Wieso ist das so wichtig? Ist es nicht egal was die FB vor der Firewall macht? Außerdem verliert man dann ja auch das WLAN, das man noch für die Smartphones nützen könnte auch wenn die nicht FW geschützt wären.
Firewall für Heimnetz gesucht
- Ersteller DrRock
- Erstellt am
- Status
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
Nein das ist nicht egal. Das NAT muss vollständig raus, lässt du es drin brauchst du auch keine Firewall. Setzt du sie dennoch ein schaffst du dir damit nur zusätzlich Hürden. Aber bitte wen ihr anders wollt, versucht es gerne. Vorzugsweise erst-mal in der VirtualBox üben, und falls ihr noch keine Übung mit Firewalls habt -und das scheint mir so zu sein- startet mit was einfacherem. #97.
Zuletzt bearbeitet:
Dewegen Frage ich doch. Wenn die FB reines Modem ist funktioniert wahrscheinlich auch dect nicht.
Also die FB bietet viele Funktionen bei gerigem Stromverbrauch. Wenn man bereits eine FB hat wäre es preiswerter ein reines Modem vor zu schalten: Modem -> FW -> FB
Also die FB bietet viele Funktionen bei gerigem Stromverbrauch. Wenn man bereits eine FB hat wäre es preiswerter ein reines Modem vor zu schalten: Modem -> FW -> FB
Also die FB hat man ja schon. Ich bin auch am Überlegen mich dem Thema zuzuwenden. Ist spannend. Aber über ein APU Board würde ich preislich nicht gehen. Da scheint mir der Stromverbrauch auch noch vertretbar zu sein.
Wie hast du denn das bei dir aufgebaut? Also welche Komponenten bis zum Client?
Cool, dass du da fett Ahnung hast und hier Support bietest! Danke dafür und für deine Geduld!
Wie hast du denn das bei dir aufgebaut? Also welche Komponenten bis zum Client?
Cool, dass du da fett Ahnung hast und hier Support bietest! Danke dafür und für deine Geduld!
Swp2000
Benutzer
- Mitglied seit
- 29. Nov 2013
- Beiträge
- 2.008
- Punkte für Reaktionen
- 34
- Punkte
- 94
So gesehen kann ich doch aber sagen das VOIP vernachlässigt werden kann, da dies alles vor der Firewall pasiert, die Telefone sind ja nicht über LAN sondern DECT angebunden. Deswegen Frage ich mich wieso das eine Rolle spielt?
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
Je nach Standort und Leitung ein ZyXEL P-871M (VDSL2-Modem) oder ein ZyXEL P-660ME (ADSL-Modem) oder das Kabelmodem vom lokalen Kabelanbieter. Alle drei sind keine Roter, haben kein WLAN, kein DECT/VoIP oder ähnlich, und es können auch nicht mehrere PC's angeschlossen werden. Für die DSL-Kisten bedeutet dies das sie sich nicht selbst einwählen können. Das übernimmt die Firewall dahinter. Die Firewall hat nebst dem einwählen auch weitere aufgaben (wie Routing, DHCP usw). WLAN kommt von einem oder mehreren AP's, und VoIP geht von einem richtige IP-Phone (SiP-Phone -> Snome, Gigaset IP oder ähnlich) aus. Wobei das eigentlich auch eine Handy mit entsprechender App sein kann.
Swp2000
Benutzer
- Mitglied seit
- 29. Nov 2013
- Beiträge
- 2.008
- Punkte für Reaktionen
- 34
- Punkte
- 94
Verstehe, gesetzt den Fall ich schlate Modem-->Firewall--FB-- dann dient mir die FB im Nachinein nur noch für die VOIP? Denn ich habe hier alles FritzDECT Telefone diese müssen nachher noch funktionieren.Die FB muss im nachinein als Router konfiguriert werden, ohne DHCP,DynDNS usw.?
heavy
Benutzer
- Mitglied seit
- 13. Mai 2012
- Beiträge
- 3.802
- Punkte für Reaktionen
- 179
- Punkte
- 129
Bei der FB kommt es darauf an wie die Firewall konfiguriert ist und du die FB konfigurieren willst. Wenn du sie "dumm" machst dann wird aus ihr ein reiner AP also über lan 2bis 4 an die FW angeschlossen, wenn du sie als Router laufen lässt, dann kommen alle angeschlossenen Geräte ins internet sehen aber die anderen direkt an die Firewall angeschlossenen Geräte nicht. Beim Dyndns Eintrag ist die Frage wie die FB die Externe IP ermittelt. Nimmt sie nur die IP am Lan1 dann nützt dir das ja nichts, da dies ja dann die Interne der Firewall ist. (Die Ports sind so bei meiner Lan 2 bis 4 sind ein reiner switch und der Lan1 kann umgeschalten werden um die FB hinter einem Kabelmodem oder ähnlichem zu betreiben. Dann wird Lan1 zum WAN Anschluss und nicht das integrierte DSL Modem.)
Swp2000
Benutzer
- Mitglied seit
- 29. Nov 2013
- Beiträge
- 2.008
- Punkte für Reaktionen
- 34
- Punkte
- 94
Was spricht hier dagegen? So hatte ich mir das auch vorgestellt, aber scheinbar ist die Verwendung der Firewall dann sinnfrei
@Boardi Das meintest du doch?
heavy
Benutzer
- Mitglied seit
- 13. Mai 2012
- Beiträge
- 3.802
- Punkte für Reaktionen
- 179
- Punkte
- 129
Ich gebe zu ich habe den Thread nur eingeschränkt verfolgt, deshalb sollte meine Antwort auch allgemein sein. Auch kenne ich pfsence und co nicht im Detail aber der Vorteil einer echten Firewall ist, dass sie viel genauer einzustellen ist, so kannst du bei der FB einen port nicht explizit sperren, also von dir ins internet gehen die Daten immer, auch kannst du in der FB keine (oder vielleicht bei neueren nur wenige) Protokolle sperren. Bei den Guten FWs kannst du sogar MAC/IP bezogen Regeln erstellen, z.B. kann dann dein VOIP Phone ins internet Telefonieren, der Rechner deiner Kinder aber nicht. Oder die Cam kann zwar ihre Bilder an die DS schicken aber eben keine Daten an den Hersteller, das geht bei den Fritz Boxen die ich kenne so nicht. Und das nicht sehen bezog sich nur auf die automatische erkennung. Kennt jemand die IP der anderen Rechnern kommt er natürlich auch auf die anderen Rechnern er sieht sie eben nur nicht automatisch.
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
Solltest du nachholen. Am besten gleich alle die ich aufgelistet habe al VM in der VirtuaBox. Die meisten, nein ich glaube alle, können auch mit Dyndns.
Das ist so.
Gegen die FB würde vieles sprechen. Aber wen du damit einverstanden bist das mit dem Ausfall deiner FB auch künftig alles zusammen bricht. Du ohne FB Netzwerk, WLAN & Tel nicht unter Kontrolle hast, und die einstell-möglichkeiten bei weitem unter dem Nevau eine dedizierten Firewall liegen. Dann ist es ok.
Wen's für dich nicht ok ist, bist du gezwungen zu investieren. Nicht nur in die HW für die Firewall, auch in die HW für ein Modem, und WLAN-AP. Der Vorteil liegt auf der Hand. Jedes von den lässt sich einzeln abschalten. Beispiel: Modem aus = kein Internet. Dein Netzwerk & WLAN wird jedoch weiterhin funktionieren wie zuvor auch.
Bei den Telefonen ist es etwas verzwickt. Da ist nicht ganz klar ob du normales Festnetz, oder echte VoIP hast. Aber für irgendwas gibts ja den DSL-Splitter. Könntest also deine FB auch zur DECT-Basis degradieren. Entweder am DSL-Spliter, oder hinter der Firewall (je nach Anschluss).
@heavy: pfSence = Multi WAN Firewall, VPN Firewall, Layer 7 Firewall, plus Askozia PBX wen du willst, und vieles mehr. Die Geschwindigkeit regelt sich dabei nach der HW. 3x 10/100 ist genau möglich, wie auch 24x Glas. Die Eckdaten der Software sind höchst beeindruckend -> https://www.pfsense.org/about-pfsense/features.html & https://doc.pfsense.org/index.php/Special:Categories und mit deswegen auch für die meisten Wohnzimmer oversized. Die m0n0wall Ableger (t1n1wall / smallwall) sind da besser geeignet.
Zuletzt bearbeitet:
Das ist halt immer die Krux - mit der All-in-one-Lösung incl. kastriertem VoIP...
Ganz sinnlos halte ich eine Firewall auch in so einem Szenario (also Fritte ist NAT-Router) allerdings nicht. Du kannst entweder Deine NAS direkt an die Fritte hängen (wäre dann also quasi Deine DMZ) und dann mit der FW Dein internes Netz absichern (incoming und outgoing), oder Du musst halt kaskadieren. Wirklich sauber wird das Ganze so halt nicht...
Ganz sinnlos halte ich eine Firewall auch in so einem Szenario (also Fritte ist NAT-Router) allerdings nicht. Du kannst entweder Deine NAS direkt an die Fritte hängen (wäre dann also quasi Deine DMZ) und dann mit der FW Dein internes Netz absichern (incoming und outgoing), oder Du musst halt kaskadieren. Wirklich sauber wird das Ganze so halt nicht...
Ich habe meine Clients bis auf WLAN alle über ein Netgear GS110TP laufen.
Müsste es nicht möglich sein die FW zwischen FB und Switch zu konfigurieren?
Müsste es nicht möglich sein die FW zwischen FB und Switch zu konfigurieren?
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
Genau dass ist der
Da dies hier für mich einer der spannendsten Threads geworden ist und ich ja vor einiger Zeit auch einige Punkte hier mit diskutiert habe, möchte ich hier ganz kurz mal meine aktuellen Stand kund tun.
Ziel für mich war es ja, eine saubere DMZ zu erstellen.
Nachdem ich diverse Firewalls getestet habe, ist es nun PfSense geworden. Warum?
Sophos UTM: Nachdem das astaro.org Forum "gekillt" wurde, habe ich kein Interesse mehr an dieser FW. Mir scheint, man hat etwas dagegen, dass Astaro mal eine gratis FW war, bis diese verkauft wurde.
IPFire: Nette Ansätze mit ihren Farben, aber etwas unflexibel und das Paket-System mit diversen Server-Apps finde ich.. naja.. wir reden hier von einer Firewall, oder? Warum sollte ich mir dort sowas installieren?
IPCop: zu alt
OPNSense: Abklatsch von PfSense mit Bootstrap GUI. Das soll aber bei PfSense auch noch kommen...
Gekauft habe ich dafür eine APU1D4. Verbunden wird das ganze mit einem Draytek 130. Als Modem konfiguriert.
LAN und DMZ bekommen einen Anschluß an der PfSense und werden über VLAN getrennt. Dies war für mich leider notwendig, da mein ESXi Server sowohl interne als auch DMZ relevante VMs enthält.
Als Switch habe ich mir schon einen HP 1620 besorgt. VLAN und LAGG habe ich bereits erfolgreich damit getestet.
Im Moment betreibe ich pfSense testweise (bis zum Einzug im neuen Haus im Februar) mit einer WiFi Card. Als Default WiFi und GuestWifi.
Später möchte ich externe APs nutzen. Einen fürs EG, einen fürs OG.
Ich überlege derzeit auch, meine Fritte als externen AP und gleichzeitig DECT einzusetzen, da ich diverse Telefon von Fritz habe. Spräche etwas dagegen?
Dann könnte ich die Fritte im OG zentral aufstellen und im EG die WiFi Bridge von AVM via LAN anbinden. Sollte ich für das WiFi auch ein VLAN auf dem Switch erstellen, wenn der AP am Switch hängt oder reichen die getrennten IP subnetze für LAN und WiFi?
Ziel für mich war es ja, eine saubere DMZ zu erstellen.
Nachdem ich diverse Firewalls getestet habe, ist es nun PfSense geworden. Warum?
Sophos UTM: Nachdem das astaro.org Forum "gekillt" wurde, habe ich kein Interesse mehr an dieser FW. Mir scheint, man hat etwas dagegen, dass Astaro mal eine gratis FW war, bis diese verkauft wurde.
IPFire: Nette Ansätze mit ihren Farben, aber etwas unflexibel und das Paket-System mit diversen Server-Apps finde ich.. naja.. wir reden hier von einer Firewall, oder? Warum sollte ich mir dort sowas installieren?
IPCop: zu alt
OPNSense: Abklatsch von PfSense mit Bootstrap GUI. Das soll aber bei PfSense auch noch kommen...
Gekauft habe ich dafür eine APU1D4. Verbunden wird das ganze mit einem Draytek 130. Als Modem konfiguriert.
LAN und DMZ bekommen einen Anschluß an der PfSense und werden über VLAN getrennt. Dies war für mich leider notwendig, da mein ESXi Server sowohl interne als auch DMZ relevante VMs enthält.
Als Switch habe ich mir schon einen HP 1620 besorgt. VLAN und LAGG habe ich bereits erfolgreich damit getestet.
Im Moment betreibe ich pfSense testweise (bis zum Einzug im neuen Haus im Februar) mit einer WiFi Card. Als Default WiFi und GuestWifi.
Später möchte ich externe APs nutzen. Einen fürs EG, einen fürs OG.
Ich überlege derzeit auch, meine Fritte als externen AP und gleichzeitig DECT einzusetzen, da ich diverse Telefon von Fritz habe. Spräche etwas dagegen?
Dann könnte ich die Fritte im OG zentral aufstellen und im EG die WiFi Bridge von AVM via LAN anbinden. Sollte ich für das WiFi auch ein VLAN auf dem Switch erstellen, wenn der AP am Switch hängt oder reichen die getrennten IP subnetze für LAN und WiFi?
Zuletzt bearbeitet:
Okay. Ich bin dann raus. Glaube bei mir wäre eine FW, mangels wissen, unsicherer als eine reine FB.
Bordi
Benutzer
- Mitglied seit
- 24. Jan 2010
- Beiträge
- 3.198
- Punkte für Reaktionen
- 3
- Punkte
- 0
Gründe gibt es genug, die frage ist was du installieren willst. Ein Downloadcenter hat da sichern nichts verloren. Gegen squidGuard, ntop, usw.. (Network Management und Sicherheit) oder von mir aus auch bind hätte ich nichts einzuwenden. Ansonsten bin ich ganz bei dir, und halte -wie schon #97 kundgetan- ebenfalls nicht viel von Linux-Firewalls, da schlich zu unflexibel. Was ich dir aber unbedingt empfehlen möchte ist die m0n0wall und deren forks SmallWall & t1n1wall auszuprobieren.
Dafür solltest du dir unbedingt die UniFi AP's von Ubiquity ganz genau ansehen. Das ist eine wirklich gute Empfehlung, die du nicht auslassen solltest.
Nichts. Probiers. Wen's geht ist ok. Wen nicht, nutze die App auf deinen Mobile, kaufe ein Sip-Phone, oder las es. Gibt auch welche mit DECT, gibt allerdings auch Schnurlose die über WLAN gehen. Damit wäre man die hohe DECT Strahlung los, und hätte ein Stromfresser weniger. Allerdings! Schnurlose WLAN SIP-Phones sind martialisch teuer, bieder und rar. Das Ascom i62 Talker ist ein gutes Beispiel, und eines der günstigeren.
Wofür brauchst du ein getrenntes Netz dafür. Stehst du auf kompliziert? Ich hab meine IP-Phones im selben Netz, meine AP's hängen gar in mehreren VLAN's gleichzeitig (und bedienen je nach SSID das entsprechende Netzwerk) .
Es gibt keine Grund eine Abtrennung vorzunehmen wenn du sie nicht brauchst.
Nicht schlecht, aber mit der FB bedienst du schon ne FW. Und eben letzteres ist das Problem. Jeder Router ist (NAT sei dank) auch ein bisschen FW. Das ist als ob du vor einen Zaun noch einen feinmaschigeren Zaun setzt, obwohl du die Aussicht geniessen möchtest. Auch kann es durchaus sein dass du innerhalb deines eigenen Netzwerk plötzlich keinen zugriff auf andere Rechner hast (weil die hinter dem anderen Router hängen). Also eigentlich genau das Gegenteil von dem was die meisten wollen. Router/Firewalls funktioniert wie ein Ventiel. Mit Ventiel hinter Ventiel is nicht so doll. Insbesondere wen du in deinem eigenen Netzwerk den Dicken Schlauch (freier Fluss in beide Richtungen - wie Bw beim Switch) bevorzugst.
...und dennoch: Die FB aufgeben, und zum "dummen" Modem Degradieren?
Scheint ein bisschen wie bei den Apple Jüngern, die eines morgens erwachen, und feststellen das sie sich in die totale Abhängigkeit verfahren haben. Aber so ist das im Leben. Manchmal muss man Porzellan zerbrechen, denn "Was einmal einen Sprung hat, wird nicht mehr ganz".
-- Wobei das mit Apple längst nicht mehr so schlimm ist wie vor Jahren. Heute ist man längst nicht mehr gezwungen das ganze Equipment den Bach runter zu werfen. Linux, Intel, Jailbreak und Co sei dank.
JudgeDredd
Benutzer
- Mitglied seit
- 12. Nov 2009
- Beiträge
- 1.066
- Punkte für Reaktionen
- 9
- Punkte
- 64
Wenn Du "nur" ein WLAN für Dich aufspannen möchtest, dann kannst Du die Fritte nehmen.hakiri schrieb:
Problematisch wird es, wenn Du evtl. noch ein Gäste WLAN haben möchtest. Dann brauchst Du einen AP mit multi SSID der mit VID umgehen kann.
Bei mehreren AP's auch zu beachten sei der Kanalabstand von min. 4 Kanälen und wenn Du auf Client basiertes Roaming setzt, dann solltest Du das WLAN so ausmessen, das es sich nur wenig überschneidet.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
