doubleo
Goto Top

Feedback zum geplanten Netzwerk

Hallo Zusammen,

ich möchte mein Netzwerkaufbau erneuern und bräuchte mal eine Einschätzung und Rückmeldung ob der Aufbau so "sicher" und "vernünftig" ist. Und eventuell hat ja einer Verbesserungsvorschläge und ist bereit diese mit mir zu teilen.

netzwerk 1

Der Layer3-Switch (Cisco) trennt die VLAN-Netzwerke per ACLs und über die Ports werden die Pakete per Trunkmode auch nicht weitergeleitet.

Zu den VLANs:
  • VLAN 11 - Standardroute zum WWW
  • VLAN 10 - Serverpools (DHCP-Server, DNS, Active-Directory, Speicherstorage)
  • VLAN 100 - Clientnetzwerk 1
  • VLAN 200 - Clientnetzwerk 2
  • VLAN 300 - Clientnetzwerk 3
  • VLAN 999 - Gastnetz

VLAN11:
Geht untagged an einem Port in den Layer3 rein und die anderen Ports erhalten keine Pakete aus dem VLAN11 (excluded)

VLAN 100:
Alle Ports untagged und Layer2-Switche hinter dem Layer3 Switch. Trunkports können Pakete getagged an das Servernetzwerk (VLAN 10) weitergeben.
ACLs erlauben nur einzelne TCP-Port und UDP-Ports

VLAN 200 u. VLAN 300:
ähnliche Konfiguration wie VLAN 100

VLAN 999-Gastnetz:
untagged
In der ACL ist nur ein UDP-Port freigeschaltet zum DHCP-Server im Servernetzwerk


Ich würde jetzt gerne das NAS mit der Nextcloud freigeben.
Extern:
Per Portweiterleitung den einen Port von der Fritzbox auf die pfsense leiten. Dort dann alles blockieren außer den einen Port. (Doppeltes NAT müsste ich mal mit experimentieren)

Intern (der Pfeil fehlt bis dato):
Würde ich im Layer3 Switch jetzt ebenfalls für das interne Netzwerk den einen Port freigeben aus den VLANs 10, 100, 200, 300


Kann man das ganze so aufbauen oder sind in dem Aufbau gravierende Sicherheitsmängel zu erkennen oder Performanceprobleme vorhersehbar?
Falls das komplett Nonsens ist, wäre ich auch über diese Rückmeldung dankbar ;)

Viele Grüße
Olli

Content-ID: 663289

Url: https://administrator.de/contentid/663289

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

SeaStorm
SeaStorm 16.03.2021 um 20:27:36 Uhr
Goto Top
Hi

Warum machst du das alles, wenn du dann die Firewall nur vor das NAS hängst? Warum gehen die Netze nicht durch die Firewall und du nutzt deren Möglichkeiten um die Sicherheit zu erhöhen?
ACLs bringen nur bedingt was, da viele Verbindung ja da sein müssen, wie SMB, RDP oder eben die Verbindung ins Internet. Botnet-Protection über IP und DNS Listen, ggf IPS, IDS etc sind durchaus nützliche Dinge.
doubleo
doubleo 16.03.2021 aktualisiert um 20:57:46 Uhr
Goto Top
Ok. Das heißt die FRITZ!Box komplett durch die pfsense austauschen und die Telefon-Anschlüsse, die jetzt in der FRITZ!Box per rj11 hängen anders aufbauen?
SeaStorm
SeaStorm 16.03.2021 um 21:09:12 Uhr
Goto Top
Hä?
Telefone haben mit meinem Text gar nix zu tun
doubleo
doubleo 16.03.2021 um 21:19:32 Uhr
Goto Top
Mein Netzwerk hat die FRITZ!Box wegen des Telefonanschlusses und als Modem nur dabei.

Ich könnte die FRITZ!Box ja auch rausschmeißen und nur die pfsense mit zusätzlichem Modem vor dem Layer3-Switch schalten.

Telefon war nur meine Erwähnung warum ich die FRITZ!Box im Netzwerk noch drin habe.
cykes
Lösung cykes 17.03.2021 aktualisiert um 06:48:15 Uhr
Goto Top
Moin,

Zitat von @doubleo:
Mein Netzwerk hat die FRITZ!Box wegen des Telefonanschlusses und als Modem nur dabei.
Was für einen Anschluss hast Du denn (xDSL, Kabel, Gf ...) bei welchem Provider?
[...] die jetzt in der FRITZ!Box per rj11 hängen anders aufbauen?
Was für Telefone sind denn das? Ggf. könnte man die Fritte hinter der pfSense als IP-Client und reine TK-Anlage betreiben. Vielleicht sind aber auch ein paar günstige echte IP-Telefone die bessere Wahl.
Ist das ein Firmennetz oder private Spielwiese?

Gruß

cykes
the.other
the.other 17.03.2021 um 10:05:35 Uhr
Goto Top
Moinsen,
aus meiner Hobbykeller-Admin-Sichtweise könntest du (für den privaten Gebrauch) auch den Aufbau so gestalten:

WWW-------Fritzbox, daran dein Nextcloud-NAS (in der quasi DMZ)-----------pfsense an Fritzbox, dahinter dann dein eigentliches LAN mit den VLAN Segmenten.

Wäre vielleicht übersichtlicher und du erhältst deine Fritzbox-Telefon Option.

Aber (wie gesagt) aus reiner Hobbykelleradmin-Sicht heraus.

;)

Grüßle,
th30ther
SeaStorm
Lösung SeaStorm 17.03.2021 um 13:26:36 Uhr
Goto Top
Hi

wie @cykes schon gesagt hat, muss die Fritte nicht unbedingt das Internet bereitstellen damit die Telefonie funktioniert.
Du kannst die SIP Daten auch selbst eingeben. Aber nutzt ihr ernsthaft noch analoge Telefone ? So ne Fritte nimmt ja jetzt auch nicht grad viele Telefone auf face-smile

Im Businessumfeld würde ich das so machen:
WWW -> Modem(Falls Nötig. Was für ein Anschluss ist das eigentlich?) -> pfsense -> Switch -> Netze

Die VLAN Interfaces (also die Defaultgateway-IP) liegen auf der Firewall. Die macht dann Security, weil der gesamte Traffic durch sie durch geht. Damit lässt sich auch eine ordentliche DMZ für das NAS basteln.
Entsprechend potent muss die Hardware darunter dann natürlich auch sein.

Der Switch ist dann nur noch zum verteilen der VLANs auf die Ports da.

Die Fritte kommt in ein eigenes Telefonie-Netz und kann da dann von mir aus Telefonanlage spielen. Aber IMHO könnte man das auch mit richtigen SIP Telefonen oder einer richtigen Anlage lösen. Aber dazu wissen wir hier jetzt natürlich viel zu wenig über deine Umgebung
doubleo
doubleo 17.03.2021 um 18:20:35 Uhr
Goto Top
wie @cykes schon gesagt hat, muss die Fritte nicht unbedingt das Internet bereitstellen damit die Telefonie funktioniert.
Du kannst die SIP Daten auch selbst eingeben. Aber nutzt ihr ernsthaft noch analoge Telefone ? So ne Fritte nimmt ja jetzt auch nicht grad viele Telefone auf face-smile

Das Gebäude verwendet für die Klingeln und Gegensprechanlage noch die alten RJ11-Kabel. Hatte diese aus Bequemlichkeit einfach an die IP-Telefone weitergeleitet.
Daher der Einsatz der Fritte noch.

Im Businessumfeld würde ich das so machen:
WWW -> Modem(Falls Nötig. Was für ein Anschluss ist das eigentlich?) -> pfsense -> Switch -> Netze

Die VLAN Interfaces (also die Defaultgateway-IP) liegen auf der Firewall. Die macht dann Security, weil der gesamte Traffic durch sie durch geht. Damit lässt sich auch eine ordentliche DMZ für das NAS basteln.
Entsprechend potent muss die Hardware darunter dann natürlich auch sein.

Der Switch ist dann nur noch zum verteilen der VLANs auf die Ports da.


Das hört sich nach einer guten Lösung an. Werde das mal testen ob meine Hardware genug Power unter der Haube hat, damit das alles läuft.

Die Fritte kommt in ein eigenes Telefonie-Netz und kann da dann von mir aus Telefonanlage spielen. Aber IMHO könnte man das auch mit richtigen SIP Telefonen oder einer richtigen Anlage lösen. Aber dazu wissen wir hier jetzt natürlich viel zu wenig über deine Umgebung
Das ist ebenfalls ein guter Hinweis. Dann baue ich für die alte Klingel und Gegensprechanlage noch ein zusätzliches VLAN auf. Bin auf diese Lösung nicht gekommen.

Wald, Bäume ... face-wink

Herzlichen Dank für die Rückmeldungen. Ich habe für mich jetzt mitgenommen, wenn ich die oben beschriebenen Änderungen vornehme, dann ist das schon nicht ganz so übel als Sicherheitskonzept.

Ich drücke dann mal auf gelöst.

Nochmals herzlichsten Dank