HomeServer Sicherheit

[Cryx1n]

Servus,

Ich habe gestern einen Homeserver aufgesetzt mit Windows Server 2019.
Nun möchte ich eine Website hosten, sowie ein Spiele Server.
(Aktuell wird die Website über IONOS gehostet, wo ich mit Ubuntu 22.04 arbeite)


Dadurch, dass der Server im ganz normalen Heimnetzwerk hängt, möchte ich dass Netzwerk absichern, vor Gefahren usw.
Ich weiß viele (Wenn nicht alle) raten von sowas ab, dennoch möchte ich es ausprobieren.

Was würdet ihr machen um die Sicherheit des Netzwerkes so hoch, wie möglich zu halten?

Was ich bereits gehört habe sind Begriffe wie DMZ, VLAN.
Zudem würde es ausreichen eine FW als Software zu haben oder ist eine Hardwarebasierte FW minimum?

Warum möchte ich dass ganze machen?
Ganz einfach um Kosten zu sparen und da ich im 2. Ausbildungsjahr bin zum Fachinformatiker für Systemintegration, dadurch auch Erfahrung sammeln möchte.

Zur bestehenden Hardware:
- FRITZ!Box 6690 Cable Router
Server:

• i3 8100
• 32GB DDR4 RAM (3600 MHz)
• 1TB SSD
• 350 Watt Be Quiet Netzteil

Ich würde mich sehr über Hilfe freuen!
MfG Leon

 

[conf_t]

dass der Server im ganz normalen Heimnetzwerk hängt,

Ein absolutes NoNo, internet exponierte Komponenten haben nichts im regulären Heimnetzwerk zu suchen (aus Sicherheitssicht).

möchte ich dass Netzwerk absichern,

Bauste dir ne DMZ in die der Server kommt so ist dein Heimnetz vom Server getrennt, wenn der mal kompormietiert werden sollte. DMZ ohne eine Firewallfunktion auf Netzwerkebene, ist sinnfrei.

Ganz einfach um Kosten zu sparen

Falscher Anreiz, bei gleicher Sicherheit und Verfügbarkeit wirst du das zu Hause nicht billiger hinbekommen. Stichwort: Skaleneffekte

da ich im 2. Ausbildungsjahr bin zum Fachinformatiker für Systemintegration, dadurch auch Erfahrung sammeln möchte.

Dann vielleicht eher ein zweit Projekt, mit dem du übst? Webseite muss ja erst mal nichts können als "Hallo Welt" um das hosten zu "üben". Je simpler die Webseite, desto geringer die Angriffsfläche.

Ergänzung (1. November 2023)

- FRITZ!Box 6690 Cable Router

Joah, ambesten noch mit CGNAT? Dann wird das mit der Erreichbarkeit unter IPv4 nichts.

 

[Mojo1987]

Kabelanschluss wenn ich's richtig lese, daher sicher CGNAT, kannst du also komplett vergessen weil keine dedizierte IPv4 Adresse.

 

[SaxnPaule]

Joah, ambesten noch mit CGNAT? Dann wird das mit der Erreichbarkeit unter IPv4 nichts.

Kabelanschluss wenn ich's richtig lese, daher sicher CGNAT

Kommt doch auf die Region an

Sowohl in Sachsen (ehemelas KDG) als auch in Brandenburg hatte/habe ich mit meinem Kabelanschluss eine "feste" IP die sich nur sehr selten ändert.

Pauschalisierungen sind also, wie immer, Unfug.

OT: Ich würde den Server komplett vom Heimnetz trennen. Am einfachsten wäre ein zweiter Router hinter dem das Heimnetz hängt. Der Server hängt dann am ersten Router. So ist im "Fall der Fälle" zumindest das Heimnetz erstmal nicht direkt gefährdet.

 

[Dante2000]

Prinzipiell problemlos möglich. Auf dem Windows Server 2019 die Hyper-V Rolle aktivieren und dann eine Ubuntu Server VM installieren. Anschließend die VM entsprechend konfigurieren oder direkt mit Docker-Container arbeiten. Dazu dann noch Fail2Ban, SSH-Key only sowie UFW installieren und konfigurieren. Anschließend die Ports 80/443 (Je nachdem) in der Fritzbox freigeben.

Wichtig ist hier, das je nach IP-Anschluss deines Providers, dann noch ein DYNDNS per Fritzbox oder direkt mit dem Ubuntu Server gekoppelt wird, damit man von außen immer zuverlässig den Server aufrufen kann. Wenn du eine statische IP hast, kannst du auch direkt deine vorhandene Domain verwenden. Das ganze geht auch mit IPv6 - Zwar fummelige Arbeit, aber durchaus machbar.

Technisch auf jeden Fall machbar. Durch die Abkoppelung des ganzen in eine separate VM auch Sicherheitstechnisch kaum ein Thema.

 

[DFFVB]

Wie schon beschrieben sollte man sich das gut überlegen - DMZ ist das richtige Stichwort. Achtung: DMZ in den allermeisten Routern sind keien echten DMZ (logisch getrennte Netze), sondern forwarden einfach alles auf eine IP --> keine Trennung. Die kostengünstigste Variante wäre wohl ein zweiter Router hinter der FritzBox - und die Dinge da rein hängen, hat das Risiko, dass aus einem infizierten Netz in das Netz der FB zugegriffen werden könnte, daher lieber den Rechner an die FB und den zweiten Router das Heimnetz machen lassen.... Nur mit der Fritzbox wird das eng.

 

[Raijin]

Ich weiß viele (Wenn nicht alle) raten von sowas ab, dennoch möchte ich es ausprobieren.

Was würdet ihr machen um die Sicherheit des Netzwerkes so hoch, wie möglich zu halten?

Die Annahme ist vollkommen richtig und die Antwort auf die Frage lautet daher "Server nicht lokal hosten"

Ganz einfach um Kosten zu sparen

Das ist meistens eine Milchmädchenrechnung. Der Server zieht Strom und den musst du bezahlen. Gegebenenfalls schaffst du sogar Hardware dafür an oder ziehst sie evtl. von einem anderen sinnvollen Einsatzzweck ab. Angesichts dessen, dass eine Webseite heutzutage kaum etwas kostet, gibt es daher kaum Einsparungspotenzial. 20 Watt Verbrauch kosten etwa 5€ pro Monat bzw. 60€ pro Jahr. Dafür bekommt man easy eine gemietete Webseite bei einem beliebigen Webhoster. Auch Gameserver kann man für schmales Geld mieten, auch mit flexiblen Laufzeiten.

da ich im 2. Ausbildungsjahr bin zum Fachinformatiker für Systemintegration, dadurch auch Erfahrung sammeln möchte.

Das wiederum ist durchaus ein valider Grund. Allerdings rate ich dazu, Erfahrungen im Umgang mit solchen Themen zunächst offline zu sammeln. Wenn's dumm läuft, klopft schon nach wenigen Minuten der erste Portscanner an deine virtuelle Tür und wenn du dann noch nicht sichergestellt hast, dass dein Server sicher ist, fällt das Kind womöglich schneller in den Brunnen als dir lieb ist.

Was ich bereits gehört habe sind Begriffe wie DMZ, VLAN.

Davon gehört zu haben ist immerhin schon etwas, aber hilft nur wenig, wenn man mit diesen Begriffen noch nichts anzufangen weiß. Du machst gerade eine Ausbildung in diesem Bereich und deswegen solltest du auch schon im 2. Jahr einschätzen können, das gefährliches Halbwissen im Bereich der IT auch tatsächlich gefährlich werden kann. Wenn man Medizin studiert übt man auch keine OP am offenen Herzen eines lebenden Patienten.

Zudem würde es ausreichen eine FW als Software zu haben oder ist eine Hardwarebasierte FW minimum?

Eine DMZ ist stets physisch getrennt. Das heißt da sitzt eine HW-Firewall zwischen dem Server-Netz in der DMZ und dem Hauptnetzwerk. Die SW-Firewall des Servers selbst ist maximal eine zusätzliche Absicherung, hilft aber nicht, wenn der Server bereits gekapert wurde, weil der Angreifer dann einfach die Firewall abschalten kann.

Durch die Abkoppelung des ganzen in eine separate VM auch Sicherheitstechnisch kaum ein Thema.

Wie meinen? Wenn ein Angreifer administrativen Zugriff auf die VM erlangt - egal über welchen Angriffsvektor - sitzt er mitten im Netzwerk und kann allerhand Unfug treiben. Dazu muss er nicht mal aus der Sandbox der VM ausbrechen, um den Host anzugreifen, sondern kann dies gemütlich über das Netzwerk tun. Eine DMZ ist in solchen Fällen Pflicht, insbesondere, wenn man sich mit dem Thema Netzwerk- und Internetsicherheit auseinandersetzt. Man kann sicherlich auch die Netzwerkzugriffe der VM reglementieren, aber dazu braucht man auch die entsprechenden Kenntnisse.

 

[Dante2000]

Wie meinen? Wenn ein Angreifer administrativen Zugriff auf die VM erlangt - egal über welchen Angriffsvektor - sitzt er mitten im Netzwerk und kann allerhand Unfug treiben. Dazu muss er nicht mal aus der Sandbox der VM ausbrechen, um den Host anzugreifen, sondern kann dies gemütlich über das Netzwerk tun. Eine DMZ ist in solchen Fällen Pflicht, insbesondere, wenn man sich mit dem Thema Netzwerk- und Internetsicherheit auseinandersetzt. Man kann sicherlich auch die Netzwerkzugriffe der VM reglementieren, aber dazu braucht man auch die entsprechenden Kenntnisse.

Dazu gibt es mehrere Gegenargumente: Erstmal muss der potentielle Angreifer sich die Zeit nehmen, sich auf dein Ziel einzuschießen. Aktiviert man die sofortige Installation von Auto-Security Updates (Auf täglicher Basis), Fail2BAN, SSH-Key Only sowie UFW ist der Angriffsvektor auf fast Null gefallen.

Eine DMZ ist absolut überkandidelt für so ein Vorhaben. Wenn man es unbedingt möchte, haut man eine virtuelle / physische pfSense Firewall dazwischen - Dann kann man sich bei Bedarf problemlos eine virtuelle DMZ zimmern.

Die Installation der neusten Security Updates sowie die "Standard-Software" reicht in 99,99% aller Fälle aus. Potentielle Angreifer nutzen offene Sicherheitslücken, die im Regelfall schon länger bekannt und offen sind. Die "neusten" Sicherheitslücken werden in den seltensten Fällen ausgenutzt. Das A und O ist die Installation der neusten Patches so schnell wie nur möglich.

 

[DocWindows]

Ich habe gestern einen Homeserver aufgesetzt mit Windows Server 2019.
Nun möchte ich eine Website hosten, sowie ein Spiele Server.
(Aktuell wird die Website über IONOS gehostet, wo ich mit Ubuntu 22.04 arbeite)


Dadurch, dass der Server im ganz normalen Heimnetzwerk hängt, möchte ich dass Netzwerk absichern, vor Gefahren usw.
Ich weiß viele (Wenn nicht alle) raten von sowas ab, dennoch möchte ich es ausprobieren.

Was würdet ihr machen um die Sicherheit des Netzwerkes so hoch, wie möglich zu halten?

Ich nutze auf meinem Windows Server dazu die Hyper-V Rolle. Der Webserver ist eine VM auf dem Server der im Heimnetz hängt. Er ist mit einem virtuellen Adapter in einem eigenen Netz eingehängt, welches logisch vom Heimnetz getrennt ist (Private Virtual Network). Dazu habe ich noch eine OpnSense VM eingerichtet.

OpnSense hat 2 Netzwerkadapter. Einer der am normalen Heimnetzwerk hängt, einer hängt im Netz der Webserver-VM. Der Traffic der an den Webserver gehen soll (HTTPS z.B.), wird an die OpnSense geleitet und die leitet es wiederum an den Webserver im separaten Netz weiter.

Ich denke das ist für die Anwendung zu Hause ein guter Startpunkt den man durch Firewallregeln, usw. beliebig erweitern und verfeinern kann.

 

[Cryx1n]

Ich nutze auf meinem Windows Server dazu die Hyper-V Rolle. Der Webserver ist eine VM auf dem Server der im Heimnetz hängt. Er ist mit einem virtuellen Adapter in einem eigenen Netz eingehängt, welches logisch vom Heimnetz getrennt ist (Private Virtual Network).

Meinst du damit, dass du vom Heimnetzwerk, noch ein anderen Zugang eingerichtet hast, also eine Art "Gastnetzwerk"?

 

[DocWindows]

@Cryx1n Jein, ich leite per Forwarding im Router einfach den HTTPS Traffic an die IP weiter an der OpnSense hängt. Die ist quasi das Gateway in das separate Netz in dem der Webserver hängt.

Sagen wir mal das Heimnetz ist 192.168.10.0/24, der Router ist 192.168.10.1 und die OpnSense bekommt die 192.168.10.10.

Das virtuelle Netz wo der Webserver hängt bekommt das Netz 192.168.20.0/24.

Dann richte ich eine Forwarding-Regel auf dem Router ein in dem HTTPS komplett an die 192.168.10.10 geleitet wird.

OpnSense hat nun die Adapter 192.168.10.10 und 192.168.20.10
Der WWW-Server hat 192.168.20.20

OpnSense inspiziert den Netzwerktraffic und leitet HTTPS ankommen an 192.168.10.10, an die 192.168.20.20 weiter. Der Host-Server ist damit separiert im Heimnetz 192.168.10.0 und das ganze Netz hat nichts mehr mit ankommendem Internettraffic zu tun.

Um sowas nachzustellen müsstest du dich erstmal ein bißchen mit Hyper-V und den virtuellen Netzwerken beschäftigen. Besonders kompliziert ist es aber nicht.

Ich habe hier gerade kein Hyper-V installiert, aber VMWare. Da geht das auch. Heißt alles nur anders.



OpnSense würde demnach einen Bridged-Adapter erhalten, der ins physische Netz verbindet und einen Custom Network Adapter der ins Webserver-Netz verbindet.
Die Webserver-VM würde nur den Custom-Adapter bekommen. OpnSense muss nun den Traffic aus dem Bridged-Netz in das Custom Netz leiten und dafür sorgen, dass Traffic vom Custom Netz nicht ins lokale Netz gelangen kann, sondern nur zurück ins Internet, also an den Router.

Lizenztechnisch wäre das alles mit deiner Windows Server 2019 Lizenz übrigens kompatibel.. (Ich hoffe du hast eine Lizenz)
Windows Server 2019 Standard bringt 2 virtuelle Nutzungsrechte mit, sofern der Server nur als Hyper-V Maschine benutzt wird und nicht auch noch als Fileserver, DHCP, DNS oder sonstwas. Ist das der Fall reduziert sich das Ganze auf 1 virtuelles Nutzungsrecht.
Du kannst also lizenztechnisch den Windows Server 1x auf dem pyhsischen Server installieren und 2x als VM (oder 1x falls der physische Server noch was anderes tut außer Hyper-V). Alles mit dem gleichen Key.

 

[Chris_S04]

@Dante2000
99,9% reichen halt oft beim Thema Sicherheit nicht. Und selbst wenn man aktuelle Updates installiert und der Zugriff nur per HTTP(S) möglich ist, kann der dahinter liegende Webserver immer noch angegriffen werden, gerade bei Zero Days.

@Cryx1n
Nein, sowas ist kein Gastnetz. Man kann in Hyper-V (oder jedem anderen Hypervisor) virtuelle Netzwerkadapter/Switches anlegen, denen die Kommunikation mit anderen Netzen nicht möglich ist. Mit einer VM, die das Routing übernimmt und jeweils in beide Netze (hier eben dein Heimnetz und das Netz des Webservers) eine Verbindung hat, kann man hier eben Routen und Regelwerke erstellen, die diese Kommunikation wieder ermöglichen. Du leitest also die Ports 80/443 auf der FB auf die interne IP deiner "Routing VM" (z.B. pfSense, OpnSense, Sophos XG, etc.) weiter und dort eben auf den Webserver. Geht auch, ist aber nicht so ganz sauber, denn hier hängt ja logisch gesehen die DMZ "hinter" dem Heimnetz, weil man aus dem Internet die Aufrufe an die interne Adresse der FW leitet. Wie gesagt geht das, machen einige in Heimumgebungen auch so, aber richtig wäre es eigentlich das wirklich physisch zu trennen und eben das Heimnetz "hinter" die DMZ zu schieben, so dass alle Portweiterleitung der FB an die DMZ gehen.

Edit:
@DocWindows war schneller mit exzellenter Erklärung

 

[Mojo1987]

Sowohl in Sachsen (ehemelas KDG) als auch in Brandenburg hatte/habe ich mit meinem Kabelanschluss eine "feste" IP die sich nur sehr selten ändert.

Pauschalisierungen sind also, wie immer, Unfug.

Das es sich dennoch um CGNAT am Ende handeln kann, ist dir hoffentlich auch bewusst. Die Anzeige in Routern ist nur die halbe Wahrheit bei Kabelanschlüssen. Fakt ist auch, das praktisch nirgends mehr auf Kabelanbieterseiten Dual-Stack Anschlüsse zugeteilt werden, seit das groß davon in den Händen von VF ist.

Soviel zum Thema Pauschalisierungen.

 

[Cryx1n]

@Cryx1n Jein, ich leite per Forwarding im Router einfach den HTTPS Traffic an die IP weiter an der OpnSense hängt. Die ist quasi das Gateway in das separate Netz in dem der Webserver hängt.

Sagen wir mal das Heimnetz ist 192.168.10.0/24, der Router ist 192.168.10.1 und die OpnSense bekommt die 192.168.10.10.

Das virtuelle Netz wo der Webserver hängt bekommt das Netz 192.168.20.0/24.

Dann richte ich eine Forwarding-Regel auf dem Router ein in dem HTTPS komplett an die 192.168.10.10 geleitet wird.

OpnSense hat nun die Adapter 192.168.10.10 und 192.168.20.10
Der WWW-Server hat 192.168.20.20

OpnSense inspiziert den Netzwerktraffic und leitet HTTPS ankommen an 192.168.10.10, an die 192.168.20.20 weiter. Der Host-Server ist damit separiert im Heimnetz 192.168.10.0 und das ganze Netz hat nichts mehr mit ankommendem Internettraffic zu tun.

Um sowas nachzustellen müsstest du dich erstmal ein bißchen mit Hyper-V und den virtuellen Netzwerken beschäftigen. Besonders kompliziert ist es aber nicht.

Ich habe hier gerade kein Hyper-V installiert, aber VMWare. Da geht das auch. Heißt alles nur anders.

Anhang anzeigen 1415552

OpnSense würde demnach einen Bridged-Adapter erhalten, der ins physische Netz verbindet und einen Custom Network Adapter der ins Webserver-Netz verbindet.
Die Webserver-VM würde nur den Custom-Adapter bekommen. OpnSense muss nun den Traffic aus dem Bridged-Netz in das Custom Netz leiten und dafür sorgen, dass Traffic vom Custom Netz nicht ins lokale Netz gelangen kann, sondern nur zurück ins Internet, also an den Router.

Lizenztechnisch wäre das alles mit deiner Windows Server 2019 Lizenz übrigens kompatibel.. (Ich hoffe du hast eine Lizenz)
Windows Server 2019 Standard bringt 2 virtuelle Nutzungsrechte mit, sofern der Server nur als Hyper-V Maschine benutzt wird und nicht auch noch als Fileserver, DHCP, DNS oder sonstwas. Ist das der Fall reduziert sich das Ganze auf 1 virtuelles Nutzungsrecht.
Du kannst also lizenztechnisch den Windows Server 1x auf dem pyhsischen Server installieren und 2x als VM (oder 1x falls der physische Server noch was anderes tut außer Hyper-V). Alles mit dem gleichen Key.

Das hört sich sehr gut an!
Wenn ich das richtig verstehe, hat dein Router die IP Adresse 192.168.10.1 und dein Netzwerk 192.168.10.0.
Nur jetzt stell ich mir die Frage, wo da das Virtuelle Netzwerk ist. Dass ist dann nicht im Router eingestellt, sondern deine VM "OpnSense" hat die IP Adresse 192.168.10.20 zugewiesen bekommen oder?
Weil ich stell mir aktuell die Frage, ob ich dafür ein Virtuelles Netzwerk am Router selber einstellen muss?

OpnSense ist dann im Router und "generiert" ein Netzwerk bereich vom 192.168.20.0-255 oder? Also ein eigenes Netzwerk.

Zur Konfiguration:
Wenn ich alles richtig verstanden habe, nutzt du Windows Server 2019 als Server, wo zwei VMs drauflaufen, einmal OpnSense und einmal der Webserver richtig?

Ja Windows Server 2019 ist aktiviert.

 

[SaxnPaule]

@Mojo1987 Und das ich mich dennoch mit der im Router angezeigten IP von unterwegs in mein privates VPN einwählen kann ist dann was? Zufall?

Fakt ist auch, das praktisch nirgends mehr auf Kabelanbieterseiten Dual-Stack Anschlüsse zugeteilt werden, seit das groß davon in den Händen von VF ist.

Das mag vielleicht bei ganz neuen Verträgen so sein. Dennoch weißt du ja nicht, wie lange der Vertrag des TE besteht und ob überhaupt VF der Provider ist. Aber wenn du dir da sicher bist, dann reicht das ja. Deine Glaskugel funktioniert scheinbar besser als die aller anderen.

 

[DocWindows]

Nur jetzt stell ich mir die Frage, wo da das Virtuelle Netzwerk ist. Dass ist dann nicht im Router eingestellt, sondern deine VM "OpnSense" hat die IP Adresse 192.168.10.20 zugewiesen bekommen oder?
Weil ich stell mir aktuell die Frage, ob ich dafür ein Virtuelles Netzwerk am Router selber einstellen muss?

Das virtuelle Netzwerk ist rein in Hyper-V realisiert. Bis auf das Forwarding muss nichts im Router eingestellt werden.

Du erstellst in Hyper-V einen "virtuellen Switch". Entweder einen der direkt ans physische Netzwerk angeschlossen ist, einen der VMs + Hostsystem untereinander kommunizieren lässt, oder einen der nur VMs untereinander kommunizieren lässt. Letzteren würde ich für das Webserver-Projekt nehmen.

Wenn du dann die OpnSense VM und Webserver-VM erstellt hast, kannst du denen eine virtuelle Netzwerkkarte hinzufügen, die ihrerseits über den virtuellen Switch verbunden werden. Genauso wie in der physischen Welt. Weist du beiden Netzwerkkarten in den VMs dann IPs zu die im gleichen Netz liegen, können sie kommunizieren.

Für das alles gibts gut Dokus bei Microsoft, aber auch im Hyper-V Manager wird das erklärt.

 

[Rickmer]

Zum Thema - hat einer von euch Experten eine Einschätzung, wie viel Sicherheit man durch eine PFSense oder andere Firewall dazu gewinnen könnte, wenn bereits ein Nginx Proxy Manager dazwischen hängt?

Fakt ist auch, das praktisch nirgends mehr auf Kabelanbieterseiten Dual-Stack Anschlüsse zugeteilt werden, seit das groß davon in den Händen von VF ist.

Fakt ist, dass ich einen wunderbaren Dual Stack von Vodafone Kabel habe - und der Vertrag ist erst vom letzten Jahr.

Soviel zum Thema Pauschalisierungen.

Ja Windows Server 2019 ist aktiviert.

Warum 2019?

'Back in my day' (FiSi Ausbildung Anfang 2020 abgeschlossen) gabs über die Berufsschule kostenlose topaktuelle Keys von Microsoft. Kannst du nicht über die Berufsschule einen Hyper-V 2022 Datacenter Key erlangen?

 

[snaxilian]

PFSense oder andere Firewall dazu gewinnen könnte, wenn bereits ein Nginx Proxy Manager

Ja, nein, vielleicht. Lässt sich anhand dieser wenigen Infos nicht beurteilen. Macht die pfsense lediglich klassisches firewalling auf Layer 3 Ebene? Dann hast nur den Mehrwert, dass eben nur die explizit frei gegebenen Ports und Adressen erreichbar sind.
Oder macht die pfsense auch fail2ban, dann hast ein bisschen "brute force" Schutz. Weniger Last auf dem Webserver, dafür mehr Last auf der Firewall.
Zusätzliche WAF oder IDS/IPS aktiviert u.v.a. sinnvoll konfiguriert oder nicht?

Berufsschule kostenlose topaktuelle Keys von Microsoft

Ist absolut abhängig von der Schule/Träger. Ich kenne auch Berufsschulen da machst kostenlos während der Ausbildung den CCNA oder andere Schulungen/Zertifizierungen wobei MS Keys doch schon sehr verbreitet sein sollte.

@Cryx1n Ganz ehrlich? Lass es bzw. ändere dein Vorhaben ab. Lass die Webseite wo sie ist. Du kannst trotzdem lokal mit hyperV o.ä. dir deine Tests aufbauen aber eben lokal für dich erreichbar und nicht für jeden öffentlich. Lerne die Grundlagen was Netzwerke angeht, spiele mit Virtualisierung, Routing und Firewall herum aber eben für dich erreichbar.

 

[Cryx1n]

Entschuldigung, dass ich dich noch mal Störe.

Ich versuche es gerade auch so zu machen, wie es @DocWindows gemacht hat, jedocht stoße ich leider auf Probleme.
Könntet ihr mir dort eventuell helfen?

Problem:
Ich habe unter Hyper V Manager VT-LAN-12 und VT-WAN-1 erstellt, was auch funktioniert hat. (Habe auch noch das gleiche mit VT-LAN-11 gemacht).
Danach konnte ich auch problemlos OPNSense aufsetzen, wo ich auch direkt versucht habe alles zu Konfigurieren, jedoch leider Erfolglos. (Gateway / IP-Adresse)
Habe den VM Server, wo drüber gehostet werden soll, mit VT-LAN-12 angeschlossen, jedoch bekomme ich dort kein Netzzugang und kann nicht ins Internet, sowie Server Updates installieren.

Ich schicke dir hier mal ein paar Bilder, vielleicht sind die Schlüssiger als meine Schlechten Erklärungen😅.

Meine Einrichtung:

Virtuelle Switch Einstellung unter Hyper V Manager:
Name: VT-LAN-12
Verbindungs Typ: Internes Network

Name: VT-WAN-1
Verbindungs Typ: Externes Netzwerk (Realtalk PCIe GBE Family Controller)


OPNSense Einstellung (Von der Seite aus):
Schnittstellen Konfiguration:
Name: LAN 12
Blockiere private Netzwerke und Blockiere Bogon Netzwerke: Haken Entfernt
IPv4 Konfigurationstyp: Statische IPv4
IPv4 Adresse: 192.168.12.1/24
IPv4 Upstream Gateway: LAN12_GTW - 192.168.12.30

Gateway Konfiguration:
Name: LAN12_GTW
IP Adresse: 192.168.12.30


Ich würde mich sehr über eure Antwort freuen!
LG

 

[snaxilian]

Welches deiner Geräte hat denn die IP 192.168.12.30?
Warum hast du das fest konfiguriert und nicht auf AUTO stehen?

Wie sieht die Konfiguration von WAN1 in der opnsense aus?

Hast du entsprechend NAT, Routing und ggf. Firewallregeln zwischen LAN12 und WAN1 konfiguriert?

Habe den VM Server, wo drüber gehostet werden soll, mit VT-LAN-12 angeschlossen, jedoch bekomme ich dort kein Netzzugang und kann nicht ins Internet, sowie Server Updates installieren.

Naja bevor du hier los rennen kannst empfehle ich ja erst einmal das krabbeln und gehen zu lernen...
Was ist die (vollständige!) Ausgabe von

ip link

sowie

ip route

auf dem "VM Server", ausgeführt als root bzw. mit sudo?