Skip to main content

Goeiendag!


Misschien kunnen jullie mij hier een antwoord op geven.

Thuis beschik ik van een Expira box v12, nou vroeg mij af of dat het beter is om een Pfsense vm in een DMZ te zetten of juist niet.

Wil namelijk mijnĀ  bepaalde delen meer afscheiden van het thuis netwerk maar toch de Experia met alle functies blijven gebruiken.

Ik heb de topic gezien van gebruik je eigen router maar daar wil ik voor nu mijn vingers niet aan gaan branden. šŸ˜

Alvast bedankt voor julie tijd!

Groeten,

Sebastiaan

Die PfSense VM is feitelijk een tweede router en die kan je als DMZ Host instellen.


Het kan. Maar hoeft niet. Ik heb het ook niet. Ik heb alleen de poort van OpenVPN in de KPN Box geforward naar de pfsense router. Hierop heb ik de OpenVPN server draaien. Maar verder heb ik niets ingesteld op de KPN Box.Ā 


Mijn advies is om een tweede router achter de Experia/KPN Box altijd als DMZ Host in te stellen.

Mocht je ooit services achter jouw eigen router vanaf Internet benaderbaar willen maken dan hoef je in ieder geval niets meer aan te passen op de Experia/KPN Box.


dankjewel!
Ā 

Denk dat ik precies dit gaat doen. het klinkt als een goed plan.

Ā 


Denk dat ik precies dit gaat doen. het klinkt als een goed plan.

Zorg er wel voor dat je de firewall op die VM op orde hebt!


Had iets te vroeg te verzonden maar ja.
Ā 

Het is zo dat ik de vm op proxmox draait en begrijp goed als je hem zonder goeie een firewall direct open stelt naar het internet dat er best vervelende dingen gaan gebeuren.

De host heeft 2 interne NIC's (Wan en lan ) Welke regels zou u dan toepassen?
Zelf had ik in gedachte om in te stellen op de firewall van de vm. Daar alleen ata toe te laten van en naar de router op de wan port .

Maar denk dat ik iets mis..šŸ˜…
Daarom is het ook misschien beter om zonder DMZ tedoen. Als ik dingen host is het makkelijk met de hand een poort toe te voegen of alleen vpn toegang toestaan.


Pfsense is zelf een firewall. Met standaard instellingen staat die gewoon goed.Ā 

De firewall op de host speelt geen rol. Pfsense heeft een directe verbinding met de KPN Box. Daar zit de host niet tussen als het goed is. Als dat wel het geval is klopt er iets niet.

Als Pfsense in DMZ staat hangt die dus rechtstreeks aan internet. En dat is de bedoeling van DMZ.Ā 


Inderdaad daar heb je zeker gelijk in.
Ā 

De wan port van pfsense heeft gewoon een eigen nic nodig zonder dat deze met de host is verbonden.

Heb laatst een ook een extra Usb NIC Gehaald om daar een beetje mee te experimenteren.
Ā 

Dat komt goed. stap voor stap kom ik er wel.
Dank jullie wel voor je hulp!


Toch is dit iets wat ik me nog steeds afvraag: een VM is een applicatie die draait op een host-besturingssysteem. Stel, je draait PfSense in VirtualBox op een Windows systeem, heb je dan in principe het veiligheidsniveau van een Windows systeem? De Windows services zijn in principe niet bereikbaar omdat alleen het IP van de VM doorgelaten wordt, maar tochā€¦ Als de functie van PfSense alleen is om het achterliggende netwerk dubbel te beveiligen, en er geen servers gedraaid worden, zou ik de Experiabox juist niet in DMZ zetten.


Toch is dit iets wat ik me nog steeds afvraag: een VM is een applicatie die draait op een host-besturingssysteem. Stel, je draait PfSense in VirtualBox op een Windows systeem, heb je dan in principe het veiligheidsniveau van een Windows systeem?

Met de juiste configuratie zit er niets tussen PfSense en de netwerkpoort. Dat word 1 op 1 aan elkaar doorgezet door het host systeem.

De Windows services zijn in principe niet bereikbaar omdat alleen het IP van de VM doorgelaten wordt, maar tochā€¦ Als de functie van PfSense alleen is om het achterliggende netwerk dubbel te beveiligen, en er geen servers gedraaid worden, zou ik de Experiabox juist niet in DMZ zetten.

Nou ja ... @wjbĀ is fan van DMZ. Ik gebruik het dus ook niet.Ā 


Ik heb zelf een poosje PfSense als virtuele machine gedraait. Maar ik rommel nogal eens aan het host systeem. Dat is hobby. Andere harde schijven er in zetten en zo. Of updaten en daarbij alles weer opnieuw opstarten. Andere instellingen proberen. Ja ... dan ligt dus je hele netwerk plat. Want PfSense gaat dan dus ook uit.Ā 

Daarom heb ik tegenwoordig PfSense gewoon op een apart boxje draaien. Gebruikt wel klein beetje extra stroom natuurlijk. Maar levert enorm veel vrijheid op.


@Nick83

Klopt, als ik het goed heb is zelfs het MAC adres dat van de VM, dus wordt maar een heel klein stukje van het host OS gebruikt.Ā  De rest van WindowsĀ  ziet het verkeer van en naar de VM dus helemaal niet.Ā 

Ik ga er zelf maar zoveel mogelijk van uit om alles wat niet perse nodig is buiten mijn LAN te houden dus vermijd DMZ.

Ā 


Ik ga er zelf maar zoveel mogelijk van uit om alles wat niet perse nodig is buiten mijn LAN te houden dus vermijd DMZ.

Het is juist waar een DMZ voorĀ bedoeld is, een tweede router achter de primaire router plaatsen waar al het inkomend verkeer naar doorgezet wordt dat niet geforward is naar een apparaat achter de primaire router.

Heb je bijvoorbeeld een NAS, deurbel of bewakingscameraĀ achter de tweede router hebt staan die je van buitenaf moet kunnen benaderen, configureer dan die tweede router als DMZ Host van de eerste router zodat je port-forwardings alleen op de tweede router hoeft te doen en geen omkijken hebt naar de primaire router.

En als je ook van buitenaf pingbaar wilt zijn, dan zal icmp verkeer dus ook doorgezet moeten worden naar de tweede router en dat lukt niet m.b.v. port-forwardings.