Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 15 Antworten in diesem Thema, welches 3.118 mal aufgerufen wurde. Der letzte Beitrag () ist von Lucascoco.
Den lokalen DNS-Server so konfigurieren, dass dieser die Domain auf die interne IP umleitet und die Firewall-Regeln anpassen.
Was hast du denn im Pihole als Domain eingetragen? Nutzt du den NGINX als Proxy oder wie machst du das mit dem Zertifikat?
Die Dyndns Adresse geht also auf den NGINX Proxy und von da zum Vaultwarden? Dann brauchst du eigentlich die Pihole DNS Geschichte nicht.
Hast du evtl Doppelnat?
Hatte den Aufbau vorher schon am laufen, hatte nur wegen der Sicherheit jetzt den Proxy und den PiHole in die DMZ gestellt und den Vaultwarden in einem anderen Netz.
Das ist jetzt aber ungeschickt 
Eine DMZ hat ja die Aufgabe (falls es tatsächlich eine echte ist) allen öffentlichen Traffic quasi "aufzusaugen" und keinerlei Traffic ins LAN zuzulassen. Selbst den Zugriff aus dem LAN in die DMZ muss man i.d.R. explizit freigeben. Ein Pihole in einer DMZ macht daher wenig Sinn, denn vielleicht erreichen diesen noch die Anfragen aus dem LAN, nur dessen Antworten gelangen da nicht wieder hin - die Namensauflösung scheitert somit. Ähnlich ist es mit dem NGINX in der DMZ, denn dieser soll ja an Hand des öffentlichen FQDN entscheiden, an welchen Server im LAN irgendwelche Anfragen "geschickt" werden sollen. Innerhalb der DMZ funktioniert dies dann ja, aber bei Anfragen, welche an einen Server im LAN müssten, sieht es genau so aus, wie bei den DNS-Antworten, da führt kein Weg hin.
Ich gebe halt den Datenverkehr in und aus der DMZ nur mit explizierter Firewall Regel frei . IP + Port.
Oder ich verstehe die DMZ falsch ?
Ja der PiHole muss aus meiner Sicht nicht in die DMZ, aber ich dachte, weil ich aus 4 vlans auf den Pihole zugreife sollte dieser Zentral stehen....
Aber einen Reverse Proxy sollte doch immer in der DMZ stehen.
Aber ich bin ja auch nur ein Hobby Netzer
Sobald ich den Zugriff auf die DMZ sperre geht der Aufruf des Vaultwarden Server nicht mehr.
Frei gegeben in die DMZ ist der Zugriff auf das admin Interface des PiHole des NPM und DNS auf den PiHole.
Was fehlt denn noch?
Hab es gefuden, muss jetzt noch den Port 443 zum Reverse Proxy frei geben.
Danke
Ja der PiHole muss aus meiner Sicht nicht in die DMZ, aber ich dachte, weil ich aus 4 vlans auf den Pihole zugreife sollte dieser Zentral stehen....
Aber einen Reverse Proxy sollte doch immer in der DMZ stehen.
Nunja, wenn ich mir so die Darstellung einer DMZ auf den vielen Bildchen im Internet angucke, steht da immer als Beispiel, was so in eine DMZ gehört, WWW, Email und DNS. Das mag in Enterpriseumgebungen auch tatsächlich notwendig sein. Für den SOHO-Bereich würde ich davon lediglich WWW gelten lassen, der FW-Konfigurationsaufwand wäre an sonst nicht so ohne, falls es die FW dies überhaupt derart ermöglicht, ohne große Löcher reinzureißen, die die DMZ dann obsolet werden lassen (blöder Satz 
)
Schon der Aufwand, den man treiben muss, um einen in der DMZ stehenden WWW-Server aus dem LAN über dessen öffentliche FQDN zu ereichen, ist nicht so ganz unerheblich. Z.B. bei der Sophos muss man dazu nach diesem Schema.
neben der FW-Regel drei NAT-Regeln anlegen, 1xDNAT, 1x Loopback und 1x refelexibles NAT:
erst dann funktioniert es auch. Ob man dies mit deiner FW realisieren kann
Und natürlich kann ein Proxyserver in die DMZ (habe ich ja auch, allerdings nicht NGINX, sondern den IIS von Microsoft), aber nicht um diesen zu schützen, sondern den/die Server, welche von ihm bedient werden und welche ja auf jeden Fall in der DMZ stehen sollten.
Was dann den Pihole betrifft, so lange der nur Anfragen aus dem LAN und keine aus dem WAN beantworten soll, braucht der nicht in die DMZ. Sollte er dies dann aber doch machen, dann gehörte er schon in die DMZ, müsste aber zwei Zonen (eine interne und eine externe) verwalten können und ich weiß auf Schlag nicht, ob er dies kann, denn dessen Aufgabe ist ja eher das Filtern/Blockieren unerwünschter Anfragen.
An deiner Stelle würde ich den Pihole ins LAN stellen und den Vaultwarden nebst dem Zertifikate-NGINX in die DMZ. dann erreichts du den Vaultwarden von extern auf jeden Fall über Deinen FQDN und intern über die IP (bei passenden FW-Regeln LAN <--> DMZ). Willst Du den dann auch von Intern über Deinen FQDN erreichen, musst Du halt oben beschrieben Aufwand betreiben
PS. Auch ich bin nur ein "Hobby Netzer", die Ausrede gilt also nicht 
Danke erst einmal.
dem Ersten Bild kann ich voll zustimmen.
Ich habe eine UDM Pro von Unifi.
Habe jetzt die Firewall Regeln erstellt mit IP und Port, der Rest ist Blockiert.
Aus meiner Sicht würde würde ich den Vaultwarden Server nicht in die DMZ stellen, denn wenn es einen Einbruch geben sollte in die DMZ, dann sollte da Schluss sein.
Keinen weiteren Zugriff auf einen anderen Server. Kann aber auch sein, das ich völlig falsch liegen.
Aus meiner Sicht würde würde ich den Vaultwarden Server nicht in die DMZ stellen, denn wenn es einen Einbruch geben sollte in die DMZ, dann sollte da Schluss sein.
Aber dazu ist doch eine DMZ da. Da sollen die Kisten drin stehen, welche aus dem Internet erreichbar sein müssen. Somit kann dann das LAN vollkommen gegen Zugriffe von außen dicht gemacht werden. Im Normalfall ist ja dann auch keine Kommunikation aus der DMZ in das LAN möglich, so dass auch ein Einbruchsversuch aus dem Internet über die DMZ in das LAN nicht möglich ist. Denn Ziel ist es ja, das LAN zu schützen und nicht die für das Internet zugänglichen Server. Diese sind dann seperat abzusichern, einmal durch die FW, welche die DMZ zur Verfügung stellt und dann durch die FWs der Server selbst. Wenn Du jedoch den Vaultwarden Server nicht für aus dem Internet zugängig machen willst, dann brauch dieser natürlich auch nicht in die DMZ, nur wozu dann diese überhaupt?
zur Zeit sind 95 Mitglieder (davon 1 unsichtbar) und 284 Gäste online - Rekord: 129 Benutzer ()
