Einen einzelnen Rechner abtrennen

Started by MH, July 16, 2024, 12:35:34 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 16, 2024, 12:35:34 PM
Hallo,
ich bin neu hier und auch neu im Thema OPNsense-Firewall also entschuldigt bitte meine "dumme" Frage.

Ich hab eine einzelne alte Sondermaschine(Versuchsanlage) mit Windows 7.
Zu dieser Maschine wird eine Remote-Desktop-Verbindung von einem einzelnen "Programmier-PC" zu Programmier und Versuchszwecken aufgebaut.
Ich möchte nun diese Sondermaschine von unserem eigentlichen Netzwerk trennen.
Zugrunde liegt, dass ich nur die einzelne Sondermaschine an die OPNsense-Firewall (output) anschließen möchte.
Für den "UPLINK" hab ich für mich nun zwei Varianten im Kopf:

Variante A:
Der Programmier-PC hat zwei Netzwerkschnittstellen. Die erste Schnittstelle ist für das "normale" Hausnetz, die zweite Schnittstelle würde an die OPNsense-Firewall (input) angeschlossen werden.

Variante B:
Die OPNsense-Firewall (input) wird mit an das "normale" Hausnetz angeschlossen.

Damit der Programmier-PC nun auf die Sondermaschine kommt, würde ich einfach eine lokale Route auf dem Programmier-PC hinzufügen.

Die Firewall selbst würde ich dann soweit zumachen wollen, dass nur noch eine Remote-Desktop-Verbindung in Richtung der Sondermaschine möglich ist.

Im Prinzip benötige ich vereinfacht gesagt quasi eine Blackbox(Firewall) ohne DHCP, Proxy,... mit einem Eingang und einem Ausgang an die ich zwei PC's anschließen kann und nur eine Remote-Verbindung aus einer Richtung möglich ist.

So nun meine Frage:
Wie Stelle ich am dümmsten die Firewall ein?
Welche Seite meiner Blackbox wäre die WAN-Seite? (bzw. gäbe es in diesem Fall überhaupt ein WAN-Anschluss?)

Ich erwarte keine Komplettlösung sondern nur eine grobe Richtung (Konzeptvorschlag) wie ich das Problem lösen könnte.

Vielen Dank schon mal.


July 16, 2024, 01:06:11 PM #1 Last Edit: July 16, 2024, 01:10:07 PM by meyergru
Wenn Die OpnSense Dein normaler Router ist und außer WAN und LAN noch ein Interface übrig hat (oder Du einen Switch mit VLANs hast), kannst Du das mit einem eigenen Subnetz konfigurieren. Ob es nun ein VLAN mit Tags ist oder Du z.B. die Sondermaschine direkt dort anschließt, ist egal.

Da die Geräte in Deinem LAN normalweise die OpnSense als Default-Gateway nehmen, würden auch IPs aus dem Sondernetz dorthin geroutet. Das Routing würde also automatisch funktionieren.

Dann kannst Du Regeln definieren, wie auf das Sondernetz zugegriffen werden kann. Einerseits kannst Du bestimmen, wie mit ausgehenden Paketen von dort ins Internet (ja mit NAT oder nein) oder ins LAN umgegangen wird. Und dann kannst Du festlegen, wie vom LAN aus auf das Sondernetz zugegriffen werden kann. Normalerweise gilt da "allow to any", aber man kann da ja z.B. zwei Regeln davor eintragen:

1. allow from Programmier-PC to Sondernetz
2. deny from LAN to Sondernetz
3. allow from LAN to any (für Internet)

Die OpnSense nur zwischen dem LAN und dem Sondernetz einzusetzen, wäre ziemlicher Overhead, wenn es nur um eine Maschine geht. Dann würde ich eher auf dem Programmier-PC das zweite Interface nutzen, dann ist die Sondermaschine ja isoliert.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
July 18, 2024, 06:58:43 AM #2
@meyergru ...Vielen Dank für deine Rückmeldung

Quote"Wenn Die OpnSense Dein normaler Router ist,..."
Die OPNSense wäre eben in dem Fall nicht mein normaler Router, sondern eben eine "Box" zwischen Computer A und Computer B.

Aber wenn ich dich richtig verstanden habe, erstelle ich zwei Netze auf je einen Ethernet-Port und konfiguriere für die zwei Netze die entsprechenden Regeln.
Die WAN-Schnittstelle lasse ich unkonfiguriert/deaktiviert und unberücksichtigt. Geht das, oder erzwingt OPNSense die Konfiguration/Verwendung der WAN-Schnittstelle?


Quote"Die OpnSense nur zwischen dem LAN und dem Sondernetz einzusetzen, wäre ziemlicher Overhead, wenn es nur um eine Maschine geht. Dann würde ich eher auf dem Programmier-PC das zweite Interface nutzen, dann ist die Sondermaschine ja isoliert."
Ich würde das ganze auch noch als Pilotprojekt sehen darum ist mir der Overhead jetzt erstmal "egal".
Das zweite Interface ist schon mal besser als die Maschine in das Hausnetz zu hängen, aber trotzdem möchte ich die Kommunikationsmöglichkeiten zwischen Sondermaschine und Programier-PC auf das absolut notwendigste beschränken.
July 18, 2024, 09:19:49 AM #3
Quote from: MH on July 18, 2024, 06:58:43 AM
Die WAN-Schnittstelle lasse ich unkonfiguriert/deaktiviert und unberücksichtigt. Geht das, oder erzwingt OPNSense die Konfiguration/Verwendung der WAN-Schnittstelle?
Nein, erzwingt sie nicht. Ich habe in unserem Frankfurter Büro eine OPNsense mit nur einem LAN-Interface und sonst nichts.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 18, 2024, 09:25:43 AM #4
Also, wenn Du die OpnSense "zwischen" LAN und Sondernetz stellst, wird sie vermutlich nur das Default-Gateway für das Sondernetz. Dann musst Du auf Deinem Default-Gateway noch dafür sorgen, dass das Sondernetz zur OpnSense geroutet wird oder auf Deinem Programmier-PC die Route eintragen.

Es ist im Grunde fast einfacher, wenn die OpnSense die zentrale Schaltstelle für alles wird, aber dann musst Du zuerst Deinen vorhandenen Router ablösen, siehe hier.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
Print
Go Up Pages1
User actions