Firewall

  • Es interessiert mich, welche Möglichkeiten einer Firewall ihr nutzt.

    pfSense oder …?

    Einmal editiert, zuletzt von frosch2 ()

  • Ein sehr gutes Thema, daß mich auch schon länger umtreibt, da ich die Fritte gern ersätzen möchte. Ist zwar OT, aber bestimmt für viele von Interesse.

  • sophos xg .. vorher sophos utm (vormals astaro)


    privat reicht mir asus merlin mit diversen plugins (adblock und firewall)

  • pfSense Appliance


    Regelwerk

    DHCP inkl. dynamischer Registrierung im DNS

    VLANs

    pfBlockerNG (Adblock, GeoIP Block)

    DNS Resolver inkl. prefetch und Split DNS

    IPsec IKEv1 S2S Fritz Eltern und IKEv2 Clients

    Syslog aufs NAS

    Einmal editiert, zuletzt von Crazyhorse ()

  • daß mich auch schon länger umtreibt, da ich die Fritte gern ersätzen möchte.

    So ging bzw. geht es mir auch.

    Die FritzBox bleibt erstmal, wenn auch doppeltes NAT. Da hängt bei mir auch die Telefonie dran.

    Ach so, ich bin momentan wieder bei pfSense auf einer Zotac zbox nano ad10 mit USB3->GB-Lan.

    Wenn man auf pfSense pfBlockerNG installiert und aktiviert, wird einem schon schlecht, wer und was nach Hause telefoniert.

    blocker.PNG

    Das sind die Ergebnisse der letzten 24h.

  • Die Fritz hängt bei mir in einer DMZ und ist über die SIP Ports erreichbar.


    Da meine pfSense 49500 Sessions kann, die Fritz keine 2k, muss die dahinter.


    Denn egal was ich über die FW laufen lasse, die schiebt alles durch ohne das die Antwortzeit Richtung WAN hoch geht.

    Frau zockt und merkt nix davon das ich über VPN gerade das NAS sichere und auf meinem Client mit 400Mbit+ meine Games update.


    Da fliegt dir die Fritz einfach auseinander.


    Also schaue das du die hinter die pfSense bekommst.

  • Ja, nö ist klar:)

    Geht das auch für NichtTler?

    Zeichnung?

    Das ist genau der Grund, weshalb ich den Thread gestartet habe.

    Es gibt im Netz unendlich viele Anleitungen, nichts funktioniert so richtig.

    Kann man hoffen, dass du eine Anleitung dazu schreibst?

    Einmal editiert, zuletzt von frosch2 ()

  • Ich interessiere mich auch für eine performantere Firewall als die Fritzbox sie bietet. Wobei ich noch überlege, welche Hardware ich dafür einsetze. Zur Zeit schwärme ich für ein APU Board (Hersteller PC Engines), und zwar das APU4D4:

    LAN: 4 x i211AT / CPU: AMD GX-412TC (Quad-Core 1GHz, AES-Ni Support)/ DRAM: 4 GB dual SIM


    Komplett fertig installierte APUs mit 120GB mSATA SSD gibt es in der Bucht für ca. 250 Euro. Dabei kann man sich dann für eine vorinstallierte Version von pfSense, IPFire oder OPNsense entscheiden. Ca. 50 Euro preiswerter wird es, wenn man sich ein Bundle zum Selberzusammenbasteln kauft. Bezüglich WLAN ist man mit dem APU-Board auch flexibel, man kann es mit unterschiedlichen miniPCI express Modulen bestücken. Das DRAM ist leider fest verbaut und daher nicht aufrüstbar, aber ich denke/hoffe, dass man mit 4GB für eine Home-Firewall-Lösung auskommt.


    Anregungen und Tipps zum Aufbau einer Heimlösung kann man sich ausführlich und in deutscher Sprache auf dem Kuketz-Blog holen. Mir wird dadurch der Einstieg leichter fallen und werde dann wohl mit IPFire beginnen und ggf. auf PFSense wechseln, falls mir ersteres nicht gefällt.

    Einmal editiert, zuletzt von phoneo ()

  • Mit IPFire habe ich angefangen, da es auf Linux aufsetzt.

    Bin dann aber schnell zu *Sense gewechselt. Es bietet einfach mehr Möglichkeiten.

    Was die Hardware anbetrifft, kann man erstmal nehmen was da ist, wichtig sind 2 Netzwerkanschlüsse.

    Einmal editiert, zuletzt von frosch2 ()

  • Das ist doch einfach ein simples NAT bei der pfSense.

    pasted-from-clipboard.png


    Schon kannst du angerufen werden. Da die bei mir in einem eigenen VLAN hängt, habe ich diesem Klasse-C Netz in meinem 192.168.15.0 den Zugriff in das lokale LAN geblockt, dann aber alles andere zugelassen und damit hat die vollen Internetzugriff:

    pasted-from-clipboard.png


    Einfach auf die Reihenfolge achten, da von oben nach unten mit first match gearbeitet wird.


    Egal ob pfSense oder OPNsense, beides sind Enterprise Firewalls und richten sich nicht an den typischen FritzBox Anwender. Ja sogar ITler haben da Problem so ein Teil mal fix aufzusetzen.


    Da wird schon viel Verständnis für die Netzwerk Grundlagen benötigt.


    Ich arbeite, nur mit den globalen Flating Rules um es möglichst übersichtlich zu halten. Die im WAN hinterlegen Regeln sind autorules durch das NAT.


    @phoneo

    Das APU2 ist ok, aber kaufe kein 1er mehr, das kann kein AES und ist damit langsam was VPN angeht.


    Bei mir ist es eine SG-1100 geworden, da ich Appliances von Cisco vom Job her kenne und es da nie Stress mit gibt.

    Also habe ich mir eine Netgate gekauft und für die 3,5W bekomme ich da verdammt viel geboten.


    WLAN am besten über richtige APs ausrollen und die Firewall Firewall sein lassen.



    Wer nicht so tief in das Thema einsteigen will, für den ist ggf. das Sortiment von Unifi etwas, Gateway, Switch, APs usw. sind über den Controller schön per GUI verwaltbar.

    Bei meiner Lösung muss ich die VLANs auf der Firewall und dann noch auf dem Switch anlegen, auf dem Uplink zu Firewall taggen und ggf. auch auf den AP Uplinks. Erst dann kann sich ein Client im Gastnetz auch mit dem Internet verbinden. Bei Unifi ist da mehr automagicly dabei.

  • Habe mir gestern eine APU4D4 in der Bucht bestellt. Die wird voraussichtlich heute ankommen. :love: Wahrscheinlich starte ich direkt mit pfsense.

  • Hast du einen Plan für eine neue Netzwerkstruktur oder ersetzt du erstmal den vorhandenen Router?

  • Zum "Plan" habe ich meine Ideen noch nicht konkretisiert. Aber ich habe Ziele:

    - Router Firewall ersetzen,

    - Pihole (DNS-Adblocker) ersetzen,

    - verschlüsselte DNS Anfragen,

    - IoT Geräte aus meinem Heimnetz ausgliedern (Netzwerkstruktur ggf. mit VLANs erweitern),

    - eine bestehende statische Side to Side VPN-Verbindung, die zur externen Datensicherung zwischen zwei Standorten dient, auf eine Side to Point-Verbindung umbauen,

    - die VPN-Performance für den externen Zugriff auf das Heimnetz
    grundsätzlich verbessern.


    Nach Möglichkeit so in kleinen Schritten, dass ich nicht mein Heimnetz lahmlege. Sonst springt mir meine Familie an den Hals...


    Hast du noch Ideen?

    Einmal editiert, zuletzt von phoneo ()

  • Ich habe mich mit Segmentierung/vLANs erst Mitte letzten Jahres beschäftigt.

    Vorher waren halt alle Geräte (Handy, Tablet, Drucker, TV, ioT etc) im voreingestellten IP-Bereich von AVM 192.168.178.x im Netz.

    Irgendwann habe ich das ganze aber hinterfragt. Warum beispielsweise muß mein Drucker auf den TV? Eben; garnicht.

    Also mich schlau gelesen, mit einem befreundeten Admin gequatscht, noch mehr gelesen und noch mehr gequatscht.

    Ergebnis: Etwas Geld in die Hand genommen, vorhandene Netzwerkkabel durch 10GB erneuert, alles am zentralen (neuen) Rack zusammenlaufen lassen. Das Rack hat auch einen eigenen Stromkreis bekommen. Der Sicherungskasten musste dadurch erneuert werden. Rund 6 Stunden ohne Strom...dazu Switchpanel eingebaut und 24 Port Switch. Noch mit 1GB. Dazu Zotac mit Sophos UTM. Ein Port zur Fritz!Box und ein Port zum Switch. Mittlerweile auch Sophos AP 55C in der Zwischendecke liegen, welcher als WLAN-AP die Wohnung versorgt. Über den Switch werden vLANs aufgesetzt, in welche Geräte je nach Zweck kommen. Jedes vLAN ist in der Sophos angelegt, welche sich um die Sicherheit und VPN kümmert. In der Zwischendecke sind auch bereits jeweils 2xLAN für Küche und Bad (Verrückt) verlegt worden. Diese können nach Bedarf rausgeführt und an eine Dose geklemmt werden.


    Wenn ich so im Nachhinein darüber nachdenke ist es echt schräg. Ursprünglich wollte ich "nur" eine abgehängte Decke mit Spots in allen Räumen. Bei der Planung und Fachsimpeln kam halt auch die Frage nach der Elektrik ins Spiel. Es war eine Menge Arbeit. Es gab viel Lärm, Staub und Dreck. Es hat neben teuer Geld auch viel Kraft, Energie und Anstrengung gekostet. Aber ich denke das System ist zukunftsicher, kann erweitert oder modifiziert werden. Wenn 10GB mal flächendeckend und für die Allgemeinheit kommen sollte, muß nur der Switch getauscht werden. Die Infrakstruktur gibt es her. Und das war mir wichtig. Sowas macht man in der Regl auch nur einmal.


    Das ganze war jetzt doch mehr ein kurzer Tagesbericht und hat eigentlich auch wenig mit dem Thema zu tun.

    Aber soviel Text wollte ich dann doch nicht mehr löschen. :)

  • Das wird richtig knallen!


    Habe einem Arbeitskollegen geholfen die pfSense in Betrieb zu nehmen und die 7590 zu ersetzen.

    Das hat ein einige Stunden gedauert, vor allem da wir erst besprechen musste, was er wie segmentiert haben wollte.


    Wenn alles bisher im gleichem Netz war, ist das zwangsläufig mit Störungen verbunden, da du nicht weißt wie alles wirklich zusammen hängt.

    Also war hier auch einiges try and error angesagt.


    Denke bei PPPoE daran, hier wird im Vlan 7 ein Subinterface benötigt.


    Also nach Möglichkeit viel planen und im Vorfeld eine Struktur überlegen, spart bei der Einrichtung dann Zeit.

    Aber knallen wird es von einer Fritz du darfst alles zu einer pfSense du darf default nix Box immer!


    Ich habe einen Drucker hier stehen, der ist im normalen LAN wie meine anderen Kisten auch, da er mit den PCs interagiert und den Handys über mDNS.

    Das bleibt auch so, angreifbar ist er nicht, da ich das FAX nicht verwende.


    Was die Fritz angeht, überlege ich noch, ob ich die nicht mit 2 Beinen anschließe, das meine TK und da direkt erreichbar, ist die in einer DMZ.

    Angelegt sind hier 9 Vlans + default, davon werden 2-3 aktiv nicht genutzt, habe das Limit am HP erstmal auf 32 gestellt, das sollte hier reichen.


    Was ich separiert habe ist die Haustechnik der PV und IoT, weils im eigenen VLAN + SSID, da es auch WLAN Steckdosen gibt die mit dem Energiemanager sprechen können/müssen.

  • Aber knallen wird es von einer Fritz du darfst alles zu einer pfSense du darf default nix Box immer!

    Ist es möglich, zu dieser Aussage eine sinnstiftende Erklärung zu erhalten? =O

  • Aber knallen wird es, wenn du von einer Fritzbox zu einer pfSense hin umstellst.


    Sollte es werden.

    Keinen Plan was da passiert ist, aber der Satz ist echt total hinüber.

  • Crazyhorse Es ist nicht der einzige Satz der ein bisschen hinüber ist. ;)
    Es wäre schön, wenn du deine Beiträge nach dem Posten noch einmal liest (und ggf korrigierst ). Es ist für uns Unwissende schon schwer genug ein neues Thema zu erarbeiten, wenn du aber manche Punkte ohne Zusammenhang darstellst, geht deine gut gemeinte Hilfestellung fehl.


    Ein weitere Beispiel:

    Denke bei PPPoE daran, hier wird im Vlan 7 ein Subinterface benötigt.

    Hier fehlt mir der Zusammenhang, sorry.


    Jagnix

    Ich will die Fritzbox nicht ersetzen und die Telefonie wollte ich dort auch belassen.


    rednag Ein guter Ansatz bereits bei der Verkabelung auf die 10GB Fähigkeit zu setzen. Die 10GB-fähigen Geräte sind mir zum aktuellen Zeitpunkt zwar noch zu teuer, aber das kann sich bald ändern.