Orange/DMZ/OPT1 - Netz für cloud & co

#1

Hi zusammen,

ich habe mal ausprobiert, wie ich in der opnsense das ORANGE/DMZ Netzwerk nachbilde, bin zu vorläufigem ERgebnis gekommen:

opnsense-orange-rules
opnsense-orange-rules.png1856×681 81.1 KB

zuvor habe ich die zunächst OPT1 genannte Schnittstelle so umbenannt und eine IP gegeben (wie im IPFire):

opnsense-orange-configuration
opnsense-orange-configuration.png1210×647 48.5 KB

opnsense-orange-ip-apply
opnsense-orange-ip-apply.png1012×333 12.6 KB

Hintendran hängte ich einen Host mit IP 172.16.17.1 und docker-container + apt-cacher-ng auf Port 3142. Auch wenn letzteres nicht gut funktioniert (Grund hat wohl nix mit v7 zu tun), tut die generelle Verbindung.

Obiges Ergebnis diskussionswürdig.

VG, Tobias

#2

Ich bin mir noch nicht sicher, ob die deaktivierte Netz -> Firewall Regel aktivert sein muss.

#3

HI zusammen,

da ich grade beim subnetz angekommen bin und das nicht auf Anhieb funktioniert, frage ich mich, ob wir in der lmn v7 die Netzwerke 172.16.16/17/18.x überhaupt noch einrichten sollen? Wäre es nicht sinnvoller dafür 10.16.16/17/18.x subnetze zu verwenden, dann fällt der routing kram leichter? Ich verstehe leider zu wenig von der Materie um das gut zu beantworten. Vllt. kann ja jemand aushelfen.
Aber die These besteht: für ein „DMZ“ Netz ist ein subnetz notwendig (egal ob das routing in der opnsense stattfindet oder ein weiteres subnetz über den L3-switch ist). Richtig?

VG, Tobias

1 Like
#4

Hallo Tobias,

da ich grade beim subnetz angekommen bin und das nicht auf Anhieb
funktioniert, frage ich mich, ob wir in der lmn v7 die Netzwerke
172.16.16/17/18.x überhaupt noch einrichten sollen? Wäre es nicht
sinnvoller dafür 10.16.16/17/18.x subnetze zu verwenden, dann fällt der
routing kram leichter? Ich verstehe leider zu wenig von der Materie um
das gut zu beantworten.

ich auch nicht, deswegen kann ich auch nur meien Laienvorstellung zum
besten geben.

Vllt. kann ja jemand aushelfen.
Aber die These besteht: für ein „DMZ“ Netz ist ein subnetz notwendig
(egal ob das routing in der opnsense stattfindet oder ein weiteres
subnetz über den L3-switch ist). Richtig?

mir ist das nicht egal.
Ich will das klar getrennt haben: Blau ist durch opnsense abgetrennt und
die subnetze segmentieren das Grüne Netz.
Ich will das in keinerweise mischen/aneinander heranrücken: auch wenn es
das Routing einfacher machen sollte: in meinem Kopf wird es unklarer …

Deswegen: blau ist bei mir an der opnsense abgetrennt und nicht in Grün.

LG

Holger

#5

Hi Holger,
ok. Verstehe: opnsense kümmert sich um andere Netze, d.h. DMZ oder WLAN nicht teil von GRÜN zu haben…

Ich weiß, du hast wahrscheinlich nur BLAU und kein DMZ/orange. Hast du in der opnsense dann dasselbe gemacht wie ich in den Screenshots oben im thread.
Ich hänge eine aktuellen mal an:

opnsense-dmz
opnsense-dmz.png1272×575 58.1 KB

Darin sind zwei Löcher zum Server hin gebohrt: 53 und 636 und ICMP für ping-tests.
VG, Tobias

#6

Hallo Tobias,

Ich weiß, du hast wahrscheinlich nur BLAU und kein DMZ/orange.

ja.

Hast du
in der opnsense dann dasselbe gemacht wie ich in den Screenshots oben im
thread.
Ich hänge eine aktuellen mal an:

opnsense-dmz
https://ask.linuxmuster.net/uploads/default/original/2X/e/e15912bcaa581d5469131054e052d50cd6a196d5.png

Darin sind zwei Löcher zum Server hin gebohrt: 53 und 636 und ICMP für
ping-tests.

nein, hab ich noch nicht (MOntag oder Dienstag kommt das).

Ich werde aber nicht 10.16.1.1/12 als Destination angeben, sondern
10.16.1.1 oder 10.16.1.1/32

LG

Holger

#7

richtig. Me dumm. die netplan-config ist immer so, dass eine IP die gesamte Netzwerkmaske dranhängen hat, daher hab ich das hier auch so gedacht.
VG, Tobias

#8

Hier der aktuelle SCreenshot:

opnsense-dmz
opnsense-dmz.png1257×601 59.3 KB

#9

Hallo.
Ich habe mir mittlerweile auch ein paar Gedanken darüber gemacht, wie die FW-Einstellungen auszusehen haben (1:1 Kopie vom IPFire?), damit ich sowohl eine DMZ als auch ein WiFi (unifi)-Netz unter OPNSense verwalte und entsprechend wasserdicht machen kann.

Die Einstellungen von @Tobias sehen ja schon ganz gut aus – ich denke aber, dass die Einschränkungen für deine DMZ nicht weit genug gehen, oder? Eigentlich sollte da ja so sein, dass die DMZ vollständig isoliert ist und in kein anderes Netzwerk darf. Du schottest es aber nur gegen grün ab (5. Regel – warum sind die eigentlich nicht numeriert?) und nicht gegen alles andere. Soll das so?
Warum benötigst du einen Ping ins gesamte grüne Netz? Dort könnte man auch nur die Server-IP anstelle des ganzen Netzwerkes erlauben (wenn das überhaupt notwendig ist), oder?
Schöne Grüße,
Michael