[GELÖST] Netzplanung: Brauche Hilfe bei DMZ und ADSL

[Oxygen61]

Hey hey,

vielen Dank erstmal für die rege Diskussion, das hat mir wirklich geholfen.

"mal eben von unterwegs mit ner App" drauf zu greifen

Genau das war der Plan, aber eben mit VPN logischerweise

Korrekt konfiguriert besteht hier kein Risiko, da sich niemand einloggen kann ohne alle Parameter und Schlüssel zu kennen.

OK. Das beruhigt mich dann schon ungemein. Ich meine ich dachte mir das schon, bekam aber en mulmiges Gefühl bei der Überlegung Ports zu öffnen.

Bezüglich der Kameras? JA! Zweite Firewall bzw. extra VPN Gegenstelle - not so much

Bedeutet also (für mich) an der Stelle, ein DMZ Interface an der Firewall anzulegen mit restriktiven Regeln zum LAN Interface und halt die VPN Verbindung nur ins DMZ Netz zuzulassen. Denke das lässt sich umsetzen.

DMZ ist Firewall Basic Wissen Das hat nicht M0n0wall erfunden Aber schön, dass du die korrekte Implementation von DMZ gelesen hast und nicht das was teils Routerhersteller daraus gemacht haben... *kopfauftisch*

Hatte ich ja auch nicht behauptet mit dem Erfinden. Das Problem was ich halt bei der M0n0wall Anleitung sah war, dass die DMZ Umsetzung allein auf Grundlage von NAT funktioniert. Das kam mir spanisch vor, weil es komplett gegen meiner Vorstellung von einer DMZ entsprach. (Eine abgetrennte Zone mit Servern die Dienste anbieten, die über das Internet erreichbar sein sollen, durch 2 Firewalls eingeschlossen um das interne Netz vor der DMZ zu trennen/beschützen)

> Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?

Warum funktioniert sie denn nicht?

Na weil ich 2 Firewalls an ein Modem mit nur einem Interface anschließen wollte

Doppel-NAT Panik wird überbewertet IMHO. Ich fahre das Setup zwangsweise bei Kabelanbietern schon jahrelang ohne Probleme und mit einem laufenden Cluster hintendran

Mal ganz abgesehen davon, dass ich mir nich sicher bin wie man das konfigurieren würde, hatte ich schon des Öfteren hier Posts gelesen wo Leute sich über ihre Doppel-NAT Umsetzung beklagt hatten und auf ein reines Modem im Bridge Mode gewechselt hatten. Aber Cool das es bei dir klappt, ich trau mich da nich ran, wenn ich es jetzt ja eh "einfacher" umsetzen kann ohne das Modem zu ersetzen oder eine zweite Firewall zu besorgen.

> Ich bin über jede Hilfestellung dankbar.

Bitte sehr

Dankeschön

- Konfiguration als "Dreibein" - also WAN, DMZ, LAN

Werden bei mir paar mehr Beinchen werden, aber ich habs ja dicke mit den Interfaces.
Aber ja theoretisch würde ne drei Beinchen Firewall reichen für alles im Home Netz.

- LAN Zugriff überallhin(?) erlauben oder eben überall außer DMZ und DMZ nur von bestimmten IPs oder nur auf SSH Port o.ä.

Da hab ich das Problem, dass die Kameras (DMZ) ab und an auch mal ein paar Aufnahmen auf die NAS (LAN) abspeichern sollen. Mal schauen.... Vielleicht lasse ich die "Große NAS" im LAN und und kauf mir für die Kameras zum abspeichern der Aufnahmen anstatt dessen noch ne billige Zweit-NAS und stell die dann in die DMZ rein nur für die Kameras. Die Müsste nicht mal Raid können o.ä.

Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten, aber das eigentliche LAN nicht zu gefährden.

Genau DAS war auch eigentlich immer meine Auffassung von einer DMZ, bzw. dem Einsatz von Geräten die aus dem Internet aus erreichbar sein sollen ohne das LAN zu gefährden (ganz gleich wie man auf diese zugreift).
Wie gesagt werde ich die Kameras vom LAN trennen, ganz einfach weil ich es eben so mal gelernt hatte.
Da geh ich auf Nummer sicher, auch wenn es durch VPN Nutzung keinen Grund zur Sorge gibt. (Das habt ihr mir ja erfolgreich eingeprügelt )
In meinem Fall wäre es dann jetzt ja eh nur ein anderes Interface und ein "härtes Ruleset" für die Kameras.
Von daher ergibt sich kein Mehraufwand, ich seh bloß gleich sofort auf den ersten Blick in der Übersicht auf der GUI wo meine Kameras sind durch das Interface.
Zitat von JeGr: "Es ist vllt. eher als weiteres LAN zu betrachten, das entsprechend "firewalled" sein sollte."
So werde ich es auch behandeln dann.

O'Reilly "Building Internet Firewalls"

Wenns es das als Hörbuch gibt werde ich mir das auf jeden Fall mal reinziehen.
Auch wenns von 2005 ist, vielleicht hat das ja wer mal eingesprochen.

Nochmals Danke an Alle... Da hab ich ja wieder was dazugelernt

Schöne Grüße
Oxy

[guest15032]

Hier hänge ich mich auch noch mal kurz dran, da eine Empfehlung für Literatur gefallen ist.

Habt Ihr sonst noch gute Literatur Empfehlungen für (Unix(Linux) Firewalls?

Gruß
Chris

[chemlud]

So. Dann habe ich mal auf der anderen Seite des Tunnels geschaut, dort ist kein DNS traffic zu diesen MS-domains. Aber als ich die leere opnsense ein paar Stunden alleine laufen lies (Tunnel ist aus) waren die DNS-Abfragen nach MS-Telemetry domains wieder da.

Damit ist die opnsense wieder im Geschäft bei der Suche nach den Auslösern.

DNS auf der opnsense (17.1.3 i386 nano LibreSSL): DNSResolver, DNSsec aktiviert

NTP: von mir von Hand eingegeben (nix von MS oder ähnlichem)

Keine Idee was da jetzt MS-Telemetry per DNS auflösen will...

[fabian]

Habt Ihr sonst noch gute Literatur Empfehlungen für (Unix(Linux) Firewalls?

Ich persönlich finde das Buch "The Book of PF" sehr gut. Ist aber eher was für Fortgeschrittene.
Im bereich Linux ist es gereade etwas problematisch, da iptables gerade abgelöst wird und sich die meisten Bücher und online tutorials noch darauf beziehen. Wenn es dir also um die Konfiguration geht, solltest du dich im Linuxbereich mit der man page nft und ggf. mit der Dokumentation von suricata auseinander setzen.