VLAN Anzahl

[Simaryp]

Ich möchte mein Netzwerk etwas vereinfachen und habe beim Einstieg in OPNsense vor einigen Jahren ein wenig übertrieben.

Bevor ich jetzt loslege, wollte ich mir daher etwas Input holen.

Ich hab für alle möglichen Gerätegruppen VLANs aufgesetzt, weil zB die Androidhandies vlt. eher mal ne Malware bekommen, als mein Linuxlaptop etc. Der Drucker hatte sein eigenes VLAN usw. Weil der Laptop und das Handy in nem anderen Netz waren brauchte ich dann auch zwei wireguard interfaces usw. Die Infrastruktur Switch, AP usw. hat ein eigenes VLAN.

Das ist natürlich eine riesige Konfiguration mit dann vielen Regeln usw.
Ich bin am Überlegen für meine eigenen Geräte zukünftig einfach ein VLAN zu machen. Vlt. ein zweites für Geräte, die mit keinem sonstigen kommunizieren müssen, wie Gaming Konsole etc. Dann ein Gäste VLAN. Und erst dann, wenn ich wirklich IOT Kram haben sollte, ein Netz dafür. Wobei ich bei letzterem eher nur nen Pi mit Home Assistant und nem zigbee dongle sehe. Und der könnte vlt. auch einfach ins Heimnetz.

Das wären dann nur noch zwei oder drei VLANs. Vlt. werfe ich dann aber auch zu viel über Bord.

Hat da jemand nen spontanes Feedback für mich?



Jetzt

[meyergru]

Ich gruppiere das immer nach Security-Zonen. In absteigender Reihenfolge sind das:

1. Management - alles, was vital für den Netzbetrieb ist, also OpnSense, Proxmox Host, Switches, Unifi Controller, Access Points usw.
2. LAN - vertrauenswürdige Geräte, also PCs, Laptops, NAS usw. Diese sollen vor allem geschützt werden.

Dann die Gruppe der "RESTRICTED_VLANS":

3. IoT - IoT Devices, Smartphones (denen vertraue ich nämlich auch nicht), Haushaltsgeräte, Drucker, Mediastreamer, Plexserver - also alles, was potentiell "nach Hause telefoniert", also cloudbasiert ist (oft per Wifi angebunden). Hier gehört unter anderem auch ein Home Assistant hin, weil der direkt mit vielen dieser Geräte reden muss und die FW-Regeln sonst zu komplex würden.
4. DMZ - Geräte und Services, die per Reverse Proxy aus dem Internet erreichbar sein müssen, wo ich aber nicht will, dass sich die Seuche ausbreitet, falls davon etwas gehackt wird. Bei mir ausschließlich VMs (keine LXCs).
5. GAST - Gastnetz (Wifi).

Die Regeln sind so: Management darf auf alles, LAN darf auf alles außer Management (bis auf Ausnahmeregeln für zwei Admin-PCs, die als Admin-Workstation dienen).

Die RESTRICTED_VLANS dürfen nur ins Internet, aber auf keins der lokalen Netze. Im GAST-WLAN ist auch noch "Client Isolation" aktiv.
DMZ hat kein Wifi, im IoT Netz müssen die WLAN-Clients untereinander reden können.

So kann ich vom LAN auf alle IoT-Geräte inkl. HomeAssistant und Drucker zugreifen und ggf. auch im Management administrieren.

Falls ein IoT-Device gehackt wird, weil die Cloud-Verbindung rückwärts genutzt wird, kann es nicht aus dem IoT-Netz raus, das gleiche gilt für DMZ und GAST.

Dazu kommen noch Site2Site-VPNs, wo selektive FW-Regeln greifen, z.B. für Backup-Shares usw.

[Simaryp]

Vielen Dank!

Das ist dann ja so ungefähr ein Mittelweg.

Mit Android und eigentlich auch mit Windows tue ich mich auch etwas schwer. Macht halt etwas mehr Aufwand, weil ich für das Smartphone auch wireguard will. Und ich hab ne Nvidea Shiwld, die mit dem emby server reden muss.

Geht alles, aber sind halt dann alles config Regeln.

Das LAN in alles kann macht es vermutlich einfacher. Hab zuletzt mit der Druckereinrichtung auf nem neuen Laptop Probleme gehabt.

[Simaryp]

DMZ hab ich nicht. Hab mich entschieden von unterwegs nur per VPN auf Sachen zu Hause zuzugreifen.

Vlt. kann ich mir Wireguard auch auf Android sparen, weil ich für fremde Netzwerke auch nen NordVPN habe. Und auf Server etc. kann ich mit dem Handy eh nicht.

[meyergru]

Wenn Du für Zugriff von außen Dein Handy verwenden will, stellt sich ja die Frage, auf was Du zugreifen willst. Sind es nut IoT-Sachen oder Medien, dann muss dieser VPN-Zugang ja auch nur für IoT zugelassen werden. Im LAN sind ja nur PCs, NAS und Laptops. PCs und Laptops mit einem Smartphone zu kontrollieren ist irgendwie nicht sinnvoll. Es könnten also höchstens Daten vom NAS sein, und dafür ließe sich ja eine Regel machen - obwohl ich das nicht tun würde.

Das was ich wirklich auf meinem Smartphone brauche, ist Zugriff auf E-Mail. Und dafür würde in diesem Konzept ein DMZ-Server in Frage kommen. Auf den haben PCs, Laptops, Smartphones usw. Zugriff immer über die externer Adresse - falls sie eben "von außen" kommen.

Ein ausgehendes VPN zur Anonymisierung habe ich nur für ein einziges System, das liegt auch in der DMZ (könnte auch ein separates Netz sein, wenn es mehrere wären), der hat nur RFC1918 als Ausnahmeroute, sonst Gateway per VPN und Killswitch. Das nutze ich vom LAN aus per Remotezugriff, wenn ich anonym unterwegs sein will. Der Download-Share wird per Samba freigegeben und ist dank der "Allow all"-Regel vom LAN aus auch lesbar.

Wenn man die VPN-Regeln erstellt, arbeitet man da mit einem Netzwerk-Gruppen Alias ANONYMOUS_CLIENTS.

[Simaryp]

Ich hab mich vlt. unverständlich ausgedrückt. Ich habe zur Zeit zwei wireguard interfaces. Eins um den Laptop ins LAN zu bringen, eins um das Handy ins Android VLAN zu bringen.

Letzteres habe ich nur,um in Hotspots, Hotels etc. meinen Traffic zu tunneln. Dafür kann ich aber auch das NordVPN nutzen, was ich seit ein paar Monaten habe.

[meyergru]

Die Differenzierung würde ich genauso beibehalten.

[Simaryp]

Ich habe mal angefangen den neuen router zu konfigurieren, aber bin ehrlicherweise mit den Änderungen des aktuellen OPNsense etwas überfordert.
Ich habe vor einigen Jahren mit 4 automatisch erstellten Regeln gestartet. Jetzt sind es um die 25 und ich verstehe die nicht alle. Daher weiß ich auch nicht recht, wo ich meine einklinken soll. Löschen kann ich die auf den ersten Blick auch nicht.

Das mit dem dnsmask + unbound und der Registrierung der eigenen leases ist mir aus der Anleitung auch nicht ganz klar geworden. Gibt es da irgendeinen migration guide?

[meyergru]

Du musst ja nichts migrieren. ISC DHCP und Unbound funktionieren ja noch.

[Tuxtom007]

Hat da jemand nen spontanes Feedback für mich?

Ich hab meine VLAN nach Gerätegruppen eingerichtet, z.b.:
- Server
- Privat ( alle Notebooks, Smartphones )
- Buero ( Firmennotebook, Smartphone ), weil auch andere DNS-Konfig
- Media ( AppleTV, usw. )
- Smarthome
- IoT
- Telko ( VoIP-Telefone )
- Secure ( evtl. für Kamera usw. , nutze ich aber nicht )
- DMZ
- LoRaWAN ( für mein LoRaWAN-Gateway only )
- paar Test-Netze für virtuelle OPNSense-Installationen zum spielen

Am Ende kommt es drauf an, was du benötigst und an Geräten hast
Am besten ist es immer, sich erst mal einen Zettel zu nehmen und in Form einer Tabelle auszuschreiben, welche System mit welchen Kommunizieren dürfen / nicht dürfen und Internetzugriff bekommen. Nennt sich dann Kommunikationsmatrix. Hilft dann die Firewall-Regeln zu erstellen.

[Simaryp]

Ich bin einfach etwas mit der extrem gestiegenen Vielzahl der Default regeln überfordert und muss erst mal in ner ruhigen Gelegenheit versuchen rauszubekommen, wie ich die Regeln dazwischen kriege, dass es dem entspricht, was ich mal ursprünglich hatte.

[Patrick M. Hausen]

Ich bin einfach etwas mit der extrem gestiegenen Vielzahl der Default regeln überfordert und muss erst mal in ner ruhigen Gelegenheit versuchen rauszubekommen, wie ich die Regeln dazwischen kriege, dass es dem entspricht, was ich mal ursprünglich hatte.

Du kannst und brauchst da nichts dazwischen zu kriegen. Alle automatischen Regeln sind notwendig, damit "IP" überhaupt funktioniert. Alle kommerziellen Firewalls haben die auch - nur zeigen sie sie halt nicht an.

ARP
Neighbor Discovery
DHCP
CARP
Blocken von unzulässigen Paketen (Port 0)
...


No user servicable parts inside - einfach ignorieren. Deine Policy beginnt *nach* den automatischen Regeln.