Architekturfrage mit pfSense, Sophos UTM, OpenVPN

Mitglied: justas

justas (Level 1) - Jetzt verbinden

16.04.2016, aktualisiert 11:32 Uhr, 3652 Aufrufe, 10 Kommentare

Hallo Gurus,

ich stecke in einem Architektur-Problem und habe gerade keine Super-Idee. Vielleicht bringt mich jemand auf die korrekte Lösung.
Mein Netzwerk sieht aktuell so aus:

img1 - Klicke auf das Bild, um es zu vergrößern

Wichtige Eigenschaften:
1) Eigenes VLAN/WLAN für Gäste über zwei AP's nur mit Internet, ohne Zugriff auf lokale Ressourcen
2) DHCP Server für LAN & VLAN läuft auf der pfSense
3) OpenVPN Client auf der pfSense-Box hält Verbindung zu einem OpenVPN-Server Provider. TV, Streaming-Box & Co gehen direkt ins WAN, alle anderen Clients über OpenVPN.
4) Geräte im LAN haben Zugriff aufs NAS, wo Dokumente und Medien-Sammlungen liegen
5) Von außerhalb kann ich mit dem Handy / Notebook über DDNS eine OpenVPN-Verbindung zur pfSense-Box aufbauen und habe Zugriff aufs NAS.
6) Der SmartHome-Server ist zwar noch nicht fertig, einzelne interfaces sind aber bereits vorhanden und sollen von außerhalb über OpenVPN erreichbar sein.

Ein Dauerproblem auf der pfSense habe ich mit Squid / SquiGguard / pfBlockerNG / Snort. Vermutlich liegt es an mir, ich will die Produkte nicht kritisieren. Außerdem wäre es zu viel für die kleine Box, wenn sie so viele Aufgaben erledigen müßte. Nun habe ich von der Existenz von Sophos UTM Home Edition erfahren, welche virtualisiert auf der gleichen Hardware laufen kann wie pfSense und ganz viele tolle Features hat. Wichtig für mich wären: URL Filtering, Antivirus, Intrusion protection, Malware scanning, Flood protection (DDoS, portscan blocking), Country blocking sowie einige andere Web & Network Protection Features mit automatischen Updates, die pfSense nicht bietet bzw. ich nicht richtig konfigurieren kann.

pfSense durch Sophos UTM zu ersetzen möchte ich nicht, da Sophos UTM keinen OpenVPN Client / Server hat und selbst, wenn es vorhanden wäre, würde durch die Virtualisierung die AES-Performance leiden, die gerade eh nicht berauschend ist. Ich möchte ein zweites APU-Board besorgen, auf dem neuen pfSense laufen lassen und auf dem alten Sophos installieren. So wäre vermutlich eine vernünftige Lastverteilung und Performance erreicht.

Jetzt stellt sich die Frage, wie man es richtig macht. Sophos zwischen pfSense und FritzBox würde nicht gehen, da die Inhalte AES-verschlüsselt sind, also muß Sophos hinter pfSense sein.

Wenn ich den DHCP Server auf Sophos schiebe, den WAN Port von Sophos mit dem LAN-Port von pfSense verbinde, dann habe ich vermutlich den gewünschten Protection Level im LAN, würde aber die Verbindung von draußen zum NAS und SmartHome-Server verlieren, da pfSense nicht mehr im LAN wäre.

img2 - Klicke auf das Bild, um es zu vergrößern

Wenn ich die pfSense-Box im LAN behalten will, wie kann ich dann erreichen, daß sämtliche Web-Inhalte nach der Entschlüsselung auf pfSense dann durch die Sophos inspiziert werden und gleichzeitig das NAS und der SmartHome-Server intern und extern erreichbar bleibt?

img3 - Klicke auf das Bild, um es zu vergrößern


Eine Idee ist mir gerade beim Schreiben eingefallen, ich kann sie aber noch nicht richtig zur Lösung formulieren: sowohl in der pfSense als auch im NAS gibt es noch je einen freien LAN-Port. Wenn ich die beiden Ports verbinde, wäre das eine mögliche Lösung? Wie kann ich dann in der pfSense konfigurieren, dass der OpenVPN-Client von draußen sowohl den Zugriff auf das NAS hat als auch auf die Admin-UI von Sophos kommt? Der OpenVPN-Server hat ein eigenes C-Netz auf der pfSense, es darf nicht das LAN sein. Wenn das fuktionieren kann, brauch der SmartHome auch ein weiteres LAN-Interface?

img4 - Klicke auf das Bild, um es zu vergrößern

Ich habe den freien LAN-Port von der pfSense noch nie verwendet. Kann man den überhaupt ohne Neuinstallation nachträglich konfigurieren?

Habt Ihr evtl. ganz andere Ideen? Für alle Lösungsvorschläge wäre ich sehr dankbar.



Mitglied: certifiedit.net
16.04.2016, aktualisiert um 12:37 Uhr
Hallo Justas,

prinzipiell ist die Kaskadierung - entschuldige - Schwachsinn. Eine Sophos UTM noch bedeutend mehr als eine pfSense ist darauf konzipiert alle Dienste rund ab zu bilden. Durch eine Kaskadierung leidet der Traffic und die Geschwindigkeit + Wartung. Wenn du es kaskadiert haben möchtest - nutze dedizierte Dienste, die auch Open Source zu bekommen sind. Oder setze direkt für alles die Sophos UTM ein. Diese setzt btw auch auf OpenVPN. Rund, fertig. Bitte nochmals die Factsheets durchlesen.

VG,

Christian

PS: Bedenke, die Sophos UTM hat ein 50 IP Limit in der Home Edition, das hier sieht schon nach Semi mehr aus. ;-) face-wink
Zu Fragen nach Lizenzierung und Bezug darfst du aber gerne auf mich zu kommen ;-) face-wink
Bitte warten ..
Mitglied: altmetaller
16.04.2016 um 16:11 Uhr
Was macht eigentlich der "OpenVPN Server", den Du in der ersten Abbildung "ganz rechts im Internet" eingezeichnet hast?!?
Bitte warten ..
Mitglied: justas
16.04.2016 um 16:51 Uhr
Hallo Christian,

ich will nicht unbedingt die Kaskadierung, das ist nur eine Idee. Mir ist bewusst, dass die Nachteile bringt. Schließlich hat sich in meinem Kopf die Idee mit der Lastverteilung durchgesetzt. Meinst Du, dass sie wirklich mehr Nachteile bringt als Vorteile? Ich habe es noch nicht probiert.

In den Factsheets von Sophos UTM steht viel über VPN, habe aber nichts von OpenVPN entdeckt. Würde der OpenVPN-Tunnel in beide Richtungen funktionieren? Auch auf Android Clients von draußen?

Ich wollte die neue APU 2C4 besorgen, weil sie endlich eine CPU mit AES NI mitbringt, damit AES-Encryption direkt über die CPU läuft. Dann hätte ich endlich eine gute OpenVPN-Bandbreite mit der pfSense. Meine bisherige Recherchen ergaben, dass Sophos nur virtualisiert über VMware ESXi auf dieser Hardware läuft. Stimmt es? Wenn ich auf die Kaskadierung verzichte und Sophos virtualisiert laufen lasse, dann bin ich mir nicht sicher, ob ich in den Genuss von AES-Encryption direkt durch die CPU komme und eine vergleichbare OpenVPN-Bandbreite habe.

Gibt es bereits Erfahrungen damit? Ich befürchte, diesen speziellen Test auf der neuen APU-Hardware hat noch keiner gemacht.

Gruß
Justas
Bitte warten ..
Mitglied: certifiedit.net
16.04.2016 um 16:56 Uhr
Der Ansatz ist ein Grundverschiedener. Sophos Software ist zum einen dafür entwickelt auf a) Sophos Hardware oder b) virtuell (HV, VMw) zu laufen. Die Software ist zwar grundsätzlich auch auf anderen System lauffähig (zaubern können die auch nicht), aber dann muss man sich durch die HCL wühlen.

Also, viel Spaß beim wühlen. Dann findest du auch mehr Details zur verwendeten VPN Technik.
Bitte warten ..
Mitglied: justas
16.04.2016 um 16:59 Uhr
Es gibt unzählige OpenVPN-Server-Provider für die Anonymisierung wie HMA & Co. Ich nutze einen davon um wenigstens das Gefühl zu haben, dass mein Internet-Provider mich nicht trackt.

Die Vorratsdatenspeicherung zusammen mit NSA und Co. bringen eben brave Bürger zu solchen Diensten und steigert deren Umsätze :-) face-smile
Bitte warten ..
Mitglied: certifiedit.net
16.04.2016 um 17:15 Uhr
...und du glaubst, dass das wirklich hilft, wenn es wirklich drauf ankommt? Die (sorry, philosophische) Frage ist doch eher, von wem willst du lieber getracked werden. Der Unternehmung "Staat", oder dem, der dir eine vermeintliche "anonymisierung" im grauen Ausland verkauft? ;)

Aber ja, Site to Site geht natürlich auch, wie die das Lösen oder brauchen ist aber nicht mein Ding ;-) face-wink
Bitte warten ..
Mitglied: justas
16.04.2016 um 17:15 Uhr
Sollte ich mit bei der HCL nichts finden, macht dann die Kaskadierung wieder das Rennen oder gibt es noch weitere Ideen?
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 16.04.2016 um 17:15 Uhr
Anderer HW Ansatz. Kaskadierung macht nie das rennen. Schon per se nicht.
Bitte warten ..
Mitglied: justas
16.04.2016 um 22:03 Uhr
Die Aussage ist eindeutig und für mich wichtig. Danke! Dann versuche ich es ohne Kaskadierung. Aber Sophos ist für mich totales Neuland, schlaflose Nächte mit Konfiguration sind vorprogrammiert
Bitte warten ..
Mitglied: the-buccaneer
17.04.2016 um 03:58 Uhr
Spät gelesen, aber ich kann es nicht lassen: ;-) face-wink

Kaskadierung lassen? Auf deiner Seite vielleicht. Ansonsten bist du ein Fan der Kaskadierung und der damit verbundenen IP-Verschleierung.
Das ist ein sehr alter Trick. Immer noch gerne verwendet.
Sophos ist böse.l Denn kommeziell und nur gezwungenermassen (wg. Zukauf) Open Source und daher noch "frei".
PfSense ist gut, denn (noch) echtes Open Source. (Teils gezwungenermassen)

Warum kannst du mit der PfSense nicht erreichen, was du willst?
Probleme mit Snort, PfBlocker und Squid(Guard) lassen sich i.A. lösen.

Die PfSense kann deine Anforderungen jedenfalls abdecken, wie ich sie kenne. Nur zu. Lass die blöden Sophos-Jungs nur draussen, es geht so oder so. Free oder Supported. ;-) face-wink

BöhmerBuc
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 22 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 17 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...