IP richtig blocken?

    Hallo zusammen


    Ich habe an mehreren Standorten einige QNAP NAS installiert.

    Ich weiss "NAS gehört nicht ins Internet" ist hier eine häufige Antwort - jedoch ist dies nicht wirklich realisierbar, wenn man QVR Pro über eine einzelne Zentrale überwachen möchte. Ebenfalls sind keine Files enthalten, bei welchen es kritisch wäre, wenn diese jemand sieht. Zusätzlich gibts natürlich regelmässige Backups.

    Dennoch sollte es natürlich nicht möglich sein, dass jemand Fremdes mit dem simplen try and error Prinzip sich Zugriff verschaffen kann.


    Nun zu meinem Problem:

    Ich erlebe es in letzter Zeit öfters, dass an einigen Standorten jemand, bzw. ein Bot sich über das Web Interface vom QNAP einloggen möchte (Alle 2 - 3 Sekunden einen neuen Login-Versuch).

    Dafür gibt es ja aber die IP Block-List. Nur scheint diese bei keinem meiner Server richtig zu funktionieren. Die IP wird zwar korrekt gelistet, dennoch erhalte ich weitere Login-Versuche von der-selben IP.

    Wo habe ich hierbei was falsch eingestellt?


    Logs:

    1. Zuerst erhalte ich einige fehlerhafte Login-Meldungen:

    Code
    Message: [Users] Failed to log in via user account "admin". Source IP address: 35.237.97.10


    2. Danach geht die IP automatisch in die Blacklist/Blocklist:

    Code
    Message: [Security] Added IP address "35.237.97.10" to IP block list. Duration: for 30 minutes.


    3. Noch bevor die IP 30 Minuten später wieder freigegeben wird, erhalte ich aber dennoch hunderte weitere fehlerhafte Loginversuche:

    Code
    Message: [Users] Failed to log in via user account "admin". Source IP address: 35.237.97.10.
    Zitat von Wizzardking

    jedoch ist dies nicht wirklich realisierbar, wenn man QVR Pro


    Doch ist es. Stichwort VPN.


    Zitat von Wizzardking

    Ebenfalls sind keine Files enthalten, bei welchen es kritisch wäre, wenn diese jemand sieht.


    Ja nee ist klar, wenn dein NAS dann aber Teil eines Bot-Netzes wird, gefährdest du auch andere. Und wer sagt das der Bot nur auf das NAS beschränkt bleibt ... ?


    Zitat von Wizzardking

    Zusätzlich gibts natürlich regelmässige Backups.


    Die du dann getrost in Tonne treten kannst.

    Kannst du sicher sein das diese Backups nicht kompromittiert sind ?


    Zitat von Wizzardking

    Wo habe ich hierbei was falsch eingestellt?


    Keine Ahnung, stell dochmal Bilder hier ins Forum wo du was eingestellt hast.



    So wie es aussieht hast du die Ports für die Surveilance Station per Forwarding im Router aufgemacht. Du schreibst auch nicht welches NAS und welche Firmware du so offen ins Netz gestellt hast. Aber der freundliche BOT von nebenan wird schon einen Zero Day Exploit finden (sofern vorhanden) und dann bekommst du keine Nachricht im Log. Weil das NAS das gar nicht mitbekommt.

    2 Mal editiert, zuletzt von Jagnix ()

    Also ich habe das bei mir so eingestellt, dass 5 falsche versuche innerhalb 30 minuten zu einem unbegrenzten block der ip führt. Für mich funktioniert das sehr gut. Das NAS schlägt zuverlässig an. Zusätzlich habe ich den admin-Account im NAS deaktiviert und einen anderen Account für die Administration erstellt. Das funktioniert auch soweit so, wie es soll. zusätzlich habe ich den Port verstellt, worüber das NAS erreichbar ist. Die Portfreigaben werden über den Router gepflegt. Auch das funktioniert sehr gut.


    Versuche doch einfach mal die Dauer des Blocks zu verändern. Eventuell liegt es auch daran

    Jagnix


    Danke für Deine Antwort, auch wenn der Ton leider sehr schnippisch ist. Im Internet verlieren so einige die Manieren, daher muss man das wohl hinnehmen.


    Antwort VPN: Mit einem einzelnen NAS kein Problem und wird bei mir auch privat so praktiziert.

    Da ich aber diverse Standorte habe und alle QVR Pro Server an einem weiteren zentralen Ort per QVR Center manage, ist das nicht per QNAP so einfach realisierbar. Zumindest habe ich keine Lösung gefunden, wie ich vom QNAP A (QVR Center) gleichzeitig per VPN ein Tunnel zum QNAP B, C, D, E, F, G und H aufbauen kann und dieses auch 24/7 stabil läuft. Das scheint über die Grenzen vom QNAP OS zu gehen.


    Gerne lasse ich mich aber eines besseren belehren, wenn Du schon sagst, dass das per VPN geht.


    Antwort Bot Netzwerk: Jedes Gerät, welches mit der grossen, weiten und bösen Welt verbunden ist, ist einer Gefahr ausgesetzt. Besonders bei Port-Forwarding. Wobei hier effektiv nur der QNAP Port, welcher mit QVR Pro identisch ist, weitergeleitet wird. Dies ist mir Bewusst und das Risiko nehme ich gezielt in kauf, da ich (wie oben erwähnt) keine andere Lösung finden konnte. Dennoch schaue ich, dass ich dies soweit möglich sicher einrichten kann - Deswegen ja auch meinen Post hier.


    Antwort Backups: Sowohl regelmässige Offline Backups im zyklischen Abtausch inkl Versionierung, als auch Live-Synchronisation per Dropbox und OneDrive mit Versionierung und Retention von mehreren Monaten. Dieser Backup Plan stellt genügend Sicherheit dar um die Daten nicht verlieren zu können.


    Antwort aktueller Stand:

    Verwendete Nas:

    1x TS-1277

    3x TS-873U-RP

    2x TS-451+

    1x TS-251A


    Firmware ist überall auf dem neusten Stand. Müsste bei allen die 4.4.2.1270 sein.


    Screenshots:

    Viel gibts ja nicht zu zeigen.

    IP Zugriffschutz: Extern verlinktes Bild entfernt! Bitte im Beitrag hochladen

    Konto Zugriffschutz: Extern verlinktes Bild entfernt! Bitte im Beitrag hochladen



    Ich hab nun noch selber den Test gemacht mich durch mehrere fehlerhafte Anmeldeversuche zu Blocken.

    QNAP verhält sich da (bei allen Geräten) sehr seltsam. Ich kann zwar weiter versuchen mich anzumelden und das wird auch entsprechend geloggt, jedoch komme ich dann auch beim korrekten Passwort nicht auf den Server. Scheint ein technisches Problem, bzw. eine etwas unelegante Lösung im OS zu sein.

    Zitat von Wizzardking

    auch wenn der Ton leider sehr schnippisch ist.


    Wenn du meinst. War nur die Wahrheit was ich gesagt habe.


    Zitat von Wizzardking

    Da ich aber diverse Standorte habe


    Dann ich geh ich mal davon aus das das geschäftlich ist ?


    Zitat von Wizzardking

    Zumindest habe ich keine Lösung gefunden, wie ich vom QNAP A (QVR Center) gleichzeitig per VPN ein Tunnel zum QNAP B, C, D, E, F, G und H aufbauen kann und dieses auch 24/7 stabil läuft.


    Vom Qnap NAS macht man sowas schon mal gar nicht.

    Wenn dann VPN von Router zu Router bwz. Firewall.

    Erstmal holt man für den Hauptstandort einen ordentlichen Router/Firewall der mit den entsp. Lizenzen für VPN ausgestattet ist. Eine feste IP od. DDNS Adresse ist natürlich Voraussetzung.

    Dann baut man von den Außenstandorten einen VPN Tunnel zum Haupstandort. Fertig.

    Dann schaffe dir halt eine ordentliche Firewall an, die kann dann hunderte Tunnel gleichzeitig halten, da gehen bei dir ja keine Datenmengen durch.


    Gibt so schöne kleine günstige Firewall Appliances, oder du bastelst dir selber was mit einer kleinen x86 Hardware und einer pfSense/OPNsense.


    Vorteil Sicherheit


    Nachteil, man muss wissen was man da macht, das ist ein Enterprise Produkt und will auch so bedient und eingerichtet werden.


    Dafür wird man dann mit eine Leistung und Stabilität belohnt, die Homrouter verberläst.


    Ich liebe meine kleine Netgate SG-1100 und mir kommt nix anderes mehr ins Rack, höchstens später mal eine der großen Swestern, am liebesten was für 19", aber dann muss hier auch das Inet mehr als Gbit liefern, sonst idelt sich die Kiste tot.


    Beim VPN Backup hat mein kleine die Fritz Gegenstell jedenfalls schon ein paar mal so mit Packeten zugeworfen, das die rebootet ist, die halte halt nix aus diese Spielzeuge (ganz schlimm sind die Cabel Versionen mit Intel PUMA Chipsatz und dem entsprechedem Bug).

    Zitat von Crazyhorse

    Beim VPN Backup hat mein kleine die Fritz Gegenstell jedenfalls schon ein paar mal so mit Packeten zugeworfen, das die rebootet ist,

    Puh, das verwundert mich aber jetzt! Baut Netgate wirklich so einen Schrott? Es gibt nämlich auch bei VPN-Protokollen Konventionen, dass der langsamste Teilnehmer das Tempo bestimmt. Da darf keiner den anderen mit Paketen zuwerfen ... ;)

    Netgate baut keinen Schrott, schaue dir den Intel Puma Bug an, hatte ich extra erwähnt.

    Da schießt du den Kernel der Routing Instanz ab, da er mit Packete überladen wird.

    Haben wir auch schon im LAN selber geschafft.


    Das bekommst du bei der kleinsten Netgate nicht hin.

    Selbst als das BU NAS hier stand und 1,5 Tage mit 300-500Mbit sicherte hast du das nicht bemerkt beim Surfen oder bei Downloads oder beim Zocken.

    Das ist eine ganz andere Liga!



    Was du meinst ist Teil des TCP Protokolls im Tunnel und das ist Client Sache.


    Ich gebe über den Tunnel nur die MTU bzw. MSS vor.

    Aber auch das ist Client Sache.


    Meine FW kann halt um die 80MBit die Fritz 10, da ist meine im Idel und die Fritz am Anschlag und das über Stunden/Tage. Wenn dann auf der Gegenseite meine Mom ihr iPhone an den Strom hängt und das Backup los legt ists halt zu viel für die Box.

    Wizzardking,

    ist doch alles richtig gelaufen, wenn du dich erfolgreich hast aussperren können. Und deine NAS arbeitet doch auch richtig. Sie sagt doch ganz eindeutig, auch mit dem richtigen Password, DU KOMMST HIER NICHT REIN.


    Sie erkennt halt erst nach der Anmeldemaske, welche IP-Adresse sich anmelden möchte.


    Und sei unbesorgt, andere hier (zum Beispiel meine Wenigkeit) werden hier genauso kompromittiert. Ich habe heute auch um die 500 falsche Anmeldeversuche gehabt...da lief wieder irgend ein Skriptkid amok und hatte nicht mitbekommen, dass alle Versuche geblockt werden und er schon lange auf der IGNORE-Liste steht.


    Leider ist manchmal mit den übermittelten IP-Adressen nichts anzufangen, weil diese schon bekannt dafür sind, dass darüber Betrugs- und Hackingversuche laufen. Sonst würde ich sowas schon gerne mal an diePolizei oder dei Netzagentur weitergeben...aber das macht wenig Sinn für mich. Trotzdem würde ich (als Privatmann) gerne Wissen, was man auf einer privaten NAS will, die doch nur Urlaubsbilder hostet...


    Bleibt weiterhin gesund und noch ein schönes Restwochenende


    Thomas

    Zitat von Sumpfbulle

    Und sei unbesorgt, andere hier (zum Beispiel meine Wenigkeit) werden hier genauso kompromittiert. Ich habe heute auch um die 500 falsche Anmeldeversuche gehabt...da lief wieder irgend ein Skriptkid amok und hatte nicht mitbekommen, dass alle Versuche geblockt werden und er schon lange auf der IGNORE-Liste steht.


    Oh mein Gott. Wie Naiv kann man Internet mäßig eigentlich durch die Welt laufen ?

    Siehe meine Antwort hier!


    Gruss

    @Sumpfbulle

    Und wenn da nur jemand Crypto Mining betreibt, was noch das harmloseste ist was dir passieren kann.


    Wenn dir dein NAS dann vorzeitig verstirbt, da es die ganze Zeit unter Volllast lief, wirst du bestimmt total begeistert ein neues kaufen und den Hersteller für die super Qualität loben.


    Ein entsprechender Blocker, für GEO IP und die bekannten bösen IPs, gehört auf die Firewall und nicht reaktiv dynamisch auf das NAS.


    Gibt so schöne Blocklisten die man nutzen kann, dann kann man auch relativ sicher einen Dienst wie Plex, den man ständig aktuell hält Freigeben.

    Da in so einem Fall die Sicherheit verhältnismäßig hoch ist und man damit nur ein sehr geringes Risiko eingeht.


    Scheinst dich mit IT-Sicherheit noch nicht viel beschäftigt zu haben, sonst würdest du hier nicht so eine Bemerkung hinterlassen.

    Zitat von Jagi

    Vom Qnap NAS macht man sowas schon mal gar nicht.

    Wenn dann VPN von Router zu Router bwz. Firewall.

    Wenn ich die Tunnells von Router zu Router erstelle, dann wären von jedem Standort alle Geräte zugänglich. Also z.B. auch alle Netzwerkdrucker. Es macht wenig Sinn im Detail zu erläutern, warum dies kontraproduktiv wäre - Jedenfalls wäre dies keine passable Lösung.

    Ich bin mir sicher, dass man das mit zusätzlichen Regeln in der Firewall berichtigen könnte. Allerdings brauche ich eine Standalone und Wartungsarme Lösung.

    Wenn dazu noch ALLER Traffic über einen Standort geroutet wird, habe ich einen Single Point of Failure. Wenn also dann an diesem Standort der Strom, das Internet oder der Router Probleme bereitet, liegt das komplette Geschäft still und alle meine Angestellten können nicht mehr arbeiten. Zudem wird dann bestimmt immer ein Flaschenhals entstehen und die Performance wird schlechter - dadurch auch die Effizienz meiner MA.

    In diesem Fall ist also das Risiko, dass meine NAS gehackt werden könnten, sicherlich das kleinere Übel. ;)


    Ich bräuchte also wenn dann schon eine VPN Verbindung nur zwischen den NAS.

    Oder stehe ich hier mit meiner Überlegung komplett auf dem Schlauch?


    Ich habe nun jedenfalls wegen meinem ursprünglichen Anliegen bei Qnap ein Ticket eröffnet. Dennoch würde ich gerne den Ansatz, dies per VPN zu lösen, gerne weiter erörtern.


    Zitat von Jagi

    Oh mein Gott. Wie Naiv kann man Internet mäßig eigentlich durch die Welt laufen ?

    Zitat von Wizzardking

    auch wenn der Ton leider sehr schnippisch ist

    Internet mäßig wäre es wirklich von Vorteil, an deiner Umgangssprache zu arbeiten.

    Bei der von ihnen gewählten Schreibweise kommt nur ein Gedanke auf: "FY" (und der Betroffene resigniert)


    Alternative Schreibweise wäre z.B. gewesen: Diese Anschauung ist leider etwas gutgläubig. Es wird nicht alles protokolliert und ihr NAS ist somit grossem Risiko ausgesetzt. Ich empfehle dies nochmals zu überdenken und sich entsprechend zu informieren.

    Zitat von Wizzardking

    In diesem Fall ist also das Risiko, dass meine NAS gehackt werden könnten, sicherlich das kleinere Übel. ;)

    Auch mit Smilie ist diese Aussage nicht wirklich lustig.

    Wenn Du Performance über Sicherheit stellst, dann werden das die Kunden sicherlich danken.


    Und warum sollten automatisch alle Geräte für jeden zugänglich sein?

    Wenn das so wäre, könnte kaum ein Unternehmen vernünftig arbeiten.

    Ich arbeite auch in einem global agierenden Unternehmen, kann ich deshalb auf alle Geräte weltweit in unseren Niederlassungen zugreifen? Nein, natürlich nicht.

    Vielleicht wäre es gut, wenn Du statt hier im Forum Dich an einen professionellen Dienstleister wendet. VPN nur zwischen den NAS ist sicherlich nicht die Lösung.


    Gruss

    Zitat von Wizzardking

    Wenn ich die Tunnells von Router zu Router erstelle, dann wären von jedem Standort alle Geräte zugänglich. Also z.B. auch alle Netzwerkdrucker.


    Deswegen sprach ich von anständigen Router/Firewalls. Das sowas mit einer FritzBox nicht machbar ist versteht sich von selbst. Wie gesagt, bei der Menge an Standorten gehe ich von einem Gewerbe aus. Und da sollte man sich schon sehr viel mehr Gedanken machen.


    Zitat von Wizzardking

    Bei der von ihnen gewählten Schreibweise kommt nur ein Gedanke auf: "FY" (und der Betroffene resigniert)


    Ich sage nun mal so wie es ist. Entweder kommt jemand damit klar oder nicht.

    FSC830

    Wie bereits vorhin erwähnt, sind keine sensiblen Daten auf dem NAS, welche Kundendaten beinhalten.

    Primär werden die NAS nur für die Videoüberwachung benötigt und diese schaue ich nur begrenzt als Sensibel an, da kein Hacker einen produktiven oder finanziellen Nutzen dadurch erzielen kann.


    Ich bin Inhaber einer KMU mit 20 MA und keinem Grosskonzern.

    Ich hoffe Du verstehst daher, dass ich:


    A) Nicht in der Performance und Stabilität (Single Point of Failure) des kompletten Geschäftsablauf einbussen mache, um "nur" die Videoüberwachung sicherer zu gestallten.

    B) kaum dazu bereits sein werde eine teure Consulting Firma zu engagieren "nur" damit die Videoüberwachung mehr Sicherheit gegen Aussen hat. Kaum jemand hier, der gerade debattiert, würde 10'000.-, welche mich die "professionelle" Einrichtung dafür schnell kosten würde, "nur" für die Sicherheit der Videocams, bzw. der Speichern für die Aufnahmen ausgeben. Zumindest nicht, wenn es euer eigenes Kapital ist. Als Techniker in einem Grosskonzern, mit dem nicht eigenem Firmenkapital, ist die Denkweise da aber natürlich etwas anders.



    Zitat von FSC830

    Und warum sollten automatisch alle Geräte für jeden zugänglich sein?

    Netzwerkdrucker sind z.B. für ALLE im internen Netzwerk zugänglich. Dies ist so auch für mich okay, da ich Büros, Lager und Filialen an unterschiedlichen Standorten getrennt habe. Wenn ich doch die kompletten Netzwerke per VPN verbinde, dann wären doch alle Geräte von jedem Standort aus zugänglich?

    Klar könnte ich z.B. für jeden Drucker eigene Whitelists erstellen, nur sind wir dann wieder weit entfernt von Wartungsarm, da wir alle paar Tage irgendwo wieder neue Geräte anschaffen und ich die Config wieder erweitern müsste.

    Mir selber fehlt die Zeit mich dann jeweils selber immer um die Einrichtung zu kümmern und für einen Hausinternen Sysadmin ist mein Unternehmen einfach viel zu klein.

    Zitat von Wizzardking

    Wie bereits vorhin erwähnt, sind keine sensiblen Daten auf dem NAS, welche Kundendaten beinhalten.

    Primär werden die NAS nur für die Videoüberwachung benötigt und diese schaue ich nur begrenzt als Sensibel an, da kein Hacker einen produktiven oder finanziellen Nutzen dadurch erzielen kann.


    Es hängt also defakto in deinem Intranet deiner Firmenstandorte. Du sagst auf dem NAS sind keine wichtigen Daten. Aber in deinem Intranet. Vom NAS --> Intranet ist es nur ein kleiner Schritt.,

    Ein Cryptotrojaner greift sich jedes Share was er zu packen bekommt. Und wenn ich mich recht entsinne ist die DSVGO bei Einbrüchen ins Firmenlan auch im Spiel.

    Aber, deine Firma und deine Kunden ... :)


    Zitat von Wizzardking

    Ich hoffe Du verstehst daher, dass ich:


    Nein, verstehe ich nicht. Weil ich bei einigen kleineren Firmen schon gesehen habe wie das Sparen an der Sicherheit richtig in die Hose gegangen ist.

    Deine Firma, deine Entscheidung. Thema durch. :)

    Bei einer Firewall (ich meine eine echte) ist per default alles verboten.


    Du kannst hier also so viele VPN Tunnel erstellen wie du willst.

    Wenn nur NAS 1 mit NAS 2 sprechen soll, kommen beide IPs in eine Regel und dann dürfen die das über den Tunnel.

    Clients die dort nicht drin stehen können nix über die Tunnel erreichen.


    Alles andere was ins Internet geht, geht direkt dorthin und läuft nicht erst durch einen VPN Tunnel.


    Wie ich das verstehe hast du eine flache Netzstruktur, ein Standort ein Netzbereich und da ist alles drin.

    Von der Schrott iOT Cam über das NAS bis hin zum PC der MA.


    Kann man machen, gehr aber auch schöner.


    Du hast Angst dass es Ausfälle gibt, wie ist da aktuell sie Strategie?

    Redundante WAN Verbindungen vorhanden?

    Router laufen als Cluster?


    Spätestens beim Switch hört es auf, da die meisten Clients nur 1 LAN Karte haben.


    Man könnte die als Fallback mit WLAN Karten bestücken und die APs von einem anderen Switch betreiben oder bei einem Stack auf einem anderen Modul.


    Aber ich denke das ist alles overkill für dich.


    Was die fehlt sind Grundsätzliche Infos zum Thema Firewalling, Routing und VPN.


    Eine kleine Netgate kostet etwas über 200€, kann aber ganz andere Dinge wie ne Fritz, was Firewalling, VPN und auch DNS angeht.

    Für die pfSense gibts für so ziemlich alles eine Anleitung.

    Damit kann man dann, mit einem gewissen Grundverständnis für die Themen starten und was gescheites aufbauen.


    Auch die kleinste kann schon einen Cluster aufbauen und mit redundanten WAN Strecken umgehen.

    Crazyhorse

    Danke für Deine Antwort.


    Zitat von Crazyhorse

    Bei einer Firewall (ich meine eine echte) ist per default alles verboten.

    Ich glaube hier besteht bei mir das grosse Missverständnis. Blockt die "Hardware"-Firewall dann nur den Traffic von aussen, also vom Internet, oder muss ich dann eben auch im Internen Netzwerk neue Netzwerkdrucker, etc. manuell in der Firewall freigeben, damit PCs im selben Netzwerk den Drucker verwenden können?

    Wenn letzteres, kann ich dann im Firewall eine Whitelist erstellen, damit alle IPs in der IP-Range des internen Netzes auf allen Ports (ebenfalls für Clients mit der IP-Range des internen Netzes) kommunizieren dürfen?

    Oder wäre dies bereits wieder fahrlässig, wenn ich alle Clients im selben Netz miteinander kommunizieren lasse?


    Zitat von Crazyhorse

    Wie ich das verstehe hast du eine flache Netzstruktur, ein Standort ein Netzbereich und da ist alles drin.

    Von der Schrott iOT Cam über das NAS bis hin zum PC der MA.


    Kann man machen, gehr aber auch schöner.

    Ja, ist so fast richtig. Ausser die Cams, diese werden (zumindest bei den grösseren Standorten) direkt an einen separaten Netzwerkport am NAS angeschlossen und sind nur vom NAS erreichbar.

    Was gäbe es denn da noch zu optimieren? (Ich möchte kein zu massives Konstrukt aufbauen - sollte noch schlicht und wartungsarm bleiben.)



    Zitat von Crazyhorse

    Du hast Angst dass es Ausfälle gibt, wie ist da aktuell sie Strategie?

    Redundante WAN Verbindungen vorhanden?

    Router laufen als Cluster?

    Jaein - Wenn ich dies richtig Verstanden habe, dann war einer der vorherigen Vorschläge, dass ich allen Traffic per VPN über einen einzelnen Standort laufen lasse sollte. Hierbei würde dann die Gefahr bestehen, dass wenn dieser Zentrale Standort ausfällt, dann gleich alle Standorte keinen Internetzugriff haben.

    Wenn nun aber mal an einem einzelnen Standort das Internet ausfällt oder es Netzwerkprobleme gibt, ist das nicht gleich Geschäftskritisch und brauche auch keine Backup Lösung dafür. Es ging mir dabei nur um den Single Point of Failure für alle Standorte gleichzeitig.



    Zitat von Crazyhorse

    Eine kleine Netgate kostet etwas über 200€, kann aber ganz andere Dinge wie ne Fritz, was Firewalling, VPN und auch DNS angeht.

    Für die pfSense gibts für so ziemlich alles eine Anleitung.

    Damit kann man dann, mit einem gewissen Grundverständnis für die Themen starten und was gescheites aufbauen.


    Auch die kleinste kann schon einen Cluster aufbauen und mit redundanten WAN Strecken umgehen.

    Die benötigten Rechte um an Kundendaten zu gelangen, haben nur MA vom Büro, wo auch die Video-Zentrale ist. In diesem Fall müsste es ausreichen die Firewall nur dort zu installieren und von dort aus per oVPN ein Tunnel direkt zu den NAS an den anderen Standorten aufzubauen?

    Oder wo wäre hierbei der Vorteil, wenn ich auch für die anderen Standorte, welche ohnehin nur sehr eingeschränkte Berechtigungen haben, noch eine Firewall installiere?