Firewall für Heimnetz gesucht

[DrRock]

Hi,

ich spiele mit dem Gedanken mal eine Firewall zu kaufen. Ich habe nun schon ein paar Berichte und Tests gelesen, aber ich hätte nun gerne noch ein paar Meinungen von Leuten gehört, die auch eine Firewall (keine AVM Router etc..) in einem wie bei mir ähnlichen Szenario betreiben.

Was befindet sich hinter der FW:
1. FritzBox 7490 für VoIP
2. Gbit-Switch unmanaged
3. DS415+
4. Rechner, Handy, Media-Geräte etc.

Was soll gefiltert werden können:
1. Ein- und Ausgehende Pakete sollen auf Viren überprüft werden (FileStation, DSM, Port 80 und 443 Anwendungen wie Owncloud oder Egroupware)
2. Ein- und Ausgehende eMail Pakete sollen geprüft werden. Auf der DS läuft ein Mailserver.

Was soll die FW können:
1. VPN (auch openvpn).
2. Content Filter mit Aktualisierungen (vllt. niedrige Folgekosten).
3. VoIP "muss" funktionieren.
4. VLan

Ich besitze ein signiertes Zertifikat auf der DS laufen. Wie verhält es sich, wenn die VPN-FW die VPN Verbindung initiert ? Muss man hier ein eigenes Zertifikat ausstellen lassen?


Ich habe mir die ZyXEL ZyWALL USG 20W angesehen und glaube das das was ordentliches für den Hausgebrauch ist. Der Preis wäre in Ordnung.
Nur glaube ich kann diese kein OpenVPN, was aber nicht wirklich dramatisch ist. Was könnt ihr mir sonst noch Empfehlen ?


Macht das Sinn ... ?:
...die LAN2 Buchse der DS für den Zugriff aus dem Internet an die FW anzuschließen und die LAN1 Buchse in den Portregeln der DS so zu konfigurieren, das nur lokale Dienste darüber laufen (smb, afp, dlna,) sodass lokaler Netzwerktraffic nicht auch noch über den LAN1 laufen muss.
Wunschdenken ist ja mal den user admin der DS, nur aus dem lokalen Subnetz erreichbar zu machen.

 

[king_dingeling]

Da empfiehlt sich eine pfSense-Firewall auf Basis eines APU-Boards. Vergiss den Zyxel-Dreck schnell wieder ;-)

 

[DrRock]

Ok, das ding sieht aus wie der Apple 1 . . Kannst du deine Empfehlung etwas argumentieren ?

 

[tschortsch]

Ok, das ding sieht aus wie der Apple 1 . . Kannst du deine Empfehlung etwas argumentieren ?

Willst du ein klickibunti gerät oder eine Firewall die auch im professionellen Umfeld eingesetzt werden kann?

Der Vorschlag von King dingeling ist ganz gut.
Ich selber verwende ein alix board (ist der Vorgänger) mit ipcop. Is komplett in deutsch, sachen wie VPN laufen ootb, und kann durch diverse erweiterten auch an deine Bedürfnisse anpasst werden. Pfsense is nochmal ne stufe detaillierter aber auch komplexer zu konfigurieren.

 

[axuaxu]

Da empfiehlt sich eine pfSense-Firewall auf Basis eines APU-Boards. Vergiss den Zyxel-Dreck schnell wieder ;-)

Verwende die APU aber mit Ipfire

Was defür spricht?
Es ist defacto ein minilinux, du kannst es frei konfigurieren
Wenn eine distri nicht deinem bedürfnis entspricht, nimmste eben eine andere (pfsense/ipfire/etc )
Das APU board hat 3gb anschlüsse, somit kannst du gut einen davon direkt mit der DS verbinden als DMZ

Hab bei mir Guardian mit IDS laufen, der blockt mir so einiges
Stromverbrauch hält sich ebenfalls in Grenzen

 

[DrRock]

Okay und wie sieht es mit dem filtern von Datenpaketen aus ? Bekommt man hier updates, oder wie funktioniert das ?

 

[axuaxu]

bei ipfire ist clamav verfügbar, welches sich automatisch updated
Zusätzlich kannst du das IDS laufen lassen, welches diverse listen hat

 

[DrRock]

Also ist das kwasi ein Micro-PC wo man als erstes Linux installiert und dann IPFire oder pf-Sense.
Die Hardware gefällt mir schon, sie ist Leistungsstark und Modular bzw. universell Einsetzbar.

Wo habt ihr das Teil gekauft ?

Langt die IP-Sense Community Edition oder muss es die kommerzielle Version sein ?

 

[DrRock]

Wie nimmt man sowas eigentlich in Betrieb? Muss man da direkt einen Monitor anschließen oder geht das schon über LAN?

 

[axuaxu]

jo, micropc trifft es eigentlich ganz gut
bedient wird das ding anfangs über die serielle console, danach normal via webgui.

ipfire/pfsense/ipcop sind eigenständig angepasste "linuxe". Die werden direkt installiert und sind für ihren zweck optimiert.

Langt die IP-Sense Community Edition

aufgrund des wortes langt anstatt reicht schliesse ich auf CH?
dann würden folgende 2 stichworte in google zum erfolg führen: pcengines apu (ich weiss nicht ob direktlinks erlaubt sind)

aufgrund der tatsache, dass die APU/Alix Boards recht beliebt sind, gibt es jede menge deutsche Anleitungen

 

[DrRock]

aufgrund des wortes langt anstatt reicht schliesse ich auf CH

Was meinst Du mit CH?

 

[axuaxu]

CH gleich schweiz. Aber kann mich natürlich auch irren ^^
Guck mal in dein postfach

 

[DrRock]

Ne also ich komme aus Deutschland. Gibt es etwas das gegen eine SSD spricht und für eine CF als Speicher? Ich vermute mal das die 16 SSD für mein Vorhaben reichen sollte, oder wie breit machen sich die Pakete langfristig?

 

[axuaxu]

joa, reicht. die Alix oards liefen früher mit 4gb ;-)

Für CF spricht eigentlich praktisch nix mehr. Mit SSD ist das ganze deutlich schneller

 

[whitbread]

Also ich habe pfSense auf nem Alixboard bei mir wieder 'rausgeschmissen, da die Hardware schnell an Ihre Grenzen kam.
Auch wenn die Boards inzwischen einer neuen Generation angehören würde ich über eine Alternative nachdenken, die auch mit einer Vielzahl an Listen und Filtern zurechtkommt. Denn selbst unter Berücksichtigung des geringen Energieverbrauches halte ich die Boards für überteuert.

Worüber ich mir Gedanken machen würde ist, ob Du wirklich Deine Telefonie hinter die FW stellen willst. Ich würde hier auf eine Stabilität der Telefonie und setzen. Denn in jedem Falle benötigst Du eine FW hinter der DMZ, in der ich dann auch die Fritzbox stellen würde. Will sagen: Eigentlich benötigst Du dann zwei!

Eine Trennung der Dienste auf einer DS über die Netzwerkschnittstellen ist m.E. eher negativ zu sehen, da Du damit im Falle, dass die DS kompromittiert würde gleich ein Einfallstor ins LAN hast. Was natürlich ginge wären zwei getrennte DMZen zu schaffen, macht aber auch wenig Sinn.
Eine wirklich öffentlich betriebene DS gehört ausschliesslich in die DMZ, d.h. ohne Zugriff aufs LAN! Also auch hier werden wieder zwei benötigt. Ggf. bietet die jetzt mit DSM 6 eingeführte Virtualisierung eine Alternative auf Basis einer Hardware.

Ich gehe auf meine Lösung auf Basis von MikroTik-Routern nicht weiter ein, da hier ein Content-Filter i.e.S. (habe nur IP-Blacklist und Block-Rules auf DNS- und Proxy-Ebene) nicht inkludiert ist. Ggf. eignet sich aber ein MTik-Router als FW zwischen DMZ und WAN/Internet...

 

[axuaxu]

Absolut. zudem hatte das alix nur 100mbit ports.
Alix: 500mhz Single core, max 256mb RAM
APU: 1ghz Dualcore, max 4GB RAM

Es liegen Welten dazwischen

 

[tschortsch]

Die Alix Board sind aktuell nicht mehr interessant. Das war nur als Beispiel für die Haltbarkeit. Mein Alix board rennt mittlerweile 6 Jahre durch ohne Probleme.
Daruaf hab ich auch VPN laufen.

Für einen 100 Mbit Down Anschluss is es natürlich zu langsam, da kann nur das aktuelle Apu Board mithalten.

 

[DrRock]

Also ich habe pfSense auf nem Alixboard bei mir wieder 'rausgeschmissen, da die Hardware schnell an Ihre Grenzen kam.
Auch wenn die Boards inzwischen einer neuen Generation angehören würde ich über eine Alternative nachdenken, die auch mit einer Vielzahl an Listen und Filtern zurechtkommt. Denn selbst unter Berücksichtigung des geringen Energieverbrauches halte ich die Boards für überteuert.

Danke für deinen Beitrag. Ich würde bei der APU-Variante auch auf die 4GB RAM und 16GB SSD Variante setzen. Wie lange das Teil nun spaß bereitet weis ich halt nicht, aber ich denke wenn sowas 6 Jahre stabil durchläuft dann hat es langsam seine Milch gegeben. Innerhalb 4 Jahren sollte die Hardware Leistungstechnisch aber auf höhe der Zeit sein.

Kann man nur entweder pfSense oder ipcop installieren oder immer nur eines der beiden ? Mir stellt sich halt die Frage welche Software für mich ein Kompromiss aus Userfreundlichkeit und Sicherheit ist.

Worüber ich mir Gedanken machen würde ist, ob Du wirklich Deine Telefonie hinter die FW stellen willst. Ich würde hier auf eine Stabilität der Telefonie und setzen. Denn in jedem Falle benötigst Du eine FW hinter der DMZ, in der ich dann auch die Fritzbox stellen würde. Will sagen: Eigentlich benötigst Du dann zwei!

In div. Beiträgen wird beschrieben wie man VoIP mit der FritzBox hinter einer FW einsetzt. Ich würde es auf jeden Fall mal probieren. Umstecken und die FBF vor die FW stecken geht ja immernoch.

 

[axuaxu]

Du kannst nur entweder oder pfsense/ipfire/ipcop laufen lassen. Es sind jeweils einzelne angepasse "OS".

Die Sicherheit hängt dann auch davon ab, wie du es konfigurierst.
Guck dir mal n paar Bilder in der google suche an, evt noch das einte oder andere Youtube video und entscheide dich für eines.
Ipcop würde ich nicht nehmen, da es laut Wiki kein ipv6 unterstützt. Ergo guck dir entweder ipfire oder pfsense an.

Sicher ist, das die 4GB Ram sicherlich mehr luft haben wenn man die geringen kostenunterschiede anguckt.

Support/Community ist bei beiden gegeben, gerade für die Alix/APU Boards <-- recht beliebt

 

[tschortsch]

Die Oberfläche von IPCOP is wirklich sehr Userfreundlich. Besonders wenn OpenVPN für dich ein Thema ist da das wirklich einfach zu konfigurieren ist.
Der unterbau kann kann aber kein IP6 und VLANs kann es auch nicht.
Addons gibts auch (WLAN AP aber nur maximal G, N vieleicht und Dualband schon gar nicht; WOL,...)
Topaktuelle Funktionen wirst du hier nicht finden, is alles sehr auf Stabilität ausgelegt. Der größte Vorteil ist die deutsche Community.
Wenn das nicht zwingend notwendig ist würds ich aber an deiner Stelle mal ausprobieren.

PFSense ist da schon um einiges komplizerter, hat aber auch sein stärken.
Ist alles sehr indiviuell Einzustellen. VLANs kann ma super konfigurieren. VPN hab ich nicht hingebracht (da war irgendwo das Problem 50 cm vor dem Monitor ) deshalb bin ich dann wieder zum IPCOP da mir das wichtiger als VLAN war.

IPFire hab ich noch nicht getestet, gefühlt liegts aber zwischen den beiden.