Využití Turris Omnia pouze jako firewall

Ahoj, máme ve firmě už existující infrastrukturu, ale chybí nám nějaký rozumnější firewall. Mám navíc Turris Omnia, který bych chtěl využít pro zvýšení bezpečnosti této sítě tak, že ještě před firemní router vložím tento Turris. Využil bych tak například jeho dynamického firewallu, za kterým by byl náš router následován jeho zařízeními (necheme Turris využít jako router).

Rád bych Vás tedy poprosil o postup, jak z Turrisu udělat čistě jen firewall bez jakýchkoliv DHCP funkcí či jiných. Snažil jsem se toto téma hledat, ale z odpovědí níže jsem nedokázal určit správný a funkční postup.

Vážím si Vašich rad a předem děkuji!

Detail: zrovna Shield dělá i DHCP a NAT, což chápu že nechcete.

Máte pravdu, opravuji, děkuji! Jde mi opravdu pouze o využití jeho moderního zabezpečení jako je dynamický firewall a detekce hrozeb. :slightly_smiling_face:

Obavam sa ze ziadne z turris zariadeni nepodporuje L2 firewall, takze prinajmensom routing by na tom turrise byt musel.

Dobře, v tom případě by mohl Turris fungovat klasicky jako router s továrním nastavením (abych neměl zbytečně otevřený nějaký port apod.) se zaplým firewallem a do něj by byl připojen firemní router, který by také fungoval jako router s původním nastavením? Taková síť v síti a vše funguje jak má - nově s dynamickým firewallem Turrisu? :slight_smile:

To by mohlo fungovat s tym, ze by nebol mozny ziaden portforward do vnutornej siete ani VPN.

Predpokladam (nespominam si na defautl nastavenia Turris OS), ze oba by tiez poskytovali wi-fi signal ale ten z turrisu by bol pouzitelny len pre pristup do internetu pretoze by ho druhy router nepustil dnu (toto moze byt ziadane nastavenie).

Jediny problem, ktory mi napada, by mohol nastat, ak by oba routery pouzivali rovnaky IP rozsah vo vnutornej sieti, napr 192.168.1.0/24 (myslim ze toto je v TOS default). To sa da vyriesit prekonfigurovanim LAN na ktoromkolvek zo zariadeni.

Ak vsak by som mal dva routery, pohral by som sa s nastaveniami ako su wi-fi roaming a podobne.

Díky za odpověď! :slight_smile:

Znefunkčnění vnitřní VPN by byl bohužel blocker, na to jsem nepomyslel. Pravděpodobně to vypadá, že využití Turrisu pro tento účel nebude dobrý nápad.

Ještě jednou děkuji za ochotu pomoci! :slight_smile:

Provozování jakékoliv služby/serveru uvnitř tak aby byla dostupná zvenku by pochopitelně vyžadovalo konfiguraci navíc, protože se musí překonat “další vrstva”, ale to mi přijde u firewallu normální. V principu v tom nevidím problém. A pro jistotu, VPN klienty uvnitř sítě by to nemělo ovlivnit vůbec. (Na IPv4 je zcela normální být za dvěma vrstvami NATu, takže jedna vrstva navíc…)

Skratka, na VPN dovnutra siete je v pripade routera za turrisom potrebny:

  1. portforward na vonkajsom routeri (turris) a mat VPN na vnutornom routeri
  2. mat vnutorny router v ne-firewall mode a VPN na turrise.

Ja by som odporucil druhu alternativu. Pokial tam je turris kvoli firewallu, nemal by to byt problem.