Getrenntes Netzwerk Webhosting? (Unifi Security Gateway hinter UPC Modem)

Lecithin

no half measures

Registered: Aug 2005
Location: Wien
Posts: 585

05.12.2020 - 13:37

Hallo allerseits!

Hier ist was ich erreichen will:
Einen Webserver auf meinem Raspberry Pi laufen lassen und diesen sicher(!) zugänglich machen aus dem Internet.

Was schon funktioniert:
Raspberry Pi mit Webserver aktualisiert einen DNS-Eintrag mit meiner aktuellen Internetadresse und mein UPC-Modem leitet auf den richtigen Port am Webserver weiter und die Webseite ist damit erreichbar.

Das Problem:
Der Raspberry Pi hängt im Netzwerk mit normalen Clients, d.h. ein potenzieller Einbruch auf den Webserver bringt andere Clients in Gefahr.

Mein aktuelles Setup:

UPC Modem mit aktivem Router
--> WiFi A (Notebooks, Mobile Phones, ...)
--> Lan Verbindung zu NAS
--> Lan Verbindung zu Raspberry Pi
--> Lan Verbindung zu Unifi Security Gateway

Unifi Security Gateway
<-- Wan: UPC Router
--> Lan1: Verbindung zu Access Point (WiFI B - Notebooks, Mobile Phones, ...)
--> Lan2: Nicht verbunden

Meine Idee wäre nun den Raspberry Pi ins Lan2 auf dem Security Gateway zu verschieben und ein Portforwarding von Modem auf den Security Gateway und von dort auf den Client in Lan2 einzurichten.

Bisher hab ich mich nur etwas damit herumgespielt aber das Network auf LAN2 scheint nicht in meinem Unifi Controller auf. Muss also noch weiter experimentieren. Gibts so etwas wie eine richtige Lösung für diesen Fall mit meinem Equipment? Ich weiß, dass ich in Zukunft die Routerfunktion vom UPC Modem ganz einstellen will aber dafür möchte ich auf die WiFi 6 AP von Ubiquiti warten und bis dahin benötige ich das WLAN des UPC Routers.

Freu mich auf Ideen und Vorschläge. Werde weitere Erkenntnisse gerne teilen, falls Interesse besteht.

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49897

05.12.2020 - 13:41

Eigentlich sollte bei dir das Modem an den USG, vom USG wird dann alles andere versorgt (sonst macht der USG keinen Sinn).

Das Modem kommt dann in den Bridge Modus und der USG übernimmt die Aufgabe als Router.

Am USG bekommt der RasPi dann ein eigenes Vlan das nur ins Internet darf und sonst nirgends hin. Dann kann von dort auch nicht ausgebrochen werden.

berndy2001

Registered: Feb 2003
Location: Vienna
Posts: 2009

05.12.2020 - 14:16

Raspi einfach ans upc Modem (bridge mode) anstecken.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19688

05.12.2020 - 14:43

Zitat aus einem Post von berndy2001
Raspi einfach ans upc Modem (bridge mode) anstecken.

Wenn ich eine USG daheim hab, häng ich den Webserver nicht offen in eine quasi DMZ ins Internet. Schlechter Tipp imho.

Zitat aus einem Post von Viper780
Eigentlich sollte bei dir das Modem an den USG, vom USG wird dann alles andere versorgt (sonst macht der USG keinen Sinn).

Das Modem kommt dann in den Bridge Modus und der USG übernimmt die Aufgabe als Router.

Am USG bekommt der RasPi dann ein eigenes Vlan das nur ins Internet darf und sonst nirgends hin. Dann kann von dort auch nicht ausgebrochen werden.

This, abgesehen der Webserver muss noch auf eine andere Maschine zwecks Daten o.Ä., aber möglichst eingrenzen natürlich.

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49897

05.12.2020 - 15:20

Zitat aus einem Post von daisho
This, abgesehen der Webserver muss noch auf eine andere Maschine zwecks Daten o.Ä., aber möglichst eingrenzen natürlich.

Ja da kann man überlegen ob man den Zugriff von einer Maschine auf den Admin Port rein lässt (aber nicht vom Internet aus)

Sonst würd ich auch internen Traffic auf den Server immer übers Internet routen um ein mögliches ausbrechen zu verhindern

Lecithin

no half measures

Registered: Aug 2005
Location: Wien
Posts: 585

05.12.2020 - 15:35

Danke für die Antworten!

Ich kann auch nur zustimmen und weiß, dass alles hinter dem USG sein soll. Das werd ich angehen, sobald ich eben das UPC Router WiFi nicht mehr nutzen muss weil ein zusätzlicher Access Point die Abdeckung übernimmt. Der andere, existierende Access Point versorgt nämlich einen anderen Teil der Wohnung.

Bis dahin versuch ich das aktuelle Setup zum Laufen zu bekommen und versuch mal den RasPi wie vorgeschlagen in ein isoliertes VLAN zu geben.

Switch hätt ich noch einen Nicht-Ubiquiti daheim. Wie denkt ihr dazu? Sollte es einer von Ubiquiti sein oder reicht irgendein nicht-gemanagter Switch?

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49897

05.12.2020 - 15:47

Kommt drauf an wie du das Vlan Konzept umsetzen willst.

Prinzipiell reicht ein einfacher, unmanaged switch.

Lecithin

no half measures

Registered: Aug 2005
Location: Wien
Posts: 585

16.01.2021 - 00:45

Hab mich nun doch für den Unifi Managed Switch 8Port 60Watt entschieden. Damit hab ich auch die ganze Hardware, um die ursprüngliche Idee möglichst sicher umzusetzen.

Hab zwei Netzwerk geschaffen: Lan (Privat) und Lab (Raspberry Pi mit Webserver).
So sehen meine Firewall-Regeln aus:
- Kein Lab -> Lan, außer 22, 80, 443, falls "established" oder "related"
- Kein Lan -> Lab, außer 22, 80, 443

Rules im Controller:

Zusätzlich gibts noch ein Port Forwarding von WAN nach Raspberry Pi im Lab Netzwerk für Port 80 und Port 443. Dort läuft dann ein Caddy-Webserver und leitet nochmal an die tatsächliche Webanwendung weiter.

screenshot-2021-01-16-at-00-40-16_249375.png (downloaded 2x)

Bearbeitet von Lecithin am 16.01.2021, 00:56

Lecithin no half measures Registered: Aug 2005 Location: Wien Posts: 585	05.12.2020 - 13:37 Hallo allerseits! Hier ist was ich erreichen will: Einen Webserver auf meinem Raspberry Pi laufen lassen und diesen sicher(!) zugänglich machen aus dem Internet. Was schon funktioniert: Raspberry Pi mit Webserver aktualisiert einen DNS-Eintrag mit meiner aktuellen Internetadresse und mein UPC-Modem leitet auf den richtigen Port am Webserver weiter und die Webseite ist damit erreichbar. Das Problem: Der Raspberry Pi hängt im Netzwerk mit normalen Clients, d.h. ein potenzieller Einbruch auf den Webserver bringt andere Clients in Gefahr. Mein aktuelles Setup: UPC Modem mit aktivem Router --> WiFi A (Notebooks, Mobile Phones, ...) --> Lan Verbindung zu NAS --> Lan Verbindung zu Raspberry Pi --> Lan Verbindung zu Unifi Security Gateway Unifi Security Gateway <-- Wan: UPC Router --> Lan1: Verbindung zu Access Point (WiFI B - Notebooks, Mobile Phones, ...) --> Lan2: Nicht verbunden Meine Idee wäre nun den Raspberry Pi ins Lan2 auf dem Security Gateway zu verschieben und ein Portforwarding von Modem auf den Security Gateway und von dort auf den Client in Lan2 einzurichten. Bisher hab ich mich nur etwas damit herumgespielt aber das Network auf LAN2 scheint nicht in meinem Unifi Controller auf. Muss also noch weiter experimentieren. Gibts so etwas wie eine richtige Lösung für diesen Fall mit meinem Equipment? Ich weiß, dass ich in Zukunft die Routerfunktion vom UPC Modem ganz einstellen will aber dafür möchte ich auf die WiFi 6 AP von Ubiquiti warten und bis dahin benötige ich das WLAN des UPC Routers. Freu mich auf Ideen und Vorschläge. Werde weitere Erkenntnisse gerne teilen, falls Interesse besteht.
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49897	05.12.2020 - 13:41 Eigentlich sollte bei dir das Modem an den USG, vom USG wird dann alles andere versorgt (sonst macht der USG keinen Sinn). Das Modem kommt dann in den Bridge Modus und der USG übernimmt die Aufgabe als Router. Am USG bekommt der RasPi dann ein eigenes Vlan das nur ins Internet darf und sonst nirgends hin. Dann kann von dort auch nicht ausgebrochen werden.
berndy2001 Registered: Feb 2003 Location: Vienna Posts: 2009	05.12.2020 - 14:16 Raspi einfach ans upc Modem (bridge mode) anstecken.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19688	05.12.2020 - 14:43 Zitat aus einem Post von berndy2001 Raspi einfach ans upc Modem (bridge mode) anstecken. Wenn ich eine USG daheim hab, häng ich den Webserver nicht offen in eine quasi DMZ ins Internet. Schlechter Tipp imho. Zitat aus einem Post von Viper780 Eigentlich sollte bei dir das Modem an den USG, vom USG wird dann alles andere versorgt (sonst macht der USG keinen Sinn). Das Modem kommt dann in den Bridge Modus und der USG übernimmt die Aufgabe als Router. Am USG bekommt der RasPi dann ein eigenes Vlan das nur ins Internet darf und sonst nirgends hin. Dann kann von dort auch nicht ausgebrochen werden. This, abgesehen der Webserver muss noch auf eine andere Maschine zwecks Daten o.Ä., aber möglichst eingrenzen natürlich.
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49897	05.12.2020 - 15:20 Zitat aus einem Post von daisho This, abgesehen der Webserver muss noch auf eine andere Maschine zwecks Daten o.Ä., aber möglichst eingrenzen natürlich. Ja da kann man überlegen ob man den Zugriff von einer Maschine auf den Admin Port rein lässt (aber nicht vom Internet aus) Sonst würd ich auch internen Traffic auf den Server immer übers Internet routen um ein mögliches ausbrechen zu verhindern
Lecithin no half measures Registered: Aug 2005 Location: Wien Posts: 585	05.12.2020 - 15:35 Danke für die Antworten! Ich kann auch nur zustimmen und weiß, dass alles hinter dem USG sein soll. Das werd ich angehen, sobald ich eben das UPC Router WiFi nicht mehr nutzen muss weil ein zusätzlicher Access Point die Abdeckung übernimmt. Der andere, existierende Access Point versorgt nämlich einen anderen Teil der Wohnung. Bis dahin versuch ich das aktuelle Setup zum Laufen zu bekommen und versuch mal den RasPi wie vorgeschlagen in ein isoliertes VLAN zu geben. Switch hätt ich noch einen Nicht-Ubiquiti daheim. Wie denkt ihr dazu? Sollte es einer von Ubiquiti sein oder reicht irgendein nicht-gemanagter Switch?
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49897	05.12.2020 - 15:47 Kommt drauf an wie du das Vlan Konzept umsetzen willst. Prinzipiell reicht ein einfacher, unmanaged switch.
Lecithin no half measures Registered: Aug 2005 Location: Wien Posts: 585	16.01.2021 - 00:45 Hab mich nun doch für den Unifi Managed Switch 8Port 60Watt entschieden. Damit hab ich auch die ganze Hardware, um die ursprüngliche Idee möglichst sicher umzusetzen. Hab zwei Netzwerk geschaffen: Lan (Privat) und Lab (Raspberry Pi mit Webserver). So sehen meine Firewall-Regeln aus: - Kein Lab -> Lan, außer 22, 80, 443, falls "established" oder "related" - Kein Lan -> Lab, außer 22, 80, 443 Rules im Controller: Zusätzlich gibts noch ein Port Forwarding von WAN nach Raspberry Pi im Lab Netzwerk für Port 80 und Port 443. Dort läuft dann ein Caddy-Webserver und leitet nochmal an die tatsächliche Webanwendung weiter. screenshot-2021-01-16-at-00-40-16_249375.png (downloaded 2x) Bearbeitet von Lecithin am 16.01.2021, 00:56

Getrenntes Netzwerk Webhosting? (Unifi Security Gateway hinter UPC Modem)

Forum Index > Hardware > Peripherie > Netzwerktechnik

Lecithin

Viper780

berndy2001

daisho

Viper780

Lecithin

Viper780

Lecithin