Advice für network segregation

[pille]

hallo zusammen

ich habe viele /28er netze.
als beispiel
192.168.1.0/28 - ads server ip 2
192.168.1.16/28 - file server ip 18
usw. im 192.168.1 netz sind 6 x / 28 subnets
im 192.168.2.x sollen nach dem gleichen prinzip 4 subnets, und weitere 10 netzwerke mit den dazugehörigen subnets

virtuallisiert (momentan auf hyper-v, später auf proxmox)

was ist hier die empfehlung ?
wie, von seitens opnsense, sollte das umgesetzt werden ?
welche limits habe ich hier ?

ein kollege hat forgeschlagen nur 1 netzwork, sagen wir 192.168.10.0 und da rein alle server, mit gateway opnsense. opnsense managed die rules dann. also genau das gegenteil von segregation. bitte um empfehlung mit augenmerk auf security

danke und gruss

[Monviech (Cedrik)]

Hier ist ne gute Anleitung

https://docs.opnsense.org/manual/how-tos/security-zones.html

Wenn man es einfach haben will sollte man einfach für jedes Netz /24 nehmen wenns geht, auch wenn man nur 4 hosts drinhat. Das macht es mehr "standard" wenn mal ein Wald und Wiesenadmin das Netzwerk übernehmen soll.

Genug private netze gibt es ja außer man ist in einem ganzheitlichen IP Konzept drin wo jede ausenstelle nur geringe ressourcen bekommt wegen VPN.

[pille]

Hier ist ne gute Anleitung

https://docs.opnsense.org/manual/how-tos/security-zones.html

Wenn man es einfach haben will sollte man einfach für jedes Netz /24 nehmen wenns geht, auch wenn man nur 4 hosts drinhat. Das macht es mehr "standard" wenn mal ein Wald und Wiesenadmin das Netzwerk übernehmen soll.

Genug private netze gibt es ja außer man ist in einem ganzheitlichen IP Konzept drin wo jede ausenstelle nur geringe ressourcen bekommt wegen VPN.

das heisst dann das du 40 interface anlegen würdest ?
und die dann in gruppen reinschmeisst (also die wiederkommenden)

(aus jedem network die fileserver in die "gruppe fileserver" usw ...)
verstehe ich das richtig ?
aber wie kann ich 40 interface anlegen ?

Edit: Ich habe das mit den Gruppen gelesen. interessant und genau das was ich brauche (da die sunets alle die gleichen aufgaben haben, fileserver als beispiel).

mit ist immer noch ein rätsel mit den interfaces.
klar, um es einfach zu halten, kann ich 192.168.1.0 (mit x servern), 192.168.2.0 (mit y servern), 192.168.3.0
würde dann ungefähr so aussehen
192.168.1.1 - ads
192.168.2.1 - fileserver generell
192.168.10.1 --- server mit funktion a  ---  gruppe a
192.168.11.1  --- server mit funktion b   ---  gruppe b
192.168.12.1 --- server mit funktion c   ---  gruppe c
192.168.13.1 --- server mit funktion d   ---  gruppe d
192.168.20.1 --- server mit funktion a    ---  gruppe a
192.168.21.1 --- server mit funktion b   ---  gruppe b
192.168.22.1 --- server mit funktion c   ---  gruppe c
192.168.23.1 --- server mit funktion d   ---  gruppe d
192.168.30.1 --- server mit funktion a   ---  gruppe a
192.168.31.1 --- server mit funktion b    ---  gruppe b
192.168.32.1 --- server mit funktion c   ---  gruppe c
192.168.33.1 --- server mit funktion d   ---  gruppe d
btw: da kann auch mit dem subnet gespielt werden und es muss nicht unbedient ein 24 genommen werden
Gruppe a gebe ich dann alle rules fuer fileserver  (im ganzen 4 gruppen)
soweit ist das alles gut (danke fuer den tip mit den gruppen

die frage bleibt: welche art von interface lege ich an und kann ich 40 mal erstellen ?

die andere seite ist konnekted zu einer dmz, die obere konfig nennen wir mal Secure_network

danke für weitere ideen

[Monviech (Cedrik)]

Mit vlans

https://docs.opnsense.org/manual/how-tos/vlan_and_lagg.html

Aber weniger ist mehr, nur nie mit netzen übertreiben wenn es unnötig ist.

Das ist später alles mentaler overhead und dokumentations overhead.

Kommt auch auf die Hypervisor Konfiguration an ob man vlans auf einem trunk interface oder vswitche mit einzelnen interfaces verwendet (ohne vlan tags auf den einzelnen interfaces).

[pille]

wir haben keinen psysischen Switch verfügbar. das ist ein rein virtuelles Netzkwerk. die Pysikalischen verfügbaren Ports sind (1) konnected zur DMZ

sonst wäre die übung ja zu leicht :-)

- wenn ich mit gruppen arbeiten will, muss ich die gebrauchte anzahl an netzwerke anlegen (was ungefähr 40 sein wird, mit eigenem network oder subnet spielt hier keine rolle)
- wenn ich mit vlan arbeite, muss ich auch die maximal anzahl netzwerke anlegen (1 pysisches auf opn und die 3 welche dann im gleichen subnet configuriert werden kann, als vlan - 192.168.1.0/28, 192.168.1.16/28_vlan001, 192.168.1.32/28_vlan002, 192.168.1.48/28_vlan003) dann hätte ich 10 NICs (auf der Seite secure_net) und auf dennen dann ca30 vLANs.
- mach ich ein Netzwerk (192.168.1.0/24 und schmeisse alles rein und lass alles mit nur einem opv verwalten, scheint mir security technisch ... fragwrdig zu sein. hier kann teoretisch ja nichts passieren, da der standard gateway welches dann die opn ist, das netzwerk verwaltet

diese 3 möglichkeiten habe ich, so wie ich das verstehe

anderst gefragt wie würdet ihr das machen mit folgenden parametern
1 netzwerk für shared services like ads, ...
10 kunden
jeder kunde bekommt 4 server mit underschiedlichen rollen (rdp, files, etc - die sind immer gleich)
die kunden dürfen keinen access zu anderen kunden haben
security first
rein virtuell. momentan auf hyper-v aber in prod auf proxmox. (was ich mir schon überlegt habe für die netze die Proxmox firewall zu nutzen)
ausführliches logging ist gewünscht.

eine option wäre evtl mehrere opn zu benutzen. dann kann es übersichtlicher gestaltet werden. was meint ihr dazu ?

danke nochmals
gruss

[Monviech (Cedrik)]

Wenn es eh virtuell ist kann man kaskadieren

Haupt OPNsense im HA cluster mit WAN und einem internen WAN VLAN (oder virtuellem interface) pro kunde

Dahinter in jedem dieser WAN VLANs eine Kunden OPNsense die jeweils die Kunden Netzwerke verwalten.

Dadurch ist alles wirklich 100% sauber getrennt und der Kund darf auf die managed Firewall auch draufgelassen werden.

(Diese Art konstrukt hatte ich früher mal für hosting laufen, nur dass die Haupt Opnsensen im HA hardware war, und die managed Firewalls fürs hosting meherere VM OPNsensen)