Hallo

Ich würde gerne unseren Mac Pro, der schon als Server dient auch als Firewall für das ganze Netzwerk verwenden, da wir ein VPN einrichten wollen.

Kann ich dabei die beiden Ethernet Anschlüsse verwenden, damit der Mac Pro zwischen Internet (Fritzbox) und Netzwerk (Switch) sitzt? Wie müsste dieser dann konfiguriert werden?

Gruss

So was könnte man machen, allerdings ist macOS dafür...nicht ideal, um es mal so zu tippen.

Wenn man so etwas machen möchte, sollte man sich ein Gerät dafür zulegen, daß hier seinen Schwerpunkt hat, so was hier z.B.

http://www.securepoint.de/produkte/kv-safenet-gateways.html

Alternativ kann man die Fritz!Box einfach Router und Firewall sein und bleiben lassen, die macht das für kleine Umgebungen gar nicht so schlecht, und per drei Port-Weiterleitungen den Mac Pro mit Server.app das VPN anbieten lassen.

Hab ich nen Trend verpasst, weil das in letzter Zeit häufiger versucht wird?!
Wie schon in 2-3 anderen Threads vor kurzem geschrieben artet sowas in ziemlicher Bastelei aus.
An die Fehlersuche und -behebung möchte ich erst gar nicht denken.
Auch wenn du das nicht hören willst, aber such dir eine kleine Hardwarefirewall, die meisten können auch VPN. Das wird sicher und v.a. auch einfacher funktionieren, und du hast Support falls was nicht klappt.Im Fall der Fälle steht der Angreifen dann mit beiden Beinen im Netzwerk. Auch wenn das vielleicht bequem ist, eine Anmeldung für alles zu haben, würde ich dann doch lieber die Fritzbox VPN-Server spielen lassen.

Ich kann zwar keine konkreten Hilfen für dich anbieten, jedoch ging beim Lesen deiner Frage bei mir gleich ein Licht an.
Den Server, inkl. schützenswerter Daten gleichzeitig für die Netzsicherheit verwenden halte ich persönlich nicht für sinnvoll. Denn wenn die Sicherheit gebrochen wird, ist der Server gleich mit dran.
Ich hätte da eher den Gedanken mit z.B. einem Raspberry Pi mit zusätzlicher USB-NIC einen dedizierte Firewall zu bauen. Ich kann aber nicht sagen ob sowas performant ist.

Hannes Gnad

Danke, somit ist die Firewall der Fritzbox ausreichend? Gut zu wissen, macOS Server könne damit besser umgehen.

Wie getippt, für "normale" kleine Umgebungen ist eine F!B mit aktuellem OS und korrekter Einstellung völlig ausreichend. Wenn man dann eben VPN nutzen möchte, kann man das wahlweise die Box machen lassen - mittlerweile läßt sich das mit der einigermaßen gut konfigurieren - oder eben den VPN-Dienst der Server.app. Das macht bzgl. der Netzwerksicherheit übrigens keinen Unterschied: Wer dann eine stehende VPN-Verbindung hat, ist damit ganz normal Mitglied des LAN, wie alle anderen Geräte auch. Das bedeutet noch nicht, daß man Zugriff auf weitere Ressourcen wie die Freigaben des Servers hat, wenn man sicherheitshalber für den VPN-Zugriff auf dem Server separate Benutzer anlegt, die eben nur diesen Dienst nutzen dürfen, aber nicht gleichzeitig die Freigaben. Ungezählte Male so eingerichtet...

Hannes Gnad

Perfekt, dann mache ich das auch so, ja ist eine kleine Umgebung mit 4-5 Rechnern im lokalen Netzwerk.

Um genau zu sein, ist das gar keine richtige Firewall. Durch NAT finden einfach alle Anfragen von außen, die nicht von innen angefordert wurden, kein Ziel. Die Fritzbox verwirft die Pakete in diesem Fall.
Und die Hand voll Einstellungen wie Portweiterleitungen, Whitelist, Blacklist, usw. macht auch keine Firewall, bei der ich den Datenverkehr IP-, Namens, Port- oder Protokollbasiert zulassen ob ablehnen kann.
Aber wie Hannes sagt, für viele "normale" Umgebungen ist sowas wie eine Fritzbox ausreichend.
Fakt ist aber, dass ich mit einer Portweiterleitung auf ein Gerät im LAN einen Zugang von außen schaffe.
Wenn man das "gescheit" machen will, baut man eine DMZ auf, mit einer Firewall davor und dahinter.

Es gibt sehr gute Gründe hintern dem Router noch eine richtige Firewall zu betreiben, weil zunehmend die Router gehackt werden. Zudem kann man auf einer richtigen Firewall den Traffic konsequent filtern (z.B. transparenter Proxy) und muss nicht in Kauf nehmen, dass ungefragt Daten ins Netz gelangen. Auf den typischen Routern geht so etwas i.d.R. nicht.

gfhfkgfhfk: das ist mir klar, ich kenne die Umstände. Daher auch mein Nachhaken in dem von dir zitierten Post, sowie in meinem zweiten Post.
Ich meinte damit aber, einen Mac als Firewall einzusetzen. Ich kann mich da an 2-3 Threads in den letzten Wochen erinnern.

Dann verstehen wir uns ja

Ich kann für solche vorhaben immer wieder pfSense empfehlen, mit ein wenig Einarbeitung eine sehr gute Firewall/Router. Kann man auch in einer VM laufen lassen, einfach zwei virtuelle Interfaces anlegen und den ganzen Traffic durchleiten.


Als alternative zur pfSense kann ich noch Sophos UTM empfehlen