Modem - Firewall - UDM Pro in Reihe

Es gibt 25 Antworten in diesem Thema, welches 7.874 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Hallo zusammen.
    da ich keine IKEv2 Verbindung VPN mit der UDM Pro herstellen kann, die aktuell hinter einem Vigor165 sitzt, hab ich überlegt eine FW davorzuschalten.


    Vigor165 -> Opnsense (PPPoE Einwahl und VPN) -> UDM Pro (für Verwaltung mit Controller) (-> perspektivisch 24 Pro POE Switch von Unifi für AP Anschluss)


    Ich denke die UDP Pro ist für die Aufgaben oversized, aber ich hab die nun schon und muss nicht auf cloudkey o.ä. umstellen.


    Ich habe Netzwerkgeräte im mittleren 2 stelligen Bereich, daher wird das Thema VLAN auch zur Priorität.


    Was sagt ihr dazu?

    Zitat von uwe.bein.98

    Was sagt ihr dazu?

    Na ja so lange Du keine Geräte hast die "Protect" o.ä brauchen, würde ich

    - die UDM Pro verkaufen

    - schauen wie ich mit der UDM Pro doch VPN realisieren kann


    Klar man kann sicherlich die UDM Pro zu reinem Controller degradieren, wird sicherlich auch laufen - nur eins muss Du immer vor Augen halten - nicht in die Versuchung kommen und plötzlich anfangen zu mischen. Also ein Teil der Sense und ein Teil der UDM überlassen. Geht sicherlich auch - macht aber das Leben nicht einfacher.

    Ja, das denke ich auch. Mischbetrieb schafft Fehlerpotential.

    UDM pro und VPN bekomme ich mit den angebotenen Protokollen nicht hin, daher fällt das aus.

    Daher nur die hergestellte VPN Verbindung der OPNSense ins LAN der UDMP routen. Rest macht alles die UDMP.


    Kann ich da das NAT auch abschalten, wie beim USG?

    Warum nutzt Du nicht einen VPN Server im LAN? ZB auf einem NAS oder einer VM?

    Zitat von uwe.bein.98

    NAS läuft nicht 24/7. Hab auch sonst keine windows clients laufen. Müsste ich den nicht durch portforwarding von außen erreichbar machen? Das will auch alle Fälle vermeiden

    Das Gerät müsste natürlich 24/7 laufen. Das würde die Firewall ja aber auch. Ohne Portforwarding kein VPN, was aber völlig normal und ok ist. Da die Firewall ganz vorne steht, brauchts natürlich kein weiteres Portforwarding um den VPN zu erreichen. Ist der aber intern, muss naturlich in der UDM hinterlegt sein wo die VPN Pakete hin sollen. Du könntest Dir auch nen Raspberry nehmen und da Wireguard oder so installieren. Ich habe das auf nem NAS eingerichtet mit ipsec, nutze aber aktuell den VPN auf der USG.

    Habe ich einen Denkfehler? Die opnsense macht pppoe und dahinter kommt udmp mit LAN und wlan. Die mir auch wichtige Performance innerhalb des LANs ist doch höher wenn alle über die udmp läuft, als wenn ich ein usg habe oder die GLan Ports der opnsense. Vpn hätte ich gern auf dem Gateway auch in Verbindung mit dem dyndns Dienst.
    Wer übernimmt dann das Routing innerhalb des LAN? opnsense oder UDM?

    Zitat von uwe.bein.98

    Wer übernimmt dann das Routing innerhalb des LAN? opnsense oder UDM?

    Tja sag ich doch man kann sich selbst das Leben schwer machen.

    Wenn die Sense alle Netze kennt und Bein im jedem Netz macht, macht die Sense das. Wenn die Sense "nichts" kennt, musst Du alles auf der UDM konfigurieren. Bei kleinen Fehlern hast gleich 2 potentielle Fehlerquellen.

    Und bei UDM ist doch so, dass Du die Performance nur dann hast, wenn alle Geräte im gleichen VLAN liegen, sonst muss es zu der CPU und das ist ein Flaschenhals bei der Kiste.

    Die Sense soll nur ein LAN kennen, an dem die UDM Pro dranhängt. Ein Netz/die weiteren Netze kennt dann nur die UDMP.


    Zitat von RobiWan

    Und bei UDM ist doch so, dass Du die Performance nur dann hast, wenn alle Geräte im gleichen VLAN liegen, sonst muss es zu der CPU und das ist ein Flaschenhals bei der Kiste.

    Vlan mit UDM Pro also nicht zu empfehlen? Gerade ein Vlan für Gäste mit dem Portal und Token war für mich ein Pluspunkt.


    Jetzt stelle ich meine Idee wieder ernsthaft in Frage und weiss irgendwie nicht weiter.

    Zitat von jkasten

    Warum nutzt Du nicht einen VPN Server im LAN? ZB auf einem NAS oder einer VM?

    Weil man das aus Sicherheitsgründen nicht macht.


    Der VPN-Server gehört auf die erste Schnittstelle zwischen Internetanschluss und LAN, also in der Regel einem Router oder Firewall.

    Wenn ich einen VPN-Server ins Netzwerk stellen, muss ich zwangsläufig Löcher in die Firewall bohren, und das ist die Einladung für jeden Angreifer, nach Sicherheitslücken zu suchen.

    Zitat von Tuxtom007

    Weil man das aus Sicherheitsgründen nicht macht.


    Der VPN-Server gehört auf die erste Schnittstelle zwischen Internetanschluss und LAN, also in der Regel einem Router oder Firewall.

    Wenn ich einen VPN-Server ins Netzwerk stellen, muss ich zwangsläufig Löcher in die Firewall bohren, und das ist die Einladung für jeden Angreifer, nach Sicherheitslücken zu suchen.

    Danke. stimme uneingeschränkt zu.

    Zitat von uwe.bein.98

    Vlan mit UDM Pro also nicht zu empfehlen?

    Nein, das habe ich nicht geschrieben.

    Viele Leute lassen sich von Sachen irritieren die nie in Wirklichkeit eintreffen werden.


    Also die UDM hat glaube ich u.a 8 (1GB) Ports. Je nach Version sind wohl diese 8 Ports über 1 GB Leitung an die CPU angebunden oder (2.5GB Leitung).

    Jedes Paket welches vom VLAN A zu VLAN B muss, muss zu der CPU geschickt werden. Was bei diesem Konstrukt suboptimal ist. Ob das jetzt irgendwo im privaten Haushalt oder kleinem Büro wirklich eine Einschränkung darstellen wird, lässt sich aus der Ferne nicht wirklich beurteilen, denn man kennt das Netz nicht und weiß nicht was da so alles passiert.

    Bei einem Netz wo eh die meiste Zeit einfach gesurft wird, Mails geschrieben, gelesen oder sonstige Dokumente wird es kaum eine Rolle spielen. Bei einem Netz wo mehr oder weniger permanent Terabytes an Daten hin und her kopiert werden wird es schon u.U anderes aussehen.


    Dein Konstrukt ist so fern "gefährlich" weil Du 2 Geräte einsetzen willst die an sich für die gleiche Ausgabe geschaffen sind. Das kann funktionieren und bei richtiger Konfiguration wird es auch funktionieren.

    Denke ew. noch mal darüber nach - die UDM als einziger Gerät zu behalten und hinter der UDM ein VPN Sever zu setzen und mit Portweiterleitung zu arbeiten. (Mir ist nicht ganz klar wofür Du VPN haben willst, wenn Du schreibst, da läuft nichts permanent. Also quasi Selbstzweck?)

    Zitat von RobiWan

    Denke ew. noch mal darüber nach - die UDM als einziger Gerät zu behalten und hinter der UDM ein VPN Sever zu setzen und mit Portweiterleitung zu arbeiten. (Mir ist nicht ganz klar wofür Du VPN haben willst, wenn Du schreibst, da läuft nichts permanent. Also quasi Selbstzweck?)


    VPN fürs Smarthome. Natürlich laufen da 24/7 Dienste, aber gar nichts auf Windowsebene und eine Parallelinstallation auf ein und demselben Client für 2 Anwendungsfälle will ich vermeiden (Ausfallsicherheit).


    Portweiterleitung ist keine Option. Die Türe mache ich nicht auf. Dann eher UDMP verkaufen. Da ich:
    - unifi WLAN behalten will
    - unifi 24 Port POE Switch anschaffen will

    muss der Controller dann notfalls auf einem anderen Client laufen.

    In welche Richtung sollte ich dann gehen? USG?

    Zitat von Tuxtom007

    Weil man das aus Sicherheitsgründen nicht macht.


    Der VPN-Server gehört auf die erste Schnittstelle zwischen Internetanschluss und LAN, also in der Regel einem Router oder Firewall.

    Wenn ich einen VPN-Server ins Netzwerk stellen, muss ich zwangsläufig Löcher in die Firewall bohren, und das ist die Einladung für jeden Angreifer, nach Sicherheitslücken zu suchen.

    Bin ich auch grundsätzlich Deiner Meinung, aber wenn es so nicht umsetzbar ist bleibt nur die Möglichkeit es intern umzusetzen. Das die Firewall dann entsprechend abgesichert gehört sollte aber klar sein. Alternativ die UDM Pro rausschmeissen, auf Cloudkey oder ähnliches gehen und davor ne Sophos oder PFSense...

    Wie immer stürzt man sich voll auf die technische Realsierbarkeit.


    ICH würde mir im Vorfeld erstmal die Frage stellen wogegen ich mich schützen möchte?


    1. Schritt: Use Cases (besser gesagt Security Impacts) formulieren

    2. Schritt: Wahrscheinlichkeiten festlegen

    3. Schritt: Priorisierung bzgl. Realisierbarkeit


    ERST DANN ginge ICH an die technische Realisierung, DENN ...


    wenn z.B. ein Use Case das SIP Session Protokoll absichern soll, dann wäre euer Ansatz oben erstmal eher fragwürdig :winking_face:



    ... just my 2 cents ...

    ------

    vg

    Franky

    Gefällt mir 3
    Zitat von uwe.bein.98

    Portweiterleitung ist keine Option. Die Türe mache ich nicht auf.

    Welche Tür genau?



    Zitat von uwe.bein.98

    In welche Richtung sollte ich dann gehen? USG?

    Der Controller MUSS gar nicht permanent laufen. Der ist nur notwendig für die Einrichtung und Änderung der Konfiguration.

    Vorteil natürlich, wenn das Teil permanent läuft sind Statistiken und die Möglichkeit "mal eben ein Port auf nem Switch zu ändern o.ä"

    Heißt am Ende - mit USG bist Du doch mehr oder minder an der gleichen Stelle wie mit UDM.

    Portweiterleitung stellt doch ein Risiko dar, wenn die meisten Angriffe innerhalb des Netzes gestartet werden. Daher öffne ich doch ein kleine Tür, mit dem ein potentieller Angreifer eine Option hat, oder?

    bei USG kann ich doch z.B. NAT abschalten, was bei UDM P wohl nicht so einfach gehen soll.

    Zitat von uwe.bein.98

    r Angreifer eine Option hat, oder?

    Na ja diese Option stellst Du dem potentiellen Angreifer schon mit einem VPN Server zur Verfügung. Dabei spielt es keine Rolle wo es steht. Es gibt jemand der auf einem Port einen Dienst anbietet. Wenn diese Kiste "Fehler" hat, dann hat sie Fehler und das egal wo sie sich im Netz findet.

    So bald man einen Dienst anbietet - ist es halt wichtig sich über die Konsequenzen im klaren zu sein und ggf. Maßnahmen zu treffen - was passieren soll, wenn plötzlich ein vorgegebener Weg "verlassen" wird.

    Genau so wichtig (meiner Meinung nach) ist sicherzustellen, dass nur derjenige der sich "ausweisen" kann - überhaupt irgendwelche Angaben tun kann.


    Zitat von uwe.bein.98

    bei USG kann ich doch z.B. NAT abschalten, was bei UDM P wohl nicht so einfach gehen soll.

    Puh, dazu kann ich nicht wirklich was sagen - habe eben weder die eine noch die andere Kiste. Spontan würde ich behaupten - so lange die WAN Schnittstelle nicht benutzt wird, sind es Router mit ggf. Firewall-Funktion und damit kommt kein NAT ins Spiel (zumindest dann nicht, wenn man es vernünftig macht)

    (Kenne aber beide Geräte nicht - kann also tatsächlich falsch sein an der Stelle)

    Zitat von uwe.bein.98

    Portweiterleitung stellt doch ein Risiko dar, wenn die meisten Angriffe innerhalb des Netzes gestartet werden. Daher öffne ich doch ein kleine Tür, mit dem ein potentieller Angreifer eine Option hat, oder?

    Netzwerk 101 Grundlagen.


    Wenn du von drinnen raus darfst sorgt dein NAT dafür das die Antworten auch wieder rein dürfen.

    Überraschung, das ist eine Temporäre Portweiterleitung.

    Sprich dein Client fragt von Port 5000 auf Extern Port 80, das NAT öffnet

    eine Kanal von PORT 5000 der zu deinem Rechner.

    Eine Portweiterleitung ist damit nur ein statischer fester Eintrag in dieser Tabelle.

    (Typischer Heimanschluss mit einer IP, NAT, IPv4)


    Ob das gut oder schlecht ist. man eine DMZ benötigt, oder gleich ein eignes

    Netz in dem sich auch nur über VPN mit dem eignen Netz verbunden werden um

    da die Inbound Firewall, DMZ Firewall und Outbo und Firewall unterzubringen.

    mag jedem selber überlassen sein.

    (Ach Heimanschluss mit einer IP, NAT, IPv4)