Netzwerkneuaufbau mit OPNsense an VF Kabel

S

straputzki

New member
Hallo zusammen,

ich möchte unser Netzwerk neu aufbauen und freue mich über kritische Anmerkungen oder alternative Empfehlungen zu unten genanntem Vorhaben bzw. meinen Fragen weiter unten.

Aktuell läuft am VF Kabelanschluss (business) mit statischer IP alles über die Fritzbox, sowie diverse Nebendienste (pihole, dnscrypt, bind) auf einem Raspi. Zukünftig soll die Fritzbox im Bridgemodus agieren, die OPNsense soll Routing und Firewall übernehmen und die Netze (virtuell) segmentieren.

Die Sense läuft auf einem Fujitsu Futro S920, es stehen 3 physische NICs zur Verfügung, die ich als Schnittstellen re0 (WAN), em0 (LAN) und em1 (DMZ) in der Sense eingerichtet habe.

Folgende Struktur habe ich mir dafür überlegt:
Aufteilung in zwei Netze: DMZ und LAN.
  • Im DMZ Netz ist nur der Webserver. Er soll von innen (LAN) als auch von außen in benötigtem Umfang erreichbar sein.
  • LAN untergliedert sich in drei VLANS:
  1. VLAN1: Heimserver und Backupserver, nur erreichbar von VLAN2 und autorisierte VPN (via Wireguard) Geräte (ggf. separates VLAN für WG peers?)
  2. VLAN2: Heimnetz mit allen privaten Geräten der Familie. Voller Zugriff aus VLAN2 in VLAN1. Zugriff auf DMZ.
  3. VLAN3: Gastnetz für Gäste, berufliche Geräte und solche die (noch) über die Cloud funken (Staubsaugerroboter). Nur begrenzter Zugriff auf das Internet. Keine Kommunikation zwischen VLAN2 und VLAN3. Zugriff auf DMZ.
Alle Netze sollen den OPNsense "Zwangs"-DNS mit Adguard Filterlisten und Blocking nutzen.


An die Netzwerkspezialisten und -fachleute: Ist das Setup so in Ordnung oder gibt es Denkfehler bzw. best practices es anders zu machen?

Anbei das Ganze in visueller Darstellung:

opm.png

Freue mich auf regen Austausch. Vielen Dank im Voraus für Eure Anmerkungen!
 
Moinsen,
immer wieder spannend und meist auch nur von individuellen Bedürfnissen abhängig, so ein Neu- oder Umbau des Heimnetzes. :)
Ich habe ein, zwei Ideen / Gedanken zu deinem Plan:

*wenn eh alles aus VLAN2 Zugriff auf den Server in VLAN 1 haben soll...warum den dann in ein eigenes Netz stecken und alles mit Firewallregeln wieder aufweichen? Ich würde da eher den Server mit ins VLAN2 stecken (sollen/müssen/dürfen ja eh alle dran, wenn ich es recht verstanden habe). Dafür aber den BACKUP Server in ein eigenes VLAN. Da darf dann möglichst nur ran, wer auch wirklich muss (und am Besten es wird ein PULL Backup gemacht, dann muss eigentlich fast nüscht mehr da Zugriff haben, außer dem Hobbyadmin).

*Ich würde auch noch ein VLAN extra machen und dann Gäste / berufliche Geräte in eines stecken und IoT / smarthome Kram in ein eigenes VLAN verfrachten.

*je nach Größe der Familie und Alter der Kinder (falls) würde ich ggf. auch noch da unterteilen: verseucht eines der Kinder sich das smartphone mit Malware, dann ist das immer noch getrennt von DEINEN Geräten (mit denen du dann ja als Hobbyadmin auf die anderen Zugriff hast. Ich bin zwar auch kein Freund von "hui, dutzend VLANS im Heimnetz! Yuchuu!!", aber mehr als drei dürfen es durchaus sein (ich denke, den Bedarf hättest du und die Technik auch, also...) ;) Außerdem kannst du so ggf leichter auch mal das gesamte "Kinder VLAN" mit anderen Filterregeln (DNS, IP) versehen, als das Netz der Erwachsenen.

*Dann noch die Frage nach der DMZ bzw dem Webserver. Wenn der in einer DMZ steht, warum dann großzügigen Zugriff gewähren aus dem eigenen LAN (VLAN2). Damit kann dann ja doch wieder jedes Gerät (aus VLAN2) mehr oder weniger darauf zugreifen. Nach meinem Verständnis ist die DMZ vor allem für die Webserver gedacht, die von außen aber eben nicht auch gleichzeitig für User aus dem LAN erreichbar sein sollen. Die DMZ soll doch eben eine Isolation vom LAN ermöglichen. Wenn dann aber per diverser Regeln für den Zugriff aus dem LAN / VLAN2 die Isolation quasi aufgehoben wird...hmm :unsure:

Wie gesagt: nur Gedanken, kein " DAS MUSS ANDERS"...;)
 
Zuletzt bearbeitet:
Hi,

kann man machen, aber ich würde da vielleicht nochmal drüber nachdenken... Grade das ganze IoT-Zeugs würde ich eher nicht mit den geschäftlichen Dingen in ein Netz werfen. Traffic über die Strippe bleibt eh gleich, ich würde da durchaus nochmal trennen.

straputzki schrieb:
Alle Netze sollen den OPNsense "Zwangs"-DNS mit Adguard Filterlisten und Blocking nutzen.
Zum Vergrößern anklicken....
Das wird so einfach definitiv nicht funktionieren. Du kannst den internen Resolver vorgeben, Du kannst anderweitige "herkömmliche" ausgehende DNS-Anfragen (Port 53) sperren, DoT geht auch noch (Port 853) aber beim DoH-Thema (Port 443) wirst Du Dir zwangsläufig etwas einfallen lassen müssen. Kannst hingehen und Dir alles mögliche an DoH-Servern raussuchen (Beispielliste) und die alle sperren, macht aber sicherlich keinen Spass und Bedarf auch ständiger Nacharbeit.
 
Danke für Eure bisherigen Antworten.


the other schrieb:
wenn eh alles aus VLAN2 Zugriff auf den Server in VLAN 1 haben soll...warum den dann in ein eigenes Netz stecken und alles mit Firewallregeln wieder aufweichen? Ich würde da eher den Server mit ins VLAN2 stecken (sollen/müssen/dürfen ja eh alle dran, wenn ich es recht verstanden habe). Dafür aber den BACKUP Server in ein eigenes VLAN.
Zum Vergrößern anklicken....
Stimmt. Wenn man es so sieht, ist es unfug. Der Backupserver wird nur bei Bedarf eingeschaltet für die Dauer des Backups. Den habe ich jetzt auch mit dazu gepackt.

the other schrieb:
*je nach Größe der Familie und Alter der Kinder (falls) würde ich ggf. auch noch da unterteilen: verseucht eines der Kinder sich das smartphone mit Malware, dann ist das immer noch getrennt von DEINEN Geräten (mit denen du dann ja als Hobbyadmin auf die anderen Zugriff hast. Ich bin zwar auch kein Freund von "hui, dutzend VLANS im Heimnetz! Yuchuu!!", aber mehr als drei dürfen es durchaus sein (ich denke, den Bedarf hättest du und die Technik auch, also...) ;) Außerdem kannst du so ggf leichter auch mal das gesamte "Kinder VLAN" mit anderen Filterregeln (DNS, IP) versehen, als das Netz der Erwachsenen.
Zum Vergrößern anklicken....
Guter Punkt! Danke. Noch sind sie - zum Glück - nicht in dem Alter, daher ist das was für später.

the other schrieb:
Dann noch die Frage nach der DMZ bzw dem Webserver. Wenn der in einer DMZ steht, warum dann großzügigen Zugriff gewähren aus dem eigenen LAN (VLAN2). Damit kann dann ja doch wieder jedes Gerät (aus VLAN2) mehr oder weniger darauf zugreifen.
Zum Vergrößern anklicken....
Jep, stimmt auch. Die Kiste ist dann halt über die sense erreichbar.

blurrrr schrieb:
Du kannst den internen Resolver vorgeben, Du kannst anderweitige "herkömmliche" ausgehende DNS-Anfragen (Port 53) sperren
Zum Vergrößern anklicken....
Das war gemeint, ja. So mache ich das aktuell noch mit der Fritzbox.

blurrrr schrieb:
Kannst hingehen und Dir alles mögliche an DoH-Servern raussuchen (Beispielliste) und die alle sperren, macht aber sicherlich keinen Spass und Bedarf auch ständiger Nacharbeit.
Zum Vergrößern anklicken....
Hast Du recht. Manuelle Nacharbeiten sind nicht gewünscht und was dann über DoH durchgeht, damit muss ich leben. :)



Habe den Input in v2 konsolidiert:
opm_v2.png
 
Moinsen,
Was genau soll der backup server denn machen?
"Nur" den Heimserver sichern? Oder machen auch die anderen clients da ihre Daten- bzw Fullbackups (inkl.OS)?
Edit / Ergänzung:
Best practice ist es soweit ich weiß, das Vlan 1 (ist idR das default vlan) "leer" zu lassen, also keinen produktiven Datenverkehr dort zu haben. Viele machen das trotzdem und es läuft...aber wenn du es eh gerade am Entwerfen bist. Hintergrund ist, dass über das default vlan manche Pakete für die "Hintergrundinformationen" in so einem Konstrukt laufen. Ich zb habe das vlan 1 einfach leer. Dient nur als trunk zwischen switch und Router. Aber es sind dort keine clients vorhanden.
 
Zuletzt bearbeitet:
Guten Abend,
der Backupserver soll nur den Heimserver sichern. Der Heimserver hält die Backups der Clients und läuft immer. Der Backupserver nur für die Durchführung dergleichen.

Interessanter Punkt VLAN1 "leer" zu lassen. Ich habe mich gerade ein wenig dazu belesen: Wenn man sich seiner absolut sicher ist, kann man die Regel auch ignorieren, ansonsten gilt, was Du gesagt hast. Da ich nicht zur Selbstüberschätzung neige, halte ich mich daran. ;)
 
Moinsen,
Na, wenn der backup server ausschließlich den Heimserver (mit den enthaltenen client backups) sichert, dann würde ich den in ein eigenes Vlan bringen, Zugriff nur für den Heimserver auf den benötigten Ports und eben zum administrieren vom PC aus, sonst nix. Und wie gesagt, am besten als pull backup, wenn möglich.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 52 (Mitglieder: 1, Gäste: 51)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.881
Beiträge
57.472
Mitglieder
5.818
Neuestes Mitglied
DefaultStandart

Teilen

Zurück
Oben