13.09.2015, aktualisiert am 14.09.2015

2666

VPN Server - Wo am besten platzieren

Guten Abend zusammen,

ich möchte gerne von Unterwegs auf einzelne Hosts in meinem Heimnetzwerk zugreifen. Nun ist die Frage wo der VPN Server(IPSec) am besten platziert wird. Es werden mehrere Mobile Clients sein wo aber nicht jeder auf die bestimmten Hosts zugreifen darf.

Es sind zwei Router in einer Kaskade aufgebaut (Ich weiß, suboptimal...).
Der erste Router ist ne Fritzbox und der zweite eine PfSense.
Nun würde ich gerne wissen was in diesem Szenario "best-practice" ist.

Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen und von dort per Policy Routing auf die Hosts zu gehen oder besser die PfSense selber als VPNServer agieren lassen oder sogar die Fritzbox das VPN bereitstellen zu lassen?

Danke für eure Antworten und schönen Abend noch!

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 282782

Url: https://administrator.de/contentid/282782

Ausgedruckt am: 25.11.2024 um 05:11 Uhr

16 Kommentare

Neuester Kommentar

Mach es dir (privat) so einfach wie möglich und nimm das Fritten-VPN... Ist ja auch n' IPSec und einfach einzurichten

LG tomolpi

Das einfachste ist oft aber auch nicht das sicherste.. Deswegen meine Frage.

Grüße

Was ist an IPSec nicht sicher?

Hallo,

betreibst du spezielle Dienste (z.B. Telefonie) wozu du die Fritte benötigst?

Gruß

Ipsec ist sicher, das bezweifel ich nicht. Nur geht es mir auch um die Wartung und Überwachung des VPN Server, Logs überprüfen usw..
Die Fritzbox und die PfSense sind ja beide gut gehärtet was Angriffe angeht, oder?
@michi1983: Ja VoIP Anlage.

Hi,

Ja VoIP Anlage.

Wenn die Fritte davor durch den Provider erforderlich wird.(DSL-Zwangsrouter)
Dann schalte auf der Fritte die Ports für IPsec frei und lass den/die Tunnel auf der pfSense laufen.

Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen

...warum nicht, wenn das die Hardware her gibt.
Immer noch besser wie das Frittennetz als DMZ zu mißbrauchen, ist es ja eh nicht wirklich.

Gruß orcape

Hallo,

Es sind zwei Router in einer Kaskade aufgebaut (Ich weiß, suboptimal...).

Kommt ganz darauf an wo die der VPN Server stehen soll und vor allem die Geräte
die von außerhalb erreicht werden sollen!

Der erste Router ist ne Fritzbox und der zweite eine PfSense.

Das ist nur Makulatur, denn bescheuert wird es erst wenn wieder jemand denkt
er muss alles hinter die pfSense packen und hinter der AVM FB steht nichts!

Nun würde ich gerne wissen was in diesem Szenario "best-practice" ist.

VPN Server hinter die AVM FB und auch die Geräte auf die zugegriffen werden soll.
Und das restliche LAN wird dann eben durch die pfSense geschützt.

Macht es Sinn einen extra Host in einer DMZ von der PfSense aufzustellen und von dort per
Policy Routing auf die Hosts zu gehen oder besser die PfSense selber als VPNServer agieren
lassen oder sogar die Fritzbox das VPN bereitstellen zu lassen?

Best practice kann hier mehrfach aber äußerst unterschiedlich sein;
- Der VPN Server steht hinter der AVM FB und auch das zum Beispiel NAS auf das zugegriffen werden soll von außerhalb
- Die AVM FB steckt selber die IPSec Verbindung her und dort stehen auch die Geräte auf die zugegriffen werden soll
- Der Gerät auf das von außerhalb zugegriffen werden soll stellt selber den VPN Server
bereit, zum Beispiel das NAS.

Absolutes NoGo sollte jedoch sein das an der pfSense hinter der AVM FB das VPN
terminiert wird und vorne dann alles offen sein muss wie ein Scheunentor, dann lieber
ein Modem kaufen und vor die pfSense installieren und dort eine DMZ einrichten.

Auf was soll denn alles zugegriffen werden?

Gruß
Dobby

Letztlich ist es egal von der Funktionalität wo du das VPN terminierst.
FB Vorteil: Ist direkt der Provider Router und du hast keine Frickelei mit NAT und Port Forwarding
FB Nachteil: Die FB kann einzig nur IPsec als VPN Protokoll was ein Nachteil ist. Zudem fehlen ihr einige IPsec Features.

FW Vorteil: Mehrere VPN Protokolle zur Auswahl dadurch flexibler. Perfromantere HW. Ein Laix 2D13 hat einen Hardware Krypto Chip onboard !
FW Nachteil: Du musst an der FB Port Forwarding auf die WAN IP der pfSense einrichten für das VPN Protokoll.

Sinnvoller wäre hier wie Kollege @108012 schon sagt die FB als reines Modem laufen zu lassen oder sollte das nicht gehen diese zu entsorgen und ein reines_Modem dort zu verwenden um die Provider IP direkt auf der pfSense zu terminieren.

Du musst selber zw. den Vor- und Nachteilen abwägen und für dich entscheiden wo du das machen willst.

Hallo zusammen,

danke für eure zahlreichen Antworten. Hatte vergessen zu erwähnen das es ein VDSL Anschluss ist.

Ich werde das ganze dann an der PfSense selber terminieren. Es wird hauptsächlich von Android Geräten aus auf ein NAS zugegriffen.
Kann ich mit der PfSense auch über IPSec per User-/Server Zertifikate mich verbinden? Habe da nämlich nichts gefunden. Um die größtmögliche Sicherheit zu gewährleisten.

edit: Habe es doch gefunden... https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start

Hatte vergessen zu erwähnen das es ein VDSL Anschluss ist.

Das hat keinen Einfluss und ist eher kosmetisch. Ob ADSL, VDSL, Sat, KabelTV oder feuchter Bindfaden spielt für das Prinzip keinerlei Rolle.

Ich werde das ganze dann an der PfSense selber terminieren.

Dann musst du dich nur für ein VPN Protokoll deiner Wahl entscheiden. IPsec, PPTP, SSL davon hängt dann ab WAS du an der FB forwarden musst

Habe es doch gefunden...

Hier im Forum wirst du auch fündig:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Es wird hauptsächlich von Android Geräten aus auf ein NAS zugegriffen.

Dann kann das auch die AVM FB machen und das NAS schließt man dann eben an die
AVM FB direkt an! Dafür gibt es von AVM auch APPs dazu!

Ich werde das ganze dann an der PfSense selber terminieren.

Dann würde ich mal das NAS dort in eine DMZ stellen damit nicht das ganze LAN
vor offenen Ports steht und von außer zugänglich ist.

Gruß
Dobby

Dann kann das auch die AVM FB machen

Nicht wenn man einfach mit PPTP auf das NAS zugreifen will

@108012:

Das NAS steht bereits in einem eigenem VLAN und darf nicht auf andere VLAN Netze zugreifen. Das ist ja quasi eine DMZ. Oder sollte das NAS einen eigenen Netzwerkport and der PfSense erhalten?

Grüße

Das NAS steht bereits in einem eigenem VLAN und darf nicht auf andere VLAN Netze
zugreifen.

Man kann vieles machen und realisieren, aber nur weil man es eben machen kann heißt
es eben noch immer nicht das es auch sinnvoll ist oder aber später nicht zu Komplikationen führt.

Das ist ja quasi eine DMZ.

Nein ein VLAN!

Oder sollte das NAS einen eigenen Netzwerkport and der PfSense erhalten?

Würde ich so herum machen wollen.

Gruß
Dobby

Zitat von @108012:
Würde ich so herum machen wollen.

Alles klar wird so gemacht.

Vom Sicherheitsaspekt her wäre es nun auch sinnvoller einen eigenen Host in der DMZ aufzustellen um dort den VPN-Server zu stellen?

Grüße

Nein ein VLAN!

Na ja wenn das VLAN isoliert ist und einen eigenen VLAN Port an der pfSense bekommen hat ist das ja genau das gleiche...

Vom Sicherheitsaspekt her wäre es nun auch sinnvoller einen eigenen Host in der DMZ aufzustellen um dort den VPN-Server zu stellen?

Nein das wäre Unsinn ! Denn dann üsstest du imemr mit gefährlichem Port Forwarding durch die ganze Router Kette arbeiten.
Das auf der Firewall zu terminieren ist schon das Optimum.

gelöst Frage Netzwerke Router, Routing

Mehr von SickOne

Private VLans mit dlink Switch dgs 1210-24 und pfsenseSickOne - 8 Kommentare

Komme per UNC nicht aufs NASSickOne - 5 Kommentare

BSA Anschluss wo wird wie übergebenSickOne - 3 Kommentare

WLAN USB Stick mit guter ReichweiteSickOne - 20 Kommentare

Heiß diskutiert