{"id":3846,"date":"2013-12-16T08:29:03","date_gmt":"2013-12-16T07:29:03","guid":{"rendered":"https:\/\/www.bdjl.de\/localhost\/?p=3846"},"modified":"2013-12-16T12:11:24","modified_gmt":"2013-12-16T11:11:24","slug":"netzwerksetup-fr-homeserver-nxt","status":"publish","type":"post","link":"https:\/\/www.bdjl.de\/localhost\/?p=3846","title":{"rendered":"Netzwerksetup f&uuml;r Homeserver NXT"},"content":{"rendered":"<p>Die ID88 bringt <a href=\"https:\/\/www.bdjl.de\/localhost\/?tag=homeserver-nxt\">wie bereits geschildert<\/a> zwei Netzwerkschnittstellen mit, die dann an die virtuellen Maschinen durchgereicht werden m\u00fcssen. Damit dies reibungslos funktioniert und auch die Zusammenarbeit mit dem Router (hier: Fritzbox) klappt, kann man wie folgt vorgehen, um sich eine virtualisierte Firewall zu installieren:<\/p>\n<p>In der Fritzbox wird der DHCP abgeschaltet. Die IP f\u00fcr den Host \/ den Homeserver wird auf dessen nach Au\u00dfen \/ zum Router zeigendem \/ rotem Interface h\u00e4ndisch vergeben. In meinem Fall w\u00e4re das eth1 auf dem Host.<\/p>\n<ul>\n<li>Der Router hat die IP 192.168.2.1 und nutzt eine Netzmaske 255.255.255.0<\/li>\n<li>Das vom Host zum Router zeigende Interface erh\u00e4lt im folgenden Beispiel die IP 192.168.2.200<\/li>\n<\/ul>\n<p>Auf dem nach Innen \/ zum Heimnetz zeigenden \/ gr\u00fcnen Interface des Hosts \/ Homeservers (in meinem Fall eth0) ben\u00f6tigt man eine Bridge, damit alle virtuellen Maschinen im internen Netz mit ihren eigenen MACs (und damit sp\u00e4ter auch ihren eigenen IP-Adressen) auftauchen k\u00f6nnen. Hier ist die IP der Bridge auf dem Host nicht mehr als die IP eines Switches &#8211; die IP Adresse des Gastes wird im Gast selbst festgelegt.<\/p>\n<ul>\n<li>Nach Innen erh\u00e4lt der Host die IP 10.16.1.100 (eingestellt auf dessen Bridge br0 und nicht auf eth0. Eth0 auf dem Host bleibt komplett unkonfiguriert)<\/li>\n<li>Das Heimnetz selbst ist ein 10.16er Netz mit Netzmaske 255.255.0.0 oder\u00a0 10.16.0.0\/16 (damit bekomme ich genug Freiraum f\u00fcr die n\u00e4chsten Jahre und kann au\u00dferdem daf\u00fcr sorgen, dass Ger\u00e4te, die ich zwischen Schule und zu Hause hin und her trage immer die gleiche IP haben)<\/li>\n<\/ul>\n<p>Sollte Ubuntu als Host-Betriebssystem zum Einsatz kommen, dann greift man zur Server-Ausgabe. Diese bringt keinen network-manager mit, der einem beim Setup dazwischen schie\u00dfen w\u00fcrde. Setzt man eine Desktop-Version ein, dann muss der network-manager zuerst entfernt werden. Das Setup funktioniert nur, wenn man die Interfaces selbst konfigurieren kann.<\/p>\n<p>Zusammengefasst: Auf dem Host steht in <em>\/etc\/network\/interfaces<\/em>:<\/p>\n<blockquote><p># Das Interface in Richtung Router<br \/>\nauto eth1<br \/>\niface eth1 inet static<br \/>\naddress 192.168.2.200<br \/>\nnetmask 255.255.255.0<br \/>\nnetwork 192.168.2.0<br \/>\nbroadcast 192.168.2.255<br \/>\ngateway 192.168.2.1<br \/>\ndns-nameservers 213.73.91.35 192.168.2.1 85.214.20.141<\/p>\n<p># Das Interface in Richtung Heimnetz<br \/>\nauto br0<br \/>\niface br0 inet static<br \/>\naddress 10.16.1.100<br \/>\nnetmask 255.255.0.0<br \/>\nbridge_ports eth0<br \/>\nbridge_fd 5<br \/>\nbridge_stp no<\/p><\/blockquote>\n<p>Eth0 auf dem Host bleibt &#8211; wie oben schon geschildert &#8211; unkonfiguriert. Der Host ist dann aus dem Heimnetz unter der IP der Bridge direkt zu erreichen und l\u00e4sst sich so leicht warten.<\/p>\n<p>Eth1 auf dem Host habe ich nicht nur mit dem Nameserver auf dem Router, sondern zus\u00e4tzlich noch mit den DNS des CCC und Foebud versorgt. Man wei\u00df ja nie.<\/p>\n<p>Nun legt man sich die erste Virtuelle Maschine (hier unter VirtualBox, das unter einem normalen Benutzeraccount l\u00e4uft) mit zwei Netzwerkkarten an.<\/p>\n<p><a href=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_nat.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-3848\" alt=\"vbox_eth_nat\" src=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_nat-640x421.png\" width=\"640\" height=\"421\" srcset=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_nat-640x421.png 640w, https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_nat-624x410.png 624w, https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_nat.png 761w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/a><\/p>\n<p>Das &#8222;zum Router&#8220; zeigende Interface der VM wird als NAT angelegt.<\/p>\n<p>Damit ich die Netzwerkkarten sp\u00e4ter in der VM wieder finde, schreibe ich deren MAC Adressen immer so um, dass &#8222;rot&#8220; eine 1 (f\u00fcr eth1 des Hosts) am Ende hat &#8211; und &#8222;gr\u00fcn&#8220; eine 0 (f\u00fcr eth0 des Hosts).<\/p>\n<p><a href=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_bridged.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-3847\" alt=\"vbox_eth_bridged\" src=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_bridged-640x421.png\" width=\"640\" height=\"421\" srcset=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_bridged-640x421.png 640w, https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_bridged-624x410.png 624w, https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_eth_bridged.png 761w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/a><\/p>\n<p>Das &#8222;nach Innen&#8220; ins Heimnetz zeigende Interface der VM wird an die Bridge br0 des Hosts angeschlossen.<\/p>\n<p>Ist der erste Host (hier IPFire als Firewall) gestartet, richtet man dessen Interfaces ebenfalls h\u00e4ndisch her. Das nach Au\u00dfen zeigende, rote Interface erh\u00e4lt vom DHCP auf dem NAT der VirtualBox irgendeine 10er Adresse. Welche, ist relativ egal. Sp\u00e4ter eingerichtete Portweiterleitungen \u00fcbernimmt VirtualBox. Wichtig sind die Angaben f\u00fcr das interne, gr\u00fcne Interface (also das, das an der Bridge des Hosts h\u00e4ngt). Hier muss die \/etc\/network\/interfaces des Gastes angepasst werden (im Falle von IPFire \u00fcber dessen Weboberfl\u00e4che).<\/p>\n<blockquote><p># Das rote Interface zeigt in Richtung Router und haengt am VBox NAT<br \/>\nauto eth0<br \/>\niface eth0 inet dhcp<\/p>\n<p># Das gruene Interface zeigt in Richtung Heimnetz und haengt an der Bridge des Hosts<br \/>\nauto eth1<br \/>\niface eth1 inet static<br \/>\naddress 10.16.1.1<br \/>\nnetmask 255.255.0.0<\/p><\/blockquote>\n<p>Die erste VM ist aus dem Heimnetz dann unter 10.16.1.1 zu erreichen.<\/p>\n<p>So lange auf dem IPFire noch kein DHCP Server auf gr\u00fcn l\u00e4uft, muss man sich auf einem Client eine 10.16.er Adresse h\u00e4ndisch selbst zuweisen, damit man an die Weboberfl\u00e4che kommt.<\/p>\n<p>Die Installation weiterer VMs h\u00e4ngt direkt vom Sicherheitsbed\u00fcrfnis ab. Zwei Wege sind m\u00f6glich: einer f\u00fchrt \u00fcber virtuelle Netzwerkkarten an der Firewall-VM (blau und orange), der andere richtet VMs &#8222;neben&#8220; der Firewall ein.<\/p>\n<p><a href=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_internalnetwork.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-3858\" alt=\"vbox_internalnetwork\" src=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_internalnetwork-640x392.png\" width=\"640\" height=\"392\" srcset=\"https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_internalnetwork-640x392.png 640w, https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_internalnetwork-624x382.png 624w, https:\/\/www.bdjl.de\/localhost\/wp-content\/uploads\/2013\/12\/vbox_internalnetwork.png 687w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/a><\/p>\n<p>W\u00e4hlt man die sicherere Variante (weitere Netzwerkkarten in der Firewall-VM), richtet man diese NICs in VirtualBox als &#8222;Internes Netzwerk&#8220; ein. Die VMs h\u00e4ngen dann mit ihrem roten Interface direkt an der Firewall und ebenfalls im VM-internen-Netzwerk. Das w\u00e4re z.B. ein Weg, um ein orangenes Netz einzurichten (siehe Bild oben f\u00fcr die Netzwerkkarte eines Webservers im orangen Netz von IPFire).<\/p>\n<p>Aside: Ein blaues Netz ist nicht so einfach zu haben, weil WLAN Karten auf dem Host nicht als solche in VMs hinein gereicht werden k\u00f6nnen. Man kann sich hier aber mit USB-WLAN-Sticks helfen, die an die VM gebunden und aus dieser heraus konfiguriert werden.<\/p>\n<p>W\u00e4hlt man die unsicherere Variante, richtet man weitere VMs &#8222;neben&#8220; der Firewall ein. Das Setup entspricht hierbei jeweils der Einrichtung der ersten VM: Eth1 des Gastes mit VBox-NAT zeigt nach Au\u00dfen. Die nach Innen zeigende Schnittstelle des Gastes (eth0) wird im Gast h\u00e4ndisch mit einer IP versorgt und klebt an der Bridge br0 auf dem Host.<\/p>\n<p>F\u00e4llt ein derartiger Gast in fremde H\u00e4nde, steht dem Angreifer das komplette interne Netz offen. Die Firewall ist hier reduziert auf ihre Webfilter-\/DHCP-Funktionen f\u00fcr das interne Netz. Schutz von Au\u00dfen bietet sie so nur bedingt. Man sollte aber wegen einer derartigen Konstruktion nicht gleich in Panik ausbrechen. Ge-nat-ete VMs d\u00fcrften von Au\u00dfen schwer zu knacken sein. Bei Portweilterleitungen vom Router auf eine solche VM macht man jedoch ein T\u00fcrchen f\u00fcr Angriffe auf und muss eine derartige VM (eine Br\u00fccke zwischen Internet und Heimnetz) dann noch einmal gesondert absichern (iptables, fail2ban, tripwire etc. pp.). Oder man spart sich das interne Interface gleich komplett.<\/p>\n<p>Hier vermehren sich die VMs fast t\u00e4glich: Die Firewall war zuerst da, dann kam ein Fileserver, dann ein Nameserver, ein Webserver, ein Gameserver &#8230; 10er Netze und viel RAM auf dem Host lassen viel Raum f\u00fcr Spinnereien \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die ID88 bringt wie bereits geschildert zwei Netzwerkschnittstellen mit, die dann an die virtuellen Maschinen durchgereicht werden m\u00fcssen. Damit dies reibungslos funktioniert und auch die Zusammenarbeit mit dem Router (hier: Fritzbox) klappt, kann man wie folgt vorgehen, um sich eine virtualisierte Firewall zu installieren: In der Fritzbox wird der DHCP abgeschaltet. Die IP f\u00fcr den [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,5],"tags":[424,208,181,96],"class_list":["post-3846","post","type-post","status-publish","format-standard","hentry","category-familie","category-linux","tag-homeserver-nxt","tag-netzwerk","tag-virtualbox","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/3846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3846"}],"version-history":[{"count":12,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/3846\/revisions"}],"predecessor-version":[{"id":3862,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/3846\/revisions\/3862"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}