DMZ mit Fritzbox vor OPNSense

[Domi741]

Moin zusammen,
gezwungener Maßen muss ich vor meiner OPNSense (Version 18.1.9)  eine Fritzbox für die Einwahl betreiben. Das Konstrukt funktioniert auch reibungslos bisher.
Nun würde ich gerne das Netz zwischen der Fritzbox und der OPNSense als DMZ nutzen für eine Art Sessionborder Controller. Hier mal der Netzaufbau:
                                |                                 
                                |   DSL                             
                                |                                 
                                |                                 
                           +----------+                           
                           | Fritzbox |                           
                           +----------+                           
                                |.1                               
            +----+          |                                 
            | VM |---------| Transfernetz 192.168.254.0/24   
            +----+.251   |                                 
                                |.250                             
                         +--------------+                           
                         | OPNsense |                           
                         +--------------+                           
                               .254 |  | .254                         
                                       |  |                               
                                       |  |                               
VoiceLAN 10.30.88.0/24  |  | LAN 192.168.88.0/24           
                     VLAN 4000 |  | VLAN 1                       
                                       |  |                               
                                       |  |                               
                                       |  |                               

In der Fritzbox habe ich bei den Router hinterlegt, dass das LAN und das VoiceLAN hinter der OPNsense sind.

Nun zu meinem Problem:Im VoiceLAN befindet sich eine TK-Anlage und div. SIP Telefone. Diese Komponenten müssen von der VM aus der "DMZ" erreichbar sein. Teilweise direkt auf die TK-Anlage, manches geht in das ganze Netz (RTP Stream).Desweiteren soll die VM die OPNsense als DNS nutzen.
Die benötigten Ports sind in der Firewall alle freigegeben allerdings kriege ich keine Verbindung von der "DMZ" in das VoiceLAN geschweige denn auf die IP der OPNsense.

Im Anhang ein Bild mit den Firewall Einstellungen welche ich bei WAN eingerichtet habe.
Vielleicht kann mir hier ja jemand helfen was ich falsch mache =/

Liebe GrüßeDomi

[BeNe]

Ich betreibe, wie so viele auch, eine FritzBox vor der OPNSense.

Würde an der Stelle aber das Transfernetz, Transfernetz sein lassen und die DMZ mit der OPNSense aufbauen.
Als eigene Schnittstelle per VLAN oder Ethernet Port (wie auch immer). Ansonsten ist der Traffic der VM ja immer von WAN ankommend wie Internet Traffic zu sehen.

Exposed Host auf der Fritzbox zur OPNSense eintragen damit alle Ports ankommen. Dann kannst Du von der OPNSense aus schalten und walten. Das Routing der Netze macht die OPNSense damit sauber.

[Domi741]

Moin BeNe,
danke für die Antwort.
Ich habe das ganze mittlerweile umgebaut

Nun habe ich aber das Problem, dass ich wenn ich vom LAN auf die DMZ zugreifen will er mich auf die WAN Address natet.
Ich habe beim NAT aber lediglich das Portforwarding vom WAN zur VM eingerichtet. Ins Voice LAN komme ich Problemlos.
Ich hänge mal die Screenshots meiner Regeln an. Vielleicht kann mir ja jemand den passenden Tip geben wodran es scheitert   
Liebe GrüßeDomi

[Domi741]

Ok ich konnte soweit eingrenzen, dass es nicht an den NAT Regeln liegt, glaube ich.Die habe ich gerade mal deaktiviert und auch die pfstates resetet und trotzdem natet er mich auf QuellIP WANAdress.
Muss ja irgendwas mit dem Interface zu tun haben, oder? Habe die OPNsense auch schon mal neugestartet, leider ohne Erfolg.
/EDIT:Wenn ich Ping oder nen Traceroute mache geht er ins WAN auf den Router von der Telekom an welchem ich angemeldet bin.Ich häng mal den Screenshot vom Traceroute dran.
irgendwie ist das sehr kurios und macht so gar keinen Sinn für mich...

[Domi741]

Ok, das Nat Problem ist behoben.
Und es saß wie so häufig vor dem PC 
Hatte das DMZ Interface mit der IP Adresse 192.168.150.254/32 eingerichtet... das erklärt warum gar nichts aus dem Netz ging. Habe nun aus /32 ein /29 gemacht und tadaaaaa 

[beckie]

Hi,

ist etwas OffTopic, aber Dein Hinweis zum "Transfernetz" hat mir einige Fragen auf gestellt.

Würde an der Stelle aber das Transfernetz, Transfernetz sein lassen und die DMZ mit der OPNSense aufbauen.
Als eigene Schnittstelle per VLAN oder Ethernet Port (wie auch immer). Ansonsten ist der Traffic der VM ja immer von WAN ankommend wie Internet Traffic zu sehen.

Klar das Transfernetz wird vom OPNsense wie "Internet" behandelt, und OPNsense (wie dessen Geräte) teilen sich "gleichberechtigt" zum Transfernetz die echte Internetleitung. Aber was spricht denn dagegen (mir ist klar, dass das Transfernetz keinen Schutz durch OPNsense erfährt)?


Hier in dem Beispiel hätte er (sofern kein NAT am OPNsense aktiv) eine Route (u. entsprechende Firewallregeln) für die VM legen können?

[BeNe]

Hier in dem Beispiel hätte er (sofern kein NAT am OPNsense aktiv) eine Route (u. entsprechende Firewallregeln) für die VM legen können?

Klar, das hätte er machen können und hätte auch funktioniert.

Nur macht es für mich persönlich keinen Sinn, eine Resource VOR der OPNsense Firewall aufzubauen, so wie eine VM in dem Beispiel. Die Firewall bietet ja gerade für den Fall der DMZ (oder andere Netze) die perfekte Lösung. Von IDS/IPS über Reveres Proxy, Logdateien, granulares Regelwerk (von/zu IP, Port, Protokoll, Ziel usw.), Routing...

Auf der FritzBox muss in dem Fall das Portforwarding für die VM und dei OPNSense einstellen.
Ports welche auf die VM sollen sind für die OPNSense verloren.

Was die VM angeht, die muss ja auf einem Host laufen. Dieser Host hängt demnach ja ebenfalls mit dieser Schnittstelle VOR dem OPNSense, wozu ich auch nicht gerade raten würde.

Möglich ist vieles mit dem Transfernetz und Routing. Wenn Du allerdings schon den Schritt gemacht hast und eine Firewall betreibst, dann würde ich davon doch alles auskosten und nutzen um mein Netzwerk damit so gut zu sichern als möglich. Die Resourcen dazu müssen damit natürlich hinter die Firewall sein.
Entscheiden muss das jeder für sich selber, der Aufwand es auf die OPNSense zu packen ist nicht viel mehr Arbeit. Es kann damit jedes Netz und dessen Zugriffe zentral an der OPNSense gesteuert werden und erhöht die  Sicherheit.

[Domi741]

Also von mir aus darf hier geschlossen werden.Die Sache mit der DMZ hinter der OPNsense ist kein großer Mehraufwand gewesen, da wäre ein NAT vom Transfernetz sicher aufwändiger gewesen bis alles läuft :)So habe ich nun au noch besseres Firewall Logging wenn was nicht geht

[MathiasJ]

Ich möchte mich hier auch mal einklinken:
folgendes Problem:
Gastnetz per WLAN,
WLAN
DMZ.

Es ist doch möglich, mein Netzwerk (auch WLAN) komplett per DMZ abzusichern, das Gast-WLAN bleibt aber auf der Fritzbox aktiviert.