich bereits gemacht hast).
• Vielleicht auch "sprechende" Bezeichnungen verwenden, wie LANILO, LANxx
• Unter "Interfaces" > "Overivew" siehst du mittles ein/ausstecken, welche Interfaces "up" sind, so kannst du herausfinden welcher Hardware Port welcher auf der opnsense ist.
• Aktiviere dann die Interfaces und weise ihnen IP's zu, z.B. LAN1 192.168.1.0/24, LAN2 192.168.2.0/24 usw.
• Unter "Firewall" > "Rules" solltest du dann deine Interfaces sehen können. Erstelle für die LAN Interfaces wie folgt eine "any/any" Rule
• Dazu beim entsprechenden Interface auf "Add", alles leer lassen und "Save"
• Wenn du das für jedes Interfaces wiederholst, hast du im prinzip ein Router (respektive einen Layer 3 Switch) und kannst dein Notebook an einen der LAN Ports verbinden uns solltest die anderen Netze sehen.
• Unter "Services" > "DHCPv4" kannst du pro interface noch einen DHCP Bereich festlegen, wenn du möchtest
• Achtung: Für das WAN interface KEINE any/any Rule anlegen!

[lfirewall1243]

OK, also erst mal das Basis-Setup:

• Weise auf der opnsense mal alle interfaces zu, unter "Interfaces" > "Assignments". Ein Interface nennst du WAN und die anderen z.B. LAN1, LAN2, LAN3 usw. (was du ja vermutlich bereits gemacht hast).
• Vielleicht auch "sprechende" Bezeichnungen verwenden, wie LANILO, LANxx
• Unter "Interfaces" > "Overivew" siehst du mittles ein/ausstecken, welche Interfaces "up" sind, so kannst du herausfinden welcher Hardware Port welcher auf der opnsense ist.
• Aktiviere dann die Interfaces und weise ihnen IP's zu, z.B. LAN1 192.168.1.0/24, LAN2 192.168.2.0/24 usw.
• Unter "Firewall" > "Rules" solltest du dann deine Interfaces sehen können. Erstelle für die LAN Interfaces wie folgt eine "any/any" Rule
• Dazu beim entsprechenden Interface auf "Add", alles leer lassen und "Save"
• Wenn du das für jedes Interfaces wiederholst, hast du im prinzip ein Router (respektive einen Layer 3 Switch) und kannst dein Notebook an einen der LAN Ports verbinden uns solltest die anderen Netze sehen.
• Unter "Services" > "DHCPv4" kannst du pro interface noch einen DHCP Bereich festlegen, wenn du möchtest
• Achtung: Für das WAN interface KEINE any/any Rule anlegen!

Auch keine ANY/ANY Rule, sondern LAN-NETWORK/ANY. Ist am Ende sauberer und sicherer.