fragensteller
Goto Top

Home Lab einrichtung

Guten Abend liebe gemeinde,

ich wollte mich vor meiner Ausbildung ein wenig selber weiterbilden und habe mir daraufhin einen älteren Dell Server angeschafft.
Auf diesen ich VMware ESXI 6 installiert habe und einige VMs eingerichtet hab.
Eine der VMs ist eine Sophos utm und soll als aktive Firewall agieren.
Nun ist meine Frage wie ich das mit den virtuellen Switchen/Routing einrifchten muss, da ich in den Punkten keinerlei Erfahrung hab.

Ziel ist es, das der ganze traffic in/out über die Firewall läuft.
Aktuell habe ich einen kleinen Switch, der an meinem Router angeschlossen plus 2 Ports am Server belegt (wo ich nicht mal weis ob dies sinnvoll ist) + den Idrac port.
Ich habe mich mal an einer kleinen Visio Zeichnung probiert, damit es ein wenig verständlicher ist.

Evtl. kann mir der ein oder andere einen Tipp geben, wie ich es am besten für mein Home Lab einrichten kann.

VG
screenshot_1

Content-ID: 4119884016

Url: https://administrator.de/contentid/4119884016

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

Drohnald
Lösung Drohnald 01.10.2022 um 14:54:56 Uhr
Goto Top
Hi,

Ziel ist es, das der ganze traffic in/out über die Firewall läuft.
wenns nur das ist: Standardgateway der Geräte auf die Firewall (192.168.2.100) stellen, fertig.

Aktuell habe ich einen kleinen Switch, der an meinem Router angeschlossen plus 2 Ports am Server belegt (wo ich nicht mal weis ob dies sinnvoll ist) + den Idrac port.
Ob das sinnvoll ist hängt stark davon ab, was du machen willst.
ESXI ist nicht so mein Ding, aber es gib im Hypervisor virtuelle Switche die entscheiden, welche VMs welche Port(s) bekommen. Dort könntest du den VMs einen eigenen Port geben und dem Host. Oder auch nicht, bei deiner Mini-Testumgebung ist das nicht so ausschlaggebend.

Mach es zum Anfang so einfach wie möglich, sonst hast du 20 Dinge über die du nachdenken musst, das kann schnell frustrierend sein.

Evtl. kann mir der ein oder andere einen Tipp geben, wie ich es am besten für mein Home Lab einrichten kann.
Ich würde das komplette LAB auf einen eigenen kleinen Switch packen (hast du ja schon, wenn ich das richtig verstehe) und eine andere IP-Range als das restliche Netz nehmen (z.B. 192.168.99.0 /24)
Die Firewall kann dann die Verbindung zum Router und damit Internet regeln (Stichwort Routerkaskade, findest du hunderte Anleitungen, auch hier im Forum).
Ist ja eine Spielwiese, da darf gerne was komplett kaputt gehen, aber das sollte keine Auswirkung auf dein vorhandenes Netzwerk haben.

Gruß
Drohnald
fragensteller
fragensteller 01.10.2022 um 15:09:21 Uhr
Goto Top
Hey,

danke für die schnelle Antwort.
Bei meinen Geräten kann ich ja das Standard Gateway via GPOs verteilen (denk ich mal) allerdings wie mach ich das bei Mobilen Geräten? Oder „Besuchern“?
Kann ja nicht verlangen das jeder dem AD Beitritt ;)

VG


Zitat von @Drohnald:

Hi,

Ziel ist es, das der ganze traffic in/out über die Firewall läuft.
wenns nur das ist: Standardgateway der Geräte auf die Firewall (192.168.2.100) stellen, fertig.

Aktuell habe ich einen kleinen Switch, der an meinem Router angeschlossen plus 2 Ports am Server belegt (wo ich nicht mal weis ob dies sinnvoll ist) + den Idrac port.
Ob das sinnvoll ist hängt stark davon ab, was du machen willst.
ESXI ist nicht so mein Ding, aber es gib im Hypervisor virtuelle Switche die entscheiden, welche VMs welche Port(s) bekommen. Dort könntest du den VMs einen eigenen Port geben und dem Host. Oder auch nicht, bei deiner Mini-Testumgebung ist das nicht so ausschlaggebend.

Mach es zum Anfang so einfach wie möglich, sonst hast du 20 Dinge über die du nachdenken musst, das kann schnell frustrierend sein.

Evtl. kann mir der ein oder andere einen Tipp geben, wie ich es am besten für mein Home Lab einrichten kann.
Ich würde das komplette LAB auf einen eigenen kleinen Switch packen (hast du ja schon, wenn ich das richtig verstehe) und eine andere IP-Range als das restliche Netz nehmen (z.B. 192.168.99.0 /24)
Die Firewall kann dann die Verbindung zum Router und damit Internet regeln (Stichwort Routerkaskade, findest du hunderte Anleitungen, auch hier im Forum).
Ist ja eine Spielwiese, da darf gerne was komplett kaputt gehen, aber das sollte keine Auswirkung auf dein vorhandenes Netzwerk haben.

Gruß
Drohnald
CH3COOH
Lösung CH3COOH 01.10.2022 um 15:32:55 Uhr
Goto Top
Mahlzeit

Zitat von @fragensteller:

Bei meinen Geräten kann ich ja das Standard Gateway via GPOs verteilen (denk ich mal) allerdings wie mach ich das bei Mobilen Geräten? Oder „Besuchern“?
Das Gateway verteilt man "im Normfall" per DHCP.

Wenn 192.168.2.0/24 dein "normales Netz" zu Hause ist, macht es für ein Labor mehr Sinn sich davon zu lösen. Was hast du dir für einen Server geholt, wenn man fragen darf?

Gruß
fragensteller
fragensteller 01.10.2022 um 15:39:33 Uhr
Goto Top
Hey,

Wieso denn aber davon lösen?
Also Ziel ist es schon das Lab aktiv selbst zu nutzen.

Einen Dell R720.

VG

Zitat von @CH3COOH:

Mahlzeit

Zitat von @fragensteller:

Bei meinen Geräten kann ich ja das Standard Gateway via GPOs verteilen (denk ich mal) allerdings wie mach ich das bei Mobilen Geräten? Oder „Besuchern“?
Das Gateway verteilt man "im Normfall" per DHCP.

Wenn 192.168.2.0/24 dein "normales Netz" zu Hause ist, macht es für ein Labor mehr Sinn sich davon zu lösen. Was hast du dir für einen Server geholt, wenn man fragen darf?

Gruß
CH3COOH
Lösung CH3COOH 01.10.2022 um 16:08:48 Uhr
Goto Top
Hallo,
üblicherweise trennt man sein Labor von seiner heimischen Umgebung face-wink nicht wenn mal was kaputt geht im Labor das zu Hause nix mehr geht...

Die Netzwerkkarte im Server hat vier Anchlüsse a 1 Gbit (RJ45). Deshalb meine Frage nach der Hardware. Du kannst relativ einfach zwei davon benutzen und an deinen Router hängen.
Ich meine im ESXi kannst/musst du dafür keine besondere Konfig vornehmen..

WAN
Auf den Anschluss WAN bringst du deine Firewall, diese bekommt eine IP aus dem Bereich des Routers. Von mir aus die 192.168.2.100
In der Sophos konfigurierst du dies auch als WAN-Anschluss.

Labor-LAN
Nun geben wir der Sophos eine weitere virtuelle Netzwerkkarte, diesmal im Labor-LAN. Daran kommen deine virtuellen Maschinen, wir vergeben hier keine IP aus dem Netz des Routers sondern aus dem Labor-Netz. Dein Router soll ja am Ende nur Traffic ins "www" schubsen der von der Firewall kommt.
Die Sophos Firewall übernimmt in diesem Labor-LAN nun die Funktion eines Gateway und hat somit Zugriff auf den vollen Traffic.

Dienste wie DHCP kannst du nun beliebig für das Labor-LAN in Betrieb nehmen, wenn die Sie zeitgleich am Router deaktivierst. Oder du hängest ein weiteres Netzwerkkabel an einen Switch und gibst dies am Dell Server ins Labor-LAN.

Ich hoffe das war halbwegs verständlich.
Gruß
aqui
Lösung aqui 01.10.2022 um 19:42:43 Uhr
Goto Top
fragensteller
fragensteller 02.10.2022 um 01:02:25 Uhr
Goto Top
Zitat von @CH3COOH:

Hallo,
üblicherweise trennt man sein Labor von seiner heimischen Umgebung face-wink nicht wenn mal was kaputt geht im Labor das zu Hause nix mehr geht...

Guten Abend,

habe mich leider absolut doof ausgedrückt. Ziel ist es schon das Labor später dann in die Produktiv Umgebung zu übernehmen...
Daher nur 1 Netzwerk.
maretz
Lösung maretz 02.10.2022 um 07:32:15 Uhr
Goto Top
Zitat von @fragensteller:

Zitat von @CH3COOH:

Hallo,
üblicherweise trennt man sein Labor von seiner heimischen Umgebung face-wink nicht wenn mal was kaputt geht im Labor das zu Hause nix mehr geht...

Guten Abend,

habe mich leider absolut doof ausgedrückt. Ziel ist es schon das Labor später dann in die Produktiv Umgebung zu übernehmen...
Daher nur 1 Netzwerk.

Moin,

erstmal ist ein "Lab" (warum auch immer ITler sich immer so hochgestochen ausdrücken müssen - statt einfach vom Test zu reden ;) ) generell etwas zum TESTEN, es sollte so nicht als normale Umgebung übernommen werden. Denn grad dafür ist es ja da - man TESTET erstmal ob z.B. bei ner neuen Firewall-Regel sich noch alles so verhält wie es soll...

Das was du möchtest ist jedoch einfach nur dir nen Server aufbauen. Auch nicht schlimm... Auch da würde ich immer einfach anfangen und die Komplexität nachträglich hinzufügen. GRADE weil du ja die optimale Umgebung hast: Geht dein Internet mal nen Tag nich - so what... in ner Firma wirst du den Bonus selten sehen.

D.h. ich würde anfangen den ESXi zusammen mitm (vermutlich) Windows-DC (oder eben Linux, was immer du bevorzugst) hochziehen. Der DC verteilt die IPs (und auch das Gateway) per DHCP - fertig...
Als nächstes dann deine Firewall. Hier würde ich es einfach machen: Die hat 2 interfaces am ESX - einmal intern, einmal extern. Intern hat es eben die IP die vorher der Router hatte. Auf dem externen IF hast du dann z.B. 192.168.99.1 und der Router bekommt dann die 192.168.99.2 (bzw. solltest du das mal durch nen Modem ersetzen um doppel-nat zu vermeiden ist das ex-if halt das wo das modem dran hängt). Ab jetzt kannst du deine Regeln in der Firewall wie gewollt erstellen...

Schritt 3 wäre dann abhängig von deiner Hardware. Ich habe zB. für Gäste ein eigenes WLAN was keinen Zugriff auf meine Hardware hat (und dafür nen Captive Portal). Da ich gegenüber nen Spielplatz habe sind genügend Kiddys da die versuchen sich am Wifi anzumelden. So brauche ich mir aber eben auch keine Sorgen zu machen - selbst wenn nen Besucher auf seinem Telefon 500 Trojaner u. noch 300 Viren aufm Laptop hat is mir das recht egal da es für das Gäste-Wifi eben nur sich selbst un Internet gibt... Man kann natürlich da per Firewall auch bei Bedarf Zugriffe freischalten - sehe ich aber generell eher keinen Grund für... (Firmen-Geräte packt man übrigens auch in so nen Gäste-Wifi - falls die Admins da neugierig sind geht auch die nix an was man noch so zuhause hat...)
aqui
aqui 02.10.2022 um 12:59:03 Uhr
Goto Top
Daher nur 1 Netzwerk.
Eine Firewall benötigt aber bekanntlich immer mindestens 2 Netzwerk Segmente (minimal LAN und WAN) wie es die o.a. Lösung ja auch anschaulich zeigt! face-wink
fragensteller
fragensteller 03.10.2022 um 16:59:41 Uhr
Goto Top

Ich danke dir @aqui für die genaue Anleitung. Der LAN/WAN traffic läuft nun super über die Sophos face-smile

Nur noch eine letzte frage dann nerv ich euch nicht mehr.

Wie macht man das ganze dannn nur mit dem WLAN? Der DHCP vertreilt fleißig das neue Gateway von der UTM allerdings ist mein "altes" WLAN somit nicht mehr benutzbar bzw. bekommt keine Verbindung nach außen.

Ich hab mal ein wenig nachgeschaut und so wie es aussieht muss ich das WLAN ja auch über die Sophos laufen lassen. Nur wenn ich unter Wireless Protection ein neues WLAN Netzwerk erstelle wird dieses nicht gefunden.

Hat jemand evtl. eine Idee wie man dies nun handhaben muss?

VG
aqui
aqui 03.10.2022 aktualisiert um 17:19:40 Uhr
Goto Top
Nur noch eine letzte frage dann nerv ich euch nicht mehr.
Du missverstehst vermutlich den Sinn und Zweck eines Forums?! Zum Fragenstellen ist das ja da. 😉
Zurück zum Thema...
Wie macht man das ganze dannn nur mit dem WLAN?
Dazu müsste man zuallererst verstehen WIE dein WLAN an der Firewall realisiert ist?! Dazu machst du leider keinerlei zielführende Angaben und zwingst zum Raten im freien Fall... Raten wir also mal:
  • Die Firewall hat ein separates WLAN Interface was separat in einem eigenen IP Netz betrieben wird
  • Die Firewall hat ein separates WLAN Interface was per Layer 2 Bridge an das LAN Interface gebunden ist
  • Die Firewall hat gar kein eigens WLAN aber im LAN Segment ist ein WLAN Accesspoint der ein WLAN auf das LAN Segment per Bridging verbindet. (Klassisches Design)
In allen 3 Optionen rennt dein WLAN Traffic dann ja über die Firewall wie es sein sollte.
Oder...meintest du jetzt das was WAN/Internet Interface der Firewall über eine WLAN Anbindung realisiert werden soll??
Fragen über Fragen...?

Ohne allerdings deine Hardware Infrastruktur genau zu kennen bleibt eben nur Kristallkugeln... face-sad
Grundlagen zu Firewall Designs findest du u.a. hier.
fragensteller
fragensteller 03.10.2022 um 18:07:34 Uhr
Goto Top
Zitat von @aqui:
Wie macht man das ganze dannn nur mit dem WLAN?
Dazu müsste man zuallererst verstehen WIE dein WLAN an der Firewall realisiert ist?! Dazu machst du leider keinerlei zielführende Angaben und zwingst zum Raten im freien Fall... Raten wir also mal:
  • Die Firewall hat ein separates WLAN Interface was separat in einem eigenen IP Netz betrieben wird
  • Die Firewall hat ein separates WLAN Interface was per Layer 2 Bridge an das LAN Interface gebunden ist
  • Die Firewall hat gar kein eigens WLAN aber im LAN Segment ist ein WLAN Accesspoint der ein WLAN auf das LAN Segment per Bridging verbindet. (Klassisches Design)
In allen 3 Optionen rennt dein WLAN Traffic dann ja über die Firewall wie es sein sollte.
Oder...meintest du jetzt das was WAN/Internet Interface der Firewall über eine WLAN Anbindung realisiert werden soll??
Fragen über Fragen...?

Ohne allerdings deine Hardware Infrastruktur genau zu kennen bleibt eben nur Kristallkugeln... face-sad
Grundlagen zu Firewall Designs findest du u.a. hier.

Hallo,

Naja die Firewall wird virtuell betrieben und hat aktuell lediglich 2 Interface WAN & LAN. Quasi genau wie in deiner Anleitung beschrieben.
Der Router ist via LAN an den ESXI Host (Dell Server) angeschlossen mit zwei Patch kabeln + einem extra für den IDRAC Port.


In allen 3 Optionen rennt dein WLAN Traffic dann ja über die Firewall wie es sein sollte.

Ja genau das wäre mein Ziel allerdings ist mein Netzwerk nicht so unglaublich groß das ich dafür ein extra Bereich bräuchte. Daher würde ich via DHCP meine WLAN Clients im gleichen Netzwerk alles über 192.168.2.100 geben. Somit haben meine Geräte/Server den 1-100er Bereich und der Rest ist für den WLAN Bereich.
screenshot_2
aqui
aqui 03.10.2022 aktualisiert um 20:57:14 Uhr
Goto Top
Dann ist die Lösung kinderleicht... Kauf dir einen preiswerten AP wie z.B. Cisco AP.
Den klemmst du mit an dein LAN Segment und fertisch ist dein WLAN. Da kommt doch nun aber auch ein Laie drauf...
fragensteller
fragensteller 03.10.2022 um 21:41:50 Uhr
Goto Top
Okay danke dir. Habe leider keinerlei fundamentales Wissen im Thema Netzwerke aber wäre es nicht möglich eine speedport als AP fungieren zu lassen?
aqui
aqui 03.10.2022 aktualisiert um 23:12:50 Uhr
Goto Top
Habe leider keinerlei fundamentales Wissen im Thema Netzwerke
Fällt einem ja schwer das zu glauben wenn du in der Lage bist eine Firewall inklusive Regelwerk zu virtualisieren...aber egal.
aber wäre es nicht möglich eine speedport als AP fungieren zu lassen?
Na klar, das geht natürlich auch.
Guckst du hier:
Kopplung von 2 Routern am DSL Port