Firewall für Heimnetz gesucht

Status
Für weitere Antworten geschlossen.

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Hi,

ich spiele mit dem Gedanken mal eine Firewall zu kaufen. Ich habe nun schon ein paar Berichte und Tests gelesen, aber ich hätte nun gerne noch ein paar Meinungen von Leuten gehört, die auch eine Firewall (keine AVM Router etc..) in einem wie bei mir ähnlichen Szenario betreiben.

Was befindet sich hinter der FW:
1. FritzBox 7490 für VoIP
2. Gbit-Switch unmanaged
3. DS415+
4. Rechner, Handy, Media-Geräte etc.

Was soll gefiltert werden können:
1. Ein- und Ausgehende Pakete sollen auf Viren überprüft werden (FileStation, DSM, Port 80 und 443 Anwendungen wie Owncloud oder Egroupware)
2. Ein- und Ausgehende eMail Pakete sollen geprüft werden. Auf der DS läuft ein Mailserver.

Was soll die FW können:
1. VPN (auch openvpn).
2. Content Filter mit Aktualisierungen (vllt. niedrige Folgekosten).
3. VoIP "muss" funktionieren.
4. VLan

Ich besitze ein signiertes Zertifikat auf der DS laufen. Wie verhält es sich, wenn die VPN-FW die VPN Verbindung initiert ? Muss man hier ein eigenes Zertifikat ausstellen lassen?


Ich habe mir die ZyXEL ZyWALL USG 20W angesehen und glaube das das was ordentliches für den Hausgebrauch ist. Der Preis wäre in Ordnung.
Nur glaube ich kann diese kein OpenVPN, was aber nicht wirklich dramatisch ist. Was könnt ihr mir sonst noch Empfehlen ?


Macht das Sinn ... ?:
...die LAN2 Buchse der DS für den Zugriff aus dem Internet an die FW anzuschließen und die LAN1 Buchse in den Portregeln der DS so zu konfigurieren, das nur lokale Dienste darüber laufen (smb, afp, dlna,) sodass lokaler Netzwerktraffic nicht auch noch über den LAN1 laufen muss.
Wunschdenken ist ja mal den user admin der DS, nur aus dem lokalen Subnetz erreichbar zu machen.
 
Zuletzt bearbeitet:

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Ok, das ding sieht aus wie der Apple 1 . :rolleyes: . Kannst du deine Empfehlung etwas argumentieren ?
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Ok, das ding sieht aus wie der Apple 1 . :rolleyes: . Kannst du deine Empfehlung etwas argumentieren ?

Willst du ein klickibunti gerät oder eine Firewall die auch im professionellen Umfeld eingesetzt werden kann?

Der Vorschlag von King dingeling ist ganz gut.
Ich selber verwende ein alix board (ist der Vorgänger) mit ipcop. Is komplett in deutsch, sachen wie VPN laufen ootb, und kann durch diverse erweiterten auch an deine Bedürfnisse anpasst werden. Pfsense is nochmal ne stufe detaillierter aber auch komplexer zu konfigurieren.
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
Da empfiehlt sich eine pfSense-Firewall auf Basis eines APU-Boards. Vergiss den Zyxel-Dreck schnell wieder ;-)

Verwende die APU aber mit Ipfire :D

Was defür spricht?
Es ist defacto ein minilinux, du kannst es frei konfigurieren :)
Wenn eine distri nicht deinem bedürfnis entspricht, nimmste eben eine andere :) (pfsense/ipfire/etc :) )
Das APU board hat 3gb anschlüsse, somit kannst du gut einen davon direkt mit der DS verbinden als DMZ

Hab bei mir Guardian mit IDS laufen, der blockt mir so einiges :D
Stromverbrauch hält sich ebenfalls in Grenzen
 

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Okay und wie sieht es mit dem filtern von Datenpaketen aus ? Bekommt man hier updates, oder wie funktioniert das ?
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
bei ipfire ist clamav verfügbar, welches sich automatisch updated :)
Zusätzlich kannst du das IDS laufen lassen, welches diverse listen hat :)
 

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Also ist das kwasi ein Micro-PC wo man als erstes Linux installiert und dann IPFire oder pf-Sense.
Die Hardware gefällt mir schon, sie ist Leistungsstark und Modular bzw. universell Einsetzbar.

Wo habt ihr das Teil gekauft ?

Langt die IP-Sense Community Edition oder muss es die kommerzielle Version sein ?
 

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Wie nimmt man sowas eigentlich in Betrieb? Muss man da direkt einen Monitor anschließen oder geht das schon über LAN?
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
jo, micropc trifft es eigentlich ganz gut :)
bedient wird das ding anfangs über die serielle console, danach normal via webgui.

ipfire/pfsense/ipcop sind eigenständig angepasste "linuxe". Die werden direkt installiert und sind für ihren zweck optimiert.

Langt die IP-Sense Community Edition
aufgrund des wortes langt anstatt reicht schliesse ich auf CH?
dann würden folgende 2 stichworte in google zum erfolg führen: pcengines apu (ich weiss nicht ob direktlinks erlaubt sind)

aufgrund der tatsache, dass die APU/Alix Boards recht beliebt sind, gibt es jede menge deutsche Anleitungen :)
 

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
CH gleich schweiz. Aber kann mich natürlich auch irren ^^
Guck mal in dein postfach ;)
 

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Ne also ich komme aus Deutschland. Gibt es etwas das gegen eine SSD spricht und für eine CF als Speicher? Ich vermute mal das die 16 SSD für mein Vorhaben reichen sollte, oder wie breit machen sich die Pakete langfristig?
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
joa, reicht. die Alix oards liefen früher mit 4gb ;-)

Für CF spricht eigentlich praktisch nix mehr. Mit SSD ist das ganze deutlich schneller :)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also ich habe pfSense auf nem Alixboard bei mir wieder 'rausgeschmissen, da die Hardware schnell an Ihre Grenzen kam.
Auch wenn die Boards inzwischen einer neuen Generation angehören würde ich über eine Alternative nachdenken, die auch mit einer Vielzahl an Listen und Filtern zurechtkommt. Denn selbst unter Berücksichtigung des geringen Energieverbrauches halte ich die Boards für überteuert.

Worüber ich mir Gedanken machen würde ist, ob Du wirklich Deine Telefonie hinter die FW stellen willst. Ich würde hier auf eine Stabilität der Telefonie und setzen. Denn in jedem Falle benötigst Du eine FW hinter der DMZ, in der ich dann auch die Fritzbox stellen würde. Will sagen: Eigentlich benötigst Du dann zwei!

Eine Trennung der Dienste auf einer DS über die Netzwerkschnittstellen ist m.E. eher negativ zu sehen, da Du damit im Falle, dass die DS kompromittiert würde gleich ein Einfallstor ins LAN hast. Was natürlich ginge wären zwei getrennte DMZen zu schaffen, macht aber auch wenig Sinn.
Eine wirklich öffentlich betriebene DS gehört ausschliesslich in die DMZ, d.h. ohne Zugriff aufs LAN! Also auch hier werden wieder zwei benötigt. Ggf. bietet die jetzt mit DSM 6 eingeführte Virtualisierung eine Alternative auf Basis einer Hardware.

Ich gehe auf meine Lösung auf Basis von MikroTik-Routern nicht weiter ein, da hier ein Content-Filter i.e.S. (habe nur IP-Blacklist und Block-Rules auf DNS- und Proxy-Ebene) nicht inkludiert ist. Ggf. eignet sich aber ein MTik-Router als FW zwischen DMZ und WAN/Internet...
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
Absolut. zudem hatte das alix nur 100mbit ports.
Alix: 500mhz Single core, max 256mb RAM
APU: 1ghz Dualcore, max 4GB RAM

Es liegen Welten dazwischen :D
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Die Alix Board sind aktuell nicht mehr interessant. Das war nur als Beispiel für die Haltbarkeit. Mein Alix board rennt mittlerweile 6 Jahre durch ohne Probleme.
Daruaf hab ich auch VPN laufen.

Für einen 100 Mbit Down Anschluss is es natürlich zu langsam, da kann nur das aktuelle Apu Board mithalten.
 

DrRock

Benutzer
Mitglied seit
08. Jul 2008
Beiträge
259
Punkte für Reaktionen
1
Punkte
18
Also ich habe pfSense auf nem Alixboard bei mir wieder 'rausgeschmissen, da die Hardware schnell an Ihre Grenzen kam.
Auch wenn die Boards inzwischen einer neuen Generation angehören würde ich über eine Alternative nachdenken, die auch mit einer Vielzahl an Listen und Filtern zurechtkommt. Denn selbst unter Berücksichtigung des geringen Energieverbrauches halte ich die Boards für überteuert.
Danke für deinen Beitrag. Ich würde bei der APU-Variante auch auf die 4GB RAM und 16GB SSD Variante setzen. Wie lange das Teil nun spaß bereitet weis ich halt nicht, aber ich denke wenn sowas 6 Jahre stabil durchläuft dann hat es langsam seine Milch gegeben. Innerhalb 4 Jahren sollte die Hardware Leistungstechnisch aber auf höhe der Zeit sein.

Kann man nur entweder pfSense oder ipcop installieren oder immer nur eines der beiden ? Mir stellt sich halt die Frage welche Software für mich ein Kompromiss aus Userfreundlichkeit und Sicherheit ist.


Worüber ich mir Gedanken machen würde ist, ob Du wirklich Deine Telefonie hinter die FW stellen willst. Ich würde hier auf eine Stabilität der Telefonie und setzen. Denn in jedem Falle benötigst Du eine FW hinter der DMZ, in der ich dann auch die Fritzbox stellen würde. Will sagen: Eigentlich benötigst Du dann zwei!

In div. Beiträgen wird beschrieben wie man VoIP mit der FritzBox hinter einer FW einsetzt. Ich würde es auf jeden Fall mal probieren. Umstecken und die FBF vor die FW stecken geht ja immernoch.
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
Du kannst nur entweder oder pfsense/ipfire/ipcop laufen lassen. Es sind jeweils einzelne angepasse "OS".

Die Sicherheit hängt dann auch davon ab, wie du es konfigurierst.
Guck dir mal n paar Bilder in der google suche an, evt noch das einte oder andere Youtube video und entscheide dich für eines.
Ipcop würde ich nicht nehmen, da es laut Wiki kein ipv6 unterstützt. Ergo guck dir entweder ipfire oder pfsense an.

Sicher ist, das die 4GB Ram sicherlich mehr luft haben wenn man die geringen kostenunterschiede anguckt.

Support/Community ist bei beiden gegeben, gerade für die Alix/APU Boards <-- recht beliebt :)
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Die Oberfläche von IPCOP is wirklich sehr Userfreundlich. Besonders wenn OpenVPN für dich ein Thema ist da das wirklich einfach zu konfigurieren ist.
Der unterbau kann kann aber kein IP6 und VLANs kann es auch nicht. :(
Addons gibts auch (WLAN AP aber nur maximal G, N vieleicht und Dualband schon gar nicht; WOL,...)
Topaktuelle Funktionen wirst du hier nicht finden, is alles sehr auf Stabilität ausgelegt. Der größte Vorteil ist die deutsche Community.
Wenn das nicht zwingend notwendig ist würds ich aber an deiner Stelle mal ausprobieren.

PFSense ist da schon um einiges komplizerter, hat aber auch sein stärken.
Ist alles sehr indiviuell Einzustellen. VLANs kann ma super konfigurieren. VPN hab ich nicht hingebracht (da war irgendwo das Problem 50 cm vor dem Monitor ;) ) deshalb bin ich dann wieder zum IPCOP da mir das wichtiger als VLAN war.

IPFire hab ich noch nicht getestet, gefühlt liegts aber zwischen den beiden.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat