OPNSense hinter TC7200 KabelRouter, NAT ??? D-NAT ??

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
ren22
Beiträge: 412
Registriert: 26.11.2006 09:05:14

OPNSense hinter TC7200 KabelRouter, NAT ??? D-NAT ??

Beitrag von ren22 » 07.10.2018 00:14:13

Hallo,

ich habe KabelInternet und ein TC7200 Router an der KabelDose zu hängen die aus der Wand kommt, hinter dem TC7200 läuft eine OPNSense-Firewall, dahinter die Klienten die ins Inet sollen.

Meine Frage ist:

habe ich einfaches NAT oder Doppeltes NAT .... weil ich würde gerne die Firewall Regeln auf der OPNSense so gestalten das auch wirklich alles dicht ist,
was mir bisher leider nicht gelingen tut. PS: Auf dem TC7200 habe ich nur sehr eingeschränkten Zugriff, Bridging bzw. Passthroug kann ich leider nicht auf dem TC7200 aktivieren, macht der Provider den Button grau, also nicht auswählbar.

Jana66
Beiträge: 3894
Registriert: 03.02.2016 12:41:11

Re: OPNSense hinter TC7200 KabelRouter, NAT ??? D-NAT ??

Beitrag von Jana66 » 07.10.2018 09:59:17

ren22 hat geschrieben: ↑ zum Beitrag ↑
07.10.2018 00:14:13
Auf dem TC7200 habe ich nur sehr eingeschränkten Zugriff, Bridging bzw. Passthroug kann ich leider nicht auf dem TC7200 aktivieren, macht der Provider den Button grau, also nicht auswählbar.
Doppel-NAT für reinen Internetzugang geht immer - wenn man keinen Zugriff vom WAN auf private Netze (LAN) braucht. Bissel schicker bei notwendigem Zugriff als 2 x Portforwarding wäre so was wie "Exposed Host" (NAT + Forwarding aller Ports = Pass Through?) im Providerrouter für die OPNSense. Wohl nicht möglich, wenn ich deinen Text richtig verstehe.
Doppeltes NAT .... weil ich würde gerne die Firewall Regeln auf der OPNSense so gestalten das auch wirklich alles dicht ist,
was mir bisher leider nicht gelingen tut.
Dann ist reines Doppel-NAT für dich bzw. deine IT-Sicherheit besser. Außerdem bleibt dir ohne Austausch des Providerrouters bzw. Buchung eines anderen Tarifes (Geschäftskunden, fixe IP-Adr.) wohl nichts anderes übrig. :wink:
https://www.administrator.de/wissen/kop ... 48713.html (Alternative 2)

Tipps:
xxSenses, Default-Einstellungen der Regeln:
WAN: aller eingehender Traffic blockiert
LAN: aller ausgehender Traffic erlaubt, Anti-Lockout-Rule für Managementzugang
OPTx: aller ausgehender Traffic blockiert
Viel kann man nicht falsch machen - wenn man nicht ohne Plan/Wissen mittels Floating Rules oder/und Rules auf WAN-IF was erlaubt.
Private Netze solltest du wegen Doppel-NAT nicht verbieten. Wenn, muss man mehr tun und vorher überlegen, was man von privaten IPs im WAN benötigt. DHCP? DNS? NTP? Zugang zum Providerrouter? :wink:
Egress-Flitering ist schon etwas Kunst, die erste "intellektuelle Herausforderung" könnte ein Gastnetz für Smartphones, IOT usw. sein. Trick ist eine richtig angeordnete Reject-Regel mit Alias für lokale Netze - unter Beachtung von NTP, DNS, DHCP.
Über allem steht die Sicherung des Management-Zuganges (nur aus LAN, besser nur von bestimmter Managementstation ohne Internetzugang/Browser).
Dürfte für alle Sensen gelten: https://www.netgate.com/docs/pfsense/bo ... index.html
Mit Debiannmap und bequem Debianzenmap kann man die eigene FW auch mal "von aussen" mit PC scannen.
https://wiki.ubuntuusers.de/nmap/
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

hec_tech
Beiträge: 862
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: OPNSense hinter TC7200 KabelRouter, NAT ??? D-NAT ??

Beitrag von hec_tech » 10.10.2018 12:26:27

Doppeltes NAT würde ich absolut abraten. Damit handelt man sich meist nur Probleme ein.

Ich würde nur einmal NAT machen. Von außen sollte alles dicht sein. Du musst eben die Firewall richtig konfiguriert. Das hat aber mit NAT absolut nichts zu tun.

Jana66
Beiträge: 3894
Registriert: 03.02.2016 12:41:11

Re: OPNSense hinter TC7200 KabelRouter, NAT ??? D-NAT ??

Beitrag von Jana66 » 16.10.2018 13:55:40

ren22 hat geschrieben: ↑ zum Beitrag ↑
07.10.2018 00:14:13
Meine Frage ist ...
Du kriegst wohl auch nur neue Threads und kein Feedback aufgrund längerer AWs hin. Schon früher mal bemerkt, hatte schon mal umsonst geschrieben. Sorry, meine Ignorierliste braucht Pflege - ich schreibe ungern für Mülltonnen. :evil:

Mir geht es nicht um Selbstbefriedigung, um irgendwelche Dankeschöns. Sondern um Eigenkontrolle/Feedback, was schreibe ich wem und wieviel ...
Eintrag in Ignorierliste erfolgt. Kurz- und Spaßantworten kriegen Leute in meiner Ignorierliste. (Oder gar keine.)
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Antworten