Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DMZ für UAG und Nextcloud
« previous
next »
Print
Pages: [
1
]
Author
Topic: DMZ für UAG und Nextcloud (Read 785 times)
kosta
Hero Member
Posts: 540
Karma: 2
DMZ für UAG und Nextcloud
«
on:
June 19, 2022, 08:40:36 am »
Hallo zusammen,
es ist beinhart das erste mal, dass ich Überlegungen in dieser Richtung habe. Aber, ich möchte in meiner Lern-Umgebung (zu Hause) eine DMZ machen, die ich dann für meine Nextcloud und VMware UAG verwende.
Das Problem dabei ist, dass ich nur eine externe IP habe.
Üblicherweise würde man, wenn ich das richtig verstehe, extern mehrere IPs haben, genauso für solche Services immer eine eigene externe IP und würde dann einfach alles auf jeweiligen Service 1:1 naten.
Nun welche Optionen habe ich wenn ich nur eine externe IP habe? Ich schreibe mal so meine Ideen zusammen:
1) Port Forwarding: alle Ports so konfigurieren dass sich keine in die Quere kommen. UAG hat 3-4 Ports die unbedingt weitergeleitet werden müssen, die würde ich genau so auf die UAG weiterleiten. Die Nextcloud ist aktuell eh auf einem anderen Port als die UAG Ports (extern auch ein Custom-Port, und läuft über HAproxy).
2) HAproxy: das habe ich schon mal mit der Admin-Oberfläche versucht, und gescheitert. Außerdem was ich darüber gelesen habe, es ist sehr komplex einzurichten, und da reicht mein Wissen ja kaum.
3) Die DMZ klassisch auf der aktuellen externen IP -> UAG einrichten, also ein 1:1 NAT zum UAG. Das bricht die Funktionalität von der Nextcloud - da ja ein 1:1 NAT anscheinend vor dem HAproxy sitzt. Zu dieser Option denke ich müsste möglich sein, den Nextcloud Port vor dem 1:1 noch umzuleiten oder so irgendwie?
4) Als Option steht auch zweite OPNsense, um die DMZ wirklich zu trennen, aber als eine Lösung des Problems sehe ich das nicht zwingend.
Also, wenn ihr Vorschläge habt, bitte darum, bin ich sehr sehr dankbar.
EDIT: und was ich noch dazu erwähnen wollte:
Ich verstehe was die DMZ in OPNsense ist, würde ich sagen. Getrennter Netzbereich, der keinen Zugriff auf andere Netze hat. Das ist aktuell bei mir mit VLAN konfiguriert. Alles ist im C-Class-Netz und DMZ ist B-Class-Netz. Firewall-technisch ist für die Tests alles offen, damit ich hier nicht aufgehalten werde.
Aber, oft wird virtuelle IP erwähnt, und hier verstehe ich nicht ganz, warum man irgendetwas mit einer virtuellen IP machen würde? Das verwirrt mich etwas...
In der Arbeit haben wir eine Forti, aber wir haben vor unserem Netzwerk eine andere Firewall vorgeschaltet, auch mehr externe IPs auf der externen Firewall. Hier ergibt sich für mich schon der Sinn der virtuellen IPs, da man hier separat, im gleichen Netzwerk, NATen kann. Aber bei mir, eine Firewall, nicht wirklich, oder?
LG
Srdan
«
Last Edit: June 19, 2022, 10:52:54 am by kosta
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DMZ für UAG und Nextcloud