Guten Tag Ich plane aktuell hinter der Internetbox eine kleiner Mini-PC als open/fpsense router(firewall) zu betreiben. Internet->I-Box->Opensense/pfsense->Switch (alle Geräte) 1\. Wie läuft das mit WLAN ab? Brauch ich alles neue Wlan repeater und muss das WLAN hinter der opensense/pfsense betreiben? Oder kann ich das WLAN der Internetbox weiter nutzen. 2\. Statische Router oder DMZ? Ich hätt jetzt DMZ genommen. 3\. Ein VLAN auf dem Switch für je Server und heimnetz solle ja dann auch möglich sein. Lg und besten Dank

> * * * > > @"Neliommiosch84"#1036128 schrieb: > > Guten Tag > > Ich plane aktuell hinter der Internetbox eine kleiner Mini-PC als open/fpsense router(firewall) zu betreiben. > > Internet->I-Box->Opensense/pfsense->Switch (alle Geräte) > >... Hi, ja, ein nachgeschalteter Router ist meist direkt hinter der IB zu schalten, wenn das Heimnetz komplett abgekoppelt werden soll. > 1\. Wie läuft das mit WLAN ab? > > Brauch ich alles neue Wlan repeater und muss das WLAN hinter der opensense/pfsense betreiben? Oder kann ich das WLAN der Internetbox weiter nutzen. WLAN ist dann logischerweise auch abgekoppelt. Das WLAN der Internetbox kannst du weiter verwenden. Dann musst du einfach sicherstellen, dass du aus dem IB-Netz durch den zweiten Router in dein eigentliches Netz kommst. Dann stellt sich aber die Frage, warum du überhaupt abtrennen willst. Was meinst du mit WLAN Repeater? Sind das WLAN-Boxen direkt von Swisscom? Wenn ja, dann kannst du diese [wie hier beschrieben](https://community.swisscom.ch/t5/Heimvernetzung-WLAN/Ist-es-m%C3%B6glich-die-WLAN-Box-3-ohne-Internetbox-zu-verwenden/m-p/791544#M13230) hinter dem zweiten Router wieder betreiben. Wenn es wirklich "Repeater" sind, sollten diese zuerst als Access Point neu konfiguriert werden (sofern das dann überhaupt geht) und dann direkt aus den nachgelagerten netz heraus betrieben werden. > 2\. Statische Router oder DMZ? Ich hätt jetzt DMZ genommen. Eine statische Route öffent dir den Weg von der IB in ein nachgeschaltetes Netz. Eine DMZ leitet alle Anfragen aus dem Internet auf das Gerät, das in der DMZ liegt. Eine statische Route brauchst du nur, wenn du vom Netz der IB in dein nachgelagertes Netz willst. D.h. wenn du das WLAN der IB weiterverwenden willst, richtest du eine statische Route ein, damit du per WLAN auf dein nachgeschaltetes Netz kommst. Da stellt sich aber wieder die Frage, warum abtrennen? Eine DMZ ist für deinen Anwendungsfall geeignet. Lässt keine Verbindung aus dem Netz der Internetbox zu, leitet aber den Internettraffic direkt an deinen zweiten Router weiter. > 3\. Ein VLAN auf dem Switch für je Server und heimnetz solle ja dann auch möglich sein. Ja, das konfigurierst du dann aber auf deinem zweiten Router und/oder auf den Switches, nicht in der IB. Noch eine Anmerkung: Wenn du auf die Idee kommst, deinen Router und das Heimnetz dahinter aus dem Internet zugreifbar zu machen, dann richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. Durch die DMZ kommst du dann direkt auf dein nachgeschaltetes Netz. * * *

Hi @"Neliommiosch84"#1036128 > richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. Solange du keinen Internetbooster nutzt, funktioniert dyndns auch auf der Sense wunderbar. Ausserdem: Falls du blue TV nutzt, den IGMP Proxy auf der Sense nicht vergessen 😉 LG r00t

> * * * > > @"r00t"#842306 schrieb: > > Hi @"Neliommiosch84"#1036128 > > > richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. > > Solange du keinen Internetbooster nutzt, funktioniert dyndns auch auf der Sense wunderbar. > > LG > > r00t > > * * * Möchte hier noch ergänzen, dass dies im Einzelfall abhängig ist von dem auf dem zweiten Router im kaskadierten Netz eingesetzten DynDNS-Client und wie dieser genau funktioniert. Es gibt nämlich technisch gesehen 2 unterschiedliche Typen von DynDNS-Clients: \- der ganze einfache Typ, welcher die öffentliche IP stur von seiner eigenen WAN-Schnittstelle her übernimmt, was dann bei einem doppelten NAT dazu führt, dass der DynDNS-Client fälschlicherweise die private IP in den externen DynDNS-Server füttert, was dann den Zugriff aus dem Internet natürlich verhindert. \- der "intelligentere" Typ, welcher selbst bemerkt, dass auf der WAN-Schnittstelle im kaskadierten Netz keine öffentliche, sondern eine private IPv4 anliegt und dann als Konsequenz daraus, den DynDNS-Server nicht mit der WAN-IP, sondern mit der direkt im Internet bestimmten öffentlichen IPv4 füttert. Dies funktioniert natürlich auch in einem doppelten NAT korrekt. Gelernt, habe ich jetzt, dass eine pfSense, gleich wie mein eigener Merlin-Router ebenfalls den "intelligenteren" Typ von DynDNS-Client unterstützt 🙂

Hi @"kaetho"#111 Vielen Dank für diese ausführlichen Erklärungen. Gerne ein wenig mehr Infos zu meinem Vorhaben: Ich würde gerne ein paar selbst gehostete Dinge wie Dashboard, Jellyfin, Nextcloud... vom Internet via Domain zugänglich machen, das ganze soll via Cloudflare Tunnel und Zerotrust passieren, jedoch ist aber Streaming (Jellyfin, Nextcloud) gegen die TOS und sollte vermieden werden, daher ein offener Port. Jedoch ist ja ein offener Port durchaus eine grosse Sicherheitslücke und daher würde ich gerne Opensense dazwischen setzten um mein Heimnetwerz ein wenig besser abzusichern. Es soll ein VLAN entweder direkt am Opensense oder mit einem switch danach erstellt werden, je eins für Heimnetz und eins für die ganzen Server. Da aktuell viele Geräte per WLAN laufen und ca. 3 Wlan verstärker (Repeater)(wie auch immer) im betrieb sind möchte ich diese ungerne austauschen, daher meine Frage ob ich das bestehende WLAN so nutzten kann und dass auch von der Firewall von Opensense profitiert. An der IB soll dannach nichts ausser der opensense router angestöpselt sein (WLAN Geräte??) Vielen Dank schonmal!

@"r00t"#842306 Nutze ich zum Glück nicht, das wäre wohl alles andere als lustig durch die zwei Public IP's. Der Swisscom DDNS sollte ja dann auch noch funktionieren?

Hi @"Neliommiosch84"#p791829 Wenn du dein Heimnetz weiterbetreiben möchtest wie bisher, kannst du das tun. Dann würde ich die Sense so konfigurieren, dass die Geräte in der "DMZ" also hinter der Sense kein Zugriff aufs LAN haben - diese Regel sollte etwa so aussehen: [upl-image-preview liId=55978i01604ABC25E2E982 alt=r00t_0-1698500368674.png uuid=bbf4b3c3-7ddc-4139-b58d-62da9635c398] (aka erlaube alles, ausser die lokalen Netze) Damit du auf das Netz hinter der Sense zugreifen kannst, musst du wie von dir erwähnt, eine statische Route setzen. Dann kannst du auf der Sense das "Outbound NAT" deaktivieren. Dein Netzwerk würde dann so aussehen: [upl-image-preview liId=55979iC3C61281C30E5EA1 alt=opnsense-als-dmz.drawio.png uuid=473910fb-4e31-4b5a-aaf0-d54fa7db6049] Sprich: LAN ganz normal über Internetbox, DMZ zusätzlich hinter Opnsense. Damit du da einen Sicherheitsgewinn hast, ist es natürlich essenziell, die erwähnte Firewallregel oben nicht zu vergessen. DDNS: In deinem Szenario kannst du alle DDNS Dienste verwenden. Egal, ob auf der Sense oder Internetbox 🙂. Übrigens: Habe gerade gestern mit Jellyfin live TV herumprobiert - funktioniert mit blue-TV wunderbar, brauchst theoretisch nicht mal ein Abo - müsstest aber den IGMP-Proxy auf der Sense konfigurieren 😉. LG r00t

Hi @"kaetho"#111 > Ok, dann habe ich einen Router (UDMpro mit Version 3.2.5) kaskadiert, der zur "dummen" Sorte gehört Du triffst da einen wunden Punkt. Das ist ein Feature, welches von UI innert kürzester Zeit implementiert werden könnte und sehr nützlich ist, aber seit Jahren einfach ignoriert wird. Die UDM könnte das problemlos - es müsste nur [eine Zeile in einem Konfigurationsfile](https://community.ui.com/questions/UDM-Pro-Double-NAT-DYDNS-How-to-fix-/8e1e43fb-adcd-4c89-b719-4eac443176b8) entfernt werden. Stattdessen landet es auf der unendlichen "wir wissen es, aber es interessiert uns nicht" Bug-Liste. Diese ist mittlerweile so lang, dass ich persönlich kein Ubiquiti Produkt > Layer 2 mehr nutze. Das GUI kastriert einfach zu viele der guten Features weg. Das finde ich extrem schade. LG r00t

DMZ Firewall und WLAN

r00t

Hi Neliommiosch84

Wenn du dein Heimnetz weiterbetreiben möchtest wie bisher, kannst du das tun. Dann würde ich die Sense so konfigurieren, dass die Geräte in der "DMZ" also hinter der Sense kein Zugriff aufs LAN haben - diese Regel sollte etwa so aussehen:

(aka erlaube alles, ausser die lokalen Netze)

Damit du auf das Netz hinter der Sense zugreifen kannst, musst du wie von dir erwähnt, eine statische Route setzen. Dann kannst du auf der Sense das "Outbound NAT" deaktivieren.

Dein Netzwerk würde dann so aussehen:

opnsense-als-dmz.drawio.png

Sprich: LAN ganz normal über Internetbox, DMZ zusätzlich hinter Opnsense. Damit du da einen Sicherheitsgewinn hast, ist es natürlich essenziell, die erwähnte Firewallregel oben nicht zu vergessen.

DDNS: In deinem Szenario kannst du alle DDNS Dienste verwenden. Egal, ob auf der Sense oder Internetbox 🙂.

Übrigens: Habe gerade gestern mit Jellyfin live TV herumprobiert - funktioniert mit blue-TV wunderbar, brauchst theoretisch nicht mal ein Abo - müsstest aber den IGMP-Proxy auf der Sense konfigurieren 😉.

r00t

Neliommiosch84

Hi r00t

Das ist eine sehr interessante Zeichnung, das habe ich so bisher garnicht in Betracht gezogen, aber eigentlich macht das recht viel Sinn, so wäre mein Heimnetz sozusagen von der gesamten DMZ abgeschottet, aber könnte trotzdem raus ins internet.

Habe mir eigentlich eher sowas vorgestellt, damit der Opnsense das gesamte internet "schützt" aber der deine variante gefällt mir eigentlich auch ganz gut, was wäre denn da für eine Konfiguration notwendig?

kaetho

@Neliommiosch84 schrieb:

@Werner

Welcher Typ ist denn der Swisscom DDNS?

Kann der trotzdem noch verwendet werden?

Spielt keine Rolle, welcher Typ der DDNS-Client auf der IB ist. Du wirst die IB nie als 2. Router hinter einem Router betreiben wollen 😉. Sprich: die IB wird immer die öffentliche WAN-IP erhalten, und dann funktioniert der Client darauf immer.

Und klar, der DDNS-Dienst auf der IB kann immer verwendet werden, in beiden Fällen. Also mit "inteligenten" Routern und mit "dummen" (oder für Dummies) Routern...

r00t

Hi @kaetho

Ok, dann habe ich einen Router (UDMpro mit Version 3.2.5) kaskadiert, der zur "dummen" Sorte gehört

Du triffst da einen wunden Punkt. Das ist ein Feature, welches von UI innert kürzester Zeit implementiert werden könnte und sehr nützlich ist, aber seit Jahren einfach ignoriert wird. Die UDM könnte das problemlos - es müsste nur eine Zeile in einem Konfigurationsfile entfernt werden.

Stattdessen landet es auf der unendlichen "wir wissen es, aber es interessiert uns nicht" Bug-Liste. Diese ist mittlerweile so lang, dass ich persönlich kein Ubiquiti Produkt > Layer 2 mehr nutze. Das GUI kastriert einfach zu viele der guten Features weg. Das finde ich extrem schade.

r00t

Werner

@Neliommiosch84 schrieb:

@Werner

Welcher Typ ist denn der Swisscom DDNS?

Kann der trotzdem noch verwendet werden?

Den Swisscom DDNS direkt auf der Internetbox kannst Du immer verwenden, denn die IB ist ja selbst der Zugangsrouter ins Internet und bezieht ihre öffentlichen IP-Adressen (sowohl IPv4 wie auch IPv6), welche ja Deinen Internetzugang nach aussen auch repräsentieren, immer direkt und korrekt vom DHCP-Server im Swisscom Backbone.

Einziger Nachteil des DynDNS-Clients direkt auf der IB ist die beschränkte Auswahl an DynDNS-Anbietern, denn auf der IB funktioniert der DynDNS-Client nur mit dem Swisscom-eigenen DynDNS und einer zusätzlichen Listen-beschränten Auswahl von einigen wenigen weiteren Anbietern.

Falls Dein Wunsch-DynDNS-Anbieter von der IB selbst aber auch unterstützt wird, oder Du sowieso nur den Swisscom-eigenen DynDNS-Service benutzen willst, ist die Direktnachführung des DynDNS direkt durch die IB aber sicher die einfachste und beste Lösung, denn die IB ist dasjenige Netzwerkteil, welches als allererstes direkt mitkriegt, wenn die öffentlichen IP-Adressen ausgelöst durch das Swisscom-Backend auch mal wechseln.

Neliommiosch84

Vielen Dank @kaetho und @Werner!

Werner

@Neliommiosch84

Mein Rat wäre, die statische Route aus dem Netz der IB auf das kaskadierte Netz der pfSense nicht zu definieren, sondern für das WLAN Deine bereits vorhandenen WLAN-Boxen von der IB zu entkoppeln und direkt ins Netz der pfSense zu hängen.

Bei diesem Setup, beziehen dann die WLAN-Boxen ihre IP's von der pfSense und nicht mehr von der Internetbox und sind somit selbst auch direkt Bestandteil des pfSense-Netzes, da aber gleichzeitig die Internetbox ja nach wie vor als Gateway zum Internet agiert, holen aber die WLAN-Boxen weiterhin alle Einstellungen für ihre WLAN-Credentials direkt von der Internetbox, auch wenn das eigene WLAN der Internetbox dann vollständig abgeschaltet ist.

Mit der Kombination IB als reiner Zugangsrouter mit abgeschaltetem eigenen WLAN und WLAN-Boxen direkt im kaskadierten Netz, lassen sich also problemlos immer noch alle WLAN-Credentials der WLAN-Boxen weiterhin direkt auf der Internetbox verwalten.

Neliommiosch84

@Werner
Das wird ja immer besser😉
Meinst du mit entkoppeln einfach Reset und dann in an die Opnsense hängen?
Einige der WLAN-Verstärker sind nicht direkt ins LAN verbunden, das sollte trotzdem funktionieren?

Also du meinst ich kann die WLAN Repeater einfach von der IBox "entkoppeln" und mit der Opnsense verbinden? Muss der Opnsense dafür auch ein WLAN-Interface haben? Weil ich hatte eigentlich vor den M.2 2230 Slot wo das WLAN Modul verbaut ist entweder ein 2x 1GB Ethernet Adapter zu verbauen oder ein 1x 2.5GB Modul.

Neliommiosch84

@Werner
Was wäre deiner Meinung nach sinvoller/Sicherer?

oder eher:

Werner

@Neliommiosch84

Mit Entkoppeln meine ich nur Abschalten der WLAN-Synchronisation auf der IB.

Ein Reset der WLAN-Boxen ist ebenfalls nicht sinnvoll, bzw. nicht notwendig, denn sie sollen ja bewusst mit den selben WLAN-Credentials, wie sie auf der IB definiert sind, weiterlaufen.

Also einfach nur vom LAN der IB ins LAN der pfSense hängen und nach Neustart kurz kontrollieren, ob sie auch korrekt eine IP aus dem pfSense-Netz bezogen haben und das war es dann auch schon.

Der "pfSense-Router" selber braucht dann kein WLAN, denn dieses kann ja vollständig durch die Accesspoints zur Verfügung gestellt werden, auch WLAN-Boxen als Funkrepeater würden in diesem Konstrukt funktionieren, wobei natürlich mindestes eine WLAN-Box als echter Accesspoint LAN-gebunden am kaskadierten Router (bei Dir dann pfSense) hängen muss.

r00t

Hi @Neliommiosch84

IMO sind beide Varianten (die von @Werner/dir und die von mir) möglich.

Beide haben Vor- und Nachteile - beim multi-homed Firewall Ansatz hast du eine zentrale Kiste, auf welcher du die Zugriffe steuern kannst, bei mir habe ich darauf geachtet, dass du dein Heimnetz so belassen kannst wie es jetzt ist.

Habe mir eigentlich eher sowas vorgestellt, damit der Opnsense das gesamte internet "schützt"

Inwiefern meinst du "schützen"? Planst du noch IDS/IPS einzubauen? Eine stateful-Firewall ist auch schon auf der IB drauf.

Werners Variante schützt dich evtl. etwas besser gegen Fehlkonfigurationen.

Für meine Variante müsstest du:

Internetbox

Statische route in die DMZ via IP der Opnsense im LAN

Opnsense

Outbound NAT deaktivieren (brauchen wir nicht, da wir ja die Route auf der IB haben)
Alias LocalNetworks anlegen, folgende Netze reinpacken:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
auf der "DMZ" Schnittstelle folgende Firewallregeln:
- Allow * from * to!LocalNetworks (!=negieren, internet ja, lokal nein.)

Portweiterleitungen kannst du dann entweder direkt auf der Internetbox erstellen (da sie ja eine Route in die DMZ hätte, kann sie direkt zu den Servern verbinden) und auf der Opnsense bei dir im LAN einfach alles in die DMZ erlauben, oder du kannst auch den DMZ-Modus auf der Internetbox aktivieren und die Portweiterleitungen auf der Sense erledigen.

r00t

Neliommiosch84

@Werner
Perfekt!
Besten Dank!

Neliommiosch84

@r00t
Grosses Merci für die Erklärung!

Ich glaub ich überlege mir das noch ein wenig genauer, tendiere aber gerade eher zu Werners/Meiner Variante da ich über Opnsense deutlich mehr rumspielen kann, die Sicherheit vemutlich mal höher ist und man ein kleines Dashboard über Grafana erstellen kann.

Werner

@Neliommiosch84

Ich bin der selben Meinung wie @r00t: Beide Varianten funktionieren grundsätzlich.

Selbst bevorzuge ich immer das abgetrennte kaskadierte Netz ohne Durchgriff vom Internet-Zugangsnetz her.

Meine Gründe dafür:

- baut man das ganze neu und müsste auf nichts bereits bestehendes Rücksicht nehmen, würde man es mit Netztrennung bauen

- durch die Netztrennung kann das Zugangsgerät und auch der ISP jederzeit ausgetauscht werden ohne das dies einen Einfluss auf das eigene interne Netz hat, oder man kann auch durch einen Dual-WAN-Zugang mit einem weiteren ISP sein eigenes Standalone-Netz unabhängig von einem bestimmten ISP erweitern.

- obwohl man ja im Zugangsnetz im Regelbetrieb nur den eigenen Router und sonst keine anderen Clients hat, steht das Netz des Zugangsrouters (in diesem Falle das Netz der IB) bei Bedarf immer noch als 0815-Swisscom-Standardinstallation zur Verfügung. Dies kann ganz hilfreich sein, falls man mal Probleme im internen Netz sucht und nicht sicher ist, liegt es am eigenen Netz, oder am ISP, denn dann kann man einfach ein LAN-Kabel umstecken und man ist ganz einfach sofort wieder im 0815-Netz der Internetbox

r00t

Hi @Neliommiosch84

Meine Variante sollte einfach als Alternative da stehen, falls du dein Heimnetz nicht anfassen möchtest.

Ich persönlich nutze hier ebenfalls die Variante von "euch" - wenn du bereit bist, auch dein Heimnetz umzubauen, dann ist das der Weg! 😉

r00t

Neliommiosch84

Bestens
Danke euch beiden, kanns kaum warten mit dem Umbau zu starten.

An den Clients wäre dann keine Konfiguration notwendig, die sollten ja dann per DHCP von der OpnSense ne IP beziehen und das Standartgateway soll ich ja auf der IB lassen.

Das tönt wirklich praktisch, ja im Notfall könnt ich das Kabel vom Switch zur Opnsense einfach an der Internetbox anschliessen und schon hab ich 0815 Swisscom.

Was mein ihr zu dem Layout?

Internetbox: 192.168.1.1/24

OpnSense: 10.0.0.1 /16

Und die restlichen Ranges kann ich ja selbst verteilen.

r00t

Hi @Neliommiosch84

Bestens
Danke euch beiden, kanns kaum warten mit dem Umbau zu starten.

😎

An den Clients wäre dann keine Konfiguration notwendig, die sollten ja dann per DHCP von der OpnSense ne IP beziehen und das Standartgateway soll ich ja auf der IB lassen.

Uh - verstehe ich nicht ganz, in den Netzen hinter der Opnsense ist die Sense aus Sicht der Clients der Standardgateway. Aus Sicht der Sense dann die IB. Oder hast du dich jetzt doch für meine Alternativvariante entschieden? 😅

Das tönt wirklich praktisch, ja im Notfall könnt ich das Kabel vom Switch zur Opnsense einfach an der Internetbox anschliessen und schon hab ich 0815 Swisscom.

Yep - einer der Vorteile 😉

Was mein ihr zu dem Layout?

Internetbox: 192.168.1.1/24

OpnSense: 10.0.0.1 /16

Meinst du das /16 als Supernet für alle Netze hinter der Sense? Kann man machen 🙂. Als Subnetz für z.B. dein LAN finde ich es etwas gross - evtl. willst du ja später mal noch wachsen und VPNs irgendwohin bauen oder so.

r00t

kaetho

@Neliommiosch84

der Standardgateway wird dann der sein, der die pfsense per DHCP an die Clients vergibt. Das wird mit einer Standardconfig nicht die IB sein 😉 bei dir wäre das dann vermutlich 10.0.0.1

Die Internetbox auf 192.168.1.1 lassen finde ich gut -> da würde ich möglichst alles so lassen, wie's von Swisscom her konfiguriert ist.

Der 10er Bereich für dein Heimnetz passt auch, ist ja genau für solche Sachen...

Neliommiosch84

@r00t
Ja klar, eigentlich komplett logisch, was auch immer ich da gedacht habe... 🤣

Hast eigentlich recht, hab ja noch nicht so viele Geräte, dann bleibe ich bei der /24er Grösse.

Werd das die Tage mal ausprobieren. 😁

Neliommiosch84

Guten Abend

Herzliches Dankeschön nochmals an alle für die Hilfe!

Konnte die pfsense nun endlich in Betrieb nehmen. Da erst mit opnsense Probleme, nun zu pfsense gewechselt und läuft soweit ganz gut.

Würde nun doch gerne die Option von @r00t nehmen, da ich mit dem IGMP Proxy Probleme hatte und Dinge wie Swisscom TV einfach Immer funktionieren müssen aufgrund anderer Bewohner.

Zu den Firewall Regeln:
Habe aktuell noch eine any:any im wan festgelegt, damit Geräte im Swisscom-Netz zugriff auf die Server und die pfsense Oberfläche haben.

@r00t meinte ja:

@r00t schrieb:

Hi @Neliommiosch84

IMO sind beide Varianten (die von @Werner/dir und die von mir) möglich.

Beide haben Vor- und Nachteile - beim multi-homed Firewall Ansatz hast du eine zentrale Kiste, auf welcher du die Zugriffe steuern kannst, bei mir habe ich darauf geachtet, dass du dein Heimnetz so belassen kannst wie es jetzt ist.

Habe mir eigentlich eher sowas vorgestellt, damit der Opnsense das gesamte internet "schützt"

Inwiefern meinst du "schützen"? Planst du noch IDS/IPS einzubauen? Eine stateful-Firewall ist auch schon auf der IB drauf.

Werners Variante schützt dich evtl. etwas besser gegen Fehlkonfigurationen.

Für meine Variante müsstest du:

Internetbox

Statische route in die DMZ via IP der Opnsense im LAN

Opnsense

Outbound NAT deaktivieren (brauchen wir nicht, da wir ja die Route auf der IB haben)

Alias LocalNetworks anlegen, folgende Netze reinpacken:

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

auf der "DMZ" Schnittstelle folgende Firewallregeln:

Allow * from * to!LocalNetworks (!=negieren, internet ja, lokal nein.)

Portweiterleitungen kannst du dann entweder direkt auf der Internetbox erstellen (da sie ja eine Route in die DMZ hätte, kann sie direkt zu den Servern verbinden) und auf der Opnsense bei dir im LAN einfach alles in die DMZ erlauben, oder du kannst auch den DMZ-Modus auf der Internetbox aktivieren und die Portweiterleitungen auf der Sense erledigen.

LG

r00t

Was ist nun genau mit dem "DMZ " Interface gemeint?
Habe ja auf der sense nur WAN und LAN, WAN ist die ip 192.168.1.32 und LAN die 10.0.0.1/24

Port-Weiterleitung würd ich natürlich sehr gerne über die pfsense steuern, dazu wäre ich mir aber erstmal gerne sicher, dass da nichts offen ist. Gibt es da spezielle Regeln die für einen Anfang wichtig sind?

Besten Dank für die Hilfe!

r00t

Hi Neliommiosch84

Was hast du denn aktuell für Probleme mit dem IGMP Proxy? Füllt er dir die Bandbreite?

Die einfachste Variante (falls du managed Switches hast) wäre das Netz der Internetbox mittels VLAN direkt an die TV-Boxen zu bringen - so müsstest du nicht viel Umbauen, wenn du jetzt alles hinter der Sense hast. Falls du lieber umbauen willst, hier noch die Antworten zu deinen Fragen:

Was ist nun genau mit dem "DMZ " Interface gemeint?
Habe ja auf der sense nur WAN und LAN, WAN ist die ip 192.168.1.32 und LAN die 10.0.0.1/24

Damit meine ich das LAN Interface der Sense - Ich habe dies so genannt, weil es das Interface deiner DMZ ist 😉

Port-Weiterleitung würd ich natürlich sehr gerne über die pfsense steuern, dazu wäre ich mir aber erstmal gerne sicher, dass da nichts offen ist. Gibt es da spezielle Regeln die für einen Anfang wichtig sind?

Dazu sicher mal die any:any wegmachen und durch eine Regel mit Source Heimnetz einschränken, sodass man von extern nicht mehr überall hin kommt. 😉

Sobald du mit den Regeln zufrieden bist, kannst du den DMZ-Modus auf der Box aktivieren und auf die Sense zeigen lassen. Ich würde dann mal ausprobieren, was von extern erreichbar ist.

r00t

Nächste Seite »