ich brauche mal Denkhilfe von euch, weil ich einiges nicht sortiert bekomme…sorry es wird jetzt etwas länger ;-).
Wir gehen über einen städtischen Glasfaseranbieter in Internet. Dahinter steht der Belwue Router und über den haben haben wir 8 statische IP-Adressen von Belwue in Betrieb. Eine davon gehört natürlich unserer lmn und ist in der Opnsense vergeben. Dahinter hängt dann wie üblich der lmn-Server, das Wlan Netz und die DMZ. Die anderen gehören unseren Webdiensten (2 Clouds, OSP, Wetterstationen, etc.). Wir haben gesubnettet, d.h. bei uns kommt das rote Netz über Vlan10 und den layer3 Router in den Proxmox Hypervisor. Dort hängen dann alle o.g. Server am virtuellen Switch von Vlan10. Die Webserver stehen alle direkt im roten Netz, was bisher kein Problem war, weil der Belwue-Router ja quasi eine DMZ erzeugt hat. Nach außen sind nur ganz wenige Ports offen (443, SSH, …). Soweit der Ist-Zustand.
Nun bekomme ich von der Stadt einen Router mit 10 statischen IP verpasst, was eigentlich ein Traum ist, weil sich quasi nichts ändert. Leider ist es wohl so, dass es technisch oder warum auch immer nicht möglich ist, für die neuen IP’s wie bei Belwue alles bis auf wenige Ports dicht zu machen. Also stehen meine o.g. Server jetzt vollkommen ungeschützt im Internet.
Jetzt zu meiner eigentlichen Frage…wie würdet ihr die Server in rot jetzt sichern? Eine einfache UFW-Firewall auf jedem der Server tut’s wohl nicht oder? Spontan würde ich die o.g. Server auch in die DMZ stellen aber mir ist dann völlig schleierhaft, wie ich das ganze Routing umsetze. Die Server haben dann ja eine IP aus der DMZ. Außen sollen sie ihre individuelle statische IP behalten (ich will keinen reverse Proxy!). Eine weitere Möglichkeit bietet vielleicht die Firewall vom Proxmox…da kenne ich mich aber nicht aus.
Du könntest hinter den neuen Router nochmal eine Firewall hängen oder aber (finde ich besser:) Du hängst Deine Server in die DMZ der OPNsense. Auf der WAN-Schnittstelle der OPNsense kannst Du (auch wenn ich das selbst noch nicht gemacht habe) mehrere feste IPs definieren und diesen dann Weiterleitungen auf Deine verschiedenen Server in grün (LMN) oder DMZ zuweisen. Da Du ja die verschiedenen, festen IPs hast, braucht es da keinen reverse Proxy.
… der Cisco von BelWü wurde ja gekauft: richtig schön wäre es ja, wenn man die Fähigkeit erlangen könnte, ihn zu konfigurieren: dann könnte man das (in eigener Hand) weiterbetreiben…
Aber wer kann schon so einen Router konfigurieren?
vielen Dank für die Tipps. Das mit der zweiten Firewall habe ich verworfen, weil ich schlechte Erfahrungen mit doppeltem NAT habe. Wenn deine Idee mit den mehreren festen IP’s auf einer WAN Schnittstelle funktioniert, wäre das genial…ich probiere das Mal aus!
das hatte ich auch schon auf dem Schirm…hatte das sogar schon mit dem neuen Anbieter diskutiert…technisch eher schwierig und ich bin sicher, dass das die Komplexität zu sehr erhöht…wenn Jochens Idee klappt wäre das wesentlich niederschwelliger
das „ungeschützt“ ist aus meiner Sicht nicht wirklich ein Problem. Du
konfigurierst Deine Server ja so, dass da nicht auf dem externen
Interface unnötige Dienste laufen. Und die gewünschten Dienste müssen ja
sowieso im Internet zur Verfügung stehen.
Also ab und zu mal ein „netstat - tulpen“ laufen lassen, kontrollieren,
auf welchen Ports welche Dienste laufen und ob das so passt, und fertig.
Bei den von mir betreuten Servern sind das genau die Ports und genau die
Dienste, für die ich gegebenenfalls eine Portweiterleitung einrichten
würde, da würde also eine vorgelagerte Firewall nicht mehr filtern.
Die würde allenfalls davor schützen, dass eine Anfrage an einen Port,
auf dem kein Dienst läuft, durch irgendeinen Bug im IP-Stack Probleme
macht - mit dem Risiko kann ich gut leben. Um Größenordungen wichtiger
ist es, die laufenden Dienste aktuell zu halten, sinnvoll zu
konfigurieren - und die Infrastruktur so zu gestalten, dass bei einem
einzelnen kompromittierten Rechner nicht das gesamte Netz offen steht.
Häng also einfach die Server an den neuen Router - das ist aus Sicht der
LMN bzw. der OPNSense eine DMZ, da musst Du Dich nicht mit einer
Weiterleitung auf der OPNSense herumschlagen.
Ich meine, dass der Router trotz der Einmalzahlung weiterhin im Besitz von BelWü bleibt. Ich hab da mal angefragt, ob die wirklich tausende, teilweise veraltete Router zurückhaben wollen und mit denen noch was anfangen können oder ob die Schulen die übernehmen könnten aber ich hab’ nie eine Antwort erhalten… Vielleicht kann da Hr. @merdian etwas dazu sagen?
Bei meinem letzten Routertausch bei Belwue (vor einigen Jahren) durfte ich den alten Cisco 800er-Serie auf Nachfrage behalten. Der steht jetzt noch als Notfallrouter bereit, falls ich mal wieder die alte T@school 16Mbit-Leitung an die linuxmuster anschließen müsste, falls die schnelle Leitung ausfallen würde.
Ja, korrekt. Die Router bleiben im Eigentum der Uni Stuttgart und müssen zurückgeschickt werden, wenn BelWü die noch irgendwie gebrauchen kann. Bei veralteten Router werden die Schulen gebeten, diese zu deinventarisieren und zu entsorgen.