Best practices/Standards für Heimnetzwerk

[guest15032]

Hallo zusammen,

nachdem meine Appliance nun mit OPNsense läuft (https://forum.opnsense.org/index.php?topic=4209.0), habe ich das Setup übernommen, dass in dem Thread besprochen wurde.

Meine Appliance mit OPNsense hängt direkt hinter meinem Kabelmodem und verteilt mittels DHCP die Netzwerkadressen an alle meine Netzgeräte (NAS, Konsole, TV, usw.). Zudem arbeitet mein vorheriger Router nun als Acess Point für WLAN Geräte und auch für die Switche, die daran angeschlossen sind.

Das funktioniert auch alles problemlos und genau wie gewünscht.

Da ich ja noch recht neu im Umfeld Security Appliance und OPNsense bin und mich das Backend de Apliance dementsprechend noch etwas erschlägt, möchte ich gerne mal in die Runde fragen, ob es unter euch, bzw. generell im Aufbau solcher sicherer Heimnetze, irgendwelche Best Practices gibt, die quasi einen einfachen "Standard" bieten?

Es geht mir darum, ein sinnvolles und einfaches, grundlegendes Setup zu haben, an dem ich selbst lernen kann und welches ich dann hinsichtlich meiner Wünsche erweitern kann.

Wichtig sind mir natürlich (wie fast jedem) die Punkte Sicherheit und Performance.

Worauf ist im besonderen zu achten? Gibt es Anfängerfehler, die man einfach vermeiden kann, um sich unnötigen Aufwand zu sparen? Wie definiert ihr, mit der Integration von OPNsense in ein Heimnetzwerk, ein "sicheres" Netz?

Über Ideen, Denkanstöße und Meinungen würde ich mich freuen.

Gruß

[monstermania]

Meine Appliance mit OPNsense hängt direkt hinter meinem Kabelmodem und verteilt mittels DHCP die Netzwerkadressen an alle meine Netzgeräte (NAS, Konsole, TV, usw.). Zudem arbeitet mein vorheriger Router nun als Acess Point für WLAN Geräte und auch für die Switche, die daran angeschlossen sind.

Das funktioniert auch alles problemlos und genau wie gewünscht.

Da ich ja noch recht neu im Umfeld Security Appliance und OPNsense bin und mich das Backend de Apliance dementsprechend noch etwas erschlägt, möchte ich gerne mal in die Runde fragen, ob es unter euch, bzw. generell im Aufbau solcher sicherer Heimnetze, irgendwelche Best Practices gibt, die quasi einen einfachen "Standard" bieten?

Es geht mir darum, ein sinnvolles und einfaches, grundlegendes Setup zu haben, an dem ich selbst lernen kann und welches ich dann hinsichtlich meiner Wünsche erweitern kann.

Also dass mit dem Router als WLAN AP und für die Switche verstehe ich nicht. Mach doch einfach eine Zeichnung Deines Netzaufbaus! 

Als m.E. sehr guten Einstieg empfehle ich das Lesen des folgenden Tutorials: https://www.administrator.de/contentid/149915
Insbesondere die weiterführenden Links enthalten viele praktische Beispiele und Denkanstöße, was man mit einer Firewall Alles so machen kann (auch zu Hause).
Was Du davon dann umsetzt, hängt von Deinen persönlichen Anforderungen ab.
Willst Du z.B. auch von extern auf Deine Systeme zugreifen (z.B. NAS)?
Willst Du z.B. deinen Kindern nur einen eingeschränkten Internetzugang zur Verfügung stellen?

Ich habe mit der OPNSense meinen 08/15 Router abgelöst um einfach eine gewisse Kontrolle darüber zu erlangen wohin mein Smart-TV und die anderen Geräte so kommunizieren dürfen.

Ich nutze z.B.:
- Firewall
ausgehend für alle Geräte nur einige Grundregeln erlaubt. Spezielle Geräte haben dann zusätzliche Rechte (z.B. Laptop -> OpenVPN, Tablet -> IPSec).
- Proxy (transparent, http)
Sperrliste von Shalla, Download von bestimmten Dateitypen geblockt, usw.
- DynDNS Dienst
- OpenVPN Server
- WLAN internes Netz
- WLAN Gast (offenes WLAN ohne Restriktionen)
- DMZ (z.Zt. noch nicht genutzt )

Klar, dass ist nur ein Bruchteil der Möglichkeiten, die eine OPNSense bietet, aber mir reicht das für mein Heimnetz aus.

Gruß
Dirk

[Oxygen61]

Eine Firewall, soll an sich ja Kontrolle und Überwachung über dein Netz bringen und ist damit der wichtigste Teil in deinem Netz. Egal was auch immer du für Anforderungen an dein Netz hast, am Ende muss die Firewall mitspielen.

Der allerwichtigste Part einer Firewall sind die Rules. Am Ende der OPNsense steht immer ein DENY ALL,
sodass du durch zusätzliche allow Regeln, "Löcher" in dein Netz bohrst wenn auch gewollt.
Die "Standardsicherheit/Best Practise" von der du sprichst ist am Ende von diesen Rules, den Sicherheitslücken in der OPNsense/FreeBSD und deiner Netzplanung abhängig.

Du musst dir also im Klaren sein:
Wer darf was? (Welches Netz/Welches Endgerät darf in welche Netze und mit welchen Endgeräten kommunizieren?)
Was darf dieser jemand, wenn er was darf? (Welche Protokolle sollen erlaubt werden? Hast du zum Beispiel einen extra Rechner nur für den Zugriff auf die Firewall, dann sollte auch nur dieser eine Rechner auf das LAN Interface über HTTPS zugreifen und auch nur dieser eine Rechner/Netzbereich per SSH sich verbinden (Port 22))

Weitere Denkanstöße:
Zugriff über SSH nicht über Benutzername und Passwort sondern mithilfe von Private und Public Keys.
Dafür kann man Puttygen nutzen und die Umsetzung findest du auch in der Dokumentation von OPNsense.
Ganz wichtig ist am Ende also eine Netzplanung.
Bau dir ein schönes Netz zusammen, z.B. mit www.draw.io
Schreibe eine Doku über deine Schritte um in 3 Jahren noch zu verstehen was du mal gemacht hattest. (ihhh eine Doku )
Freunde die mal nur fürn Käffchen vorbeikommen aber natürlich ihre Facebook Nachrichten checken wollen mit DEINEM Netz, dürfen natürlich niemals mit deinem internen Netz kommunizieren. Heißt, mithilfe eines Captive Portals ein Gästenetz erschaffen, welches mehr oder weniger eigenständig in deinem internen Netz koexistiert.
Fängt sich dein Kaffee trinkender, Facebook Nachrichten checkender Freund dabei einen Virus ein, infiziert er nicht gleich auch dein ganzes Netz.
Möchtest du Server aufsetzen (Webserver, Mailserver... usw.) die auch von außen erreichbar sein sollen, solltest du dir über den Begriff DMZ den Kopf zerbrechen.

Weitere Denkanstöße findest du auch in der OPNsense Dokumentation:
Es gibt zum Beispiel die Möglichkeit der Einbindung eines ICAP Servers gegen sämtliche Arten von ekligen Insekten Würmern, Viren .... usw.
Siehe: https://docs.opnsense.org/manual/antivirus.html
Web Filtering, wovon monstermania sprach kann hier nachgelesen werden: https://docs.opnsense.org/manual/how-tos/proxywebfilter.html

Viel Spaß
Fehler machen gehört dazu, nur so lernt man (bzw. nur so lern ich irgendwie leider immer nur)

Schöne Grüße
Oxy

[guest15032]

Hallo zusammen,

vielen Dank für die Denkanstöße und Verlinkungen.

Zum Router als Acess Point:

Mein Netzwerkaufbau sieht ganz simpel so aus:

[ Kabelmodem ]  -----> [ OPNsense Appliance ] -----> [ Acess Point (ehemals Router) ]

Am AP hängen zwei Switche per LAN, an denen dann weitere Geräte hängen, also:

                                                                 [ AP ]
                                                                     |
                                                                     |
                                                   ----------------------------
                                                  |                                     |
                                         [ Switch 1]                   [ Switch 2]
                                                  |                                     |
                                     ---------------------         ---------------------
                                     |                           |        |                          |
                                NAS1                 NAS2  TV                   Konsole

usw....

Also meine Prioritäten liegen ganz klar in folgenden Punkten:

1. Ich möchte ein intern separiertes Netz für Gäste (wie Du, Oxygen61, das so schön erläutert hast) damit die zwar im Netz surfen können, wenn sie zu Besuch sind, aber dabei definitiv nicht auf mein LAN zugreifen können.

2. Das Gastnetzwerk sowei mein LAN sollen Sicherheit gegen Viren etc. bieten. Gerade, weil die Frau des Hauses öfter Mal durch Ihr handwerkliches Hobby Dateien laden muss, die generell zwar nur PDF Formate sind, aber wir wissen ja, wie schnell das schief gehen kann. 

3. Ich möchte eine Art Intrusion Detection haben, die mich aktiv (z.B. per E-Mail) benachrichtigen soll, wenn neue bzw. unbekannte Geräte das Netzwerk betreten möchten. Zudem ein generelles Monitoring meiner verbundenen Netzwerk Hardware um da einen Überblick zu haben.

4. Die Kontrolle über alle Netzwerkaktivitäten über die Firewall, um zu wissen, welches Gerät was wohin schicken möchte und wer da von Außen anklopft.


Ich hoffe, dass ich mich da durchwühlen kann und einen ersten guten Ansatz finde, ich denke, beginnend mit der Firewall....

Gruß

[monstermania]

Sorry,
aber ich versteh das mit dem AP und den dahinter liegenden Switchen einfach nicht! 

Die übliche Konfiguration wäre in etwa so:
[ Kabelmodem ]  ----> [ OPNsense (LAN) ] ----> [SWITCH] ----> [ Access Point ]
                                                                                               |
                                                                                               ---->  [ andere Geräte ]

Zum Gäste WLAN :
Die einfachste Lösung ein Gäste-WLAN einzurichten ist wohl einen AP zu nutzen der MultiSSD und vLAN fähig ist. Dann kannst Du mit einem AP sowohl Dein internes WLAN und in einem vLAN Dein Gäste-WLAN betreiben. Das bedingt natürlich auch, dass der verwendete Switch ebenfalls vLAN unterstützt!
Ob man nun ein Captive-Portal für ein Gäste WLAN nutzen muss!? Ich nutze für mein Gäste WLAN jdenfalls keines. Das Gäste-WLAN läuft ganz normal mit WPA2. Meine Freunde/Bekannten bekommen dann einfach das Kennwort und es kann losgehen.
1. Die Anzahl der Leute, die mein Gäste WLAN nutzen dürfen ist sehr überschaubar
2. Die Leute kommen häufiger vorbei

Wichtig war mir die Trennung meines privaten Netzes gegen das Gäste WLAN. Und das Ziel ist auch ohne Captive Portal erreicht.

Gruß
Dirk

[Oxygen61]

@ne0h Dein Aufbau erklärt sich mir auch nich so recht. Ich meine das geht sicher so, aber warum tauschst du nich deinen AP mit der Firewall?
Also die Switche an die Firewall und den AP für WLAN am Besten auch an die Firewall und einfach gar keinen "Zwischenrouter" mehr zwischen der Firewall und dem Modem. (Gibt eh nur Schwierigkeiten das dann einzurichten)
Also vielleicht in etwas so:

              [ Kabelmodem ] <-------[ OPNsense ]-------> AP ---------> [ WLAN Geräte mit/ohne Captive Portal ]
                                                               |
                                    int1(WAN)          | Int2(LAN)      opt1 (WLAN)
                                                               |
                                            -------------------------------------------------------
                                            |                                      |                                          |
                                     [ Switch 1]                     [ Switch 2]                           [ Switch 3]
                                            |                                     |                                            |
                               ---------------------         ---------------------                 -----------
                               |                           |        |                               |                |               |
                           NAS1                    NAS2    TV                       Konsole       Laptop      Desktop PC



Je nach Größe der Switche könnte man die Geräte am Switch 3 auch einfach an Switch 2 hängen.
Das WLAN würde ich persönlich physisch per Interface vom LAN trennen. (Formulierung von Regeln werden einfacher und VLAN Hopping schließt sich dann damit aus.)

Schöne Grüße
Oxy

[monstermania]

2. Das Gastnetzwerk sowei mein LAN sollen Sicherheit gegen Viren etc. bieten. Gerade, weil die Frau des Hauses öfter Mal durch Ihr handwerkliches Hobby Dateien laden muss, die generell zwar nur PDF Formate sind, aber wir wissen ja, wie schnell das schief gehen kann. 

Stichworte sind Proxy und ICAP.
Mit dem Proxy kannst Du den Webtraffic filtern (z.B. Sperrlisten). Dateianhänge können dann per ICAP auf Viren/Schadsoftware geprüft werden. Leider gibt es bisher kein ICAP-Plugin für OPNSense (wird es wohl auch nicht geben). Die Empfehlung der OPNSense-Entwickler geht dahin den ICAP-Dienst auf einen eigenen Server auszulagern.
Das bedeutet daher, dass Du Dir hierfür nur selbst eine Lösung bauen kannst!
Die Proxykonfiguration mit der GUI ist recht einfach gehalten. So ist es z.B. nicht möglich bestimmten Geräten/Usern/IP-Adressen eigene Filtergruppen zuzuweisen bzw. solche Filtergruppen überhaupt zu erstellen. Das wäre z.B. ideal um z.B. den Kindern andere Webfiltereinstellungen zuzuweisen als Erwachsenen. Oder z.B. Zeitprofile, dass Kinder nur von 16-20 Uhr ins Internet können. Leider in der OPNSense Alles nicht konfigurierbar (zumindest nicht per GUI)!
Schau es Dir halt mal an und prüfe, ob Dir die Möglichkeiten von OPNSense für Deine Zwecke ausreichen.
Im Bereich Proxy+Virenschutz bietet z.B. pfsense deutlich mehr Möglichkeiten!
 

3. Ich möchte eine Art Intrusion Detection haben, die mich aktiv (z.B. per E-Mail) benachrichtigen soll, wenn neue bzw. unbekannte Geräte das Netzwerk betreten möchten. Zudem ein generelles Monitoring meiner verbundenen Netzwerk Hardware um da einen Überblick zu haben.

Hmm,
ich glaube hier verstehst Du was falsch. Wenn Jemand von innen auf Dein Netzwerk zugreifen will um Daten abzugreifen, indem er z.B. einen Laptop an einen Switch in Deinem LAN anschließt nutzt die Firewall auch nichts mehr.
Dafür gibt es andere Ansätze (z.B. zentral verwaltete MAC-Filterlisten auf den Switchen/Access-Points). Solche Funktionen bieten die Enterprise Switche von HP/Cisco, usw. So Bald sich eine unbekannte MAC in das Netzwerk schaltet, wir der Port vom Switch sofort deaktiviert und eine Warnung ausgelöst. 
In den Firewalls sind IDS/IPS-Systeme enthalten, die Anhand von Angriffsmustern erkennen, ob Dein Netzwerk evtl. angegriffen wird. Dabei kann dann z.B. auch eine Attacke von innen erkannt werden, wenn z.B. ein Trojaner (BOT) auf einem Rechner im Netzwerk Datenaustausch mit seinem Steuerserver im Internet durchführt. IDS/IPS ist sehr ressourcenhungrig, da im Prinzip jedes gesendete/empfangene Datenpaket analysiert werden muss. Bei entsprechender Bandbreite Deiner Internetanbindung braucht es also entsprechend Rechenleistung. Vor Allem sollte man sich mit der Analyse der anfallenden Daten auch auskennen. Sonst kann man vor lauter "Angriffen" gar nicht mehr schlafen. 
Ich halte IDS/IPS im Unternehmen für wichtig. Bei 100 oder mehr Rechnern kann man einfach nie sicher sein, dass nicht ein User doch irgendwie Dummheiten macht. Nur sitzt da i.d.R. auch ein Admin, der sich damit auskennt und die Daten richtig interpretiert.
Bei 3 oder 4 PC's zu Hause braucht man m.E. nicht unbedingt ein IDS/IPS.
Und Monitoring hat nix mit Firewall zu tun! Für das Monitoring empfehle ich eine Lösung wie Nagios oder Zabbix. Zabbix nutzen wir hier im Unternehmen um unsere Hardware zu überwachen. Sehr schöne Lösung, wobei mir aber nicht einfallen würde, was ich damit zu Hause sollte... 

4. Die Kontrolle über alle Netzwerkaktivitäten über die Firewall, um zu wissen, welches Gerät was wohin schicken möchte und wer da von Außen anklopft.

Klar, das ist ja der Sinn einer Firewall 
Dazu bietet jede Firewall ein entsprechendes LOG an. GGf. macht der Einsatz eines eigenen Syslog-Servers Sinn, wenn man z.B. auch historische Daten betrachten will.

[guest15032]

Guten Morgen,

vielen Dank für Eure Antworten..

Bevor ich auf die anderen Sachen eingehe, habe ich eine Frage zur Struktur meines Netzwerkes, die ich jetzt entsprechend eurer Ideen geändert habe.

Ich hatte darüber nachgedacht und festgestellt, dass es Sinn macht, das Netzwerk so aufzubauen wie ihr es vorgeschlagen habt. Ich habe den Access Point (also den ehemaligen Router) jetzt am ersten LAN Port der Appliance angeschlossen. Außerdem habe ich mich eines der beiden Switche entledigt, da dieser der ältere und mit weniger Ports war. Ich hatte gesehen, dass ich an den neueren Switch alle meine LAN Verbindungen dran bekomme. Das ausmisten war eh schon lange fällig und somit habe ich jetzt also nur noch einen Switch.

Der Aufbau ist also jetzt wie folgt:

                                                        [ Kabelmodem ]
                                                                     |
                                                             (static IP)
                                                                     |
                                                 [ OPNsense Appliance ]
                                                                     |
                                                                     |
                                                 ------------------------------
                                                 |                                      |
                                            (OPT)                  (LAN mit DHCP)
                                                  |                                     |
                                         [ Switch ]          [ WLAN Access Point (alter Router) ]
                                                  |                                     
                                     ------------------------------------------
                                     |                           |                           |
                                NAS1                 NAS2             Konsole, etc.


Soweit so gut.

Bitte verzeiht mir, wenn ich mich auch hier wieder etwas blöd anstelle, aber ich habe dann versucht zu verstehen, in welcher Form der zweite LAN Port (also OPT) arbeiten soll.

Die Doku sagt ja erstmal nur, dass zum Standard LAN Port alle zusätzlichen Ports als OPT Interfaces konfiguriert werden können.  Hier stellt sich mir die erste Frage: Ist "OPT" irgendeine Begrifflichkeit, die man kennen muss (da es mir noch nie im Zusammenhang mit Netzwerktechniken aufgefallen ist) ? Oder ist es schlicht ein eigener Begriff der Appliance, um hervorzuheben, dass es sich um ein weiteres "OPTionales" Interface handelt?

Also, wenn ich das Interface über das Menü hinzufüge, wird dieses dann von OPNsense auch von sich aus als OPT benannt. Dann stellte sich mir die Frage, wie genau konfiguriere ich das Interface nun am besten?

Mit meinem bisherigen Netzwerkverständnis und Trial&Error habe ich gesehen, dass ich das Interface nicht genau wie das LAN Interface konfigurieren kann (sprich im selben Subnetz aber z.B. mit anderer DHCP Range), da ja keine zwei Interfaces im gleichen Subnetz sein können. Das führt ja zu Routing Problemen und auch das Log hat auf das Problem korrekt hingewiesen. Ich könnte auf dem Interface ein zweites Subnetz eröffnen, also z.B. so:

LAN ist: 192.168.1.0

OPT ist: 192.168.2.0

Das funktioniert zwar, da jedes Interface dann in seinem eigenen Subnetz arbeitet. Dann sehe ich aber das andere Subnetz mit allen angeschlossenen Netzwerkgeräten ja nicht vom aktuellen Subnetz aus. Ich kann also vom Subnetz des Access Points nicht auf das andere Subnetz zugreifen. Ist also in dem Fall so nicht gewoillt, ich komme ja nicht mehr an meine NAS, usw.

ich könnte das natürlich alles irgendwie umgehen, indem ich den AP einfach mit an den Switch klemme (ganz unabhängig davon, ob ich grad einen freien Port am Switch habe oder nicht, sonst kommt halt ein zweiter Switch hinter den ersten und da kommt der AP dann dran).

Aber das löst das aktuelle Problem nicht und außerdem möchte ich das zweite Interface ja bewusst nutzen, denn dafür ist es ja da und dann würde ich eben an dieses Interface dann einen neuen Switch anschließen, hinter dem dann weitere Netzwerkgeräte arbeiten, statt das Interface brach liegen zu lassen und am LAN Interface Switch hinter Switch zu schalten.

Also habe ich folgende Lösung (mit etwas Recherche) gefunden:

Ich habe das neue OPT Interface nicht, wie das LAN Interface, mit einer statischen IP oder ähnlichem konfiguriert. Ich habe stattdessen eine Bridge erstellt im Interface Menü (unter dem entsprechenden Unterpunkt). Dort habe ich das LAN und das OPT Interface eingetragen, die Bridge dann benannt und gespeichert.

Danach habe ich eine neue Firewall Regel angelegt. Ich hab für das OPT Interface eingetragen, dass sämtlicher Netzwerkverkehr weitergeleitet werden soll, also mit den Einstellungen: 

Protocol: any
Source: any
Destination: any

Nach anlegen und anwenden der Firewall Regel, funktionierte alles wie ich es mir vorgestellt hatte. Das OPT Interface und das LAN Interface liefen im selben Subnetz, ich konnte meine Netzwerkgeräte, die am Switch am OPT Interface hängen, wieder sehen.

Mir stellt sich jetzt also die wichtige Frage: Ist das so der richtige Weg, um ein zusätzliches Interface im selben Subnetz zu konfigurieren? Oder habe ich es zwar zum Laufen gebracht, aber nicht so, wie es in einer solchen Appliance sein sollte für einen sauberen und fehlerfreien Aufbau?

Im übrigen könnte ich natürlich auch die beiden Ports vertauschen (also Switch und AP umstecken) aber das ist ja das selbe Problem in grün. 

Danke erstmal für Hilfe hierzu.

Grüße

[guest15032]

P.S.:

Ich hatte auch gelesen, dass es Lösungen gibt, bei denen das OPT Interface mit einer statischen IP konfiguriert wird (also genau wie das LAN Interface) und es wird ein Gateway  eingetragen (das dann die IP des LAN Interfaces ist ?). Die Firewall Regel bleibt dann die selbe wie ich sie erstellt habe.

Ist das so praktikabel/besser/schlauer? Wenn ja, wo liegen die großen Unterschiede zur jetzigen Bridge?

Gruß

[monstermania]

Na,
das hört sich doch schon ganz gut an!
Ja, mit OPT für 'Optional' liegst Du schon ganz richtig. Außer WAN und LAN ist erstmal jedes weitere NW-Interface erstmal OPT.
Das kannst (und solltest) Du natürlich bei der Konfiguration des Interfaces ändern (z.B. DMZ, WLAN, WLAN_Gast, usw.). Macht die Konfiguration insgesamt einfacher sprechende Namen zu verwenden.
Bei anderen Firewalls werden die NW-Interfaces z.B. mit Farben bezeichnet (WAN=rot, LAN=grün, usw.).

Mit der Bridge liegst Du auch ganz richtig. Wenn Du z.B. LAN und WLAN in Einem zusammen verwalten willst musst Du die NW-Interfaces über eine Bridge verbinden. Alle Einstellungen (DHCP, FW-Regeln, usw.) musst Du jetzt entsprechend auf der Bridge machen. Im Prinzip hast Du jetzt die Funktion, wie Sie jeder übliche WLAN-Router auch bietet.
Die Bridge sollte man auch so benennen, dass sofort klar ist wofür Sie ist.

Für das Gäste-WLAN könntest Du jetzt einfach weitere NW-Schnittstelle in der OPNSense einrichten und daran einen 2. AP hängen.
Wenn Deine Hardware (AP und Switch) MultiSSD/vLAN-fähig ist kannst auch mit einem AP 2 (oder sogar mehr) unterschiedliche WLAN's betreiben.
Theoretisch (und praktisch) kannst Du die vLAN's an einem einzelnen Interface der OPNSense betreiben. Aber dann wird es in der Konfiguration schnell unübersichtlich! Von daher ist es besser die Netze (LAN, WLAN, WLAN_Gast, usw.) in der OPNSense jeweils auf ein eigenes NW-Interface zu führen.

Gruß
Dirk

[monstermania]

Ist das so praktikabel/besser/schlauer? Wenn ja, wo liegen die großen Unterschiede zur jetzigen Bridge?

Kommt darauf an, was Du bezwecken willst! 
Mit einer Bridge sind die Interfaces verbunden. Das bedeutet, Du hast keine Möglichkeit FW-Regeln zwischen den beiden Interfaces einzurichten. Jeglicher Traffic zwischen den Interfaces ist erlaubt!

Mit der anderen Möglichkeit bekommst Du die volle Kontrolle was den Traffic zwischen den Interfaces angeht. Das bedeutet, Du müsstest zunächst mal entsprechende FW-Regeln erstellen, damit überhaupt ein Traffic zwischen den Interfaces möglich ist bzw. wird.
 

[Oxygen61]

Kannste so machen. Grundsätzlich ist es aber normal, dass jedes NW-Interface "eigenständig" läuft,
also mit einem anderen Subnetz.
Damit diese dann miteinander "reden" können, musst du überprüfen ob du Firewall Regeln geschrieben hast,
die das erlauben, weil Grundsätzlich am Ende immer ein Deny Any Any steht.
Außerdem hättest du vielleicht eine static route schreiben müssen,
dass das OPT Interface, falls es in das LAN Subnetz reden möchte nicht dein WAN Interface als default Gateway nehmen soll, sondern halt logischerweise das LAN Interface.
Dann hätte es wahrscheinlich auch so funktioniert (falls ich nichts vergessen habe).
Das aber nur als kleiner Auszug, weil du ja deine Lösung gefunden hattest.

Wichtig ist aber, dass du deine PERMIT ANY ANY Regel nochmal überprüfst/überdenkst.
Möchtest du wirklich ALLES erlauben?
In diesem Moment hast du nämlich "sozusagen" auf der OPT Seite gar keine Firewall mehr.
Wenn alles erlaubt werden soll, kannst du auch gleich nen normalen Router hinstellen.

Die MultiSSID Lösung ist ne schöne Sache, falls du das realisiert bekommst.
So kannst du ein Netz für dich WPA2 verschlüsselt benutzen mit erhöhter Sicherheit/ härteren Einstellungen (Stichwort: striktes Ruleset/Regelwerk).
Die Zweite SSID jedoch mit sehr offenem Ruleset, unverschlüsselt aber mit Captive Portal geschützt nur für die Gäste. (Damit verbindest du dich selber nie und dieses Netz darf NUR ins Internet, nicht jedoch in irgendein anderes Netz innerhalb deiner Netzwerkumgebung. Das musst du mit rules vorher abfangen)
Das Kann man dann ja auch gleich "Gästenetz" nennen oder so.

Schöne Grüße
Oxy

[monstermania]

Wichtig ist aber, dass du deine PERMIT ANY ANY Regel nochmal überprüfst/überdenkst.
Möchtest du wirklich ALLES erlauben?
In diesem Moment hast du nämlich "sozusagen" auf der OPT Seite gar keine Firewall mehr.
Wenn alles erlaubt werden soll, kannst du auch gleich nen normalen Router hinstellen.

Kann ich so nur unterschreiben!
Ich habe mein LAN/WLAN bei meiner OPNSense auch per Brigde verbunden und habe damit meinen 08/15 O2 Router zu Hause abgelöst.
Anschließend habe ich dann einige Grundregeln auf der Bridge definiert.
- Port 53 -> DNS nur intern
- Port 123 -> NTP nur intern
- Port  443 -> HTTPS
- Port 587 -> SSL-SMTP
- Port 993 -> SSL-IMAP
- Port 995 -> SSL-POP3
- Port 80 (HTTP) läuft über den Proxy der OPNSense (transparent).

Damit können alle Clients im Netz die Basics machen. Weitere Regeln sind dann an das jeweilige Gerät gebunden (Aliase als feste DHCP-Reservierung). So kann ich z.B. SSH auf die Firewall nur von meinem Laptop aus machen und von keinem anderen Gerät im Netz. Für Dienste wie FTP, Ipsec, OpenVPN, gilt das Gleiche.
Die meisten Blocks kommen intern übrigens von meinem Samsung Smart TV. Der versucht ständig über diverse Ports nach Hause zu telefonieren! Genau das war der Grund für mich mir eine Firewall für zu Hause anzuschaffen!

[guest15032]

Hi ihr beiden,

Danke für die vielen wertvollen Infos.

Ich war im Netzwerkbereich die letzten jahre nur sehr rudimentär unterwegs, sprich ich hatte nur Standard Setups für meine Netzwerke zu Hause. Also

Modem -----> Router

fertig.

Da ich mir nun alles von Hand Aufbauen muss (und natürlich auch möchte, ich will ja was lernen)  sind viele Erklärungen gerade noch ein wenig erschlagend für mich. Ich versuche mich da ranzuarbeiten.

Die Infos zum Gästenetzwerk werde ich im Kopf behalten. ich möchte erst Mal das Netzwerk an sich so weit bekommen, dass es meinen Sicherheitsanforderungen genügt und dass ich es dann auch verstanden habe, was ich da konfigurert habe.


Nochmal zur Bridge und den Interfaces. ihr schreibt:

Mit einer Bridge sind die Interfaces verbunden. Das bedeutet, Du hast keine Möglichkeit FW-Regeln zwischen den beiden Interfaces einzurichten. Jeglicher Traffic zwischen den Interfaces ist erlaubt!

Mit der anderen Möglichkeit bekommst Du die volle Kontrolle was den Traffic zwischen den Interfaces angeht. Das bedeutet, Du müsstest zunächst mal entsprechende FW-Regeln erstellen, damit überhaupt ein Traffic zwischen den Interfaces möglich ist bzw. wird.

und...

Wichtig ist aber, dass du deine PERMIT ANY ANY Regel nochmal überprüfst/überdenkst.
Möchtest du wirklich ALLES erlauben?
In diesem Moment hast du nämlich "sozusagen" auf der OPT Seite gar keine Firewall mehr.
Wenn alles erlaubt werden soll, kannst du auch gleich nen normalen Router hinstellen.

Zum Verständnis: Ist die Bridge denn nicht die einfachste Lösung, wenn ich beide Interfaces zusammen fassen möchte? Die Interfaces trennen, das würde ich evtl. in einer späteren Config machen, wenn ich mir im Klaren darüber bin, wie die Kommunikation zwischen den Interfaces aussehen soll und wie ich das alles im Detail konfigurieren möchte.

Außerdem frage ich mich gerade, warum das OPT Interface dann in der Bridge "sozusagen" keine Firewall mehr hat, durch meine Regeln? Ich definiere doch die Firewall Regeln auf der Bridge (was ja im Moment auch schon greift, da ich ja Netzwerkverkehr habe), um erst Mal überhaupt Kommunikation zwischen den Interfaces zuzulassen, oder?. Wie würden denn dann eure Regeln aussehen, um einen möglichst einfache und fehlerfreie Kommunikation über die Bridge zuzulassen?

Oder einfacher gesagt: Ich möchte ja mit meinem Notebook und meinem Smartphone möglichst unkompliziert auf meine Netzwerkgeräte zugreifen, also auf meine NAS, usw. Und da ich ja noch am Anfang stehe, ist meine Idee dahinter, dass ich zu Beginn alles erlaube und mich dann nach und nach zu einem Regelsatz hocharbeite, in dem ich gewisse Dienste, Ports, usw. einschränke.

Umgekehrt wäre es natürlich deutlich sicherer (also erst mal nichts zulassen und dann nach und nach aufbohren), aber das würde bedeuten, ich muss erst mal mit einem eingeschränkten Netzwerk leben und ich habe nicht so furchtbar viel Zeit, um das mal eben schnell zu konfigurieren, zumal mir dan wohl die Frau des Hauses direkt aufs Dach steigt. ^^

Stufenweise Regeln anzulegen zur Einschränkung gewisser Kommunikation würde ja auch bedeuten, dass ich irgendwann an dem Punkt bin, an dem ich weiß, was ich erlauben will und was nicht  und dann kann ich die Config ja immer noch umdrehen und von "nichts erlaubt" aus neu starten.

Ansonsten wäre ich sehr dankbar für einen tieferen Einblick in das Zusammenspiel der beiden Interfaces. Ich möchte ja vorerst möglichst geringen Konfigurationsaufwand für mein ganzes Netzwerk, um alles kennen zu lernen. Daher hatte ich das Gefühl, dass LAN und OPT als Bridge auch die einfachste Lösung bietet, damit alle Gerät erst mal miteinander kommunizieren können.


----
EDIT:

Ich habe gerade die Antwort erst gesehen:

Damit können alle Clients im Netz die Basics machen. Weitere Regeln sind dann an das jeweilige Gerät gebunden (Aliase als feste DHCP-Reservierung). So kann ich z.B. SSH auf die Firewall nur von meinem Laptop aus machen und von keinem anderen Gerät im Netz. Für Dienste wie FTP, Ipsec, OpenVPN, gilt das Gleiche.
Die meisten Blocks kommen intern übrigens von meinem Samsung Smart TV. Der versucht ständig über diverse Ports nach Hause zu telefonieren! Genau das war der Grund für mich mir eine Firewall für zu Hause anzuschaffen!

Ok, das hört sich alles stark nach meinen ersten Anferderungen an. Ich möchte das Gleiche erreichen, also z.b. die Kommunikation meines TV und meiner Konsole überwachen bzw. einschränken und die ganzen Standards für meine Netzwerk Clients erlauben. 

Weitere Regeln sind dann an das jeweilige Gerät gebunden (Aliase als feste DHCP-Reservierung).

Das bedeutet, es wird immer die gleiche DHCP Zuweisung für ein festes Gerät gespeichert und somit ist jedes Gerät über den Alias identifizierbar, um darauf die Regeln überhaupt anwenden zu können?
 
Gruß
Chris

[chemlud]

Interfaces am Router sind VIEL zu wertvoll, als dass man sie als "bridged" verschwenden sollte ;-). Dann häng deinen Kram aus der Bridge an EIN Interface mit einem billigen Switch. Und nutz die verschiedenen Interfaces, um Datenverkehre und Geräte sinnvoll aufzutrennen (home office - Eltern - Kinder - Gäste WHATEVER). Aber nicht die Firewall als Switch missbrauchen.

Du kannst ja per Firewallregeln ganz gezielt aus einem Netz in's andere (aber halt vielleicht nur in einer Richtung) Verkehre (welche? SMB? VNC? ....?) erlauben. Nur so bekommst du eine Sicherheitsstruktur in dein Netz.