ok, versatanden. MD-Server hat zwei Netzwerkkarten. Aber physisch, oder?
wenn es direkt auf Hardware installiert ist ja (VLANs lassen sich pascom Seitig nicht mehr konfigurieren), wenn du es in der virtuellen Umgebung hast dann einfach eine weitere Netzerkkarte anlegen und in das gleiche (wohl einzig vorhandene) VLAN hängen. Verstehe die Frage leider nicht.
Das ist die 1. NIC am MD-Server. Wird in’s LAN eingesteckt und bekommt eine IP aus dem internen LAN.
möglich würde aber Serversystemen eine feste IP empfehlen, auch wenn du mit DHCP Reservierungen arbeitest.
und wo stecke ich das Kabel rein?
da du wohl keine VLANs an den Switchen nutzen einfach irgendwo in den Switch, wenn es also Hardware von uns ist mit zwei Netzwerkkarten dann einfach beide gerne in den gleichen Switch. Die interfaces bei uns werden nicht gebridged, es ensteht also kein Loop
ich habe es zum einfacheren Verständnis so beschrieben als wären es physische NIC’s und Kabel was nachher leicht auf die virtuelle Umgebung mit virtueller NIC und anbinden an die Bridge (Kabel) zu übertragen ist.
Ich habe auf dem Virtualisieruns-Host die Bridge br0 was das interne LAN darstellt und auch mit der physikalischen Netzwerkkarte die im LAN hängt verbunden ist. Alle VM’s die auf’s LAN zugreifen oder von dort angesprochen werden sind an diese Bridge angestöpselt. Daneben gibt es jetzt noch die br1. Daran ist die physische NIC die mit dem Glasfaser-Anschluss verbunden angebunden sowie die 2. virtuelle NIC der Firewall (und nur dies).
VLAN’s habe ich keine eingerichtet bzw. noch nie genutzt. Der hier physikalisch verbaute Switch kann dies aber.
Wenn ich nun eine VM mit MD aufsetze bekommt diese zwei virtuelle Adapter. Den ersten verbinde ich mit der br0 und die zweite? … Die Fragestellung ist immer gleich aber irgendwie kann ich da keine Antwort raus lesen.
Oder meinst Du ich brauche entweder eine DMZ was in dem Fall eine weitere br2 wäre oder ich richte statt dessen ein VLAN am Switch ein?
Nein, ich bin kein Beamter aber plane noch immer Ich werde nun vorher den IPFire der ja als VM auf dem Server läuft gegen PFSense auf physischer Hardware einrichten. In dem Server der PFSense bekommt sind ohnehin 4 NIC’s.
Da könnte ich doch ein echtes DMZ aufspannen und MD kommt dann mit einer Schnittstelle ins LAN und mit der anderen in die DMZ. Oder wäre das nicht sinnvoll?
die DMZ ist für Applikationen gedacht die von außen (als aus dem Internet) zugänglich sind, sei es Web- und Mail-Server oder die pascom.
Eigentlich sollte dann diese Applikation nicht im LAN direkt verbunden sein, ein Angreifer könnte sonst den Webserver kapern und direkt ins LAN zugreifen. Wenn der Webserver in der DMZ steht muss der Angreifer erst durch die Firewall um ins LAN zu kommen und hat nicht direkten Zugriff auf alle möglicherweise “unsicheren” Dienste im LAN.
Die pascom sollte in der DMZ stehen, die Telefone greifen nur auf die pascom zu, können also ins LAN. Das Telefon bekommt eine IP-Adresse aus dem LAN und nutzt das Gateway/pfsense um auf die pascom zuzugreifen.
Bei uns haben wir ein separates VLAN für die DMZ, die pfsense selbst ist ebenfalls virtualisiert, muss also nicht bare metal sein. Der Internetzugang hat natürlich ein eigenes VLAN und ist nur mit der pfsense verbunden.
dann ist es wohl tatsächlich besser die PFSense wie (im Moment den IPFire) als VM laufen zu lassen und mit VLAN’s zu arbeiten. Ich dachte nur bzw. meinte gehört zu haben dass man die Firewall besser auf physische Hardware bannt. Ich richte mal eine Testumgebung ein und installiere
Also wenn sich deine Switchports auf “Access / Edge” einstellen lassen sollte es nicht möglich sein aus dem VLAN auszubrechen, wie es bei einem eigenen Kabel sein sollte.
jetzt bin ich wieder verwirrt. Wenn doch alle beteiligten Systeme als VM laufen sind die VLAN’s doch auch virtuell d.h. am Virtulisierungs-Host geht: Bridge “LAN” → NIC → Switch und hier hängen alle internen Geräte dran. Auf dem physichen Switch brauche ich doch kein VLAN mehr?
Wenn es dedizierte NICs für Internet/WAN und LAN sind brauchst du keine VLANs.
Oft werden die Virtualisierungshosts mit Trunk-Ports am Netzwerk betrieben (Redundanz usw.), das WAN ist in diesem Fall in einem VLAN, genau wie LAN und andere Netze.
Ich muss nochmal nerven. Hat doch noch etwas gedauert, habe mich erst mal so weit wie möglich in VLAN und DMZ eingelesen. Daneben habe ich nun den Virtualisierungs-Host durch Proxmox erstetzt und als Firewall PFSense als VM eingerichtet.
Den Artikel:
habe ich auch gelesen und das Problem auch verstanden … hoffe ich.
Ich denke VLAN und DMZ lass ich erst mal raus um es einfacher zu halten.
Mein internen Netz hat ja 192.168.24.0/24, am Virtualisierungs-Host gibt es die Bridge br0 welche physisch mit dem LAN verbunden ist und alle VM’s die LAN-Zugriff brauchen sind an diese Bridge angebunden. Soweit, so unspannend.
Den MD installiere ich jetzt mit zwei virtuellen NIC’s die beide an die br0 kommen und konfiguriere diese wie im Artikel beschreiben mit zwei festen (unterschiedlichen) IP’s und gleichem Default-GW.
Noch eine Frage zum externen Zugriff bzw. dem beschriebenen Port-Forwarding. Muss allerdings etwas “ausholen” und hat im ersten Teil nichts mit MD zu tun … Damit ich unterschiedliche Server im LAN (Groupware, Cloud …) unter gleichem Port erreichen und dies mit vertrauenswürdigen Zertifikaten habe ich auf dem PFSense ACME (für LetsEncrypt) und den HA-Proxy eingerichtet. Was auch tadellos funktioniert.
Kann ich diesen genauso für MD nutzen wie bei den anderen Diensten? Also ich setze beim Hoster meiner Domain (All-Inkl) einen A-Record:
wobei 10.20.30.40 die feste WAN-IP des PFSense ist und leite am HA-Proxy dann alles was md.mydomain.de aufruft an die zweite (für Mobilzugriff definierte) NIC am MD weiter.
Ja das sollte so gehen wobei du den HA Proxy ja nur für Port 80 benötigst (acme).
Alle anderen Ports 5222/tcp, 30000-35000/udp, 8884/tcp solltest du aus meiner Sicht per DNAT machen.
Das Webfrontend der Pascom (443) aber auf jedenfall das Management (8443) sollte du auf keinen Fall von extern erreichbar machen
Ja, ACME auf der PFSense macht die ACME-Challange und legt den ACME-Token auf einem Webserver hinter der Firewall (LAN) am. Der HA-Proxy regelt das die LE-CA von extern auf diesen HTTP-Server zugreifen kann um den Token zu prüfen. da funktioniert ja bereits alles.
Ja, da hatte ich noch einen kleinen Denkfehler. Diese Ports werden nicht vom HA-Proxy behandelt sondern einfach per Port-Forwarding auf die MD-VM geleitet. Der Proxy kann ohnehin kein ankommendes UDP handeln (soweit ich weiß)
Ja, diese kann ich von extern erreichen indem ich vorher eine VPN-Verbindung aufbaue.
Du meinst damit das Feld “Schnittstellen-DNS-Name (FQDN)” ? Hier trage ich die IP der Schnittstelle (192.168.24.9) oder den FQHN (pbx01.mydomain.de) … also die externe Subdomain für welche beim Provider ein A-Record gesetzt wurde welcher auf die feste WAN-IP des lokalen PFSense zeigt … ein?
Ich habe mir gerade nochmal meine alten Notizen zur MD-Installation im UCS-Netz angeschaut. Für die DHCP-Server-Anpassung habe ich hier notiert die Option: tftp-server-name "http://192.168.X.7/provisioning/{mac}"
zu setzen. Also in meinem Fall die IP der LAN-NIC (192.168.24.8). Ist das noch aktuell? Ich habe da irgendwie noch eine andere DHCP-Option im Kopf die ich aber wohl nicht notiert habe.
Ich werde nun vorher den IPFire der ja als VM auf dem Server läuft gegen PFSense auf physischer Hardware einrichten. In dem Server der PFSense bekommt sind ohnehin 4 NIC’s.
… hoffe ich.