jimmmy
Goto Top

Feedback zur Netzwerksegmentierung

Hi!

Ich steige gerade von IPfire in meinem privaten Netzwerk auf OPNsense um und greife die Gelegenheit auf, um das Netzwerk besser zu segmentieren (habe jetzt mehr LAN-Anschlüsse an der Firewall).

hier die bisherige Skizze für den geplanten Aufbau:
eigenes netzwerk-future

Einwände, Verbesserungen, sonstige Ideen?

Grüße
jim

Content-ID: 53729651145

Url: https://administrator.de/forum/feedback-zur-netzwerksegmentierung-53729651145.html

Ausgedruckt am: 27.12.2024 um 22:12 Uhr

aqui
aqui 18.06.2024 aktualisiert um 15:24:23 Uhr
Goto Top
hier die bisherige Skizze für den geplanten Aufbau:
Wohl eher eins der beliebten "Wimmelbilder". face-sad
Einwände, Verbesserungen, sonstige Ideen?
Die zahllosen IPs unter der Firewall sind deine VLANs bzw. dazu korrespondierende VLAN IPs, sprich also ein Layer 2 VLAN Konzept wie HIER beschrieben?? 🤔
Wenn ja wäre eine homgenere IP Adressierung dieser lokalen IP Netze deutlich sinnvoller als dein "Wildwuchs". Gerade im Hinblick auf eine spätere VPN Nutzung mit der Option dann Summary Netzwerk Masken nutzen zu können. Ist aber wie gesagt kein Muss, erleichtert aber entsprechende Konfigs deutlich.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ansonsten: Alles richtig gemacht! 👍
jimmmy
jimmmy 18.06.2024 um 15:38:01 Uhr
Goto Top
Wohl eher eins der beliebten "Wimmelbilder". face-sad
yesss... geil! :D

Die zahllosen IPs unter der Firewall sind deine VLANs

nope, das sind tatsächliche 6 LAN-Anschlüsse an der Firewall, die entsprechend zugewiesen werden.

Mit VLANS habe ich mich bisher nicht beschäftigt, aber ich merks, es wird Zeit.
Danke für die zwei Links, werds mir mal reinziehen.

VPN wird bisher lediglich zur Nutzung vom Internetzugang mit dem internen DNS-Server (pihole) genutzt. Hat also keinen Zugang zur sonstigen Netzsegmenten. Das wird auch vorerst so bleiben. Wenn ich dein Link zu IKEv2 beim Überfliegen richtig verstanden habe, geht es dort um die Einrichtung von VPN direkt auf der OPNsense-Hardware, richtig? Das wäre bei mir nicht der Fall. VPN ist auf Brume2 von Glinet ausgelagert.
aqui
aqui 18.06.2024 aktualisiert um 16:13:29 Uhr
Goto Top
nope, das sind tatsächliche 6 LAN-Anschlüsse an der Firewall
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?! face-wink
mit dem internen DNS-Server (pihole) genutzt.
Das wäre mit dem Einsatz deiner neuen OPNsense dann natürlich überflüssiger Unsinn. Zumal man mit so einem antquierten Konzept auch noch ungeschützten Internet Traffic ins interne Netz leiten muss, ein NoGo. Gute Berater wissen ja das VPNs immer auf die Peripherie wie Router oder Firewall gehören!
Zweiter guter Punkt da etwas zum Besseren zu ändern! face-wink
geht es dort um die Einrichtung von VPN direkt auf der OPNsense-Hardware, richtig?
Richtig! Wie es sich auch für ein gutes und vor allem sicheres Netzwerk gehört und den onboard VPN Client aller Endgeräte supportet ohne Zusatzsoftware Frickelei.
Deine PiHole Grusellösung gehört ganz sicher nicht dazu, ganz im Gegenteil wenn man auf diese Weise einen DNS Filter so exponiert!
Das wäre bei mir nicht der Fall. VPN ist auf Brume2 von Glinet ausgelagert.
Genauso krank, da intern im Netzwerk wo ein VPN nicht hingehört. Ein Security NoGo!
Da fragt man sich letztlich ernsthaft was dann der Kasperkram mit einer kaskadierten Firewall überhaupt noch soll wenn so gut wie alles bei dir diese aushebelt?? Aber egal...
Besser du belässt es vielleicht dann doch ganz einfach ala keep it simple stupid bei deinem Router. 🤔
jimmmy
jimmmy 18.06.2024 um 16:36:12 Uhr
Goto Top
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?!

oh Mann! :D
ich lebe gerne in der Steinzeit, dort, wo man noch nicht alles digitalisiert hat.
Aber ich beschäftige mich mal mit VLANs.

Gute Berater wissen ja das VPNs immer auf die Peripherie wie Router oder Firewall gehören!

mein VPN hängt ja an der FW im DMZ dran, gibts da ein Problem? Es ungeschützt am Provider-Router hängen zu lassen, halte ich für keine gute Idee.

Das wäre mit dem Einsatz deiner neuen OPNsense dann natürlich überflüssiger Unsinn.

Du meinst, weil ich dort die Tracker etc. intern filtern kann? Klar, dann wäre zusätzliche Hardware unnötig. Wobei ich mich frage, inwiefern es besser ist die FW einfach FW sein zu lassen, ohne sie mit zusätzlichen Diensten löchriger zu machen.

Richtig! Wie es sich auch für ein gutes und vor allem sicheres Netzwerk gehört und den onboard VPN Client aller Endgeräte supportet ohne Zusatzsoftware Frickelei.

Siehe oben. Ist die Überlegung nicht legitim die FW von Zusatzdiensten aufgrund der Sicherheit zu entlasten? Klar, man holt sich die 'Unsicherheit' von der anderen Hardware wieder rein, aber bisher sehe ich keine wirklichen Vorteile, warum VPN etc. auf der FW laufen sollte. Haste da nen guten Artikel dazu?

Ich verstehe deine supersichere Einseitigkeit nicht. Ich kenn halt zwei Konzepte: entweder alles auf die FW laden oder eben auslagern. Beides hat meines Wissens nach Vor- und Nachteile. Wenn du mir dazu einen nachvollziehbaren Artikel hast, lerne ich gerne dazu.
nachgefragt
nachgefragt 19.06.2024 um 07:21:27 Uhr
Goto Top
Zitat von @jimmmy:
Aber ich beschäftige mich mal mit VLANs.
Tipp, auch mit ACL: https://de.wikipedia.org/wiki/Access_Control_List

Ich weiß nicht ob das Switch das kann, aber wenn die Anforderung ist, z.B. das nur bestimmte IP Adressen per TCP139 auf deine Synology verbinden dürfen, dann ist ACL ebenfalls eine Option. Oder auch das nur dein Admin-Notebook sich per TCP8443 verbinden darf,... .

Wenn deine Firewall in die Knie geht, hab das einfach im Hinterkopf face-wink

zum Zeichnen hilft dir evtl. https://www.drawio.com/
aqui
aqui 19.06.2024 um 08:58:40 Uhr
Goto Top
Coreknabe
Coreknabe 19.06.2024 um 14:08:22 Uhr
Goto Top
Moin,

@aqui
nope, das sind tatsächliche 6 LAN-Anschlüsse an der Firewall
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?!

Da ich unser Netzwerk auch demnächst mal wieder weiter segmentiere, magst Du mal erläutern, was genau daran so oldschool ist? Ich wäre jetzt auch davon ausgegangen, dass das Sinn macht, einfach, um nicht sämtlichen Traffic über eine Schnittstelle zu schubsen...

Gruß
aqui
aqui 19.06.2024 aktualisiert um 15:26:22 Uhr
Goto Top
Bei 2-3 Segmenten ist das sicher tolerabel, da hast du Recht, das ist ja letztlich immer Ermessenssache. Mit 10 VLANs und mehr ist das dann aber schnell sinnfrei. Da nimmt man dann eher einen LACP LAG mit einer höheren Bandbreite der Memberlinks. Damit hat man dann nicht nur die Bandbreite besser verteilt sondern gleich auch eine Linkredundanz was das "oldschool" Konzept ebenfalls nicht bietet und in Firmennetzen immer ein valider Punkt ist.
Coreknabe
Coreknabe 19.06.2024 um 15:50:50 Uhr
Goto Top
@aqui
OK, danke Dir!

Gruß
jimmmy
jimmmy 20.06.2024 um 13:21:07 Uhr
Goto Top
Wenn deine Firewall in die Knie geht, hab das einfach im Hinterkopf

danke face-smile ansonsten habe ich das bisher über die FW geregelt. Aber klar, das wäre ne Option.

ich denke VLAN lohnt sich eben bei mehr als 6 Segmenten und nötiger Flexibilität im Netz. Finde es ansonsten an 6-Port-FWs und einem recht statischen Aufbau unnötig.

Den Punkt um die Auslagerung oder nicht Auslagerung von VPN und Filter wie PiHole/Adguard von der FW würde ich gerne noch fertig diskutieren. Da mir diese einseitige Sicht bisher nicht untergekommen ist, dass solche Dienste auf der FW laufen sollten.
aqui
aqui 20.06.2024 aktualisiert um 14:23:07 Uhr
Goto Top
Da mir diese einseitige Sicht bisher nicht untergekommen ist
Unverständlich wenn du im Bereich von professionellen Firmennetzwerken mit VPNs unterwegs bist. 🤔 Das ist dort best Practise und eine Binsenweisheit.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
Für ein einfaches Heimnetz und einem VPN zu Oma Grete ist das sicher auch tolerabel. Hängt eben immer davon ab wie hoch das jeweilige Sicherheitsempfinden ist.
jimmmy
jimmmy 20.06.2024 um 17:28:49 Uhr
Goto Top
Unverständlich wenn du im Bereich von professionellen Firmennetzwerken mit VPNs unterwegs bist.

Habe mich die Tage extra mit einigen Profis unterhalten und sie sehen das differenziert. Wenn die Manpower vorhanden ist, ist die Auslagerung von verschiedenen Segmenten auf extra hardware sehr wohl angebracht.

Beim Netz von Oma Grete (oder eben bei einem nicht so umfangreichen bzw. nicht intensiv betreuten Netz) kann man dagegen alles auf eine Kiste backen.
aqui
aqui 21.06.2024 um 10:58:09 Uhr
Goto Top
Der Begriff "Profi" ist ja auch immer höchst relativ... 😉
Coreknabe
Coreknabe 21.06.2024 um 13:00:45 Uhr
Goto Top
Moin,

naja, wer den fortschrittlichen und vorausschauenden Ansatz nutzen will, die Sicherheit ist mit Sicherheit (sic!) auch höher, nutzt ZTNA. Das wird sich auch über kurz oder lang durchsetzen. Ob das jetzt aber für alle genutzt werden muss, sei mal dahingestellt. Da ist auch viel Marketinginteresse dahinter: VPN ist veraltet, böse und unzureichend!

Wenn es um extremst sensible Daten geht, ist ZTNA vielleicht das Mittel der Wahl. Schön erklärt hier:
https://www.it-daily.net/it-management/business-software/ztna-vs-vpn-was ...

Gruß und ein schönes Wochenende!
aqui
aqui 21.06.2024 aktualisiert um 15:14:25 Uhr
Goto Top
Diese Schlussfolgerung bzw. Kategorisierung ist aber aus Konzeptsicht fehlerhaft. (Zitat): "...sind sich die beiden Technologien allerdings keine Konkurrenz, sondern viel mehr eine großartige Ergänzung."
Das eine kann also nicht one das andere wenn man so ein Konzept umsetzt.
jimmmy
jimmmy 22.06.2024 um 10:04:36 Uhr
Goto Top
Gibts denn hier noch eine Zweit- & Drittmeinung zum Thema:

VPN-Server direkt auf der OPNsense betreiben oder z.B. auf ein Gerät von Glinet (Brume2) mit openwrt auslagern?
aqui
aqui 22.06.2024 aktualisiert um 10:43:22 Uhr
Goto Top
Openwert?? 🤔
Wenn du schon eine OPNsense hast die ALLE VPN Protokolle (außer onboard L2TP VPNs was nur die pfSense kann) supportet, warum sollte man dann noch zusätzliche Hardware mit zusätzlichem Stromverbrauch und zusätzlichem Management aufwenden für eine Funktion die eh vorhanden ist. Das wäre ja ziemlich unsinnig und auch kontraproduktiv wie du sicher auch selbst fairerweise zugeben musst.
Zudem ist das OS gerade von GLinet nicht OpenWRT kompatibel. Die betreiben bekanntlich eine eigene, proprietäre OpenWRT Implementation. Auch das hat sicherheitstechnisch schon ein ziemliches "Geschmäckle". Zu mindestens für einen dem so etwas wichtig ist...?! face-wink
jimmmy
jimmmy 22.06.2024 um 11:23:34 Uhr
Goto Top
Also mich würden wirklich noch Ansichten von anderen interessieren. Deine selbstsichere Meinung mit ständigen Anspielungen, Smileys und Ausrufezeichen ist mir bereits gut bekannt ;)

Wie ich schon schrieb, nein, es ist nicht einfach nur unsinnig, nichts muss ich da zugeben. Es hat ganz klar auch Vorteile, wenn man die extra Hardware/Software entsprechend pflegt. Ganz nach dem Prinzip nicht alle Eier in ein Korb zu legen. Sollte sicherheitstechnisch bekannt sein, ist jetzt kein neues von mir erfundenes Konzept.

Oh, dass sie mittlerweile nicht mehr open source sind, ist mir entgangen. Danke für den Hinweis. Da haben sie wohl 2023 den change gemacht: https://forum.gl-inet.com/t/formal-statement-on-gl-inet-software-going-c ...

Bzw. ganz open source waren sie wohl nicht und Beigeschmäckle hatte ich diesbezüglich immer. Aber darum soll es hier nicht gehen. Wird jetzt eine Überlegung sein, mich von ihnen zu verabschieden. GliNet ist da nur ein Beispiel. Man kann Wireguard oder sonst was auf anderer Hardware aufsetzen.

Die Frage ist hier: aus der FW auslagern, ja oder nein.
aqui
aqui 22.06.2024 aktualisiert um 13:22:18 Uhr
Goto Top
nach dem Prinzip nicht alle Eier in ein Korb zu legen
Aber dann ganz sicher nicht in billigste Chinakracher HW unterster Kategorie... Aber du hast Recht, warten wir mal auf die Zweit- oder Drittmeinung...
aqui
aqui 08.07.2024 um 09:50:17 Uhr
Goto Top
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?