"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Getrenntes Netzwerk Webhosting? (Unifi Security Gateway hinter UPC Modem)

Lecithin 05.12.2020 - 13:37 2365 7
Posts

Lecithin

no half measures
Avatar
Registered: Aug 2005
Location: Wien
Posts: 585
Hallo allerseits!

Hier ist was ich erreichen will:
Einen Webserver auf meinem Raspberry Pi laufen lassen und diesen sicher(!) zugänglich machen aus dem Internet.

Was schon funktioniert:
Raspberry Pi mit Webserver aktualisiert einen DNS-Eintrag mit meiner aktuellen Internetadresse und mein UPC-Modem leitet auf den richtigen Port am Webserver weiter und die Webseite ist damit erreichbar.

Das Problem:
Der Raspberry Pi hängt im Netzwerk mit normalen Clients, d.h. ein potenzieller Einbruch auf den Webserver bringt andere Clients in Gefahr.


Mein aktuelles Setup:

UPC Modem mit aktivem Router
--> WiFi A (Notebooks, Mobile Phones, ...)
--> Lan Verbindung zu NAS
--> Lan Verbindung zu Raspberry Pi
--> Lan Verbindung zu Unifi Security Gateway

Unifi Security Gateway
<-- Wan: UPC Router
--> Lan1: Verbindung zu Access Point (WiFI B - Notebooks, Mobile Phones, ...)
--> Lan2: Nicht verbunden

Meine Idee wäre nun den Raspberry Pi ins Lan2 auf dem Security Gateway zu verschieben und ein Portforwarding von Modem auf den Security Gateway und von dort auf den Client in Lan2 einzurichten.


Bisher hab ich mich nur etwas damit herumgespielt aber das Network auf LAN2 scheint nicht in meinem Unifi Controller auf. Muss also noch weiter experimentieren. Gibts so etwas wie eine richtige Lösung für diesen Fall mit meinem Equipment? Ich weiß, dass ich in Zukunft die Routerfunktion vom UPC Modem ganz einstellen will aber dafür möchte ich auf die WiFi 6 AP von Ubiquiti warten und bis dahin benötige ich das WLAN des UPC Routers.

Freu mich auf Ideen und Vorschläge. Werde weitere Erkenntnisse gerne teilen, falls Interesse besteht.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48758
Eigentlich sollte bei dir das Modem an den USG, vom USG wird dann alles andere versorgt (sonst macht der USG keinen Sinn).

Das Modem kommt dann in den Bridge Modus und der USG übernimmt die Aufgabe als Router.

Am USG bekommt der RasPi dann ein eigenes Vlan das nur ins Internet darf und sonst nirgends hin. Dann kann von dort auch nicht ausgebrochen werden.

berndy2001

Komasäufer
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1931
Raspi einfach ans upc Modem (bridge mode) anstecken.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Zitat aus einem Post von berndy2001
Raspi einfach ans upc Modem (bridge mode) anstecken.
Wenn ich eine USG daheim hab, häng ich den Webserver nicht offen in eine quasi DMZ ins Internet. Schlechter Tipp imho.
Zitat aus einem Post von Viper780
Eigentlich sollte bei dir das Modem an den USG, vom USG wird dann alles andere versorgt (sonst macht der USG keinen Sinn).

Das Modem kommt dann in den Bridge Modus und der USG übernimmt die Aufgabe als Router.

Am USG bekommt der RasPi dann ein eigenes Vlan das nur ins Internet darf und sonst nirgends hin. Dann kann von dort auch nicht ausgebrochen werden.
This, abgesehen der Webserver muss noch auf eine andere Maschine zwecks Daten o.Ä., aber möglichst eingrenzen natürlich.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48758
Zitat aus einem Post von daisho
This, abgesehen der Webserver muss noch auf eine andere Maschine zwecks Daten o.Ä., aber möglichst eingrenzen natürlich.

Ja da kann man überlegen ob man den Zugriff von einer Maschine auf den Admin Port rein lässt (aber nicht vom Internet aus)

Sonst würd ich auch internen Traffic auf den Server immer übers Internet routen um ein mögliches ausbrechen zu verhindern

Lecithin

no half measures
Avatar
Registered: Aug 2005
Location: Wien
Posts: 585
Danke für die Antworten!

Ich kann auch nur zustimmen und weiß, dass alles hinter dem USG sein soll. Das werd ich angehen, sobald ich eben das UPC Router WiFi nicht mehr nutzen muss weil ein zusätzlicher Access Point die Abdeckung übernimmt. Der andere, existierende Access Point versorgt nämlich einen anderen Teil der Wohnung.

Bis dahin versuch ich das aktuelle Setup zum Laufen zu bekommen und versuch mal den RasPi wie vorgeschlagen in ein isoliertes VLAN zu geben.

Switch hätt ich noch einen Nicht-Ubiquiti daheim. Wie denkt ihr dazu? Sollte es einer von Ubiquiti sein oder reicht irgendein nicht-gemanagter Switch?

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48758
Kommt drauf an wie du das Vlan Konzept umsetzen willst.

Prinzipiell reicht ein einfacher, unmanaged switch.

Lecithin

no half measures
Avatar
Registered: Aug 2005
Location: Wien
Posts: 585
Hab mich nun doch für den Unifi Managed Switch 8Port 60Watt entschieden. Damit hab ich auch die ganze Hardware, um die ursprüngliche Idee möglichst sicher umzusetzen.

Hab zwei Netzwerk geschaffen: Lan (Privat) und Lab (Raspberry Pi mit Webserver).
So sehen meine Firewall-Regeln aus:
- Kein Lab -> Lan, außer 22, 80, 443, falls "established" oder "related"
- Kein Lan -> Lab, außer 22, 80, 443

Rules im Controller:
click to enlarge

Zusätzlich gibts noch ein Port Forwarding von WAN nach Raspberry Pi im Lab Netzwerk für Port 80 und Port 443. Dort läuft dann ein Caddy-Webserver und leitet nochmal an die tatsächliche Webanwendung weiter.
Bearbeitet von Lecithin am 16.01.2021, 00:56
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz