Wohin mit der Firewall ?

[JeGr]

Genau. Dazu, dass das Beurteilungssache ist, muss man nichts mehr hinzufügen. Dass es Ausbrüche aus dem HV schon gab, auch das (wobei es hier um Workstation ging, nicht um Cluster/vcenter - ergo ein wenig hinkender Vergleich). Aber es wird gerade was Servervirtualisierung angeht, kaum noch jemand heute Lust haben, für viele Anwendungsszenarien unnötig Geld liegen zu lassen - und für 3-4 Server Hardware zu kaufen ist genau das. Da genügt meist eben eine/zwei HW Kisten und den Rest virtuell da rauf. Aber da gehts eben mit der Abwägung los. Die stehen ggf. intern oder DMZ, also Kritisch oder nicht kritisch. Aber den schützenden Faktor da auch noch raufzupacken - naja da ist meine Schmerzgrenze ;) Bei anderen liegt die höher oder niedriger. Manches Mal hat man aber gar keine Wahl bspw. Hosting irgendwo, wo es keine vorgeschaltete Firewall o.ä. gibt. Da ist man dann froh, wenn man wenigstens mit dem Clou der vorgeschalteten VM noch ein wenig Sicherheit und Filterung dazu bekommt.

Ansonsten wirds eben immer mehr als ein Lager geben ;)

[Rocky]

Ich würde das ganze einfach mal auf virtueller Basis machen.

- In VirtualBox ein Host-Only Netzwerk einrichten mit IP 192.168.1.2 (das ist die IP deines Rechners im HostOnly Netzwerk)

- VirtualBox installieren, eine OPNsense Instanz aufbauen mit 2 Netzwerkinterfaces
- Netzwerk 1: Bridged auf deine LAN/WLAN Karte
- Netzwerk 2: HostOnly Netzwerk von oben
- OPNsense konfigurierst du WAN-seitig mit Netzwerk 1 und DHCP, LAN-seitig mit fester IP 192.168.1.1

Effekt:
Du hast eine OPNsense, die über die Netzwerkkarte deines Rechners mit Internet gespeist ist. Und du hast ein virtuelles Netzwerk 192.168.1.0/24. Über deinen Rechner erreichst du die Sense mit 192.168.1.1 und dein eigener Rechner hat die 192.168.1.2.

Jetzt kannst du nach Belieben weitere virtuelle Rechner starten in VirtualBox. Gebe ihnen als Netzwerkinterface ienfach das HostOnly Netzwerk und sie werden somit LAN Rechner für deine OPNsense. So kannst du auch nach Belieben testen

Ich habe meine OPNSense jetzt nach dieser Idee in der VM umkonfiguriert. Geht soweit. Allerdings lässt er kein FTP mehr zu, obwohl ich den FTP-Proxy konfiguriert und an der FW erst mal die LAN to ANY Regel gelassen habe.
Wo kann ich denn einsehen, wo FTP geblockt wird ? Ich finde in keinem Protokoll einen Eintrag :-(

Was ich auch festgestellt habe: In der FW habe ich meinen internen DNS-Server eingetragen, ich sehe am DNS-Server aber nicht, dass die FW Abfragen macht... *grübel

[Rocky]

Nachtrag: Es liegt wohl an der Namensauflösung.
Der DNS-Resolver läuft auf der FW, aber der Rechner hinter der FW bekommt keine Namen aufgelöst.
Was habe ich da falsch gemacht ?

[JeGr]

Schwer zu sagen ohne dass du was darüber postest, was du wo eingestellt hast. Sicher dass du den DNS Resolver nutzt, nicht den Forwarder? Oder versehentlich beide an hast?
Dann hast du einen Beitrag vorher noch was geschrieben, dass du deinen internen DNS eingetragen hast. Nutzt der Resolver/Forwarder denn externe oder den internen DNS? Erreicht er den und funktioniert?

Ich würde mich erst einmal von vorne nach hinten arbeiten. Wenn du sagst DNS geht nicht: prüfe auf der Sense selbst, ob du DNS Abfragen machen kannst. Dann prüfe den Forwarder oder Resolver - je nachdem - und dann prüfe was am Client als DNS gepusht wird (via DHCP) und ob dieser überhaupt funktioniert (nslookup/host/dig).

Grüße

[Rocky]

Danke für die schnelle Antwort.
Das Problem sitzt wieder mal vor dem Rechner.
Ich habe in der Virtualbox den DHCP-Server aktiviert und da kriegt der Linux-Rechner in der VM wohl keinen DNS-Server.
Den habe ich jetzt ausgeschaltet und den DHCP-Server von der Sense eingerichtet.
Das tut aber jetzt auch noch nicht. Der Client hat immer noch die alte IP vom VBox-DHCP *verzweifel

[JeGr]

Dann muss der Client die erstmal vergessen, sonst wird er bis Ablauf des Leases noch die der VBox haben, oder? DHCP Release/Renew gemacht? :)

[Rocky]

DHCP klappt jetzt von der FW. Aber irgendwas mach ich mit dem DNS noch falsch. Da kriegt der Vlient nichts von der FE geliefert