Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Freigaben aus LAN in DMZ routen

Frage Netzwerke Router & Routing

Mitglied: Everdt

Everdt (Level 1) - Jetzt verbinden

14.11.2017 um 15:29 Uhr, 443 Aufrufe, 22 Kommentare, 1 Danke

Hallo Zusammen

Ich sitze seit Stunden vor einem Problem und vermute, dass ich einen Denkfehler habe oder mir selbst im Weg stehe

Mein etwas vereinfacht dargestelltes Netz (teilweise virtualisiert auf ESX und mit vLan, aber spielt keine Rolle):
routing_problem-min - Klicke auf das Bild, um es zu vergrößern

  • Die pfSense blockt alles aus der DMZ ab.
  • Zugriff LAN - DMZ funktioniert alles
  • Zugriff Internet-DMZ funktioniert alles

Was will ich?

  • Ich möchte ein Netzlaufwerk vom NAS (192.168.1.6) auf dem Ubuntu-Server (192.168.10.11) mounten.
  • Bisher war der Ubuntu-Server im LAN, somit gab es das Problem nicht.
  • Bisher habe ich das über die fstab mit folgendem Inhalt gemacht: //192.168.1.11/<Freigabe> /media/<Mountpoint> cifs username=NAME,password=GEHEIM 0 0

Was verstehe ich, was nicht?

  • Mir ist klar, dass ich auf der pfSense ein Portforwarding auf das NAS machen muss

  • Mir ist nicht klar, was ich von wo nach wo routen muss (IP und Ports)
  • Mir ist nicht klar, wie ich dem Ubuntu-Server sage, wo er das Share findet und dieses dann mounte


Entschuldigt den langen Text, aber ich hoffe, dass mir so jemand helfen kann.

Gruss
Everdt
Mitglied: em-pie
LÖSUNG 14.11.2017 um 15:40 Uhr
Moin,

als erste Frage:
Wer ist das Gateway für den UBUNTU-Server?

Wenn es die IPFire-Kiste ist, kannst du an der pfSense einstellen was du willst, der Ubuntu-Server schickt seine Anfrage für 192.168.1.* an die IPFire-Kiste. Wenn die nur Pakete aus dem WAN ins LAN vice versa zulässt, wirst du aus der DMZ kein Paket ins LAN bekommen.

Gleiches könnte für die Routing-Tabelle in der IPFire gelten, wobei ich das mal ausschließe, da sonst vermutlich keinerlei Pakete aus dem WAN im LAN ankommen würden. Prüfe das aber mal zur Sicherheit

Wenn du nicht über die IPFIRE gehen willst, wäre eine weitere Option, ein statisches Routing im UBUNTU-Server zu setzen:
192.168.1.0/24 via 192.168.10.2/24, natürlich dann die FW in der pfSense entsprechend straff einstellen.
Halte ich aber für fragwürdig: wird der UBUNTU-Server in der DMZ kompromitiert, kommt der auch automatisch an das NAS dran.
Eine seperate SIcherheitsinstanz (ext. Firewall) wäre da sicherlich besser geeignet, denke ich.

Gruß
em-pie
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 14.11.2017 um 15:43 Uhr
Moin.

Ich möchte ein Netzlaufwerk vom NAS (192.168.1.6) ...
fstab mit folgendem Inhalt gemacht: //192.168.1.11/<Freigabe>
Ist das ein Tipfehler?

Mir ist klar, dass ich auf der pfSense ein Portforwarding auf das NAS machen muss
Mit Portforwarding hat das nichts zu tun.

Mir ist nicht klar, was ich von wo nach wo routen muss (IP und Ports)#
Die Routen sollten schon passen, beide Netze sind ja local für die pfSense

Mir ist nicht klar, wie ich dem Ubuntu-Server sage, wo er das Share findet und dieses dann mounte
Gemounted wird nach wie vor von 192.168.1.6 - die NAS IP ändert sich ja nicht.

Du must lediglich die CIFS-Ports (135,137 und 445 wenn micht nicht alles täuscht) für neue Verbindungen von (DMZ)Ubuntu an (LAN)NAS freigeben.

lg,
Slainte
Bitte warten ..
Mitglied: Everdt
14.11.2017 um 16:06 Uhr
Danke für die Inputs.

Wer ist das Gateway für den UBUNTU-Server?

Wenn es die IPFire-Kiste ist, kannst du an der pfSense einstellen was du willst, der Ubuntu-Server schickt seine Anfrage für 192.168.1.* an die IPFire-Kiste. Wenn die nur Pakete aus dem WAN ins LAN vice versa zulässt, wirst du aus der DMZ kein Paket ins LAN bekommen.


Der erste Fehler wäre also gefunden: "natürlich" ist das Gateway des Ubuntu-Servers die ipFire unter 192.168.10.1

Kurz zu meinen Firewall-Configs:
  • beide blocken grundsätzlich alles von aussen ab, was nicht von innen angefragt wurde
  • Gateway der ipFire ist durch den ISP vergeben (DHCP)
  • ipFire wäre in der DMZ der DHCP (ausgeschaltet, da nur statische IP)
  • Gateway der pfSense ist die ipFire
  • auf der ipFire (WAN-DMZ) sind gewisse Regeln eingerichtet, z.B. Portforwarding zum Ubuntuserver
  • es wird NICHTS vom WAN ins LAN durchgelassen, was nicht angefragt wurde, sondern wenn überhaupt ausschliesslich in die DMZ


Wenn du nicht über die IPFIRE gehen willst, wäre eine weitere Option, ein statisches Routing im UBUNTU-Server zu setzen:
192.168.1.0/24 via 192.168.10.2/24, natürlich dann die FW in der pfSense entsprechend straff einstellen.
Halte ich aber für fragwürdig: wird der UBUNTU-Server in der DMZ kompromitiert, kommt der auch automatisch an das NAS dran.
Eine seperate SIcherheitsinstanz (ext. Firewall) wäre da sicherlich besser geeignet, denke ich.

Wie meinst du "nicht über die ipFire gehen willst"?
Das mit dem statischen Routing wollte ich eben nicht, deshalb war meine Frage, wie ich dem Ubuntuserver sage, wo/wie er das NAS findet...

Dem Ubuntuserver als Gateway die pfSense geben geht ja nicht, da er sich auf der WAN-Seite dieser Firewall befindet, oder?

Gruss
Everdt
Bitte warten ..
Mitglied: Everdt
14.11.2017 um 16:12 Uhr
Ich möchte ein Netzlaufwerk vom NAS (192.168.1.6) ...
fstab mit folgendem Inhalt gemacht: //192.168.1.11/<Freigabe>
Ist das ein Tipfehler?

Ja, da habe ich mich vertippt

Mir ist klar, dass ich auf der pfSense ein Portforwarding auf das NAS machen muss
Mit Portforwarding hat das nichts zu tun.

Ich dachte ich muss die Ports für cifs auf das NAS forwarden? Ist dem nicht so?

Mir ist nicht klar, was ich von wo nach wo routen muss (IP und Ports)#
Die Routen sollten schon passen, beide Netze sind ja local für die pfSense
Mir ist nicht klar, wie ich dem Ubuntu-Server sage, wo er das Share findet und dieses dann mounte
Gemounted wird nach wie vor von 192.168.1.6 - die NAS IP ändert sich ja nicht.

Jein, die DMZ ist für die pfSense WAN = ROT

Du must lediglich die CIFS-Ports (135,137 und 445 wenn micht nicht alles täuscht) für neue Verbindungen von (DMZ)Ubuntu an (LAN)NAS freigeben.

Das wäre dann ja doch ein Portforwading?


Ich glaub ich steh wirklich auf dem Schlauch... sorry dafür.

Gruss
Everdt
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 14.11.2017, aktualisiert um 16:53 Uhr
Du must lediglich die CIFS-Ports (135,137 und 445 wenn micht nicht alles täuscht) für neue Verbindungen von (DMZ)Ubuntu an (LAN)NAS freigeben.

Das wäre dann ja doch ein Portforwading?

Nein, das sind Firewall Regeln... "Erlaube Port 445 von Ubuntu an NAS" - dabei wird immer die IP der NAS verwendet, niemals die IP der pfSense.

@em-pie
Wenn die komm. LAN->DMZ funktioniert, würde ich mir über die IPFire erstmal keine Gedanken machen
Bitte warten ..
Mitglied: em-pie
LÖSUNG 14.11.2017 um 16:58 Uhr
Zitat von SlainteMhath:
@em-pie
Wenn die komm. LAN->DMZ funktioniert, würde ich mir über die IPFire erstmal keine Gedanken machen

Jo, hast du recht... Wenn man mal genauer drüber nachdenkt
Naja, aber somit hat er jetzt zumindest auf dem Schirm, dass die Pakete in jedem Fall über die IPFire "rutschen", da diese ja offensichtlich das Gateway für die DMZ ist, da die Kommunikation LAN-DMZ zunächst zu funktionieren scheint....
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 14.11.2017 um 17:03 Uhr
Naja, aber somit hat er jetzt zumindest auf dem Schirm, dass die Pakete in jedem Fall über die IPFire "rutschen", da diese ja offensichtlich das Gateway für die DMZ ist, da die Kommunikation LAN-DMZ zunächst zu funktionieren scheint....
Naja vielleicht gibt's ja auch einen entsprechenden routing Eintrag auf dem Ubuntu... aber da würde ich jetzt mit Hinsicht auf den Kenntnisstand des TOs nicht drauf eingehen
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.11.2017 um 17:15 Uhr
Die pfSense blockt alles aus der DMZ ab.
WAS ist denn die DMZ ? Das 192.168.10.0er Segment ?
Wäre ja Blödsinn, denn das ist keine richtige DMZ. Oder ist das das Segment wo das NAS drin ist ??
Bitte warten ..
Mitglied: Everdt
14.11.2017 um 17:29 Uhr
Naja, aber somit hat er jetzt zumindest auf dem Schirm, dass die Pakete in jedem Fall über die IPFire "rutschen", da diese ja offensichtlich das Gateway für die DMZ ist, da die Kommunikation LAN-DMZ zunächst zu funktionieren scheint....
Naja vielleicht gibt's ja auch einen entsprechenden routing Eintrag auf dem Ubuntu... aber da würde ich jetzt mit Hinsicht auf den Kenntnisstand des TOs nicht drauf eingehen


Nun, als ursprünglicher Oracle DBA und nun Projektleiter ERP bin ich wohl in der IT Zuhause, aber wie du absolut richtig erkannt hast: definitiv nicht im Bereich Netzwerk

Aber ich stell mich aktuell echt doof an:
Wollt ihr mir sagen, dass ich auf der ipFire eine Route erstellen soll, um alle Pakete für das NAS an die WAN-Seite der pfSense zu schicken? Und dort dann die entsprechenden Ports öffnen?
Also: Ubuntu --> ipFire (Gateway) --> pfSense (192.168.10.2) (Ports offen) --> NAS

Naja vielleicht gibt's ja auch einen entsprechenden routing Eintrag auf dem Ubuntu... aber da würde ich jetzt mit Hinsicht auf den Kenntnisstand des TOs nicht drauf eingehen

Ich dachte, dass das eben nicht so sein soll, wie em-pie im ersten Post erklärt hat...?
Bitte warten ..
Mitglied: Everdt
14.11.2017 um 17:30 Uhr
Zitat von aqui:

Die pfSense blockt alles aus der DMZ ab.
WAS ist denn die DMZ ? Das 192.168.10.0er Segment ?
Wäre ja Blödsinn, denn das ist keine richtige DMZ. Oder ist das das Segment wo das NAS drin ist ??


Das versteh ich jetzt nicht. Wieso sollte das 192.168.10.0/24 Segment nicht die DMZ sein?
Bitte warten ..
Mitglied: em-pie
LÖSUNG 14.11.2017 um 17:41 Uhr
Kommst du denn aktuell irgendwie an die Ubuntu-Kiste dran (SSH)?
Wenn ja, mach mal ein traceroute auf das NAS vom Uuntu-Server aus.
Dann wissen wir schon mal, welchen Weg die Kiste geht

@aqui
in meinen Augen hat er doch genau eine DMZ abgegildet: https://www.elektronik-kompendium.de/sites/net/0907241.htm
Der Ubuntu-Server steht in der DMZ, das einzige, was er nur vor hat, ist von der DMZ aus einen Zugriff zur NAS zu ermöglichen.
Bitte warten ..
Mitglied: Everdt
14.11.2017 um 17:58 Uhr
Kommst du denn aktuell irgendwie an die Ubuntu-Kiste dran (SSH)?
Wenn ja, mach mal ein traceroute auf das NAS vom Uuntu-Server aus.
Dann wissen wir schon mal, welchen Weg die Kiste geht

Das geht alles. Anbei die Ergebnisse:
ifconfig - Klicke auf das Bild, um es zu vergrößern

traceroute_nas - Klicke auf das Bild, um es zu vergrößern

@aqui
in meinen Augen hat er doch genau eine DMZ abgegildet: https://www.elektronik-kompendium.de/sites/net/0907241.htm
Der Ubuntu-Server steht in der DMZ, das einzige, was er nur vor hat, ist von der DMZ aus einen Zugriff zur NAS zu ermöglichen.

Puh... und ich dachte schon ich hätte noch n grösseres Problem
Bitte warten ..
Mitglied: Dobby
LÖSUNG 14.11.2017 um 18:58 Uhr
Hallo,

also normaler weise baue ich hinter einen Router oder eine Firewall nur eine zweite wenn da niemand hinter
kommen soll und das zweite Netzwerk auch vom ersten mittels unterschiedlicher Firmware komplett
abgeschottet sein soll. Denn das erste Netzwerk kann dann entweder Ports geöffnet haben und es
können auch Protokolle weitergeleitet werden.

Wenn man so eine Dual Homed oder Bastion Host Sache aufsetzt dann auch alles in die DMZ rein was von
außen erreichbar sein soll. Also auch das NAS. Ansonsten einen Switch dahinter und einen in die DMZ Zone
rein und man spart sich gleich die zweite Firewall komplett auf zum spielen, üben oder als Ersatz oder gar
für einen HA Einsatz mit nur einer Firewall Software.

Gruß
Dobby
Bitte warten ..
Mitglied: Everdt
14.11.2017 um 22:13 Uhr
Hallo,

also normaler weise baue ich hinter einen Router oder eine Firewall nur eine zweite wenn da niemand hinter
kommen soll und das zweite Netzwerk auch vom ersten mittels unterschiedlicher Firmware komplett
abgeschottet sein soll. Denn das erste Netzwerk kann dann entweder Ports geöffnet haben und es
können auch Protokolle weitergeleitet werden.

Wenn man so eine Dual Homed oder Bastion Host Sache aufsetzt dann auch alles in die DMZ rein was von
außen erreichbar sein soll. Also auch das NAS. Ansonsten einen Switch dahinter und einen in die DMZ Zone
rein und man spart sich gleich die zweite Firewall komplett auf zum spielen, üben oder als Ersatz oder gar
für einen HA Einsatz mit nur einer Firewall Software.

Da geb ich dir grundsätzlich in allem Recht. Leider ist das "NAS" ein Storagesystem im 5-stelligen Eurobereich (ich habs gebraucht und sehr viel günstiger gekriegt), darum fällt das weg. Ich will den Nutzen unbedingt in der DMZ und im LAN haben.
Mal davon abgesehen, dass ich sonst noch ein zweites Storagegerät haben müsste, was zu teuer und auch unsinnig wäre.

Das Einzige, was eventuell möglich wäre:
Das Storagesystem hat mehrere physikalische Nics. Ich könnte natürlich einen davon ins vLan der DMZ und die anderen in das vLan intern hängen.

Aber: bei dieser Lösung verliere ich die Möglichkeit, den Durchsatz per LACP zu erhöhen....

btw:
Stell ich mich so schwierig an?
Ich dachte, dass das ein nicht all zu unübliches Problem ist und ich einfach nicht weiss wie. Langsam habe ich den Eindruck, dass meine Idee, wie das Problem zu lösen sei nicht dem Standart entspricht...
Bitte warten ..
Mitglied: Dobby
LÖSUNG 15.11.2017 um 02:14 Uhr
Hallo nochmal,

Da geb ich dir grundsätzlich in allem Recht. Leider ist das "NAS" ein Storagesystem im 5-stelligen Eurobereich
(ich habs gebraucht und sehr viel günstiger gekriegt), darum fällt das weg.
Ob billig oder teuer ist doch im Endeffekt egal oder? Es geht hier doch darum das man mittels einer (pfSense)
Firewall auch eine DMZ aufmachen kann, und die kann man auch noch mittels Snort oder Suricata gut absichern!

Und wenn man eine Dual Homed DMZ oder Router Kaskade anlegt, dann wird in der Regel und aus Sicherheitsgründen
dort kein Port geöffnet und auch kein Protokoll weitergeleitet, ansonsten ist das ganze Konstrukt völlig wertlos und
man wäre mit einem ordentlichen Switch und einer Firewall die ein LAN und eine DMZ bereit stellt wesentlich besser
oder übersichtlicher gefahren! Ist wie bei den Gefängnissen wo erst eine Tür bzw. ein Tor geöffnet wird und wenn das
dann wieder geschlossen wird, dann erst wir die zweite Tür oder das Tor geöffnet. Und wenn nun beide Türen oder
Tore zugleich geöffnet werden dann ist das Sicherheitspotential dieser "Schleuse" völlig wertlos! Eventuell erklärt
das meine Ablehnung an Dein Anliegen etwas besser.

Ich will den Nutzen unbedingt in der DMZ und im LAN haben.
Dann stelle ich das in die DMZ rein und kann aus dem LAN auch drauf zugreifen, fertig.

Mal davon abgesehen, dass ich sonst noch ein zweites Storagegerät haben müsste, was zu teuer und auch
unsinnig wäre.
Verstehe ich jetzt nicht so ganz, man kann auch mittels Linux und Jails arbeiten und dann ist das etwas besser
abgesichert, gar keine frage, ansonsten ist es immer besser alles was Kontakt zum Internet haben soll in die
DMZ zu stellen und alles was keinen Kontakt zum Internet haben soll in das LAN.

Das Einzige, was eventuell möglich wäre:
Das Storagesystem hat mehrere physikalische Nics. Ich könnte natürlich einen davon ins vLan der DMZ und
die anderen in das vLan intern hängen.
Stell Dir doch mal bitte vor dass Du die Tür abschließt und dann das Fenster und die Balkontür offen lässt!

Aber: bei dieser Lösung verliere ich die Möglichkeit, den Durchsatz per LACP zu erhöhen....
Das ist doch wieder eine ganz andere Sache.

btw:
Stell ich mich so schwierig an?
Ich denke heute ist das so, dass viele Leute sich selber mit der EDV/IT auseinander setzten müssen und dann
eben auch gerne einmal machen wollen was möglich ist, nur ob das eben immer Sinn macht ist eben eine andere
Frage. Ich kaufe zusätzlich keinen Sicherungsriegel für die Tür und lasse dann das Fenster auf!

Ich dachte, dass das ein nicht all zu unübliches Problem ist und ich einfach nicht weiss wie. Langsam habe
ich den Eindruck, dass meine Idee, wie das Problem zu lösen sei nicht dem Standart entspricht...
Standard hin oder her da kann man ja immer drüber diskutieren, und jeder macht es anders oder braucht es
anders, aber bei einigen Sachen gibt es früher oder später eben immer Probleme damit und dann ist das eben
sagen wir mal aus Erfahrung vorher besser jemandem davon abzuraten als später andere Probleme mit Ihm
zu lösen.

Ich würde heute gar keinen Port mehr am WAN öffnen wollen oder Protokolle weiterleiten, denn das ist einfach zu
gefährlich und man kann auch alles gut per VPN erreichen. und wenn dort etwas stehen muss oder soll, dann lieber
ein altes gebrauchtes NAS kaufen und dort alles drauf packen und wenn dem dann was passieren sollte ist das auch
kein Problem. Macht aber auch jeder anders, also nimm mir das nicht so "krumm", andere Leute haben auch andere
Meinungen dazu und dafür ist so ein Forum ja auch nicht schlecht!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
LÖSUNG 15.11.2017, aktualisiert um 09:08 Uhr
@em-pie
Eigentlich ist das nach Definition keine wirkliche DMZ.
Der gesamte Traffic des Client Segments an der pfSense plus der gesamte NAS Traffic gehen ja über dieses "DMZ" Segment. Eine wahre DMZ ist immer ein isoliertes Segment ohne Durchgangstraffic.
Sowas Gruseliges kann man dann nicht wirklich als DMZ bezeichnen, denn das ist Bastelkram aber sicher keine DMZ in dem Sinne..
Wenn überhaupt, dann müsste das Koppelsegment was die pfSense mit der ipFire verbindet eine isolierte Punkt zu Punkt Verbindung sein und die DMZ dann ein entsprechend gesichertes Segment was an der pfSense hängt wie Clients oder NAS.
Dann könnte man von einer DMZ sprechen.

Aber abgesehen davon klappt das natürlich auch so in diesem etwas gewöhnungsbedürftigen Design.
Mit den richtigen Regeln auf der pfSense ist da natürlich keine Tat das sofort zum Fliegen zu bringen.
Bitte warten ..
Mitglied: Everdt
15.11.2017 um 14:12 Uhr
Hallo Zusammen

Besten Dank für die bis jetzt eingegangenen Inputs und Beiträge.
Das Thema ist sehr interessant und die vielen Ansichten durchaus bereichernd.

Aber:
  • Ob es nun eine "echte DMZ" oder eine "dirty DMZ" ist, ist mir persönlich eigentlich egal, denn wichtig für mich ist nur, dass alle aus dem Internet erreichbaren Geräte nicht im LAN stehen. So wie dargestellt habe ich es im Studium gelernt und dieser Lösung vertraue ich.
  • Das Storagesystem in die DMZ stellen will ich nicht, da darauf auch Daten sind, welche nicht aus dem Internet erreichbar sein sollen und auch bei erfolgreicher Kompromittierung des Ubuntuservers maximal die Daten auf dem entsprechenden Share/Volume/iscsi gefährdet sind
  • Ein zweites, billiges NAS für die DMZ kommt aufgrund der Datenmenge (>10TB) nicht in Frage


Nun, um das ganze etwas zu vereinfachen eine Frage, unabhängig ob das so sinnvoll ist und/oder man es anders machen sollte:

Was muss ich wie und wo machen, um es genau so wie im ursprünglichen Post angefragt zu realisieren?
--> muss ich via ipFire zurück auf die pfSense oder nicht? welche Ports wo wie warum öffnen? usw....

Sobald ich das begriffen habe, kann ich mir auch Gedanken über andere Lösungen machen

Danke und Gruss
Everdt
Bitte warten ..
Mitglied: SlainteMhath
15.11.2017 um 14:23 Uhr
Am Ubuntu:
Route ins Netz 192.168.1.0/24 mit Gateway 192.168.10.2 eintragen

An der pfSense
Ziel-Ports 137/udp, 138/udp 139/tcp und 445/tcp freigeben von WAN/192.168.10.11 -> LAN/192.168.1.6

Das sollte eigentlich ausreichend sein, ausgehend davon, das auf der pfSense alles LAN -> WAN freigegeben ist.
Bitte warten ..
Mitglied: aqui
LÖSUNG 16.11.2017, aktualisiert um 10:32 Uhr
Statische Routen auf den Servern sollte man besserr vermeiden. Dort immer nur ein Default Gateway eintragen und die Route am Gateway selber eintragen. Router sollen routen
Also etwas abgewandelt und ausführlicher:

Am Ubuntu:
Default Route auf die IP Fire

Auf der IP Fire:
Statische Route ins Netz 192.168.1.0 /24 mit Gateway 192.168.10.2 (pfSense) eintragen

An der pfSense
Am WAN Port den Zugriff von RFC 1918 Netzen erlauben (Haken entfernen in Interfaces -> WAN -> Block Private and loopback networks )
Ziel-Ports 137/udp, 138/udp 139/tcp und 445/tcp freigeben von WAN/192.168.10.11 -> LAN/192.168.1.6 mit einer Regel am WAN Port
Achtung: Das klappt außschliesslich nur wenn das NAS die Session auf den Ubuntu Server initiiert. Also wenn das NAS ein entsprechedes Mapping aufbaut.
Soll es auch umgekehrt gehen das der Ubuntu Server eine Verbindung auf das NAS aufbauen kann musst du zwingend noch eine NAT 1:1 Regel erstellen, denn ansonsten bleibt der Unbuntu Verbindungsversuch an der NAT Firewall der pfSense hängen. Diese macht ja NAT am WAN Port.
Wenn diese Richtung Ubuntu -> NAS auch gewollt ist sollte man sinnvollerweise das NAT komplett deaktivieren auf dem WAN Port im pfSense Setup.

Das wars...damit klappt das auf Anhieb.
Bitte warten ..
Mitglied: Everdt
17.11.2017 um 08:44 Uhr
Zitat von aqui:
...
Das wars...damit klappt das auf Anhieb.

Vielen Dank, so hab ich es nun zum fliegen gebracht

An alle:
Besten Dank für die vielen Inputs und Vorschläge.
Ich habe mir etwas Gedanken dazu gemacht, was ich mal gelernt habe und was ich Kunden dauernd empfehle und musste feststellen, dass ich selbst gegen vieles davon verstosse

Nach langem probieren, nachdenken und lesen sieht meine Lösung nun wie folgt aus:

  • Ubuntu steht in der DMZ
  • Ein zweiter, kleinerer und billiger NAS-Speicher (Synology) steht auch in der DMZ
  • Das Storagesystem steht im LAN
  • Die pfSense (LAN-DMZ) ist auf WAN-Seite geschlossen und es wird nichts geroutet, geöffnet oder sonst etwas
  • Die Daten auf dem DMZ-NAS werden in der Nacht via cronjob AUS dem LAN heraus synchronisiert

Begründung:

  • Was aus dem Internet erreichbar ist gehört nicht ins LAN
  • Muss ich wirklich so viele Daten permanent aus dem Internet erreichbar haben? --> nach genauerer Analyse ist die Antwort NEIN und der Zusatz: das will ich eigentlich gar nicht
  • Storage in der DMZ würde bedeuten, dass Daten, welche nicht ins Internet gehören, trotzdem dort liegen würde --> NoGo
  • KISS

Somit nochmals Danke an alle und Thema geschlossen.

Gruss
Everdt
Bitte warten ..
Mitglied: aqui
17.11.2017, aktualisiert um 09:15 Uhr
so hab ich es nun zum fliegen gebracht
Glückwunsch !
was ich mal gelernt habe und was ich Kunden dauernd empfehle und musste feststellen, dass ich selbst gegen vieles davon verstosse
Einsicht ist der erste Weg zur Besserung !
ist auf WAN-Seite geschlossen und es wird nichts geroutet,
Du meinst den WAN Port, oder ? Aber das nix geroutet wird ist natürlich Unsinn. Die FW muss ja routen wenn irgendwelcher Traffic fliessen muss wie auch immer. Ohne Routing hättest du Stillstand.
War wohl eher ein Freudscher Versprecher
Letztlich sind aller alle deine Lösungsansätze absolut richtig und OK. Die Begründung umso mehr.
Fazit: Entspanntes Wochenende...
Bitte warten ..
Mitglied: Everdt
17.11.2017 um 09:43 Uhr
Du meinst den WAN Port, oder ? Aber das nix geroutet wird ist natürlich Unsinn. Die FW muss ja routen wenn irgendwelcher Traffic fliessen muss wie auch immer. Ohne Routing hättest du Stillstand.
War wohl eher ein Freudscher Versprecher

Es wird nichts von aussen reingelassen, was nicht von innen angefragt wurde. Kein Portöffnung, Weiterleitungen, usw.
Selbstverständlich wird nicht nichts geroutet (doppelte Verneinung am Freitag, jetzt wirds heftig )


Einsicht ist der erste Weg zur Besserung !

Man ist ja bemüht

Letztlich sind aller alle deine Lösungsansätze absolut richtig und OK. Die Begründung umso mehr.
Fazit: Entspanntes Wochenende...

Das wünsch ich dir auch.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst DMZ hinter LAN? (8)

Frage von Lars15 zum Thema Netzwerkmanagement ...

Netzwerke
DMZ aufbauen ESXi, Virtualisierung. (5)

Frage von Tiggr1994 zum Thema Netzwerke ...

LAN, WAN, Wireless
Verständnisfrage DMZ (11)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
Problem mit DLNA Server in DMZ (4)

Frage von haye81 zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (31)

Frage von McLion zum Thema Router & Routing ...

Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail (24)

Frage von ahstax zum Thema Visual Studio ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Windows Netzwerk
Netzwerk Neustrukturierung (15)

Frage von IT-Dreamer zum Thema Windows Netzwerk ...