Aber der Reihe nach: Mein Netzwerk sah bisher so aus:
Heißt: Die FritzBox hat die Internetverbindung hergestellt. Dahinter hing dann die Firewall und dahinter dann das interne Netz. Grundsätzlich funktioniert das auch – allerdings ist das etwas doppelt gemoppelt: Die FritzBox natted die Pakete, die von meinem Netzwerk nach draußen (also ins Internet) gehen (NAT: Network Address Translation). Das bringt schon mal eine gewisse „Grund-Sicherheit“: Ein Netzwerkpaket von meinem Notebook trudelt auf der FritzBox ein. In diesem Paket steht (stark vereinfacht): „Ich komme von der IP-Adresse 192.168.1.24 und möchte zur IP-Adresse 188.68.47.226“ (das ist die Adresse, unter der diese Webseite zu erreichen ist). Die FritzBox tauscht jetzt die Absender-Adresse (192.168.1.24) gegen ihre eigene aus (die Absender-Adresse schreibt sie in ihre Routing-Tabelle) und schickt das Paket weiter an die Adresse 188.68.47.226. Kommt von dort eine Antwort, guckt die FritzBox in ihrer Routing-Tabelle nach und stellt fest: Das Paket muss an die interne Adresse 192.168.1.24 weitergeleitet werden. Das ist das Prinzip des Routings. Durch dieses „Maskieren“ der eigentlichen IP-Adressen (im englischen heißt das „Masquerading“) wird das interne Netzwerk vom Internet „abgeschottet“ – das ist das, was ich mit „Grund-Sicherheit“ meinte.
Grundsätzlich funktioniert dieses Szenario auch – für den „normalen“ Heimanwender gibt es keinen Grund, daran etwas zu ändern. Da ich aber etwas mehr möchte, habe ich das opnSense-Projekt bei mir ins Leben gerufen. So bringt die Firewall aber relativ wenig, deshalb habe ich meine Netzwerk-Struktur ein wenig abgewandelt:
Die Internetverbindung wird jetzt über ein DSL-Modem hergestellt; direkt dahinter hängt opnSense. Die FritzBox hängt als einfacher IP-Client im LAN und regelt nur noch die Telefonie (und wenn ich das irgendwann mal anders gelöst kriege, brauche ich auch keine FritzBox mehr).
Das funktioniert ziemlich gut. Mit der Einrichtung (die opnSense-Konfiguration muss angepasst werden) und den „Pferdefüßen“, die diese Änderung mit sich bringt, werden sich die nächsten Artikel dieser Serie befassen…