syosse
Goto Top

Netzwerksegmentierung Bewertung und optimale Switch-Empfehlungen für Layer 2

Hallo Zusammen face-smile


Derzeit bereite ich die Umstellung unserer IT-Infrastruktur auf ein neues vor. Dabei plane ich den Aufbau von drei Netzwerken und ihre Segmentierung wie folgt:

1.) DC-Netzwerk: Dieses Netzwerk dient als Umgebung für unsere Interne Server wie: DC, Fileserver sowie ERP die sind
alle virtuelle auf der VMware, die keinen Internetzugang benötigen.

2.) DMZ-Netzwerk: Hier befindet sich derzeit ein Terminalserver, der nur über bestimmte Protokolle/Ports (OVPN und
Remote Desktop) über das Internet erreichbar sein darf. Auch der ist virtuell auf der VMware.
Benutzer greifen auf den Terminalserver zu, um die ERP-Software zu nutzen.

3.) Client-Netzwerk: In diesem Netzwerk sind alle PCs, Notebooks, WLAN-Geräte und Telefone angeschlossen.
Diese Geräte benötigen uneingeschränkten Internetzugang und müssen mit dem DC-Netzwerk
kommunizieren können.

Für die Umsetzung dieser Netzwerkkonfiguration plane ich den Einsatz von Opnsense. Dabei würde ich für jedes Netzwerk ein eigenes VLAN einrichten und entsprechende Firewall-Regeln festlegen. Als Switch bevorzuge ich einen Cisco-Switch mit Layer 2-Funktionalität. Die Switch-Anforderungen sind: 48 Ports, 1 Gbit Geschwindigkeit und Webmanagement.

Gibt es von eurer Seite Verbesserungsvorschläge für diese Konfiguration und könnt Ihr mir alternative Switches empfehlen, die meinen Anforderungen entsprechen oder passt der Switch den ich unten aufgeführt habe ?

Cisco CBS250-48T-4G-EU Smart 48-port GE, 4x1G SFP

https://www.senetic.de/product/CBS250-48T-4G-EU?gclid=CjwKCAjwvdajBhBEEi ...

Vielen herzlichen Dank für eure Hilfe.
Gruss Syosse
map

Content-ID: 7358717091

Url: https://administrator.de/contentid/7358717091

Ausgedruckt am: 19.12.2024 um 14:12 Uhr

aqui
Lösung aqui 30.05.2023 aktualisiert um 14:28:03 Uhr
Goto Top
Passt alles perfekt und HW ist OK!
Kleine kosmetische Anmerkung: Telefone/Voice gehören bei Firmennetzen rein rechtlich schon in ein separates Segment. Zwingend ist das auch wenn deine Anlage/Telefone mit Layer 2 Prorisierung arbeiten (802.1p). Ggf. solltest du auch noch ein Gast (WLAN) Segment vorsehen. WLAN betreibt man in einem guten Design generell in einem separaten Segment.
Das Fritzbox IP Netz ist wenig intelligent und solltest du für die Adressierung besser nicht unbedingt wählen wenn du planst zukünftig mit VPNs zu arbeiten. Das Warum ist hier erklärt.
Switch Redundanz (Netzwerk Ausfallsicherheit) ist für dich kein Thema? 🤔
em-pie
Lösung em-pie 30.05.2023 um 14:43:05 Uhr
Goto Top
Moin,

ergänzend zu @aqui:
Schieb die Drucker auch in ein eigenes VLAN.
Die bekommen nicht immer aktuelle Updates und bringen auch schonmal Sicherheitslücken mit sich.
An der Firewall dann nur Port 9100, 443/ 80 und ggf. 161 (SNMP) durchlassen.
Ferner noch ein Netz für die Infrastruktur (Server, Hosts, Switche, ...) vorsehen

Und nimm auf keinen Fall das Netz 192.168.178.0/24. Das ist das klassische FritzBox Netz, was viele auch @home nutzen.

Verwende lieber ein Subnetz aus dem Bereich 10.0.0.0/8
10.100.1.0/ 24 Default
10.100.10.0/ 24 Infrastruktur
10.100.11.0/ 24 Printer
10.100.12.0/ 24 DCs/ ERP
10.100.13.0/ 24 Clients
10.100.14.0/ 24 VoIP
10.100.254.0/ 24 DMZ
10.100.255.0/ 24 Guests

So als Beispiel mal runtergerasselt. Und das dritte Oktett wäre dann auch die VLAN ID - das ist aber eher kosmetischer Natur.

Habe für Gast und DMZ mal exemplarisch bewusst die 254 und 255 gewählt. Das kann das Routing später mal einfacher machen.
Syosse
Syosse 30.05.2023 um 15:30:14 Uhr
Goto Top
Zitat von @aqui:

Passt alles perfekt und HW ist OK!
Kleine kosmetische Anmerkung: Telefone/Voice gehören bei Firmennetzen rein rechtlich schon in ein separates Segment. Zwingend ist das auch wenn deine Anlage/Telefone mit Layer 2 Prorisierung arbeiten (802.1p). Ggf. solltest du auch noch ein Gast (WLAN) Segment vorsehen. WLAN betreibt man in einem guten Design generell in einem separaten Segment.
Das Fritzbox IP Netz ist wenig intelligent und solltest du für die Adressierung besser nicht unbedingt wählen wenn du planst zukünftig mit VPNs zu arbeiten. Das Warum ist hier erklärt.
Switch Redundanz (Netzwerk Ausfallsicherheit) ist für dich kein Thema? 🤔

Wow hezlichen Dank das von dir zu lesen face-smile

Stimmt, die Telefonie könnte ich auch separieren. Sind 2 Gigasets Dects die 10 Telefone Ansteuern. Dann kann ich die 2 Dects mit dem Switch verbinden.

Anschliessend auf dem Cisco Switch die Priorisierung vornehmen auf z.B VLAN 30 für Telefonie. Ich habe das QOS noch nie gemacht, müsste mich daher einlesen. Was ich kurz darüber lesen konnte ist bei der Tabelle kann man die 5 auswählen: Voice Cisco IP-Telefon, Standard. Latenz und Jitter unter 10 ms.
ciscoqos

Genau, Part 2 ist dann für später gedacht, dort wird dann ein eigens WLAN eingerichtet mit Mesh und Gäste Zugang etc. Danke für die Info mit der Adressierung, habe die Fritzbox Adressierung bewusst gewählt, dass die Umstellung dann einfacher wird. Von Fritzbox zu Opnsense und nicht bei jedem Endclient die IP wechseln muss. Aber ja hierfür ist es intelligenter wenn ich ausserhalb der Standard ein Netz auswähle. Wie aus deinem Beispiel: 10.168.7.0 /24 Danke.

Switch und FW Redudanz wird auch beim 2 Part realisiert.

Vielen herzlichen Dank face-smile
em-pie
Lösung em-pie 30.05.2023 um 15:40:15 Uhr
Goto Top
habe die Fritzbox Adressierung bewusst gewählt, dass die Umstellung dann einfacher wird. Von Fritzbox zu Opnsense und nicht bei jedem Endclient die IP wechseln muss.
dann setz das Default VLAN auf das Netz der Fritte (vermutlich ohnehin schon).
dann sind die Endgeräte im alten Netz störungsfrei erreichbar und du kannst die Server gezielt zug um zug in die anderen Netz umziehen.

Tipp: fange mit den DHCP-Clients an: Lease auf 30 Minuten setzen und dann zug um zug die Ports an den Switchen auf das VLAN 13 (um beim obigen Beispiel zu bleiben) umstellen. Wenn du das zum Feierabend machst, merken die Leute auch fast nichts.
Nach 30 Minuten bekommen die Clients dann eine IP aus dem neuen Netz.
Syosse
Syosse 30.05.2023 um 15:42:30 Uhr
Goto Top
Herzlichen Dank für die Super Infos.
Ja, dann mach ich gleich noch ein Netz für die Druckers inkl. der Firewall Regel.
Perfekt, nehme gleich deine Adressierung als Vorlage sieht auch sehr übersichtlich aus, gerade mit dem VLAN.


Vielen herzlichen Dank.


Zitat von @em-pie:

Ferner noch ein Netz für die Infrastruktur (Server, Hosts, Switche, ...) vorsehen
Meinst du ein Netz für zum Managen der Geräte für den Admin ?

Habe für Gast und DMZ mal exemplarisch bewusst die 254 und 255 gewählt. Das kann das Routing später mal einfacher machen.
254,255 verstehe ich nicht ganz mit dem einfacher machen ?
Syosse
Syosse 30.05.2023 um 15:45:45 Uhr
Goto Top
Zitat von @em-pie:

habe die Fritzbox Adressierung bewusst gewählt, dass die Umstellung dann einfacher wird. Von Fritzbox zu Opnsense und nicht bei jedem Endclient die IP wechseln muss.
dann setz das Default VLAN auf das Netz der Fritte (vermutlich ohnehin schon).
dann sind die Endgeräte im alten Netz störungsfrei erreichbar und du kannst die Server gezielt zug um zug in die anderen Netz umziehen.

Tipp: fange mit den DHCP-Clients an: Lease auf 30 Minuten setzen und dann zug um zug die Ports an den Switchen auf das VLAN 13 (um beim obigen Beispiel zu bleiben) umstellen. Wenn du das zum Feierabend machst, merken die Leute auch fast nichts.
Nach 30 Minuten bekommen die Clients dann eine IP aus dem neuen Netz.

Perfekt, sehr gute Idee. Werde das so machen.

Vielen herzlichen Dank face-smile
em-pie
Lösung em-pie 30.05.2023 aktualisiert um 16:05:58 Uhr
Goto Top
Zitat von @Syosse:
Zitat von @em-pie:

Ferner noch ein Netz für die Infrastruktur (Server, Hosts, Switche, ...) vorsehen
Meinst du ein Netz für zum Managen der Geräte für den Admin ?
nein, ein Netz, wo die Geräte reinkommen.
Dann kannst du über deine Firewall regeln, wer auf die Switche/ Router/ Hosts zugreifen darf. Oder willst du die IP dieser Systeme mit ins Gäste-WLAN stellen (überspitzt formuliert)?

Habe für Gast und DMZ mal exemplarisch bewusst die 254 und 255 gewählt. Das kann das Routing später mal einfacher machen.
254,255 verstehe ich nicht ganz mit dem einfacher machen ?
Weil es ggf. leichter ist, eine Firewall-Regel alá "blocke alles ins Netz 10.100.254.0/ 23" zu definieren, als
"blocke alles, was ins Netz 10.100.254.0/ 24 möchte"
"blocke alles, was ins Netz 10.100.255.0/ 24 möchte"

oder bei Routen für das VPN Netz:
"Route 10.100.0.0/ 17 via VPN-Interface aaa.bbb.ccc.ddd" anstelle für jedes Netz eine eigene Route zu setzen.
Bei den Firewall-Regeln wird man dann wiederum etwas granularer werden (müssen).
Dani
Dani 30.05.2023 aktualisiert um 21:21:13 Uhr
Goto Top
Moin,
2.) DMZ-Netzwerk: Hier befindet sich derzeit ein Terminalserver, der nur über bestimmte Protokolle/Ports (OVPN und
Remote Desktop) über das Internet erreichbar sein darf. Auch der ist virtuell auf der VMware.
Benutzer greifen auf den Terminalserver zu, um die ERP-Software zu nutzen.
hast du das (=RDS Host) als Workgroup geplant oder bohrst du ein großes Loch in die FW zwischen LAN Server und DMZ?


Gruß,
Dani
aqui
Lösung aqui 30.05.2023, aktualisiert am 31.05.2023 um 09:51:05 Uhr
Goto Top
Anschliessend auf dem Cisco Switch die Priorisierung vornehmen
Hast du denn überhaupt einmal grundsätzlich auf deinen Telefoniekomponenten einmal geprüft welches Priorisierungsverfahren die verwenden? Einfach blind was klicken ohne Plan ist ja sinnfrei...weiste auch selber... Ggf. machen die ja auch DSCP (Diffserv) mit L3?!
Kaufberatung - Switches mit VoIP-Priorisierung
Lesen und verstehen... face-wink
Von Fritzbox zu OPNsense und nicht bei jedem Endclient die IP wechseln muss.
Das ist ja unsinnig, denn in dem Koppelnetz zw. der FB und der OPNsense gibt es ja nur 2 Endgeräte. Du wirst ja wohl hoffentlich kein Produktivnetz im Koppelnetz betreiben?! Du realisierst ja vermutlich eine stinknormale Router Kaskade mit (eigentlich) überflüssigem doppeltem NAT und doppeltem Firewalling, richtig? Ggf. wäre ein dediziertes NUR Modem an der FW und, sofern die FB Telefomie macht, deren rein interner Betrieb als VoIP Anlage eine sinnvollere Alternative.
Zum Rest ist oben ja schon alles gesagt worden. face-wink
Cloudrakete
Lösung Cloudrakete 31.05.2023 um 00:54:54 Uhr
Goto Top
Servus,

ich empfehle immer: https://learn.microsoft.com/de-de/security/privileged-access-workstation ...

Der Artikel behandelt prinzipiell AD-Strukturen. Das lässt sich aber auch wunderbar auf ein Netzwerk übertragen.
In deinem konkreten Fall würde das wie folgt aussehen:

Tier 0 Segment: DCs
Tier 1 Segment: Fileserver
Tier 2 Segment: ERP (Kann man drüber streiten, hier würden viele dazu neigen, den Server einfach mit in T1 zu packen)
Tier 3 Segment: Clients

Abschließend würden weitere Segmente für Voice, Drucker, DMZ etc. folgen.
kevsei
kevsei 01.06.2023 um 11:30:16 Uhr
Goto Top
Moin,

kurze Anmerkung / Frage:

In deiner Grafik sieht es so aus, als ob der Terminalserver (VM) per RDP (über eine Portfreigabe?) im Internet direkt erreichbar ist? Oder ist das nur missverständlich ausgedrückt? Das sollte sonst dringend geändert werden.

Läuft der VPN-Server auch auf der VM / Terminalserver?
Warum nicht die "schönere" Variante und das VPN vom Router / Firewall erledigen lassen?

Grüße
aqui
aqui 01.06.2023 um 12:28:31 Uhr
Goto Top
Wird der TO mit seiner geplanten OPNsense dann wohl (hoffentlich) auch so umsetzen... 🤔
Syosse
Syosse 05.06.2023 um 11:36:22 Uhr
Goto Top
Zitat von @em-pie:

Zitat von @Syosse:
Zitat von @em-pie:

Ferner noch ein Netz für die Infrastruktur (Server, Hosts, Switche, ...) vorsehen
Meinst du ein Netz für zum Managen der Geräte für den Admin ?
nein, ein Netz, wo die Geräte reinkommen.
Dann kannst du über deine Firewall regeln, wer auf die Switche/ Router/ Hosts zugreifen darf. Oder willst du die IP dieser Systeme mit ins Gäste-WLAN stellen (überspitzt formuliert)?

Vielen Dank für die Info.
Achso alles klar, stimmt kann ich die noch separieren und sauber trennen.

Habe für Gast und DMZ mal exemplarisch bewusst die 254 und 255 gewählt. Das kann das Routing später mal einfacher machen.
254,255 verstehe ich nicht ganz mit dem einfacher machen ?
Weil es ggf. leichter ist, eine Firewall-Regel alá "blocke alles ins Netz 10.100.254.0/ 23" zu definieren, als
"blocke alles, was ins Netz 10.100.254.0/ 24 möchte"
"blocke alles, was ins Netz 10.100.255.0/ 24 möchte"

oder bei Routen für das VPN Netz:
"Route 10.100.0.0/ 17 via VPN-Interface aaa.bbb.ccc.ddd" anstelle für jedes Netz eine eigene Route zu setzen.
Bei den Firewall-Regeln wird man dann wiederum etwas granularer werden (müssen).

Stimmt, Vielen Dank.


Zitat von @Dani:

Moin,
2.) DMZ-Netzwerk: Hier befindet sich derzeit ein Terminalserver, der nur über bestimmte Protokolle/Ports (OVPN und
Remote Desktop) über das Internet erreichbar sein darf. Auch der ist virtuell auf der VMware.

Terminalserver wird nur für bestimmte Protokoll /Ports geöffnet und genutzt: OVPN sowie RDP. Remote Desktop wird über das Internet nicht erreichbar sein. Benutzer (Extern)-> VPN->RDP.

Benutzer greifen auf den Terminalserver zu, um die ERP-Software zu nutzen.
hast du das (=RDS Host) als Workgroup geplant oder bohrst du ein großes Loch in die FW zwischen LAN Server und DMZ?


Gruß,
Dani

Die Idee wäre das der RDS Host in die Domäne kommt, und der Nutzer mit seiner AD Benutzer anmeldet und somit auch alle andere Zwischenstelle braucht wie DC, File-Server. Eigt. ist der RDS HOST ja nur via VPN von aussen erreichbar und die Grundsicherheit ist ja gegeben?

Vielen Dank für die Hilfe.


Zitat von @aqui:

Anschliessend auf dem Cisco Switch die Priorisierung vornehmen
Hast du denn überhaupt einmal grundsätzlich auf deinen Telefoniekomponenten einmal geprüft welches Priorisierungsverfahren die verwenden? Einfach blind was klicken ohne Plan ist ja sinnfrei...weiste auch selber... Ggf. machen die ja auch DSCP (Diffserv) mit L3?!
Kaufberatung - Switches mit VoIP-Priorisierung
Lesen und verstehen... face-wink

Herzlichen Dank für die Info.

Habe jetzt den Thread durchgelesen sowie die Einstellungen beim Gigaset angeschaut sprich werde noch mit Wireshark die Traffic anschauen und das ganze mit DSCP planen aber zuerstmal mach ich die VLANs fertig.
Sowie folgendes von dir noch: Goldene regel also das eine Klassifizierung der Pakete immer direkt von den Endgeräten kommen soll die diesen zu priorisierenden Traffic auch erzeugen.

Von Fritzbox zu OPNsense und nicht bei jedem Endclient die IP wechseln muss.
Das ist ja unsinnig, denn in dem Koppelnetz zw. der FB und der OPNsense gibt es ja nur 2 Endgeräte. Du wirst ja wohl hoffentlich kein Produktivnetz im Koppelnetz betreiben?! Du realisierst ja vermutlich eine stinknormale Router Kaskade mit (eigentlich) überflüssigem doppeltem NAT und doppeltem Firewalling, richtig? Ggf. wäre ein dediziertes NUR Modem an der FW und, sofern die FB Telefomie macht, deren rein interner Betrieb als VoIP Anlage eine sinnvollere Alternative.
Zum Rest ist oben ja schon alles gesagt worden. face-wink

Genau, Router Kaskade: FB mit PPPOE->Opnsense FW->Switch.
Telefonie läuft nicht über Fritzbox sondern über VOIP Anbieter aus der Schweiz (SIPCALL). Die werden dann auf den Dects von Gigaset Konfiguriert sprich: IP/Server-Hostname, Anmeldename, Passwort etc.

Vielen Dank Aqui face-smile


Zitat von @Cloudrakete:

Servus,

ich empfehle immer: https://learn.microsoft.com/de-de/security/privileged-access-workstation ...

Der Artikel behandelt prinzipiell AD-Strukturen. Das lässt sich aber auch wunderbar auf ein Netzwerk übertragen.
In deinem konkreten Fall würde das wie folgt aussehen:

Tier 0 Segment: DCs
Tier 1 Segment: Fileserver
Tier 2 Segment: ERP (Kann man drüber streiten, hier würden viele dazu neigen, den Server einfach mit in T1 zu packen)
Tier 3 Segment: Clients

Abschließend würden weitere Segmente für Voice, Drucker, DMZ etc. folgen.

Super Herzlichen Dank für die Info, werde ich so berücksichtigen.


Zitat von @kevsei:

Moin,

kurze Anmerkung / Frage:

In deiner Grafik sieht es so aus, als ob der Terminalserver (VM) per RDP (über eine Portfreigabe?) im Internet direkt erreichbar ist? Oder ist das nur missverständlich ausgedrückt? Das sollte sonst dringend geändert werden.

Läuft der VPN-Server auch auf der VM / Terminalserver?
Warum nicht die "schönere" Variante und das VPN vom Router / Firewall erledigen lassen?

Grüße

Vielen Dank für die Hilfe.

Ist blöd Dargestellt, RDP wird nur via VPN von aussen erreichbar sein, dannach via Remote die Verbindung aufgebaut für den Session.
Genau, vpn macht nur die FW und nur der alleine sonst niemand. Also auf dem Terminalserver läuft kein VPN Server.


Zitat von @aqui:

Wird der TO mit seiner geplanten OPNsense dann wohl (hoffentlich) auch so umsetzen... 🤔

Jap, wird auch so umgesetzt. Habe mir auch eine Leistungstarke Hardware bestellt für die VPN Traffic.

Vielen Dank für die Hilfeface-smile
aqui
aqui 05.06.2023 aktualisiert um 11:52:10 Uhr
Goto Top
Router Kaskade: FB mit PPPOE->Opnsense FW->Switch. Telefonie läuft nicht über Fritzbox sondern über VOIP Anbieter
Dann solltest du auf alle Fälle keine FB hier verwenden sondern immer ein reines NUR Modem!
Ein Vigor 167 oder ein Zyxel VMG3006 wären dann hier die deutlich bessere Wahl!! Mit der Kaskade musst du erheblich technische Nachteile in Kauf nehmen.
Syosse
Syosse 05.06.2023 um 11:56:44 Uhr
Goto Top
Zitat von @aqui:

Router Kaskade: FB mit PPPOE->Opnsense FW->Switch. Telefonie läuft nicht über Fritzbox sondern über VOIP Anbieter
Dann solltest du auf alle Fälle keine FB hier verwenden sondern immer ein reines NUR Modem!
Ein Vigor 167 oder ein Zyxel VMG3006 wären dann hier die deutlich bessere Wahl!! Mit der Kaskade musst du erheblich technische Nachteile in Kauf nehmen.

Vielen Dank für den Tipp. Ich werde heute direkt nachfragen, ob der ISP-Anbieter dies bestätigt oder ob es die Möglichkeit gibt den Modem zu nutzen. Falls dem so ist, werde ich den Zyxel verwenden.
aqui
Lösung aqui 05.06.2023 aktualisiert um 12:16:46 Uhr
Goto Top
In der EU und damit auch in D herrscht bekanntlich seit langem Modem bzw. Routerfreiheit, schon vergessen?! Dein Provider ist also aus gesetzgeberischer Sicht verpflichtet sowas zu supporten andernfalls verhält er sich gesetzeswidrig. Die Frage sollte sich also erübrigen.
Abgesehen davon hast du mit dem Zyxel eine gute Wahl getroffen!
Dani
Lösung Dani 05.06.2023 um 12:15:03 Uhr
Goto Top
Moin,
Die Idee wäre das der RDS Host in die Domäne kommt, und der Nutzer mit seiner AD Benutzer anmeldet und somit auch alle andere Zwischenstelle braucht wie DC, File-Server. Eigt. ist der RDS HOST ja nur via VPN von aussen erreichbar und die Grundsicherheit ist ja gegeben?
hängt davon ab, wie man Grundsicherheit definiert. Weil du wirst eine Menge (>20-30) Ports von der DMZ ins LAN aufmachen müssen. Du wirst erstaunt sein, wie viele das sind damit alles funktioniert.


Gruß,
Dani
phosmo
phosmo 10.06.2023 aktualisiert um 10:40:12 Uhr
Goto Top
Nur mal so zur Info:

Warum setzt Bundesnetzagentur Routerfreiheit nicht durch?

Seit Jahren wird in Deutschland gegen die gesetzliche Routerfreiheit verstoßen. Die Bundesnetzagentur handelt nicht. Die Verbraucherzentrale braucht Hilfe.

https://www.golem.de/news/verbraucherzentrale-warum-setzt-die-bundesnetz ...

Umfrage in Europa: Umsetzung der Routerfreiheit nach wie vor problematisch

2015 verankerte das EU-Parlament das Aus für Zwangsrouter gesetzlich. Laut einer Sondierung der FSFE halten sich diverse Provider aber noch nicht an die Regeln.

https://heise.de/-9056401
Syosse
Syosse 23.07.2023, aktualisiert am 24.07.2023 um 09:09:33 Uhr
Goto Top
So vielen Dank für die hilfreichen Tipps und Empfehlungen, ich habe die Empfehlungen in meine Topologie mit einbezogen und dies auch gleich umgesetzt. Das ganze wurde als Layer 2 Design erstellt.

Folgende VLANS wurden auf der Switch sowie Opnsense erstellt.
10.100.1.0/ 24 Default
10.100.10.0/ 24 MGMT
10.100.11.0/ 24 Clients/Printer
10.100.12.0/ 24 DCs/ ERP
10.100.13.0/ 24 VoIP
10.100.254.0/ 24 DMZ
10.100.255.0/ 24 Guests

Folgende VPN Einstellung wurden eingerichtet:

Die Opnsense dient sogleich auch als VPN Server. Die Externe Users verbinden sich via VPN zum Opnsense und somit wird dann auf der Opnsense das Netz : 10.100.254.0 bereitgestellt. Dannach arbeiten die Users mit Remotedesktop auf dem Terminalserver. Auf dem Terminalserver sowie Opnsense wird dann jedglich nur der Port 3389 geöffnet.

VOIP wurde mit Wireshark gefiltert und es wurde festgestellt das es mit DSCP arbeitet.

SIP: AF41 (0x88 bzw. DSCP 34)
RTP: EF (0xb8 bzw. DSCP 46)

Zwischen DC und DMZ Verbindung muss ich mir überlegen was ich noch machen werde bezüglich Sicherheit.

Edit: Vom ISP haben wir einen Zyxel GM4100, G.fast, Bridge Modem erhalten.


topolayer2

Vielen herzlichen Dank
Gruss Syosse
Dani
Dani 23.07.2023 um 23:25:02 Uhr
Goto Top
Moin,
Zwischen DC und DMZ Verbindung muss ich mir überlegen was ich noch machen werde bezüglich Sicherheit.
für welche Zwecke müssen Server in der DMZ den DC erreichen können bzw. andersherum?!


Gruß,
Dani
Syosse
Syosse 24.07.2023 um 07:20:49 Uhr
Goto Top
Zitat von @Dani:

Moin,
Zwischen DC und DMZ Verbindung muss ich mir überlegen was ich noch machen werde bezüglich Sicherheit.
für welche Zwecke müssen Server in der DMZ den DC erreichen können bzw. andersherum?!


Gruß,
Dani

Hallo,

Der Terminalserver befindet sich in der DMZ und die Externe Users die sich via VPN Verbinden, melden sich dann über RDP als Domäne Nutzer an. Somit braucht es schon mal den DC. Der Terminal Server selber ist dann auch Domain joined und die ERP Client die auf dem TS installiert ist, kommuniziert auch noch mit dem SQL Datenbank die in der DC VLAN ist.

Vielen Dank.
Freundliche Grüsse
Syosse
Dani
Dani 24.07.2023 um 12:03:27 Uhr
Goto Top
Moin,
Der Terminalserver befindet sich in der DMZ und die Externe Users die sich via VPN Verbinden, melden sich dann über RDP als Domäne Nutzer an. Somit braucht es schon mal den DC.
in solchen Fällen nutzt man a) das RDP GW b) eine PreAuth Instanz vor/im Kombination mit dem RDP GW. Dann sind sind auch keine unnötigen Löcher in der FW notwendig und man kann sogar laut über MFA nachdenken.


Gruß,
Dani