Wie bekomme ich als Anfänger mein NAS + Netzwerk bestmöglich sicher?

    Zitat von Crazyhorse

    Die Firewall in der Fritz sieht den Verbindungsaufbau vom NAS aus zum Server, das ist erlaubt also wird dieser Weg freigeschaltet. Da diese Statefull arbeitet ist auch der Rückweg erlaubt.

    Danke an alle für diese Infos, besonders die Ausführungen von Crazyhorse haben mir sehr geholfen. Allerdings bin ich trotzdem noch am Überlegen, ob ich eine externe Firewall, so wie z.B. die von Crazyhorse empfohlene netgate SP-2100 einzusetzen, aber da muss ich mich wohl noch etwas schlauer machen...

    Nochmals vielen Dank.

    Dein 653 hat doch mehrere LAN Ports.

    Installiere dir doch für den Anfang mal eine Virtuelle pfSense und teste ein wenig rum.

    Schaue dir das Regelwerk an usw.


    Du solltest wissen wie die funktioniert und tickt wenn du eine Appliance einsetzt.


    Wenn du dir hier schon Regelwerk zusammen gestellt hast, kannst das hinterher ggf. sogar übertragen.

    Die Konfiguration ist eine Testdatei und damit einfach editiert, was im Grunde nur die LAN Port zu Interface Zuordnung angeht.

    Der Rest könnte so übernommen werden.


    Habe meine jetzt erst noch mal ein wenig überarbeitet indem ich den pfblocker mit Version 3 neu gemacht habe.

    Crazyhorse Also, ich habe mir bereits ein SG-2100 bestellt. Bis dieses eintrifft kann möchte ich gerne eine virtuelle pfSense installieren, ich wusste bisher garnicht dass das geht. Ich habe noch ein "TEST-NAS, QNAP TS-431P mit dem kann ich das mal ausprobieren. Allerdings habe ich noch keine Ahnung wie man das installiert, da muss ich wohl erst noch googlen.

    ok, da möchte ich aber nicht rumprobieren, da warte ich dann lieber auf das netgate...

    Ok dann berichte mal wenn es da ist und du die ersten Grundeinstellungen vorgenommen hast.

    Angeregt durch die verschiedenen Diskussionen hier mache ich mir Gedanken über einen Netzumbau.

    Es geht vor allem darum die QNAPS vor externem Zugriff zu schützen.


    Momentan ist das ganze relativ einfach:

    StatusQuo.png


    Bis vor kurzem fehlte die Netgear Firewall. Ich hatte noch eine rumliegen und die habe ich gestern mal probeweise eingebaut. Die ist allerdings schon relativ alt. Was natürlich sofort auffällt ist die Tatsache, dass das WLAN in der Fritzbox nicht durch eine externe Firewall geschützt werden sondern nur von der Fritz-Box-Firewall. Als DNS-Server habe ich momentan eine PI-hole, DHCP macht die FB, könnte man aber auch in der Netgear. Die zweite Fritzbox dient nur als WLAN AP.


    Wenn das Negate SG-2100 ankommt dann werde ich erst mal die Netgear FW und das Pi-Hole sowie den DHCP-server in der FB durch den SG-2100 ersetzen.


    StatusSG2100.png


    Jetzt habe ich schon ein Gerät weniger (Pi-hole), aber der WLAN-Zugang in der FB ist immer noch nicht durch die externe FW verwaltet.


    Um dies auch noch zu verbessern bleibt wohl nur die Möglichkeit, den WLAN-Teil in der Fritzbox auch abzuschalten und das WLAN mit externen APs, z.B. den von Crazyhorse vorgeschlagenen UniFi, zu betreiben.


    StatusSG2100-1.png


    Wie ist das dann mit der Firewall/Router, der fest in der Fritzbox verbaut ist. Stört der diesen Aufbau? Den Routerteil wird man sicher benötigen da er wohl die Telefondaten an den Telefonteil der Anlage weiterleitet.

    Was meint ihr dazu, bzw. hat jemand von Euch noch bessere/alternative Vorschläge?

    Ja die Fritz ist dann weiterhin die Kiste die PPPoE macht, damit auch hier die SIP Einwahl macht und die Telefone per DECT anspricht.


    Problem ist halt du brauchst ein Modem vor der Netgate, das ist halt in der Fritz drin.

    So hast du zwar doppeltes NAT aber das ist in den meisten Fällen kein Problem.

    Was sind das für Fritz Modelle?


    Von UniFi gibts jetzt auch ganz neue APs mit WiFi 6, dann hast hier auch was ganz aktuelles an der Wand, besser Decke.

    Hauptfritzbox: 7590

    + zwei 7490 als WLAN-AP (nur WLAN benutzt)

    + es liegt noch der Vorgänger der 7590 rum, die Bezeichung weiss ich momentan leider nicht genau, aber es war etwas mit 84xx, glaube ich (anderes Gehäuse als die üblichen FBs)


    Wäre sicher nicht schlecht wenn ich die FBs, die als WLAN-APs benutze, durch richtige WLAN-APs ersetzen würde. Ich würde dann drei innen und eine für den Gartenbereich (aussen) verwenden. Ich habe mir die UniFI noch nicht so genau angeschaut, aber ich habe schon gesehen dass einige zwei Ethernet-Anschlüsse haben. Das wäre natürlich nicht so optimal wenn die für 2.4G und 5G separate Leitungen brauchen, ich hab nämlich nur jeweils eine dort.


    Crazyhorse Also ich finde mich auf deren Internetseite nicht sehr zurecht, wenn man keine Ahnung hat wie die Dinge genau heissen dann findet man auf Anhieb nicht das Richtige. Ich hätte eben die von Dir vorgeschlagenen APs mit WIFI6 gesucht aber in deren Suchfunktion is das offensichtlich noch nicht drin. Wenn ich mich nicht täusche dann brauche ich doch wohl den AP-PRO (2.4G und 5G) aber von Wifi6 lese ich da nichts. Ist das Ding evtl. so neu dass es noch nicht auf der Web-page ist?

    Mir ist gerade noch ein kleines Problem aufgefallen: Wie komme ich an die Configuration der Fritzbox wenn die ja dann auf der anderen Seite der Firewall steht?

    2 Mal editiert, zuletzt von AlbiQ () aus folgendem Grund: Ergänzung

    Die APs könnten zum Teil halt LAG, musst du aber nicht nutzen, aber dann ist halt bei 1GBit Ende.

    Ein AP hatte auch einen 10G Uplink, braucht man als Privatperson aber eher selten.


    Ist doch hier einfach zu finden:

    https://www.ui.com/products/#unifi


    Mit einer richtigen Firewall kann man sauber routen und auch granulares Regelwerk bauen, z.B. http/https vom internen Netz auf die IP der Fritz zulassen usw.


    Du musst sogar Regelwerk bauen, sonst kannst du z.B. die pfSense zwar managen, aus deinem LAN raus, aber ins Internet kommst du nicht einfach mal so per default.


    In einer richtigen Firewall ist grundsätzlich alles verboten, es sei denn du erlaubst es als Admin.