Offene Fragen rund um das Heimnetz
Offene Fragen rund um das Heimnetz
Ich versuche gerade mein Heimnetz neu zu ordnen. Bisher hat die Schnittstelle eine Firewall mit ipfire gebildet, nun soll dies ein Debianrechner übernehmen, da die Addons bei ipfire teilweise uralte Versionen haben und ich mit einem offenen System flexibler bin, was Dienste betrifft.
Die Grundschematik ist folgende: DSL Router, das dahinterliegende LAN im Subnet 192.168.1.0 ist eine Art DMZ und soll IOT und privaten Webserver abdecken. Danach kommt der Debianrechner mit insgesamt 3 NIC. Daraus ergeben sich dann 2 weiter Subnetze, 192.168.2.0 und 3.0.
Beides werden getrennte Heimnetze. Jetzt gibt es noch die eine oder andere Problematik, etwa läuft auf dem Debianrechner eine Cloud, die mit dem Smartphone über Caldav synchronisiert. Dazu sollten jedoch beide Geräte im gleichen Subnet sein. Das Smartphone ist jedoch im 2.0, während der Debianrechner seine IP von dem DSL Rechner holt, also eine 1.0 IP hat. Wie löse ich diese Problematik am besten? Bei ipfire war dies aufgrund der Bereich echt entspannt, Grün mit source ip XXXX darf auf Rot zugreifen. Hier werde ich es wohl mit iptables machen müssen, was bei ipfire ja auch der Fall war, aber das Frontend sorgte für eine einfache Einrichtung. Was wäre hier der beste Weg? Das Smartphone im dhcp Server auf Debian mittels MAC an eine statische IP binden und dieser einen IP per iptables den Zugriff auf das 1.0 Netz bzw. der IP, die der Debianrechner hat, zu erlauben? Und wie würde der iptable Eintrag dann aussehen? Auf einem alten Proxy habe ich solche Sachen über acl geregelt, aber das war dann ein identisches Subnet. Nun sind es eben verschiedene.
Da der Debianrecher eine Firewall darstellen soll, um die beiden anderen Subnetze abzutrennen, muss ich mich sowieso iptables einpflegen, da von 1.0 auf 2.0 kein Zugriff stattfinden soll, besser gesagt auf das 1.0 Netz vor der NIC des Debianrechners. Auf dem Debianrechner selbst laufen diverse Dienste, etwa die Cloud oder ein ftp Server, auf den natürlich das 2.0 und 3.0 Netz zugreifen dürfen.
Wie mache ich dies ein sinnvollsten?
Die Grundschematik ist folgende: DSL Router, das dahinterliegende LAN im Subnet 192.168.1.0 ist eine Art DMZ und soll IOT und privaten Webserver abdecken. Danach kommt der Debianrechner mit insgesamt 3 NIC. Daraus ergeben sich dann 2 weiter Subnetze, 192.168.2.0 und 3.0.
Beides werden getrennte Heimnetze. Jetzt gibt es noch die eine oder andere Problematik, etwa läuft auf dem Debianrechner eine Cloud, die mit dem Smartphone über Caldav synchronisiert. Dazu sollten jedoch beide Geräte im gleichen Subnet sein. Das Smartphone ist jedoch im 2.0, während der Debianrechner seine IP von dem DSL Rechner holt, also eine 1.0 IP hat. Wie löse ich diese Problematik am besten? Bei ipfire war dies aufgrund der Bereich echt entspannt, Grün mit source ip XXXX darf auf Rot zugreifen. Hier werde ich es wohl mit iptables machen müssen, was bei ipfire ja auch der Fall war, aber das Frontend sorgte für eine einfache Einrichtung. Was wäre hier der beste Weg? Das Smartphone im dhcp Server auf Debian mittels MAC an eine statische IP binden und dieser einen IP per iptables den Zugriff auf das 1.0 Netz bzw. der IP, die der Debianrechner hat, zu erlauben? Und wie würde der iptable Eintrag dann aussehen? Auf einem alten Proxy habe ich solche Sachen über acl geregelt, aber das war dann ein identisches Subnet. Nun sind es eben verschiedene.
Da der Debianrecher eine Firewall darstellen soll, um die beiden anderen Subnetze abzutrennen, muss ich mich sowieso iptables einpflegen, da von 1.0 auf 2.0 kein Zugriff stattfinden soll, besser gesagt auf das 1.0 Netz vor der NIC des Debianrechners. Auf dem Debianrechner selbst laufen diverse Dienste, etwa die Cloud oder ein ftp Server, auf den natürlich das 2.0 und 3.0 Netz zugreifen dürfen.
Wie mache ich dies ein sinnvollsten?
Re: Offene Fragen rund um das Heimnetz
Hi - soviel Zeit sollte sein.
Ansonsten:
https://wiki.debian.org/DebianFirewall
sowie
viewtopic.php?f=37&t=163979&start=15#p1120313
Kannst du sicher auch! Geplante Dienste gehören bei dir dazu.
(Es ist sonst sehr mühevoll für andere, vom Gleichen zu reden. Ich lese nicht laufend den langen Eingangspost, um irgendeinen späteren Nachfolgepost zu verstehen, um verständlich antworten zu können.)
Ungut.tim11 hat geschrieben:Da der Debianrecher eine Firewall darstellen soll ... Auf dem Debianrechner selbst laufen diverse Dienste, etwa die Cloud oder ein ftp Server ...
M. E. mit PFSense oder OPNSense (und getrenntem Debianserver für Dienste). Gibt auch Frontend und nette Addons. Vor allem flexibel konfigurierbare DMZ! So man will auch mehrere, so Ports fehlen mit VLANs.Wie mache ich dies am sinnvollsten?
Ansonsten:
https://wiki.debian.org/DebianFirewall
sowie
viewtopic.php?f=37&t=163979&start=15#p1120313
Kannst du sicher auch! Geplante Dienste gehören bei dir dazu.
(Es ist sonst sehr mühevoll für andere, vom Gleichen zu reden. Ich lese nicht laufend den langen Eingangspost, um irgendeinen späteren Nachfolgepost zu verstehen, um verständlich antworten zu können.)
Re: Offene Fragen rund um das Heimnetz
Guten Morgen
pfsense ist keine Option, erstens schätze ich wie schon erwähnt die Flexibilität und zweitens habe ich schon mit ipfire schlechte Erfahrungen mit Addons gemacht, da sind teilweise uralte Versionen im Umlauf und ich habe keine Lust, alles selbst zu kompilieren.
Hierzu habe ich wohl das Eingangspost nicht konkret genug geschrieben, aber ich die Grenze zum Roman, der dann nicht mehr gelesen wird, wird schnell überschritten. Alle auf den Server befindliche Dienste haben keinen Kontakt ins WAN. ftp und cloud werden ausschließlich intern genutzt, die Firewall soll lediglich das IOT Zeugs und den privaten Webserver vom LAN trennen. Daher ist das kein Problem. Kontakt nach Außen hat lediglich der Webserver, der allerdings selten und nur zu bestimmten Zeit online ist.Jana66 hat geschrieben:Ungut.
pfsense ist keine Option, erstens schätze ich wie schon erwähnt die Flexibilität und zweitens habe ich schon mit ipfire schlechte Erfahrungen mit Addons gemacht, da sind teilweise uralte Versionen im Umlauf und ich habe keine Lust, alles selbst zu kompilieren.
Re: Offene Fragen rund um das Heimnetz
Wäre ein openwrt-Router eine sinnvolle Option?
Re: Offene Fragen rund um das Heimnetz
Wie kriegt man da (neue) AddOns rein? Selber kompilieren und neu "flashen"? Wie kommt man zu regulären Updates, nicht irgendwelche Betas oder "Snapshots"? Auch neu "flashen"?debianoli hat geschrieben:Wäre ein openwrt-Router eine sinnvolle Option?
OpenWrt gibt es allerdings nicht nur für Plastikrouter - sondern auch (regelmäßige?) Releases für x86_amd64-Hardware.
Wäre schön, wenn du zu beiden kurz schreibst.
Re: Offene Fragen rund um das Heimnetz
Es geht ja nicht nur um eine Firewall. Ich hatte sowohl openwrt als auch dd-wrt auf einem Router und beide sind bzgl. Addons abhängig von den wenigen Entwicklern bzw. der Community, wie eben auch bei ipfire. Im Debian-Repository geht auch nicht immer alles rasant zu, aber zeitnah wenn stable. Bei ipfire und Co. kannst Du oft lange warten bis es eine aktuelle Version gibt, schau mal die letzte Version von owncloud an, dann weißt Du was ich meine.debianoli hat geschrieben:Wäre ein openwrt-Router eine sinnvolle Option?
Außerdem habe ich bei Debian die größere Auswahl an Diensten, bei Addons bist Du oft eine eine Option gebunden.
Re: Offene Fragen rund um das Heimnetz
Dann mache es doch mit Debian-Minimalinstallation und https://gridscale.io/community/knowledg ... 0-minuten/tim11 hat geschrieben:Außerdem habe ich bei Debian die größere Auswahl an Diensten, bei Addons bist Du oft eine eine Option gebunden.
und
und Frontends iptables/netfilter: https://wiki.archlinux.org/index.php/firewallsJana66 hat geschrieben:Ansonsten:
https://wiki.debian.org/DebianFirewall
Guter Überblick: https://wiki.ubuntuusers.de/Router/
Ich hatte auch schon Lust, mir einen Debian-Router-Firewall zu bauen. Was mich davon abhielt:
-Sicherheit, ich brauche Internet-Gateway. Bei PFSense & Co. haben sich größere Lichter als ich es bin, darum gekümmert.
-Konfig in vielen Dateien "verstreuselt", kein schneller Überblick möglich. PFSense hat dafür eine einzige XML-Datei. In wenigen Sekunden gesichert, rueckgeschrieben. Macht Cisco übrigens analog. Konfig und Installationsimage reicht bei PFSense als Backup.
-Einheitliche Bedienoberfläche (auch schneller Überblick über Konfig) schwer möglich. Willste selber schreiben?
Na gut, dein interner Router wird selten umkonfiguriert: GUI unnötig.
-In wievielen Dateien wichtige Logs stehen, mit wieviel Kommandos die zu lesen sind, darüber ich mir lieber keinen Kopf.
Und wenn man dann noch Router und NAS "zusammen würfelt" - und nicht der Netzwerk- und Debian-Experte ist ...
Re: Offene Fragen rund um das Heimnetz
Die Installation ist schon abgeschlossen, der Server besteht ja schon länger, nur war er eben als normaler Homeserver in LAN integriert. Nun soll er mit zuätzlichen NIC ein weiteres Subnet sorgen. Früher hat dies ein alter Router mit openwrt getan, nun soll der Server dies übernehmen.Jana66 hat geschrieben:Dann mache es doch mit Debian-Minimalinstallation und https://gridscale.io/community/knowledg ... 0-minuten/tim11 hat geschrieben:Außerdem habe ich bei Debian die größere Auswahl an Diensten, bei Addons bist Du oft eine eine Option gebunden.
undund Frontends iptables/netfilter: https://wiki.archlinux.org/index.php/firewallsJana66 hat geschrieben:Ansonsten:
https://wiki.debian.org/DebianFirewall
Guter Überblick: https://wiki.ubuntuusers.de/Router/
Ich hatte auch schon Lust, mir einen Debian-Router-Firewall zu bauen. Was mich davon abhielt:
-Sicherheit, ich brauche Internet-Gateway. Bei PFSense & Co. haben sich größere Lichter als ich es bin, darum gekümmert.
-Konfig in vielen Dateien "verstreuselt", kein schneller Überblick möglich. PFSense hat dafür eine einzige XML-Datei. In wenigen Sekunden gesichert, rueckgeschrieben. Macht Cisco übrigens analog. Konfig und Installationsimage reicht bei PFSense als Backup.
-Einheitliche Bedienoberfläche (auch schneller Überblick über Konfig) schwer möglich. Willste selber schreiben?
Na gut, dein interner Router wird selten umkonfiguriert: GUI unnötig.
-In wievielen Dateien wichtige Logs stehen, mit wieviel Kommandos die zu lesen sind, darüber ich mir lieber keinen Kopf.
Und wenn man dann noch Router und NAS "zusammen würfelt" - und nicht der Netzwerk- und Debian-Experte ist ...
Mir ist klar, dass es viele Einstellungen braucht, DNS Server und dhcp, ftp usw. musste alles konfiguriert werden. Und auch die iptables werden ein gutes Stück, hab das immer mit einem Frontend gemacht, etwa ufw oder gleich mit ipfire, aber der Weg ist das Ziel
Mit Munin kann ich die wichtigsten Leistungsdaten im Auge behalten, der Rest wird über Terminal administriert. Ein wichtiger Aspekt war halt auch das Basteln, das Ausprobieren, nur durch Testen lernt man immer weiter dazu. Klar kann ich eine weiteren Router hinbasteln, der vor dem Server steht und den Server wieder als reinen Homeserver degradieren, aber genau das wollte ich ja nicht.
Re: Offene Fragen rund um das Heimnetz
Da nimmst du halt den laufenden Server und installierst/konfigurierst was dazu. Die verlinkten Howtos helfen trotzdem. Sollten sogar fast alle sein, die du brauchst - innen drin sind ja auch noch Links.tim11 hat geschrieben:Die Installation ist schon abgeschlossen, der Server besteht ja schon länger, nur war er eben als normaler Homeserver in LAN integriert. Nun soll er mit zuätzlichen NIC ein weiteres Subnet sorgen. Früher hat dies ein alter Router mit openwrt getan, nun soll der Server dies übernehmen.
Re: Offene Fragen rund um das Heimnetz
Im Endeffekt geht es mir jetzt nur noch darum, Client 1 auf 192.168.1.2 den Zugriff auf Server1 auf 192.168.2.2 zu erlauben. Wenn ich richtig gelesen habe, müsste dies mit
funktionieren, oder? Jetzt nur mal die beiden Ausnahmen, die hinter einem generellen Drop stehen würden.iptables -A FORWARD -i eth1 -o eth2 -s 192.168.1.2 -d 192.168.2.2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -s 192.168.2.2 -d 192.168.1.2 -j ACCEPT
Re: Offene Fragen rund um das Heimnetz
Ausprobieren?!
Oder Lesen, z. B. http://64-bit.de/dokumentationen/netzwe ... .html#toc3 oder Tante Kugel weiter befragen oder Frontend deiner Wahl verwenden. Letztere in weiser Voraussicht bereits oben verlinkt. Des Weiteren sind manchmal Logs ganz hilfreich.
(In Foren gibt es meist Hilfe zur Selbsthilfe. Komplett Vorgekautes erhält man im Drogeriemarkt, Regal für Babynahrung. )
Oder Lesen, z. B. http://64-bit.de/dokumentationen/netzwe ... .html#toc3 oder Tante Kugel weiter befragen oder Frontend deiner Wahl verwenden. Letztere in weiser Voraussicht bereits oben verlinkt. Des Weiteren sind manchmal Logs ganz hilfreich.
(In Foren gibt es meist Hilfe zur Selbsthilfe. Komplett Vorgekautes erhält man im Drogeriemarkt, Regal für Babynahrung. )
Re: Offene Fragen rund um das Heimnetz
Mir geht/ging es nicht um vorgekautes, denn dann hätte ich gefragt, welche iptables ich verwenden muss. Mir ging es um Bestätigung der von mir geposteten Regeln, aber egal, bedarf keiner weiteren Diskusison.Jana66 hat geschrieben:Ausprobieren?!
Oder Lesen, z. B. http://64-bit.de/dokumentationen/netzwe ... .html#toc3 oder Tante Kugel weiter befragen oder Frontend deiner Wahl verwenden. Letztere in weiser Voraussicht bereits oben verlinkt. Des Weiteren sind manchmal Logs ganz hilfreich.
(In Foren gibt es meist Hilfe zur Selbsthilfe. Komplett Vorgekautes erhält man im Drogeriemarkt, Regal für Babynahrung. )
danke an alle für die Hilfe