Fritzbox Exposed Host, ja unsicher... Aber getrennt vom restlichen internen Netz?
Hallo zusammen. Wenn ich bsp. Ein Mikrotik Router als Exposed Host in der Fritz Firewall einstelle. Ist dieser dann erstmal natürlich unsicher und ich sollte in Mikrotik ne gute Firewall Config erstellen. Das ist mir mehr als Bewusst.
Die FRAGE ist nun. Ist der Mikrotiker Router nun in einem eigenen VLAN und Subnetz, getrennt von den restlichen Geräten hinter der Fritzbox? Also quasi eine DMZ?
Ich bin Fachinformatiker. Und privater langjähriger IT Bastler. Also bitte keine Sprüche dazu was man alles lassen sollte. Bitte einfach den Punkt beantworten. Die Fritzbox Beschreibung ist mir hier recht unpräzise. Und man hat hier leider im gegensatz zu einem Profi Router kaum Spielraum.
1 Antwort
Die FRAGE ist nun. Ist der Mikrotiker Router nun in einem eigenen VLAN und Subnetz, getrennt von den restlichen Geräten hinter der Fritzbox? Also quasi eine DMZ?
Nein. Wenn du die FritzBox als Exposed Host einrichtest, wird jegliche externe Anfrage an das ausgewählte Gerät geschickt. Dieses muss dann eine entsprechend starke Regelung für eingehenden Traffic haben, da es öffentlich im Internet steht.
Hierbei ist es WEDER in einer DMZ noch in einem anderen Subnetz. Dein Mikrotik-Router ist einfach nur ein Client im Subnetz der Fritzbox.
Ich hab das übrigens zur Zeit selbst ähnlich am laufen, nur mit einer OPNsense-Instanz anstatt eines Mikrotik-Routers.
Perfekt vielen vielen Dank. Endlich ne gute Antwort haha. Danke sehr und ein schönes Wochenende wünsche ich! :)
Eine Sache noch. Hast du ein Vorschlag wie ich denn dann eigentlich eine DMZ für meinen Rack Server hinter einer Fritzbox aufbaue idealerweise mit OPNsense oder Mikrotik? :)
Erstmal: Du solltest in der Fritzbox entsprechende statische Routen zu den Subnetzen des dahinterliegenden Routers einrichten. Optimalerweise deaktivierst du auch outbound NAT, um Double NAT zu verhinden.
Dann: Es kommt darauf an, ob es wirklich nur als DMZ dienen soll oder ob du damit mehrere Subnetze aufspannen willst, in welchen z.B. auch Endgeräte von dir hängen.
Nehmen wir der Einfachheit halber an, du hast nur den einen Server hinter dem Mikrotik-Router - in einem vom Mikrotik verwalteten Subnetz, welches anders ist als das Subnetz der Fritzbox.
Jetzt gibt es zwei Dinge anzuschauen:
1 - Eingehende Regeln
Hier solltest du optimalerweise nur das freigeben, was für den Betrieb des Servers nötig ist - z.B. Port 80 und 443 für einen Webserver.
Willst du auch vom Subnetz der Fritzbox darauf zugreifen und z.B. ohne Limitierungen Anfragen an den Server oder gar an das Subnetz dahinter schicken, solltest du noch eine Regel einrichten, die eben Traffic vom Subnetz der Fritzbox oder einem Client daraus entsprechend erlaubt.
Den Rest des eingehenden Traffics verbietest du.
2 - Ausgehende Regeln:
Es kommt ganz darauf an, was der Server können soll und zu was er Zugang braucht. Willst du z.B. den uneingeschränkten Internetzugang erlauben, aber den Zugriff auf das Netz der Fritzbox und andere private Subnetze verhindern, könntest du von den Regeln das so aufbauen:
- BLOCK Traffic to 10.0.0.0/8
- BLOCK Traffic to 172.16.0.0/12
- BLOCK Traffic to 192.168.0.0./16
- ALLOW Traffic to ANY
Damit wird jeder Traffic zu allen möglichen privaten Netzen laut RFC1918 unterbunden, der Rest erlaubt.
Ich weiß nicht, wie Mikrotik es handhabt, bei OPNsense wird standardmäßig die erste Regel genommen, die zutrifft - und der Rest eben nicht mehr behandelt
Das kannst du natürlich beliebig einschränken, z.B. DNS-Requests nur an von dir festgelegte Server, kein Internetzugang außer zu z.B. bekannten Update-Servern usw usw ...
.... Also du scheinst ja OPNsense hinter der Fritzbox laufen zu haben.
jo, genau das hab ich gesagt.
Darf ich fragen wozu?
Hinter der OPNSense hab ich zur Zeit fünf Subnetze aktiv:
- Management
- Trusted Devices
- Untrusted Devices
- internal Services
- external Services
Ich nutze das primär für meine Geräte, hoste aber auch ein paar externe Dienste (z.B. Minecraft-Server, Nextcloud usw).
Dass ich da meine eigene OPNsense hinter dem Netz der FritzBox stehen hab, hat ein paar Gründe:
- Ich nutze die OPNsense zum rumspielen, experimentieren, lernen - als Eingang zum "Homelab". Es ist meine Umgebung. Sollte ich etwas fehlkonfigurieren, behindere ich mich nur selbst und sonst niemanden im Haushalt
- Weitaus mehr Kontrolle über den Traffic. Möglichkeiten, VLANs und weitaus mehr Subnetze einzurichten sowie die Firewall-Regeln zwischen diesen zu verwalten.
Eine Sache noch. Hast du ein Vorschlag wie ich denn dann eigentlich eine DMZ für meinen Rack Server hinter einer Fritzbox aufbaue idealerweise mit OPNsense oder Mikrotik? :) .... Also du scheinst ja OPNsense hinter der Fritzbox laufen zu haben. Darf ich fragen wozu?