Fernwartungsrouter hinter pfSense



  • Hallo Zusammen

    ich hab da eine Aufgabe, und brauch ein wenig Unterstützung.

    Also ich hab hier eine APU mit der pfsense 2.2.5, am WAN hängt der Swisscom Centro-Grande als VDSL Router ohne irgend welche Einstellungen, WLAN etc.. abgeschaltet, der liefert über DHCP eine IP an die APU und soweit funktioniert alles bestens, incl. diverser VLANs.

    Jetzt haben wir hier eine neue Anlage mit Siemens-SPS etc.. und die soll mit ihrem Draytek Router (auf den ich kein Zugriff habe) ins Internet.

    Ich brauche also eine zusätzliche Konfiguration damit der Anlagenhersteller von aussen auf den Draytek Router kommt, aber nicht in unser LAN, aus unserem LAN soll auch niemand auf den Draytek Router.

    1.) Es gibt auf dem Centro-Grand die Möglichkeit der IP-Weiterleitung die

    IP-Weiterleitung
    Die Funktion "IP-Weiterleitung" ermöglicht es, einem einzelnen PC im LAN die öffentliche Adresse des Routers zuzuweisen.

    Wenn Sie "Benutzerkonfigurierter PC" auswählen, müssen Sie anschliessend einen lokalen PC mit der öffentlichen WAN-IP-Adresse konfigurieren

    2.) Ich habe eine Netzwerkbuchse der APU noch frei, die könnte auch über eine DMZ den Draytek bedienen, nur wie genau??

    3.) Ich könnte auch über ein extra VLAN den Draytek bedienen..

    4.) …........??

    was soll ich am besten machen?  :-\

    Gruss Auric



  • Kannst dir raussuchen, entweder eigenes Netz am freien LAN Port oder auch ein VLAN.
    Dann noch ein Portforward auf das Gerät (oder es baut nach aussen die Verbindung auf?) und die Sache ist sauber getrennt.



  • Hallo!

    Der Centro-Grande macht bereits NAT?
    Welche Aufgabe hat die pfSense in deinem Netz, rein die Netztrennung und Routing?

    @Auric:

    Jetzt haben wir hier eine neue Anlage mit Siemens-SPS etc.. und die soll mit ihrem Draytek Router (auf den ich kein Zugriff habe) ins Internet.

    ??
    Heißt das, der Draytek ist WAN-seitig auf DHCP konfiguriert und du sollst ihn irgendwo in dein Netz hängen, wo er eine Adresse ziehen kann? Oder wird das Interface noch konfiguriert?

    Und der Hersteller will aktiv vom WAN darauf zugreifen? Hast du von ihm Quell-IP und -Port bekommen, die er verwendet.



  • Erst mal danke für die Antworten  :)

    @viragomann:

    Hallo!

    Der Centro-Grande macht bereits NAT?

    ja, das Teil liefert schon eine Private IP an die pfSense

    @viragomann:

    Welche Aufgabe hat die pfSense in deinem Netz, rein die Netztrennung und Routing?

    Trennt unser Firmen Netzwerk vor der bösen Internetwelt, ermöglicht einen WLAN Gastzugang

    @viragomann:

    @Auric:

    Jetzt haben wir hier eine neue Anlage mit Siemens-SPS etc.. und die soll mit ihrem Draytek Router (auf den ich kein Zugriff habe) ins Internet.

    ??
    Heißt das, der Draytek ist WAN-seitig auf DHCP konfiguriert und du sollst ihn irgendwo in dein Netz hängen, wo er eine Adresse ziehen kann? Oder wird das Interface noch konfiguriert?

    Und der Hersteller will aktiv vom WAN darauf zugreifen? Hast du von ihm Quell-IP und -Port bekommen, die er verwendet.

    Ich vermute mal dass der Draytek auf DHCP kopnfiguriert ist, und nein ich hab nichts bekommen, kann es aber ermitteln.

    Gruss Auric


  • LAYER 8 Moderator

    @Auric Für den Fall würde ich dem Hersteller aktiv auf die Finger hauen ;) Aus genau solchen Konstellationen entstehen dann die tollen aufgebauchsten Horrormeldungen à la Atomkraftwerk gehackt ;) Scherz beiseite, aber irgendeinen Nasenbär-Router von nem Hersteller so bei mir einhängen, dass der heiß im Netz hängt… sind die zu heiß gebadet? Zumal ich denke, dass die das Teil auch nur dazu benutzen, damit eben a) die SPS nicht DHCP machen muss und nackt bei euch im Netz hängt (was ja schon Sinn macht), und b) eben VPN o.ä. darauf konfiguriert ist. Aber wenn ihr doch eh ne pfSense habt, warum dann dem Hersteller nicht anbieten, dass ihr ihm darauf selbst nen Account macht und die SPS an ein extra VLAN oder sonstwie abgesichert selbst in euer Netz hängt?

    Solche Lösungen kommen ja meist zu Stande, weil der Hersteller Kunden bedienen möchte (klar), die nicht so versiert sind oder keine eigene (gescheite) Netzinfrastruktur haben. Aber ich würde mal doof fragen, ob man das auch ohne unnötige dreifach-Router-Kaskade hinbekommt (Centro-pfSense-Draytek hört sich nach totalem Overkill an). Und wenn nicht, ob er nicht wenigstens ne feste IP hat von der aus gewartet wird, denn wenn du keinen Einfluß auf den Draytek hast, würde ich den ohne weiteres nicht einfach in mein Netz hängen. Woher weiß ich dass die mir meinen Kram darüber nicht ausspähen wollen? ;)

    Grüße



  • Wenn du keine Infos dazu bekommen hast, ist anzunehmen, dass er DHCP macht. Doch verstehe ich dann nicht, wie der Hersteller darauf zugreifen möchte. Die IP wäre dann ja nicht fest vorgegeben, damit kannst du auch keine Weiterleitung einrichten.

    Könnte auch sein, dass die SPS selbst die Verbindung zum Hersteller aufbaut, sobald sie Internet hat.
    Ich würde beim Hersteller diesbezüglich nochmals nachfragen.

    Ansonsten, den Draytek in ein eigenes (kleines) Subnetz packen und Regeln anlegen, dass er zwar Internet bekommt, aber von diesem Subnetz kein Zugriff auf deine internen Netze möglich ist.
    Ob es sinnvoller ist, den Draytek an die pfSense direkt anzuschließen oder über VLAN und einem Switch, hängt von den örtlichen Gegebenheiten ab. Wenn von der pfSense ein direktes Kabel möglich ist und die frei Buchse sonst nicht gebraucht wird, kann er direkt angeschlossen werden.
    Der Sicherheitseffekt ist praktisch gleich.



  • @JeGr:

    b) eben VPN o.ä. darauf konfiguriert ist. Aber wenn ihr doch eh ne pfSense habt, warum dann dem Hersteller nicht anbieten, dass ihr ihm darauf selbst nen Account macht und die SPS an ein extra VLAN oder sonstwie abgesichert selbst in euer Netz hängt?

    Solche Lösungen kommen ja meist zu Stande, weil der Hersteller Kunden bedienen möchte (klar), die nicht so versiert sind oder keine eigene (gescheite) Netzinfrastruktur haben. Aber ich würde mal doof fragen, ob man das auch ohne unnötige dreifach-Router-Kaskade hinbekommt (Centro-pfSense-Draytek hört sich nach totalem Overkill an). Und wenn nicht, ob er nicht wenigstens ne feste IP hat von der aus gewartet wird, denn wenn du keinen Einfluß auf den Draytek hast, würde ich den ohne weiteres nicht einfach in mein Netz hängen. Woher weiß ich dass die mir meinen Kram darüber nicht ausspähen wollen? ;)

    Grüße

    Du hast wie immer absolut recht ;)

    Es gibt leider (mea culpa) das Problem das ich (noob) es noch niemals geschafft habe eine VPN Verbindung durch unsere pfSense APU in unser Netzwerk zu konfigurieren  :-[ …. und von der Seite hab ich schon mal die Befürchtung dass es bei der VPN Verbindung zur SPS nicht besser laufen wird.  :'(

    Wenn der Draytek Router von dem Centro die öffentliche IP bekommt, dann ist das einrichten und die Stabilität der IPSec VPN Verbindung das Problem der anderen Firma.

    Wenn der Draytek am Centro hängt, und von da die öffentliche IP bekommt, dann sollte es doch "unmöglich" sein das wir auf den Draytek kommen (ohne die IPSec Geschichten) sowenig wie der Servicetechniker auf unser LAN kommt weil da ja noch die APU/pfSense dazwischen hängt.

    Des weiteren bin ich paranoid genug die SPS im Normalbetrieb mit einem Air-Gap zu schützen, d.h. das der Draytek erst dann physikalisch mit dem Centro verbunden wird WENN eine Servicetätigkeit von uns aus verlangt wird.

    [quote author=viragomann link=topic=102200.msg570270#msg570270 date=1447240047]
    Wenn du keine Infos dazu bekommen hast, ist anzunehmen, dass er DHCP macht. Doch verstehe ich dann nicht, wie der Hersteller darauf zugreifen möchte. Die IP wäre dann ja nicht fest vorgegeben, damit kannst du auch keine Weiterleitung einrichten.

    Könnte auch sein, dass die SPS selbst die Verbindung zum Hersteller aufbaut, sobald sie Internet hat.
    Ich würde beim Hersteller diesbezüglich nochmals nachfragen.

    Ansonsten, den Draytek in ein eigenes (kleines) Subnetz packen und Regeln anlegen, dass er zwar Internet bekommt, aber von diesem Subnetz kein Zugriff auf deine internen Netze möglich ist.
    Ob es sinnvoller ist, den Draytek an die pfSense direkt anzuschließen oder über VLAN und einem Switch, hängt von den örtlichen Gegebenheiten ab. Wenn von der pfSense ein direktes Kabel möglich ist und die frei Buchse sonst nicht gebraucht wird, kann er direkt angeschlossen werden.
    Der Sicherheitseffekt ist praktisch gleich.

    Hallo Viragoman

    Ich hab genau das schon mal probiert, über ein eigenes VLAN etc.. Das Problem war bisher dass ich keine VPN Verbindung zur APU von aussen jemals hin bekommen hab, und den Maschinenbauern/SPS Programmierern eine VPN Verbindung über OpenVPN oder ähnliches zuzumuten (die ich nicht hinbekomme) oder die auf unsere APU/pfsense zu lassen ist IMHO auch keine Lösung.

    Gruss Auric

    (das VPN Problem werde ich mal extra hier mal anfragen… :-[  ich hatte einen alten ASUS WLAN Router und über den konnte ich eine OpenVPN Verbindung z.B. auf mein iPhone problemlos einrichten, die pfSense hat zwar eine Dyndns IP Adresse (auch wenn der Hostname nicht angezeigt wird, die Cached-IP Adresse aber grün und korrekt ist) und sie hat ganz tolle Wizards und das Export Plugin installiert und am laufen... was das Export tool bisher an Konfigurationen ausgespuckt hat, hat noch niemals zu einer funktionierenden VPN Verbindung geführt.  :'(    )



  • @Auric:

    Wenn der Draytek am Centro hängt, und von da die öffentliche IP bekommt, dann sollte es doch "unmöglich" sein das wir auf den Draytek kommen (ohne die IPSec Geschichten) sowenig wie der Servicetechniker auf unser LAN kommt weil da ja noch die APU/pfSense dazwischen hängt.

    D.h. der Centro kann eine öffentliche IP quasi durchreichen?
    Wenn ihr die opfern möchtet, passieren kann da natürlich nichts. Der Draytek hängt dann praktisch direkt im Internet, kann euch aber egal sein, wenn der Hersteller die Verantwortung über die SPS trägt.
    Euer Netzwerk ist ja immer noch durch die pfSense abgesichert und für einen Zugriff auf die SPS od. den Draytek würdet ihr ebenfalls eine IPSec-Verbindung benötigen, die ihr ja nicht habt.

    @Auric:

    Des weiteren bin ich paranoid genug die SPS im Normalbetrieb mit einem Air-Gap zu schützen, d.h. das der Draytek erst dann physikalisch mit dem Centro verbunden wird WENN eine Servicetätigkeit von uns aus verlangt wird.

    Wenn die pfSense ordentlich konfiguriert ist, ist das überflüssig, gleichgültig ob der Draytek an der pfSense hängt oder eine öffentliche IP durchgereicht bekommt.

    @Auric:

    die pfSense hat zwar eine Dyndns IP Adresse (auch wenn der Hostname nicht angezeigt wird, die Cached-IP Adresse aber grün und korrekt ist) und sie hat ganz tolle Wizards und das Export Plugin installiert und am laufen… was das Export tool bisher an Konfigurationen ausgespuckt hat, hat noch niemals zu einer funktionierenden VPN Verbindung geführt.  :'(    )

    Warum bezieht die pfSense denn eigentlich ihre WAN IP über DHCP? Klappt natürlich auch, aber bringt doch unötige Hürden mit sich.

    OpenVPN auf der pfSense einzurichten ist mit dem Wizard nicht wirklich schwierig. Da passiert praktisch eh alles automatisch.
    Einzig beim Export musst du oben bei "Host Name Resolution" other auswählen und deine externe IP oder den FQDN händisch eingeben, weil die pfSense diese vermutlich nicht kennt, weil sie ja in einem privaten Netz hängt.
    Grundvoraussetzung ist natürlich, dass die VPN an die pfSense am Centro weitergeleitet wird.

    Ich würde aber in jedem Fall erst mit dem Hersteller der SPS Anlage in Kontakt treten, um zu erfragen, wie er sich die Verbindungsaufnahme vorstellt und ob er auch eine eigene VPN nutzen würde.
    Bei einer VPN über die pfSense, könnte der Draytek überflüssig sein.

    Grüße



  • Moin,

    ich habe im LAN@Work auch einen Draytek, er dient einem Contracting Partner als VPN Router.
    Er wurde fertig konfiguriert angeliefert und baut selbständig einen Tunnel nach Hause auf.
    Ursprünglich wurde der auch einfach ins Lan gehängt und saugte mit einem eigenen DSL-Anschluss die Daten ab.
    Nach einer dezenten "Kopfwäsche" durch einen User der mit "Je" anfängt und mit "Gr" aufhört  ;) habe ich mir mal ein paar Gedanken gemacht und ein wenig aufgerüstet. Jetzt hängt der Vigor  nicht mehr direkt am LAN sondern an einer Bridge der pfSense die ihm nur noch Zugriff auf die Regelungen gewährt und alle anderen IPs blockt und auch unseren Internetzugang gegen feindliche Nutzung absichert.

    Nur als Anregung wenn es bei Euch auch so realisiert sein sollte.

    -teddy



  • So hätte ich es mir auch gedacht, dass der Router fertig konfiguriert ist und selbst die Verbindung aufbaut, aber der Lieferant hätte zumindest sagen müssen "benötigt Zugriff aufs Internet am WAN und auf die SPS am LAN, mehr nicht".

    Bei dir war die Sache dann ja noch komplexer, weil der Router anscheinend über euer bestehendes LAN auf die entsprechenden Geräte zugreifen musste.
    Das Problem hat ja Auric gar nicht. Demnach wäre eine Absicherung in diesem Fall eh easy. Die Vorschläge gibt es hier schon.


Log in to reply