Position einer DMZ im LAN

Tommes

Active member
Hi!

In meiner aktuellen LAN Konfiguration fungiert meine FRITZ!Box u.a. als Modem sowie zur Bereitstellung der IP-Telefonie. Ebenfalls werden über die DECT Schnittstelle ein Vierfach-Taster FRITZ!DECT 440, drei Heizkörperregler FRITZ!DECT 301 sowie zwei intelligente Steckdosen FRITZ!DECT 200 verwaltet. An der FRITZ!Box hängt eine pfSense (nicht als exposed Host, sondern über statische IP), die mein eigentliches LAN abbildet, unterteilt in mehrere VLANs. Ein VLAN bildet dabei eine DMZ, worüber Dienste für das Internet bereitstellt werden. Grob sieht das also so aus...

1656145816421.png

Zum bereitstellen eines Dienstes für ein Gerät innerhalb der DMZ ist es nun erforderlich, das sowohl in der FRITZ!Box als auch in der pfSense die gewünschten Ports an das entsprechende Gerät in der DMZ weitergeleitet bzw. Regeln erstellt werden müssen. Man macht also alles doppelt.


Jetzt meine Frage!
Wäre es nicht einfacher und sinnvoller, wenn man die DMZ, wie bei einer klassischen Router Kaskade auch, in das LAN der FRITZ!Box hängen würde, also so…

1656145662876.png
… somit würde ich mir die Portweiterleitung bzw. das Anlegen von Regeln in der pfSense ersparen und bräuchte dies nur in der FRITZ!Box erledigen. Welche Probleme oder Gefahren könnten bei dieser Konfiguration auftreten? Wäre das in euren Augen ein gangbarer Weg oder ein absolutes no go?

Um unnötige Diskussionen zu vermeiden. Die FRITZ!Box soll genau dort bleiben, wo sie aktuell ist und an dieser Stelle auch für die Bereitstellung des Internets sowie der IP Telefonie herhalten. Eine „nur Modem“ Konfiguration vor der pfSense und dahintet gescalteter FRITZ!Box kommt für mich nicht in Frage.

Tommes
 

the other

Well-known member
Moinsen,
also, hier ist es genau wie von dir angedacht:
Erste Grenze (von außen schauend): Fritzbox mit ihrem NAT als minimale Sicherheitshürde, keine Ports offen bis auf VPN benötigte.
In dem hinter der Fritzbox entstehenden Netzwerkbereich (die 4 LAN Ports) halte ich zum einen alles, was NICHT ins eigene eigentliche Netzwerk weiter soll (und eben die Fritzbox mit ihren Diensten selbst), sowie eben auch der WAN Port der pfsense...

Zweite Grenze ist dann eben die pfsense. Hier kommt von "außen" (also aus dem Bereich Fritzbox LAN) nix rein (außer eben die erlaubte VPN Anfrage. Diese ist allerdings sowohl per IP Block auf einige wenige Länder beschränkt als auch per Radius und 2FA gesichert. Weitere Freigaben oder Weiterleitungen bestehen nicht.

INTERNET--------WAN Fritzbox LAN----------(hier DMZ)------------WAN pfsense LAN/VLANs-----------Heimnetzwerk.

Vorteil: alles, was aus dem Netz kommt und nicht explizit nach VPN fragt kommt nicht rein. Aus dem Netz zwischen Fritzbox und pfsense kommt nix rein. Erst hinter der pfsense beginnt das eigentliche Heimnetzwerk.

Vom Netzwerk aus greift nix auf die Zone zwischen Fritzbox und pfsense (WAN) zu...

Ich selber denke, dass dieses setting durchaus mehr Vorteile bietet, als die DMZ hinter die pfsense zu legen, denn hier bist du dann bereits hinter beiden "Grenzen", wenn auch in einem eigenen Segment. Ich finde es auch optisch / topografisch für die gesamte Netzstruktur schöner, überschaubarer und logischer.
Wenn du sicherstellen kannst, dass du aus anderen Segmenten nicht auf deine DMZ hinter der pfsense zugreifen kannst und auch von dort nicht raus gehen kann in die übrigen Subnetze deines Heimnetzwerkes, ist es vermutlich eher eine kosmetische Frage...

ps: den switch könntest du im 2. Bild ja sogar weglassen...wenn es nur um (inkl. pfsense) max. 4 Geräte ginge... :)
 

Tommes

Active member
Erstmal vielen Dank für deine Antwort @the other

Ich habe schon oft gelesen, das im Transfernetz zwischen Fritzbox und pfSense bestenfalls gar kein weiteres Netzgerät hängen sollte und man den IP bzw. Subnet Bereich nur auf die IP der Fritzbox und der pfSense beschränken sollte. Dieses Szenario wäre für mich jedoch suboptimal, da ich hier bereits u.a. eine WLAN IP-Cam sowie einen MuFu-Drucker betreibe.

Aus dem LAN hinter der pfSense kann ich auf o.a. Geräte auch problemlos zugreifen. Der umgekehrte Weg, also der Zugriff aus dem Fritzbox (W-)LAN auf ein VLAN hinter die pfSense ist der Zugriff jedoch erstmal nicht möglich. Daher kam mir der Gedanke, die DMZ ebenfalls in das Transfernetz zu packen. Für mich würde das jedenfalls Sinn machen. Die Frage bleibt halt, ob das auch klug ist.

Da du diese Konfiguration bei dir bereits verwendest, kann mein Gedanke ja erstmal nicht all zu verkehrt sein und ich wäre schon mal nicht alleine mit dieser Idee. Das beruhigt mich schon mal. Eventuell gibt es ja noch weitere Meinungen dazu?

Das man den Switch im gezeigten Schema hätte weglassen können, ist klar. In der Realität ist meine Konfiguration jedoch ein wenig komplexer. Auch sollte es ja nur als Beispiel dienen.

Tommes
 

the other

Well-known member
Moinsen,
das im Netz zwischen Fritzbox und pfsense nix sein soll...warum? Ist doch eigentlich gar nicht unüblich...
Dass du von "Hinter der pfsense" auf "vor der pfsense" zugreifen kannst aber nicht andersherum ist logisch, da die pfsense ja vermutlich weiterhin NAT macht, also ähnlich wie die Fritzbox von außen (auf WAN eingehend) dann ja erstmal nix geht (und die pfsense im default auf WAN ein BLOCK ANY fährt)...

Hier jedenfalls läuft es seit Jahren genau so. Da die Fritzbox im Keller steht, nutze ich deren WLAN nur dort für ein altes Tablet, dass da dann in die DMZ geht und beim Schlagzeugspielen Musik beisteuert via Internet, aber eben NICHT in mein eigentliches Heimnetz soll (weil zu alt und keine Sicherheitspatches mehr).
:)
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
750
Beiträge
11.133
Mitglieder
310
Neuestes Mitglied
DirkHH
Oben