LAN antwortet nicht



  • Hallo,

    ich betreibe einen Root-Server bei Hetzner, auf dem ESXI mit insg. 7 virtuellen maschienen läuft.
    Eine von 7 ist die router-vm mit pfSense Version 2.3.1-RELEASE (amd64).

    Ich habe eine zusätzliche IP adresse, und ein ipv4 subnetz. WAN & das Subnetz sind konfiguriert und funktionieren einwandfrei via Statischen routen (brauche kein DHCP, da jeder Server seine fest zugewiesene IP haben soll).

    Einzig und allein, das LAN möchte nicht so, wie ich das will.
    Ich habe Folgende Settings im Interface LAN:

    Enable: checked
    IPv4 Configuration: Static IPv4
    IPv6 ist auf none
    MAC controls, MTU, MSS, Soeed and Duplex auf default / leer
    IPv4 Address ist 10.0.10.1 / 24
    Gateway steht auf none
    Block private networks and loopback adresses so wie Block bogon networks sind unchecked

    Im Windows Server habe ich folgende einstellungen getätigt:
    IPv4 Properties:
    IP address: 10.0.10.5
    Subnet mask: 255.255.255.0
    default gateway ist 10.0.10.1 (auch mit 0 am ende getestet, war mir nicht sicher)
    DNS server steht auf der Gateway IP, 10.0.10.1 (auch mit 0 getestet)

    Die Firewall rules habe ich gecheckt, es wird lt. Log nichts geblockt, keine einträge die auf irgendwas hinweisen.

    Ein ping vom Server zum Gateway ist 100% loss, andersrum ebenfalls.
    Webinterface kann auch nicht vom server aus aufgerufen werden.

    Gesendete Pakete 1793, empfangen 0, spricht ja schon mal dafür, das etwas nicht stimmt.
    Habe sonst nichts eingestellt, alles standard im pfSense, nur ein gateway angelegt für WAN, Wan konfiguriert, Subnetz konfiguriert, und dann LAN, doch LAN möchte nicht.

    Hate jemand eine idee? Gibt es noch irgendwo detail-logs was an anfragen auf das Interface rein kommt, das man evl. irgend wo sehen kann, ob die Anfragen vom Windows-Server auch im pfSense ankommen?

    Vielen Dank für die Hilfe.
    LG
    Robin


  • LAYER 8 Moderator

    Hi!

    Was ist das LAN? Wie ist es definiert und konfiguriert? Wie ist es innerhalb des ESXi gestaltet und konfiguriert? Wenn der Server als VM nicht mal Kontakt zur VM von pfSense hat, sieht das für mich eher nach ESX Konfig Fehler aus als nach allem anderen. Und da du außer IPs/pfSense nichts über dein Setup des Hosts schreibst, kann man dazu leider gar nichts sagen.

    Gruß



  • Hallo,

    Ich habe das Problem nun lösen können. Habe das Interface noch mal gelöscht und wieder angelegt. Und siehe da, nun funktioniert es, naja wer weiß warum..

    Nun habe ich noch ein ganz anderes Problem.
    Das ganze System ist jetzt noch offen wie ein scheunentor. pfSense von außen erreichbar über die Public Router-IP. Ich habe mir ein openVPN Server erstellt, entsprechend die ganzen Zertifikate etc. Die verbindung zum VPN Server funktioniert und ich komme über die adresse 10.1.10.1 auf das Webinterface von pfSense - alles okay!

    Nun möchte ich gerne, das ich auf den esxi auch nur via VPN drauf komme, und diese Public-IP dann auch sperren für außen zugriff.
    Außerdem würde ich gerne auf die Server im LAN via VPN zugreifen können.

    Ich denke mir, das man da bestimmt ein Routing einstellen muss in der Firewall?
    Oder bin ich da auf dem Holzweg?

    Sprich:
    open VPN Client 10.1.10.2 -> openVPN Server 10.1.10.1 -> Server XY (vm im ESXI) bzw via vSphere Client auf die ESXI verwaltung zugreifen

    Jemand ein idee?
    Vielen dank
    Robin


  • LAYER 8 Moderator

    Das ganze System ist jetzt noch offen wie ein scheunentor. pfSense von außen erreichbar über die Public Router-IP.

    Wenn dem so ist, hast du das so konfiguration. pfSense default auf dem WAN ist deny-all!

    Nun möchte ich gerne, das ich auf den esxi auch nur via VPN drauf komme, und diese Public-IP dann auch sperren für außen zugriff.

    Wenn du damit die 1. IP meinst, die Hetzner default auf den ESXi vKernel (vmk0) konfiguriert -> das geht nicht. Die bekommst du nicht "einfach so" hinter die Firewall. Dafür musstest du ja bereits eine zweite IP und ein Subnetz ordern, damit du überhaupt eine Router-VM bauen konntest. Da die IP also direkt auf die Netzwerkkarte gemappt wird und nicht auf der pfSense ankommt, kannst du die auch nicht schützen. Einfachste Möglichkeit: Lege einen zweiten VMKernel (vmk1) an und konfiguriere den auf einem internen Netzwerk hinter der pfSense. Prüfe dann ob du via OpenVPN auf diese IP drauf kommst und schalte disable dann den vmk0 einfach. (nicht löschen, nur disablen). Dann kannst du im Notfall mittels Console den Port wieder aktivieren und über die IP mit dem Client den Server wieder aufwecken.

    Außerdem würde ich gerne auf die Server im LAN via VPN zugreifen können.

    Dann musst du dein VPN (OpenVPN) entsprechend konfigurieren und die Firewall Regeln dazu erstellen.

    Ich denke mir, das man da bestimmt ein Routing einstellen muss in der Firewall?

    Nein im VPN Server bzw. in den Routen, die zum Client gepusht werden.

    Gruß



  • Vielen Dank!

    pfSense ist nun nur noch via LAN (VPN) erreichbar, ESXI ebenfalls. Funktioniert nun genau so, wie ich es wollte. Top!
    Vielen dank für die Hilfe!

    Eine kurze verständnisfrage hätte ich noch zwecks Sicherheit

    Kurze erklärung zu meinem vorhaben:
    Eine Webserver VM mit Debian, erreichbar von Außen auf port 80 und 443. - Alle anderen Ports sind via WAN/SUBNET gesperrt. Auch hier Administation via SSH nur über VPN im LAN - Gute idee?

    Eine eigene VM für Datenbank-Gedönse, womit ich wirklich sehr sehr viel arbeite, nur erreichbar über LAN, u.a. vom Webserver. Hat erst gar keine PublicIP bzw Subnet IP, nur mit dem LAN netz verbunden - Gute idee?

    usw….

    Ich hoffe an den beiden beispielen kann man verstehen worauf ich hinaus möchte.

    Es ist halt so, das es meiner meinung nach genug Server(-Administratoren) im WWW gibt, die sich ein Dreck um die Sicherheit kümmern, geschweige denn, sich überhaupt Gedanken drüber machen. Server offen wie eine alte Scheune..
    Das möchte ich gerne so gut es nur geht vermeiden. Ich mein klar, ich betreibe einige Webseiten und muss daher schon mal 2 Ports öffnen - jeder offene Port ist ja quasi ein sicherheitsrisiko? oder sehe ich das falsch?

    Würde gerne mal hören was ihr dazu sagt, bzw ob ihr mir noch ein paar weitere Tips geben könnt. Villeicht gibts ja noch den einen oder anderen Kniff.

    Liebe Grüße!
    DanceNgine


  • LAYER 8 Moderator

    Eine Webserver VM mit Debian, erreichbar von Außen auf port 80 und 443. - Alle anderen Ports sind via WAN/SUBNET gesperrt. Auch hier Administation via SSH nur über VPN im LAN - Gute idee?

    Prinzipiell schon. Jeder Port der von extern nicht sichtbar ist, ist ein gespartes Sicherheitsrisiko + du musst dich nicht um Bots o.ä. kümmern die periodisch versuchen, Server aufzuspüren oder tumbe SkriptKiddies die alte Security Lücken ausprobieren.

    Eine eigene VM für Datenbank-Gedönse, womit ich wirklich sehr sehr viel arbeite, nur erreichbar über LAN, u.a. vom Webserver. Hat erst gar keine PublicIP bzw Subnet IP, nur mit dem LAN netz verbunden - Gute idee?

    Private IP, nur abgehendes NAT für Updates via HTTP/S etc. und gut ist. Was von WAN nicht erreichbar ist, ist gut. Wenn mans super-extra-secure bauen will, könnte man intern noch private VLANs einführen und nur im VLAN DMZ bspw. das Interface einhängen, das dann per 1:1 NAT o.ä. via extern erreichbar ist und der VM dann noch eine zweite NIC im zweiten VLAN für "intern only" Geräte geben. So oder so: kommt jemand über irgendwelche Wege auf einen der Public available Server, kommt er - wenn von da aus bspw. die DB benötigt wird - auch weiter auf die DB. Zumindest mit dem Zugang für die Applikation die auf dem Webserver konfiguriert ist.

    Es ist halt so, das es meiner meinung nach genug Server(-Administratoren) im WWW gibt, die sich ein Dreck um die Sicherheit kümmern, geschweige denn, sich überhaupt Gedanken drüber machen. Server offen wie eine alte Scheune..

    Das ist leider wahr bzw. sind es oft keine Admins und Co. sondern Chefs/IT Entscheider, die nur auf den Preis achten, billig billig möchten und dann denken, dass es mit "1x klicken, Server erstellt, 1x klicken Control Panel installieren" getan ist. Dass beide Komponenten (Server wie CP) aktualisiert werden und verstanden werden müssen, ist den wenigsten klar - bis es knallt. Meist hört man dann oder danach noch "machs wieder so wies war, hat die letzten 5 Jahre ja auch gehalten, wird dann auch wieder ein paar Jahre halten". So ists aber eben nicht, das Internet wird immer mehr zur Gefahrenzone und das hört eben nicht auf, sondern nimmt eher zu!

    Das möchte ich gerne so gut es nur geht vermeiden. Ich mein klar, ich betreibe einige Webseiten und muss daher schon mal 2 Ports öffnen - jeder offene Port ist ja quasi ein sicherheitsrisiko? oder sehe ich das falsch?

    Siehst du pontentiell richtig, aber nur 2 Ports für 80/443 zu öffnen ist schon ein sehr guter Ansatz. Ein zweiter ist es, eine vorgeschaltete Firewall zu verwenden anstatt das auf der gleichen Maschine abzuwickeln. Insofern bist du da wohl schon sicherer als roundabout 80% der Default-Server-Kunden bei Hetzner und Co. ;)

    Würde gerne mal hören was ihr dazu sagt, bzw ob ihr mir noch ein paar weitere Tips geben könnt. Villeicht gibts ja noch den einen oder anderen Kniff.

    Ich denke du hast den Großteil da schon verstanden:

    • Management via VPN um unnötigen Dienste zu exponieren
    • Nur Ports öffnen die unbedingt nötig sind
    • Firewall vorschalten/vorfiltern
    • Im Bereich hinter der Firewall ggf. notwendige (V)LAN(s) definieren und VM Interfaces in die richtigen Zonen packen
    • Hypervisor absichern (WAN/externer Zugriff abschalten, Zugriff via VPN bauen)

    Damit ist "von außen sichtbar" eigentlich nur noch deine 2. IP auf der pfSense bzw. die IPs des Zusatznetzes. Die 1. IP des Hypervisors ist abgeschaltet und auf allen anderen IPs ist nur freigegeben (Web Ports) was sein muss.
    Wichtig: Wenn du tatsächlich mal von außen SSH (bspw. für SFTP o.ä.) oder andere Dienste freigeben musst, weil das bspw. für eine Anbindung o.ä. notwendig ist, dann versuche solche Dinge auf bestimmte IPs oder Netze zu beschränken (Source != any), dann holst du dir an der Stelle auch keine sehr viel größere Angriffsfläche mit ins Boot.

    Grüße Jens


Log in to reply