lennard08
Goto Top

Abgeschottetes Netzwerk fürs Homelab

Guten Abend,

ich möchte mir ein abgeschottetes Netzwerk innerhalb unseres Heimnetzwerkes aufbauen. Heißt, ich will mir PfSense auf einem mini PC installieren und einrichten zum üben und testen (verinnerlichen von VLAN, VPN, IP-Themen usw. in der Praxis).

Wie kann ich das am besten realisieren?
Heimnetzrouter ist aktuell die FritzBox 7590.
Benötigt man hierfür eine DMZ? Dies wäre ja über die FritzBox sowieso nicht realisierbar, da die FB das nicht unterstützt.

Würde es reichen, den Mini PC einfach direkt an die Fritzbox anzuschließen und anhand von Firewallregeln auf der FB den Traffic zu blockieren?

Ich weiß leider nicht genau wie ich das korrekt realisieren kann und was der richtige Weg ist.

Ich würde mich wirklich sehr freuen, wenn Ihr mir Tipps geben könnt.

Vielen Dank und einen schönen Sonntagabend noch!

Content-ID: 4306915926

Url: https://administrator.de/contentid/4306915926

Printed on: December 7, 2024 at 21:12 o'clock

Kuemmel
Solution Kuemmel Oct 16, 2022 at 19:43:35 (UTC)
Goto Top
Moin,

du kannst ja die pfSense einfach hinter die vorhandene Fritzbox klemmen und die pfSense macht dann alles in Ihrem eigenen IP-Adressraum. Solange du keine statischen Routen setzt, sollte das ja passen.

Kleine Bemerkung am Rande: Mach nicht den Fehler und kauf dir bspw. für die pfSense eigene Hardware, sondern virtualisiere einfach alles auf deinem eigenen Client wenn der performant genug ist. IMHO wird in der heutigen Zeit für so ein "Test-Lab" keine eigene Hardware mehr benötigt.
Crusher79
Crusher79 Oct 16, 2022 at 19:49:40 (UTC)
Goto Top
Hallo,

DMZ = Exposed Host

Dann pumpt die Fritte alles an eine IP.

Blockieren musst du nichts. Du hast eine doppelte Firewall. Für alles an der FB ändert sich erstmal nichts. Du handhabst es wie gewohnt.

Im Prinzip hast du deine Router-Kaskade. Über die pfsense kommst du aber auch in das Netz der FB, welches ja am WAN Port an liegt.

Oder möchterst du das neue Netz komplett abschotten? Für VLAN, VPN etc. braucht man das normal nicht. Es beißt sich ja nicht.

@aqui hat hier zum Thema zig Anleitungen. Da ist eig. alles gut erklärt.

Nur wie gesagt für VPN und VLAN reichen Exposed Host, bzw. das die Netze an sich schon getrennt sind. Da würde erstmal nichts kollidieren .Da dir ja beide Netze gehören, müsstest du dich auch nicht zwingend selber aussperren. Eine absolute Trennung ist für dein vorhaben nicht nötig.

mfg Crusher
Lennard08
Lennard08 Oct 16, 2022 updated at 20:04:12 (UTC)
Goto Top
Zitat von @Kuemmel:
Kleine Bemerkung am Rande: Mach nicht den Fehler und kauf dir bspw. für die pfSense eigene Hardware, sondern virtualisiere einfach alles auf deinem eigenen Client wenn der performant genug ist. IMHO wird in der heutigen Zeit für so ein "Test-Lab" keine eigene Hardware mehr benötigt.

Hätte ich fast vorgehabt, danke! :D
In dem Fall müsste ich mir aber in Virtualbox ein neues Netzwerk erstellen oder nicht?
Das Ganze läuft aber auch über WLAN und muss nicht zwingend per Kabel an die FB oder? Ich würde es nämlich ganz gerne am Laptop machen, mit dem ich ständig wo anders sitze face-smile
Lennard08
Lennard08 Oct 16, 2022 at 20:08:28 (UTC)
Goto Top
Zitat von @Crusher79:
Oder möchterst du das neue Netz komplett abschotten? Für VLAN, VPN etc. braucht man das normal nicht. Es beißt sich ja nicht.

So hatte ich mir das vorgestellt. Nach euren Kommentaren ist es aber wohl nicht zwingend notwendig? Dann würde ich darauf verzichten.

Nur wie gesagt für VPN und VLAN reichen Exposed Host, bzw. das die Netze an sich schon getrennt sind. Da würde erstmal nichts kollidieren .Da dir ja beide Netze gehören, müsstest du dich auch nicht zwingend selber aussperren. Eine absolute Trennung ist für dein vorhaben nicht nötig.

Stellt das Exposed Host aber kein Sicherheitsrisiko dar? Oder ist es für diesen Testzweck nicht so schlimm?
Kuemmel
Kuemmel Oct 16, 2022 updated at 20:12:07 (UTC)
Goto Top
Die VirtualBox erzeugt automatisch ein Netz. Glaube "intnet" nennt sich das. Du kannst da richtig spielen. Nutze die pfSense als VM als Router/Firewall/DHCP-Server, dann hast du dein eigenes Bastelnetz nach deinen Vorlieben.

Steht auch hier beschrieben unter "internal networking".
https://www.thomas-krenn.com/de/wiki/Netzwerkkonfiguration_in_VirtualBox
Lennard08
Lennard08 Oct 16, 2022 at 20:17:10 (UTC)
Goto Top
Zitat von @Kuemmel:

Die VirtualBox erzeugt automatisch ein Netz. Glaube "intnet" nennt sich das. Du kannst da richtig spielen. Nutze die pfSense als VM als Router/Firewall/DHCP-Server, dann hast du dein eigenes Bastelnetz nach deinen Vorlieben.

Steht auch hier beschrieben unter "internal networking".
https://www.thomas-krenn.com/de/wiki/Netzwerkkonfiguration_in_VirtualBox

Danke für den Link! Ja, ich glaube das "internal Network" ist hier das korrekte in VirtualBox, damit das sauber mit PfSense funktioniert.
Kuemmel
Kuemmel Oct 16, 2022 at 20:25:01 (UTC)
Goto Top
Genau, das ist es. Da ist kein DHCP dahinter, d.h. du machst deine pfsense als DHCP_Server (macht sie ja im Default schon) und schon bekommen deine anderen VMs die auch auf internal stehen eine IP von deiner pfSense. Fertsch. Der pfSense gibst du aber logischerweise zwei NICs, einmal eine NAT damit sie Internet bekommt durch deine Fritte/dein PC und dann noch eine zweite NIC als intnet als internes.
Crusher79
Crusher79 Oct 16, 2022 at 20:40:43 (UTC)
Goto Top
Bei VMware wäre es Host-Only. Zwar gibt es einen neuen Adapter auf den Windows Host, aber das macht nichts, da auch hier eine Trennung vorliegt.

Selbst wenn hier eine Schnittmenge beider Netze vorliegt, passiert nicht viel.

DHCP kann an beiden anbleiben. Auf der FB die IP für den Exposed Host reservieren oder eine feste IP vergeben. Ich würde ggf. den Assistenten auf der pfsense durchlaufen lassen. Neben DNS gibt es noch Unbound DNS. Bei der OPNsense hatte ich da mal das Problem, dass der Dienst ausgestiegen ist. Keine Namensauflösung.

Normal kommen DHCP und DNS für das "neue" Netz von der pfsense. Sollte es hier ein Problem geben, wäre meine Empfehlung: Entweder die Dienste neu starten oder einmal den Wizard durchlaufen lassen.

Unter VMware Workstation macht der virtuelle Adapter auch DHCP. Würde ggf. das bei der Virtual Box einmal durchgehen und ausschalten. Es sollte nur die pfsense DHCP/ DNS machen. Ein führendes System braucht man und warum im Lab nicht alles bei dem neuen Gateway belassen?
Nils02
Nils02 Oct 17, 2022 at 05:58:00 (UTC)
Goto Top
Guten Morgen,

wenn du flexibel vom Laptop aus auf das Netz bzw. die Appliance zugreifen willst, bleibt dir eigentlich nur der Weg über Virtualisierung.
Bei einem halbwegs modernen Gerät ist das auch auf einem Laptop kein Problem, zumal dann ja auch kaum Traffic vorliegt und wenn man dann etwas sparsam mit der Ressourcenzuweisung umgeht, sollte das machbar sein.


LG
108012
108012 Oct 17, 2022 at 06:14:28 (UTC)
Goto Top
Hallo,

ich möchte mir ein abgeschottetes Netzwerk innerhalb unseres Heimnetzwerkes aufbauen.
Ich habe eine AVM FB mit (DMZ) Switch und dahinter eine pfSense mit (LAN) Switch und für die Geräte
die ich als Hobby oder zum Üben betreibe habe ich einen dritten Switch an dem sind dann OpenWRT.
pfSense, RouterOS in einem eigenen VLAN drin und ein zusätzliche VLAN ist dann eben das WAN Netz.

Heißt, ich will mir PfSense auf einem mini PC installieren und einrichten zum üben und testen
(verinnerlichen von VLAN, VPN, IP-Themen usw. in der Praxis).
Wenn mit oder auf eigener Hardware dann auch gleich ein paar Sachen dazu kaufen dann ist das auch
in sich eine runde Sache. Die braucht man für alle anderen Installationen immer mal wieder und wenn es
bei oder für Freunde(n), Verwandte(n) und Bekannte(n) ist.
- Nullmodemkabel
- Serial zu USB Adapter (FTDI Chip)
- USB 3.0 Stick (64 GB - 128 GB)
- eine miniPCIe WLAN und LTE Modem Karte mit Antennen (für ca. ~30 € für beides)
Nur für PC Engines APU boards
- Serial zu USB Kabel plus Adapter (~ 12 €)
- eine oder mehrere mSATAs 16/32 GB zu durchtauschen
- SP1a Modul (falls ein BIOS Update nicht richtig funktioniert hat)

Wie kann ich das am besten realisieren?
Ich habe das vorher auf VirtualBox realisiert, und wenn etwas nicht gestimmt oder gepasst hat
dann habe ich eben die VM gelöscht und eine neue kopiert. "Nur" da kann man dann eben auch
nicht alles so mit umsetzen, nachbauen ausprobieren und/oder testen bzw. üben wie man es mit
oder auf einer eigenen Hardware kann, wie WiFi, CaptivePortal, GPS und/oder Modem.

Heimnetzrouter ist aktuell die FritzBox 7590.
Benötigt man hierfür eine DMZ?
Nein, die ist für Geräte wie IoT Geräte die nach Hause telefonieren und oder Server und Geräte mit
Internetkontakt, wie VOIP PBX oder FTP, Web und Mail Server.

Dies wäre ja über die FritzBox sowieso nicht realisierbar, da die FB das nicht unterstützt.
LAN Port 4 kann zum DMZ Port gemacht werden und zusätzlich unterstützt die AVM FB auch noch
den Exposed Host Modus, also "etwas geht" damit schon, nur ob das zielführend ist, ist doch die Frage.

Würde es reichen, den Mini PC einfach direkt an die Fritzbox anzuschließen und anhand von
Firewallregeln auf der FB den Traffic zu blockieren?
Ein zusätzlicher Switch ist schon nett und günstig zu haben
- 5 Port Netgear GS105Ev3 für ca. ~25 €
- 8 Port Netgear GS108Ev3 für ca. ~35 €
- 8 Port Netgear GS108Tv3 für ca. ~70 €

Ich weiß leider nicht genau wie ich das korrekt realisieren kann und was der richtige Weg ist.
- VM kann man löschen und immer wieder neu kopieren wenn etwas nicht passt
- Hardware sowie den Switch kann man später auch für andere Sachen im Netzwerk benutzen

Ich würde mich wirklich sehr freuen, wenn Ihr mir Tipps geben könnt.
Kommt auf Dein Budget an und/oder die vorhandene Hardware.

Dobby
aqui
aqui Oct 17, 2022 updated at 06:52:01 (UTC)
Goto Top
Statt eines stromfressenden PCs solltest du besser einen Router mit einer SPI Firewall nehmen. 27€ vom Taschengeld in einen Mikrotik hAP Lite investiert bietet dir dafür alles was du oben auf der Wunschliste hast:
  • Router
  • VLAN bzw. VLAN Switch
  • Firewall
  • MSSID WLAN
  • Radius
Oder alternativ einen professionellen Cisco Router fürs annähernd gleiche Geld der dir all diese Funktionen dann einmal auf Profi Ebene zeigt!
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313 ...
aqui
aqui Oct 31, 2022 at 10:26:16 (UTC)
Goto Top
Wenns das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!