in den Osterferien soll die Bereitstellung der öffentlichen IPs von Vodafone kommen. Als Router dient eine FritzBox cable 6591. Ich habe mich mal etwas ins Handbuch vertieft:
Da ist mir jetzt nicht unbedingt auf Anhieb klar, wo mein Kabel vom roten Netzwerk angeschlossen werden muss und was sonst noch nötig ist, damit neben der OPNsense auch Cloud usw. funktionieren. Aber vielleicht hat jemand von euch eine solche Konstellation schon in Betrieb und kann ein paar sachdienliche Hinweise geben bzw. vor Fallstricken warnen.
so wie ich das lese kannst du in Bawü nur eine statische externe IPv4 beantragen. Wenn ich das richtig in Erinnerung habe, dann verwendest du momentan aber mehr als eine statische Adresse, z.B. für deine Cloud, usw…
Im Detail kann ich dir nicht helfen, sondern nur einen möglichen Weg beschreiben. Da du nur noch eine statische Adresse haben wirst, könntest du alle Server zunächst mal hinter die OpnSense in die DMZ stellen. Dann brauchst du einen ReverseProxy, der die Anfragen von außen an die richtigen Instanzen weiterleitet. Dafür kannst du z.B. den HA-Proxy der OpnSense nehmen. Die Konfiguration ist mit Sicherheit kein Spaß. Die OpnSense kann mit dem AcmeClient auch das ganze Zertifikatgedöns für deine Seiten automatisiert übernehmen. Zu guter Letzt wirst du auch cname Einträge in deiner DNS-Zone vornehmen müssen. Das kannst du weiterhin von Belwue machen lassen oder du übernimmst das Management selber indem du z.B. den DNS-Robot von Hetzner nimmst.
Insgesamt würde ich sagen, dass ist von der Komplexität schon ein Brett. Ich hätte mir den ReverseProxy von einer Firma aufsetzen lassen, weil ich keine Lust gehabt hätte mich da einzuarbeiten.
Mein Weg war einfacher, weil ich durch unseren Glasfaseranbieter 12 statische Ipv4 Adressen bekommen habe. Ich habe alle Server dann hinter die OpnSense in die DMZ gestellt. Der OpnSense kann man auf dem WAN-Interface beliebig viele externe Adressen verpassen und die dann einfach zu den richtigen Servern in der DMZ routen. Das war nicht sehr komplex und dabei könnte ich dir gerne helfen, falls du doch mehrere statische Adressen bekommen kannst.
nein, außer wenn sich das in den letzten Monaten geändert haben sollte, kannst Du (zumindest zusätzlich)auch mehr als 1 feste IPv4 bekommen. In den Verträgen, die wir für die Seminare geschlossen hatten, waren z.B. immer 5 dabei.
wie Jochen auch schreibt, hat man mir bei Vodafone glaubhaft versichert, dass ich zu unserem Business-Vertrag 5 IPs zubuchen könne und es gibt da auch schon einen festen Termin, an dem der Vodafone-Mitarbeiter mich anrufen will, um das Ganze vertraglich umzusetzen. Gleichwohl bleibt es
und deshalb werde ich evtl. gerne auf dein Hilfsangebot zurückkommen.
Insgesamt habe ich nicht viele Möglichkeiten. Das Glasfaserprojekt unserer Gemeinde im Verbund mit dem Landkreis geht eher schleppend voran und außerdem zeichnet sich ab, dass der Vermarkter (abhängig von der Bandbreite) richtig viel Geld sehen will.
Bei AVM habe ich folgende Anleitung gefunden, die mir nachvollziehbar erscheint:
ich habe bei der Einrichtung der OPNsense keine DMZ angelegt, da aber noch eine Netzwerkkarte frei ist, sollte dies machbar sein. Allerdings finde ich bei der WAN-Schnittstelle auf Anhieb keine Möglichkeit zusätzliche externe Adressen einzurichten. Das wäre mal der erste Schritt. Außerdem weiß ich nicht, wo die angesprochenen Routen eingerichtet werden können.
Abschließende Frage: Reicht es dann, die Netzwerkkarte der DMZ mit einem LAN-Port des Routers (Fritzbox-Cable) zu verbinden, damit die Anwendungen in der DMZ erreichbar werden?
wir können gerne Mal ein Treffen bei mir in der Schule ausmachen, dann zeige ich dir das in Ruhe…schreib einfach eine PM/Mail…hier schon mal ein paar kurze Antworten…insgesamt ist das schon etwas Umfangreich:
das ist sowieso kein Problem, weil du ja virtualisiert hast. Du brauchst ja nur einen virtuellen Switch (bei Proxmox vmbrX; wie das bei VMWare heißt weiß ich nicht), an den du alle Server hängst.
du gibst eine Adresse direkt dem WAN-Interface, das gibt dann dein Standardgateway für das WAN…das ist bisher die Adresse von Belwue, die du auf der OpnSense bei WAN eingetragen hast.
Die weiteren WAN-Adressen legst zu als virtuelle IP’s an: das geht über Schnittstellen → Virtuelle IP’s und dort legst du IP-Aliase deiner gewünschten externen IP’s auf dem WAN Interface an (https://docs.opnsense.org/manual/firewall_vip.html)
Deine Server bekommen ja eine IP in der DMZ (z.B. 192.178.16.1) und sollen von extern über ihre WAN IP (z.B.: 37.112.23.77) erreicht werden können. Du legst also ein NAT Portforwarding für die gewünschten Ports an…z.B. Weiterleitung von 37.112.23.77:443 auf 192.178.16.1:443. Daneben sind noch weitere Anpassungen nötig. Erstens sollte der ausgehende Verkehr von den entsprechenden Servern über die zugehörige WAN-Adresse laufen (sonst geht alles über das Standardgateway raus), dafür braucht man eine Regel bei NAT-Ausgehend und zweitens muss man dafür sorgen, dass Anfragen aus dem internen Netz direkt zur DMZ gehen und nicht über WAN. Das macht man unter Dienste im Unbound-DNS bei Überbrückung… Zu guter Letzt ist natürlich sehr wichtig, dass Prinzipiell die verschiedenen Bereiche der Firewall (DMZ, LAN, WLAN, etc.) durch Regeln voneinander so weit wie möglich getrennt werden und nur unbedingt nötige Zugriffe erlaubt werden.
Das weiß ich nicht…wie wird das denn technisch überhaupt bei Vodafone gemacht? Bei mir steht da einfach ein Router als Gateway mit soundsoviel IP’s. Die kommen per VLAN bis zu dem Router…ist also eigentlich genau wie bei Belwue.