Offene Fragen rund um das Heimnetz

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
tim11
Beiträge: 78
Registriert: 18.11.2015 14:58:22

Offene Fragen rund um das Heimnetz

Beitrag von tim11 » 05.02.2017 19:47:22

Ich versuche gerade mein Heimnetz neu zu ordnen. Bisher hat die Schnittstelle eine Firewall mit ipfire gebildet, nun soll dies ein Debianrechner übernehmen, da die Addons bei ipfire teilweise uralte Versionen haben und ich mit einem offenen System flexibler bin, was Dienste betrifft.

Die Grundschematik ist folgende: DSL Router, das dahinterliegende LAN im Subnet 192.168.1.0 ist eine Art DMZ und soll IOT und privaten Webserver abdecken. Danach kommt der Debianrechner mit insgesamt 3 NIC. Daraus ergeben sich dann 2 weiter Subnetze, 192.168.2.0 und 3.0.
Beides werden getrennte Heimnetze. Jetzt gibt es noch die eine oder andere Problematik, etwa läuft auf dem Debianrechner eine Cloud, die mit dem Smartphone über Caldav synchronisiert. Dazu sollten jedoch beide Geräte im gleichen Subnet sein. Das Smartphone ist jedoch im 2.0, während der Debianrechner seine IP von dem DSL Rechner holt, also eine 1.0 IP hat. Wie löse ich diese Problematik am besten? Bei ipfire war dies aufgrund der Bereich echt entspannt, Grün mit source ip XXXX darf auf Rot zugreifen. Hier werde ich es wohl mit iptables machen müssen, was bei ipfire ja auch der Fall war, aber das Frontend sorgte für eine einfache Einrichtung. Was wäre hier der beste Weg? Das Smartphone im dhcp Server auf Debian mittels MAC an eine statische IP binden und dieser einen IP per iptables den Zugriff auf das 1.0 Netz bzw. der IP, die der Debianrechner hat, zu erlauben? Und wie würde der iptable Eintrag dann aussehen? Auf einem alten Proxy habe ich solche Sachen über acl geregelt, aber das war dann ein identisches Subnet. Nun sind es eben verschiedene.
Da der Debianrecher eine Firewall darstellen soll, um die beiden anderen Subnetze abzutrennen, muss ich mich sowieso iptables einpflegen, da von 1.0 auf 2.0 kein Zugriff stattfinden soll, besser gesagt auf das 1.0 Netz vor der NIC des Debianrechners. Auf dem Debianrechner selbst laufen diverse Dienste, etwa die Cloud oder ein ftp Server, auf den natürlich das 2.0 und 3.0 Netz zugreifen dürfen.
Wie mache ich dies ein sinnvollsten?

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Offene Fragen rund um das Heimnetz

Beitrag von Jana66 » 05.02.2017 21:09:23

Hi - soviel Zeit sollte sein.
tim11 hat geschrieben:Da der Debianrecher eine Firewall darstellen soll ... Auf dem Debianrechner selbst laufen diverse Dienste, etwa die Cloud oder ein ftp Server ...
Ungut.
Wie mache ich dies am sinnvollsten?
M. E. mit PFSense oder OPNSense (und getrenntem Debianserver für Dienste). Gibt auch Frontend und nette Addons. Vor allem flexibel konfigurierbare DMZ! So man will auch mehrere, so Ports fehlen mit VLANs. :wink:

Ansonsten:
https://wiki.debian.org/DebianFirewall
sowie
viewtopic.php?f=37&t=163979&start=15#p1120313
Kannst du sicher auch! Geplante Dienste gehören bei dir dazu. :wink:
(Es ist sonst sehr mühevoll für andere, vom Gleichen zu reden. Ich lese nicht laufend den langen Eingangspost, um irgendeinen späteren Nachfolgepost zu verstehen, um verständlich antworten zu können.)
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

tim11
Beiträge: 78
Registriert: 18.11.2015 14:58:22

Re: Offene Fragen rund um das Heimnetz

Beitrag von tim11 » 06.02.2017 08:32:16

Guten Morgen ;)
Jana66 hat geschrieben:Ungut.
Hierzu habe ich wohl das Eingangspost nicht konkret genug geschrieben, aber ich die Grenze zum Roman, der dann nicht mehr gelesen wird, wird schnell überschritten. Alle auf den Server befindliche Dienste haben keinen Kontakt ins WAN. ftp und cloud werden ausschließlich intern genutzt, die Firewall soll lediglich das IOT Zeugs und den privaten Webserver vom LAN trennen. Daher ist das kein Problem. Kontakt nach Außen hat lediglich der Webserver, der allerdings selten und nur zu bestimmten Zeit online ist.

pfsense ist keine Option, erstens schätze ich wie schon erwähnt die Flexibilität und zweitens habe ich schon mit ipfire schlechte Erfahrungen mit Addons gemacht, da sind teilweise uralte Versionen im Umlauf und ich habe keine Lust, alles selbst zu kompilieren.

debianoli
Beiträge: 2989
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Offene Fragen rund um das Heimnetz

Beitrag von debianoli » 06.02.2017 10:42:26

Wäre ein openwrt-Router eine sinnvolle Option?

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Offene Fragen rund um das Heimnetz

Beitrag von Jana66 » 06.02.2017 12:45:03

debianoli hat geschrieben:Wäre ein openwrt-Router eine sinnvolle Option?
Wie kriegt man da (neue) AddOns rein? Selber kompilieren und neu "flashen"? Wie kommt man zu regulären Updates, nicht irgendwelche Betas oder "Snapshots"? Auch neu "flashen"?
OpenWrt gibt es allerdings nicht nur für Plastikrouter - sondern auch (regelmäßige?) Releases für x86_amd64-Hardware.
Wäre schön, wenn du zu beiden kurz schreibst. :THX:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

tim11
Beiträge: 78
Registriert: 18.11.2015 14:58:22

Re: Offene Fragen rund um das Heimnetz

Beitrag von tim11 » 06.02.2017 12:58:01

debianoli hat geschrieben:Wäre ein openwrt-Router eine sinnvolle Option?
Es geht ja nicht nur um eine Firewall. Ich hatte sowohl openwrt als auch dd-wrt auf einem Router und beide sind bzgl. Addons abhängig von den wenigen Entwicklern bzw. der Community, wie eben auch bei ipfire. Im Debian-Repository geht auch nicht immer alles rasant zu, aber zeitnah wenn stable. Bei ipfire und Co. kannst Du oft lange warten bis es eine aktuelle Version gibt, schau mal die letzte Version von owncloud an, dann weißt Du was ich meine.

Außerdem habe ich bei Debian die größere Auswahl an Diensten, bei Addons bist Du oft eine eine Option gebunden.

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Offene Fragen rund um das Heimnetz

Beitrag von Jana66 » 06.02.2017 13:07:02

tim11 hat geschrieben:Außerdem habe ich bei Debian die größere Auswahl an Diensten, bei Addons bist Du oft eine eine Option gebunden.
Dann mache es doch mit Debian-Minimalinstallation und https://gridscale.io/community/knowledg ... 0-minuten/
und
Jana66 hat geschrieben:Ansonsten:
https://wiki.debian.org/DebianFirewall
und Frontends iptables/netfilter: https://wiki.archlinux.org/index.php/firewalls
Guter Überblick: https://wiki.ubuntuusers.de/Router/

Ich hatte auch schon Lust, mir einen Debian-Router-Firewall zu bauen. Was mich davon abhielt:
-Sicherheit, ich brauche Internet-Gateway. Bei PFSense & Co. haben sich größere Lichter als ich es bin, darum gekümmert.
-Konfig in vielen Dateien "verstreuselt", kein schneller Überblick möglich. PFSense hat dafür eine einzige XML-Datei. In wenigen Sekunden gesichert, rueckgeschrieben. Macht Cisco übrigens analog. Konfig und Installationsimage reicht bei PFSense als Backup.
-Einheitliche Bedienoberfläche (auch schneller Überblick über Konfig) schwer möglich. Willste selber schreiben?
Na gut, dein interner Router wird selten umkonfiguriert: GUI unnötig.
-In wievielen Dateien wichtige Logs stehen, mit wieviel Kommandos die zu lesen sind, darüber ich mir lieber keinen Kopf. 8O
Und wenn man dann noch Router und NAS "zusammen würfelt" - und nicht der Netzwerk- und Debian-Experte ist ... :roll:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

tim11
Beiträge: 78
Registriert: 18.11.2015 14:58:22

Re: Offene Fragen rund um das Heimnetz

Beitrag von tim11 » 06.02.2017 14:32:59

Jana66 hat geschrieben:
tim11 hat geschrieben:Außerdem habe ich bei Debian die größere Auswahl an Diensten, bei Addons bist Du oft eine eine Option gebunden.
Dann mache es doch mit Debian-Minimalinstallation und https://gridscale.io/community/knowledg ... 0-minuten/
und
Jana66 hat geschrieben:Ansonsten:
https://wiki.debian.org/DebianFirewall
und Frontends iptables/netfilter: https://wiki.archlinux.org/index.php/firewalls
Guter Überblick: https://wiki.ubuntuusers.de/Router/

Ich hatte auch schon Lust, mir einen Debian-Router-Firewall zu bauen. Was mich davon abhielt:
-Sicherheit, ich brauche Internet-Gateway. Bei PFSense & Co. haben sich größere Lichter als ich es bin, darum gekümmert.
-Konfig in vielen Dateien "verstreuselt", kein schneller Überblick möglich. PFSense hat dafür eine einzige XML-Datei. In wenigen Sekunden gesichert, rueckgeschrieben. Macht Cisco übrigens analog. Konfig und Installationsimage reicht bei PFSense als Backup.
-Einheitliche Bedienoberfläche (auch schneller Überblick über Konfig) schwer möglich. Willste selber schreiben?
Na gut, dein interner Router wird selten umkonfiguriert: GUI unnötig.
-In wievielen Dateien wichtige Logs stehen, mit wieviel Kommandos die zu lesen sind, darüber ich mir lieber keinen Kopf. 8O
Und wenn man dann noch Router und NAS "zusammen würfelt" - und nicht der Netzwerk- und Debian-Experte ist ... :roll:
Die Installation ist schon abgeschlossen, der Server besteht ja schon länger, nur war er eben als normaler Homeserver in LAN integriert. Nun soll er mit zuätzlichen NIC ein weiteres Subnet sorgen. Früher hat dies ein alter Router mit openwrt getan, nun soll der Server dies übernehmen.

Mir ist klar, dass es viele Einstellungen braucht, DNS Server und dhcp, ftp usw. musste alles konfiguriert werden. Und auch die iptables werden ein gutes Stück, hab das immer mit einem Frontend gemacht, etwa ufw oder gleich mit ipfire, aber der Weg ist das Ziel ;)

Mit Munin kann ich die wichtigsten Leistungsdaten im Auge behalten, der Rest wird über Terminal administriert. Ein wichtiger Aspekt war halt auch das Basteln, das Ausprobieren, nur durch Testen lernt man immer weiter dazu. Klar kann ich eine weiteren Router hinbasteln, der vor dem Server steht und den Server wieder als reinen Homeserver degradieren, aber genau das wollte ich ja nicht.

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Offene Fragen rund um das Heimnetz

Beitrag von Jana66 » 06.02.2017 14:47:11

tim11 hat geschrieben:Die Installation ist schon abgeschlossen, der Server besteht ja schon länger, nur war er eben als normaler Homeserver in LAN integriert. Nun soll er mit zuätzlichen NIC ein weiteres Subnet sorgen. Früher hat dies ein alter Router mit openwrt getan, nun soll der Server dies übernehmen.
Da nimmst du halt den laufenden Server und installierst/konfigurierst was dazu. Die verlinkten Howtos helfen trotzdem. Sollten sogar fast alle sein, die du brauchst - innen drin sind ja auch noch Links. :wink:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

tim11
Beiträge: 78
Registriert: 18.11.2015 14:58:22

Re: Offene Fragen rund um das Heimnetz

Beitrag von tim11 » 07.02.2017 10:23:40

Im Endeffekt geht es mir jetzt nur noch darum, Client 1 auf 192.168.1.2 den Zugriff auf Server1 auf 192.168.2.2 zu erlauben. Wenn ich richtig gelesen habe, müsste dies mit
iptables -A FORWARD -i eth1 -o eth2 -s 192.168.1.2 -d 192.168.2.2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -s 192.168.2.2 -d 192.168.1.2 -j ACCEPT
funktionieren, oder? Jetzt nur mal die beiden Ausnahmen, die hinter einem generellen Drop stehen würden.

Jana66
Beiträge: 3720
Registriert: 03.02.2016 12:41:11

Re: Offene Fragen rund um das Heimnetz

Beitrag von Jana66 » 07.02.2017 11:34:17

Ausprobieren?!
Oder Lesen, z. B. http://64-bit.de/dokumentationen/netzwe ... .html#toc3 oder Tante Kugel weiter befragen oder Frontend deiner Wahl verwenden. Letztere in weiser Voraussicht bereits oben verlinkt. Des Weiteren sind manchmal Logs ganz hilfreich. :wink:
(In Foren gibt es meist Hilfe zur Selbsthilfe. Komplett Vorgekautes erhält man im Drogeriemarkt, Regal für Babynahrung. :evil: )
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

tim11
Beiträge: 78
Registriert: 18.11.2015 14:58:22

Re: Offene Fragen rund um das Heimnetz

Beitrag von tim11 » 08.02.2017 13:40:41

Jana66 hat geschrieben:Ausprobieren?!
Oder Lesen, z. B. http://64-bit.de/dokumentationen/netzwe ... .html#toc3 oder Tante Kugel weiter befragen oder Frontend deiner Wahl verwenden. Letztere in weiser Voraussicht bereits oben verlinkt. Des Weiteren sind manchmal Logs ganz hilfreich. :wink:
(In Foren gibt es meist Hilfe zur Selbsthilfe. Komplett Vorgekautes erhält man im Drogeriemarkt, Regal für Babynahrung. :evil: )
Mir geht/ging es nicht um vorgekautes, denn dann hätte ich gefragt, welche iptables ich verwenden muss. Mir ging es um Bestätigung der von mir geposteten Regeln, aber egal, bedarf keiner weiteren Diskusison.

danke an alle für die Hilfe

Antworten