DMZ innerhalb eines Netzwerkes
-
Hallo allerseits,
zunächst muss ich gestehen, dass sich mein Wissen über pfsense auf die einfache Funkion als Firewall/Router beschränken, also vielleicht bin ich etwas naiv bei meinem Vorhaben ;).Nun zu meinem Plan und der Frage, ob ich das mit einem/zwei pfsense realisieren kann:
In einem bestehenden Netzwerk läuft ein Server, welcher aus räumlichen Gegebenheiten nicht direkt an den Router angeschlossen werden kann (Fritzbox 6360), sondern dazwischen noch drei Switches (nicht managebar) liegen.
Plan ist es diesen Server nach außen hin sichtbar zu machen, also entweder komplett exposed oder zumindest ein paar ports zu öffnen, dass dieser über das WAN erreichbar ist. Ob dieser Server weiterhin aus dem internen Netz erreichbar ist ist eigentlich egal, aber das ist denke ich das geringste Problem.
Meine Idee war es direkt hinter die Fritzbox einen pfsense und direkt vor den Server einen zweiten pfsense zu packen und hier ein VLAN einzurichten, welches durch das normale Netz getunnelt ist. Oberste Prio hat natürlich hier die Sicherheit.
Ich hoffe ich habe mein Vorhaben einigermaßen erklären können.
Danke für Ideen und Tips. -
zunächst muss ich gestehen, dass sich mein Wissen über pfsense auf die einfache Funkion als Firewall/Router beschränken, also vielleicht bin ich etwas naiv bei meinem Vorhaben ;)
Da ist ja nichts Schlimmes dabei :)
In einem bestehenden Netzwerk läuft ein Server, welcher aus räumlichen Gegebenheiten nicht direkt an den Router angeschlossen werden kann (Fritzbox 6360), sondern dazwischen noch drei Switches (nicht managebar) liegen.
Frage: Warum 3 und geht das nicht mit weniger? 3 Switches (in Kaskade?) ist schon eine Hausnummer…
Plan ist es diesen Server nach außen hin sichtbar zu machen,
Mit/Für welchen Einsatzzweck?
also entweder komplett exposed
wenn nicht notwendig definitiv nicht empfohlen!
oder zumindest ein paar ports zu öffnen, dass dieser über das WAN erreichbar ist.
Nochmals wie oben: welche Ports, für welchen Zweck und warum?
Ob dieser Server weiterhin aus dem internen Netz erreichbar ist ist eigentlich egal, aber das ist denke ich das geringste Problem.
Ist es das? Wie bist du denn extern angebunden (also WAN)? Wenn die Freigabe ans WAN nur mit Port Weiterleitungen funktioniert, ist es nicht unrelevant, ob der Server intern erreichbar ist (denn wie soll er sonst ans WAN freigegeben werden?)
Meine Idee war es direkt hinter die Fritzbox einen pfsense und direkt vor den Server einen zweiten pfsense zu packen und hier ein VLAN einzurichten, welches durch das normale Netz getunnelt ist. Oberste Prio hat natürlich hier die Sicherheit.
Dann beantworte doch vielleicht dazu 2 Dinge:
-
Warum ist Sicherheit wichtig? Welche Daten laufen hier, dass Sicherheit so relevant ist? Sollte dem so sein, dann sind deine anderen Gedanken zum Thema aber schon ziemlich weg vom Thema, denn ein VLAN schützt den Traffic zwischen den beiden Ports überhaupt nicht. Er wird lediglich über ein VLAN Tag gekapselt und ist so ohne weiteres für die anderen Teilnehmer nicht sichtbar. Da die switche aber unmanaged sind, ist die Frage ob die das VLAN Tag überhaupt blind weitergeben (gibt billig Switche die da einfach das Tag wegstrippen) und zum anderen kann dann jeder Rechner, der theoretisch VLAN fähig ist, sich selbst auch in das VLAN packen (manuell) und den Traffic zuhören. Der ist da deshalb nicht verschlüsselt.
-
Bezüglich VLANs: Wenn du mit VLANs hantierst, warum dann nicht einige / alle Switche ersetzen und die Verkabelung verbessern?
Insofern passen für mich gerade (vielleicht aus Unwissen) die Anforderungen und der Plan das umzusetzen nicht zusammen.
Viele Grüße
Jens -
-
Moin,
wenn ich Dein Problem richtig verstehe sollte es doch reichen bei der Fritzbox LAN4 als Gastnetz zu konfigurieren und das ganze über 3 manageded Switche im separatem VLan Richtung Server zu leiten. Alternativ hängst Du eine pfSense hinter die Fritte und Rest wie oben womit wir hier wieder on Topic wären :-) .
Ich würde die Variante mit pfSense bevorzugen weil dort die Einstellungen sinnvoll und feinfühlig gesetzt werden können.
-teddy
-
Als Verwendungszweck ist es ein "Cloudserver", es wird WebDAV zur Verfügung gestellt und die Idee dahinter ist, dass sich Mobiltelefone und Notebooks von außerhalb mit Kalendern und Kontakten synchronisieren können und es werden Daten ala Dropbox synchronisiert. Ports sind 80 und 443, überlege da aber auf 80 zu verzichten und rein 443 nutzen zu wollen.
Leider lassen sich die Switche nicht umgehen, da es sich um Etagenswitche handelt, welche jeweils nur über eine Leitung miteinander verbunden sind…
Aus dem internen Netz muss der Server insofern nicht erreichbar sein, dass man direkt auf ihn zugreift, das meinte ich, sprich er muss nicht weiterhin über seine private IP erreichbar sein.
Die Switche zu tauschen ist vielleicht eine Option, müsste ich klären, an der Verkabelung kann ich leider nichts mehr ändern, die wurde seinerzeit so verlegt, dass man da leider nicht mehr dran kommt.
Zum Thema Sicherheit: Es geht mir einfach darum, dass ich nicht wild das private Netz nach außen öffne, es sollte sich nicht jeder Hobbyinformatiker Zutritt verschaffen können. -
Moin,
um den Austausch der Switche kommst Du m.E. mit Deiner Konfiguration nicht herum.
Andere Option, keine Ahnung ob praktikabel: VPN damit greifen die Clients von außen zu, intern einfach übers LAN?-teddy
-
VPN ist keine Option für mich, da der Zugriff auch über ein Webinterface möglich sein soll…
-
VPN ist keine Option für mich, da der Zugriff auch über ein Webinterface möglich sein soll…
Was hat das eine mit dem anderen zu tun? VPN baut ja nur den Tunnel zum Server auf, damit die Kommunikation ordentlich verschlüsselt ist. Was dann für Dienste zur Verfügung stehen ist ja ein anderes Problem.
Aus dem internen Netz muss der Server insofern nicht erreichbar sein, dass man direkt auf ihn zugreift, das meinte ich, sprich er muss nicht weiterhin über seine private IP erreichbar sein.
Er muss natürlich über irgend eine IP erreichbar sein. Ob das nun eine IP aus dem gleichen Netzbereich ist wie das interne LAN oder eine andere, aber da du nichts über irgendwelche Public IPs gesagt hast (und bei ner Fritzbox 6360 gehe ich von Kabel Internet aus ohne eigenes IP Netz). Es macht aber eben keinen Sinn eine andere IP oder ein VLAN draufzukleben, wenn deine Netzwerk Infrastruktur das alles nicht unterstützt oder unterwandert. Wenn du hier Sicherheit möchtest, musst du das auch auf allen Ebenen durchziehen, sonst kann eben genau jener Hobbyinformatiker mit ein wenig tcpdump etc. einfach mal mitloggen, was du da machst. :)
Gruß Jens
-
Wähle Dich einfach über IPSec VPN ein und synchronisiere dann die Geräte untereinander, fertig.
Sicher, es muss nichts geändert werden, keine neuen Switche und alles ist tutti.Sollte das nun partout nicht funktionieren ist der eigentliche Standort des Servers eigentlich auch
völlig wummpe, denn den kann man auch an die AVM FB patchen und dann dort den Gastzugang
am LAN Port 4 aktivieren und danach kann man dann auch ein paar benötigte Ports für den Gastzugang
öffnen und dann ist das auch kein Sicherheitsrisiko für das restliche LAN mehr.Sicherlich kann man den Server auch nur an die AVM FB patchen und dahinter dann eine pfSense
aufsetzen und dann einfach vorne am WAN Interface die benötigten Ports öffnen, so kann man
aus dem LAN auf den Server zugreifen und aus dem Internet, aber nicht aus dem Internet auf das LAN. -
Hi,
was sind das für Switche? Routen die, haben die VLAN? Ich gehe mal davon aus, dass sie NICHT routen und auch keine Spezialitäten auf den Switches passieren, dann sind sie netzwerktechnisch neutral, d.h. ich kann von der pfSense den Server direkt pingen. Dass der Server mehrere Stockwerke weg steht ist ja netzwerktechnisch (fast) irrelevant.
Um jetzt Dienste per HTTPS bereit zu stellen, habe ich zwei Möglichkeiten:
-
Port forward von den externen IP der pfsense Port 443 auf Port 443 des Servers, einfach funktioniert
-
Reverse Proxy auf der pfSense, z.B. HAProxy oder Squid und eine interne Weiterleitung auf den HTTP oder HTTPS Server
Und damit sollte die Sache erledigt sein.
Oder habe ich eine Komplexität übersehen?
Gruß,
DK
-
-
was sind das für Switche? Routen die, haben die VLAN?
das steht doch oben, dass sie nicht gemanagt sind.
Oder habe ich eine Komplexität übersehen?
Scheinbar.
Was hier vorgeschlagen wird, ist ein "exposed host". Das ist so ziemlich das Gegenteil einer DMZ, wenngleich Linksys uns das immer als DMZ verkaufen wollte.
Ist es aber nicht.Also ich würde keine Ports eines Hosts innerhalb meines LANs für die Außenwelt öffnen, nie im Leben!
Mit der Switch-Kaskade hat der/die/das Polygon aber ein Problem, denn damit funktioniert das einfach nicht.- entweder Switch gegen gemanagte Geräte tauschen und VLANs einrichten, oder
- Server umstellen.
Alternativ kannst Du den Server ja vielleicht über Powerlan bist zu Deinem Router durchreichen, ganz vorbei an der bestehenden Infrastruktur. ?