IP Bereiche dauerhaft blocken

    Zitat von FSC830

    Den Modemmodus hat AVM schon vor Jahren entfernt.

    :ziped: Das wusste ich nicht.

    Zitat von PetiJ

    Ich dachte, das Teil kommt nur zwischen Fritzbox und Switch.

    Jo, genau so... genauer gesagt zwischen Modem und Switch.

    Zitat von PetiJ

    Warum mehrere LAN-Anschlüsse?

    Einer für WAN (vom Modem) einer für LAN (zum Switch) und zwei zur freien Verwendung. Ich habe an einem zB WAN2 (LTE Failover), man könnte die aber auch für weitere (phsysikalisch getrennte) Subnetze verwenden oder einfachen zum LAN bridgen, sprich als weitere LAN Ports verwenden.

    okay, verstanden

    jetzt will ich Euch nicht weiter beanspruchen. Es wird etwas Zeit vergehen (HW beschaffen, SW installieren usw.). Mal sehen, wie weit ich komme.

    Danke für die Hilfe.

    Gruß

    PetiJ

    Einmal editiert, zuletzt von PetiJ () aus folgendem Grund: Ein Beitrag von PetiJ mit diesem Beitrag zusammengefügt.

    Ich bin eher für pfSense, da hat man die bessere Basis und z.B. OpenVPN ist nutzbar, bei der OPNsense ist das zur Zeit defekt, jedenfalls wenn man bestimmte Funktionen benötigt.


    Da wird mir auch irgendwie zu viel gebastelt und es ist irgendwie nicht so eine schöne klare Linie zu erkenne, die GUI wird öfters mal umgebaut.


    Aber es ist Geschmackssache, bin da aber eher ein Freund von stabil und sicher.


    Vor allem könntest du für deine Freigaben auch den HA Proxy nutzen und der ist auf OPNsense Seite jetzt total komplex einzurichten.

    Und die Doku ist bei der blauen eindeutig besser und nur zum Teil auf die andere übertragbar.

    Ich komme zwar ein bisschen spät, so dass es beim jetzigen Stand der Diskussion keine Rolle mehr spielt; aber fürs Protokoll:


    1. GeoIP ist alles andere als zuverlässig. Die Bestimmung des Landes zu einer IP-Adresse ist zwar bei den meisten GeoIP-Diensten meistens korrekt, aber mehr auch nicht. Wenn man das einsetzt, muss man einkalkulieren, dass immer mal wieder eine Adresse komplett falsch zugeordnet wird. Zum Beispiel wird der ganz offiziell zugewiesene und beim RIPE mit der korrekten Postanschrift registrierte statische IPv4-Adressbereich meines Arbeitgebers mitten in Deutschland von einem bekannten GeoIP-Dienstleister (ich nenne keine Namen) seit Jahren und trotz mehrfacher Korrekturmitteilungen in Jordanien verortet, von einem zweiten in der Schweiz, von anderen aber auch durchaus korrekt in Deutschland.


    2. FTP ist ein sehr altes und kompliziertes Protokoll. Es stammt aus einer Zeit, in der noch niemand an VPN, NAT und Firewalls dachte. Dementsprechend scheitert es öfter an diesen "neumodischen" Konstrukten. Das führt dann genau zu solchen Effekten, dass der Verbindungsaufbau klappt, aber keine Datenübertragung. Es kann also sein, dass die Fehlfunktionen bei der Verbindung über Island gar nicht an der Verweigern-Liste des NAS lagen, sondern an dem vorgeschalteten VPN-Tunnel.

    Zitat von Crazyhorse

    Ich bin eher für pfSense, da hat man die bessere Basis und z.B. OpenVPN ist nutzbar

    Ich schmeiß noch Sophos UTM in den Ring. Für 50 interne IPs kostenlos.

    Das sollte in dem typischen Heimnetz ausreichen.

    Zitat von Crazyhorse

    OpenVPN ist nutzbar, bei der OPNsense ist das zur Zeit defekt

    Das ist afaik soweit wieder iO. Das hatte Anfang Mai angefangen als OVPN 2.6 eingeführt wurde. Das ist dann halt manchmal der Preis für zeitnahe Updates, wobei hier ja auch ganz klar die Devise ist: Man muss nicht immer jedes Update mitnehmen! Ich hatte solche Probleme schon befürchtet, da die Probleme ja schon vorher angefangen haben als OVPN den neuen Client veröffentlicht hat.

    Zitat von Crazyhorse

    die GUI wird öfters mal umgebaut

    Habe ich zB selten erlebt... hier und da mal eine Anpassung, aber nichts womit man nicht zurechtkommt.

    Zitat von Crazyhorse

    bin da aber eher ein Freund von stabil und sicher.

    Was stabil angeht hat pfsense sicherlich die Nase vorn. Was sicher angeht sehe ich OPNsense vorne. Beides halt bedingt durch das kurze Updateintervall bei OPNsense.

    Zitat von rednag

    Für 50 interne IPs kostenlos.

    Das wird in der heutigen Zeit aber auch schon etwas eng... Ich will mir nicht anmaßen zu sagen, dass ich ein typisches Heimnetz habe, aber selbst ohne VPN und Spiel-und-bastel-Geräte habe ich bereits 35 statische IPs vergeben und ich habe kein Smart Home Gedöns was bei Vielen heute ja Standard ist. Mit VPN IPs komme ich auf etwa 45 statisch vergebene Adressen, da wäre nun gerade noch Platz für die Interface IPs der Firewall, Gäste bräuchten dann nicht mehr über WLAN nachdenken :)

    Ich denke mal das ist dann auch nur auf v4 gemünzt und nicht auch noch auf v6...

    Zitat von tiermutter

    Was sicher angeht sehe ich OPNsense vorne. Beides halt bedingt durch das kurze Updateintervall bei OPNsense.

    Mit dem Packet "System_Patches" kannst du wichtige Fixe einfach in eine bestehende Installation einpflegen, meist sogar ohne Reboot.

    Sehr flexibel, findet man einen Fix der noch nicht im Paket enthalten ist, kann man das manuell einpflegen und somit gleich von der Fehlerkorrektur profitieren und muss nicht auf einen neuen Releas warten.

    Interessant, davon hatte ich noch nicht gehört... dachte immer man "muss" auf ein Release warten... bzw. sollte. Sicherlich kann man einzelne Pakete über BSD direkt aktualisieren, davor habe ich aber immer ein wenig Hemmungen bzw. bin ich kein großer Freund von.

    Wenn du das irgendwo her zauberst ja, aber wenn du im Hersteller Forum auf den Bug verwiesen wirst und da die URL oder Commit ID drin steht, der dann exakt so in den nächsten Release übernommen wird oder wenn er kritisch genug ist kurz daraufhin in das Paket "System_Patches".

    Hallo,

    danke für die vielen interessanten Beiträge.

    Ich bin dabei mich in OPNsense einzulesen und Hardware auszusuchen und zu besorgen. Sollte Mitte Juli eintreffen und ist für 150,-Euro ein lüfterloser Mini mit 4 LAN's geworden.

    Für die hardwaremäßige Installation benötige ich wohl einen Schubs in die richtige Richtung. Einer hat geschrieben, mit der Fritzbox muss ich doppeltes NAT machen (mit einer weiteren Fritzbox). Meine erste Vorstellung war so:

    DSL-ANschluss -- Fritzbox 7590 -- OPNsense Hardware -- Switch -- restliche LAN-Geräte. Fritzbox ist für mich wegen Telefonie nötig! Damit das geht, würde ich 1. alle WLAN-Verbindungen zur Fritzbox deaktivieren und am Switch (also hinter OPNsense) einen AP für WLAN installieren und 2. einfach alle Ports in der Fritzbox weiterleiten an die WAN-Adresse der OPNsense-Hardware. Ist das ein gangbarer Weg oder grundsätzlich falsch weil unsicher? In meiner Vorstellung muss ja so auch alles durch OPNsense und wird so abgesichert.

    Wie müsste die Kette aussehen, wenn ich 2 Fritzboxen einsetzen muss?

    Gruß

    PetiJ

    Ich hoffe du hast einen mit Intel Nics erwischt, die günstigen Dinger haben oft keine und nur die werden sauber unterstützt.

    Realtek Treiber gibt es inzwischen zwar, aber da musst du zum Teil noch immer selber Hand anlegen und die reinladen.

    Dazu muss man sagen dass das generell ein BSD Problem ist, OPNsense bietet "ordentliche" re Treiber aber als Plugin an, die per Mausklick installiert werden können :mcup:

    Hallo,

    Crazyhorse hat mich verunsichert. Meine Bestellung hat keine Intel NICs und ich habe sie storniert. Dann habe ich gezielt nach Intel gesucht und Mini's mit Intel i225 oder i226 gefunden. Aber auch da gibt es Hinweise, dass da ev. ein Treiberproblem auftreten kann. Bei einer Ausgabe über 100Euro will ich nicht testen sondern wissen, dass die Hardware okay ist. Mein Rahmen würde bis ca. 200Euro gehen.

    Nun will ich zunächst mehr Erfahrungen sammeln mit Firewalls zum Nulltarif. Das mache ich dann doch mit einem Pi4. Wenn ich mich in dem Thema besser auskenne, kann ich einschätzen, ob eine stärkere Firewall (mehr Funtionen oder mehr Rechenleistung) für mich sinnvoll ist.

    Ich danke für die vielen Hinweise und Anregungen.

    Gruß

    PetiJ

    Du kannst auch eine VM auf deinem NAS aufsetzten und darin pfSense/OPNsense testen.


    Ich habe mir eine Sophos SG 135 Rev3 von eBay beschafft, die bekomme ich in kürze und werde dann da pfSense drauf installierten. Ob alle 8 NICs funktionieren kann ich beurteilen wenn die hier ist. Die zuvor ins Auge gefasst SG 125 Rev3 wurde leider aus Kleinanzeigen entfernt, die war noch einen Tick günstiger und würde auch reichen. Muss ja nicht gleich immer neue sein...

    Der verbaute Atom C3558 ist jedenfalls extrem leistungsstark für eine Firewall und bietet Intel Quick Assist Crypto support.


    Eine Firewall ist halt ein Router und der muss Pakete weiterleiten und das möglichst schnell und Fehlerfrei, da ist die verbaute NIC halt sehr entscheidend. Die Intel GBits sind seit Jahre ausgereift und haben einen genialen Treiber Support.

    Die 2,5G NICs hatten Anfangs Probleme, die 225er sind ab der Rev 3 auch Fehlerfrei, die 226 stellt noch mal die leicht neue Version dar, ist aber bei pfSense erst in der 23.01.x oder 2.7 unterstützt. Letzte ist Beta und ich würde sagen kurz vor final.

    Hyperthreading ist nichts für eine Firewall, jedenfalls nicht wenn du sie als Appliance optimal betreiben willst, hier muss alles was rein kommt gleich durch die CPU Pipe durch und nicht erst noch mit einem weiteren Thread um den Platz in der Warteschlange kämpfen.

    Das ist der Grund warum z.B. die C Atoms das gar nicht erst können, die haben nur echte Kerne.

    Aus dem Grund sind dann aber auch die Celerons wieder interessant, wobei diese halt nicht wie die C Atoms auf den Spezialfall Routing/Firewalling hin optimiert. Aber der höhere Takt gleich das dann z.B. wieder aus.


    Willst du aber z.B. einen IPsec Tunnel zu einer Fritzbox bauen, dann ist ein C Atom genial, weil er SHA512 in Hardware kann und der Tunnel damit für so gut wie keinerlei Last sorgt, auch wenn gerade am Upload Limit einer Seite begrenzt wird.


    Und ja, Kisten die gescheite NICs bieten sind gleich teuer, bei Amazon habe ich auch ein paar im Auge und die liegen bei 200-300€.


    Ein Hersteller der immer wieder genannt wird wenn es um gute Hardware dafür geht, die aber auch nicht ganz billig ist, dafür aber sehr haltbar, dann fällt immer wieder dieser Name: protectli

    Protectli: Trusted Firewall Appliances with Firmware Protection
    Secure your network with a trusted Protectli Firewall Appliance! Fully compatible with open-source software. US-based support, warranty and repairs.
    eu.protectli.com

    Zitat von Crazyhorse

    Eine Firewall ist halt ein Router und der muss Pakete weiterleiten und das möglichst schnell und Fehlerfrei, da ist die verbaute NIC halt sehr entscheidend. Die Intel GBits sind seit Jahre ausgereift und haben einen genialen Treiber Support.

    Deswegen habe ich ein Gerät mit dem neuen Celeron N200 (bei deutlich mehr Power bei nur 6 Watt Leistungsaufnahme im Gegensatz zu den J4212, J4213 u.ä. mit 10 Watt) auf meiner Amazon-Liste :)

    Teilzitat aus dem Titel bzw. der Beschreibung: "KingnovyPC Upgrade Firewall Micro Appliance, 4 Port i226 2.5GbE LAN Lüfterloser Mini PC Celeron N200"

    (k.A. ob man hier Links einstellen darf, ggf. auch mal Domain des erwähnten Händlers eintippen und dahinter /dp/B0BZP1LBCD/ anfügen.

    Gibt es mit verschiedenen Speicher-Bestückungen, mit 8GB DDR5 128GB NVMe SSD wird das Stück zur Zeit mit knapp 345 Euro gelistet.


    Weitere Geräte mit dem N200 hab ich noch nicht gesehen, noch gar keins mit dem nochmals besseren N300, wobei der dann schon für sich selber wieder mehr Leistung zieht ...


    Hab es aber nicht so arg eilig, denn die bestellte Glasfaser ist noch nicht da und ich bin auch gespannt aufs nächste AVM "flag ship" ... bis dahin komme ich noch sehr gut ohne VPN-Zugriff von außen aus und somit auch ohne pfSense-Kistchen :)

    Ich komme mit meinem atom e3845 und 4GB primstens mit glasfaser und VPN (wireguard) zurecht und kann die 300/150 Mbits voll ausreizen. Hatte auch mal über GBit getestet, weiß aber nicht mehr wie viel ich da durchbekommen habe.

    Hallo, kann mir bitte noch jemand einen Tipp geben, ob ich hiermit richtig/falsch liege:

    Meine erste Vorstellung war so:

    DSL-ANschluss -- Fritzbox 7590 -- OPNsense Hardware -- Switch -- restliche LAN-Geräte. Fritzbox ist für mich wegen Telefonie nötig! Damit das geht, würde ich 1. alle WLAN-Verbindungen zur Fritzbox deaktivieren und am Switch (also hinter OPNsense) einen AP für WLAN installieren und 2. einfach alle Ports in der Fritzbox weiterleiten an die WAN-Adresse der OPNsense-Hardware. Ist das ein gangbarer Weg oder grundsätzlich falsch weil unsicher? In meiner Vorstellung muss ja so auch alles durch OPNsense und wird so abgesichert.

    Wie müsste die Kette aussehen, wenn ich 2 Fritzboxen einsetzen muss?

    Gruß

    PetiJ

    Zitat von PetiJ

    Und auch wenn es immer heißt: VPN ist kinderleicht... das ist nicht richtig für einen Laien. Da bitte ich um Verständnis/Nachsicht.

    hm...

    Aber FTP können die bedienen?

    Fritzbox kann offiziell Wireguard :)

    So einfach hab ich noch nie eine VPN Verbindung erstellt.


    Alle auf Fritzbox umstellen und schon geht alles über VPN.


    Netzlaufwerk einrichten und ab die Post.

    FTP wurde von mir auf einem Pi mit Kodi eingerichtet.

    VPN von einem Netz, das nicht unter meiner Kontrolle steht sehe ich sehr kritisch. Wenn dort jemand Unfug macht ist auch mein Netz kompromitiert.

    Wireguard zw. 2 Fritzboxen war sehr problematisch. Ich war ca. 1,5 Monate mit AVM in Kontakt und sie konnten keine Lösung anbieten. Die Firmware ist fehlerhaft. Von Smartphone zu Fritzbox aber total easy, da stimme ich zu. Ich habe dann nach vielen Versuchen auch 2 FBs mit Wireguard verbunden. Ich war sehr von AVM enttäuscht, dass ich als Nicht-Profi die Lösung gefunden hatte.

    Fazit VPN ist in diesem Fall nicht die Lösung.

    Qnatsch danke für Deine Gedanken

    Gruß

    PetiJ

    Zitat von PetiJ

    Fazit VPN ist in diesem Fall nicht die Lösung.

    Das ist Schade.

    Nur VPN ist die Lösung.


    PS: und wenn es zur Zeit mit Wireguard hackt. AVM wird eine Lösung bringen.


    Ich hab noch kein Ferienhaus wohin ich eine zweite Fritzbox bringen könnte um die Wireguard Fritz zu Fritz ausprobieren könnte.............