unRAID - DMZ Aufbau

Nutze zwar kein unRaid und habe nix mit ner DMZ laufen, aber bzgl. Docker und Port exposen:

Du brauchst deine Ports aus nem Docker nur Exposen wenn dieser extern erreichbar sein muss, aber wenn du bspw. Nextcloud und mariaDB im gleichen Docker Netzwerk betreibst, dann erreichen die ihre Ports auch ohne Port Freigabe.
So habe ich es jedenfalls bei mir gelöst mit meinem OMV System.
Hier habe ich Nextcloud und mariaDB, jeweils als Docker, laufen und mariaDB hat keinen Port exposed. Beim Einrichten von Nextcloud trägst man ja die IP und den Port der mariaDB ein und da beide Docker im gleichen Netzwerk laufen und ich mariaDB ne feste IP verpasst habe, wird dies auch gefunden.

SOviel kurz zu dem Thema "Ports", zu deinem eigentlich Thema kann ich dir aber leider nicht helfen, sorry.

Ist das nicht einwenig wie mit Kanonen auf Spatzen schießen? Hänge alles in ein Subnetz und mit der Fritze richtest du Portfreigaben auf deinen Server ein. Aber auch nur die, die du wirklich benötigst. Zudem hast du bei diesem Setup auch ein Problem, andem ich gerade Rumtüftele.. Du willst Datentransfer über zwei Verschiedene Gateways machen. Das scheint nicht so Trivial zu sein und ist für das was du anscheinend möchtest auch gar nicht notwendig.

Ganz ehrlich? Mit FritzBoxen kommst du nicht weit. Damit das wirklich sauber funktionier brauchst ein richtiges FirewallSystem wie pfsense, opensense, sophos xg oder oder oder ...
damit hast du ganz einfach:

1. Anständige Netzwerktrennung mittels verschiedener NICs & VLAN
2. Anständigen DNS!
3. mehr Performance
4. kein doppel NAT

Wenn ich es richtig verstanden habe, willst du ja vom Heimnetz auf deine Serverdienste aber auch nur auf ausgewählte - geht über Portfreigaben bzw. Geregelte Zugriffe in Subnetze und/oder URL-Routing (mir fällt gerade der Begriff dafür nicht ein :D). Da sind die Fritzen mit dem Standard OS am Ende, mal abgesehen von der reinen Hardwareleistung ...

Mit Kanonen auf Spatzen geschossen? Nein, finde ich nicht! Da man ein Serversystem einsetzt mit immer mehr Diensten und sensiblen Daten sollte man sich auch als Privatperson über die Sicherheit und Verfügbarkeit Gedanken machen. Die Gefahren kommen nicht immer nur direkt aus dem Internet sondern viel öfter über Umwege - ein infizierten Client - im eigenen Netzwerk.

Bei mir gibt es bis Dato Daheim 4 getrennte Netze. Die Einrichtung war recht einfach und die Nutzung noch einfacher - weil keiner Merkt ob es verschiedene Netze sind oder nicht.

Schau Dir erstmal an was er da erreichen will.
ICH würde da den Server selber zur Firewall machen und auf die zweite Fritzbox verzichten. Dazu dann getrennte VMs für NAS und Serverdienste (Nextcloud).

Ich hab Null Plan was ein unRAID sein möchte und kann Wenn es damit geht, auch i.O.. Auch wenn ich das persönlich gerne Hardwaretechnisch trenne aber es ist völlig ok das so zu lösen, ja.
Eine kleine Firewall VM wäre natürlich perfekt. dann kannst du ein Teaming aus den 3 NICs machen und lässt alles VM intern regeln... viel zu einfach Manchmal sind es die Kleinigkeiten.

Ich würde das auch nicht mit zwei Frustboxen machen wollen.
Entweder was fertiges nehmen, wie z.B. ein Security Gateway von Ubiquiti (damit mache ich das heute) oder aber eine pfsense oder opensense einsetzen. Die könnte msn dann in der Tat direkt auf dem unraid laufen lassen. So habe ich es vor meinem Ubiquiti Netz gemacht.

Bedenken sollte man auch, dass der Aufbau mit einer DMZ nicht wirklich was zu tun hat. Wenn der Server mit einem Bein in der DMZ und mit dem anderen im LAN steht, ist das ganze Sicherheitskonzept bereits obsolet. In einer DMZ steht der gesamte Server in der DMZ und der Zugriff wird über die Firewall/den Router geregelt.

Zitat von kingbuzzzo

Bedenken sollte man auch, dass der Aufbau mit einer DMZ nicht wirklich was zu tun hat. Wenn der Server mit einem Bein in der DMZ und mit dem anderen im LAN steht, ist das ganze Sicherheitskonzept bereits obsolet.

Das sehe ich nicht so streng beim unraid.
Wenn man z.B. eine einzelne VM in die DMZ steckt und den Server an sich im LAN würde ich mir nicht sooo viel Sorgen machen. Der Ausbruch aus einer VM zu einer anderen bzw. Host sehe ich persönlich als theoretisches Konstrukt an.

Zitat von SkyBird1980

ICH würde da den Server selber zur Firewall machen und auf die zweite Fritzbox verzichten. Dazu dann getrennte VMs für NAS und Serverdienste (Nextcloud).

Zitat von BigChris

Ich würde das auch nicht mit zwei Frustboxen machen wollen.
Entweder was fertiges nehmen, wie z.B. ein Security Gateway von Ubiquiti (damit mache ich das heute) oder aber eine pfsense oder opensense einsetzen. Die könnte msn dann in der Tat direkt auf dem unraid laufen lassen. So habe ich es vor meinem Ubiquiti Netz gemacht.

Mich würde da jetzt interessieren wie ihr das mit unRAID und VM oder Docker als Firewall realisert habt

Ich hatte das vorher als ESXi laufen, bisher noch nicht im unraid.

Das muss aber ganz ähnlich gehen. Eine VM aufsetzen, der du dann die Netzwerkkarten zuweist und dann kommt der Rest von deinem Netz erst dahinter. Du kannst dir mal anschauen, was pfSense so macht und wie es an und für sich läuft. Die Umsetzung auf eine VM ist dann nicht mehr so schwierig denke ich.

Wenn du des englischen mächtig bist, wird Dir hier viel erklärt.

Das ist eine Serie für pfSense in einer VM auf unraid.

Cool danke
Hast du dich bei der Einrichtung an spezielle Videos gehalten ?

Nein, einfach gemacht
Ich hatte mit ipfire begonnen. Die fand ich verständlicher, ist allerdings etwas limitierter im Umfang.

Ok danke!

Zitat von hordesprime

oki doki erstmal danke für eure Infos. Ich werde dann mal schauen mit USG klingt recht interessant bzw pfsense mal antesten.

TC

Würde mich freuen wenn du dann Updates bringen würdest, interessiert mich nämlich auch

Zitat von BigChris

Ich hatte das vorher als ESXi laufen, bisher noch nicht im unraid.

Das muss aber ganz ähnlich gehen. Eine VM aufsetzen, der du dann die Netzwerkkarten zuweist und dann kommt der Rest von deinem Netz erst dahinter. Du kannst dir mal anschauen, was pfSense so macht und wie es an und für sich läuft. Die Umsetzung auf eine VM ist dann nicht mehr so schwierig denke ich.

Wenn du des englischen mächtig bist, wird Dir hier viel erklärt.

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Klicken Sie hier, um das externe Medium zu laden.

Das ist eine Serie für pfSense in einer VM auf unraid.

Ich kann der Anleitung im Video leider nicht folgen...
Habe mehrere Netzwerkkarten, jedoch alle vom gleichen Hersteller. Deswegen haben alle Ports die selbe ID

Welche ID meinst du genau?
Die müssen sich irgendwo unterscheiden, schau mal auf die MAC Adressen.

Bei dem Video sieht man folgendes:

Das sind die IDs die für das weitere Vorgehen genommen werden. Auf dem Bild sind zwei Unterschiedliche, für zwei Netzwerkkarten. Bei mir sind alle IDs die selben.

Das sind IDs für das Treiber-Subsystem. Bei zwei identischen Karten sind auch die ID:Sub-ID (Hersteller:Gerät) die selben.
https://pci-ids.ucw.cz/read/PC/8086/10bc