Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[solved]brauche mal Hilfe 2. sense
« previous
next »
Print
Pages: [
1
]
2
Author
Topic: [solved]brauche mal Hilfe 2. sense (Read 1788 times)
rrbs
Newbie
Posts: 8
Karma: 0
[solved]brauche mal Hilfe 2. sense
«
on:
December 02, 2023, 10:35:14 pm »
Hallo,
ich habe folgendes vor:
Internet -> opnsense1 -> netzwerk1 -> wlanbrigde -> opnsense2 -> server
bis auf die 2. sense funktioniert das alles schon super aber ich moechte nach der wlanbrigde nochmal die server mit einer sense absichern.
Muss ich da etwas besonderes beachten?
Wie sollten die wan regeln aussehen, das 3-4 IP's nur auf die server Zugreifen duerfen?
Danke.
gruss rrbs
«
Last Edit: December 03, 2023, 02:13:36 pm by rrbs
»
Logged
micneu
Hero Member
Posts: 1913
Karma: 59
Re: brauche mal Hilfe 2. sense
«
Reply #1 on:
December 03, 2023, 08:34:33 am »
Moin, darf ich fragen warum du es so machst:
- warum über wlan?
- was genau ist dein Ziel (dmz)?
- bitte mal einen grafischen netzwerkplan (damit ich dein Problem besser verstehen kann)
Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
rrbs
Newbie
Posts: 8
Karma: 0
Re: brauche mal Hilfe 2. sense
«
Reply #2 on:
December 03, 2023, 09:35:33 am »
Moin,
wlanbridge ist erforderlich, da sich das Buero ca 200m weiter weg befindet
und in einem anderen Gebaeude wie der Serverraum.
d.h. ich muss vom Buero auf die Server und will aber diese noch einmal
mit einer sense absichern. Die server haengen nicht am Internet und sind ein eigenes Netzwerk, momentan sogar physisch getrennt.
Allerdings durch die wlanbridge waeren die angreifbar und das soll verhindert werden.
Mir gehts nur um die Einstellung des wan der opnsense im serverraum.
Nur bestimmte Rechner sollen da zugriff haben.
| Bueronetzwerk
|
.----'--------------.
| wlanbridge AP |
'----.--------------'
|
|
.----'---------------.
| wlanbridge Station |
'----.---------------'
|
|
|
.----------.
| OPNsense |
'----.-----'
|
|
LAN | static 192.22.1/24
|
|--------------------------.
| | | | |
server 1 2 3 4 5
Logged
knebb
Full Member
Posts: 126
Karma: 4
Re: brauche mal Hilfe 2. sense
«
Reply #3 on:
December 03, 2023, 09:45:26 am »
Quote from: rrbs on December 02, 2023, 10:35:14 pm
Internet -> opnsense1 -> netzwerk1 -> wlanbrigde -> opnsense2 -> server
Was verstehst Du unter dem Begriff "WLANBridge"? AP? Station? Einen "normalen" AccessPoint? Gleiches IP Netzwerk? Oder zwei getrennte IP-Netzwerke?
OPNSense macht auf seinem WAN-Interface üblicherweise NAT. Das wirst Du vermutlich ausschalten wollen. Sonst musst Du mit Portweiterleitungen arbeiten, könnte bei Servern mit den gleichen Diensten schwierig werden.
Per default ist auf der OPNSense eingehend alles geblockt. Hier darfst Du dann auch konfigurieren.
Aber dennoch auch einmal gefragt, warum das sein soll? Was meinst Du "durch die WWLANBridge waren die Server angreifbar"?
Entweder die Server bieten Dienste an, dann musst Du das fürs Netzwerk1 freischalten. Oder sie werden geblockt. Ist denn Dein Büronetzwerk kein vertrauenswürdiges Netzwerk? Dann wwürde ich da auch keine Dienste anbieten wollen. GARKEINE!
Für ein "ich fühle mich aber sicherer mit einer solchen Firewall" ist es mit KAnonen auf Spatzen geschossen....
Packe einen Layer3 Switch/ Router anstelle der OPNSense hin (wenn Du unbedingt die Netze trennen willst) und aktiviere die lokalen Firewalls der Server. Fertig ist die Laube... aber nur meine MEinung.
/KNEBB
/KNEBB
Logged
rrbs
Newbie
Posts: 8
Karma: 0
Re: brauche mal Hilfe 2. sense
«
Reply #4 on:
December 03, 2023, 09:58:11 am »
Ja klar ist das mit Kanonen auf Spatzen geschossen aber ich habe noch eine APU4D4 hier rumliegen und bevor die nix tut. ;-)
Das eigentliche Buero und Servernetzwerk ist physisch komplett getrennt.
Ich will die sense so konfigurieren, das sie nur betimmte ip's reinlaesst.
Das ist ggf. eigentlich schon alles.
Danke
Logged
knebb
Full Member
Posts: 126
Karma: 4
Re: brauche mal Hilfe 2. sense
«
Reply #5 on:
December 03, 2023, 10:04:53 am »
Dann habe ich oben ja shcon alles dazu geschrieben:
NAT deaktivieren
Firewall-Regeln auf ROT setzen.
Fertig.
Hast du daran gedacht, dass die Systeme im Büronetzwerk aber eine zusätzliche, manuelle Route brauchen, um das Servernetzwerk zu erreichen? Sonst wird das ja sowieo nix....
/KNEBB
Logged
rrbs
Newbie
Posts: 8
Karma: 0
Re: brauche mal Hilfe 2. sense
«
Reply #6 on:
December 03, 2023, 10:13:52 am »
Es gibt per PC 2xlan, einmal Internet ueber eine sense und einmal Servernetzwerk. also echt richtig getrennt. Ist so gewachsen und kann ja so bleiben.
Das steht ja schon alles und arbeitet, nur eben ohne die sense im serverraum.
Geht mir nur um bei angriff ueber das wlan eine absicherung zu haben.
(Wobei es ja nicht einfach wlan ist sondern mehr "richtfunk".)
Danke fuer Deine Tips.
«
Last Edit: December 03, 2023, 10:30:50 am by rrbs
»
Logged
knebb
Full Member
Posts: 126
Karma: 4
Re: brauche mal Hilfe 2. sense
«
Reply #7 on:
December 03, 2023, 10:31:11 am »
Moin,
das ändert nichts daran, dass Du vermutlich eine zusätzliche Route brauchst. Wenn die PCs ein Interface im Büronetzwerk haben und das andere Richtung Internet geht, müssen die wissen über welches Gateway sie edas Servernetzwerk erreichen können!
Sonst wird das nie was!
Und es wäre echt hilfreich, eine vollständige Infrastruktur hier mitgeteilt zu bekommen, anstatt immer nur kleine Informationshappen. Sonst wird das schwierig mit der Fehlersuche.
Ich vermute mal, dass ein ping weder von den Servern noch zu den Servern (zu/vom Büronetzwerk) funktioniert?
Während des pings in der OPNSense mal ein packet tracking auf ROT machen, gucken, was da so rein und raus geht.
/KNEBB
Logged
rrbs
Newbie
Posts: 8
Karma: 0
Re: brauche mal Hilfe 2. sense
«
Reply #8 on:
December 03, 2023, 11:02:01 am »
so siehts aus, es funktioniert alles, da die sense im Servergebaeude noch nicht drin ist (also rausdenken ;-) )
Jetzt soll nur die sense rein.
internet
|
.---------.
| 1.sense |
'---------'
|
| Bueronetzwerk 192.168.33.1
|---------------------------------------------.
| | | |
.------. .------. .------. .---------.
PC | 1 | | 2 | | 3 | | Drucker |
'------' '------' '------' '---------'
| | | ----------192.168.158.1
.----------' .------' | (Jeder PC hat 2 Lan Anschluesse sprich 2 getrennte Netze)
| | |
| .------------' |
| | .-----------------------------'
| | |
.--------.
| Router |
'--------'
|
|
.----'-------.
| wlanbridge |
'----.-------'
|
Buerogebaeude
-------------------------------------------------------------------
Servergebaeude
|
.----'---------------.
| wlanbridge Station |
'----.---------------'
|
|
|
.----------.
| OPNsense |
'----.-----'
|
|
LAN | static 192.22.1/24
|
.--------.
| Router |
'--------'
|--------------------------.
| | | | |
server 1 2 3 4 5
«
Last Edit: December 03, 2023, 11:06:00 am by rrbs
»
Logged
knebb
Full Member
Posts: 126
Karma: 4
Re: brauche mal Hilfe 2. sense
«
Reply #9 on:
December 03, 2023, 11:21:05 am »
Ok, wird klarer.
Aber immer noch unvollständig
In wekchem IP-Bereich hängt das WAN-Interface der OPNSense2?
Welchen IP-Bereich haben die Server?
Da hängt ja NOCH ein Router drinne
Kein Wunder, dass da keiner mehr durchblickt bei so vielen (IMHO unnötigen) verschiedenen Netzwerken....
Voraussetzungen:
Deaktiviere NAT auf dem WAN Interface der OPNSense, erlaube Traffic eingehend zu den Servern
Erlaube ICMP eingehend auf allen Interfaces der OPNSense
Du darfst Dich jetzt mal Schritt für Schritt vortasten:
Von einem Server: ping LAN IFace OPNSense
Von einem Server: ping zu einem BüroPC
PacketCapture auf dem WAN IFace der OPNSense ICMP traffic- welche Absenderadresse haben die Pakete?
Auf der OPNSense: ping einen Server
Auf der OPNSense: ping einen BüroPC
Von einem BüroPC: ping auf WAN-IP OPNSense2
Von einem BüroPC: ping WAN IFace OPNSense
Von einem BüroPC: ping Server
So, wenn das abgearbeitet ist, sagst Du uns bitte, was von der Liste geht und was nicht.
Und dann bitte die jeweils lokalen Routingtabellen der OPNSense als auch der BüroPC und Server zeigen.
/KNEBB
«
Last Edit: December 03, 2023, 11:40:15 am by knebb
»
Logged
rrbs
Newbie
Posts: 8
Karma: 0
Re: brauche mal Hilfe 2. sense
«
Reply #10 on:
December 03, 2023, 11:27:26 am »
Der Router fungiert nur als hub zur verteilung.
alles bei Server liegt im 192.168.22.1/24
Danke.
«
Last Edit: December 03, 2023, 11:28:57 am by rrbs
»
Logged
knebb
Full Member
Posts: 126
Karma: 4
Re: brauche mal Hilfe 2. sense
«
Reply #11 on:
December 03, 2023, 11:44:58 am »
Ich hatte Dir zwei Fragen gestellt, davon hast Du eine beantwortet.
Kennst Du den Unterschied zischen Hub/Swith/Router? Falls nein: Schlau machen, hier richtige Begriffe verwenden.
Waren zwei Aufgaben zur Konfiguration genannt. Hast Du das gemacht?
Hatte ich eine Reihenfolge von Prüfungen vorgegeben. Wie sieht das Ergebnis dazu aus?
Entzschuldige, aber wenn das so weitergeht, ist für mich Ende. Hilfe kann es nur geben, wenn man genug Informationen hat und diese auch dann bekommt, wenn man sie anfordert. Ich habe keine Lust, jedes noch so kleine Fitzelchen Dir Stück für Stück auss der Nase ziehen zu müssen. Du brauchst Unterstützung, dann sorge dafür, dass wir die auch geben können.
/KNEBB
Logged
rrbs
Newbie
Posts: 8
Karma: 0
Re: [solved]brauche mal Hilfe 2. sense
«
Reply #12 on:
December 03, 2023, 02:15:02 pm »
Danke Dir, jetzt passt alles.
Hab das anders geloest, da es einen Denkfehler meinerseits gab.
Die Zugriffsregelung auf die einzelnen server
ueberleg ich mir noch.
schoenen 1. Advent noch
«
Last Edit: December 03, 2023, 02:16:57 pm by rrbs
»
Logged
knebb
Full Member
Posts: 126
Karma: 4
Re: [solved]brauche mal Hilfe 2. sense
«
Reply #13 on:
December 03, 2023, 02:28:14 pm »
Wie wäre es mit einer Auflösung?
Logged
rrbs
Newbie
Posts: 8
Karma: 0
Re: [solved]brauche mal Hilfe 2. sense
«
Reply #14 on:
December 03, 2023, 02:55:10 pm »
Die sense raus, alles was nach und die server server geht sind in einem Netzwerk 192.168.158.0/24.
FW der wlanstation sind nur die ip's freigegeben, die das aus dem buero aus duerfen.
Soweit wars das. Server brauchen kein internet und somit sind buero und server wirklich getrennt.
Den Zugriff auf die server selbst werde ich pro server mit ufw loesen.
Damit sollte das alles gut sein.
:-)
«
Last Edit: December 03, 2023, 04:31:42 pm by rrbs
»
Logged
Print
Pages: [
1
]
2
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[solved]brauche mal Hilfe 2. sense