puevit
Goto Top

Zukünftiger Netzwerkaufbau und Konfiguration

Guten Tag zusammen,

ich plane den Aufbau von 3 kleinen getrennten Domänennetzwerken (3 Arbeitsbereiche) und benötige dafür Rat bzgl. der Konfiguration.

ISTSTAND:
1 pfsense, hinter der ist ein physischer Server mit Proxmox VE auf der laufen unterschiedliche VMs und Container, pfsense ist als DHCP konfiguriert, hat einige NAT weiterleitungen um von außen auf einige der VMs zugreifen zu können, wird aus dem lokalen Netz zugegriffen wird für diese domains eine lokale DNS Umleitung direkt auf die VMs gemacht.
Netzerkhardware (APs und Switche sind alle von unifi)

Zukünftig geplant:
zukünftig möchte ich gern 3 Domänennetzwerke (als vlans?) einrichten. Jedes dieser Nezwerke soll in sich abgeschlossen sein (Nutzer können icht in anderes Domänennetzwerk, außer Admin). Die pfsense soll als zentrale Firewall bleiben, und auf VMs (die einzeln den jeweiligen Domänennetzwerken zugeordnet werden sollen (VM100=>Netzerk1, VM101=>Netzwerk 101,..) Zugriff von außen ermöglichen.
Jedes Domänennetzwerk soll ein eigenes LAN und WLAN haben, ein gemeinsames separiertes Gäste WLAN ohne Zugriff auf ein Domänennetzwerk.

Meine IT Schwerpunkte liegen leider bissl anderweitig - bevor ich mich jetzt hieran mache wollte ich gern eine sinnvolle Einrichtung hierfür diskutieren.

Danke Euch vorab!
Anbei eine Skizze wir das Netzwerk aussehen lönnte
Gruß
Gunnar
221103_zielstruktur

Content-ID: 4493702979

Url: https://administrator.de/contentid/4493702979

Ausgedruckt am: 13.11.2024 um 00:11 Uhr

Uhli90
Uhli90 03.11.2022 um 11:51:29 Uhr
Goto Top
Gibt es einen bestimmten Grund weshalb du 3 Domänen getrennt verwalten möchtest und keinen Forrest aufbaust? Es würde nämlich u.a. der Ausfallsicherheit zugute kommen. Beim Ausfall deines DC könntest du dann einfach den 2. Hochstufen und die Ausfallzeit gering halten.
PUEVIT
PUEVIT 03.11.2022 um 11:57:36 Uhr
Goto Top
es sollen 3 kleine Unternehmen hinter der pfsense in jeweils einem eigenen Netzwerk arbeiten können ohne untereinander Zugriff zu haben, es steht ein physischer Server zur Verfügung auf dem die Virtualiserungen laufen. Mir schien dieser Ansatz ersteinmal der sinnvollste zu sein - aber gern auch anderweitig.
radiogugu
radiogugu 03.11.2022 um 13:27:00 Uhr
Goto Top
Mahlzeit.

DNS und DHCP sollten die DC der jeweiligen Domänen machen. Die PFSense sollte sich nur ums Routing kümmern.

Mit der Hardware sollte das generell kein Problem sein.

Du solltest aber schauen, wie viele WLAN Clients da am Ende durcheinander funken. Da würden mitunter etwas "größere" Access Points Sinn machen.

Gibt es denn Redundanzen bei diesem Konstrukt? Wenn dein Host ausfällt, wie schnell kommt das Ganze wieder ans Rennen und wie sieht deine Backup Strategie an der Stelle aus?

Physische Trennung der einzelnen Netzwerke wäre natürlich die bessere Variante. Jeder bekommt einen eigenen kleinen Host, eigene APs und einen eigenen Switch. Diese könnten dann auf ein PFSense HA Konstrukt aufgelegt werden.
Wie sieht das denn der Internet Provider, von wegen "Untervermietung" seiner Leitung?

Wenn man mal übergangsweise seinem Nachbarn sein Internet "ausleiht" ist das bestimmt etwas anderes, als in diesem gewerblichen Fall.

Gruß
Marc
em-pie
em-pie 03.11.2022 um 13:32:08 Uhr
Goto Top
Moin,

grundsätzlich machbar.
Hinweise:
richte vier oder fünf VLANs ein:
  • 1: Default: kein IP-Netz oder sonst irgendwelche Geräte. Das kannst du als "Netz für gestrandete" nutzen.
  • 10: Firma 1 mit dem Gesamtnetz 10.10.0.0/16. Natürlich wirst du nur mit 24er-Netzen arbeiten, aber so weisst du "alles was von 10.10.xx.yy kommt, ist Firma 1". Sollten innerhalb der Firma mal weitere VLANs benötigt werden, hast du so leichtes Spiel.
  • 20: Firma 2 mit dem Gesamtnetz 10.20.0.0/16. Natürlich wirst du nur mit 24er-Netzen arbeiten, aber so weisst du "alles was von 10.20.xx.yy kommt, ist Firma 2". Sollten innerhalb der Firma mal weitere VLANs benötigt werden, hast du so leichtes Spiel.
  • 30: Firma 1 mit dem Gesamtnetz 10.30.0.0/16. Natürlich wirst du nur mit 24er-Netzen arbeiten, aber so weisst du "alles was von 10.30.xx.yy kommt, ist Firma 3". Sollten innerhalb der Firma mal weitere VLANs benötigt werden, hast du so leichtes Spiel.
  • 100: Management mit dem Gesamtnetz 10.100.0.0/16. Da kommen alle Infrastruktur-Geräte wie Host, Management-IPs der Switche, Zugang auf die pfSense, .... Auf dieses Netz hat nur der Admin Zugriff.
In der pfSense regulierst du dann die Zugriffe...


Fragen am Rande:
Werden die Kosten der Infrastruktur durch drei geteilt oder zahlen Firmen 2 und 3 einen Obolus an Firma 1, weil Firma 1 den Admin beschäftigt?
Verteilst du als Backup-Lösung einen Admin-Zugang an alle drei GFs, wobei das Kennwort dreigeteilt ist und nur jeder einen Teil des Kennwortes kennt (man weiss ja nie, ob sich nicht Firma 2 mal von Firma 2 ablösen und 1 und 3 in den Ruin reißen will...)
binBash86
binBash86 03.11.2022 um 15:41:24 Uhr
Goto Top
Wenn du VLAN-fähige Switches hast sollte das kein Problem sein. Wie der Vorposter schon dargelegt hat, du erstellst die entsprechenden VLANs auf der PFSENSE und auf den Switches. Schaust das alles schön voneinander getrennt ist. Theoretisch könntest du im VLAN1 auch den Hypervisor, Backup, MGT etc. lassen, würde ich so machen.

Wir haben im Endeffekt so oder ähnlich unser RZ aufgebaut.
aqui
aqui 03.11.2022 aktualisiert um 17:49:38 Uhr
Goto Top
Wie das geht steht z.B. HIER.
Am Beispiel von VMs hier mit VmWare. Das VLAN Handling dürfte bei Proxmox mehr oder minder identisch sein.
Zum Thema Für und Wider von Firewalls auf VMs ist hier ja schon alles gesagt worden.

Nebenbei:
In deiner Überschrift ist ein "ü" zuviel! Der "Bearbeiten" Knopf ist dein bester Freund diesen Fauxpas immer auch nachträglich zu beseitigen! 😉
PUEVIT
PUEVIT 03.11.2022 um 18:16:20 Uhr
Goto Top
Danke für Eure Antworten, ich arbeite mir die Links durch, ein wenig mehr Verständnis tut bei mir hier wirklich Not face-wink
@aqui was ist mit zum Thema "Für und Wider von Firewalls auf VMs ist hier ja schon alles gesagt" gemeint? Gibt es dazu für mich evtl. eine konkreten Link um das nachzulesen?
aqui
aqui 04.11.2022 um 08:56:51 Uhr
Goto Top
Leider nein, da es einfach, zumindestens in diesem Forum, zuviele waren im Laufe der Zeit. Grundtenor war aber immer das man sich sowas gut überlegen sollte. Für Heim- und Testnetze sicherlich tolerierbar aber wer in puncto Sicherheit auf Nummer Sicher gehen will spendiert ihr immer ein eigenes Blech. Sagt einem ja auch schon der gesunde IT Verstand.
binBash86
binBash86 04.11.2022 um 09:28:17 Uhr
Goto Top
Ein eigenes Blech für die Sicherheit ? Die Wahrscheinlichkeit das jemand deinen Hypervisor knackt, ist so mit das geringste Risiko überhaupt. Wo leben wir denn ? Die ganze IT basiert auf Virtualisierung.
em-pie
em-pie 04.11.2022 um 09:50:33 Uhr
Goto Top
Zitat von @binBash86:

Ein eigenes Blech für die Sicherheit ? Die Wahrscheinlichkeit das jemand deinen Hypervisor knackt, ist so mit das geringste Risiko überhaupt. Wo leben wir denn ? Die ganze IT basiert auf Virtualisierung.

Wir leben in einer Welt in der alles möglich ist:
https://www.google.de/search?q=VM+Breakout

+1 für eine eigene Kiste:
pfSense läuft ja auch auf einem APU.... Das Board hat vermutlich ausreichend Leistung für dein Szenario.

Und bedenke: Du sitzt abends zuhause und dein Host ist dir abgeraucht (betroffen sind drei Firmen). Wie willst du dann den VPN-Tunnel aufbauen, wenn die Kiste mit auf dem Host läuft?
Und wenn die Hardware der pfSense flöten geht, haben deine Anwender zwar kein Internet (und keine Mails) können aber intern weiterarbeiten, während du dich um eine neue Sense kümmerst (oder den Ersatz aus dem Regal holst und das Config-Backup einspielst). Wenn dein Host weg ist, aber die Sense noch läuft, können deine Anwender zumindest im WWW surfen und ggf, Mails abrufen (sofern kein OnPrem-Mail-Server betrieben wird).

Es geht also nicht nur um Sicherheit sondern auch um ein Abfedern von Ausfällen...
binBash86
binBash86 04.11.2022 um 10:03:57 Uhr
Goto Top
Achso, ich hatte verstanden du willst auch die drei Umgebungen auf eigene Bleche machen. Die Firewall..ok..das ist verhältnismäßig.
aqui
aqui 04.11.2022 um 10:32:48 Uhr
Goto Top
Die Wahrscheinlichkeit das jemand deinen Hypervisor knackt, ist so mit das geringste Risiko überhaupt.
Hast du dafür eine belastbare Quelle?!
binBash86
binBash86 04.11.2022 um 10:50:21 Uhr
Goto Top
Die Quelle sind bei mir 17 Jahre Berufserfahrung und das Betreiben eines Rechenzentrums. Dazu kommt, die Hypervisor werden auch gepatched, sollte es eine Lücke geben. Aber gut, künstlerische Freiheit, soll jeder machen wie er meint.
PUEVIT
PUEVIT 04.11.2022 um 13:07:52 Uhr
Goto Top
Die pfsense läuft in einer eigenen Kiste (APU) und die Virtualisierung auf einer PROXMOX VE auf eigener Hardware danach. Damit ist immer lokales Arbeiten auch beim Crash der Internetverbindung möglich. Wir denken darüber nach doe Proxmox VE als HAC nochmal hinsichtlich Verfügbarkeit abzusichern. Externer Zugriff ist auf die VMs nur über die per NAT jeweils freigegebenen Ports möglich.
em-pie
em-pie 04.11.2022 um 14:11:01 Uhr
Goto Top
Externer Zugriff ist auf die VMs nur über die per NAT jeweils freigegebenen Ports möglich.
und womöglich noch den Port 3389 durchgereicht...

Grauenvoll...

VPN-Tunnel werden ja auch völlig überbewertet
binBash86
binBash86 04.11.2022 um 14:48:20 Uhr
Goto Top
:D Jetzt gleich kommt wieder irgendeiner mit dem Argument...ja aber VPN kannste auch hacken
aqui
aqui 04.11.2022 um 16:16:26 Uhr
Goto Top
Bei "VPN" bist du wiederoberflächlich und sofern du nicht gerade von PPTP als VPN redest wird sicher keine Administrator mit solch einem Argument kommen.
binBash86
binBash86 04.11.2022 um 17:04:47 Uhr
Goto Top
Gabs hier schon
PUEVIT
PUEVIT 06.11.2022 um 11:49:42 Uhr
Goto Top
Zitat von @em-pie:

Externer Zugriff ist auf die VMs nur über die per NAT jeweils freigegebenen Ports möglich.
und womöglich noch den Port 3389 durchgereicht...

Grauenvoll...

VPN-Tunnel werden ja auch völlig überbewertet

nein es ist nur ein Zugriff über https durch NAT auf ausgewählte VMs möglich
aqui
aqui 18.11.2022 um 16:51:50 Uhr
Goto Top
Wenns das denn war, bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!