[Ungelöst] Privates Netzwerk absichern / sicherer machen

M

MSP1978

Experte
Thread Starter
Mitglied seit
30.10.2015
Beiträge
31
Ort
Mönchengladbach
Hallo Zusammen,

ich bin gerade dabei mein privates Netzwerk "aufzuräumen" und "sicherer" zu machen.

Zuerst einmal zum groben Aufbau wie er aktuell ist:
Vodafone Business-Anschluss mit dyn. IP (ipv4) und dazu eine Fritzbox Cable 6591
Die Fritzbox macht aktuell zusammen mit einigen Fritz-Powerline-Modulen mein Heimnetzwerk. Ich habe dazu das WLAN an der Fritzbox mit 2 Powerline-APs erweitert um im Haus WLAN zu verteilen sowie mein Büro und die NAS, Drucker usw. zu vernetzen. Im Büro gibt es noch einen Switch der VLAN kann (TL-SG108E).
Hierbei habe ich alles in einem Netzwerk 192.168.10.xxx

Aktuell habe ich im Keller einen HP Microserver auf dem mit ESXi ein paar Windows Server samt Exchange laufen, die ich nun ablösen möchte. Dabei möchte ich nun gerne mein Netzwerk "sicherer" machen und dazu eine Firewall einsetzen, hier die Firewall als VM auf dem Server (Kann aber auch gerne opnsense oder pfsense sein, ich bin da nicht gebunden)...

Hierbei habe ich im Artikel https://community.sophos.com/utm-fi...tzen-update-sophos-utm-und-fb-7490---so-gehts die Idee aufgegriffen mit den 2 IPs auf dem externen Port der Firewall (Der HP Microserver hat 2 Ports).

Allerdings macht mir hierbei der Aufbau des Netzwerkes kopfzerbrechen und ich weis nicht ob das überhaupt so Sinn macht.
Aktuell steht die Fritzbox im Wohnzimmer und ist dort per LAN mit dem Powerline-Modul verbunden um das Netz im Haus zu verteilen. Hier sind dann 2 APs per Powerline verteilt, 1x im Keller beim Server und 1x im Dachgeschoss im Büro. Diese stellen das MESH WLAN der Fritzbox im Hause bereit und sorgen für die LAN Verbindung des Servers und des Büros zur Fritzbox. Die Adapter sind ebenfalls von AVM (1260e)

Wenn ich nun die Firewall als VM auf dem Server im Keller laufen lasse, hätte ich das Problem dass ich nur 1 Netzwerk habe, nämlich das Powerline-Netzwerk. Hier kann ich zwar beide Ports des Servers anbinden und somit unterschiedliche Netze (192.168.xxx und zB 10.10.xxx usw.), aber wirklich getrennt wäre es ja nicht, oder?

Habt Ihr eine Idee wie ich hier die größtmögliche "Sicherheit" herstellen kann, so dass die Fritzbox zwar mein WLAN bereitstellt, aber alle Clients und Server hinter der Firewall "sicher" wären? Geht das über den Aufbau im verlinkten Artikel oder kann ich bei dem Aufbau nichts erreichen, so lange ich nicht direkt hinter die Fritzbox und vor dem Powerline eine Firewall stelle?
Angeblich kann ja VLAN per Powerine von AVM weitergeleitet werden, so dass ich ja zwischen dem Keller (Server) und dem Büro VLANs aufbauen kann. Nur leider fällt da die Fritzbox ja raus da die das nicht kann...

Ich hoffe Ihr versteht was ich meine :-)
Gruss,
Michael
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mit AVM fährst du da in Summe tatsächlich ziemlich schlecht was VLAN angeht. Normalerweise brauchst du: Modem für Internetzugang - Firewall - Netzwerk. Und im Netzwerk dann erst denn Access Point.
 
Hexcode schrieb:
Mit AVM fährst du da in Summe tatsächlich ziemlich schlecht was VLAN angeht. Normalerweise brauchst du: Modem für Internetzugang - Firewall - Netzwerk. Und im Netzwerk dann erst denn Access Point.
Zum Vergrößern anklicken....
Hallo,

das meine aktuelle Konstruktion ziemlich "ungünstig" ist wurde mir beim Ausarbeiten auch bewusst, nur leider habe ich letztes Jahr erst die Powerline-Adapter auf Wunsch einer einzelnen Göttergatting ausgetauscht, um die WLAN-Abdeckung zu verbessern. Wenn ich das jetzt alles austauschen müsste bin ich einen Kopf kürzer 🙃

Würde hier denn ein APU-System mit 3 LAN-Schnittstellen helfen? Ich kann ja auf den Fritzbox-APs das Mesh deaktivieren und in der FB abschalten, so dass mein WLAN dann hinter einer Firewall wäre.
Dann hätte ich eine Firewall hinter der Fritzbox, diese macht dann diverse VLANs im Netzwerk, wobei die APs dann kein VLAN können.
Der eigentliche Zweck der Übung ist das absichern der VMs / Server, als Clients habe ich im WLAN eigentlich nur Handys und Tablets, die kann ich soweit "kastrieren" in der Firewall so dass "das Internet" funktioniert.
Oder reicht hier vielleicht einfach nur eine VM mit Firewall und alle VMs dahinter. Wobei dann muss ich ja auch schauen dass meine Clients von außerhalb auf den Mailserver usw. kommen....

Gruss,
Michael
 
MSP1978 schrieb:
Habt Ihr eine Idee wie ich hier die größtmögliche "Sicherheit" herstellen kann, so dass die Fritzbox zwar mein WLAN bereitstellt, aber alle Clients und Server hinter der Firewall "sicher" wären? Geht das über den Aufbau im verlinkten Artikel oder kann ich bei dem Aufbau nichts erreichen, so lange ich nicht direkt hinter die Fritzbox und vor dem Powerline eine Firewall stelle?
Angeblich kann ja VLAN per Powerine von AVM weitergeleitet werden, so dass ich ja zwischen dem Keller (Server) und dem Büro VLANs aufbauen kann. Nur leider fällt da die Fritzbox ja raus da die das nicht kann...
Zum Vergrößern anklicken....
...solange Du mit "Clients" auch die WLAN-Clients meinst, bekommst Du die nicht "hinter die 2te Firewall", solange das Fritz-/Powerline-Netzwerk diese direkt einbindet. Also WLAN dort aus und die APs hinter die Firewall verbannen.
 
0 8 15 User schrieb:
Geht halt nicht, weil die APs, so wie ich das verstehe, Teil der Powerline-Adapter sind und Powerline gleichzeitig die einzige Verbindung in den Keller zum Server ist.
Zum Vergrößern anklicken....

Hallo,

ja leider ist das der Fall, es handelt sich um Powerline-Adapter mit integriertem AP für 2,4 und 5GHz
Diese stellen das "normale" WLAN der Fritzbox im Mesh sowie den Gastzugang zur Verfügung.
Die WLAN-Clients kann ich natürlich ins Gastnetzwerk "verbannen", dann würde halt der Zugriff auf den Mailserver aber nicht funktionieren(?).
 
...da man im mesh / in der fritte keinen Zugriff auf die firewall hat und auch VLANs nicht gehen, geht es dann eben nicht.....wobei das eben ein WAF / ein kommerzielles Problem ist.

Allerdings verstehe ich den Hintergrund der Diskussion zum Sicherheitsgedanken hier eh nicht....wer muss da vor wem/was geschützt werden?
Die Firewall der Fritz ist durchaus ausreichend.
Allerdings nicht, wenn man sie für Mailserver o.ä. zerlöchert ;-)
 
MSP1978 schrieb:
dann würde halt der Zugriff auf den Mailserver aber nicht funktionieren(?)
Zum Vergrößern anklicken....
Richtig, also brauchst du entweder neue Hardware oder du legst zwei LAN Kabel in den Keller, um das Powerline-Geraffel vollständig hinter die (dann auf dem Server laufende) Firewall verbannen zu können.
 
0 8 15 User schrieb:
Richtig, also brauchst du entweder neue Hardware oder du legst zwei LAN Kabel in den Keller, um das Powerline-Geraffel vollständig hinter die (dann auf dem Server laufende) Firewall verbannen zu können.
Zum Vergrößern anklicken....
Hmm wenn ich die Möglichkeit hätte würde ich sofort alles auf Kabel umsetzen, aber das ist leichter gesagt als getan. Wenn man im Haus wohnt macht man nicht mal eben die Wände auf und verlegt die Kabel neu :-)
Daher habe ich mich notgedrungen für die Krücke Powerline entschieden, aber darum geht es ja hier auch nicht.
Da ich den Server mit den Windows VMs (samt Exchange) ablösen möchte durch ein neues System, wäre für mich nun der Zeitpunkt gekommen, auch das Thema Firewall / Sicherheit wenn möglich zu verbessern. Bisher hing die VM mit Exchange halt per Port Forwarding direkt am Internet und hat die Emails per POP vom externen Mailserver abgeholt, der Zugriff per Handy von Extern erfolgte durch einen DynDNS-Eintrag den ich in meinem externen DNS eingetragen habe (Root-Server) um damit dann per URL Autodiscover an den Handys zu haben.
Wegen der bekannten Sicherheitslücken und dem nahenden Ende von Exchange 2016 (Support), bin ich jetzt an dem Punkt angelangt meine Server neu aufzusetzen.

Was ich benötige ist halt ein Mailserver um meine Emails zu lagern und aber auch in Zukunft weitere Dienste wie Nextcloud usw. von Extern erreichbar zu haben (für mich und meine Familie, rein Privat). Ohne das würde ich mich auf die Fritzbox verlassen.
Zusätzlich habe ich noch eine VPN-Verbindung um im Ausland mein Sky Go ohne Geoblocking nutzen zu können wenn ich auf Reisen bin.

Vielleicht würde bei der Konstellation auch ein Reverse-Proxy vor den "normalen" Servern hinter einer opnsense VM reichen auf dem Server?
Dann würde ich alles was WLAN ist in das Gast-WLAN der Fritzbox packen, den Server mit Port 1 an den Switch im Keller (unmanaged, kein VLAN) verbinden für die Internetverbindung und Port 2 dann mit VLAN 10 hoch ins Büro zum TP-Switch leiten. Dann wäre zwar alles im Powerline-Netzwerk, aber zumindest die Büro-Geräte wie Drucker usw. wären dann im VLAN getrennt vom normalen LAN und dem Gäste-WLAN.

Das ich mit dem aktuellen Aufbau nicht ganz sicher sein kann ist mir leider bewusst, aber ich kann / muss ja auch irgendwo einen Kompromiss machen :-)

Gruss,
Michael
 

Anhänge

  • Aufbau Proxmox Netzwerk.jpg
    Aufbau Proxmox Netzwerk.jpg
    54,5 KB · Aufrufe: 599
Keine Option den Internetzugang im Keller zu realisieren? Dann könnte man von da den Spaß nach oben reichen, hätte aber das Problem mit der Datenrate per Powerlan...
 
Daran hatte ich auch mal gedacht, da die Anschluss-/Verstärkerplatte vom Kabelanbieter im Keller hängt und von dort dann zur MMD im Wohnzimmer geht. Nur habe ich an der Stelle keine Steckdosen um die FB zu versorgen.
Die Datenrate beim Powerline ist eigentlich in Ordnung, ich hätte zwar gerne mehr (Es handelt sich um Powerline 1200), da die Verbindung der einzelnen Adapter zwischen 150-250mBit schwankt reicht mir das aber für WLAN. Einzig die Strecke zwischen Keller und Büro beim Zugriff auf den Server könnte etwas schneller sein. Leider hilft hier auch kein Phasenkoppler, der ist bereits in der UV eingebaut aber hilft dem ganzen auch nicht wirklich auf die Beine.

Im Keller wäre natürlich perfekt, dann würde ich die Fritzbox dort platzieren, den LAN-Port an Port 1 des Microservers klemmen und dann dort die Firewall usw. aufsetzen und mit Port 2 dann ins Powerline gehen....

Wenn im Keller der Verteiler mit dem Abzeig zur MMD im Wohnzimmer ist, kann man dort einfach selber einen weiteren Abzweig durch austausch des Verteilers machen oder muss das zwingend der Kabelnetzbetreiber machen?
 
Wegen Deinem Bild - 192.169.0.10 für den Mailserver - Nönö, das ist kein Privater LAN-Bereich!

Private network - Wikipedia

en.wikipedia.org en.wikipedia.org

Ganz dringend würde ich mich daran halten!

"Dein" Netz ist nämlich anderswo im öffentlichen Bereich in Benutzung: https://awebanalysis.com/en/ip-lookup/192.169.0.10/

Gut, stört erstmal nur Dich, weil ggf. Deine Sachen nicht, gehn, aber gerade wenn man da n Mailserver betreiben möchte... - Doofe Idee!
 
Wieso sollte der Mailserver nicht gehen?

Die Adresse wird nicht nach draußen exponiert.
Verbindungen auf den Mailserver laufen immer über die externe IP und werden intern korrekt geleitet. Zauberwort ist NAT. Das ist auch der Grund, warum man das so macht. Daher kann jeder in seinem Netzwerk scheibe spielen wir man will. Er kann auch 0.0.0.0/0 verwenden, dann hat er halt nen Internetproblem..
Anfrage von intern an den Server, werden durch das interne Routing korrekt geleitet.

Das einzige, was nicht gehen wird, sind Verbindungen in das echte 192.169.0.0/24 (sprich das Externe) Netz.

Trotzdem, man auch im 3. Okett Unterscheidungen vornehmen. Dort verstecken sich die zahlen 0-255, sprich 256 /24 lassen sich damit bilden. Das reicht in aller Regel aus, auch für größere Netze.
Des Weiteren kann man auch kleinere Netze als /24 bilden.

EDIT:
Wenn man also nicht gerade vorhat mit dem DoD in US und A zu quatschen

List of assigned /8 IPv4 address blocks - Wikipedia

en.wikipedia.org en.wikipedia.org
kann man sich hier so richtig schön auslassen.
Da kannst du jeder VM und jeden Rechner in ein eigenes /24 Netz hängen und die Welt ist schön. Außer, du willst das DoD hacken. (oder das DoD direkt dich)
 
Zuletzt bearbeitet:
Aus Sicht des Mailservers is das halt doof - ansonsten, klar kann man NAT machen - je nach System und VPN-Anbindung hat man auch Doppel-NAT - ist aber u.U. auch kein Spaß mehr ;)


Ich versteh halt nicht, warum man sich sowas ans Bein bindet, wenn man in den 3 Netzbereichen mehr als genügend IP's und Subnetze zur Verfügung hat - die sollten natürlich auch Sinnvoll gewählt werden - für 1 System macht es halt auch keinen Sinn, sich nen ganzes /24er Netz wegzumüllen. - Wenn dort auf Absehbare Zeit nix weiter dazu kommt, wie Du sagtest, kann man das sehr gut eingrenzen.

Wir haben im Office ja auch das Problem, das dank der "Vorarbeit" 192.168.1.X als das Primäre Netz läuft - dort alles Wegzubekommen ist ne Mammut-Aufgabe, aber die läuft!
Weil ich i.d.R. vermeide, die typsichen 192.168.0 / 1 / 2 / 178 /179.X zu verwenden, weil das halt im VPN doof ist, wenn die Clients dann "lokal" rumzicken.

Aber gut, ein anderes, Thema, gehört hier nicht hin ;)
 
Hallo,

ups, das kann ich natürlich korrigieren, da ja noch nichts installiert ist :-)
Dann macht einfach ein 192.168.1.0/24 draus, dann passt es wieder :-)

Ich habe mich auch mal weiter belesen und diverse Anleitungen studiert, ich bin aktuell auf folgendem Stand:

Fritzbox --> Server Port1 --> opnsense1 --> Reverse Proxy --> opnsense2 --> Die ganzen VMs + Server Port 2 (für Büro-VLAN)

Ich würde sagen das sollte die Serverdienste soweit absichern wie es möglich ist und Sinn macht, oder was meint Ihr?
Dann lege ich das LAN vom opnsense2 noch auf den Server-Port 2 und der geht dann halt mit durch die Powerline, aber mit VLAN getagged. Und im Büro nutze ich dann meinen Switch ebenfalls mit VLAN.
Dann habe ich halt hinter der Fritzbox mein WLAN mit den Handys und anderen "Geräten" und mein Büro und die Server-Dienste sind dann hinter der Firewall bzw. im VLAN.

Oder habe ich da noch einen Denkfehler?

Gruss,
Michael
 
Anmelden, um zu antworten.

Ähnliche Themen

A
Mein unsicheres Netzwerk optimieren
Antworten
3
Aufrufe
364
p4n0
p4n0
I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
1K
Supaman
Supaman
N
Glasfaser Router gesucht mit guter VPN Performance
Antworten
6
Aufrufe
555
Nieter
N
G
Switch + AP oder Router als AP-Ersatz?
Antworten
6
Aufrufe
840
Supaman
Supaman
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
1K
BobbyD
BobbyD
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh