Pi 4 als DMZ?

  • Hallo Leute!


    Ich bin gerade im ersten Ausbildungsjahr zum Fachinformatiker für Systemintegration, daher verzeiht bitte etwaige Denkfehler oder Irrglaube etc von mir :D

    Nun zu meinem Problem, bzw eher zu meinen Fragen:

    Ich möchte mir nun einen Raspberry Pi 4 zulegen. Auf diesem wollte ich ursprünglich vor allem 2 Sachen laufen lassen. Einen Geräteübergreifenden Adblocker und eine private Cloud für uns zu Hause. Dabei sind mir jedoch ein paar Gedanken gekommen. Damit unser Heimnetz möglichst sicher ist, wäre es ja Sinnvoll die Cloud in einer DMZ einzubinden. (Oder wäre dies unnötig da es sich ja lediglich um ein einfaches privates Netzwerk handelt und nicht um eine Produktivumgebung oder ein Netzwerk in dem kritische Daten abgespeichert werden?

    Da ich denke dass eine DMZ sinnvoll wäre, ist mir der Gedanke gekommen ob der Pi denn nicht selber eine DMZ errichten kann? Daraufhin habe ich etwas recherchiert und bin darauf gestoßen, dass es durchaus machbar wäre. Dadurch, dass der Pi 4 ja nun USB 3.0 hat könnte man doch auch mit einem USB - Ethernet Adapter weitere Geräte an ihn anschließen und ihn so als eine Art Hardwarefirewall konfigurieren, oder?
    Wenn dies möglich wäre, stellt sich mir jedoch noch die Frage, ob man dann überhaupt noch auf dem gleichen Pi die Cloud laufen lassen könnte?

    Angenommen das wäre soweit möglich und die Cloud wäre dadurch in einer DMZ und all meine anderen Geräte zu Hause in unserem "normalen" Netzwerk.
    Könnte ich dann überhaupt noch einen geräteübergreifenden Adblocker auf dem Pi nutzen, der die Werbung auf meinen anderen Geräten blockiert?
    Der Pi ist dann durch die DMZ doch eigentlich in einem anderen Netzwerk, oder? :/


    Ich hoffe dass sind nicht zu viele und zu komplizierte Fragen auf einmal :saint:

    Ich danke auf jeden Fall schonmal allen die sich meine Fragen durchlesen :)


    LG

  • Go to Best Answer
  • Hallo,


    ein Raspberry Pi zu kaufen ist nie eine falsche Entscheidung. Bestelle besser gleich 2 oder 3...

    Pihiole braucht so gut wie keine Power. Nextcloud etc. benötigt schon mehr. Da kommt es natürlich auf die Nutzung an.

    Nach schnellem googeln finde ich das hier.

    Nur ich verstehe den Nutzen für dein Netzwerk nicht.


    Du hast Firmengeheimnisse?

    Du hast Produktionsstraße für z.B. PKW?

    Du hast sensiblen Datenbanken?


    Ich glaube das macht nur mehr Ärger als es Nutzen bringt.

    Und ob dass dann so super läuft weiß ich auch nicht. Wenn du jetzt dein ganzes Netzwerk umbaust und es doch ein Problem gibt dann heißt es erstmal kein Home Office.


    Schaffen könnte er vielleicht alles, aber wenn ich das Konzept DMZ richtig verstehe, müsste ein 2ter Rai hinter den ersten mit der Cloud und einer mit Pihiole davor?


    Gute Idee, aber ich würde mit meiner Ahnungslosigkeit davon Abraten, lasse mich aber gerne eines besseren belehren.


    LG

    LG


    Mein Cross-Plattform serieller Monitor MinimalSerialMonitor als Beta auf GitHub.

  • Wenn ich das also richtig verstehe meinst du, dass eine DMZ für mich unnötig wäre?
    Dann würde ich die Cloud einfach in meinem normalen Netzwerk hosten und nur die entsprechenden Ports für die Cloud an der Fritzbox freigeben, richtig?
    Selbstverständlich noch den SSH Port des Pi's ändern und das Standard Sudo Passwort ändern.


    Das würde dann quasi für die Sicherheit ausreichen wenn ich deine Antwort richtig verstehe?

  • An eine DMZ zu denken ist mit Sicherheit nicht verkehrt. Diese Überlegung hatte ich auch schon, bin davon aber wieder abgekommen, da der Zugriff auf meine Dienste (ein Dokuwiki und eine Nextcloud für meine Raspberry Projekte) nicht öffentlich stattfinden soll. In diesem Fall ist es für mich persönlich ausreichend, mich auf einen einzigen Dienst zu beschränken (VPN oder SSH). Die Endgeräte können so durch den Tunnel eine gesicherte Verbindung herstellen. Die Nextcloud wäre für deine Geräte erreichbar, aber nicht für das gesamte Internet.

  • Und bevor Du viele USB -> Ethernetsticks kaufst, schau Dir an, wie Du einen LAN Anschluss am Pi (unter Linux) mit mehreren IP Adressen konfigurierst.


    Servus !

    RTFM = Read The Factory Manual, oder so

  • Als Hardwarefirewall taugt ein Pi in meinen Augen nicht wirklich, denn eigentlich brauchst Du dafür mind. 2 LAN Schnittstellen.

    Also nicht eine WLAN und eine LAN, sondern wirklich 2 LAN.

    Einen definierst Du dann als WAN Interface, die andere zum LAN. Dazwischen sind dann die entsprechenden Firewall Regeln.


    Als Software käme z.B. OpenSense in Frage.

    Dafür findet man genügend Anleitungen im Netz, aber wie gesagt, den Pi finde ich dazu nur "suboptimal".


    Gruss

    • Best Answer

    Ah, jetzt ergibt das ganze sinn...

    Du möchtest die Cloud von "außen" zugänglich machen. Jetzt sieht die Nummer schon ganz anders aus...

    Hier böte sich das ganze nun doch an. Da muss ich mich @FSC830 Meinung anschliessen. Vielleicht passt ein VPN Tunnel zu einer fritzbox doch am besten. Dann hast du das Rundrumsorglospaket der Firtzbox Firewall.

    Wenn es dann doch eine DMZ mit dem pi werden soll, habe ich irgendwo mal ein expansion Board für das neue Compute Modul mit 2 Lan Ports gesehen.

    LG


    Mein Cross-Plattform serieller Monitor MinimalSerialMonitor als Beta auf GitHub.

  • Der strengen Lehre nach stellt man alle Services, die man von aussen zugreifbar macht in eine DMZ. Aber ich glaube der Aufwand lohnt sich fuer Homewanwender nicht. Du musst dran denken dass Du Deine FW auch richtig konfigurieren musst was auch nicht ohne ist. Ich wuerde an Deiner Stelle ein VPN einrichten und genau den einen Port nach aussen in Deiner Fritte freigeben. Dann kannst DU von aussen auf alles in Deinem Netzwerk sicher zugreifen und sparst Dir den DMZ Installations- und Konfigurationsaufwand. Nicht zu vergessen auch den Wartungsaufwand ...

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)