skoprion1800
Goto Top

Heimnetzwerk-Aufbau mit Firewall, Server, Routern etc

Hallo liebe Forengemeinde,

ich würde mir gern zu Übungs- & Testzwecken des Fachinformatikers diesen Netzplan aufbauen.
Das Internet kommt vom Vermieter und geht über meinen Powerlan Adapter in meine Fritzbox 7390.
Dieses Netzwerk ( 2. ) wird geteilt mit anderen Nachbarn.

Jetzt habe ich aus der Arbeit eine Gateprotect bekommen, und wir haben uns OPNsense drauf installiert,
und würde diese Firewall (3.) zwischen meine Fritzbox 7490 konfigurieren (4.)
an dieser habe ich mein Mesh-Netzwerk ( ein paar DECT / Thermostate etc. )

Da ich mir auch einen Windows Server installiert habe, würde ich ganz gern diese als DNS und Proxyserver gleich mit einrichten.

Da der Admin-PC und Ubuntu Client meine privaten Geräte sind, würde ich diese somit gern in diesem Netzwerk privatisieren & abgrenzen, da ich auch von außerhalb über Cloud etc. von unterwegs mit Handy etc. ggf. drauf zugreifen möchte.
Wäre es passend den Server dort zu positionieren?
Sollte noch irgendwas berücksichtigt werden? ( Vielleicht AD ( wobei ich kein Freund irgendwie im privaten Heimbereich mit Domänen bin... )
Zudem würde ich auch ganz gern die ganze Werbung über die FW filtern und abschalten wie es mir ein Arbeitskollege empfohlen hatte..

Grüße
screenshot 2023-06-07 233850

Content-Key: 7454178499

Url: https://administrator.de/contentid/7454178499

Printed on: May 23, 2024 at 08:05 o'clock

Member: Lechriger
Lechriger Jun 08, 2023 at 04:11:12 (UTC)
Goto Top
Wie kommst du in dein Netzwerk? Per VPN?
Member: radiogugu
radiogugu Jun 08, 2023 at 05:12:54 (UTC)
Goto Top
Morschen.

Hast du denn Zugriff auf alle Router in der Kaskade?

Du musst ja, sofern du einen internen VPN Server betreiben möchtest, überall Ports weiterleiten.

Ich würde da als Vermieter widersprechen an der Stelle, aber das sei mal dahingestellt.

Eventuell wäre es sinnvoller einen VPS irgendwo zu mieten (Hetzner, Linode, Netcup, Ionos, etc.), dort einen Wireguard Server zu installieren und von deiner eigenen OPNSense dorthin einen ausgehenden Tunnel zu erstellen.

Dann brauchst du auch keinen Zugriff auf die Router davor.

Dann kannst du einen Client extern auf den VPS verbinden und entsprechend in dein internes Netz durch den Tunnel routen.

Das wäre das Prinzip eines Jump-Hosts.

Gruß
Marc
Member: skoprion1800
skoprion1800 Jun 08, 2023 at 05:44:44 (UTC)
Goto Top
Zitat von @Lechriger:

Wie kommst du in dein Netzwerk? Per VPN?

Also VPN habe ich auch, und nutze ich auch hier und da, da fehlt es mir aber an Erfahrung dies mit ins Konzept einzubinden.


Zitat von @radiogugu:

Morschen.

Hast du denn Zugriff auf alle Router in der Kaskade?

Du musst ja, sofern du einen internen VPN Server betreiben möchtest, überall Ports weiterleiten.

Ich würde da als Vermieter widersprechen an der Stelle, aber das sei mal dahingestellt.

Eventuell wäre es sinnvoller einen VPS irgendwo zu mieten (Hetzner, Linode, Netcup, Ionos, etc.), dort einen Wireguard Server zu installieren und von deiner eigenen OPNSense dorthin einen ausgehenden Tunnel zu erstellen.

Dann brauchst du auch keinen Zugriff auf die Router davor.

Dann kannst du einen Client extern auf den VPS verbinden und entsprechend in dein internes Netz durch den Tunnel routen.

Das wäre das Prinzip eines Jump-Hosts.

Gruß
Marc

Hallo Marc,

was für eine Antwort ­čśů
Also ja, ich habe Zugriff auf alle Router. und der letzte 7490 ist "nur" ein Repeater.
Einen VPS zu mieten wäre das geringste Übel, an sich sogar auch schon vorhanden
( Habe bei einem Bekannten eine Website und Webserver schon )
Und da wäre es schon besser einen ausgehenden Tunnel zu erstellen auf einen Wireguard Server, um das Projekt so umzusetzen... Das dürfte aber dann ganz schön langsam alles werden?

Wollte aber "eigentlich" so viel wie möglich alles direkt im eigenem Bereich aufbauen und haben..
Auf den Windows Server (5.) / ProxyServer könnte man verzichten, DNS würde ich aber noch gern mit einrichten.
Member: HansFenner
HansFenner Jun 08, 2023 updated at 07:45:56 (UTC)
Goto Top
Also ich bin ja auch so ein Vermieter, der seinen Mietern ein VLAN zur Verfügung stellt.

Aber es käme mir nie in den Sinn meine Mietern meine Firewall/Router konfigurieren lassen zu können.

Ich kenne natürlich das Setting deines Vermieters nicht und auch nicht wie ihr da zusammen arbeitet. Aber zumindest bei IPv4 müssten benötigte Ports per NAT freigegeben und weitergeleitet werden und IPv6 muss a) funktionieren und b) dürften dann die Ports nicht geblockt sein.
Member: radiogugu
radiogugu Jun 08, 2023 updated at 07:43:39 (UTC)
Goto Top
Zitat von @skoprion1800:
Das dürfte aber dann ganz schön langsam alles werden?

Das ist negativer Effekt der Kaskade, aber auch nicht zwingend.

Denn das kommt maßgeblich auf die Anbindungen an.

Internet Anbindung VPS <> Internet Anbindung Wireguard Server

Wollte aber "eigentlich" so viel wie möglich alles direkt im eigenem Bereich aufbauen und haben.

Dem spricht ja auch kaum etwas entgegen.
Am besten wäre jedoch das Design neu aufzubauen.

Vorschlag:

OPNSense direkt an die O2 Homebox.

Daran ein kleiner VLAN Switch.
Daran deine 7390 für das WLAN der Gäste und die 7490 für das "normale" WLAN und die Smarthome IoT Geräte.

Wireguard Tunnel zum VPS von der OPNSense einrichten.

Das würde die Anzahl an Druchlauferhitzern reduzieren.

Deinen Windows und Proxy Server kannst du selbstverfreilich entsprechend behalten.

Was für einen internen DNS Server hinterher verwendest ist ja dann deine Sache.

Noch eine Frage zum Verständnis:

Du hast vollen Zugriff auf die O2 Homebox deines Vermieters und darfst daran "herumschrauben" oder ist das dein Gerät?

Wie ist denn die Internet Konstellation im Detail?

Gruß
Marc
Member: radiogugu
radiogugu Jun 08, 2023 at 07:45:20 (UTC)
Goto Top
Zitat von @HansFenner:
Also ich bin ja auch so ein Vermieter, der seinen Mietern ein VLAN zur Verfügung stellt.

Aber es käme mir nie in den Sinn meine Mietern meine Firewall/Router konfigurieren lassen zu können.

Sowas von +1

Ich kenne natürlich das Setting deines Vermieters nicht und auch nicht wie ihr da zusammen arbeitet. Aber zumindest bei IPv4 müssten durchgehend Ports per NAT freigegeben werden und IPv6 muss a) funktionieren und b) dürften dann die Ports nicht geblockt sein.

Das Konstrukt birgt großes Potential auf die Nase zu fallen und Unzufriedenheit einziehen zu lassen.

Gruß
Marc
Member: HansFenner
HansFenner Jun 08, 2023 updated at 07:50:01 (UTC)
Goto Top
Zitat von @radiogugu:
Das Konstrukt birgt großes Potential auf die Nase zu fallen und Unzufriedenheit einziehen zu lassen.

Sehe ich auch so und einen Mieter der Server o.ä. betreiben möchte, würde ich bitten, sich einen eigenen Anschluss zu mieten. Meine Mieter haben nur Clients, z.B. zum Surfen, Mailen oder SIP Telefone.
Member: skoprion1800
skoprion1800 Jun 08, 2023 updated at 11:21:12 (UTC)
Goto Top
Zitat von @HansFenner:

Also ich bin ja auch so ein Vermieter, der seinen Mietern ein VLAN zur Verfügung stellt.

Aber es käme mir nie in den Sinn meine Mietern meine Firewall/Router konfigurieren lassen zu können.

Ich kenne natürlich das Setting deines Vermieters nicht und auch nicht wie ihr da zusammen arbeitet. Aber zumindest bei IPv4 müssten benötigte Ports per NAT freigegeben und weitergeleitet werden und IPv6 muss a) funktionieren und b) dürften dann die Ports nicht geblockt sein.


Also Vermieter sind Bauern... zwar nicht im wahrsten Sinne, aber die rufen mich ständig ( auch zwecks nem Drucker einrichten usw... )
Und ich würde nur gern mein Lokales System abgrenzen und durchtunneln...
Der Provider hat anscheinend "nur" eine IPv4 vergeben...


Zitat von @radiogugu:

Zitat von @skoprion1800:
Das dürfte aber dann ganz schön langsam alles werden?

Das ist negativer Effekt der Kaskade, aber auch nicht zwingend.

Denn das kommt maßgeblich auf die Anbindungen an.

Internet Anbindung VPS <> Internet Anbindung Wireguard Server


Wollte aber "eigentlich" so viel wie möglich alles direkt im eigenem Bereich aufbauen und haben.

Zitat von @radiogugu:

Dem spricht ja auch kaum etwas entgegen.
Am besten wäre jedoch das Design neu aufzubauen.

Vorschlag:

OPNSense direkt an die O2 Homebox.

Daran ein kleiner VLAN Switch.
Daran deine 7390 für das WLAN der Gäste und die 7490 für das "normale" WLAN und die Smarthome IoT Geräte.

Wireguard Tunnel zum VPS von der OPNSense einrichten.

Das würde die Anzahl an Druchlauferhitzern reduzieren.

Deinen Windows und Proxy Server kannst du selbstverfreilich entsprechend behalten.

Was für einen internen DNS Server hinterher verwendest ist ja dann deine Sache.

Noch eine Frage zum Verständnis:

Du hast vollen Zugriff auf die O2 Homebox deines Vermieters und darfst daran "herumschrauben" oder ist das dein Gerät?

Wie ist denn die Internet Konstellation im Detail?

Gruß
Marc

Also mit WireGuard finde ich die Idee eigentlich super...
Meine Firewall kann höchstens zwischen o2Homebox und Fritzbox 7390,
aber lieber zwischen 7390 und 7490...

Vlan Switch managed hatte ich mir schon überlegt und würde ich mir gern zulegen,
aber in der Arbeit hat man mir davon abgeraten, da ja "unnötig" wenn diese nach der 7490 kommt...

Also ich bin der einzige der in allen Routermenü's rummachen kann und darf-.. weil wenn was ist, kommen sie ehh zu mir... ansonsten ist es vom Aufbau her genau so wie Du sagst und ich geschildert habe..
Deswegen will ich die Konstellation auch ändern, weil falls ich eines Tages ausziehe, das der Vermieter das Problemlos und einfach "übernehmen und verwalten" kann... und da kommt eine FW nicht in Frage..

Zitat von @radiogugu:

Das Konstrukt birgt großes Potential auf die Nase zu fallen und Unzufriedenheit einziehen zu lassen.

Gruß
Marc

Und das will ich eben tunlichst vermeiden und frage deswegen Euch um Rat.


Zitat von @HansFenner:

Zitat von @radiogugu:
Das Konstrukt birgt großes Potential auf die Nase zu fallen und Unzufriedenheit einziehen zu lassen.

Sehe ich auch so und einen Mieter der Server o.ä. betreiben möchte, würde ich bitten, sich einen eigenen Anschluss zu mieten. Meine Mieter haben nur Clients, z.B. zum Surfen, Mailen oder SIP Telefone.

Der Server "dient" ja auch nur für mich, zum testen, lernen usw. und die FW sowie die Server etc, da sollen die anderen nichts mit zu tun haben oder irgendwie sonst was..

Als erstes konfiguriere ich gerade mal die FW und richte diese ein... Mein Smarthome bis Server und Firewall dient ja alles für später zum mitnehmen, weiter ausbauen, und für Firmen wenn dies gefragt ist ( bin ja angehender Fachinformatiker DV... )
Member: HansFenner
HansFenner Jun 08, 2023 updated at 12:41:02 (UTC)
Goto Top
Vielleicht habe ich den Eingangspost auch etwas missverstanden.

Das heisst eigentlich, dass du im Auftrag des Vermieters für die Netzverteilung im ganzen Gebäude als Admin verantwortlich bist?

Dann sehe ich es genauso wie @radiogugu, direkt hinter dem Anschlusspunkt des ISP (O2 homebox, welche dann in den Bridge Mode geschaltet werden sollte) kommt die Firewall mit Router. Auf dieser konfigurierst du dann die VLANs mit den Security Polices, NAT, DNS und DHCP.

Das ganze verteilst du mit VLAN-fähigen Switches und am besten auch mit VLAN-fähigen Access Points. Oder halt alternativ mit Fritzbox, wenn diese eh schon vorhanden sind.

Wenn der Vermieter keine Firewall konfigurieren kann, dann soll er auch sein Netz nicht verteilen. Alles andere wäre fahrlässig. Meine Meinung.
Member: skoprion1800
skoprion1800 Jun 08, 2023 at 20:39:27 (UTC)
Goto Top
Zitat von @HansFenner:

Vielleicht habe ich den Eingangspost auch etwas missverstanden.

Das heisst eigentlich, dass du im Auftrag des Vermieters für die Netzverteilung im ganzen Gebäude als Admin verantwortlich bist?

Ja, ich darf da frei walten und schalten, solange alles läuft.. ( irgendwie... )
also Bridge-Modus der Homebox wäre mir nicht so recht, weil dann der gesamte Traffic

Dann sehe ich es genauso wie @radiogugu, direkt hinter dem Anschlusspunkt des ISP (O2 homebox, welche dann in den Bridge Mode geschaltet werden sollte) kommt die Firewall mit Router. Auf dieser konfigurierst du dann die VLANs mit den Security Polices, NAT, DNS und DHCP.

Ich habe vorhin die Firewall einmal zwischen 7390 und 7490 geschaltet... -> leider passen die Einstellungen überhaupt noch nicht...
Die o2Homebox von den Nachbarn soll eigentlich so bleiben wie es ist,
oder geht es gar nicht anders?
Auch wenn ich da jetzt einen Switch reinmache für Vlan, würde es nichts ändern,
da dies mit der Fritzbox genauso konfiguriert werden kann..

Das ganze verteilst du mit VLAN-fähigen Switches und am besten auch mit VLAN-fähigen Access Points. Oder halt alternativ mit Fritzbox, wenn diese eh schon vorhanden sind.

Weil:
"Die Firewall sollte zwischen dem Internet und dem internen Netzwerk positioniert werden. Dadurch wird der Datenverkehr zuerst von der Firewall überprüft und gefiltert, bevor er den Router erreicht. Diese Konfiguration bietet mehr Sicherheit, da die Firewall als erste Verteidigungslinie agiert und den Netzwerkverkehr auf schädliche Inhalte, Angriffe oder unerwünschte Aktivitäten überwacht und blockiert.

Wenn der Vermieter keine Firewall konfigurieren kann, dann soll er auch sein Netz nicht verteilen. Alles andere wäre fahrlässig. Meine Meinung.
->Gebe ich Dir absolut recht... aber passt schon so das ich es wenigstens optimieren kann und darf.


Also der Switch wäre eigentlich sinnlos... Der Vermieter braucht keine Firewall, und ich bin der einzige der das so "braucht zum testen und lernen" Extra Wireguard habe ich gesehen... wäre eigentlich zu viel des Guten, oder ginge dies dann nicht anders, da die o2Homebox des Vermieters als BRIDGE fungieren MUSS?
screenshot 2023-06-08 223635