Guten Tag Ich plane aktuell hinter der Internetbox eine kleiner Mini-PC als open/fpsense router(firewall) zu betreiben. Internet->I-Box->Opensense/pfsense->Switch (alle Geräte) 1. Wie läuft das mit WLAN ab? Brauch ich alles neue Wlan repeater und muss das WLAN hinter der opensense/pfsense betreiben? Oder kann ich das WLAN der Internetbox weiter nutzen. 2. Statische Router oder DMZ? Ich hätt jetzt DMZ genommen. 3. Ein VLAN auf dem Switch für je Server und heimnetz solle ja dann auch möglich sein. Lg und besten Dank

@Neliommiosch84 schrieb: Guten Tag Ich plane aktuell hinter der Internetbox eine kleiner Mini-PC als open/fpsense router(firewall) zu betreiben. Internet->I-Box->Opensense/pfsense->Switch (alle Geräte) … Hi, ja, ein nachgeschalteter Router ist meist direkt hinter der IB zu schalten, wenn das Heimnetz komplett abgekoppelt werden soll. 1. Wie läuft das mit WLAN ab? Brauch ich alles neue Wlan repeater und muss das WLAN hinter der opensense/pfsense betreiben? Oder kann ich das WLAN der Internetbox weiter nutzen. WLAN ist dann logischerweise auch abgekoppelt. Das WLAN der Internetbox kannst du weiter verwenden. Dann musst du einfach sicherstellen, dass du aus dem IB-Netz durch den zweiten Router in dein eigentliches Netz kommst. Dann stellt sich aber die Frage, warum du überhaupt abtrennen willst. Was meinst du mit WLAN Repeater? Sind das WLAN-Boxen direkt von Swisscom? Wenn ja, dann kannst du diese wie hier beschrieben hinter dem zweiten Router wieder betreiben. Wenn es wirklich “Repeater” sind, sollten diese zuerst als Access Point neu konfiguriert werden (sofern das dann überhaupt geht) und dann direkt aus den nachgelagerten netz heraus betrieben werden. 2. Statische Router oder DMZ? Ich hätt jetzt DMZ genommen. Eine statische Route öffent dir den Weg von der IB in ein nachgeschaltetes Netz. Eine DMZ leitet alle Anfragen aus dem Internet auf das Gerät, das in der DMZ liegt. Eine statische Route brauchst du nur, wenn du vom Netz der IB in dein nachgelagertes Netz willst. D.h. wenn du das WLAN der IB weiterverwenden willst, richtest du eine statische Route ein, damit du per WLAN auf dein nachgeschaltetes Netz kommst. Da stellt sich aber wieder die Frage, warum abtrennen? Eine DMZ ist für deinen Anwendungsfall geeignet. Lässt keine Verbindung aus dem Netz der Internetbox zu, leitet aber den Internettraffic direkt an deinen zweiten Router weiter. 3. Ein VLAN auf dem Switch für je Server und heimnetz solle ja dann auch möglich sein. Ja, das konfigurierst du dann aber auf deinem zweiten Router und/oder auf den Switches, nicht in der IB. Noch eine Anmerkung: Wenn du auf die Idee kommst, deinen Router und das Heimnetz dahinter aus dem Internet zugreifbar zu machen, dann richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. Durch die DMZ kommst du dann direkt auf dein nachgeschaltetes Netz.

Hi @Neliommiosch84 richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. Solange du keinen Internetbooster nutzt, funktioniert dyndns auch auf der Sense wunderbar. Ausserdem: Falls du blue TV nutzt, den IGMP Proxy auf der Sense nicht vergessen 😉 LG r00t

@r00t schrieb: Hi @Neliommiosch84 richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. Solange du keinen Internetbooster nutzt, funktioniert dyndns auch auf der Sense wunderbar. LG r00t Möchte hier noch ergänzen, dass dies im Einzelfall abhängig ist von dem auf dem zweiten Router im kaskadierten Netz eingesetzten DynDNS-Client und wie dieser genau funktioniert. Es gibt nämlich technisch gesehen 2 unterschiedliche Typen von DynDNS-Clients: - der ganze einfache Typ, welcher die öffentliche IP stur von seiner eigenen WAN-Schnittstelle her übernimmt, was dann bei einem doppelten NAT dazu führt, dass der DynDNS-Client fälschlicherweise die private IP in den externen DynDNS-Server füttert, was dann den Zugriff aus dem Internet natürlich verhindert. - der “intelligentere” Typ, welcher selbst bemerkt, dass auf der WAN-Schnittstelle im kaskadierten Netz keine öffentliche, sondern eine private IPv4 anliegt und dann als Konsequenz daraus, den DynDNS-Server nicht mit der WAN-IP, sondern mit der direkt im Internet bestimmten öffentlichen IPv4 füttert. Dies funktioniert natürlich auch in einem doppelten NAT korrekt. Gelernt, habe ich jetzt, dass eine pfSense, gleich wie mein eigener Merlin-Router ebenfalls den “intelligenteren” Typ von DynDNS-Client unterstützt 🙂

Hi @kaetho Vielen Dank für diese ausführlichen Erklärungen. Gerne ein wenig mehr Infos zu meinem Vorhaben: Ich würde gerne ein paar selbst gehostete Dinge wie Dashboard, Jellyfin, Nextcloud… vom Internet via Domain zugänglich machen, das ganze soll via Cloudflare Tunnel und Zerotrust passieren, jedoch ist aber Streaming (Jellyfin, Nextcloud) gegen die TOS und sollte vermieden werden, daher ein offener Port. Jedoch ist ja ein offener Port durchaus eine grosse Sicherheitslücke und daher würde ich gerne Opensense dazwischen setzten um mein Heimnetwerz ein wenig besser abzusichern. Es soll ein VLAN entweder direkt am Opensense oder mit einem switch danach erstellt werden, je eins für Heimnetz und eins für die ganzen Server. Da aktuell viele Geräte per WLAN laufen und ca. 3 Wlan verstärker (Repeater)(wie auch immer) im betrieb sind möchte ich diese ungerne austauschen, daher meine Frage ob ich das bestehende WLAN so nutzten kann und dass auch von der Firewall von Opensense profitiert. An der IB soll dannach nichts ausser der opensense router angestöpselt sein (WLAN Geräte??) Vielen Dank schonmal!

@Werner Welcher Typ ist denn der Swisscom DDNS? Kann der trotzdem noch verwendet werden?

@Werner schrieb: … Gelernt, habe ich jetzt, dass eine pfSense, gleich wie mein eigener Merlin-Router ebenfalls den “intelligenteren” Typ von DynDNS-Client unterstützt 🙂 Ok, dann habe ich einen Router (UDMpro mit Version 3.2.5) kaskadiert, der zur “dummen” Sorte gehört. Jedenfalls konnte ich’s vor 2 Jahren auf der UDMpro noch nicht einrichten (damals war das noch eine 1er-Firmware) und bin den Weg über DDNS auf der IB gegangen. Jänu, funzt auch so zuverlässig…

@r00t Nutze ich zum Glück nicht, das wäre wohl alles andere als lustig durch die zwei Public IP’s. Der Swisscom DDNS sollte ja dann auch noch funktionieren?

Hi Neliommiosch84 Wenn du dein Heimnetz weiterbetreiben möchtest wie bisher, kannst du das tun. Dann würde ich die Sense so konfigurieren, dass die Geräte in der “DMZ” also hinter der Sense kein Zugriff aufs LAN haben - diese Regel sollte etwa so aussehen: (aka erlaube alles, ausser die lokalen Netze) Damit du auf das Netz hinter der Sense zugreifen kannst, musst du wie von dir erwähnt, eine statische Route setzen. Dann kannst du auf der Sense das “Outbound NAT” deaktivieren. Dein Netzwerk würde dann so aussehen: Sprich: LAN ganz normal über Internetbox, DMZ zusätzlich hinter Opnsense. Damit du da einen Sicherheitsgewinn hast, ist es natürlich essenziell, die erwähnte Firewallregel oben nicht zu vergessen. DDNS: In deinem Szenario kannst du alle DDNS Dienste verwenden. Egal, ob auf der Sense oder Internetbox 🙂. Übrigens: Habe gerade gestern mit Jellyfin live TV herumprobiert - funktioniert mit blue-TV wunderbar, brauchst theoretisch nicht mal ein Abo - müsstest aber den IGMP-Proxy auf der Sense konfigurieren 😉. LG r00t

@Neliommiosch84 schrieb: @Werner Welcher Typ ist denn der Swisscom DDNS? Kann der trotzdem noch verwendet werden? Spielt keine Rolle, welcher Typ der DDNS-Client auf der IB ist. Du wirst die IB nie als 2. Router hinter einem Router betreiben wollen 😉. Sprich: die IB wird immer die öffentliche WAN-IP erhalten, und dann funktioniert der Client darauf immer. Und klar, der DDNS-Dienst auf der IB kann immer verwendet werden, in beiden Fällen. Also mit “inteligenten” Routern und mit “dummen” (oder für Dummies) Routern…

Hi @kaetho Ok, dann habe ich einen Router (UDMpro mit Version 3.2.5) kaskadiert, der zur “dummen” Sorte gehört Du triffst da einen wunden Punkt. Das ist ein Feature, welches von UI innert kürzester Zeit implementiert werden könnte und sehr nützlich ist, aber seit Jahren einfach ignoriert wird. Die UDM könnte das problemlos - es müsste nur eine Zeile in einem Konfigurationsfile entfernt werden. Stattdessen landet es auf der unendlichen “wir wissen es, aber es interessiert uns nicht” Bug-Liste. Diese ist mittlerweile so lang, dass ich persönlich kein Ubiquiti Produkt > Layer 2 mehr nutze. Das GUI kastriert einfach zu viele der guten Features weg. Das finde ich extrem schade. LG r00t

DMZ Firewall und WLAN

Neliommiosch84

@r00t
Grosses Merci für die Erklärung!

Ich glaub ich überlege mir das noch ein wenig genauer, tendiere aber gerade eher zu Werners/Meiner Variante da ich über Opnsense deutlich mehr rumspielen kann, die Sicherheit vemutlich mal höher ist und man ein kleines Dashboard über Grafana erstellen kann.

Werner

@Neliommiosch84

Ich bin der selben Meinung wie @r00t: Beide Varianten funktionieren grundsätzlich.

Selbst bevorzuge ich immer das abgetrennte kaskadierte Netz ohne Durchgriff vom Internet-Zugangsnetz her.

Meine Gründe dafür:

- baut man das ganze neu und müsste auf nichts bereits bestehendes Rücksicht nehmen, würde man es mit Netztrennung bauen

- durch die Netztrennung kann das Zugangsgerät und auch der ISP jederzeit ausgetauscht werden ohne das dies einen Einfluss auf das eigene interne Netz hat, oder man kann auch durch einen Dual-WAN-Zugang mit einem weiteren ISP sein eigenes Standalone-Netz unabhängig von einem bestimmten ISP erweitern.

- obwohl man ja im Zugangsnetz im Regelbetrieb nur den eigenen Router und sonst keine anderen Clients hat, steht das Netz des Zugangsrouters (in diesem Falle das Netz der IB) bei Bedarf immer noch als 0815-Swisscom-Standardinstallation zur Verfügung. Dies kann ganz hilfreich sein, falls man mal Probleme im internen Netz sucht und nicht sicher ist, liegt es am eigenen Netz, oder am ISP, denn dann kann man einfach ein LAN-Kabel umstecken und man ist ganz einfach sofort wieder im 0815-Netz der Internetbox

r00t

Hi @Neliommiosch84

Meine Variante sollte einfach als Alternative da stehen, falls du dein Heimnetz nicht anfassen möchtest.

Ich persönlich nutze hier ebenfalls die Variante von “euch” - wenn du bereit bist, auch dein Heimnetz umzubauen, dann ist das der Weg! 😉

r00t

Neliommiosch84

Bestens
Danke euch beiden, kanns kaum warten mit dem Umbau zu starten.

An den Clients wäre dann keine Konfiguration notwendig, die sollten ja dann per DHCP von der OpnSense ne IP beziehen und das Standartgateway soll ich ja auf der IB lassen.

Das tönt wirklich praktisch, ja im Notfall könnt ich das Kabel vom Switch zur Opnsense einfach an der Internetbox anschliessen und schon hab ich 0815 Swisscom.

Was mein ihr zu dem Layout?

Internetbox: 192.168.1.1/24

OpnSense: 10.0.0.1 /16

Und die restlichen Ranges kann ich ja selbst verteilen.

r00t

Hi @Neliommiosch84

Bestens
Danke euch beiden, kanns kaum warten mit dem Umbau zu starten.

😎

An den Clients wäre dann keine Konfiguration notwendig, die sollten ja dann per DHCP von der OpnSense ne IP beziehen und das Standartgateway soll ich ja auf der IB lassen.

Uh - verstehe ich nicht ganz, in den Netzen hinter der Opnsense ist die Sense aus Sicht der Clients der Standardgateway. Aus Sicht der Sense dann die IB. Oder hast du dich jetzt doch für meine Alternativvariante entschieden? 😅

Das tönt wirklich praktisch, ja im Notfall könnt ich das Kabel vom Switch zur Opnsense einfach an der Internetbox anschliessen und schon hab ich 0815 Swisscom.

Yep - einer der Vorteile 😉

Was mein ihr zu dem Layout?

Internetbox: 192.168.1.1/24

OpnSense: 10.0.0.1 /16

Meinst du das /16 als Supernet für alle Netze hinter der Sense? Kann man machen 🙂. Als Subnetz für z.B. dein LAN finde ich es etwas gross - evtl. willst du ja später mal noch wachsen und VPNs irgendwohin bauen oder so.

r00t

kaetho

@Neliommiosch84

der Standardgateway wird dann der sein, der die pfsense per DHCP an die Clients vergibt. Das wird mit einer Standardconfig nicht die IB sein 😉 bei dir wäre das dann vermutlich 10.0.0.1

Die Internetbox auf 192.168.1.1 lassen finde ich gut -> da würde ich möglichst alles so lassen, wie’s von Swisscom her konfiguriert ist.

Der 10er Bereich für dein Heimnetz passt auch, ist ja genau für solche Sachen…

Neliommiosch84

@r00t
Ja klar, eigentlich komplett logisch, was auch immer ich da gedacht habe… 🤣

Hast eigentlich recht, hab ja noch nicht so viele Geräte, dann bleibe ich bei der /24er Grösse.

Werd das die Tage mal ausprobieren. 😁

Neliommiosch84

Guten Abend

Herzliches Dankeschön nochmals an alle für die Hilfe!

Konnte die pfsense nun endlich in Betrieb nehmen. Da erst mit opnsense Probleme, nun zu pfsense gewechselt und läuft soweit ganz gut.

Würde nun doch gerne die Option von @r00t nehmen, da ich mit dem IGMP Proxy Probleme hatte und Dinge wie Swisscom TV einfach Immer funktionieren müssen aufgrund anderer Bewohner.

Zu den Firewall Regeln:
Habe aktuell noch eine any:any im wan festgelegt, damit Geräte im Swisscom-Netz zugriff auf die Server und die pfsense Oberfläche haben.

@r00t meinte ja:

@r00t schrieb:

Hi @Neliommiosch84

IMO sind beide Varianten (die von @Werner/dir und die von mir) möglich.

Beide haben Vor- und Nachteile - beim multi-homed Firewall Ansatz hast du eine zentrale Kiste, auf welcher du die Zugriffe steuern kannst, bei mir habe ich darauf geachtet, dass du dein Heimnetz so belassen kannst wie es jetzt ist.

Habe mir eigentlich eher sowas vorgestellt, damit der Opnsense das gesamte internet “schützt”

Inwiefern meinst du “schützen”? Planst du noch IDS/IPS einzubauen? Eine stateful-Firewall ist auch schon auf der IB drauf.

Werners Variante schützt dich evtl. etwas besser gegen Fehlkonfigurationen.

Für meine Variante müsstest du:

Internetbox

Statische route in die DMZ via IP der Opnsense im LAN

Opnsense

Outbound NAT deaktivieren (brauchen wir nicht, da wir ja die Route auf der IB haben)

Alias LocalNetworks anlegen, folgende Netze reinpacken:

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

auf der “DMZ” Schnittstelle folgende Firewallregeln:

Allow * from * to!LocalNetworks (!=negieren, internet ja, lokal nein.)

Portweiterleitungen kannst du dann entweder direkt auf der Internetbox erstellen (da sie ja eine Route in die DMZ hätte, kann sie direkt zu den Servern verbinden) und auf der Opnsense bei dir im LAN einfach alles in die DMZ erlauben, oder du kannst auch den DMZ-Modus auf der Internetbox aktivieren und die Portweiterleitungen auf der Sense erledigen.

LG

r00t

Was ist nun genau mit dem “DMZ ” Interface gemeint?
Habe ja auf der sense nur WAN und LAN, WAN ist die ip 192.168.1.32 und LAN die 10.0.0.1/24

Port-Weiterleitung würd ich natürlich sehr gerne über die pfsense steuern, dazu wäre ich mir aber erstmal gerne sicher, dass da nichts offen ist. Gibt es da spezielle Regeln die für einen Anfang wichtig sind?

Besten Dank für die Hilfe!

r00t

Hi Neliommiosch84

Was hast du denn aktuell für Probleme mit dem IGMP Proxy? Füllt er dir die Bandbreite?

Die einfachste Variante (falls du managed Switches hast) wäre das Netz der Internetbox mittels VLAN direkt an die TV-Boxen zu bringen - so müsstest du nicht viel Umbauen, wenn du jetzt alles hinter der Sense hast. Falls du lieber umbauen willst, hier noch die Antworten zu deinen Fragen:

Was ist nun genau mit dem “DMZ ” Interface gemeint?
Habe ja auf der sense nur WAN und LAN, WAN ist die ip 192.168.1.32 und LAN die 10.0.0.1/24

Damit meine ich das LAN Interface der Sense - Ich habe dies so genannt, weil es das Interface deiner DMZ ist 😉

Port-Weiterleitung würd ich natürlich sehr gerne über die pfsense steuern, dazu wäre ich mir aber erstmal gerne sicher, dass da nichts offen ist. Gibt es da spezielle Regeln die für einen Anfang wichtig sind?

Dazu sicher mal die any:any wegmachen und durch eine Regel mit Source Heimnetz einschränken, sodass man von extern nicht mehr überall hin kommt. 😉

Sobald du mit den Regeln zufrieden bist, kannst du den DMZ-Modus auf der Box aktivieren und auf die Sense zeigen lassen. Ich würde dann mal ausprobieren, was von extern erreichbar ist.

r00t

Neliommiosch84

Hatte Probleme, dass der IGMP Proxy viel Bandbreite schluckte und nicht zuverlässig funktionierte.

Besten Dank! Hab ich noch fast gedacht, aber war dann doch ein wenig verwirrt.
👍Werde ich machen! Ich vermute da mal was Richtung Advanced IP Scanner/Nmap von aussen her?

TomatoTec

@Neliommiosch84

Das mit dem IGMP Proxy ist ein bekanntes Problem in der aktuellen pfSense Version.

Wie auch schon in diesem Beitrag erwähnt Live-TV Verbindungsunterbrüche mit PFSense (IGMP aver aktiv)

Neliommiosch84

Hey @r00t

Habe bisher die pfsense noch nicht als DMZ aktiviert, für einen temporären Port-Forward, welche Regeln müsste ich da auf der pfsense erstellen? Wäre einfach ein einzelner Port auf dem ein Webserver läuft.

Eine Port Forward auf dem Swisscom Router habe ich direkt zur IP des Servers erstellt, vermute aber dass auf der Sense sowas auch noch erlaubt werden muss, da ich ja vorher nur localnetworks erlaubt habe.

r00t

Hi Neliommiosch84

Ja, hierzu musst du auf dem “WAN”-Interface der Sense eine Regel erstellen, welche den Traffic zum Server erlaubt.

Hier z.B. die Regeln zu einem Webserver:

Was du auch tun kannst: In der Internetbox das Forwarding auf die Sense machen und dort einfach nochmals forwarden. 😉

r00t

Neliommiosch84

Vielen Dank @r00t
Hat geklappt!

« Vorherige Seite