Aktuell nutze ich eine Fritzbox 5590 (mit integrierten Modem) und dazu 2 Fritz Repeater 2400.
Generell ist die Fritzbox von aussen zu, mit Ausnahme der Umleitung auf NPM mit Port 80/443.
Welches Angreiferpotential ist möglich/zu erwarten?
Welche Möglichkeiten habe ich mit möglichst wenig Aufwand, die extern verfügbaren VMs / Container vom internen Netz zu trennen? Wären VLANS eine Lösung?
Der Promox Host stellt sowohl intern wie extern bereit.
Wobei die Maschinen ja mittels vlans getrennt werden können.
LG Dietmar
Der Promox Host ist doch aber dennoch im LAN der Fritte. Erst dahinter gäbe es dann ein VLAN. Also müsste die Fritte doch weiterhin alle eingehenden Pakete für 80/443 ins LAN und dort an die IP-Adresse des Promox Hosts im LAN senden.
Willst du ernsthaft eine Trennung von LAN für die Heimnetzgeräte und einem anderen Netzwerksegment für die Server, dann benötigst du da was besseres als eine Fritte. Nämlich eine dedizierte Firewall wie pfsense / OPNsense.
Die Fritte kann keine VLAN’s. Einzige Ausnahme das Gastnetz (WLAN). Aber das lässt generell keine Verbindungen von außen und auch nicht aus dem LAN der Fritte zu. Ist also für das was du willst untauglich.
Managebare Switche sind vorhanden, geht ja tendenziell darum wenn z.B. WordPress o.ä. im Container den Versuchungen eines Angreifers erliegt, wo könnte er noch drauf zugreifen.
Managebare Switche sind schön und gut, aber was nutzt dir das ohne Firewallregeln? Nichts! Die einzige (noch dazu sehr rudimentäre) Firewall die du hast ist die Fritte und der ist egal was in ihrem LAN passiert.
Hab ich das Tagging fasch verstanden?
Ich kann doch den Hosting VMs in ein vlan packen was mit dem vlan port der Fritte → INET kommunizieren darf aber nicht mit dem vlan intern???
FRITZ!-Boxen können nicht direkt VLANs auf den LAN-Ports erstellen, wie ein Switch
Sie können jedoch eine IP-Adresse für ein bestimmtes VLAN binden
Dies bedeutet, dass ein Gerät, das mit dem FRITZ!-Box-Netzwerk verbunden ist, eine IP-Adresse aus einem bestimmten VLAN erhalten kann, ohne dass das Gerät selbst mit einem VLAN-Tag verbunden ist
Dies wird oft verwendet, um Gastnetzwerke oder andere logische Netzwerksegmente innerhalb des FRITZ!-Box-Netzwerks zu erstellen
Nachteile:
Nicht so flexibel wie ein Switch, der VLANs auf Portebene erstellen kann
Die VLAN-ID wird nur für die IP-Adresszuweisung verwendet, nicht für die Weiterleitung von VLAN-Traffic
Das bedeutet, dass VLANs auf FRITZ!-Box-Ebene nicht für die Isolation verschiedener Netzwerke verwendet werden können, wenn ein VLAN mit einem anderen Netzwerk verbunden ist
Und genau diese Isolation verschiedener Netzwerke ist doch das Entscheidende.
Also von den Lanports der Fritte nutze ich nur einen zum Managed Switch.
Un welcher Switchport vom MGMT-Switch mit welchen kommunizieren darf kann ich doch im Webif einstellen oder klemmt es gerade iwo bei mir? Incl. der vlans in Proxmox so wären alle im gleichen Netz aber dennoch teilweise isoliert…
ALLE Ports des Managed Switch müssen mit der Fritte kommunizieren können. Die die das nicht können hätten sonst kein Internet. Der Fritte müssen alle IP-Adressen, bzw Netzwerke an diesen Ports bekannt sein und sie muss dorthin routen können. Ansonsten auch kein Internet. Die Fritte hat aber keine Firewall mit der man da den Traffic einschränken könnte. Wie also willst du verhindern, dass jemand der einen Websever in deinem LAN kompromittiert hat via TCP-Port 22 auf dein Linux-Notebook kommt oder schlimmer noch direkt auf den Proxmox-Host?
Nachtrag: und die weitaus meisten Heimnetzgeräte (Smartphone, Notebook, TV, etc.) sind im WLAN der Fritte. Das WLAN der Fritte ist aber kein separates Netz. Wer also einen Websever in deinem LAN kompromittiert hat, erreicht diese zwingend.
Wie sieht eine saubere Trennung aus? Da du eine 5590 hast hast du wohl Glasfaser. Da hättest du besser einen Glasfaser ONT statt einer 5590 genommen. Der Telekom Glasfaser ONT kostet € 40. Andere Glasfaser ONT gibt es schon für um die € 30.
Dann hättest du einen MiniPC gekauft mit mindestens zwei Netzwerkanschlüssen. Auf diesem dann pfsense oder OPNsense. Damit kann man dann sauber LAN’s voneinander trennen. Meine pfsense erlaubt per default nur dem ersten LAN-Segment den Zugriff auf alles. Alle weiteren LAN-Segment dürfen genau nichts. Nicht mal Internet.
Ich habe LAN-Segmente für
LAN (Kabel) das darf alles
WLAN da musste ich schon selbst definieren was Geräte im WLAN dürfen
IoT (da ist TV drin, die Waschmaschine, die Heizungssteuerung) die dürfen ins Internet, sonst nix
DMZ (da sind die Server wie Nextcloud) Server haben individuelle Rechte.
Alles läuft über die Rules in der pfsense Firewall. Die VLAN’s allein nutzen da nichts, auch nicht mehr oder weniger als hätte man 4 oder 5 Netzwerkkarten verbaut. Grund: die default Route muss ja immer auf die Firewall zeigen. Sonst gäbe es kein Internet. Ohne Rules in der pfsense Firewall wären per default Route aber auch die anderen lokalen Netze erreichbar,
Nein, kannst du nicht. Denn der Switch kann (meistens) nur VLANs auf L2 und das bringt dir dann nichts für die Netztrennung. Man könnte das mit einem L3-Switch irgendwie basteln, aber schön ist das nicht.
Okay, dann wäre die sauberste Lösung:
-Glasfasermodem
-Fritte weg durch pfsense o.ä ersetzen
Wlan Mesh… imho lässt sich der 2400 auch zum Meshmaster machen
