Firewall

  • Ich freue mich richtig, daß dieses Thema hier so gut angenommen wurde und es fundierte Unterstützung dazu gibt, auch wenn es abseits von QNAP ist. Bei mir wird es wohl auch in Richtung SG-1100 gehen. Da ich einen Kabelfritte habe, muss ich mich vorher noch um ein brauchbares Modem kümmern. Da sind die Infos bezüglich der Sessionen eher dünn. Somit wird sich das Projekt bei mir noch etwas ziehen. Auf jedenfall war der Input zu dem Thema hier super.

  • So ein TC-4400 habe ich hier stehen, das bremmst jedenfalls nicht, soweit ich das bemerken konnte.

    Es setzt nur um und das ist low Layer, da muss nix Router oder ähnliches was richtig Leistung zieht.


    Zudem ist das mit einem guten Chipsatz ausgerüstet.


    Nur leider auch von Cabel Hount betroffen, jedoch dank pfSense ist der Port aus dem LAN Blockbar, aus dem WAN nach meinen Informationen nicht angreifbar.

  • Ich liebäugle schon länger mit einer Sophos SG 115w. Die hätte nämlich die Möglichkeit zu einer UTM aufgerüstet zu werden. Wäre die Appliance nicht so teuer und käme nicht noch die Lizenzen dazu (jährlich) wäre dies ein geniales Teil auch für zuhause. Ein rundum Sorglospaket, allerdings für viel Geld und nur für sehr ambitionierte Leute. Es gibt zwar eine kostenlose virtuelle "Heimversion", aber die will ja auch irgendwo rauf laufen. Und in der UTM-Ausführung genehmigt sich das Teil schon etwas an Ressourcen. Deshalb würde ich das günstigere SG 105 für UTM nicht empfehlen.

  • Jetzt habe ich erstmal meine Kabelzugang auf 1Gbit umgestellt und hoffe, daß das diese Woche noch über Bühne geht. Es soll dann die Vodafon Station im Bridge-Modus werden. Die SG-1100 ist damit leider raus und es wird wohl die SG-3100 werden. Da muss ich aber eine Menge leere Flaschen weg schaffen.:beer:

  • Ich liebäugle schon länger mit einer Sophos SG 115w

    Für die Firma ok, aber für @home ist das ein wenig teuer im Unterhalt.

    Meine futtert nur ein wenig Watt, wie jeder andere Router auch, da kommen nicht noch mal einige € pro Monat oder Jahr als Lizenzkosten drauf.


    Wenn die Hardware genug Leistung hat, kann ich hier auch https aufbrechen und ein vollwertiges IDS/IPS aufbauen, aber will man das @home verwalten?

  • Die erste Hürde ich geschafft, meine pfSense läuft hinter einem DrayTek 165.

    Hat mich einige Stunden gekostet, es gibt eine Menge gute Dokus für jedes der Geräte, aber genau bei der Kombination gibt es dann doch eine Lücke, die mich ziemlich aufgehalten hat.

    Und die Fritzbox hängt nun auch hinter der pfSense und dient nur noch als "Adapter" für VoIP zur ISDN Anlage. Auch da gab es einige Knackpunkte zu lösen.

    Als nächstes werde ich mich um VPN kümmern. Wir haben ja bald ein langes WE ^^.


    Gruss

    Einmal editiert, zuletzt von FSC830 ()

  • Hättest zuvor was gesagt, das mit dem Subinterface im Vlan 7 hätte ich dir verraten können, das hatte ich beinem Arbeitskollegen, hat uns auch 1h gekostet das zu finden.

  • Für die Firma ok, aber für @home ist das ein wenig teuer im Unterhalt.

    Eben, leider.

    Hat in der ehemaligen Filiale eine SG105 im Einsatz. Kleines schnuggeliges Teil. Irgendwann bin ich dann auf die Idee gekommen, das Teil kann ja mehr als nur Firewall. Mit Web-Protection-Lizenz ausgerüstet und das Teil kam dann nach und nach an den Anschlag. :D Der Arbeitsspeicher ist eine wenig zu gering - gut, könnte man jetzt nachrüsten - aber die CPU bleibt dennoch etwas zu schwach.

    Wenn die Hardware genug Leistung hat, kann ich hier auch https aufbrechen und ein vollwertiges IDS/IPS aufbauen, aber will man das @home verwalten?

    Auch wieder war.


    Und trotzdem würdest auch Dir so eine UTM Appliance hinstellen wenn sie nichts kosten würde. ;)

  • Ich hatte überlegt ob Sophos UTM/XG oder die pfSense, letzte steht jetzt hier.

  • Ich habe heute Abend meine Firewall, die managed Switche mit den eingerichteten VLANs auch "produktiv" in Betrieb genommen. VPN muss noch umgestellt werden, ebenso will ich die Regeln der Firewall verfeinern. Bisher alles noch hinter der Fritzbox. Der Pihole macht auch noch den DNS-Server. Ist schon interessant, der war kurz mal Offline und keine 2 Minuten später meinte meine Frau: Hast du irgendetwas verändert? Ich bekomme nämlich viel mehr Werbung als sonst... ^^

  • pfSense mit dem Vigor 165 lief bei mir schon länger einwandfrei.

    Jetzt wurde es an der Zeit VLANs einzurichten. Erstmal eines für die FritzBox, welche nur noch für Voice over IP zuständig ist.

    Dazu musste ein VLAN-fähiger Switch her.

    Die Wahl viel auf Netgear GS724Tv4, den konnte ich unter 100€ erstehen.

    Das Ding ist schon Hardcore. Schuld daran ist nicht der Switch selbst, sondern das GUI.

    Letztendlich bietet der Switch aber sehr viele Möglichkeiten.


    Es wäre toll, wenn ihr auch berichtet welche Switches ihr einsetzt, das würde den Erfahrungsaustausch erweitern.


    Jetzt kommen wir mal zur Separatisierung der Netze per VLAN.

    Ich habe wie oben die FritzBox-Telefonanlage im VLAN.

    Meine Rules für das VLAN sehen so aus:

    pfsense.PNG

    Ist das so richtig?

  • HP 2520G-24-PoE davon 2 Stück.

    No Web Management und gehärtete SSH Shell.


    LACP für NAS

    32 Max Vlans

    Spanning Tree MST

    Multicast Querier


    Das ist ok, ich nutze hier nur IPv4, was noch fehlt ist die Deny Regel darüber, dass diese Netz nicht in deinen Privaten Bereich rein darf.

    Ich nutze hier 192.168.0.0/16 und das wird dann zuvor einfach mit einer Deny Regel vom dem Netz in dem die Fritz ist geblockt.


    Fertig.


    So hast du zwar ein anderes Netz, aber die Fritz kann doch alles erreichen.

  • Hab keinen Managed Switch am laufen ?(.

    Kämpfe noch mit der OpenVPN Einrichtung, der Connect kommt zustande, aber ich komme noch nicht ins Heim LAN obwohl ich entsprechende Rules habe.

    Ich finde den Fehler noch nicht.


    Gruss

  • Wie sehen die Regeln aus und welches Netz verwendest du für VPN?

    Client bekommt aber eine IP?

  • Ja, Client bekommt eine IP, per push wird die route zum LAN gesetzt, das sieht man im Client Log, aber schon der Ping zum Gateway des Client LAN schlägt fehl.


    Gruss

  • So hast du zwar ein anderes Netz, aber die Fritz kann doch alles erreichen.

    Das dachte ich mir schon.

    Wie sieht eine Rule aus, mit der die FB nicht die anderen Netze erreicht?

    Ich kann es mir schon denken, nur habe ich hier keine Zeit für Experimente. Meine Frau sitzt mir im Nacken.;)


    Kämpfe noch mit der OpenVPN Einrichtung, der Connect kommt zustande, aber ich komme noch nicht ins Heim LAN obwohl ich entsprechende Rules habe.

    Ich finde den Fehler noch nicht.

    Hast du die Einrichtung mit dem Wizard gemacht und dann den Client-Export mit "openvpn-client-export"?

    openvpn-client-export ist ein installierbares Packgage.

    Einmal editiert, zuletzt von frosch2 ()

  • Ich habe nun insgesamt 3 managed Switche laufen:


    2x Zyxel GS1900-24E

    1x Netgear GS305E


    Auf die Zyxel bin ich durch idomix aufmerksam geworden. Wichtig war mir: ohne Lüfter, per Web administrierbar und bezahlbar. Der Netgear war ein Preis-Leistungs-Kompromiss. Er arbeitet klaglos mit den Zyxel zusammen, kann aber nur max. 5 Vlans managen.


    Da ich keine sternfömige Netzverteilung habe, ist die Anzahl der Switche ein notwendiges Übel. Andererseits: Wie viele Netzwerkdosen würde man sich heute hinter seinem TV im Wohnzimmer legen wenn man dort ohne Switch auskommen will? Fünf mindestens ... :/


    Erfahrungsbericht:

    In Excel habe ich mir einen Plan erstellt, wie die Ports belegt sind und welche VLANs sie tagged oder untagged ausliefern müssen. Das ist sehr hilfreich, wenn man nicht die Übersicht verlieren will. Außerdem habe ich an alle Netzwerkabel kleine Bezeichnungsfähnchen mit Tesafilm drangeklebt. Hatte ich geschrieben an allen Kabeln? - Naja, an einem Patchpannel hatte ich es unterlassen, weil ich glaubte, die Belegung noch genau zu kennen. Diese Überheblichkeit hat mich dann 3 Stunden Fehlerdiagnose gekostet, denn hier hatte ich tatsächlich 2 Kabel vertauscht... Aber da vermutest du natürlich nicht den Fehler, sondern eher in der Einrichtung der Switche. Schlussendlich bin ich dann mit einem 10m Ethernetkabel, dass ich hier noch herumliegen habe, durch die ganze Bude gelaufen und habe micht mit dem Noti überall mal reingestöpselt. Fazit: Wenn Kabel bei VLAN-Konfigurationen an falschen Port stecken, kann das zu merkwürdigen Fehlern führen.


    Ein zweites selbstgemachtes Problem hatte ich bei der Neueinrichtung meiner Unifi APs. Die Dinger sind ja auch VLAN-fähig und damit kann man dann unterschiedliche WLANs aufziehen. Beim ersten Einrichten klappte alles super. Über die Controller-Software wurde die Kofiguration des ersten APs ohne wiederholtem mühsames Eintippen der ganzen Anmeldedaten an den zweiten AP übergeben. Da sang ich schon ein Loblied auf die gut durchdachte Gerätestrategie der Ubiquiti Palette. Doch am nächsten Tag, als ich noch eine Ergänzung definieren wollte, fand die Controller-Software (läuft bei mir übergangsweise auf dem Noti, sonst im Container auf dem NAS) zum Verrecken die APs nicht mehr. Dann ging sie wieder los, die große stundenlange Fehlersuche. Woran lag es? Beim zweiten Mal war ich über das bereits eingerichtete WLAN mit meinem Netzwerk verbunden und darüber konnte der Controller nicht das Managment-LAN erreichen und somit nicht mit den APs kommunizieren.

    So zahlt man halt sein Lehrgeld wenn man sich in neue Techniken einarbeitet...:D

  • Die Floating sehen bei mir so aus:

    pasted-from-clipboard.png


    @phoneo

    3 Doppeldosen


    Ein seperates Management Netz habe ich hier nicht, das ist ein wenig over.

    Kann man aber machen, dann auch intern nur per VPN erreichbar und max sicher.

    Aber so krass muss es dann wiederum nicht sein.


    Das NAS steht ja sowieso im LAN und ist das weak Device.

    Firewall und Switche sind harte Nüsse.


    Web Management geht bei mir inzwischen gar nicht mehr, da finden man nix und man braucht Stunden für ein Kleinigkeit.


    In der Running steht im Text alles ganz klar drin, kurz durch laufen lassen und schon weiß man was noch fehlt.

    Ohne erst auf die GUI warten zu müssen bis die das nächste Fenster läd.


    Also ruhig mal mit SSH rein schauen und mit show Run oder show Conf einen Blick rein werfen.


    LAN ist nativ im WLAN, dann sind aber noch 3 SSIDs die als VLAN auf dem AP Uplink liegen.


    Mit show lldp neighbor (Cisco), show lldp info remot (HP) ist man sehr schnell im bilde was wo hängt.


    Zur Not ARP Tabel und CAM Tabel, sprich mit der MAC nach dem Port suchen, dann findest du vertauchte Kabel sehr fix.


    Win 10 ist übrigends auch per default mit lldp unterwegs, taucht also auf dem Switch gleich auf wo es hängt.

    Musst nur die MAC vom PC kennen, dann findest du den in Sekunden.


    Sollte deine Kiste eine CLI haben, was ich mal hoffe.


    Wichtig war mir, Portbeschriftung im Switch, also Port 1 name L1.3 PC usw.


    Damit werfe ich oben einen Blick auf die Dose, dann einen Blick in die running und ich weiß welche Port in welche Netz muss.

    Das ist Live Doku und besser als jede Tabelle.


    Die habe ich für die Verkabelung mal erstellt um fest zu halten welches Kabel auf welchem Port landet und dafür ist die Ok.

    Aber nix für dynamische Konfigurationen, die sich mal eben ändern.

    Das macht man am Live System gleich mit und dann sucht man das nicht mehr.


    Dann noch gleich ein Backup der Conf auf den TFTP und fertig.

  • Ein eigenes Management LAN habe ich nicht, es ist nur mit meinem kabelgebundenen Home-LAN gekoppelt und ich habe fürs Home-WLAN ein seperates VLAN.


    Ich kann mir vorstellen, dass man über die Konsole die Fehlersuche einfacher gestalten kann. Aber auch da muss man sich natürlich erst einmal einarbeiten. Zuviele Baustellen auf einmal, wenn man frisch in das Thema Firewall startet. Aber trotzdem gut zu wissen.


    Die Ports habe ich alle durchbeschriftet und von den Netzteilnehmern sind auch alle MAC-Adressen erfasst, sowie per DHCP statische IPs vergeben. Dabei habe ich die Geräte für die Zuordnung von IP-Adressen gruppiert.


    Bei meiner Recherche im Netz bin ich dann noch auf das Thema Radius-Server gestoßen. Ggf. werde ich meine WLAN-Struktur noch einmal auf eine Radius-Konfiguration ändern. WLAN-Teilnehmer über eine Benutzer-Passwort-Anmeldung verschiedene VLANs zuordnen zu können und das Ganze nur über eine SSID zu routen, erscheint mir doch eine sehr elegante Lösung zu sein.

  • WLAN-Teilnehmer über eine Benutzer-Passwort-Anmeldung verschiedene VLANs zuordnen zu können und das Ganze nur über eine SSID zu routen, erscheint mir doch eine sehr elegante Lösung zu sein.

    Ja ist es, aber du wirst auf ganz viele Clients stoßen die das nicht können.

    Dann aber auch gleich richtiges 802.1x mit Zertifikat pro Geräte!