Extra Firewall für VM - OpenVPN

DFFVB

DFFVB

Experte
Thread Starter
Mitglied seit
10.10.2016
Beiträge
219
Hallo zusammen, ich bin gerade dabei mein Heimnetzwerk auf Vordermann zu bringen und teste dabei erstmal ausgiebig.

Ein Bestandteil der fertigen Lösung wird ein Nextcloud sein. Auf dieses will ich von außen zugreifen. Da ich kein Fan von Portforwarding bin, via OpenVPN.

Momentanes (Test-) Setup - ein alter Laptop mit Proxmox - darauf läuft ne VM mit Ubuntu und Nextcloud, und ne separate VM mit Ubuntu Server (soll Alpine werden) und da drinnen ist OpenVPN.

Ich hab bei DynDNS ne Domain, die leitet auf meine dynamische IP weiter. Im Router ist ein Portforwarding auf die OpenVPN VM eingerichtet. Klappt alles bestens.

Jetzt bin ich ein eher paranoider Zeitgenosse und will das bestmöglich absichern. Hab schon SSH mit public key aktiviert, und würde auch sonst noch Härtungsmaßnahmen vollziehen (fail2ban) und diese Anleitung befolgen (ein Radius Server wäre zu viel des Guten oder?).

Anyway: Jetzt das Problem, wenn ich die ufw in Ubuntu aktivere geht erstmal nichts mehr... hab dann die Nextcloud Ports aufgemacht, das ging dann, aber ja, Plex zickt, das Netzlaufwerk (SMB) war nicht mehr erreichbar etc.)

Muss ich da jetzt jeden einzelnen Port freigeben? Oder reicht die firewall von meinem router... weil ein Angreifer der über einen nmap sieht dass 1194 offen ist (final würde ich den wohl in die höheren 40.000 schieben - geringeres Risiko bei Portscans), jedenfalls ein Angreifer der den offenen Port sieht, sieht ggf. dass da OpenVPN läuft und sofern da keine ungepatchte Sicherheitlücke ist, kommt er mit BruteForce und nem 4000 Bit Schlüssel ja nicht weit - oder gibt es da was ich übersehen hab?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Kennt sich hier wirklich keiner raus?
 
...nimm ein richtiges Router/Firewall Image und nicht die blanke ufw in einem Ubuntu.
Für mich hört es sich von hier so an, als ob Du die Netze und (virtuellen interfaces) nicht klatr getrennt hast.
Wieso Ports für nextcloud aufmachen wen am WAN nur openvpn lauscht.

...schonmal pfsense oder opnsense versucht?
 
Danke für die Antwort.

Also auf dem Router / WAN ist nur der OPENVPN Port auf, der auf die dedizierte VM verweist (mit eigener IP). Der Router hat ja eine "eingebaute" Firewall. Jetzt die Frage, reicht diese eine, oder ist noch nötig, in der extra VM auch die Firewall zu aktivieren?

Ja pfsense / sophos hab ich auf dem Schirm... leider lässt es Proxmox nicht zu den LAN Port als WAN zu nehmen und die WLAN Karte als LAN, weil sich die WLAN Karte nicht durchreichen lässt. Ich kann das also erst testen wenn ich ein Gerät mit zwei NICs habe...
 
Hi

Was @hominidae mit den getrennten Netzen und FW Distri meint, siehst Du bei mir:

Enigmabox virtuell

Nur ist es bei mir ein Gateway was heraus telefoniert. Das Prinzip bei den getrennten Netzen ist aber das selbe, weil da brauchst Du mehrere davon. Statt eines VPN Client setzt Du eine Firewall Distri auf, bei der Du Dich einwählst. Ich nutze Endian.

Und ja, dort muss Du in Deinem Router per NAT an die FW Distri routen. Dann hast Du aber hinter Router und der FW doppeltes NAT. Wenn Du das umgehen möchtest, müsstest Du entweder das VPN auf dem Router machen, oder den Router auf bridged stellen. Würd ich aber bei beidem die Finger davon lassen. Dann bleibt doppeltes NAT.

Wenn Du am Proxmox eine freie NIC hast, hängst Du die an dem LAN oder DMZ vSwitch an, und kannst dann auch physische Geräte wie einen Switch da dran anhängen.

Teste also mal z.B. Endian als Firewall, musst Du drei vSwitches dafür anlegen. Zone Grün ist das LAN, Zone Orange kannst Du Deine Server anklemmen. Wie gesagt, mit Switch kommt das auch gut. Falls Du jetzt mal ohne zweite NIC testen möchtest, kann man das auch virtuell.

Wieviel RAM hat denn Dein Proxmox Laptop?
 
Zuletzt bearbeitet:
@Ali

Danke für Deine Antwort. Vlt. müssen wir da nochmal ins Detail gehen. Ich hab auch mal zwei Grafiken angefügt.

Ich habe die PDF gelesen, allerdings ist das ja ein bisschen ein anderes Szenario? Bei mir geht es ja um ein Heimnetz. Die Frage die sich mir stellt, 1. reicht die Firewall vom Router (quasi Exposed Host), oder 2. braucht die VM auch eine Firewall, bzw. sollte 3. der OpneVPN in einer klassischen DMZ stehen?

Mittelfristig ist geplant, den Kabelrouter in den Bridge-Mode zu setzen, eine extra Maschine mit zwei NICs zu kaufen, darauf dann Sophos oder pfSense. Bzw. dann die Maschine mit den zwei NICs, einen NIC (WAN) exklusiv per pass through and die FW Distri (Endian, Sophos etc.) weiterzuleiten, den Ausgang (LAN) dann an einen vswitch, bzw. den zweiten LAN Port. Man könnte OpenVPN ja auch auf der router Distri laufen lassen, warum würdest Du davon abraten?

Der Laptop hat 8 GB RAM und nen i5

Danke schon mal

Folie1.JPGFolie2.JPG
 
statt ubuntu und openvpn greif doch gleich zu pfsense o.Ä.-

Ansonsten:

Meine server laufen mit Webserver / ssh (no root access, only private key) / mailserver mit ordentlichen Passworten und fail2ban eingestellt auf 3 Versuche und 2 Tage Jail.

Abgesehen von einem Zwischenfall, den ich mir über eine WordPress Lücke und etwas 'optimistische' Berechtigungen eingefangen habe (irgendein altes Testprojekt, dass da irgendwo noch rumgeisterte), hab ich da seit Jahren keine Probleme. Am Tag auf drei Server sicher ~500-1000 Versuche, die fail2ban da rausfischt, aber dafür ist es ja da. Das ist sowieso nur botnetz-hintergrundrauschen.
 
@dreadkopp, wie gesagt, sobaöd ich zwei NICs habe kann ich auch mit pfsense/sophos/endian experimentieren - aber Danke! (hatte auch schon mit nem Realtek USB NIC probiert, aber der verlor laufend die Verbindung).

Mein OpenVPN steht ja hinter einer Firewall, Fail2Ban bekommt er auch, sollte eigtl nicht zu viel passieren können...
 
Hi

Mit 8 GB RAM kannst Du das virtuell auf dem Laptop testen. Da brauchst Du keine separate NIC dazu.

Mach Mal bitte ein Schaubild von Proxmox, wie ich auf Seite 5: drei vSwitches, erster LAN, zweiter WAN bzw. NAT vom Router, dritter DMZ. Bei WAN hängst Du die physische NIC ein. Dann kannst Du in den VM Einstellungen die betreffenden vNIC's einhängen. Wenn Du eine FW Distri aufsetzt, musst Du die Adapter Reihenfolge wie oben machen. Dazu ein mini Server (Linux) an der DMZ, und ein Client OS am LAN. Bei der Variante hast Du 3 Gateways, z.B. ->

192.168.15.1/24 LAN
DHCP WAN der FW vom Router
192.168.26.1/24 DMZ

Die Adressen sind glaube ich so Standard in der Endian. Du hast dann also 3 Gateways und wahlweise DHCP daran zur Verfügung. Dort machst Du ein VPN Server am WAN, und beregelst es wahlweise nach der DMZ oder auch ins LAN.

Am Router openVPN einrichten kannst Du auch, das ist sogar eine elegante Lösung. Vor allem, wenn Du einen dedizierten DMZ Port hast. Da brauchst Du aber auch 2 NIC's am Proxmox, eine für LAN, eine für DMZ.

Aber ich würd das erst Mal virtuell am 8GB i5 testen, bevor ich da was verkabeln würde...
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
415
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh