16
VPN Server - Wo am besten platzieren
Guten Abend zusammen,
ich möchte gerne von Unterwegs auf einzelne Hosts in meinem Heimnetzwerk zugreifen. Nun ist die Frage wo der VPN Server(IPSec) am besten platziert wird. Es werden mehrere Mobile Clients sein wo aber nicht jeder auf die bestimmten Hosts zugreifen darf.
Es sind zwei Router in einer Kaskade aufgebaut (Ich weiß, suboptimal...).
Der erste Router ist ne Fritzbox und der zweite eine PfSense.
Nun würde ich gerne wissen was in diesem Szenario "best-practice" ist.
Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen und von dort per Policy Routing auf die Hosts zu gehen oder besser die PfSense selber als VPNServer agieren lassen oder sogar die Fritzbox das VPN bereitstellen zu lassen?
Danke für eure Antworten und schönen Abend noch!
Gruß
ich möchte gerne von Unterwegs auf einzelne Hosts in meinem Heimnetzwerk zugreifen. Nun ist die Frage wo der VPN Server(IPSec) am besten platziert wird. Es werden mehrere Mobile Clients sein wo aber nicht jeder auf die bestimmten Hosts zugreifen darf.
Es sind zwei Router in einer Kaskade aufgebaut (Ich weiß, suboptimal...).
Der erste Router ist ne Fritzbox und der zweite eine PfSense.
Nun würde ich gerne wissen was in diesem Szenario "best-practice" ist.
Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen und von dort per Policy Routing auf die Hosts zu gehen oder besser die PfSense selber als VPNServer agieren lassen oder sogar die Fritzbox das VPN bereitstellen zu lassen?
Danke für eure Antworten und schönen Abend noch!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282782
Url: https://administrator.de/contentid/282782
Printed on: April 19, 2024 at 10:04 o'clock
16 Comments
Latest comment
Mach es dir (privat) so einfach wie möglich und nimm das Fritten-VPN... Ist ja auch n' IPSec und einfach einzurichten 
LG tomolpi
LG tomolpi
Das einfachste ist oft aber auch nicht das sicherste.. Deswegen meine Frage.
Grüße
Grüße
Was ist an IPSec nicht sicher?
Hallo,
betreibst du spezielle Dienste (z.B. Telefonie) wozu du die Fritte benötigst?
Gruß
betreibst du spezielle Dienste (z.B. Telefonie) wozu du die Fritte benötigst?
Gruß
Ipsec ist sicher, das bezweifel ich nicht. Nur geht es mir auch um die Wartung und Überwachung des VPN Server, Logs überprüfen usw..
Die Fritzbox und die PfSense sind ja beide gut gehärtet was Angriffe angeht, oder?
@michi1983: Ja VoIP Anlage.
Die Fritzbox und die PfSense sind ja beide gut gehärtet was Angriffe angeht, oder?
@michi1983: Ja VoIP Anlage.
Hi,
Dann schalte auf der Fritte die Ports für IPsec frei und lass den/die Tunnel auf der pfSense laufen.
Immer noch besser wie das Frittennetz als DMZ zu mißbrauchen, ist es ja eh nicht wirklich.
Gruß orcape
Ja VoIP Anlage.
Wenn die Fritte davor durch den Provider erforderlich wird.(DSL-Zwangsrouter)Dann schalte auf der Fritte die Ports für IPsec frei und lass den/die Tunnel auf der pfSense laufen.
Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen
...warum nicht, wenn das die Hardware her gibt.Immer noch besser wie das Frittennetz als DMZ zu mißbrauchen, ist es ja eh nicht wirklich.
Gruß orcape
Hallo,
die von außerhalb erreicht werden sollen!
er muss alles hinter die pfSense packen und hinter der AVM FB steht nichts!
Und das restliche LAN wird dann eben durch die pfSense geschützt.
- Der VPN Server steht hinter der AVM FB und auch das zum Beispiel NAS auf das zugegriffen werden soll von außerhalb
- Die AVM FB steckt selber die IPSec Verbindung her und dort stehen auch die Geräte auf die zugegriffen werden soll
- Der Gerät auf das von außerhalb zugegriffen werden soll stellt selber den VPN Server
bereit, zum Beispiel das NAS.
Absolutes NoGo sollte jedoch sein das an der pfSense hinter der AVM FB das VPN
terminiert wird und vorne dann alles offen sein muss wie ein Scheunentor, dann lieber
ein Modem kaufen und vor die pfSense installieren und dort eine DMZ einrichten.
Auf was soll denn alles zugegriffen werden?
Gruß
Dobby
Es sind zwei Router in einer Kaskade aufgebaut (Ich weiß, suboptimal...).
Kommt ganz darauf an wo die der VPN Server stehen soll und vor allem die Gerätedie von außerhalb erreicht werden sollen!
Der erste Router ist ne Fritzbox und der zweite eine PfSense.
Das ist nur Makulatur, denn bescheuert wird es erst wenn wieder jemand denkter muss alles hinter die pfSense packen und hinter der AVM FB steht nichts!
Nun würde ich gerne wissen was in diesem Szenario "best-practice" ist.
VPN Server hinter die AVM FB und auch die Geräte auf die zugegriffen werden soll.Und das restliche LAN wird dann eben durch die pfSense geschützt.
Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen und von dort per
Policy Routing auf die Hosts zu gehen oder besser die PfSense selber als VPNServer agieren
lassen oder sogar die Fritzbox das VPN bereitstellen zu lassen?
Best practice kann hier mehrfach aber äußerst unterschiedlich sein;Policy Routing auf die Hosts zu gehen oder besser die PfSense selber als VPNServer agieren
lassen oder sogar die Fritzbox das VPN bereitstellen zu lassen?
- Der VPN Server steht hinter der AVM FB und auch das zum Beispiel NAS auf das zugegriffen werden soll von außerhalb
- Die AVM FB steckt selber die IPSec Verbindung her und dort stehen auch die Geräte auf die zugegriffen werden soll
- Der Gerät auf das von außerhalb zugegriffen werden soll stellt selber den VPN Server
bereit, zum Beispiel das NAS.
Absolutes NoGo sollte jedoch sein das an der pfSense hinter der AVM FB das VPN
terminiert wird und vorne dann alles offen sein muss wie ein Scheunentor, dann lieber
ein Modem kaufen und vor die pfSense installieren und dort eine DMZ einrichten.
Auf was soll denn alles zugegriffen werden?
Gruß
Dobby
Letztlich ist es egal von der Funktionalität wo du das VPN terminierst.
FB Vorteil: Ist direkt der Provider Router und du hast keine Frickelei mit NAT und Port Forwarding
FB Nachteil: Die FB kann einzig nur IPsec als VPN Protokoll was ein Nachteil ist. Zudem fehlen ihr einige IPsec Features.
FW Vorteil: Mehrere VPN Protokolle zur Auswahl dadurch flexibler. Perfromantere HW. Ein Laix 2D13 hat einen Hardware Krypto Chip onboard !
FW Nachteil: Du musst an der FB Port Forwarding auf die WAN IP der pfSense einrichten für das VPN Protokoll.
Sinnvoller wäre hier wie Kollege @108012 schon sagt die FB als reines Modem laufen zu lassen oder sollte das nicht gehen diese zu entsorgen und ein reines_Modem dort zu verwenden um die Provider IP direkt auf der pfSense zu terminieren.
Du musst selber zw. den Vor- und Nachteilen abwägen und für dich entscheiden wo du das machen willst.
FB Vorteil: Ist direkt der Provider Router und du hast keine Frickelei mit NAT und Port Forwarding
FB Nachteil: Die FB kann einzig nur IPsec als VPN Protokoll was ein Nachteil ist. Zudem fehlen ihr einige IPsec Features.
FW Vorteil: Mehrere VPN Protokolle zur Auswahl dadurch flexibler. Perfromantere HW. Ein Laix 2D13 hat einen Hardware Krypto Chip onboard !
FW Nachteil: Du musst an der FB Port Forwarding auf die WAN IP der pfSense einrichten für das VPN Protokoll.
Sinnvoller wäre hier wie Kollege @108012 schon sagt die FB als reines Modem laufen zu lassen oder sollte das nicht gehen diese zu entsorgen und ein reines_Modem dort zu verwenden um die Provider IP direkt auf der pfSense zu terminieren.
Du musst selber zw. den Vor- und Nachteilen abwägen und für dich entscheiden wo du das machen willst.
Hallo zusammen,
danke für eure zahlreichen Antworten. Hatte vergessen zu erwähnen das es ein VDSL Anschluss ist.
Ich werde das ganze dann an der PfSense selber terminieren. Es wird hauptsächlich von Android Geräten aus auf ein NAS zugegriffen.
Kann ich mit der PfSense auch über IPSec per User-/Server Zertifikate mich verbinden? Habe da nämlich nichts gefunden. Um die größtmögliche Sicherheit zu gewährleisten.
edit: Habe es doch gefunden... https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
danke für eure zahlreichen Antworten. Hatte vergessen zu erwähnen das es ein VDSL Anschluss ist.
Ich werde das ganze dann an der PfSense selber terminieren. Es wird hauptsächlich von Android Geräten aus auf ein NAS zugegriffen.
Kann ich mit der PfSense auch über IPSec per User-/Server Zertifikate mich verbinden? Habe da nämlich nichts gefunden. Um die größtmögliche Sicherheit zu gewährleisten.
edit: Habe es doch gefunden... https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Hatte vergessen zu erwähnen das es ein VDSL Anschluss ist.
Das hat keinen Einfluss und ist eher kosmetisch. Ob ADSL, VDSL, Sat, KabelTV oder feuchter Bindfaden spielt für das Prinzip keinerlei Rolle.Ich werde das ganze dann an der PfSense selber terminieren.
Dann musst du dich nur für ein VPN Protokoll deiner Wahl entscheiden. IPsec, PPTP, SSL davon hängt dann ab WAS du an der FB forwarden musst Habe es doch gefunden...
Hier im Forum wirst du auch fündig:IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Es wird hauptsächlich von Android Geräten aus auf ein NAS zugegriffen.
Dann kann das auch die AVM FB machen und das NAS schließt man dann eben an dieAVM FB direkt an! Dafür gibt es von AVM auch APPs dazu!
Ich werde das ganze dann an der PfSense selber terminieren.
Dann würde ich mal das NAS dort in eine DMZ stellen damit nicht das ganze LANvor offenen Ports steht und von außer zugänglich ist.
Gruß
Dobby
Dann kann das auch die AVM FB machen
Nicht wenn man einfach mit PPTP auf das NAS zugreifen will
@108012:
Das NAS steht bereits in einem eigenem VLAN und darf nicht auf andere VLAN Netze zugreifen. Das ist ja quasi eine DMZ. Oder sollte das NAS einen eigenen Netzwerkport and der PfSense erhalten?
Grüße
Das NAS steht bereits in einem eigenem VLAN und darf nicht auf andere VLAN Netze zugreifen. Das ist ja quasi eine DMZ. Oder sollte das NAS einen eigenen Netzwerkport and der PfSense erhalten?
Grüße
Das NAS steht bereits in einem eigenem VLAN und darf nicht auf andere VLAN Netze
zugreifen.
Man kann vieles machen und realisieren, aber nur weil man es eben machen kann heißtzugreifen.
es eben noch immer nicht das es auch sinnvoll ist oder aber später nicht zu Komplikationen führt.
Das ist ja quasi eine DMZ.
Nein ein VLAN!Oder sollte das NAS einen eigenen Netzwerkport and der PfSense erhalten?
Würde ich so herum machen wollen.Gruß
Dobby
Zitat von @108012:
Würde ich so herum machen wollen.
Würde ich so herum machen wollen.
Alles klar wird so gemacht.
Vom Sicherheitsaspekt her wäre es nun auch sinnvoller einen eigenen Host in der DMZ aufzustellen um dort den VPN-Server zu stellen?
Grüße
Nein ein VLAN!
Na ja wenn das VLAN isoliert ist und einen eigenen VLAN Port an der pfSense bekommen hat ist das ja genau das gleiche...Vom Sicherheitsaspekt her wäre es nun auch sinnvoller einen eigenen Host in der DMZ aufzustellen um dort den VPN-Server zu stellen?
Nein das wäre Unsinn ! Denn dann üsstest du imemr mit gefährlichem Port Forwarding durch die ganze Router Kette arbeiten.Das auf der Firewall zu terminieren ist schon das Optimum.
