Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 26 replies
  • Subscribers 5 subscribers
  • Views 67510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Eigenen AP (Raspberry Pi 3) durch Sophos UTM schützen (Update: Sophos UTM und FB 7490 - So gehts)

Chris -

Moin moin!

Ich steh gerade auf der Leitung und brauche dringend Hilfe. Die Suche hab ich mehrfach bemüht, bin aber leider nicht wirklich schlauer geworden.


Vielleicht zunächst kurz, was ich vor habe:


Fritz!Box 7490 --> (WAN) --> UTM --> (LAN) --> Switch mit Desktop-PC, NAS, Raspberry Pi 3 als AP

Mein grundsätzliches Problem war und ist, dass ich auf die Fritzbox wegen VoIP-Telefonie nicht verzichten kann. Daher war meine Idee, einfach alle relevanten Geräte hinter die UTM (welche wiederum hinter der FB hängt) zu klemmen. Von meinem laienhaften Verständnis her müssten die "bösen Buben" dann erst mal durch die Fritzbox und dann noch durch die UTM. Das heisst aber konsequenterweise auch, dass ich die FB nicht länger als W-Lan Router benutzen kann, sondern hinter der UTM einen Access Point einrichten muss.

Mit ist klar, dass die einfachste Lösung ein AP aus dem Hause Sophos wäre (soweit kam ich schon mal durch die Suche), allerdings ist mir das im Moment zu teuer. Daher, als eingefleischter Maker, dacht ich mir, bau ich mir selbst einen: https://frillip.com/using-your-raspberry-pi-3-as-a-wifi-access-point-with-hostapd/

Kurzum:
Mein Raspberry fungiert aktuell als AP und verteilt fleissig im eigenen Netz IPs via DHCP. Dank NAT von wlan0 auf eth0 funktioniert das hinter der UTM prima. eth0 hat eine IP aus dem DHCP-Pool des internen Interfaces der UTM, wlan0 eine eigene in einem neuen Subnetz.

Das heisst aber auch, dass in der UTM nur eth0 des AP als neues Gerät auftaucht, nicht aber die mit dem AP verbundenen Geräte. Und genau das ist das Problem.

Wie genau muss ich die UTM bzw. meinen AP konfigurieren, damit ich die mit dem AP verbundenen Geräte mit eigenen Filtern versorgen kann (so möchte ich z.B., dass meine IoTs nur an eine IP funken dürfen, aber das Smartphone der Freundin alles darf) und sich gleichzeitig die ganze Chose in einem separaten Netz abspielt (damit die bösen Buben nicht mein WPA2 hacken und dann gleich in meinem LAN sind).

Geht das überhaupt?

Vielen Dank für eure Zeit vorab,

ein frustrierter Bastler



This thread was automatically locked due to age.
Parents
  • +1

    Hallo Chris,

    wegen Umstellung auf All-IP habe ich seit kurzem auch eine FB7490. (Vorher hat die UTM die Einwahl gemacht und 2 AP10 sorgten für WLAN)

    Jetzt macht die Fritzbox die Einwahl und reicht alles über Exposed Host an die UTM weiter. DHCP auf der FB ist ausgeschaltet.

    WAN -- Fritzbox -- LAN1 (192.168.168.1) ---- EXT (192.168.178.10 fest) -- UTM

    Auf der UTM wurde eine zusätzliche Adresse auf das externe Interface gelegt:
    Additional Address on Interface EXTERNAL mit 10.10.10.1 genannt FritzboxWLAN. Für dieses Netzwerk wurde DHCP eingerichtet.

    Meldet sich jetzt ein Gerät an der Fritzbox an (entweder LAN oder WLAN) bekommt es eine IP-Adresse aus dem 10.10.10.x-Raum und als Gateway die 10.10.10.1.

    Somit läuft der ganze Traffic über die UTM und Du kannst die Geräte so fein verwalten wie Du willst. Es ist ein eigenes Subnetz der UTM mit allen Möglichkeiten.

     

    cu
    Walter

  • 0 in reply to wk

    Moin Walter,

    danke schon mal! Ein paar Fragen hätt ich da noch...

    1) Die FB als Exposed Host wurde in anderen Beiträgen hier als Sicherheitsrisiko eingestuft, da dadurch jeder, der an der FB vorbei kommt, sofort in deinem lokalen LAN landet. Wie schätzt du das Risiko ein?

    2) Deinen Aufbau versteh ich im Moment noch nicht ganz. Ich hab dich so verstanden: Kabel aus LAN1 (FB) auf NIC der UTM (External WAN) mit fester IP aus dem FB-Netz (192.168.178.10). Dann Kabel aus zweitem NIC der UTM ins interne (Internal) Netz (Switch, PC, whatever) mit neuen Subnetz (192.168.168.1). Dann zusätzliches Interface auf das external WAN-NIC gelegt, mit ganz neuem Netz und eigenem DHCP (10.10.10.1). Wenn ich dich bis hierhin richtig verstanden habe, ergeben sich für mich zwei Fragen: Wie gibst du dem externen Interface zwei IPs? Das geht nur via Ethernet VLAN, oder? Und zweite Frage: Kann ich dann meinen internen DHCP für das Netz hinter der UTM weiterlaufen lassen?

    3) Verschiedene SSIDs/separate Netze lassen sich mit deiner Methode aber nicht realisieren, oder?

    Gerade wegen Punkt drei bin ich ja fast am überlegen, ob ich mir einfach ein paar mehr APs bastle, Raspberrys liegen hier genug rum :). Damit wäre auch das Eingangs skizzierte Problem gelöst. Statt einzelnen Rules für die angeschlossenen Geräte hätt ich dann für jedes Gerät nen eigenen AP...gut, zugegeben, effizient is was anderes :).

    Letzte Frage: Die Eintragung als Exposed Host brauch ich doch NUR, wenn Geräte, die direkt über die Fritzbox connecten, auch hinter die UTM wandern sollen, oder? So wie ich es jetzt habe, hängt ja schon alles hinter der FB (komplettes Heim-LAN).

     

    Vielen Dank für deine/eure Zeit,

    Gruß, 

    der Bastler mit Lichtblick

  • 0 in reply to Chris -

    Guten Abend Chris,

    alles kann ich Dir heute nicht mehr erklären, aber anfangen.

    zu 1:
    Ich nutze die Fritzbox in Bezug auf das Internet nur als eine Art Modem. Als Telefonzentrale ist sie voll in Funktion, aber für das Internet macht sie nur die Einwahl und gibt alles an den Exposed Host weiter. Dieser ist die UTM und daher eine starke Firewall, hinter der sich alles andere versteckt.

    Da die Fritzbox nicht von aussen administrierbar ist, nur eine feste innere IP (192.168.178.1) hat und keine Adressen per DHCP vergibt kann sie nur von einem PC im LAN mit fester Adresse im gleichen Subnetz verändert werden.

    zu 2:
    Ich glaube, Du hast mich richtig verstanden.

    Das anlegen einer 2. IP auf dem externen NIC geht ganz einfach. Unter "Interfaces & Routing"/"Interfaces" gibt es einen Reiter "Additional Addresses". Dort definierst Du eine neue Adresse auf dem externen Interface mit 10.10.10.1 und vergibst einen Namen.

    Dann gehst Du zu "Network Services"/"DHCP", nimmst einen neuen DHCP-Server und vergibst einen Nummernbereich für das neu angelegte Interface.

    Wenn sich jetzt ein Gerät mit DHCP-Client an der Fritzbox meldet (LAN oder WLAN) bekommt es eine IP auf dem 10.10.10.x-Netz. Die Fritzbox verhält sich hier wie ein Switch und keines dieser Geräte kann aus das 192.168.178.x-Netz von der Fritzbox wenn Du es nicht per Regel in der UTM freigibst. Genauso wenig kann jemand von aussen, wenn er es geschaft hat in das 192.168.178.x-Netz einzudringen, auf das 10.10.10.x-Netz zugreifen. Er muss durch die UTM.

    Dein interner DHCP-Server auf dem internen Interface ist von diesen Aktionen nicht beeinflusst und kann normal weiterlaufen.

    zu 3 kommen wir später, wenn Dich mein Aufbau überzeugt hat und Du es am laufen hast.

    Gute Nacht und viel Erfolg.

    cu
    Walter

  • 0 in reply to wk

    Ich hätt das Ding von Anfang an als Diskussion markieren sollen...durch den grünen Haken siehts so aus, als wäre schon alles gesagt.

    Ich bin kurz davor, deine Lösung auszuprobieren. Warte nur, bis die Freundin aus dem Haus ist...denn wenn ich das Internet am Handy versehentlich lahm lege, gibt es ordentlich Schelte.

    Melde mich wieder (und 3 interessiert mich immer noch :)).

Reply
  • 0 in reply to wk

    Ich hätt das Ding von Anfang an als Diskussion markieren sollen...durch den grünen Haken siehts so aus, als wäre schon alles gesagt.

    Ich bin kurz davor, deine Lösung auszuprobieren. Warte nur, bis die Freundin aus dem Haus ist...denn wenn ich das Internet am Handy versehentlich lahm lege, gibt es ordentlich Schelte.

    Melde mich wieder (und 3 interessiert mich immer noch :)).

Children
No Data
Unfiltered HTML