Firewall

    ich habe einen bisschen extravaganten Aufbau.

    Firewall zum Internet ist eine pfsense auf einem apu-board (apu2e4). Da dran hängt mein Hauptswitch, ein mikrotik crs 326, an dem dran nochmal ein crs326, ein crs 309 und ein dlink dgs-1510-28x, und noch 2 kleine managed dlink switches. Bis auf die kleinen sind alle mit 10gb fibrechannel verbunden.

    Extravagant deswegen, weil die pfsense "nur" die internet-firewall ist. Das routing und firewall im internen netz zwischen ca 10 vlans übernimmt der erste mikrotik crs326. Auf der pfsense sind statische Routen auf den mikrotik eingerichtet, ansonsten weiss die ofsense von den vlans nichts. Zwischen den vlans sitzt also die mikrotik firewall mit einer mittlerweile ellenlangen liste an rules. Nur wenn ein paket auf 0.0 0.0 geht, wird auf die pfsense geroutet (statische route an die pfsense), die nur gb-ethernet hat.

    Die pfsense könnte eigentlich weg und der mikrotik selbst das gateway machen, aber ich wollte halt unbedingt pfsense im Einsatz. So ist die Last besser verteilt, weil die pfsense sich nicht mit den vlans beschädtigen muss und alles durch den gb Flaschenhals muss. Als nächstes werde ich für den uplink von mikrotik zu pfsense ein port mirroring machen und den gespiegelten port an eine barebone security onion installation senden für snort.

    Ich weiss schon, dass 2 firwalls nicht empfoglen wird, aber da firewall 1 (pfsense) fürs wan zuständig ist und firewall 2 (mikrotik) fürs lan/vlan, finde uch, dass das schon so passt. Ist halt historisch gewachsen so.


    Kann jedem hier eine Blick auf mikrotik ans Herz legen, deren Software RouterOS ist der Hammer, das kann allesy spielt in der Liga der teuren Cisco Switches, die das zigfache kosten. Die CPU könnte stärker sein, aber für mich reicht es.

    Weiss auch nicht, warum Mikrotik so selten erwähnt wird.

    Hallo Freunde der gepflegten Firewall!


    Es ist hier ruhig geworden, gibt es denn nichts Neues zu berichten?


    Ich habe am Feiertag in einer adhoc Aktion OPNsense gegen pfSense ersetzt. Es gab zwar mit meiner bisherigen Konfiguration keine Probleme, doch wollte ich auch mal die andere Alternative länger ausprobieren. Ich denke, dass der pfBlockerNG den Ausschlag gegeben hat und damit mein Pihole-Raspi abgelöst wird, der nun für andere Aufgaben zur Verfügung steht.


    Eine weitere Spontanentscheidung war der Kauf eines DryTek Vigor 130 auf dem Gebrauchtmarkt. Bevor ich aber die Fritzbox als reine Telefonanlage hinter die Firewall setze, möchte ich sicher sein, dass es mit der Telefonie keine Probleme gibt. In den einschlägigen Foren gibt es etliche Berichte drüber. Mal kommen keine Anrufe von extern an, oder die Gegenstelle ist nicht zu hören oder das Gespräch wird nach X Minuten unterbrochen, weil aus irgendwelchen Gründen die Verbindung anreißt.

    Wie sieht es bei euch aus? Klappt es mit der Telefonie? Bei der Aufstellung der Regeln soll man einiges beachten müssen? Siehe hier.


    Gruß

    Ok, bin von einer laufenden OPNsense VM dann zur Hardware pfSense und das ist für mich einfach nur die richtige Entscheidung gewesen.


    Haben ja jetzt zwei Netgates, ein SG-3100 hier und das SG-1100 bei meinen Eltern.

    Eine Fritz 7430 ist als TK bei mir und einen 6490 bei meinen Eltern als TK und WLAN AP im Einsatz.


    Wichtig ist, Fritz als IP Client, inkl.


    Das funktioniert im Kabel Netz sogar besser als wenn die Fritz selber Modem spielt mit dem Crapie Intel Puma Chip.

    So sauber war die Telefonier noch nie, was Jitter und Verluste angeht.


    Wichtig ist unter den Anschlusseinstellungen der Fritz die Portfreigabe alle 30 Sekunden aktiv zu halten, dann funktioniert alles.

    pasted-from-clipboard.png


    Dann outbound NAT auf Hybrid umstellen und in die Sense folgendes reinhauen, fertig:

    pasted-from-clipboard.png

    Ich habe hier einen Alias, damit ich bei IP Änderungen nur den anpassen muss und den DHCP Leas und fertig.


    Optisch fand ich die Oberfläche der OPNsense sogar schicker als die pfSense, aber letzte ist einfach funktionaler und die Community ist mega, da findest du unendlich viel.



    Habe bei mir jetzt FQ_CoDel eingerichtet.

    Also unter Traffic Shaping -> Limiter


    Da habe ich die Tage mit gespielt, gibt leider noch ein Bug das er auch ICMP dropt, aber das ist mit einer Flating Regel direkt dadrüber erledigt.

    Seit dem ist Bufferbload kein Thema mehr, der Speed geht dann gerade bei Cabel (shared Medium) zwar ein wenig runter, aber dafür geht der Ping nicht hoch, egal wie krass ich die Leitung fordere und damit steigt die Qualität gewaltig.


    Die Regeln dazu sind ganz einfach, wichtig als WAN out Regel!

    pasted-from-clipboard.png


    Aber teste selbst, ich hatte hier ein D Rating, jetzt ein A bis A+.

    http://www.dslreports.com/speedtest


    NUT wurde aktualisiert, das habe ich auch mal wieder installiert.

    Da macht es aber vermutlich nur Sinn wenn ich die USV ans SG anschließe, das teil ist 99,9% UP, Reboot in unter 90 Sekunden erledigt, da ist beim NAS noch mal mal jeder Dienst runter, da ist die Kiste schon wieder ready. Und dann von da das NAS einbinde.

    Muss ich morgen Abend mal schauen.


    Der S2S Tunnel zu meinen Eltern ist jetzt Mega, mal eben paar hundert GB sichern, gar kein Problem, der geht direkt auf 4MB/s, bald 5MB/s.

    Dank Limiter merkt man davon nix mehr.


    Die Dinger sind halt eine Play Wall Pro, gibt so viele geile Schrauben an denen man drehen kann.

    Hab es ähnlich wie Crazyhorse, nur ist es bei mir eine 7490, da läuft aber z.zt. nur eine Rufnummer drüber. Mein Hauptanschluß ist noch echtes ISDN, die TK Anlage hat 2xS0 für extern konfiguriert, da laufen dann die ISDN und VoIP Nummern zusammen.

    Gibt mit beiden keine Probleme, wenn man die pfSense und die FB richtig konfiguriert hat.


    Gruss

    Danke für die deataillierte Auskunft, Crazyhorse.


    Der User aqui, der auch in dem von mir verlinkten Beitrag Hilfe leistet, hat z.B. im Administrator Forum viel Know How zum Thema Firewall angesammelt. Hin und wieder gibt es bei den Regeln doch ein paar Feinheiten zu beachten. Das hat meinen vollen Respekt.. =O


    FSC830 Was macht deine VPN-Einrichtung? Probleme gelöst?

    Ach die 3 Regel die man @home hat, die kann man doch im Schlaf auf sagen, bin da anderes gewöhnt unsere dicke hat 3k Reglen und da ist schon einiges Gruppiert was Quelle und Ziele angeht.


    Gerade Flating Rouls funktionieren nicht nach first match, dass muss man wissen und entsprechend aufbauen, dann ist das aber geil weil es egal ist wo man das erlaubte rein haut, es wird funktionieren.

    Das Problem ist, wenn man sich aber auf first match verlässt, dann kann das doof aus gehen, hatte ich am Anfang leider auch nicht beachtet, da ich das nich nachgelesen habe.

    Aber wir kennen ja alle RTFM und dir wird geholfen.


    phoneo, jetzt bis du dran was Fritz TK und Limiter angeht, also wo bleibt der Bericht, ich freue mich drauf zu lesen was du mit der OPN anstellst:beer:

    Das mach ich selber ;). Bei openVPN hatte ich den Fehler im Nachgang gefunden, der war im Layer 8.

    Mittlerweile läuft IPsec. Ist auch schon auf allen Clients eingerichtet und getestet 8).


    Gruss

    Achja mit dem Profil und 2 Zeilen Zusätzlich kann man auch Apple iOS PFS mit DH14 bei bringen, das war mir wichtig, damit es ein richtig harter Tunnel ist.


    Code
                    <key>EnablePFS</key>
                <true/>

    Kein scheiß, die zwei Zeilen waren es die ich einige Stunden gesucht habe und dann in Apple Configurator Profil gefunden habe, zum Export aus der pfSense hinzu editiert und zack.


    Wenn ich noch mal Bock habe, gibt Client Zertifikate und entsprechende Auth im VPN für maximal Paranoide und warum, weil ich es kann und es mir Fun macht mich rein zu graben :D

    Zitat von Crazyhorse

    jetzt bis du dran was Fritz TK und Limiter angeht, also wo bleibt der Bericht, ich freue mich drauf zu lesen was du mit der OPN anstellst

    Ich werde berichten, das kann aber noch was dauern. Murphy sitzt nämlich immer neben mir, wenn ich mir neue Bereiche erarbeite und das kostet viel Zeit und Nerven... :D

    Ich bin von IPFire zu OPNsense dann zu pfSense.

    pfSense läuft jetzt 40 Tage durchgängig.

    Es sind 3 VLANs eingerichtet.

    1. LAN, hier sind die beiden Server, 1xQNAP, 1xPC Windows per Kabel, 2xPC Windows 10 per WLAN, 2xDreambox per Kabel, 1xAllInOne Brother MFC drin

    2. WLAN, hier hängen die Androiden und FireTV-Sticks drin

    3. TELEFON, als TK eine FB 7490, 2x Schnurlostelefon, Fax, ISDN schnurgebunden

    Das läuft alles sehr gut.

    OpenVPN auf der pfSense läuft auch sehr flüssig, kein Vergleich zur Fritzbox.

    Wenn ich mit dem Handy unterwegs bin, läuft der ganze Internetverkehr über VPN der pfSense.

    pfBlockerNG war für mich auch der Hauptgrund zum Wechsel zu pfSense.

    Der hat in einem Monat fast 1 Mio. Zugriffe geblockt.

    In den letzten Jahren hatte ich mir selbst einige "Projekte" aufgebrummt, QNAP, Debian Home-NAS und Firewall. Firewall mit pfSense machte und macht mir bis jetzt am meisten Spaß.


    BTW: Ich sehe gerade auf der pfSense, Version 2.4.5_1 ist verfügbar.

    Hat schon jemand Erfahrungen damit?

    Letzte Woche das Update eingespielt, läuft problemlos.

    Hatte aber auch vorher noch keine Probleme festgestellt.


    Gruss

    Ja der Bug mit großen Tabellen ist behoben, habe es gleich am Tag als es raus kam drauf geklickt, hat hier 3min bei meinen Eltern 5min gedauert für den Neustart.

    Bin auch durch, hat ca. 5 min gedauert.

    Man, hier wird aber in die Tasche gegriffen.

    Aktuell bin ich noch bei der Wlan- Ablösung. Wird Unifi AC Pro und dazu einige AC Mesh, um das Powerline los zu werden.. Controller soll erstmal zum pihole auf dem Raspy.

    Wenn das zufriedenstellend (Chefin) läuft, werde ich die SG3100 in Angriff nehmen.

    Der Witz bei der Sache: die Poweruser und Bandbreitenbesetzer sind dann langsam aus dem Haus. Und wofür dann das ganze? Weil wirs können.:D:D:D:beer:

    Gibt es etwas Neues an der Front?

    Für meinen Teil kann ich sagen, dass ich mit pfSense + DreyTek Vigor165 glücklich bin.

    Schon mal ans auspacken gedacht:?::D

    Warum auspacken?

    Sieht doch so aus, als ob das Paket per ferngesteuertem Mobil wieder den Standort wechselt...:P


    Gruss

    Dann werfe ich auch mal etwas Futter in die Runde:


    Bei mir läuft eine opnsense auf einem AAEON Board mit Atom E3845, 4GB RAM und intel NICs (Wortmann/ Securepoint RC100 G3 Appliance).

    Initial hatte ich von meinem Asus Router gewechselt um beim anstehenden Providerwechsel mit CGNAT auch über IPv6 OVPN nutzen zu können, weil Asus das zumindest seinerzeit nicht konnte. Die Entscheidung opnsense zu nutzen und nicht pfsense war eher ein Bauchgefühl a la "werde ich jetzt Dortmund oder Schalke Fan? ", da die technischen Unterschiede für mich nicht relevant waren. Letzlich hat mir das GUI (ich bin kein Freund von CLI) von opnsense besser gefallen und mir war opnsense einfach sympatischer als pfsense/ Netgate. Pro pfsense war für mich lediglich die deutlich größere und aktivere Community, die man als opnsense User aber in den meisten Fällen gleichermaßen nutzen kann.


    Insgesamt ist der Aufbau bei mir recht einfach gehalten, es gibt derzeit 3 WAN Anbindungen und ein LAN das nicht weiter segmentiert ist, spiele aber mit dem Gedanken VLANS für Gäste-WLAN und Administration einzurichten wenn ich Langeweile habe.

    Das erste WAN ist Deutsche Glasfaser mit derzeit 600Mbits download (direkt am Modem) und läuft im Failover mit WAN 2 Vodafone LTE an einem Sierra MC7304 Modem. Das war anfangs zwar kein Must-have, aber da ich ohnehin einen entsprechenden LTE Vertrag für meine Einbruchmeldeanlage als redundaten Ersatzweg habe, habe ich diese dann auch gleich als Failover für den gesamten Internetzugriff eingesetzt. Mein drittes WAN ist temporär noch DSL, bis der Vertrag ausgelaufen ist und wird solange ausschließlich für IPv4 VPN Verbindungen genutzt.

    Anfangs, als ich noch DSL hatte, hatte ich IPS (Suricata) genutzt, was ich nun zwangsweise abschalten musste, da ich sonst nur auf max. 300Mbits download mit meinem Glasfaseranschluss komme. Performantere Hardware werde ich mir dafür aber wahrscheinlich nicht zulegen.

    Weitere "besondere" Services nutze ich nicht, außer den DNSCrypt Proxy.


    Insgesamt bin ich sehr zufrieden damit, läuft alles sehr stabil und ich kann keinerlei Probleme feststellen. Lediglich mit meiner alten Hardware (RC100 G2) hatte ich massive Probleme mit der IPv6 prefix delegation ins LAN, das lief so ziemlich gar nicht, vermute aber, dass hier eine saubere Neuinstallation Abhilfe geschaffen hätte. Nun ist das Gerät neu aufgesetzt und steht als Backup bereit, CARP werde ich aus Gründen der Energieeinsparung wohl nicht verwenden, auch wenn ich spaßeshalber schon damit geliebäugelt habe.


    Edit wegen der Vollständigkeit:

    Telefonie nutze ich nicht, mir reicht es Mobil über zwei Nummern erreichbar zu sein und sehe für mich kein Grund Festnetz zu nutzen.