20
Feedback zur Netzwerksegmentierung
Hi!
Ich steige gerade von IPfire in meinem privaten Netzwerk auf OPNsense um und greife die Gelegenheit auf, um das Netzwerk besser zu segmentieren (habe jetzt mehr LAN-Anschlüsse an der Firewall).
hier die bisherige Skizze für den geplanten Aufbau:
Einwände, Verbesserungen, sonstige Ideen?
Grüße
jim
Ich steige gerade von IPfire in meinem privaten Netzwerk auf OPNsense um und greife die Gelegenheit auf, um das Netzwerk besser zu segmentieren (habe jetzt mehr LAN-Anschlüsse an der Firewall).
hier die bisherige Skizze für den geplanten Aufbau:
Einwände, Verbesserungen, sonstige Ideen?
Grüße
jim
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 53729651145
Url: https://administrator.de/contentid/53729651145
Ausgedruckt am: 27.09.2024 um 22:09 Uhr
20 Kommentare
Neuester Kommentar
hier die bisherige Skizze für den geplanten Aufbau:
Wohl eher eins der beliebten "Wimmelbilder". 
Einwände, Verbesserungen, sonstige Ideen?
Die zahllosen IPs unter der Firewall sind deine VLANs bzw. dazu korrespondierende VLAN IPs, sprich also ein Layer 2 VLAN Konzept wie HIER beschrieben?? 🤔Wenn ja wäre eine homgenere IP Adressierung dieser lokalen IP Netze deutlich sinnvoller als dein "Wildwuchs". Gerade im Hinblick auf eine spätere VPN Nutzung mit der Option dann Summary Netzwerk Masken nutzen zu können. Ist aber wie gesagt kein Muss, erleichtert aber entsprechende Konfigs deutlich.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ansonsten: Alles richtig gemacht! 👍
Wohl eher eins der beliebten "Wimmelbilder". face-sad
yesss... geil! :DDie zahllosen IPs unter der Firewall sind deine VLANs
nope, das sind tatsächliche 6 LAN-Anschlüsse an der Firewall, die entsprechend zugewiesen werden.
Mit VLANS habe ich mich bisher nicht beschäftigt, aber ich merks, es wird Zeit.
Danke für die zwei Links, werds mir mal reinziehen.
VPN wird bisher lediglich zur Nutzung vom Internetzugang mit dem internen DNS-Server (pihole) genutzt. Hat also keinen Zugang zur sonstigen Netzsegmenten. Das wird auch vorerst so bleiben. Wenn ich dein Link zu IKEv2 beim Überfliegen richtig verstanden habe, geht es dort um die Einrichtung von VPN direkt auf der OPNsense-Hardware, richtig? Das wäre bei mir nicht der Fall. VPN ist auf Brume2 von Glinet ausgelagert.
nope, das sind tatsächliche 6 LAN-Anschlüsse an der Firewall
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?! 
mit dem internen DNS-Server (pihole) genutzt.
Das wäre mit dem Einsatz deiner neuen OPNsense dann natürlich überflüssiger Unsinn. Zumal man mit so einem antquierten Konzept auch noch ungeschützten Internet Traffic ins interne Netz leiten muss, ein NoGo. Gute Berater wissen ja das VPNs immer auf die Peripherie wie Router oder Firewall gehören!Zweiter guter Punkt da etwas zum Besseren zu ändern!
geht es dort um die Einrichtung von VPN direkt auf der OPNsense-Hardware, richtig?
Richtig! Wie es sich auch für ein gutes und vor allem sicheres Netzwerk gehört und den onboard VPN Client aller Endgeräte supportet ohne Zusatzsoftware Frickelei.Deine PiHole Grusellösung gehört ganz sicher nicht dazu, ganz im Gegenteil wenn man auf diese Weise einen DNS Filter so exponiert!
Das wäre bei mir nicht der Fall. VPN ist auf Brume2 von Glinet ausgelagert.
Genauso krank, da intern im Netzwerk wo ein VPN nicht hingehört. Ein Security NoGo!Da fragt man sich letztlich ernsthaft was dann der Kasperkram mit einer kaskadierten Firewall überhaupt noch soll wenn so gut wie alles bei dir diese aushebelt?? Aber egal...
Besser du belässt es vielleicht dann doch ganz einfach ala keep it simple stupid bei deinem Router. 🤔
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?!
oh Mann! :D
ich lebe gerne in der Steinzeit, dort, wo man noch nicht alles digitalisiert hat.
Aber ich beschäftige mich mal mit VLANs.
Gute Berater wissen ja das VPNs immer auf die Peripherie wie Router oder Firewall gehören!
mein VPN hängt ja an der FW im DMZ dran, gibts da ein Problem? Es ungeschützt am Provider-Router hängen zu lassen, halte ich für keine gute Idee.
Das wäre mit dem Einsatz deiner neuen OPNsense dann natürlich überflüssiger Unsinn.
Du meinst, weil ich dort die Tracker etc. intern filtern kann? Klar, dann wäre zusätzliche Hardware unnötig. Wobei ich mich frage, inwiefern es besser ist die FW einfach FW sein zu lassen, ohne sie mit zusätzlichen Diensten löchriger zu machen.
Richtig! Wie es sich auch für ein gutes und vor allem sicheres Netzwerk gehört und den onboard VPN Client aller Endgeräte supportet ohne Zusatzsoftware Frickelei.
Siehe oben. Ist die Überlegung nicht legitim die FW von Zusatzdiensten aufgrund der Sicherheit zu entlasten? Klar, man holt sich die 'Unsicherheit' von der anderen Hardware wieder rein, aber bisher sehe ich keine wirklichen Vorteile, warum VPN etc. auf der FW laufen sollte. Haste da nen guten Artikel dazu?
Ich verstehe deine supersichere Einseitigkeit nicht. Ich kenn halt zwei Konzepte: entweder alles auf die FW laden oder eben auslagern. Beides hat meines Wissens nach Vor- und Nachteile. Wenn du mir dazu einen nachvollziehbaren Artikel hast, lerne ich gerne dazu.
Tipp, auch mit ACL: https://de.wikipedia.org/wiki/Access_Control_List
Ich weiß nicht ob das Switch das kann, aber wenn die Anforderung ist, z.B. das nur bestimmte IP Adressen per TCP139 auf deine Synology verbinden dürfen, dann ist ACL ebenfalls eine Option. Oder auch das nur dein Admin-Notebook sich per TCP8443 verbinden darf,... .
Wenn deine Firewall in die Knie geht, hab das einfach im Hinterkopf
zum Zeichnen hilft dir evtl. https://www.drawio.com/
Ich weiß nicht ob das Switch das kann, aber wenn die Anforderung ist, z.B. das nur bestimmte IP Adressen per TCP139 auf deine Synology verbinden dürfen, dann ist ACL ebenfalls eine Option. Oder auch das nur dein Admin-Notebook sich per TCP8443 verbinden darf,... .
Wenn deine Firewall in die Knie geht, hab das einfach im Hinterkopf
zum Zeichnen hilft dir evtl. https://www.drawio.com/
1
Moin,
@aqui
Da ich unser Netzwerk auch demnächst mal wieder weiter segmentiere, magst Du mal erläutern, was genau daran so oldschool ist? Ich wäre jetzt auch davon ausgegangen, dass das Sinn macht, einfach, um nicht sämtlichen Traffic über eine Schnittstelle zu schubsen...
Gruß
@aqui
nope, das sind tatsächliche 6 LAN-Anschlüsse an der Firewall
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?!
Aaahh, ok die Neandertaler Lösung aus der Steinzeit. Nundenn...vielleicht ja einmal die perfekte Gelegenheit solche Altlasten mit dem Neudesign zu entsorgen?!
Da ich unser Netzwerk auch demnächst mal wieder weiter segmentiere, magst Du mal erläutern, was genau daran so oldschool ist? Ich wäre jetzt auch davon ausgegangen, dass das Sinn macht, einfach, um nicht sämtlichen Traffic über eine Schnittstelle zu schubsen...
Gruß
Bei 2-3 Segmenten ist das sicher tolerabel, da hast du Recht, das ist ja letztlich immer Ermessenssache. Mit 10 VLANs und mehr ist das dann aber schnell sinnfrei. Da nimmt man dann eher einen LACP LAG mit einer höheren Bandbreite der Memberlinks. Damit hat man dann nicht nur die Bandbreite besser verteilt sondern gleich auch eine Linkredundanz was das "oldschool" Konzept ebenfalls nicht bietet und in Firmennetzen immer ein valider Punkt ist.
1Wenn deine Firewall in die Knie geht, hab das einfach im Hinterkopf
danke
ansonsten habe ich das bisher über die FW geregelt. Aber klar, das wäre ne Option.ich denke VLAN lohnt sich eben bei mehr als 6 Segmenten und nötiger Flexibilität im Netz. Finde es ansonsten an 6-Port-FWs und einem recht statischen Aufbau unnötig.
Den Punkt um die Auslagerung oder nicht Auslagerung von VPN und Filter wie PiHole/Adguard von der FW würde ich gerne noch fertig diskutieren. Da mir diese einseitige Sicht bisher nicht untergekommen ist, dass solche Dienste auf der FW laufen sollten.
Da mir diese einseitige Sicht bisher nicht untergekommen ist
Unverständlich wenn du im Bereich von professionellen Firmennetzwerken mit VPNs unterwegs bist. 🤔 Das ist dort best Practise und eine Binsenweisheit.https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
Für ein einfaches Heimnetz und einem VPN zu Oma Grete ist das sicher auch tolerabel. Hängt eben immer davon ab wie hoch das jeweilige Sicherheitsempfinden ist.
Unverständlich wenn du im Bereich von professionellen Firmennetzwerken mit VPNs unterwegs bist.
Habe mich die Tage extra mit einigen Profis unterhalten und sie sehen das differenziert. Wenn die Manpower vorhanden ist, ist die Auslagerung von verschiedenen Segmenten auf extra hardware sehr wohl angebracht.
Beim Netz von Oma Grete (oder eben bei einem nicht so umfangreichen bzw. nicht intensiv betreuten Netz) kann man dagegen alles auf eine Kiste backen.
Der Begriff "Profi" ist ja auch immer höchst relativ... 😉
Moin,
naja, wer den fortschrittlichen und vorausschauenden Ansatz nutzen will, die Sicherheit ist mit Sicherheit (sic!) auch höher, nutzt ZTNA. Das wird sich auch über kurz oder lang durchsetzen. Ob das jetzt aber für alle genutzt werden muss, sei mal dahingestellt. Da ist auch viel Marketinginteresse dahinter: VPN ist veraltet, böse und unzureichend!
Wenn es um extremst sensible Daten geht, ist ZTNA vielleicht das Mittel der Wahl. Schön erklärt hier:
https://www.it-daily.net/it-management/business-software/ztna-vs-vpn-was ...
Gruß und ein schönes Wochenende!
naja, wer den fortschrittlichen und vorausschauenden Ansatz nutzen will, die Sicherheit ist mit Sicherheit (sic!) auch höher, nutzt ZTNA. Das wird sich auch über kurz oder lang durchsetzen. Ob das jetzt aber für alle genutzt werden muss, sei mal dahingestellt. Da ist auch viel Marketinginteresse dahinter: VPN ist veraltet, böse und unzureichend!
Wenn es um extremst sensible Daten geht, ist ZTNA vielleicht das Mittel der Wahl. Schön erklärt hier:
https://www.it-daily.net/it-management/business-software/ztna-vs-vpn-was ...
Gruß und ein schönes Wochenende!
Diese Schlussfolgerung bzw. Kategorisierung ist aber aus Konzeptsicht fehlerhaft. (Zitat): "...sind sich die beiden Technologien allerdings keine Konkurrenz, sondern viel mehr eine großartige Ergänzung."
Das eine kann also nicht one das andere wenn man so ein Konzept umsetzt.
Das eine kann also nicht one das andere wenn man so ein Konzept umsetzt.
Gibts denn hier noch eine Zweit- & Drittmeinung zum Thema:
VPN-Server direkt auf der OPNsense betreiben oder z.B. auf ein Gerät von Glinet (Brume2) mit openwrt auslagern?
VPN-Server direkt auf der OPNsense betreiben oder z.B. auf ein Gerät von Glinet (Brume2) mit openwrt auslagern?
Openwert?? 🤔
Wenn du schon eine OPNsense hast die ALLE VPN Protokolle (außer onboard L2TP VPNs was nur die pfSense kann) supportet, warum sollte man dann noch zusätzliche Hardware mit zusätzlichem Stromverbrauch und zusätzlichem Management aufwenden für eine Funktion die eh vorhanden ist. Das wäre ja ziemlich unsinnig und auch kontraproduktiv wie du sicher auch selbst fairerweise zugeben musst.
Zudem ist das OS gerade von GLinet nicht OpenWRT kompatibel. Die betreiben bekanntlich eine eigene, proprietäre OpenWRT Implementation. Auch das hat sicherheitstechnisch schon ein ziemliches "Geschmäckle". Zu mindestens für einen dem so etwas wichtig ist...?!
Wenn du schon eine OPNsense hast die ALLE VPN Protokolle (außer onboard L2TP VPNs was nur die pfSense kann) supportet, warum sollte man dann noch zusätzliche Hardware mit zusätzlichem Stromverbrauch und zusätzlichem Management aufwenden für eine Funktion die eh vorhanden ist. Das wäre ja ziemlich unsinnig und auch kontraproduktiv wie du sicher auch selbst fairerweise zugeben musst.
Zudem ist das OS gerade von GLinet nicht OpenWRT kompatibel. Die betreiben bekanntlich eine eigene, proprietäre OpenWRT Implementation. Auch das hat sicherheitstechnisch schon ein ziemliches "Geschmäckle". Zu mindestens für einen dem so etwas wichtig ist...?!
Also mich würden wirklich noch Ansichten von anderen interessieren. Deine selbstsichere Meinung mit ständigen Anspielungen, Smileys und Ausrufezeichen ist mir bereits gut bekannt ;)
Wie ich schon schrieb, nein, es ist nicht einfach nur unsinnig, nichts muss ich da zugeben. Es hat ganz klar auch Vorteile, wenn man die extra Hardware/Software entsprechend pflegt. Ganz nach dem Prinzip nicht alle Eier in ein Korb zu legen. Sollte sicherheitstechnisch bekannt sein, ist jetzt kein neues von mir erfundenes Konzept.
Oh, dass sie mittlerweile nicht mehr open source sind, ist mir entgangen. Danke für den Hinweis. Da haben sie wohl 2023 den change gemacht: https://forum.gl-inet.com/t/formal-statement-on-gl-inet-software-going-c ...
Bzw. ganz open source waren sie wohl nicht und Beigeschmäckle hatte ich diesbezüglich immer. Aber darum soll es hier nicht gehen. Wird jetzt eine Überlegung sein, mich von ihnen zu verabschieden. GliNet ist da nur ein Beispiel. Man kann Wireguard oder sonst was auf anderer Hardware aufsetzen.
Die Frage ist hier: aus der FW auslagern, ja oder nein.
Wie ich schon schrieb, nein, es ist nicht einfach nur unsinnig, nichts muss ich da zugeben. Es hat ganz klar auch Vorteile, wenn man die extra Hardware/Software entsprechend pflegt. Ganz nach dem Prinzip nicht alle Eier in ein Korb zu legen. Sollte sicherheitstechnisch bekannt sein, ist jetzt kein neues von mir erfundenes Konzept.
Oh, dass sie mittlerweile nicht mehr open source sind, ist mir entgangen. Danke für den Hinweis. Da haben sie wohl 2023 den change gemacht: https://forum.gl-inet.com/t/formal-statement-on-gl-inet-software-going-c ...
Bzw. ganz open source waren sie wohl nicht und Beigeschmäckle hatte ich diesbezüglich immer. Aber darum soll es hier nicht gehen. Wird jetzt eine Überlegung sein, mich von ihnen zu verabschieden. GliNet ist da nur ein Beispiel. Man kann Wireguard oder sonst was auf anderer Hardware aufsetzen.
Die Frage ist hier: aus der FW auslagern, ja oder nein.
nach dem Prinzip nicht alle Eier in ein Korb zu legen
Aber dann ganz sicher nicht in billigste Chinakracher HW unterster Kategorie... Aber du hast Recht, warten wir mal auf die Zweit- oder Drittmeinung...
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
