Frage zu KVM/qemu und openvswitch

[haekks]

Guten Tag zusammen,


vorab eine kleine Einführung damit ihr im Thema seid.

Ich habe mir durch meinen (neben)job ein Grundwissen über Linux und Netzwerke angeeignet und möchte nun, auch um mich in diesem Thema weiterzuentwickeln mein eigenes kleines Heimnetz einrichten. Ich habe dafür eine virtuelle Umgebung ins Auge gefasst. Es soll ein kleiner Server mit 3 NIC's werden. Als zentrale Routing/Firewallinstanz dient ein pfSense VM, welches quasi direkt an das WAN Interface angebunden werden soll. Von hier geht der Traffic dann direkt in eine DMZ ( bestehend aus 1. dauerhaften Webserver, 2. NAGIOS und 3. einem Windows10 Webserver der nur bei bedarf hochgefahren wird.). Der Traffic für LAN/Wifi geht durch eine zweite Firewall VM (Sophos UTM) und von da aus dann über das physikalische LAN Interface auf einen Smart managed switch, der einen Port für einen WLAN Access Point hat und sonst mit LAN Ports ausgestattet ist.


Im Anhang befindet sich zur Verdeutlichung nochmal ein Netzplan!


Hierzu habe ich mir ein kleines Quadcore SoC Board mit 8GB RAM usw. besorgt wo nun ein Debian drauf läuft. libvirt, virt-manager usw. habe ich alles erfolgreich installiert. Auch openvswitch läuft mittlerweile, hier habe ich allerdings noch Probleme/Rückfragen:



1. Ich habe per "ovs-vsctl" eine bridge (sw0) angelegt, alle (tap)interfaces geschaffen, diese an die bridge gehängt und hochgefahren. man sieht diese interfaces auch unter "ovs-vsctl show" bzw "ifconfig" .... Wenn ich nun aber mit virt-manager eine VM aufsetzen möchte, kann ich die Interfaces nicht als genutzes Netzwerk auswählen, da diese in dem Dropdown menu schlicht nicht erscheinen. Frage: Muss ich die Interfaces noch irgendwie im virt-manager einbinden? oder hat sonst jemand ne Ahnung warum es nicht geht?


2. Ist es möglich/sinnvoll eine VM direkt an das physikalische Interface zu binden? Oder legt man in jedem Fall nochmal virtuelle Interfaces davor?






Sollte dieses Thema in einem anderen (Sub)Forum besser aufgehoben sein, dürft ihr mich gerne dahin verweisen.



Im Anhang habe ich ein Netzdiagramm, eventuell ist es damit ja verständlicher.


Danke!

[jessie]

Hallo und willkommen im Debianforum!
Zu KVM kann ich dir leider nichts sagen, meine pfSense läuft auf Blech.

Zum Netzwerk:
Lob: OSI-Layer 1 und 2 (VLANs) sehr gut dokumentiert, selten so verständlich gesehen. Welches Doku-Tool verwendest du? IP-Netzwerke planst/dokumentierst du extra?
Die Verbindung zwischen dem physischen Switch und dem KVM-Host per enp6s0 hängt irgendwie in der Luft und ergibt für mich keinen Sinn.
Die gleiche Lösung könnte mit nur einer (virtuellen) Firewall mit WAN (phys. IF zu FB), DMZ (virt. IF mit vSwitch für virtualisierte Webserver und einem phys. IF mit 2 VLANs für LAN und WLAN realisiert werden. Vielleicht hättest du mit einem einfacheren Netzwerkdesign schon manche Probleme gelöst? Ein Netzwerkdesign mit 2 FWs (WAN, LAN, DMZ dazwischen) stammt aus vorchristlichen Zeiten mit 2-Port-FW-Geräten und bevor es VLANs und entsprechende Switches gab.

Zu KVM sollen andere was sagen.

[haekks]

@jessie, vielen Dank für deine Antwort!


1. ich habe - um ehrlich zu sein - einfach gegoogelt und ein online-netzwerkdiagramm erstellt. Dieses wurde dann mit GIMP verfeinert .

2. Die physikalische Verbindung die du ansprichst stellt das Hostsystem dar, welches einfach als client im LAN hängt.

3. Ja das Netz ist nicht gerade auf Effektivität getrimmt. Ich habe bewusst zwei Firewalls eingebaut, damit ich mich mit den verschiedenen Appliances befassen und lernen kann. Ich gebe dir aber recht, dass das Ganze deutlich einfacher zu gestalten wäre.

Aber: selbst das läuft bei mir ja aktuell nicht und ich verstehe nicht so richtig warum. Ich kann einfach keine VM auf einem tap-port starten. Ich habe vorher versucht eine bridge zu erstellen welche direkt am physischen interface hing (1:1 nach videoanleitung, finde ich grad nicht mehr) und selbst da habe ich eine Fehlermeldung erhalten dass interface sei bereits "in use".

[TomL]

1. ich habe - um ehrlich zu sein - einfach gegoogelt und ein online-netzwerkdiagramm erstellt. Dieses wurde dann mit GIMP verfeinert

Dein Projekt ist aber nicht einfach, ich halte das sogar für sehr anspruchsvoll und deswegen glaube ich, dass man das in Gänze und in der Kürze gar nicht hier abhandeln kann. Ich vermute deswegen mal, dass sich hier kaum jemand wirklich dauerhaft mit der Umsetzung solcher anspruchsvoller Komplexität befassen kann oder will. Deswegen halte ich eine andere Vorgehensweise für erfolgversprechender.....

In der Beschreibung fehlt mir z.B. auch die konkrete Zielsetzung... isses nur nen Lernprojekt, kann man sich auch einfach Schritt für Schritt mit learning by doing herantasten und mal gucken, wo man landet. Gibt es hingegen ein konkretes produktives Ziel, fehlt mir z.B. genau die Beschreibung dazu, um zu bestätigen, dass das beabsichtigte Vorgehen dafür auch wirklich sinnvoll ist... oder ob vielleicht nur der Gedanke dahintersteht "alles was geht, wird auch gemacht"... ggf. sogar losglöst von der aufs Ziel bezogenen Sinnhaftigkeit oder dem Ignorieren des Verhältnisses Wirtschaftlichkeit und produktiver Nutzen.

Egal... mein Rat wäre, fang einfach an und wenns stockt, schildere hier die konkreten Probleme, die man dann mit überschaubaren Aufwand explizit lösen kann.

1. Ich habe per "ovs-vsctl" eine bridge (sw0) angelegt, alle (tap)interfaces geschaffen, diese an die bridge gehängt und hochgefahren....kann ich die Interfaces nicht als genutzes Netzwerk auswählen, da diese in dem Dropdown menu schlicht nicht erscheinen.

Warum hast Du diesen Weg gewählt? Sofern es sich um ein eth-NIC des Host-PCs handelt, wird die VM via virtuellem macvtap-Interface verbunden. Dieses NIC ist eine Kombination von Bridge-Device und tun/tap-Device, der Treiber dazu händelt das perfekt. Die VM wird darüber direkter LAN-Client mit eigener LAN-IP. Soweit ich mich erinnere, gibts nur ein Handicap, und zwar können Host und VM nicht direkt über dieses Device kommunizieren.

Bei wlan-NICs gibt leider nur die Möglichkeit über bridge-Devices und dnsmasq und infolgedessen NAT. Das heisst, die VM ist Mitglied eines eigenen subnetzes (siehe dnsmasq). Eine direkte Kommunikation zwischen Host und VM ist möglich... andere Lan-Clients zur VM habe ich hier -mangels Notwendigkeit- noch nicht getestet.

Ich würde empfehlen, anstatt "ovs-vsctl" zu verwenden, besser die bridge-Devices über das zu libvirt gehörende Tool virsh anzulegen, zu starten und zu stoppen. Um beispielsweise die Nat-Bridge zu starten, reicht es aus, vorher einmalig die dnsmasq-Conf anzulegen das "Netzwerk" anzuzeigen, zu starten und auch wieder zu löschen:

Code: Alles auswählen

virsh net-list -all
virsh net-start default
virsh net-destroy default

Mit dem gleichen Vorgehen kann man dann auch eine eigene erstellte Lan-Bridge starten, damit die VM zum regulären LAN-Client wird. virsh erstellt dann aus unterschiedlichen Konfigurationen für die gewählte die notwendigen Bridge-Devices und generiert auch den passenden Paket-Filter. Man kann die eigenen Einstelllungen so aktivieren, dass sie dann auch im Virtmanager angezeigt werden und ausgewählt werden önnen. "default" ist halt das Default-Netz füs NAT, ich habe mir im Laufe der Zeit eigene angelegt.

2. Ist es möglich/sinnvoll eine VM direkt an das physikalische Interface zu binden? Oder legt man in jedem Fall nochmal virtuelle Interfaces davor?

Nein. Ja.

[haekks]

@TomL


auch dir erstmal vielen Dank für deine Antwort!


Also nur nochmal zur Erklärung:

Sinn des Netzes ist es im Prinzip in erster Linie einen kleinen DMZ Bereich zu schaffen in dem ich 1-2 Webserver laufen lasse und auch ein nagios.

Ich habe das Netz mit Absicht etwas "überladen" weil ich mich im Bereich Routing/Switching/Subnetting und Firewall Policies etwas weiterentwickeln möchte und ich es mir daher etwas schwerer machen will.

Im Prinzip verfolge ich also den Ansatz den du mir vorgeschlagen hast (Schritt für Schritt probieren usw.).

Warum hast Du diesen Weg gewählt? Sofern es sich um ein eth-NIC des Host-PCs handelt, wird die VM via virtuellem macvtap-Interface verbunden. Dieses NIC ist eine Kombination von Bridge-Device und tun/tap-Device, der Treiber dazu händelt das perfekt. Die VM wird darüber direkter LAN-Client mit eigener LAN-IP. Soweit ich mich erinnere, gibts nur ein Handicap, und zwar können Host und VM nicht direkt über dieses Device kommunizieren.

Schlicht und ergreifend:

Weil ich mehr oder weniger bei 0 gestartet bin und alles via Tutorials etc. gemacht habe. Da ist mir bisher nur dieser eine Weg aufgefallen, aber ich werde mich mal einlesen.



Ich habe eine 1-wöchige VMware Schulung hinter mir und habe daher schonmal eine vSwitch angelegt, das ist aber - nicht zuletzt durch die GUI - etwas greifbarer gewesen. Ich habe daher noch leichte Schwierigkeiten das Ganze erstmal ans laufen zu bekommen. Wenn die VM's erstmal rennen, wird die ganze Routingthematik etc. für mich - hoffentlich - weniger problematisch.




Wie auch immer, vielen Dank nochmal für deine Antwort.

[TomL]

...und alles via Tutorials etc. gemacht habe. Da ist mir bisher nur dieser eine Weg aufgefallen, aber ich werde mich mal einlesen.

Das sind die relevanten Befehle, mit denen Du das wichtigste erledigen kannst:

Code: Alles auswählen

virsh net-define /etc/libvirt/qemu/networks/xxx.xml
oder
virsh net-create /etc/libvirt/qemu/networks/xxx.xml

virsh net-list --all
     Name        State      Autostart   Persistent
     ------------------------------------------------
     default     inactive   no          yes
     lanbridge   inactive   no          yes
     natbridge   inactive   no          yes

virsh net-edit {netname}
virsh net-start {netname}
virsh net-destroy {netname}
virsh net-undefine {netname}

virsh net-autostart {netname}
virsh net-autostart {netname} --disable

Du kannst auch virsh im Terminal als weitere Shell starten und Dir dort mit help die Befehle der Shell anzeigen lassen. Da funktioniert dann auch sowas wie 'help net-defiine".

Bei Problemen frag einfach....

[jessie]

GUI zum Überblick verschaffen (Prinzip verstehen) und dann Konsole gezielt(er) erlernen?
https://de.m.wikipedia.org/wiki/Proxmox_VE
https://docs.netgate.com/pfsense/en/lat ... oxmox.html

[haekks]

@all:


Wow, ich habe nicht mit derart vielen vernünftigen Antworten gerechnet, das Internet hat mich gezeichnet




Ich habe jetzt nochmal ein einstufiges Konzept erarbeitet, welches - wie ich es jetzt verstanden habe - dem realen Setup eher gerecht wird.

Insgesamt müssen also 4 bridges bzw. netze erstellt werden:


1. wan

-Verbindet physische nic1 und WAN-Interface pfSense
-10.10.10.0/30
-statisch
-Vlan Tag: 2


2. dmz

-rein virtuell
-Verbindet DMZ Hosts mit DMZ-Interface pfSense
- 10.10.3.0/24
-statisch
-Vlan Tag: 3

3. wifi

-Verbindet WIFI Interface von pfSense mit physischer nic2
-192.168.2.0/24
-DHCP
-Vlan Tag: 4

4.1 lan

-Verbindet LAN Interface Pfsense mit physischer nic2
-192.168.1.0/24
-statisch
-Vlan Tag: 5


4.2 physisches LAN/Wifi

-Verbindet physische nic2 mit Hardware Switch.
-Vlan Tag 4 + 5 kommen an Port1 an
-Port 2-7 mit Vlan Tag: 5
-Port 8 mit Vlan Tag: 4 für Wifi Access Point
-Hostsystem über dritte physische nic0 im LAN angebunden



Von den Settings her würde ich dann letztendlich in jedem Netz als "forward mode" "route" auswählen, die Netzgröße angeben und alles auf das jeweilige pfSense Interface schieben (bzw. auf den LAN-Port der Bridged FritzBox) Das wifi Netz bekommt dann noch den entsprechenden DHCP Eintrag und die definierte Range.



Jetzt hätte ich allerdings noch folgende Fragen:

1. Wie erstelle ich ein Netz welches rein virtuell läuft? Einfach eine Bridge erstellen die an kein physikalisches Interface gebunden ist?
2. Wie erstelle ich die Layer3 Interfaces für pfSense? Einfach aus der Appliance heraus oder muss ich noch etwas separat anlegen?



Vielen Dank im Voraus.



Achja, auch hierzu nochmal die (vereinfachte) Visualisierung

[jessie]

Scheinst mit VLANs Probleme zu haben:
Zur FB darfst du keine VLANs verwenden (versteht die FB nicht) und zu den Webservern brauchst du kein VLAN (da 1 gemeinsames Subnetz). 2 VLANs brauchst du nur zum physikalischen Switch. Dessen Accessports (LAN, WLAN) werden zwar VLANs zugeordnet - aber nur auf dem Trunk getaggt. Hosts/Endgeräte verstehen keine VLAN-Tags ohne Weiteres.

Nun fehlt mir das KVM-Wissen, habe aber mal die kurze Netgate-Proxmox-Doku gelesen. Mir erscheint sehr wahrscheinlich, dass Du für LAN und WLAN nur 1 gemeinsame Bridge konfigurieren musst, die 2 VLAN-Trunk-Ports besitzt. Ist bestimmt die Einstellung „VLAN aware“ im Proxmox-GUI für Linux-Bridges.

Wenn die pfSense bootet, erkennt die erst mal 3 Ports (zu den 3 virt. Bridges). Im Terminal oder später mit der Weboberfläche der pfSense konfigurierst du 2 VLANs für LAN und WLAN auf dem Port (Parent-Interface der VLANs), der zur (VLAN-) Bridge für den LAN-Switch geht. Die anderen beiden (virtuellen) Ports der pfSense werden WAN und DMZ ohne VLANs.

Aber vielleicht muss man doch für jedes VLAN eine Bridge einrichten und auf 1 physisches IF legen? Könntest dazu Proxmox-Doku zu VLANs studieren. Jedenfalls ich würde erst mal Proxmox nehmen, „VLAN aware“ recherchieren und bissel probieren, um das richtige virtuelle Netzdesign zu ermitteln. Umkonfigurationen gehen mit GUI schnell und übersichtlich. Dann erst KVM/QEMU native mit Konsole. Man kann bestimmt aus den Inhalten der mit Proxmox angelegten Konfigurationsdateien lernen ...

[haekks]

@jessie:

Danke nochmal! Prinzipiell kenne ich natürlich den unterschied zwischen subnet und vlan, aber ich hatte irgendwie aufgeschnappt, dass das Ganze mit ovs nur dann richtig läuft wenn man ein vlan tag mitgibt... Wenn ich aber drüber nachdenke macht das schon relativ wenig sinn.


Ich habe mir Proxmox angeschaut und finde es auch recht interessant, aber würde gerne erstmal schauen ob ich mir hier tatsächlich die Zähne ausbeisse.


Ich habe jetzt auch gesehen, dass man im virt-manager auch virtuelle Netze anlegen kann und da bin ich recht zuversichtlich.


Aber es gibt noch ein Verständnisproblem:

Wenn ich ein virtuelles Netz anlege, sagen wir mal 192.168.1.0/28
Habe ich meine NIC jetzt auf 192.168.1.2 konfiguriert, die Gegenstelle (FritzBox LAN IF) dann auf 192.168.1.1

im virtuellen Netz habe ich dann eine default route auf die 192.168.1.1 (siehe Screenshot)

Das müsste dann doch auch so passen, oder?


EDIT: Das ist jetzt in diesem Fall das WAN-IF

[jessie]

Aber es gibt noch ein Verständnisproblem ...

Habe ich auch gerade. Um deine Konfig zu beurteilen, muss man doch wissen, was du damit erreichen möchtest. Willst du ein Managementnetz basteln?

Warum ein virtuelles Netzwerk einrichten

Dieser Artikel behandelt ein fortgeschrittenes Thema der Virtualisierung und baut auf ein gewisses Basiswissen und Erfahrung rund um Qemu-KVM auf. Standardmäßig ist eine virtuelle Maschine vom Wirtsystem (Host) aus Sicherheitsgründen abgeschirmt und somit über die normalen Netzwerkverbindungen, wie ftp, ssh, scp usw. nicht zu erreichen. Unter Umständen ist es für bestimmte Einsatzzwecke nötig das ein gemeinsames Netzwerk von allen virtuellen Gästen, sowie des Wirtsystem nutzen zu können. Qemu-KVM kann mit Hilfe einer Software-Brigde das lokale Netzwerk mit dem virtuellen Netz verbinden.

https://wiki.siduction.de/index.php?tit ... einrichten
Heiße Kiste bei öffentlich erreichbaren Servern ... und einen Managementserver (Nagios) würde wohl auch kein seriöser Admin in das gleiche Segment (DMZ) wie Webserver "stecken".

Ich schlage die vor, du liest endlich Doku, schaust weniger Youtube-Anleitungen und stellst spezielle Fragen bei Problemen. Das wird doch hier Gestocher im Nebel, keiner hier wird dir die Konfig für ein virtuelles Firmennetzwerk vorkauen ohne dass du dich selber mit Grundlagen befasst hast:
https://www.linux-kvm.org/page/Documents

Es hat sich historisch gesehen didaktisch bewährt, vom Einfachen zum Komplizierten zu lernen, d. h. vielleicht mit 1 VM und LAN-Verbindung beginnen, dann 2 VMs in Reihe. Oder du virtualisierst erst mal nur eine pfSense, dann mit 2 VLANs für LAN und WLAN, dann hängst du einen virtualisierten Host in eine virtuelle DMZ der virtuellen pfSense. Ein Genie erkennt auch eigene Grenzen. Viel Erfolg dabei!

[TomL]

Heiße Kiste bei öffentlich erreichbaren Servern ... und einen Managementserver (Nagios) würde wohl auch kein seriöser Admin in das gleiche Segment (DMZ) wie Webserver "stecken".

Den gleichen Gedanken hatte ich beispielsweise, als ich "sophos" gelesen haben. Allein wegen dieser Software würde ich so ein Netzwerk von vornherein als kompromittiert betrachten und ich halte es für möglich, dass man mit so einer Software keine ausschließliche bzw. exklusive Kontrolle mehr darüber hast, wer sonst noch in die eigenen Daten reinsieht.

Beispielsweise sowas wie über die Sophos-Schnittstelle oder über den Fritzbox-Service einen Zugang via OpenVPN einzurichten geht ja definitiv gar nicht, weil beides auf proprietärer Software beruht... womit man faktisch die Kontrolle über die Verschlüsselungs-Keys abgibt. Sophos ist ein britisches Unternehmen und unterliegt somit britischen Gesetzen.

Die Briten sind am weitesten in der EU mit der Abschaffung demokratischer Rechte und der digitalen Privatspäre, siehe Investigatory Powers Bill. Die Briten sind Gründungsmitglied des exklusiven Clubs der UKUSA-Vereinbarung, heute erweitert als Five-Eyes, denen auch die subversive Merkel-Vereinigung zur Überwachung der deutschen Bürger beigetreten ist. Das perfide daran ist, die Länder selber dürfen ihre Bürger nur eingeschränkt beobachten, für ausländische Geheimdienste gilt das aber nicht. Aber mit dem Five-Eyes-Abkommen kriegen alle alle Daten, weil sie uns einfach von den "anderen" beobachten lassen. Am Ende also so, als hätten sie die Daten selbst erhoben. Der Investigatory Powers Act sieht Echtzeitüberwachung mit direkten Zugriffen auf Kommunikationsinhalte innerhalb eines Werktages vor, insbesondere auch durch Backdoors. Ob solche Unternehmen wie Sophos auch von dieser Gesetzgebung betroffen sind, weil sie eben auch Dienste mit Zugängen anbieten, ist mir jedenfalls völlig unklar.

Ich schlage die vor, du liest endlich Doku, schaust weniger Youtube-Anleitungen und stellst spezielle Fragen bei Problemen. Das wird doch hier Gestocher im Nebel, keiner hier wird dir die Konfig für ein virtuelles Firmennetzwerk vorkauen ohne dass du dich selber mit Grundlagen befasst hast.

Sowas ähnliches hatte ich zu Anfangs ja auch schon erwähnt... mein Rat, fang mit nem einfachen Samba-Server und restriktiver (!) Rechteverwaltung für User auf allen Ebenen des Netzwerkes an .... und was die Firewalls angeht, mit den 2 Fragen, ob das Netzwerk über die obligatorisch vorhandene Blockfunktion der Fritzbox hinausgehend für von außen kommende Zugriffe überhaupt als exponiert zu betrachten ist.... und dann (insbesondere), in welcher Beziehung mit administrativen Rechten ausgestatte Normal-User zur Sicherheit einer Firewall stehen.

[jessie]

Den gleichen Gedanken hatte ich beispielsweise, als ich "sophos" gelesen haben. Allein wegen dieser Software würde ich so ein Netzwerk von vornherein als kompromittiert betrachten und ich halte es für möglich, dass man mit so einer Software keine ausschließliche bzw. exklusive Kontrolle mehr darüber hast, wer sonst noch in die eigenen Daten reinsieht.

Du hast sicher Recht. Der TO wird, aufgrund seines Projektes geschätzt, wohl ein junger Mensch sein, der sich auf ein (Netzwerk-) Berufsleben vorbereiten möchte. Da kommt er zumindest nicht an Cisco, Windows und IPSec anstelle OpenVPN vorbei, außer er hat es bis zum Entscheidungsträger gebracht und selbst da unterliegt er noch wirtschaftlichen und politischen Zwängen. Hochleistungs-Netzwerktechnik (>10 GBit/s, viele Ports) kann man auch nicht mehr selber basteln. Nur im privaten Netz können wir machen, was wir für gut und richtig halten. Wünsche uns einen kühlen Kopf und Sahne-Eis.
https://duckduckgo.com/?q=cisco+backdoor+&t=ipad&ia=web
https://de.m.wikipedia.org/wiki/Cisco_S ... e-Vorwürfe
Wenn man diese historische Vielzahl an Backdoors betrachtet, ist nur der Grund „volle Absicht“ plausibel, zu blöd sind die nicht zum Dazulernen und für Pentests im Qualitätsmanagement. Schade, ist gute Technik, Cisco-Mitarbeiter haben viel erfunden. Sophos habe ich nur mal kurz probiert, ich denke aber, die können sich so extrem viele Backdoors wie Cisco nicht leisten, zu viel Konkurrenz auf dem Firewall-Sektor, ein Zuviel und der Kunde tauscht seine wenigen Firewalls spätestens nach EoL, damit wirtschaftlich verlustfrei. Ersteinrichtungen machen oft spezialisierte Dienstleister, eine neue Firewall nach EoL der alten ist auch bei der gleichen Firma was ganz anderes. Cisco hingegen hat m. W. bei Hochleistungsroutern nur Juniper als Konkurrenz und größere Firmen haben sehr viele Router sinnvollerweise von möglichst wenigen Herstellern. Sowas stellt keiner so leicht um. Bin aber nicht ganz auf dem Laufenden.

Edit: Ein Teil von Sophos ist übrigens Open Source. Aber Backdoors kann man ja verstecken. Aufgrund der verfügbaren kostenlosen Community-Versionen mit Full Feature Set hat der TO wohl pfSense und Sophos gewählt.

[TomL]

Naja,Cisco-Hardware ist m.M.n. nach für mich als privater PC-Hansel mit einem unbedeutenden Netzwerk ein wenig oversized... insofern habe ich mich natürlich auch noch nicht mit Cisco befasst.

Edit: Ein Teil von Sophos ist übrigens Open Source. Aber Backdoors kann man ja verstecken.

"Ein Teil" interpretiere ich als den werbewirksamen Versuch auszusagen "Schaut her, wie seriös wir sind und alles ist offen einzusehen". Dabei ist gar nicht alles offen einzusehen, sondern nur ein kleiner Teil dessen, den *die* für unwichtig und unkritisch erachten. Fakt ist, wenn auch nur ein winziger Teil der zu installierenden Pakete proprietär ist, spielt es absolut keine Rolle, ob alles andere Open Source ist. Man muss blind drauf vertrauen, dass in dem kleinen Closed-Source-Päckchen nicht das drinsteckt, was notwendig ist, um den Rechner zu übernehmen. Und das alles auch vor dem Hintergrund betrachtet, dass von Sophos Remote-Support als Feature angeboten wird... das bedeutet, die Mechanismen, um einen Rechner zu übernehmen, sind definitiv bereits vorhanden. Mein Ding wäre das jedenfalls nicht.

Ich bewerte das ähnlich zur TR-069-Funktion der Fritzbox, die faktisch eine Backdoor darstellt, mit der ein DSL-Provider auch ohne Wissen und ohne Genehmigung des Kunden Veränderungen an den Settings der Fritte vornehmen kann, bis hin zum Durchgriff auf Geräte hinter der Fritte. Das ist ja fast so wie ein offener SSH-Zugang ins Heimnetz. Oder vielleicht auch zum Betrieb eines Teamview-Clients mit Verbindung über den Man-in-the-Middle-Server von Teamview. Oder zu der Möglichkeit den JDownloader via Web über *deren* Server fernzubedienen. Oder z.B. bei den proprietären Web-Servern in IP-Cams mit Verbindungen zu *deren* Cloud-Servern. Ich bin manches mal geradezu amüsiert, wenn bei Verwendung von Alexa (oder anderer proprietärer Homeautomatisierung) auf der einen Seite nach Virenscanner und einer Desktop-Firewall auf der anderen Seite gefragt wird. Ich habe mich jedenfalls entschieden, solche unkontrollierbaren Features hier rigoros zu unterbinden. Wer solche Services nutzt, gibt meines Erachtens definitiv die absolute Kontrolle über die Integrität seines Netzwerkes und seiner Hardware aus der Hand.

jm2c

ps
Ich glaube, wir haben haekks verschreckt... und dann auch noch mit OT-Kram.... sorry, war keine Absicht, ist einfach so passiert.....

[haekks]

Also ich glaube es macht Sinn nochmal aufzuklären was ich möchte und wo genau meine Probleme bzw Ziele liegen.

Ich bin mit den Netzwerkthema generell (mal abgesehen von LAN-Party Wissen von früher) durch die Arbeit in Kontakt gekommen.
Hier habe ich allerdings alles anhand von bereits bestehenden und teils relativ komplexen Netzen kennengelernt. Hier ist es teilweise
schwierig einige konfiguratorische Schritte zu verstehen, weil ich nicht die komplette Topologie der einzelnen Netze kenne (viel Kundeneigene HW).

Ich möchte also mein eigenes "kleines" und vergleichsweise einfaches Heimnetz bauen um mich noch einmal "von der anderen Seite" mit
diesem Thema zu befassen.

pfSense habe ich gewählt, weil ich es auf anhieb relativ interessant fand und ich den open source aspekt mag. Sophos habe ich gewählt,
weil es meiner Meinung nach dem anderen Enterprise-gedöns ( wir benutzen Fortinet auf der Arbeit) relativ nahe kommt (von der Bedienung)
und mir vollen Umfang umsonst bietet.




Zum eigentlichen Thema:


Die eigentlich einzige Schwierigkeit die ich habe, ist das erstellen der entsprechenden Netzwerkbrücken,
weil die Dokumentationen (von denen ich im Übrigen einige gelesen habe) immer relativ spezifisch sind und ich mir
meinen Fall nicht daraus ableiten kann (vielleicht habe ich noch keine gute Doku gefunden) es gibt beispielsweise kaum
Setups mit 3 physikalischen NIC's, daher gehen irgendwie alle Doku's die ich gefunden habe davon aus, dass die Kommunikation des
Hostsystems über die selbe nic läuft wie die VM Gäste.


Ich habe diese Woche bisher kaum Zeit gefunden weil ich momentan von der Arbeit aus eine Vorbereitungsschulung für den CCNA mache,
daher auch meine verspätete Antwort.

[TomL]

Also ich glaube es macht Sinn nochmal aufzuklären was ich möchte und wo genau meine Probleme bzw Ziele liegen.

Warum tust Du das dann nicht auch? Ich habe noch nicht eine einzige Fehlermeldung gelesen, oder einen Befehl, der die Fehlermeldung produziert hat, und auch keinen Journalauszug mit Fehlermeldungen, oder Meldungen fehlgeschlagener Service-Units? Ich habe noch keine Beschreibung eines konkreten Versuchs gelesen, der fehlgeschlagen ist und wo Du Hilfe bei der Behebung des Problems brauchst.

Ich kann Dir nur sagen, es macht absolut keinen Sinn in einem hypothetischen Netzwerk hypothetische Fehler zu diagnostizieren und zu versuchen, diese Fehler hypothetisch zu beheben. Den letztlich gibts für den hypothetischen Erfolg keine reale Kontrollmöglichkeit, um das auch wirklich zu bestätigen.

Die eigentlich einzige Schwierigkeit die ich habe, ist das erstellen der entsprechenden Netzwerkbrücken,

Da hatte ich auch schon mal drauf hingewiesen, der Virt-Manager erstellt die Bridge-Devices doch automatisch.... da bekommt man alles Anschauungsmaterial frei Haus geliefert, um damit dann die Schritte zur Erstellung eigener Bridge-Devices anschließend selber manuell nachzubilden.... einschließlich passender Paketfilterregeln.

weil die Dokumentationen (von denen ich im Übrigen einige gelesen habe) immer relativ spezifisch sind und ich mir
meinen Fall nicht daraus ableiten kann

Eine bessere Dokumentation als das, was libvirt und Virt-Manager selber tun, gibts imho nicht. Ich denke, wenn man eine Bridge für eine VM auf ein physisches Nic erstellen kann, wird man das gleiche auch für ein zweites Nic und eine zweite VM tun können. Wie gesagt, der Virt-Manager liefert alle Infos, die man braucht.

...daher gehen irgendwie alle Doku's die ich gefunden habe davon aus, dass die Kommunikation des Hostsystems über die selbe nic läuft wie die VM Gäste.

Auch darauf hatte ich schon mal hingewiesen.... Du musst zu allererst festlegen, ob die VM ge'nat'et wird oder ob sie eigener Lan-Client werden soll. Denn als eigener LAN-Client via macvtap ist z.b. die direkte Kommunikation zwischen Host und VM nicht möglich, via NAT und TUN/TAP-Bridge aber sehr wohl.... wobei man das erstere (sowas wie lokales SSH zur VM) aber sowieso nicht braucht, man kann ja lokal die VM auch direkt via Virt-Manager öffnen. Auf einem anderen Host ist SSH->VM allerdings dann wieder kein Probleḿ.

Löse Dich mal von den theoretischen Betrachtungen, fang einfach an.... und nicht alles auf einmal..... und das wichtigste (hatte ich auch schon drauf hingewiesen) ist das Berechtigungsmanagement für die User... dem solltest Du viel Aufmerksamkeit widmen, denn die besten Sicherungsmaßnahmen nützen einen Dreck, wenn User über die Berechtigungen verfügen, sich darüber hinwegzusetzen.

jm2c

[haekks]

Danke für deine Antwort nochmal, also das ganze nochmal in ausführlich:

Zum IST - Zustand:


Momentan habe ich internet und lan access einfach über meine Fritzbox, alle Hosts hängen da dran, auch der VMhost.

Der VM host ist über die nic auf dem motherboard ( nenne sie mal nic0) an die FritzBox geknallt und bekommt eine Addresse via DHCP. Dies soll auch so bleiben im weiteren Verlauf
(mit dem unterschied dass der Host dann halt im LAN hinter dem Switch hängt und die IP statisch vergeben wird).
Die nic0 soll also ausschließlich für die LAN Anbindung des Host-Systems fungieren.


So weit so gut.


Da ich - leider - das Internet nicht lange abschalten bzw. lahmlegen kann, möchte ich den Host gerne in diesem Zustand komplett konfigurieren und dann in das Finale Setup knallen.


- Mein erster Versuch war, eine ovs-bridge anzulegen und tap-Interfaces da dran zu knallen. Dies ist daran gescheitert, dass ich die Interfaces im virt-manager nicht als
Netzwerk für den Gast auswählen konnte (leider habe ich das komplett zurückgebaut, daher kann ich konkret nix mehr dazu sagen). Die Interfaces waren auf jeden
Fall - wie in der Doku beschrieben - mit der Bridge verbunden, up, und via "ifconfig" auch sichtbar. Im virt-manager aber nicht... (networking wurde neu gestartet)

- Mein zweiter Versuch (es waren ca. 50 Versuche mit jeweils kleinen Änderungen) war es, die Funktion "Virtuelles Netzwerk erstellen" vom Virt-manager selbst zu verwenden (mein favorit)
Fehler dabei ist, dass pfSense entweder WAN oder LAN seitig erreichbar sein muss nach der Installation um in die GUI zu kommen.
Ich kann aber mein LAN-Netz für kein virtuelles Netz verwenden, da meine primäre nic (nic0) ja via DHCP schon im LAN steht... (gibt einen Konflikt).

- Ich habe daraufhin versucht nach der pfSense Installation die IP-Addressen manuell zu vergeben, aber dann friert die VM einfach ein.



Was du jetzt genau mit Usern und Berechtigungen meinst ist mir nicht ganz klar. Also das System steht bei mir Zuhause in LAN, also im schlimmsten Fall würde meine Freundin noch dran kommen aber davon geht erstmal wenig gefahr aus…


Das WiFi soll ja so oder so vom Land getrennt werden und ausschließlich Zugriff auf das Web bekommen

[TomL]

Nein, das meinte ich nicht.... ok... dann versuch ichs noch mal anders.... ich bin davon ausgegangen, dass Du den Aufbau eines größeren Netzes mit vielen Usern aus Weiterbildungsinteresse quasi im Kleinen nachbilden willst.... und vor diesem Hintergrund ist eben der Aspekt "Userberechtigung" ein deutlich relevanter Aspekt.... auch wenns bei diesen Laborbedingungen nur um 2 User geht.... bei dem gegebenen Hintergrund spielt die Anzahl keine Rolle.

Aber nun sprichst Du von einem kleinen Netzwerk zuhause für Dich und Deine Freundin....

Was du jetzt genau mit Usern und Berechtigungen meinst ist mir nicht ganz klar. Also das System steht bei mir Zuhause in LAN, also im schlimmsten Fall würde meine Freundin noch dran kommen aber davon geht erstmal wenig gefahr aus

... und da macht die Zielsetzung nen Seitwärts-Salto mit Looping. Um jetzt mal ausdrücklich pfsense und sophos ins Auge zu fassen, welche Aufgabe versprichst Du Dir eigentlich für pfsense, was soll das tun? Welchem Angriffsvektor ist die pfsense-Installation gegenübergestellt? Fakt ist, Deine LAN-Clients stehen hinter einer Fritzbox, werden (IPv4) ge'nat'et und sind somit gar nicht direkt im Internet exponiert.... zumindest solange Du nicht einen (oder mehrere) Port im Router öffnest und an ein System weiterleitest. Eine andere mögliche Begründung wäre hingegen, wenn Du die Fritzbox selber als kompromittierte Hardware einstufst... klar, kann man so machen, muss man aber nicht. Das heisst, für den Angriffsvektor "Internet" hat pfsense hinter einer gut eingestellten Fritte quasi überhaupt keine Funktion. Du könntest damit natürlich ausgehenden Traffic regulieren, aber dafür braucht man kein pfsense, dafür deinstalliert man einfach unötige Dienste und konfiguriert die benötigten Dienste auf localhost. Und was die Anwendungen im User-Space machen, kannst Du imho mit Anfangskenntnissen sowieso nicht kontrollieren, weil so einfach nicht zu unterscheiden ist, was erlaubt und was unerlaubt ist.

Und was ist mit Sophos ...?... was soll das prüfen? Für Linux gibts kaum/keine Viren-Programme, weil Linux von sich aus vorsieht, das sämtliche Antwendungsoftware (anders als bei Windows) im Userspace auch ohne Admin-Rechte laufen können muss. Das heisst, eine systemweite Kompromitierung ist gar nicht so einfach möglich... ggf. nur durch Missbrauch vorhandener User-Rechte (... worauf ich ja oben schon mehrfach hingewiesen haben)... soll heissen, kann der User (mangels Rechte) das System an sich nicht verändern, kanns ein Virus aus dem Userspace heraus auch nicht. Und wenns um Windows-Viren geht, kann das bei so kleinen privaten Netzen ein Windows-PC mit lokalen AV-Scanner sowieso besser und auch aktueller.

Also, wenn Du pfsense und sophos planst, dann solltest Du konkret erklären können, welche Angriffsvektoren in Deinem Netz durch exponierte Hardware bestehen und ob User durch Missbrauch von vergebenen Rechten das System kompromittieren könnten. Wenn beides nicht eindeutig erklärt ist, brauchst Du auch nichts davon. Der Einsatz von pfsense und sophos beinhaltet meiner Meinung nach immer zwingend auch die Betrachtung von restriktiven User-Rechten. Das eine ohne das andere kannste Dir imho sparen.

Der VM host ist über die nic auf dem motherboard ( nenne sie mal nic0) an die FritzBox geknallt und bekommt eine Addresse via DHCP. Dies soll auch so bleiben im weiteren Verlauf

Warum nennst Du sie nicht, wie sie heisst, z.B. eth0 oder enps20, o.ä.... dann weiss jeder, dass es sich um ein physisches NIC handelt. Das NIC wird auch nicht an die Fritte geknallt, ujnd wie und ob überhaupt das mit dem DHCP funktioniert ist hier auch nicht geklärt... bei IPv6 ist nämlich überlicherweise gar kein Router-DHCP aktiv, sondern der ISP-Prefix wird per Router-Advertisement an die Clients gesendet, die sich ihre IPv6 als 'Global Unicast Adress' via SLAAC selber generieren.

Bevor Du ans Eingemachte gehst, müsste Du Dir erst mal noch sehr viele Antworten holen... möglicherweise auf Fragen, die Du noch gar nicht kennst. Deswegen wiederhole ich meinen Rat, fang mit restriktiven User-Rechten und 'nem einfachen (aber dedizierten) Samba-Server an, vielleicht mit einem lokalen Paketfilter (nicht UFW o.ä. sondern direkt über das Kernelfrontend nft oder iptables) als Lernaufgabe, irgendwann später gehts weiter mit nem lokal erreichbaren Mailserver, oder mit ner Cal/Card-DAV-Synchronisation, spätestens dann wirds Zeit für ein Backup-Konzept.
Zusammengenommen bedeutet das, erst mal lokale Funktionalität erstellen. Und solange es lokal bleibt, bist Du hinter eine Fritte erst mal sicher. Willst Du es später zum Internet öffnen, dann kommen die erweiterten Security-Maßnahmen hinzu... aber dann gibts eben auch konkrete Angriffsvektoren, auf konkrete Ziele. Betrachte das immer unter der Prämisse, dass eine einzelne Sicherheits-Maßnahme immer eine binäre Beziehung gegen den Angreifer hat, entweder sie wirkt oder sie wirkt nicht. Es gibt aber nicht nur ein Angriffsszenario, insofern gibts auch nicht ein Allheilmittel, welches umfassend gegen alle Angriffsseznarien wirkt. Und es ist ziemlicher Quatsch, eine Sicherheitsmaßnahme einzurichten, für die gar kein Angriffsvektor besteht. Also, wie gesagt... es fehlen noch viele Antworten.

[haekks]

@Thomas:


Ich glaube du stellst dir das Ganze sehr viel seriöser (geplant) vor als es werden soll. Ich finde es schwer rauszufinden welche Informationen ich mitliefern soll.


Ich betrachte dieses Projekt als mehrstufig, ich möchte eine Art Spielwiese aufsetzen, vielleicht mal einen Teamspeak Server aufsetzen, eine kleinen Gameserver was weiß ich (bitte nimm die einzelnen Verwendungszwecke nicht zu wörtlich).


Mir ist bewusst dass ich das Ganze nicht wirklich "brauche", die Schaffung der DMZ und das Aufsetzen der pfSense soll mich auch nicht unbedingt vor Angriffen schützen, ich will halt auf ganz ganz unterster Ebene eine Sicherheit dafür bekommen wie ich von einem lokalen Netz in ein anderes route, ein wenig mit Firewall Policies rumspielen und zusätzlich ein paar VM's aufsetzen. Einfach um eine gewisse Grundkenntnis von dem ganzen Thema zu erlangen. Im laufenden Betrieb kann ich das bei unseren Kunden einfach nicht tun.


Ich troubleshoote weitestgehend VPN-WANs (meistens auf Cisco-HW) und mache hier und da mal einfache Changes (hinzufügen von Adressen zu Policies oder Access-Lists, LAN oder WAN IP changes usw.) habe aber auch noch einige technische Eskalationsstufen über mir. Die Geräte sind auch alle von anderer Stelle konfiguriert daher sind für mich viele Bereiche (wie du sicherlich festgestellt hast) ziemlich neu. Meine Firma hat mich hier schon sehr gefördert aber ich möchte selbst halt auch noch etwas tun.


Im ersten Schritt geht es mir einfach darum, den Virtualisierungshost mit pfSense ans laufen zu kriegen und meinem LAN bzw. Wifi wieder Internetaccess zu geben. Dann brauche ich an der pfSense ein DMZ Interface, that's it. Ich habe VMware schon kennengelernt und da fiel mir eine ähnliche Konfiguration etwas leicher (auch weil ich unter Windows einfach sattelfester bin als unter Linux). Ich möchte das Projekt aber unbedingt mit Open Source Mitteln umsetzen.




Grüße!