fw - ins Netz integrieren...

[vikozo]

zurzeit habe ich

Fritzbox --> Switch --> Server --> VM12 (10.13.14.15)
auf der Fritzbox ein  exposed host 10.13.14.15 eingerichtet

Wobei 10.13.14.15 meine ISPconfig installation ist mit BIND/DNS - Web - mail
soweit klappt alles gut.

Nun möchte zwischen der Fitzbox und dem Switch die Firewall installieren.
Auch neue IP Range und VLAN definieren für das Netzwerk.

Da ich keine grosse Ahnung habe von Firewallrules, und ich die Downzeit so kurz wie möglich haben möchte. Stellt wich die frage nach einem korrekten vorgehen.

Kann man die Firewall in einem Transparentmode halten. In diesem Fall würde opnsense "nur" routen bis alle IP Adressen anpassen werden, gemäss einer Liste, am Schluss die Rules setzen für die Firewall?

Wobei das setzen der neuen IP Adresse für die Fritzbox und dem WAN Port von Opensense kein Problem sein sollte.
Müsste ich dann den Exposed Host auf die WAN IP von Opnsense richten?
Woher weiss opnsense das die DNS Auflösung auf dem VM12 ist?

viele fragen, je mehr ich aber jetzt schon verstehe umso kürzer sollte die nichterreichbarkeit sein. ;-)

gruss
vinc

[ChrisH]

Klar, du kannst einfach eine Regel "pass any to any" anlegen, dann lässt die FW erstmal alles durch. Und dann Stück für Stück die Regeln anpassen.

Die Frage ist, wie du das jetzt genau aufsetzen willst. Soll die OPNsense nochmal NAT machen (was die Fritzbox schon macht)? Oder routen? Was ist das Ziel? Was soll die OPNsense machen, was die Fritzbox momentan nicht macht?

[JeGr]

> Was soll die OPNsense machen, was die Fritzbox momentan nicht macht?

Böse gesagt: Firewallen? Die Fritzbox ist ein nettes Spielzeug aber eine wirkliche Firewall bzw. ein Paketfilter per se ist sie nicht. Dazu fehlt allein jegliche Möglichkeit irgendetwas zu filtern und nicht nur Klick-NAT zu machen

> Kann man die Firewall in einem Transparentmode halten.

Könnte man auf zweierlei Arten machen, je nachdem wo man hin will.
a) einfach als transparente Firewall (gebridgete Interfaces)
b) als echte Firewall mit gerouteten Netzen, dafür dann aber wie Chris sagt mit any-any allow Regeln, wobei ich das auf dem WAN zumindest tunlichst NICHT machen würde. Da wird potentiell ja nur das offen sein, was deine ISPC(3?) Installation braucht, also DNS, MTA, Web etc.

Gruß Jens

[ChrisH]

Klar, aber wenn er jetzt nur für die paar benötigten Ports Firewallregeln anlegt und sonst nichts tut, kann er auch gleich die Fritzbox Port Forwarding machen lassen (statt 1:1 Exposed Host) - da sehe ich den Sicherheitsgewinn jetzt nicht wirklich

[JeGr]

Point taken

Allerdings gehts ja mitunter nicht nur um Eingangsfilterung, sondern auch um Ausgangsfilterung.

[ChrisH]

Klar. Aber bei nem Web- und DNS-Server?

Deswegen ja die Frage, was er denn erreichen möchte mit der OPNsense

[JeGr]

Aber klar. Gerade bei nem ISPC3 - also shared hosting - ist es nicht uninteressant abgehend zu filtern. Bspw. um Ports für diverse Botnetze und Co. gleichmal wegzublocken und nur das raus und reinzulassen, was per Service auch angeboten wird. So werden unsere Systeme (wenngleich ohne ISPC3) auch geschützt. Natürlich kann ein Kunde für seinen Server/Service/Projektnetz Ausnahmen anfordern, aber generell wird das einfach mal alles weggeblockt

[vikozo]

Ich möchte die FW als Scanner für Viren benützen und wenn jemand unbefugtes in mein Netz will.

ls VPN/IPSec Eingang für Laptop, Tabletes und Telefone.

HAProxy um mehrere VM / Kameras im LAN von aussen anzusprechen

Normal würde ich es mit Trial and Error versuche, da ich aber meine Mail Webserver möglichst kurz vom Netz trennen will, sollte ich möglichst genau wissen was zu tun ist und in welcher Reihenfolge.

[monstermania]

@vikozo
Sei mir nicht böse, aber Ich denke, dass einfachste für Dich dürfte sein sich einen Dienstleister zu suchen! Mit dem besprichst Du Deine Anforderungen und der liefert Dir anschließend eine 'schlüsselfertige' Konfiguration.
Einige Deiner Anforderungen sind schon echt nicht ohne (z.B. Reverse Proxy). Vor Allem, wenn man wie Du selbst schreibst keine große Ahnung von Firewalls hast und keine größeren Downtimes akzeptieren möchtest.

Die andere Option ist halt sich Stück für Stück selbst an die Arbeit zu machen. Dauert halt und ist (könnte) zumindest Anfangs ganz schön holprig (sein). Dafür ist man nachher dann richtig stolz auf die eigene Arbeit! 

[JeGr]

vikozo: Dein Netzaufbau ist mir zwar nicht ganz klar, aber nun gut. Deine Wünsche sind nachvollziehbar, allerdings frage ich mich, ob das dein "Heimnetz" ist oder ob das ein Firmennetz (oder eine Mixtur aus beidem) ist (ISPConfig).

Bei den VPN Lösungen etc. würde ich zwar hinterfragen, ob das IPSec sein muss (warum kompliziert wenns einfach geht) und die FW als "Virenscanner" kann ich dir theoretisch nur abraten und sagen "lass es". ClamAV ist zwar nett, aber doch nicht wirklich so wahnsinnig gut und wenn man nicht richtig scannt, kann mans auch gleich bleiben lassen. Ansonsten produziert das eine Aura von falscher Sicherheit und wenn doch was durchrutscht ist das Drama groß ("aber da wurde doch gescannt!")

Für das was du aber möchtest: Relabeling, neue VLANs (sehr stimmig), HAProxy (verständlich) etc. wäre vielleicht entweder etwas mehr Erfahrung nicht schlecht - oder wie Dirk schon sagt, du holst dir jemand mit ins Boot, der dich da sinnvoll berät, gerade wenn das nicht so ganz privat ist und du Probleme wegen Downtimes etc. hast.

Da gibt es hier sicher den ein oder anderen, der das machen kann. Ich möchte da nicht direkt auf mich zeigen, dafür sind sicher auch noch andere da

[vikozo]

Danke - nicht ganz was ich lesen wollte  aber ich werde es trotzdem weiterversuchen... 
hoffe es gibt noch ein paar neuere Howto die auch das "einfache" vermitteln