DMZ Firewall und WLAN

---

@Neliommiosch84  schrieb:

Guten Tag

 

Ich plane aktuell hinter der Internetbox eine kleiner Mini-PC als open/fpsense router(firewall) zu betreiben.

 

Internet->I-Box->Opensense/pfsense->Switch (alle Geräte)

...

Hi, ja, ein nachgeschalteter Router ist meist direkt hinter der IB zu schalten, wenn das Heimnetz komplett abgekoppelt werden soll.

1. Wie läuft das mit WLAN ab?

Brauch ich alles neue Wlan repeater und muss das WLAN hinter der opensense/pfsense betreiben? Oder kann ich das WLAN der Internetbox weiter nutzen.

WLAN ist dann logischerweise auch abgekoppelt. Das WLAN der Internetbox kannst du weiter verwenden. Dann musst du einfach sicherstellen, dass du aus dem IB-Netz durch den zweiten Router in dein eigentliches Netz kommst. Dann stellt sich aber die Frage, warum du überhaupt abtrennen willst.

Was meinst du mit WLAN Repeater? Sind das WLAN-Boxen direkt von Swisscom? Wenn ja, dann kannst du diese wie hier beschrieben hinter dem zweiten Router wieder betreiben. Wenn es wirklich "Repeater" sind, sollten diese zuerst als Access Point neu konfiguriert werden (sofern das dann überhaupt geht)  und dann direkt aus den nachgelagerten netz heraus betrieben werden.

2. Statische Router oder DMZ? Ich hätt jetzt DMZ genommen.

Eine statische Route öffent dir den Weg von der IB in ein nachgeschaltetes Netz. Eine DMZ leitet alle Anfragen aus dem Internet auf das Gerät, das in der DMZ liegt. Eine statische Route brauchst du nur, wenn du vom Netz der IB in dein nachgelagertes Netz willst. D.h. wenn du das WLAN der IB weiterverwenden willst, richtest du eine statische Route ein, damit du per WLAN auf dein nachgeschaltetes Netz kommst. Da stellt sich aber wieder die Frage, warum abtrennen?

Eine DMZ ist für deinen Anwendungsfall geeignet. Lässt keine Verbindung aus dem Netz der Internetbox zu, leitet aber den Internettraffic direkt an deinen zweiten Router weiter.

3. Ein VLAN auf dem Switch für je Server und heimnetz solle ja dann auch möglich sein.

Ja, das konfigurierst du dann aber auf deinem zweiten Router und/oder auf den Switches, nicht in der IB.

Noch eine Anmerkung:

Wenn du auf die Idee kommst, deinen Router und das Heimnetz dahinter aus dem Internet zugreifbar zu machen, dann richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten. Durch die DMZ kommst du dann direkt auf dein nachgeschaltetes Netz.

Hi @Neliommiosch84 

richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten.

Solange du keinen Internetbooster nutzt, funktioniert dyndns auch auf der Sense wunderbar.

Ausserdem: Falls du blue TV nutzt, den IGMP Proxy auf der Sense nicht vergessen 😉

LG

r00t

---

@r00t  schrieb:

Hi @Neliommiosch84 

richte den DDNS-Dienst nicht im nachgeschalteten Router ein, sondern direkt auf der IB. Das geht am einfachsten.

Solange du keinen Internetbooster nutzt, funktioniert dyndns auch auf der Sense wunderbar.

 

LG

r00t

---

Möchte hier noch ergänzen, dass dies im Einzelfall abhängig ist von dem auf dem zweiten Router im kaskadierten Netz eingesetzten DynDNS-Client und wie dieser genau funktioniert.

Es gibt nämlich technisch gesehen 2 unterschiedliche Typen von DynDNS-Clients:

- der ganze einfache Typ, welcher die öffentliche IP stur von seiner eigenen WAN-Schnittstelle her übernimmt, was dann bei einem doppelten NAT dazu führt, dass der DynDNS-Client fälschlicherweise  die private IP in den externen DynDNS-Server füttert, was dann den Zugriff aus dem Internet natürlich verhindert.

- der „intelligentere“ Typ, welcher selbst bemerkt, dass auf der WAN-Schnittstelle im kaskadierten Netz keine öffentliche, sondern eine private IPv4 anliegt und dann als Konsequenz daraus, den DynDNS-Server nicht mit der WAN-IP, sondern mit der direkt im Internet bestimmten öffentlichen IPv4 füttert. Dies funktioniert natürlich auch in einem doppelten NAT korrekt.

Gelernt, habe ich jetzt, dass eine pfSense, gleich wie mein eigener Merlin-Router ebenfalls den „intelligenteren“ Typ von DynDNS-Client unterstützt 🙂

Hi @kaetho 
Vielen Dank für diese ausführlichen Erklärungen.

Gerne ein wenig mehr Infos zu meinem Vorhaben:

Ich würde gerne ein paar selbst gehostete Dinge wie Dashboard, Jellyfin, Nextcloud... vom Internet via Domain zugänglich machen, das ganze soll via Cloudflare Tunnel und Zerotrust passieren, jedoch ist aber Streaming (Jellyfin, Nextcloud) gegen die TOS und sollte vermieden werden, daher ein offener Port. Jedoch ist ja ein offener Port durchaus eine grosse Sicherheitslücke und daher würde ich gerne Opensense dazwischen setzten um mein Heimnetwerz ein wenig besser abzusichern.

Es soll ein VLAN entweder direkt am Opensense oder mit einem switch danach erstellt werden, je eins für Heimnetz und eins für die ganzen Server.

Da aktuell viele Geräte per WLAN laufen und ca. 3 Wlan verstärker (Repeater)(wie auch immer) im betrieb sind möchte ich diese ungerne austauschen, daher meine Frage ob ich das bestehende WLAN so nutzten kann und dass auch von der Firewall von Opensense profitiert.

An der IB soll dannach nichts ausser der opensense router angestöpselt sein (WLAN Geräte??)

Vielen Dank schonmal!

@Werner 

Welcher Typ ist denn der Swisscom DDNS?

Kann der trotzdem noch verwendet werden?

---

@Werner  schrieb:

...

Gelernt, habe ich jetzt, dass eine pfSense, gleich wie mein eigener Merlin-Router ebenfalls den „intelligenteren“ Typ von DynDNS-Client unterstützt 🙂

---

Ok, dann habe ich einen Router (UDMpro mit Version 3.2.5) kaskadiert, der zur "dummen" Sorte gehört. Jedenfalls konnte ich's vor 2 Jahren auf der UDMpro noch nicht einrichten (damals war das noch eine 1er-Firmware) und bin den Weg über DDNS auf der IB gegangen. Jänu, funzt auch so zuverlässig...

@r00t

Nutze ich zum Glück nicht, das wäre wohl alles andere als lustig durch die zwei Public IP's.

Der Swisscom DDNS sollte ja dann auch noch funktionieren ?

Hi @Neliommiosch84 

Wenn du dein Heimnetz weiterbetreiben möchtest wie bisher, kannst du das tun. Dann würde ich die Sense so konfigurieren, dass die Geräte in der "DMZ" also hinter der Sense kein Zugriff aufs LAN haben - diese Regel sollte etwa so aussehen:

(aka erlaube alles, ausser die lokalen Netze)

Damit du auf das Netz hinter der Sense zugreifen kannst, musst du wie von dir erwähnt, eine statische Route setzen. Dann kannst du auf der Sense das "Outbound NAT" deaktivieren.

Dein Netzwerk würde dann so aussehen:

Sprich: LAN ganz normal über Internetbox, DMZ zusätzlich hinter Opnsense. Damit du da einen Sicherheitsgewinn hast, ist es natürlich essenziell, die erwähnte Firewallregel oben nicht zu vergessen.

DDNS: In deinem Szenario kannst du alle DDNS Dienste verwenden. Egal, ob auf der Sense oder Internetbox 🙂.

Übrigens: Habe gerade gestern mit Jellyfin live TV herumprobiert - funktioniert mit blue-TV wunderbar, brauchst theoretisch nicht mal ein Abo - müsstest aber den IGMP-Proxy auf der Sense konfigurieren 😉. 

LG

r00t

---

@Neliommiosch84  schrieb:

@Werner 

Welcher Typ ist denn der Swisscom DDNS?

Kann der trotzdem noch verwendet werden?

---

Spielt keine Rolle, welcher Typ der DDNS-Client auf der IB ist. Du wirst die IB nie als 2. Router hinter einem Router betreiben wollen 😉 . Sprich: die IB wird immer die öffentliche WAN-IP erhalten, und dann funktioniert der Client darauf immer.

Und klar, der DDNS-Dienst auf der IB kann immer verwendet werden, in beiden Fällen. Also mit "inteligenten" Routern und mit "dummen" (oder für Dummies) Routern...

Hi @kaetho 

Ok, dann habe ich einen Router (UDMpro mit Version 3.2.5) kaskadiert, der zur "dummen" Sorte gehört

Du triffst da einen wunden Punkt. Das ist ein Feature, welches von UI innert kürzester Zeit implementiert werden könnte und sehr nützlich ist, aber seit Jahren einfach ignoriert wird. Die UDM könnte das problemlos - es müsste nur eine Zeile in einem Konfigurationsfile entfernt werden.

Stattdessen landet es auf der unendlichen "wir wissen es, aber es interessiert uns nicht" Bug-Liste. Diese ist mittlerweile so lang, dass ich persönlich kein Ubiquiti Produkt > Layer 2 mehr nutze. Das GUI kastriert einfach zu viele der guten Features weg. Das finde ich extrem schade.

LG

r00t

---

@Neliommiosch84  schrieb:

@Werner 

Welcher Typ ist denn der Swisscom DDNS?

Kann der trotzdem noch verwendet werden?

---

Den Swisscom DDNS direkt auf der Internetbox kannst Du immer verwenden, denn die IB ist ja selbst der Zugangsrouter ins Internet und bezieht ihre öffentlichen IP-Adressen (sowohl IPv4 wie auch IPv6), welche ja Deinen Internetzugang nach aussen auch repräsentieren, immer direkt und korrekt vom DHCP-Server im Swisscom Backbone.

Einziger Nachteil des DynDNS-Clients direkt auf der IB ist die beschränkte Auswahl an DynDNS-Anbietern, denn auf der IB funktioniert der DynDNS-Client nur mit dem Swisscom-eigenen DynDNS und einer zusätzlichen Listen-beschränten Auswahl von einigen wenigen weiteren Anbietern.

Falls Dein Wunsch-DynDNS-Anbieter von der IB selbst aber auch unterstützt wird, oder Du sowieso nur den Swisscom-eigenen DynDNS-Service benutzen willst, ist die Direktnachführung des DynDNS direkt durch die IB aber sicher die einfachste und beste Lösung, denn die IB ist dasjenige Netzwerkteil, welches als allererstes direkt mitkriegt, wenn die öffentlichen IP-Adressen ausgelöst durch das Swisscom-Backend auch mal wechseln.

Vielen Dank @kaetho  und @Werner !

@Neliommiosch84 

Mein Rat wäre, die statische Route aus dem Netz der IB auf das kaskadierte Netz der pfSense nicht zu definieren, sondern für das WLAN Deine bereits vorhandenen WLAN-Boxen von der IB zu entkoppeln und direkt ins Netz der pfSense zu hängen.

Bei diesem Setup, beziehen dann die WLAN-Boxen ihre IP‘s von der pfSense und nicht mehr von der Internetbox und sind somit selbst auch direkt Bestandteil des pfSense-Netzes, da aber gleichzeitig die Internetbox ja nach wie vor als Gateway zum Internet agiert, holen aber die WLAN-Boxen weiterhin alle Einstellungen für ihre WLAN-Credentials direkt von der Internetbox, auch wenn das eigene WLAN der Internetbox dann vollständig abgeschaltet ist.

Mit der Kombination IB als reiner Zugangsrouter mit abgeschaltetem eigenen WLAN und WLAN-Boxen direkt im kaskadierten Netz, lassen sich also problemlos immer noch alle WLAN-Credentials der WLAN-Boxen weiterhin direkt auf der Internetbox verwalten.

Hi @r00t 

Das ist eine sehr interessante Zeichnung, das habe ich so bisher garnicht in Betracht gezogen, aber eigentlich macht das recht viel Sinn, so wäre mein Heimnetz sozusagen von der gesamten DMZ abgeschottet, aber könnte trotzdem raus ins internet. 

Habe mir eigentlich eher sowas vorgestellt, damit der Opnsense das gesamte internet "schützt" aber der deine variante gefällt mir eigentlich auch ganz gut, was wäre denn da für eine Konfiguration notwendig?

@Werner 
Das wird ja immer besser;)
Meinst du mit entkoppeln einfach Reset und dann in an die Opnsense hängen?
Einige der WLAN-Verstärker sind nicht direkt ins LAN verbunden, das sollte trotzdem funktionieren?

Also du meinst ich kann die WLAN Repeater einfach von der IBox "entkoppeln" und mit der Opnsense verbinden? Muss der Opnsense dafür auch ein WLAN-Interface haben? Weil ich hatte eigentlich vor den M.2 2230 Slot wo das WLAN Modul verbaut ist entweder ein 2x 1GB Ethernet Adapter zu verbauen oder ein 1x 2.5GB Modul.

@Werner 
Was wäre deiner Meinung nach sinvoller/Sicherer?

 oder eher:

@Neliommiosch84 

Mit Entkoppeln meine ich nur Abschalten der WLAN-Synchronisation auf der IB.

Ein Reset der WLAN-Boxen ist ebenfalls nicht sinnvoll, bzw. nicht notwendig, denn sie sollen ja bewusst mit den selben WLAN-Credentials, wie sie auf der IB definiert sind, weiterlaufen.

Also einfach nur vom LAN der IB ins LAN der pfSense hängen und nach Neustart kurz kontrollieren, ob sie auch korrekt eine IP aus dem pfSense-Netz bezogen haben und das war es dann auch schon.

Der „pfSense-Router“ selber braucht dann kein WLAN, denn dieses kann ja vollständig durch die Accesspoints zur Verfügung gestellt werden, auch WLAN-Boxen als Funkrepeater würden in diesem Konstrukt funktionieren, wobei natürlich mindestes eine WLAN-Box als echter Accesspoint LAN-gebunden am kaskadierten Router (bei Dir dann pfSense)  hängen muss.

@Werner 
Perfekt!
Besten Dank!