Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Allgemeine Netzwerk Struktur

    Scheduled Pinned Locked Moved
    Deutsch
    3
    5
    486
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      CerebrosuS
      last edited by

      Hallo die Damen und Herren,

      ich hätte eine Frage zu meinen Designvorstellungen. Bitte davon absehen mir zu erklären, dass ich eventuell zu paranoid bin, denn da ist Hopfen und Malz bereits verloren. :-)

      Folgende Struktur hätte ich gerne:

      ISP - Fritzbox (WLAN; LAN; Kategorie 1) - pfsense (LAN; Kategorie 2)

      Zur Erläuterung:

      • Die Fritzbox brauche ich aufgrund des Modems.
      • Die Fritzbox hat ein LAN und WLAN für Geräte der Kategorie 1.
      • Kategorie 1 sind für mich Geräte denen ich nicht vollständig traue, weil sie auch öfters mal in fremden Netzen sind sowie Geräte die für mich undurchsichtig sind oder nur von geringem persönlichem Schutzinteresse (Laptop, Handy, PS4, ...)
      • Kategorie 2 steht für Geräte die mir persönlich besonders wichtig sind, weil entweder die Daten für mich persönlich sensibel, oder weil die Geräte nicht ausfallen dürfen (Workstation, NAS, ...)
      • Da ich ein WLAN brauche (Handy, Laptop, ...) gleichzeitig jedoch dem WLAN grundsätzlich nicht traue ist es in Kategorie 1 gut untergebracht.
      • Die pfsense soll dann einerseits mit einer Firewall beide Netzte trennen, andererseits das Netz der Kategorie 2 mit einem IDS überwachen.

      Jetzt besteht folgendes Problem: Manche Gerät der Kategorie 1 benötigen Zugriff auf Geräte der Kategorie 2. (Laptop -> Sync zur NAS)

      Ich möchte ungern einfach einen Port weiterleiten. Da ich dem WLAN nicht traue, könnten bei einem erfolgreichen Angriff ja auch andere Geräte drauf zugreifen. Meine Idee wäre, den entsprechenden Geräten (Handy und Laptop) über VPN einen Zugang einrichten, so dass diese Geräte vom WLAN hinter die VPN kommen. So könnte 1. kein Datenverkehr zu sensiblen Daten mitgelesen werden, wenn jemand fremdes im WLAN ist und man muss sich vernünftig authentifizieren.

      Ich würde mich freuen, wenn ihr mir sagen könntet, ob das so sinnvoll ist. Gibt es bessere oder sicherere Möglichkeiten? (Einfacher muss es nicht werden.) Dass es vielleicht etwas overloaded erscheint mein privates WLAN als unsicher anzusehen mag sein, entspricht jedoch meinem persönlichen Sicherheitsempfinden. :-)

      Viele Grüße und besten Dank im Voraus!
      CerebrosuS

      1 Reply Last reply Reply Quote 0
      • I
        inciter
        last edited by inciter

        Hm, das ist spannend. Dann bin ich auch paranoid. WLAN hat so seine Tücken: Beacon Disconnects, WiFi-Jacks durch Fake-APs... Und nicht zuletzt kann man selbst ja auch mal einen Fehler machen.

        Allerdings würde ich deine Planung nicht unterstützen. Nimm es mir bitte nicht übel. Wenn du Netze nach Anwendung/Nutzung oder Gefahrenstufe trennen willst, ist das grundsätzlich eine gute Idee - ich meine, warum sonst richtet man sich eine Firewall ein.

        Schaffe dir ein einfaches Modem an, oder stelle die FritzBox auf Bridged-Modus. Damit wird die Fritz zum Modem, allerdings funktioniert Telefonie noch, WLAN jedoch nicht mehr. Dann enpfiehlt sich für die Firewall ein Gerät mit mindestens 3 LAN-Ports, z.B. eine APU von PC Engines (verhältnismäßig günstig zu haben). Dann kannst du ein zweites Subnetz mit höherer Risikostufe abtrennen - Stichwort DMZ. In der Firewall kannst du dann über Regeln genau bestimmen, wer wohin darf und du bist nicht auf Port-Forwardings angewiesen. Das zweite Subnet erweiterst du evtl. mit einem Switch und hängst dort einen separaten Access Point ran. Mit weiteren LAN-Ports kannst du die Gesamtstruktur natürlich weiter unterteilen. Allerdings kann man es auch übertreiben. Am Ende ist es auch sinnvoll das Netzwerk so übersichtlich wie möglich und so komplex wie nötig zu gestalten. Höhere Komplexität führt schneller zu Fehlern und damit zu Sicherheitsrisiken - oder zu funktionellen Problemen, wenn irgendwann Irgendetwas einfach nicht funktionieren will und man lange nach dem Fehler suchen muss.

        Am Ende bietet obige Konfiguration auch Vorteile im Bezug auf IPS/IDS. Wenn die PFSense erst das zweite NAT und damit Quellen aus dem Internet bereits einmal genattet wurden, sind die originalen Quell-IPs bei Inbound-Verbindungen nicht mehr vorhanden, sondern wurden durch die IP der FritzBox ersetzt, auch bestimmte Angriffsmuster werden gravierend verfälscht. Außerdem wird verschleiert, ob die FritzBox selbst Verbindungen aufbaut oder die originale Quelle aus dem Internet stammt.

        Vielleicht konnte ich deinen Ideen-Pool etwas erweitern.

        1 Reply Last reply Reply Quote 0
        • C
          CerebrosuS
          last edited by

          Lieben dank für deine Antwort!

          Also die Sache mit dem IDS und NAT müsste ich mir anschauen in der Konfiguration. Soweit hatte ich noch nicht gedacht. Vielen Dank :-)

          Die pfSense steht hier schon fertig auf einem APU. Das Gerät ist ziemlich genial (nur PoE fehlt). Das Equipment ist insgesamt schon vorhanden, ich überlege eben nur wie ich das sinnvoll umsetze.

          Ich hatte an der APU auch WLAN zu Beginn (Mini PCIe), das funktionierte jedoch suboptimal, weswegen ich ein separates Gerät wollte. In der Tat bestünde die Möglichkeit das WLAN als externes Gerät hinter die pfsense zu schalten. Das hätte leider den Nachteil noch ein weiteres Gerät hier zu haben. (Wäre dann das vierte.) Einfacher macht es das Design dann auch nicht.

          Hätte denn jemand einen Tipp für ein PoE AP mit einem manuellen Knopf für WLAN an/aus?

          Das Telefon nutze ich an der FritzBox ohnehin nicht.

          Grüße

          1 Reply Last reply Reply Quote 0
          • I
            inciter
            last edited by

            Dann würde ich, sofern du (V)DSL nutzt auf ein einfaches V/DSL-Modem umsteigen - spart Strom. Anschaffungskosten liegen leider bei ca. 50 bis 70 Euro. Abzocke, wenn du mich fragst. Bei einer Cable-Fritz bleibt dir nur der Bridge-Modus. Vom Provider bekommst du meist eh nur eine andere FritzBox. Ansonsten betone ich nochmal, dass du nach meinem Vorschlag deutlich mehr Kontrolle über dein Netzwerk hättest.

            Als Access Point werden dir die meisten einen Ubiquity empfehlen. Die beherschen eigentlich fast Alle PoE und lassen sich auch per Knopfdruck ausschalten. Auch VLAN ist in der Regel schon mit drin, falls das mal interessant wird: UAP-AC-LITE
            oder eine Nummer größer: UAP-AC-PRO

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Wenn du eine Idee für ein semi-paranoides Setup haben möchtest, kannst du dir ja mein Setup ansehen. Ich würde allerdings auch hinter die Fritte nichts stellen, empfinde ich als unnötig. Entweder einfach exposed Host und durchreichen an die Sense oder ein Modem nutzen - was einfacher ist. Ich sehe Doppel-NAT nicht als Drama an wie manch andere hier aber ich sehe ein Providergerät eben als "untrusted" an und das Netz dahinter ist für mich ebenso "unsicher" weil ich das Gerät ggf. nicht unter voller Kontrolle habe. Gab es schon oft genug, dass der ISP dann neue Firmware einspielt und danach meine Einstellungen resettet hat. Daher untrusted.

              Ab der pfSense kontrolliere ich alles. WiFi empfinde ich nicht als untrusted, sondern als moderat. Nur weil ein Gerät in unterschiedlichen Netzen unterwegs ist, ist es nicht per se gefährlich. Das Problem ist da eher ob man alles ins gleiche Netz stopft, vom Smartphone über Laptop zu Firmengeräten die gut abgesichert sind. Daher habe ich das anders gebaut und nutze mit den UAP-AC-PROs von Ubiquiti den WiFi Enterprise Modus, bei dem sich eben nicht jeder den gleichen PSK teilt und jeder Dummie der mal bei mir war auf ewig im Netz ist, sondern es gibt User/PWs für die Geräte und abhängig davon werden die in unterschiedliche VLANs/Netze verteilt und vertraut. Mein Firmennotebook und mein Mgmt Lappy tauchen dann im LAN auf, Smartphones im Gästenetz das nichts darf außer Internet, Medienplayer dann im Media Netz damit sie ggf. Zugriff haben auf DLNA Geräte etc. etc.
              Damit hast du wesentlich mehr und feingranulareren Zugriff auf die Geräteverteilung und Sicherheit als einfach nur tumb "WLAN an". ;)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.