Abgeschottetes Netzwerk fürs Homelab
Guten Abend,
ich möchte mir ein abgeschottetes Netzwerk innerhalb unseres Heimnetzwerkes aufbauen. Heißt, ich will mir PfSense auf einem mini PC installieren und einrichten zum üben und testen (verinnerlichen von VLAN, VPN, IP-Themen usw. in der Praxis).
Wie kann ich das am besten realisieren?
Heimnetzrouter ist aktuell die FritzBox 7590.
Benötigt man hierfür eine DMZ? Dies wäre ja über die FritzBox sowieso nicht realisierbar, da die FB das nicht unterstützt.
Würde es reichen, den Mini PC einfach direkt an die Fritzbox anzuschließen und anhand von Firewallregeln auf der FB den Traffic zu blockieren?
Ich weiß leider nicht genau wie ich das korrekt realisieren kann und was der richtige Weg ist.
Ich würde mich wirklich sehr freuen, wenn Ihr mir Tipps geben könnt.
Vielen Dank und einen schönen Sonntagabend noch!
ich möchte mir ein abgeschottetes Netzwerk innerhalb unseres Heimnetzwerkes aufbauen. Heißt, ich will mir PfSense auf einem mini PC installieren und einrichten zum üben und testen (verinnerlichen von VLAN, VPN, IP-Themen usw. in der Praxis).
Wie kann ich das am besten realisieren?
Heimnetzrouter ist aktuell die FritzBox 7590.
Benötigt man hierfür eine DMZ? Dies wäre ja über die FritzBox sowieso nicht realisierbar, da die FB das nicht unterstützt.
Würde es reichen, den Mini PC einfach direkt an die Fritzbox anzuschließen und anhand von Firewallregeln auf der FB den Traffic zu blockieren?
Ich weiß leider nicht genau wie ich das korrekt realisieren kann und was der richtige Weg ist.
Ich würde mich wirklich sehr freuen, wenn Ihr mir Tipps geben könnt.
Vielen Dank und einen schönen Sonntagabend noch!
Please also mark the comments that contributed to the solution of the article
Content-ID: 4306915926
Url: https://administrator.de/contentid/4306915926
Printed on: December 7, 2024 at 21:12 o'clock
12 Comments
Latest comment
Moin,
du kannst ja die pfSense einfach hinter die vorhandene Fritzbox klemmen und die pfSense macht dann alles in Ihrem eigenen IP-Adressraum. Solange du keine statischen Routen setzt, sollte das ja passen.
Kleine Bemerkung am Rande: Mach nicht den Fehler und kauf dir bspw. für die pfSense eigene Hardware, sondern virtualisiere einfach alles auf deinem eigenen Client wenn der performant genug ist. IMHO wird in der heutigen Zeit für so ein "Test-Lab" keine eigene Hardware mehr benötigt.
du kannst ja die pfSense einfach hinter die vorhandene Fritzbox klemmen und die pfSense macht dann alles in Ihrem eigenen IP-Adressraum. Solange du keine statischen Routen setzt, sollte das ja passen.
Kleine Bemerkung am Rande: Mach nicht den Fehler und kauf dir bspw. für die pfSense eigene Hardware, sondern virtualisiere einfach alles auf deinem eigenen Client wenn der performant genug ist. IMHO wird in der heutigen Zeit für so ein "Test-Lab" keine eigene Hardware mehr benötigt.
Hallo,
DMZ = Exposed Host
Dann pumpt die Fritte alles an eine IP.
Blockieren musst du nichts. Du hast eine doppelte Firewall. Für alles an der FB ändert sich erstmal nichts. Du handhabst es wie gewohnt.
Im Prinzip hast du deine Router-Kaskade. Über die pfsense kommst du aber auch in das Netz der FB, welches ja am WAN Port an liegt.
Oder möchterst du das neue Netz komplett abschotten? Für VLAN, VPN etc. braucht man das normal nicht. Es beißt sich ja nicht.
@aqui hat hier zum Thema zig Anleitungen. Da ist eig. alles gut erklärt.
Nur wie gesagt für VPN und VLAN reichen Exposed Host, bzw. das die Netze an sich schon getrennt sind. Da würde erstmal nichts kollidieren .Da dir ja beide Netze gehören, müsstest du dich auch nicht zwingend selber aussperren. Eine absolute Trennung ist für dein vorhaben nicht nötig.
mfg Crusher
DMZ = Exposed Host
Dann pumpt die Fritte alles an eine IP.
Blockieren musst du nichts. Du hast eine doppelte Firewall. Für alles an der FB ändert sich erstmal nichts. Du handhabst es wie gewohnt.
Im Prinzip hast du deine Router-Kaskade. Über die pfsense kommst du aber auch in das Netz der FB, welches ja am WAN Port an liegt.
Oder möchterst du das neue Netz komplett abschotten? Für VLAN, VPN etc. braucht man das normal nicht. Es beißt sich ja nicht.
@aqui hat hier zum Thema zig Anleitungen. Da ist eig. alles gut erklärt.
Nur wie gesagt für VPN und VLAN reichen Exposed Host, bzw. das die Netze an sich schon getrennt sind. Da würde erstmal nichts kollidieren .Da dir ja beide Netze gehören, müsstest du dich auch nicht zwingend selber aussperren. Eine absolute Trennung ist für dein vorhaben nicht nötig.
mfg Crusher
Die VirtualBox erzeugt automatisch ein Netz. Glaube "intnet" nennt sich das. Du kannst da richtig spielen. Nutze die pfSense als VM als Router/Firewall/DHCP-Server, dann hast du dein eigenes Bastelnetz nach deinen Vorlieben.
Steht auch hier beschrieben unter "internal networking".
https://www.thomas-krenn.com/de/wiki/Netzwerkkonfiguration_in_VirtualBox
Steht auch hier beschrieben unter "internal networking".
https://www.thomas-krenn.com/de/wiki/Netzwerkkonfiguration_in_VirtualBox
Genau, das ist es. Da ist kein DHCP dahinter, d.h. du machst deine pfsense als DHCP_Server (macht sie ja im Default schon) und schon bekommen deine anderen VMs die auch auf internal stehen eine IP von deiner pfSense. Fertsch. Der pfSense gibst du aber logischerweise zwei NICs, einmal eine NAT damit sie Internet bekommt durch deine Fritte/dein PC und dann noch eine zweite NIC als intnet als internes.
Bei VMware wäre es Host-Only. Zwar gibt es einen neuen Adapter auf den Windows Host, aber das macht nichts, da auch hier eine Trennung vorliegt.
Selbst wenn hier eine Schnittmenge beider Netze vorliegt, passiert nicht viel.
DHCP kann an beiden anbleiben. Auf der FB die IP für den Exposed Host reservieren oder eine feste IP vergeben. Ich würde ggf. den Assistenten auf der pfsense durchlaufen lassen. Neben DNS gibt es noch Unbound DNS. Bei der OPNsense hatte ich da mal das Problem, dass der Dienst ausgestiegen ist. Keine Namensauflösung.
Normal kommen DHCP und DNS für das "neue" Netz von der pfsense. Sollte es hier ein Problem geben, wäre meine Empfehlung: Entweder die Dienste neu starten oder einmal den Wizard durchlaufen lassen.
Unter VMware Workstation macht der virtuelle Adapter auch DHCP. Würde ggf. das bei der Virtual Box einmal durchgehen und ausschalten. Es sollte nur die pfsense DHCP/ DNS machen. Ein führendes System braucht man und warum im Lab nicht alles bei dem neuen Gateway belassen?
Selbst wenn hier eine Schnittmenge beider Netze vorliegt, passiert nicht viel.
DHCP kann an beiden anbleiben. Auf der FB die IP für den Exposed Host reservieren oder eine feste IP vergeben. Ich würde ggf. den Assistenten auf der pfsense durchlaufen lassen. Neben DNS gibt es noch Unbound DNS. Bei der OPNsense hatte ich da mal das Problem, dass der Dienst ausgestiegen ist. Keine Namensauflösung.
Normal kommen DHCP und DNS für das "neue" Netz von der pfsense. Sollte es hier ein Problem geben, wäre meine Empfehlung: Entweder die Dienste neu starten oder einmal den Wizard durchlaufen lassen.
Unter VMware Workstation macht der virtuelle Adapter auch DHCP. Würde ggf. das bei der Virtual Box einmal durchgehen und ausschalten. Es sollte nur die pfsense DHCP/ DNS machen. Ein führendes System braucht man und warum im Lab nicht alles bei dem neuen Gateway belassen?
Guten Morgen,
wenn du flexibel vom Laptop aus auf das Netz bzw. die Appliance zugreifen willst, bleibt dir eigentlich nur der Weg über Virtualisierung.
Bei einem halbwegs modernen Gerät ist das auch auf einem Laptop kein Problem, zumal dann ja auch kaum Traffic vorliegt und wenn man dann etwas sparsam mit der Ressourcenzuweisung umgeht, sollte das machbar sein.
LG
wenn du flexibel vom Laptop aus auf das Netz bzw. die Appliance zugreifen willst, bleibt dir eigentlich nur der Weg über Virtualisierung.
Bei einem halbwegs modernen Gerät ist das auch auf einem Laptop kein Problem, zumal dann ja auch kaum Traffic vorliegt und wenn man dann etwas sparsam mit der Ressourcenzuweisung umgeht, sollte das machbar sein.
LG
Hallo,
die ich als Hobby oder zum Üben betreibe habe ich einen dritten Switch an dem sind dann OpenWRT.
pfSense, RouterOS in einem eigenen VLAN drin und ein zusätzliche VLAN ist dann eben das WAN Netz.
in sich eine runde Sache. Die braucht man für alle anderen Installationen immer mal wieder und wenn es
bei oder für Freunde(n), Verwandte(n) und Bekannte(n) ist.
- Nullmodemkabel
- Serial zu USB Adapter (FTDI Chip)
- USB 3.0 Stick (64 GB - 128 GB)
- eine miniPCIe WLAN und LTE Modem Karte mit Antennen (für ca. ~30 € für beides)
Nur für PC Engines APU boards
- Serial zu USB Kabel plus Adapter (~ 12 €)
- eine oder mehrere mSATAs 16/32 GB zu durchtauschen
- SP1a Modul (falls ein BIOS Update nicht richtig funktioniert hat)
dann habe ich eben die VM gelöscht und eine neue kopiert. "Nur" da kann man dann eben auch
nicht alles so mit umsetzen, nachbauen ausprobieren und/oder testen bzw. üben wie man es mit
oder auf einer eigenen Hardware kann, wie WiFi, CaptivePortal, GPS und/oder Modem.
Internetkontakt, wie VOIP PBX oder FTP, Web und Mail Server.
den Exposed Host Modus, also "etwas geht" damit schon, nur ob das zielführend ist, ist doch die Frage.
- 5 Port Netgear GS105Ev3 für ca. ~25 €
- 8 Port Netgear GS108Ev3 für ca. ~35 €
- 8 Port Netgear GS108Tv3 für ca. ~70 €
- Hardware sowie den Switch kann man später auch für andere Sachen im Netzwerk benutzen
Dobby
ich möchte mir ein abgeschottetes Netzwerk innerhalb unseres Heimnetzwerkes aufbauen.
Ich habe eine AVM FB mit (DMZ) Switch und dahinter eine pfSense mit (LAN) Switch und für die Gerätedie ich als Hobby oder zum Üben betreibe habe ich einen dritten Switch an dem sind dann OpenWRT.
pfSense, RouterOS in einem eigenen VLAN drin und ein zusätzliche VLAN ist dann eben das WAN Netz.
Heißt, ich will mir PfSense auf einem mini PC installieren und einrichten zum üben und testen
(verinnerlichen von VLAN, VPN, IP-Themen usw. in der Praxis).
Wenn mit oder auf eigener Hardware dann auch gleich ein paar Sachen dazu kaufen dann ist das auch(verinnerlichen von VLAN, VPN, IP-Themen usw. in der Praxis).
in sich eine runde Sache. Die braucht man für alle anderen Installationen immer mal wieder und wenn es
bei oder für Freunde(n), Verwandte(n) und Bekannte(n) ist.
- Nullmodemkabel
- Serial zu USB Adapter (FTDI Chip)
- USB 3.0 Stick (64 GB - 128 GB)
- eine miniPCIe WLAN und LTE Modem Karte mit Antennen (für ca. ~30 € für beides)
Nur für PC Engines APU boards
- Serial zu USB Kabel plus Adapter (~ 12 €)
- eine oder mehrere mSATAs 16/32 GB zu durchtauschen
- SP1a Modul (falls ein BIOS Update nicht richtig funktioniert hat)
Wie kann ich das am besten realisieren?
Ich habe das vorher auf VirtualBox realisiert, und wenn etwas nicht gestimmt oder gepasst hatdann habe ich eben die VM gelöscht und eine neue kopiert. "Nur" da kann man dann eben auch
nicht alles so mit umsetzen, nachbauen ausprobieren und/oder testen bzw. üben wie man es mit
oder auf einer eigenen Hardware kann, wie WiFi, CaptivePortal, GPS und/oder Modem.
Heimnetzrouter ist aktuell die FritzBox 7590.
Benötigt man hierfür eine DMZ?
Nein, die ist für Geräte wie IoT Geräte die nach Hause telefonieren und oder Server und Geräte mitBenötigt man hierfür eine DMZ?
Internetkontakt, wie VOIP PBX oder FTP, Web und Mail Server.
Dies wäre ja über die FritzBox sowieso nicht realisierbar, da die FB das nicht unterstützt.
LAN Port 4 kann zum DMZ Port gemacht werden und zusätzlich unterstützt die AVM FB auch nochden Exposed Host Modus, also "etwas geht" damit schon, nur ob das zielführend ist, ist doch die Frage.
Würde es reichen, den Mini PC einfach direkt an die Fritzbox anzuschließen und anhand von
Firewallregeln auf der FB den Traffic zu blockieren?
Ein zusätzlicher Switch ist schon nett und günstig zu habenFirewallregeln auf der FB den Traffic zu blockieren?
- 5 Port Netgear GS105Ev3 für ca. ~25 €
- 8 Port Netgear GS108Ev3 für ca. ~35 €
- 8 Port Netgear GS108Tv3 für ca. ~70 €
Ich weiß leider nicht genau wie ich das korrekt realisieren kann und was der richtige Weg ist.
- VM kann man löschen und immer wieder neu kopieren wenn etwas nicht passt- Hardware sowie den Switch kann man später auch für andere Sachen im Netzwerk benutzen
Ich würde mich wirklich sehr freuen, wenn Ihr mir Tipps geben könnt.
Kommt auf Dein Budget an und/oder die vorhandene Hardware.Dobby
Statt eines stromfressenden PCs solltest du besser einen Router mit einer SPI Firewall nehmen. 27€ vom Taschengeld in einen Mikrotik hAP Lite investiert bietet dir dafür alles was du oben auf der Wunschliste hast:
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313 ...
- Router
- VLAN bzw. VLAN Switch
- Firewall
- MSSID WLAN
- Radius
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313 ...
Wenns das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!