Hi,
ich bin gerade dabei mein Netzwerk etwas aufzuteilen bzw. sichere zu machen, auch wenn manche den Kopf schütteln, versuche ich das beste aus der mir gegebenen Infrastruktur zu machen.
Hier die Netzwerkstruktur
Die Beschreibung wird von oben nach unten gelesen.
Da ich kein Geld kein Platz und keine Möglichkeit habe eine extra Firewall aufzubauen um die Netzwerke voneinander zu trennen, versuche ich dies über extra Ethernetcontroller und iptables zu machen und so wenig angriffsmöglichkeiten wie möglich zu bieten.
DIe Fritzbox bezieht eine dynamische IP und löst den Hostnamen gegen einen DynDNS Dienst auf.
Alle Anfragen von aussen werden bis auf die gewollten an den Server über den Gastzugang(DMZ mit anderer Subnetz) weitergeleitet.
Alle Dienste auf dem Server die nicht vom Internet her gebraucht werden lauschen nicht auf diesem Ethernetanschluss und werden durch iptables blockiert.
Auf dem Server befinden sich folgende Dienste:
Von aussen sichtbar:
Apache2
Nur für Netzwerk 192.168.13.0/24
Samba4 mit AD
DHCP
Bind9
SSH
Der DHCP Server vergibt alle IP-Adressen nach MAC-Adresse im Heimnetzwerk.
Alle Namensanfragen übernimmt Bind.
Diese beiden sind so eingestellt damit sie mit Samba ein AD aufbauen.
Und da ich bei den IPTables sowohl eingehnden Verkehr als auch ausgehnden Verkehr kontrollieren kann, soll auch der Heimnetzwerkverkehr bald über den Server in die DMZ geleitet werden. Die Fritzbox dient in diesem Fall nur noch als Switch und Accesspoint.
Dann wären auch andere Erweiterungen wie ein Proxy möglich.
Aktuelle sieht die DHCP IP-Vergabe so aus
IP: aus dem 192.168.13.0/24 Bereich
netmask:255.255.255.0
DNS: 192.168.13.100
Gateway: 192.168.13.1
Damit ich aber nun auch im Urlaub oder aus der Uni auf die Dienste innerhalb des Heimnetzwerkes zugreifen kann und z.B. nicht SSH nach aussen hin öffnen muss, möchte ich eine VPN mit Strongswan aufbauen.
Was bisher funktioniert ist eine VPN von Client zu Server im Heimnetz.
Was nicht funktioniert ist ein Roadwarrior bei der ich die öffentliche IP angebe.
Der Client gibt mir folgende Fehlermeldung
Exopsed Host(Alle Ports weiterleiten)
und ipTables auf accept stellen hat nichts gebracht.
Ich habe die befürchtung das ich die Fritzbox als NAT noch einbeziehen muss in der Server Config.
Hier die Configdatei vom Client:
Hier die Configdatei vom Server:
Falls die Frage aufkommt warum nicht Freetz/FritzOS für VPN,DNS und DHCP:
Freetz auf der Fritzbox kommt aktuell nicht infrage, da ich damit bisher schlechte erfahrungen gemacht habe, ausserdem musste ich feststellen,
dass der DHCP Server der Fritzbox mit nicht so vielen Geräten klarkommt.
Bei einem 7 Peronenhaushalt wo jeder PC, Laptop, Smartpfone, Tablet, usw hat werden auf einmal keine IP-Adressen mehr vergeben, aussedem funktioniert die Funktion für feste Adressen nicht richtig. Ausserdem kann ich damit keine Virtuellen VPN Netzwerke aufbauen. Und den DNSServer brauche ich für Samba4.
Danke schon mal im vorraus.
Ich bitte um Entschuldigung falls es etwas unüberichtlich aussieht, aber ich habe versucht alle Informationen übersichtlich und gut darzustellen
Gruß
ich bin gerade dabei mein Netzwerk etwas aufzuteilen bzw. sichere zu machen, auch wenn manche den Kopf schütteln, versuche ich das beste aus der mir gegebenen Infrastruktur zu machen.
Hier die Netzwerkstruktur
Code:
Internet
|| öffentliche dynamische IP und dyndns
Fritzbox
(LAN4) (LAN1) (WLAN)
192.168.179.1 192.168.13.1 192.168.13.1
|| || (((O)))
192.168.179.100 192.168.13.100 192.168.13.11
(eth1) (eth0) (WLAN)
NAS/2nd Gateway/Server ClientDie Beschreibung wird von oben nach unten gelesen.
Da ich kein Geld kein Platz und keine Möglichkeit habe eine extra Firewall aufzubauen um die Netzwerke voneinander zu trennen, versuche ich dies über extra Ethernetcontroller und iptables zu machen und so wenig angriffsmöglichkeiten wie möglich zu bieten.
DIe Fritzbox bezieht eine dynamische IP und löst den Hostnamen gegen einen DynDNS Dienst auf.
Alle Anfragen von aussen werden bis auf die gewollten an den Server über den Gastzugang(DMZ mit anderer Subnetz) weitergeleitet.
Alle Dienste auf dem Server die nicht vom Internet her gebraucht werden lauschen nicht auf diesem Ethernetanschluss und werden durch iptables blockiert.
Auf dem Server befinden sich folgende Dienste:
Von aussen sichtbar:
Apache2
Nur für Netzwerk 192.168.13.0/24
Samba4 mit AD
DHCP
Bind9
SSH
Der DHCP Server vergibt alle IP-Adressen nach MAC-Adresse im Heimnetzwerk.
Alle Namensanfragen übernimmt Bind.
Diese beiden sind so eingestellt damit sie mit Samba ein AD aufbauen.
Und da ich bei den IPTables sowohl eingehnden Verkehr als auch ausgehnden Verkehr kontrollieren kann, soll auch der Heimnetzwerkverkehr bald über den Server in die DMZ geleitet werden. Die Fritzbox dient in diesem Fall nur noch als Switch und Accesspoint.
Dann wären auch andere Erweiterungen wie ein Proxy möglich.
Aktuelle sieht die DHCP IP-Vergabe so aus
IP: aus dem 192.168.13.0/24 Bereich
netmask:255.255.255.0
DNS: 192.168.13.100
Gateway: 192.168.13.1
Damit ich aber nun auch im Urlaub oder aus der Uni auf die Dienste innerhalb des Heimnetzwerkes zugreifen kann und z.B. nicht SSH nach aussen hin öffnen muss, möchte ich eine VPN mit Strongswan aufbauen.
Was bisher funktioniert ist eine VPN von Client zu Server im Heimnetz.
Was nicht funktioniert ist ein Roadwarrior bei der ich die öffentliche IP angebe.
Der Client gibt mir folgende Fehlermeldung
Code:
initiating IKE_SA home2[4] to 78.54.111.245
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from 192.168.13.11[500] to 78.54.111.245[500]
received packet: from 78.54.111.245[500] to 192.168.13.11[500]
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
local host is behind NAT, sending keep alives
remote host is behind NAT
received cert request for "C=DE, ST=Hamburg, O=Hackerzone, OU=VPN, CN=myhostname.dyndns.net"
sending cert request for "C=DE, ST=Hamburg, O=Hackerzone, OU=VPN, CN=myhostname.dyndns.net"
authentication of 'C=DE, ST=Hamburg, L=Hamburg, O=Hackerzone, OU=VPN, CN=Sascha-PC' (myself) with RSA signature successful
sending end entity cert "C=DE, ST=Hamburg, L=Hamburg, O=Hackerzone, OU=VPN, CN=Sascha-PC"
establishing CHILD_SA home2
generating IKE_AUTH request 1 [ IDi CERT CERTREQ IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
sending packet: from 192.168.13.11[4500] to 78.54.111.245[4500]
received packet: from 78.54.111.245[4500] to 192.168.13.11[4500]
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify errorExopsed Host(Alle Ports weiterleiten)
und ipTables auf accept stellen hat nichts gebracht.
Ich habe die befürchtung das ich die Fritzbox als NAT noch einbeziehen muss in der Server Config.
Hier die Configdatei vom Client:
Code:
# /etc/ipsec.conf - strongSwan IPsec configuration file
config setup
plutostart=no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
conn home
left=192.168.13.11
leftcert=Sascha-PC_cert.pem
leftid="/C=DE/ST=Hamburg/L=Hamburg/O=Hackerzone/OU=VPN/CN=Sascha-PC"
leftfirewall=yes
right=192.168.13.100
rightid="/C=DE/ST=Hamburg/L=Hamburg/O=Hackerzone/OU=VPN/CN=myhostname.dyndns.net"
auto=add
conn home2
left=%defaultroute
leftcert=Sascha-PC_cert.pem
leftid="/C=DE/ST=Hamburg/L=Hamburg/O=Hackerzone/OU=VPN/CN=Sascha-PC"
leftfirewall=yes
right=myhostname.dyndns.net
rightid="/C=DE/ST=Hamburg/L=Hamburg/O=Hackerzone/OU=VPN/CN=myhostname.dyndns.net"
auto=addHier die Configdatei vom Server:
Code:
# /etc/ipsec.conf - strongSwan IPsec configuration file
config setup
plutostart=no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
conn rw
left=192.168.13.100
leftcert=Nebula_cert.pem
leftid="/C=DE/ST=Hamburg/L=Hamburg/O=Hackerzone/OU=VPN/CN=myhostname.dyndns.net"
leftfirewall=yes
right=%any
auto=add
conn rw2
left=192.168.179.100
leftcert=Nebula_cert.pem
leftid="/C=DE/ST=Hamburg/L=Hamburg/O=Hackerzone/OU=VPN/CN=myhostname.dyndns.net"
leftfirewall=yes
right=%any
auto=addFalls die Frage aufkommt warum nicht Freetz/FritzOS für VPN,DNS und DHCP:
Freetz auf der Fritzbox kommt aktuell nicht infrage, da ich damit bisher schlechte erfahrungen gemacht habe, ausserdem musste ich feststellen,
dass der DHCP Server der Fritzbox mit nicht so vielen Geräten klarkommt.
Bei einem 7 Peronenhaushalt wo jeder PC, Laptop, Smartpfone, Tablet, usw hat werden auf einmal keine IP-Adressen mehr vergeben, aussedem funktioniert die Funktion für feste Adressen nicht richtig. Ausserdem kann ich damit keine Virtuellen VPN Netzwerke aufbauen. Und den DNSServer brauche ich für Samba4.
Danke schon mal im vorraus.
Ich bitte um Entschuldigung falls es etwas unüberichtlich aussieht, aber ich habe versucht alle Informationen übersichtlich und gut darzustellen
Gruß