ipfire (oder Alternative) als VM unter VMware

[variousos]

Hallo liebe Leute,

ich möchte neben anderen Anwendungen (Exchange 2013, NAS4free als Backup vom NAS) eine Firewall auf dem Dell T20 installieren. Meine Frage lautet, ob ich ipfire (gern auch Alternativen!) dort als VM laufen lassen kann? Weiterhin stellt sich mir die Frage, ob die dafür nötigen 2 NIC´s nativ eingebaut sein müssen oder ob ich dafür auch virtuelle NIC´s nutzen kann?

DANKE für Eure Antworten...

variousos

 

[AliManali]

Kannst Du machen, jedoch würd ich vor dem ganzen einen Router setzen. Am besten mit echter DMZ und LAN getrennt. Mit vSphere ist das cool.

 

[variousos]

Guten Morgen @AliManali,
sorry, dass ich Dir so spät antworte. Aber nicht die Installation des Exchange brauchte all meine Zeit - auch nicht der PKI-Server...aber bis alles mit den Zertifikaten so lief wie ich es wollte....das nahm doch Zeit in Anspruch.
Okay..nun zum nächsten Vorhaben. Ich würde mir gern die 160-200€ für die Hardware einer Firewall sparen. Der T20 hat reichlich RAM und so würde ich das gerne als VM betreiben. Ich MUSS die Fritzbox 6360 nutzen, da ich hier Kabel (Unitymedia) habe. Ist meine Vorstellung richtig, dass ich in den Dell T20 eine 2 Intel-Nic einbaue (habe ich noch eine) und damit z.b. mein "rotes" - externes Netz betreibe und mit der Onboard das "grüne" - interne? Ich betreibe auch eine VPN-VM. Müsste ich die Portweiterleitungen, die ich für den Exchange und den VPN benötige dann auf der Fritzbox belassen oder auf der "ip-fire-vm"? Das ist mir noch nicht klar...
DANKE

 

[H_M_Murdock]

Ja die Fritzbox an ne zusätzliche NIC im ESXi zu hängen ist sicherlich die einfachste Variante.
Die Frage ist halt ob die Fritzbox weiterhin die Einwahl und alles übernimmt oder ob du sie quasi als reines Kabelmodem nutzen kannst, dann würdest du die Portforwardings allein in der IPFire VM mache.
Sonst müsstest du das immer doppelt machen was ziemlich umständlich ist.

Ich betreibe am DSL Anschluss einen Draytek Router als reines DSL Modem und lass den IPFire die Einwahl darüber machen und kann so alles direkt am IPFire machen. Leider kenn ich mich weder mit den Eigenheiten Kabelanschlüssen noch mit denen der FritzBox aus aber eine vergleichbare Konfiguration würde ich dir durchaus anraten.

Als Alternative zu IPFire kann übrigens auch Sophos UTM interessant sein. Hab ich mir selber zwar noch nie in dem Umfang angeschaut wie ich's gern würde, ich bin selber bei IPFire hängen geblieben und damit sehr zufrieden, die UTM kann aber prinzipiell mehr. Gibt's für Privat auch umsonst.

 

[TheBigG]

man kann in der fritzbox die ipfire als exposed host eintragen dann sollte das klappen oder falls business anschluss vorhanden einen bridge port konfigurieren. Bei der Bridgeport config ist dann allerdings die IPv6 Konnectivität weg.

 

[AliManali]

Hi

Ja, wenn Du das Cablemodem im Bridged Mode betreibst (unter Gateway > Switch Mode auf disabled Mode, heisst das bei mir), könntest Du alles in ipfire konfigurieren, da Du dann am Modem direkt eine öffentliche IP beziehst. Allerdings raten viele davon ab, eine Firewall so virtualisiert zu betreiben (Du hast dann doppelte Angriffsfläche: FW und Hypervisor). Als ich die Firewall noch auf dem ESXi laufen liess, hatte ich deshalb am Modem den Router an gelassen (meine Empfehlung). Wenn Du den Router also angeschaltet lässt, müsstest Du ipfire eine fixe IP (im Range des Routers) vergeben, und Portforwarding am Router sowie an der ipfire VM doppelt konfigurieren (doppeltes NAT).

Ich hatte/habe im ESXi 4 Port NIC's verbaut, mit denen bist Du recht flexibel, was solche Spielereien angeht.

Schau Dir auch mal die Endian Community Version an, die hatte ich früher verwendet. Wenn mich nicht alles täuscht, basiert die auch auf IPfire. Ich war recht zufrieden damit.

VPN kannst Du natürlich auch direkt an der FW machen, dafür brauchst Du keine eigene VM.

 

[H_M_Murdock]

Ich finde VPN am Router auch sinnvoller, dann erspart man sich das zusätzliche Routing im internen Netz.

 

[variousos]

Hallo Alle,

@AliManali...eine Möglichkeit der Einstellung "Gateway" habe ich an meiner Fritzbox 6360 (erweiterter Modus) nicht. Ich habe auch aus Kostengründen keinen Business-Tarif bei Unitymedia, denn der kostet ja nun mal inkl. Steuer um die 90€. Ich würde ja die 160-200€ für zusätzliche Hardware ausgeben...aber ich möchte vorher sicher sein, dass mir die Fritzbox da "im Wege steht" und das was ich erreichen möchte auch zu realisieren ist.
Ich werde mal bis zum WE anhand einer Skizze aufzeigen, wie ich mir das vorstelle und ob das so möglich ist. Wenn Ihr damit einverstanden seid...?
LG
variousos

 

[AliManali]

Hi

Ich habe den Thomson (Modem-) Router.

Die Frage ist halt auch, ob Du überhaupt IPv4 beziehst, oder ob Du nur eine IPv6 Adresse hast (Wie ist meine IP-Adresse?).

Wenn Du eine IPv4 Adresse hast, würde ich beim Provider anfragen, wie man den bridge Mode aktiviert. Wenn das nicht möglich ist, sollen die Dir ein neues Modem zukommen lassen, bei dem das möglich ist. Mein Provider verschickt die benötigte Hardware gratis.

Edit:

http://www.zebradem.com/wiki/index....360_Cable_Unitymedia,_"BridgeMode"_aktivieren

Aber wie gesagt, wirklich sinnvoll bzw. sicher ist der bridge Mode bei nachgeschalteter virtueller FW nicht. Ich würd das mit doppeltem NAT lösen.

 

[variousos]

Hallo @AliManali,

ich gehöre noch zu denen, die noch eine IPv4-Adresse vom Provider haben (bin nicht böse drum - denn IPv6-Subnetting bereitet mir immer noch Probleme
Also..ich hatte bereits bei Unitymedia angefragt. Die wollen das bridgen nicht unterstützen. Und leider kann ich mir auch keinen anderen Kabelrouter holen, denn der Provider gibt die dafür erforderlichen Daten nicht frei (das soll sich ja irgendwann mal ändern - vom Gesetz her).

Kann man die Fritzbox moden? Weiß das jemand?

DANKE und Gruß

variousos

 

[AliManali]

Hi

Hatte doch da eine Anleitung verlinkt.

FRITZ!Box 6360 Cable Unitymedia, "BridgeMode" aktivieren

Gehts mit der Anleitung nicht?

 

[Domii666]

Macht den eine fw überhaupt Sinn in einer vm

 

[AliManali]

Wenn sie nicht gerade an einer öffentlichen IP hängt eventuell schon. Aber davon will der TE offensichtlich nichts hören,..

 

[variousos]

Hallo @AliManali,
hallo @Domii666

es sind ja nicht alles VM´s! Ich habe eigentlich ein Pdf-Sheet erstellt, die meine derzeitige Konstellation anzeigt. Aber leider sind nur 100kb erlaubt (müsste sie verkleinern:-(
Da eine der VM´s der Exchange-Server ist - mit einer zusätzlichen VM unter 2012r2 als Zertifizierungsstelle (was ja eine normale Praxis darstellt), wäre mir die Sicherheit schon wichtig...
@AliManali...leider habe ich bisher FBEditor noch nicht herunter laden können. Dafür aber nach ein wenig Unachtsamkeit viele Programme die ich nicht haben wollte...

Da das PDF nicht klappt...ich habe die Fritzbox 6360. Dahinter ein Switch, an dem hängen der 2012r2-Host einzig mit der Rolle Hypes-V (mit 6 VM´s). Weiterhin ein NAS-Server (auf dem werden die 2012-Installationen inkl. VM´s gesichert). Weiterhin ein Backup-Server (der bekommt jeden Morgen per ZFS-Send das Backup vom NAS). Des Weiteren ist am Switch ein iMac angeschlossen (mit Microsoft Remote Desktop für die Konfiguration des 2012-Servers) und 4 Devices (iPad und iPhones sowie ein Raspi - alle per Wlan). Das Netz ist ein 192.168.178/24. Das NAS und der Backup-Server sollen NUR INTERN benutzt werden können (sind aber beide Mitglied der Domäne). Und nicht alle VM´s sollen ins "Internet", wie z.B. der "PKI-Server" und der "Windows-Server-Sicherungsserver". Der Exchange, WSUS und VPN (brauche ich denn dann überhaupt) schon!

War das was ich aufgezeigt habe verständlich? Ich würde, wenn es best-practice ist, eine Hardware-Firewall mit ipFire hinter der FB stellen...

DANKE für die Antwort im Voraus..

variousos

 

[variousos]

Hallo AliManali,

ich habe nach der Lösung eines anderen Problems mich jetzt dem der Firewall angenommen, den FBeditor 0.7, sowie Java herunter geladen und entpackt. Aber im Gegensatz zu der im Link befindlichen Anleitung öffnet sich kein Fenster in dem ich die IP eingeben kann. Mache ich was falsch? Oder ist da etwas "versteckt"?
DANKE und Gruß
variousos