Einbinden einer Hardware Firewall ins LAN

[Tommes]

Auf Grund einer losgebrochenen Diskussion in einem anderen Thread und dem daraus resultierenden Wunsch nach einem eigenen Thread zum Thema - Wege und Möglichkeiten, eine Hardware Firewall wie z.B. eine pfSense auf einem APU-Board in ein bereits bestehendes LAN einzubinden - starte ich dieses Thema.

Ich habe es mir mal einfach gemacht und werde keinen Roman zu meiner Konfiguration schreiben, sondern einfach versuchen, es mit einer schematischen Darstellung zu erschlagen. Mir ist durchaus bewusst, das sich darüber nicht alle Fragen beantworten lassen, aber das ist genau die Intention dieses Thread. Stellt Fragen, wenn was unklar ist, oder schreibt eigene Beiträge, wie eure Konfiguration aussieht.

Ich werde diesen Thread hier wohl auch nicht federführend leiten, da ich auch nur ein Anwender mit gefährlichem Halbwissen bin und wir hier nun mal eine Menge Leute vom Fach dabeihaben. Wer also Bock hat, sich hier auszutoben.... dann bitte.

Hier also mein Beitrag, wie mein Netzwerk zu Hause schematisch aufgebaut ist (Fehler und Ungereimtheiten dienen einzig dazu, die Diskussion anzukurbeln)





Und nun Feuer frei. Ich bin gespannt, wie sich das hier entwickelt.

Tommes

 

[Tommi2day]

sieht doch gut aus. Nur zum Verständnis: 178.1 ist pfsense WAN und 178.254 ist Fritzbox LAN? Oder umgedreht?
Bei mir ist es ähnlich nur statt der pfsense eine UDM (bei der kann man NAT leider auch nicht abschalten). Auf der Fritzbox 178.1 ist die WAN IP 178.2 der UDM als exposed Host und eine Route für die vlans in 192.168.x.0/24 dorthin eingetragen, falls sich doch mal ein Packet dafür verirrt.

 

[Tommes]

192.168.178.0/24 ist das LAN Segment der Fritzbox, wobei die Fritzbox selber die 192.168.178.1 hat. Für die pfSense - in meinem Fall ein APU2 Board - wurde die IP 192.168.178.254 statisch in der Fritzbox angelegt, sprich… diese IP liegt außerhalb des DHCP-Servers der Fritzbox - bei mir ist das der Bereich zwischen 192.168.178.100 und 192.168.178.239 und wird demnach nicht dynamisch über den DHCP-Server der Fritzbox vergeben. Hier kann man natürlich auch jede andere IP außerhalb des DHCPs hernehmen.

Die WAN Seite der pfSense ist gleich der LAN Seite der Fritzbox. Die pfSense selber baut am Ausgang des (ersten) Interfaces (bei mir igb1) dann ein eigenes LAN Segment auf, standardmäßig ist das der Bereich 192.168.1.0/24

Dabei habe ich die pfSense in der Fritzbox nicht als Exposed Host deklariert. Daher müssen Portfreigaben auf der Fritzbox an das entsprechende Gerät hinter der pfSense angelegt werden, deswegen u.a. auch die statischen Routen. In der pfSense muss dann auf der WAN Seite noch eine Regel erstellt werden, der die Anfrage in das entsprechende Segment bzw. an das entsprechende Gerät auch zulässt.

Tommes

 

[Ulfhednir]

Mich würde hier mal interessieren, wie die einzelnen VLANS verwendet werden. Ich habe ja einen ähnlichen Aufbau - allerdings mit FritzBox und Unifi-Dream Machine. Bei VLAN hadere ich etwas. Ich betrachte hier allen voran Aufwand, Nutzen und den einhergehenden Problemen, wenn ich die Gerätschaften voneinander abschotte.

 

[blurrrr]

Denk einfach in "eigenständigen Netzen", welche "logisch" von der "physikalischen" Infrastruktur getrennt sind. Wenn Du es rein physikalisch abbilden würdest, würde es nur bedeuten, dass jedes Netz einen eigenen FW-Port bekommt und daran ein eigener Switch für das entsprechende Netz hängt.

Wenn das Interesse allgemein so groß ist, müsste ich vllt doch mal einen Kurs für sowas anbieten... ? ?

 

[Tommes]

Mich würde hier mal interessieren, wie die einzelnen VLANS verwendet werden.

Bei mir ist das so...

Die pfSense legt beim ersten Einrichten neben dem WAN Interface auch ein erstes LAN Interface an. Wurde nichts anderes angegeben bzw. im nachhinein verändert, so erhält das LAN Interface standardmäßig die IP-Range 192.168.1.0/24 was automatisch dem (Standard) VLAN1 entspricht. Die pfSense selber ist dann über die 192.168.1.1 zu erreichen. Über das Interface selber (von mir aus auch, an der Netzwerkkarte oder dem LAN-Anschluss), läuft neben dem VLAN1 auch alle weiteren, nachfolgend aufgezählten VLANs, jedoch je in ihrem eigenen Segment.

Von daher ist bei mir das VLAN1 das Management Segment, dessen einzige Aufgabe es ist, mir eine Zugriffsmöglichkeit anzubieten, um alle angeschlossenen Switche, WLAN Access Points etc. konfigurieren zu können. Dieses VLAN1 ist somit für nichts anderes zuständig und man erreicht die grade aufgeführten Geräte auch nur, wenn man Mitglied in diesem Segment ist.

Dann kommen zwei bzw. drei VLANs, eins für mich (VLAN10), eins für meinen Sohn (VLAN20), eins für's HomeOffice (VLAN30), was mir für den alltäglichen Gebrauch erstmal völlig ausreicht.

Dann gibt es noch ein VLAN40, die mir als DMZ dient um Dienste über Internet erreichbar zu machen wie z.B. den Gameserver meines Sohnes, oder ähnlichen.

Dann könnte man noch ein VLAN für IoT, eins für's Smarthome, eins zum basteln oder was auch immer einrichten. Am Ende ist das Sache mit den VLANs echt eine tolle Sache.... WENN MAN ES ERSTMAL BEGRIFFEN HAT ... so ich ich mich am Anfang total schwer damit getan habe überhaupt ein VLAN aufzubauen. Mir fehlte schlicht und ergreifend das nötige Backgroundwissen und irgendwie wollte mein Hirn das auch nicht wirklich begreifen. Jetzt, wo ich es gefressen habe, möchte ich es nicht mehr missen.

BTW: Interessant wird am Ende das gegenseitige Abschotten bzw. den teilweisen erlaubten Zugriff der einzelnen Segmente untereinander. Neben dem Verständis eines VLANs ist das Verständnis für das Regelwerk noch mal eine Schüppe lustiger.

Tommes

 

[mamema]

...mich würde interessieren wie Du das in der Praxis nutzt?
VLAN für Dich, VLAN Für Management, VLAN für Homeoffice ...und was nich noch.,...

gehst Du da in die Netzwerksettings im Client und setzt das VLAN manuell, oder hast Du in jedem VLAN einen extra Client stehen, oder oder oder?

 

[blurrrr]

In Normalfall setzt Du keine VLAN-Tags in irgendwelchen Clients... In solchen kleinen Konstrukten ist das meistens einfach Port-based, einstecken, fertig. Dinge wie APs werden meist sowieso zentral gemanaged und da werden dann einfach die VLAN-Tags zu den SSIDs durch die Gegend gepushed, da muss also clientseitig auch nix mehr gemacht werden. Passende SSID auswählen, im entsprechenden VLAN (bzw. Netz) landen, fertig.

In grösseren Konstrukten (z.B. Hypervisor) kriegen die entsprechenden Netzwerkports einfach die benötigten VLAN-Tags mit, im z.B. VMM kannste dann bei den virtuellen NICs (und/oder virtuellen Switchen) die entsprechenden VLAN-Tags vergeben, VM kriegt das Ding einfach nur noch zugewiesen, fertig. Innerhalb der VM musste dann auch "garnix" mehr diesbezüglich machen.

Ich persönlich hab hier Zuhause um die 11 VLANs mit entsprechenden Regelsets auf der Firewall. Läppert sich flott, aber wenn man es logisch einteilt, ist das eigentlich alles halb so wild (Surveillance, VoIP, Arbeit, Privat, WLAN-Gekrösel, Uplinks, Werkstatt, etc.). Subnetting wäre da in der "Theorie" halt auch so ein Thema, aber... who cares... (bei @Tommes könnte die pfSense auch einfach die .2 bekommen und man würde einfach ein /30er Netz machen, dann passt da auch nix sonstiges mehr rein, in der Praxis in solchen Netzen aber andersrum auch wieder so ziemlich egal...).

 

[Tommes]

An das Management VLAN1und damit an die darin liegenden beiden Layer2 Switche (ein weiter ist schon bestellt und wird noch eingebunden), einem Multi-SSID AP sowie der pfSense selber, komme ich nur über einem bestimmten Port am ersten Switch hinter dem APU Board dran. Ich muss also ein LAN Kabel an den Switch klemmen um das System administrieren zu können.

Da ich aktuell aber noch viel rumspiele und ausprobiere, habe ich mir eine Regel erstellt, das ich auch über das VLAN10 auf die pfSense komme. Das kann ich also nach belieben aktivieren oder deaktivieren. Die Switche sowie den AP braucht man eigenlich nicht groß administieren, wenn sie einmal richtig eingestellt wurden... daher ist das mit dem LAN Kable absolut okay und hat einen nicht zu verachtenden Sicherheitseffekt.

Wie gesagt, VLAN10 ist mein LAN wo u.a. dann auch meine beiden Synologys drin liegen, als auch ein entsprechenes WLAN. Wobei ich mein Backup-NAS vielleicht sogar in ein eigenes VLAN stopfen werde, um das System weiter abzusichern. Also Backup von Gerät X aus VLAN Y ins VLAN z an Gerät A möglich, VLANz in ein anderes VLAN verboten. so oder so ähnlich.

Mein Sohn kann in seinem LAN erstmal machen was er will. Er hat in seinem Segment vollen Zugriff aus das Internet, aber keinen Zugriff auf das LAN. Aber auch hier kann ich durch Regeln den Zugang zur Fritzbox, der pfSense etc. regeln wie ich mag.

Das HomeOffice liegt momentan noch brach, ebenso wie die DMZ. Ziel der DMZ soll sein das mein Sohn aus seinem VLAN zugang zu Geräten innerhalb der DMZ erhält um Dienste wie Minecraft Ports etc. ins Internet zu stellen. Umgekehrt, das die DMZ aber in kein anderes Segment kommt. Regelwerk halt.

IoT Geräte habe ich kaum, daher benötige ich so ein VLAN noch nicht. Aber was nicht ist, kann ja noch werden. Gleiches gilt für Smarthome etc.

Was bei mir jedoch anders ist, als bei manch anderem ... und da stoße ich natürlich auch immer auf Unverständnis ... das ich im Fritzbox Segment, also noch vor der pfSense, weiterhin Geräte liegen habe wie Drucker, Überwachungskamera, einen RaspPi usw. Das Transfernetz, was eigentlich keine weiteren Geräte aufnehmen sollte, existiert bei mir in der Form nicht. Ebenso läuft VoIP über die Fritzbox, sowie das FritzVPN. Anderseits läuft auf der pfSense ebenfalls ein OpenVPN...

Wie schon erwähnt... nicht best practice, für mich aber ein guter Kompromiss.

Tommes

 

[the other]

Moinsen,
ich mach das (wie gesagt: hier rein privat, zum Ausprobieren, kein Hochsicherheitsgedöns nötig) auch mit diversen VLANs:
die Clients haben ne feste IP, dem jeweiligen VLAN zugeordnet im dhcp Server per MAC (jaja, MAC Spoofing ...wie gesagt...). Andere (neue) Clients bekommen in ihn fremden VLANS keine IP zugeordnet. Als DNS wird per dhcp pihole verteilt, per Regel kann kein anderer DNS auf 53 erreicht werden.
Es gibt einmal VLAN Sohn, der kann von dort ins Netz (durch piholes Pornofilter, hehehe) aber nirgendwo anders (andere VLANs) hin außer NAS B.
Dann mein VLAN für Netz und Spielereien an der Technik...mit Zugriff auf NAS A und B.
Dann VLAN für Handy und Tablet und NAS A für Calendar, Adressen, Dateiserver usw.
Dazu einmal VLAN IoT für die neuentdeckte Spielwiese smart home, die können alle nirgendwo hin, bleiben also strikt im eigenen Saft.Hier dann auch NAS B fürs Bespielen mit Medien (musik an AVR, sonos, Bilder an TV usw).
Und ein VLAN für Gäste mit eingeschränktem Zugang ins Internet aber ohne irgendeinen Zugang ins übrige Heimnetz.
Alles was die Netzwerktechnik steuert und bedient (Firewall, switche, APs, Piholeserver, checkmk) ist wiederum im Management VLAN. Dort kommt nur der PC ran, wenn er ebenfalls im selbigen VLAN ist.
Dazu dann noch ein zweites, völlig abgetrenntes LAN, welches nur für Heimbanking ist. Keine Mails, nur Bank.

Sicherlich was die Sicherheit angeht nicht best-practice, da ich zB mit dem PC auch mal VLAN-hopping betreibe (am switch umstecke) zwischen meinem und dem Management VLAN, aber für mein setting wollte ich keine extra Authentifikation und entsprechend automatische Zuordnung einrichten. Mir reicht es, dass alles, was sich "mal eben so" ins Netz einstöpselt (was eh nur direkt an den Wanddosen gehen würde, da alle switche verschlossen sind), ins default VLAN1 kommt, welches komplett leer ist und keinen Zugang irgendwohin bietet, keine IP vergibt und auch Port 53 nicht zulässt.

Dass ich da für MAC Manipulationen gefährdet bin...ok. Dass ich mit dem PC die Trennung der Bereiche aufteile...auch ok. Kann ich mit leben.

Per VPN ist ein Passwort und zusätzlich 2fa nötig, um nach erfolgter Radius Authentifizierung den Tunnel aufzubauen. Danach geht es nur auf NAS A sonst nirgendwohin.

Zumindest Stand heute, mag in ein paar Wochen wieder etwas anders aussehen.

 

[NSFH]

Für mich ist dieses Schema nicht sinnvoll.
Grundsätzlich ist die Fritz kein Modem, sollte so nie verwendet werden was auch AVM empfiehlt. Ist in diesem Bridgemode auch ein Performancehemmer. Die müsste also raus!
Zweitens was versprichst du dir von dem getrennten Konstrukt Firewall / Fritzbox? Was die Fritz macht ist absolut ausreichend, dafür braucht hier keiner eine Hw Ergänzung. Die Gefährdung eines LAN erfolgt zu 99,9% von Innen durch eingeschleppte Trojaner und nahezu nie durch eine geknackte Firewall.

Wenn man verschiedene LANs betreiben und auch gegeneinander schützen will wäre der Aufbau
Modem > Firewall > Switch mit Routing und VLAN Funktionalität.
Entscheidend dabei die Firewall mit mehreren physischen Nw-Ports die dem jeweiligen LAN fest zugeordnet werden können. Ein Schwachpunkt bleibt dann immer die Schnittstelle zu gemeinsamen Devices wie Drucker oder der Syno.

Ja und dann kommt noch der entscheidende Punkt. Wenn richtige Hw Firewall dann muss sie auch entsprechend konfiguriert werden. Herisst nicht nur das banale Blcoking wie man es aus der Fritz oder Syno kennt sondern auch der abgehende Verkehr muss so eingeschränkt werden. Wer dann nicht mit Analysetools für den IP-Verkehr umgehen kann wird seine tolle Firewall nie richtig konfigurieren können.
Jedes Programm, dass dann irgendwo im LAN neu in Betrieb genommen wird bringt uU neue Ports in Spiel. Kann ich die nicht analysieren (der Hersteller sagt meist nichts dazu) wird dieses Programm nie funktionieren. Das Betreiben so einer Firewall kann dann im betrieblichen Umfeld schnell zu einer ausfüllenden Beschäftigung werden.
Mein Fazit dazu: Entweder richtig, dann extrem zeitaufwändig oder nur ein bischen und dann reicht eine Fritz, vor allem im privaten Umfeld.

 

[the other]

Moinsen @NSFH ...
Meinst du mich?
Ich hab die fb doch gar nicht als Modem...
den ausgehenden Traffic begrenzen ich mit Regeln bereits, da sind zt keine oder nur begrenzt ports erlaubt.
Langfristig soll vor die fw auch ein reines Modem, wenn die fb eol oder defekt wird wieder umgestellt.

 

[mamema]

wobei die Aussage von @NSFH sowieso zu hinterfragen ist das "grundsätzlich" die Fritzbox kein Modem sei. Grundsätzliche Aussagen sind meist grundsätzlich nicht richtig.
Man nimmt einem Router eine OSI Schicht "weg" und dann ist es eine Bridge. Das ist grundsätzlich Legitim. Warum das AVM nicht "empfiehlt" kann viele Gründe haben. Aus der Praxis mit Fritzboxen kann ich sagen, dass die pfsense APU meinen Gamersohn mit links "erträgt", während sich die Fritzbox zu damaligen Zeit durchaus auch aufgehängt hat.

 

[Tommes]

@NSFH
Ich weiß garnicht, warum du dich so aufregst. Niemand verlangt von dir, solch ein Konstrukt zu nutzen. Es ist ja okay, das du dem nicht viel abgewinnen kannst und es behauptet ja auch niemand, das es nicht bessere Lösungen gibt.

Was ich mir davon verspreche? Naja, ganz einfach, ich hab da einfach bock drauf und eine Router-Kaskade mit zwei FRITZ!Boxen war mir irgendwie zu langweilig. Mich interessiert das Thema nun mal und ich möchte meinen Horizont ein wenig erweitern. Einfach, weil ich Spaß daran habe.

Brauchen tu ich das alles mit Sicherheit nicht. Aber du weißt ja wie sich Hobby definiert: Mit einem Maximum an Ressourcen, ein Minimum an Nutzen erzielen.

Von daher… ich bin mir sicher, das ich nicht der einzige bin, der so ein System wie oben gezeigt, betreibt. Auch findet man im Netz genug Anleitungen und Foren wo über das alles diskutiert wird. Es ist also nicht so, das ich hier das Rad neue erfunden habe.

Also bitte… ich bin ja bei dir, das das für eine Profi alles Larifari ist nichts mit der Systemsicherheit im Unternehmensnetzwerken zu tun hat. Aber hey… so what!

Tommes

 

[mamema]

@Tommes IT bzw. IT Security hat nie EINE Wahrheit. Ich würde das was Du gemacht hast auch nicht machen, aber "unsicher" oder gar Larifari ist es nicht. Polemik on: Ist Schwachsinn. Keine Fritzbox würde eine DDOS Attacke aushalten. Du musst eine CISCO ASA kaufen (50.000). Polemik off.
Deine Begründung ist valide. Vor allem gefiehl mir diese:

>Aber du weißt ja wie sich Hobby definiert: Mit einem Maximum an Ressourcen, ein Minimum an Nutzen erzielen.

Wenn ich mich so im Berufsfeld umsehe, haben ganz viele ihr Hobby zum Beruf gemacht.

 

[AndiHeitzer]

Mit einem Maximum an Ressourcen, ein Minimum an Nutzen erzielen.

Eigentlich gehört sowas in eine Signatur!

 

[NSFH]

Zuerst einmal habe ich niemanden persönlich gemeint mit meinem Post, daher habe ich ihn allgemein gehalten.
"Aufgeregt" habe ich mich über gar nichts. Woraus wäre das zu schliessen?

Wer schon mal eine "richtige" Firewall in der Grössenordnung Checkpoint konfiguriert und betrieben/gewartet hat weiss, wie zeitaufwändig das sein kann. Ohne profundes IT-Wissen kann man da mehr Löcher aufreissen als zumacchen oder umgekehrt bekomt nie die richtigen Löcher auf.
Das man mit sowas als IT Freak gerne rumspielt verstehe ich, nur sowas im laufenden Betrieb dauerhaft zu pflegen ist so zeitaufwändig, dass man es nach einiger Zeit, wenn der Reiz des Neuen weg ist, nicht mehr tut. In dem Moment wird es ein etwas sinnloses Unterfangen.

Die Fritz kann nicht mehr als Modem betrieben werden. Punkt! Ein Modem und BridgeMode sind 2 verschiedene Dinge.
Der BridgeMode kostet Performance. Wer es nicht glaubt sollte es nachmessen.
Das waren halt so einige allgemeine Gedanken zu diesem Thema, ohne mich aufzuregen.

 

[the other]

Moinsen,
ich bin in den meisten Punkten, besonders aber hier

nur sowas im laufenden Betrieb dauerhaft zu pflegen ist so zeitaufwändig, dass man es nach einiger Zeit, wenn der Reiz des Neuen weg ist, nicht mehr tut. In dem Moment wird es ein etwas sinnloses Unterfangen.

absolut bei dir.
Und es ist aufwändig. Nicht nur die Ersteinrichtung bis dann das läuft, was laufen soll und das, was nicht laufen soll, eben nicht mehr rausplappert.
Allerdings hab ich nach nun fast 2 Jahren auch die Erfahrung gemacht: idR ist es nach der dann endlich funktionierenden Einrichtung auch getan. KLar, Updates müssen gepflegt werden. Aber wirklich profunde und aufwändige Veränderungen kommen (zumindest hier) nur noch dann zum Einsatz, wenn ich eh das Netzwerk umgestalte (neues Segment, Umgestaltung bestehender Segmente, neues VPN usw).
Der Performancenachteil ist sicherlich messbar, sicherlich kann mir auch jeder von den Profis hier nachweisen, dass Doppelt NAT ebenfalls performancebezogen deutlich schlechter abschneidet. Nur: in der Praxis merke ich es eben nicht. Bisher laufen sowohl Zugriffe aufs heimische LAN via VPN als auch Surfen via VPN ohne spürbaren Unterschied durch.

Für mich bleibt es daher dabei: für etwas Geld und viel Zeit geschafft, das Netz nach außen und von außen etwas besser zu sichern, innerhalb des Netzes aufzuräumen durch Segmentierung, VPN besser als Fritzbox und besser als auf dem Fileserver allemal.
Und wenn die Fritz irgendwann mal abschmiert ist auch Grund genug da, sich mit dem ersehnten Draytek Modem zu befassen (juhu, endlich wieder Geld ausgeben für IT)...

 

[mamema]

>Die Fritz kann nicht mehr als Modem betrieben werden. Punkt! Ein Modem und BridgeMode sind 2 verschiedene Dinge.
>Der BridgeMode kostet Performance. Wer es nicht glaubt sollte es nachmessen.

Der einzige Unterschied zwischen einem Modem und einer Bridge ist, dass ein Modem den Aufbau zum ISP übernimmt und eine Bridge dies einer "höheren Instanz" überlässt. Da hier eine pfsense aktiv ist, welche ISP Verbindung aufbauen kann, ist das Schnurz. Auf diesem Unterschied hinzuweisen somit auch. Und wer misst misst Mist. Ich habe nachgemessen und kann Deine Behauptung nicht nachvollziehen.
Ansonsten d'accord bzgl. Firewallkonfiguration und der Problematik durch Fehlbedienung erst Löcher zu reißen. Aber was ist die Alternative? Es komplett zu lassen?
Man muss das Thema doch mal praxisnah betrachten. Dadurch das es Menschen gibt wie @Tommes treten sie (positv) als Angriffsvektor nach hinten und lassen in der ersten Reihe die Anwender stehen, welche sich die Mühe nicht machen und mit heruntergelassenen Hosen im Internet stehen. Das @Tommes Fehler machen könnte, das ist halt so.

 

[Matthieu]

Ich glaub ich hadere am meisten mit der Doku
Vor allem die statischen Routen irritieren mich. Der Pfeil geht nach unten, das Gw zeigt aber in Richtung Fritzbox. Auch wer welche IP besitzt und wo die Routen tatsächlich werkeln, kommt so kaum raus.
Vielleicht schaffe ich in den nächsten Tagen mal einen Gegenvorschlag

MfG Matthieu