Firewall für Heimnetz gesucht

[DrRock]

Danke. Dann werde ich heute Abend mal pfSense in meine VirtualBox auf dem Mac installieren und mir das mal ansehen. Ich denke das ist zum schnuppern die beste Variante.

Noch was anderes zum Aufbau des Netzwerks: Stellt man die Firewall nun eigentlich vor dem Modem bzw Router auf? Dann kann man doch die FW nichtmehr ueber die lokale IP erreichen. Oder in welcher Reihenfolge baut man sowas auf wenn man den VoIP-Router außerhalb der DMZ haben möchte.

So Vllt?
WAN > FBF > FW >
oder
WAN > FW > FBF

Lieber wäre mir die zweite Konfiguration sofern voip stabil läuft. Nur kann ich die FW doch dann nichtmehr über die lokale IP erreichen und ins WAN möchte ich den Zugang zur FW eigentlich nicht erlauben.

 

[whitbread]

Naja, die Fragestellung ist halt, was Du primär schützen willst: Outgoing oder Incoming Traffic
Per se bietet ja bereits die Fritzbox und auch jeder andere NAT-Router bereits einen Grundschutz gegen incoming traffic. Wenn Du nun Dienste in einer DMZ bereitstellst hast Du dort ein Einfallstor hinter Deinem NAT-Router. Und eben diese würde ich primär absichern wollen. Also FW zwischen DMZ und LAN.

 

[DrRock]

Also könnte man es so aussehen lassen ?

 

[whitbread]

Schönes Diagramm.
Ich bin mir jedoch nicht sicher, ob Du das Konzept der Trennung von Netzen richtig verstanden hast. Alle Geräte befinden sich in Deiner Grafik im gleichen Netzwerksegment 192.168.1.0/24 und können somit frei miteinander kommunizieren.
Normalerweise sieht es eher so aus, dass Du Deiner Fritzbox, die NAT-Router und VoIP ist, z.B. die IP 192.168.0.1 gibst. Die Firewall hat an Ihren Ports dann z.B. anliegen: Port 1 192.168.0.100 (VoIP); Port 2 192.168.10.100 (DMZ); Port 3 192.168.3.100 (LAN).
Jetzt bekommen Deine LAN-Clients 192.168.3.0/24 Adressen, Deine DMZ-Clients 192.168.10.0/24 Adressen. Die Kommunikation erfolgt dann über Routing in der FW, die dann über dedizierte Regeln eingeschränkt bzw. ermöglicht wird. Sämtliche Geräte kannst Du über Deinen Switch laufen lassen, wenn Du die Netze durch VLANs trennst. Ansonsten geht erstmal auch VoIP und NAS direkt an die FW und LAN an den Switch.
Soll heissen: 1. NAS gehört an FW und 2. Netztrennung erforderlich

Du kannst theoretisch auch eine sog. transparente FW (über Bridging) betreiben. Es gibt aber m.E. nur wenige Umgebungen, wo so etwas Sinn macht...

 

[axuaxu]

Beachte bitte, das apu board hat 3 lan ports. In deinem fall wäre das dann red:wan green:lan dmzrange.
Solltest du noch ein wlan modul einbauen würde diese blau bekommen
Somit hast du getrennte netze, aus du machst da via regeln löcher rein
(Angaben beziehen sich auf ipfire. Aber denke das wird bei anderen ähnlich sein)

 

[DrRock]

Ok, also eher so :


Quelle: heise.de http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html [17.10.2015]

Der externe Router, ist also die FBF mit VoIP.
Hmm, ich möchte aber eigentlich nicht mit 2 Routern hier hantieren.

Ich bin mir jedoch nicht sicher, ob Du das Konzept der Trennung von Netzen richtig verstanden hast. Alle Geräte befinden sich in Deiner Grafik im gleichen Netzwerksegment 192.168.1.0/24 und können somit frei miteinander kommunizieren.

Da sehe aber noch das Problem das man wenn die DS in einem anderen IP Netz steht nichtmehr über AFP drauf zugreifen kann, was ich bisher lokal immer so mache.

 

[tschortsch]

Dein Problem ist eher das die DS gar nicht in die DMZ gehört. (Ausser du hast darauf NUR einen Mail- oder Webserver, dann machts Sinn)
Wenn du von extern gelegentlich auf deine DS zugreifen willst würde ich VPN einrichten (hab ich so gemacht, dann komme ich auch ins LAN)
und für regelmäßige Sachen wie Kalender/Adressbuch freigeben einfach nur eine Portfreigabe am Router/Firewall.

Falls du wirklich VOIP nutzen möchtest (und du noch am Anfang der Materie stehst wie mir scheint) wäre es sinnvoll wenn du es so machst:

WAN ==> FB (für VOIP) ==> DMZ = Firewall (ALix) ==> LAN (PCs und DS).

VOIP und Firewalls ist immer ne heikle sache.. du willst (für den Anfang) sicher nicht mal ohne Telefon dasteh und nicht wissen warum.

Dann hast du zwar doppeltes NAT aber das ist (für den Anfang) leichter.

Ausserdem hast du uns noch nciht gesagt wie du ans WAN angebunden bist. Wenn die FB den Netzabschluss (= Modem) bildet kannst du sowieso nur die Firewall dahinter setzen weil sämtliche Firewalls kein Modem (auch das ALix hat keins) eingebaut haben.

 

[Bordi]

Ok, also eher so :..

Ich sehe nicht ein weshalb man einen zweiten router braucht. Schon mal was von VLAN, und ein paar guten Firewall regeln gehört?


Ein APU und pfSense oder OPNsense reichen dicke für alles.

 

[tschortsch]

Ich sehe nicht ein weshalb man einen zweiten router braucht. Schon mal was von VLAN, und ein paar guten Firewall regeln gehöhrt

Da hast du schon recht. Wenn der Router entsprechende Funktionen hat ok.
Aber zb bei uns in Österreich bekommst von der Telekom ein sche.. Pirelli Modem als Router.
Das hängt sich regelmäßig auf, kann kein VPN und vlan schon gar nicht. Und wird bei jedem automatischem Softwareupdate schlechter zu konfigurieren. So hatte ich bis vor ein halbes jahr ein tolles Modem und seit einem zwangsupdate kann ich es jeden Tag per zeitschaltuhr nehmen starten.
.Und der Support hilft dir unterm Strich auch nicht.

 

[Bordi]

..von der Telekom ein sche.. Pirelli Modem als Router...

Weisst du was eine DSL Bridge ist?

 

[tschortsch]

Jop, das sch..öne Modem läuft jetzt als solche vor dem alix. Aber mit der sch..önen Software muss ich es trotzdem jeden tag neu starten. Die Versionsnummer steigt mit der Anzahl der Bugs

 

[DrRock]

Dein Problem ist eher das die DS gar nicht in die DMZ gehört. (Ausser du hast darauf NUR einen Mail- oder Webserver, dann machts Sinn)
Wenn du von extern gelegentlich auf deine DS zugreifen willst würde ich VPN einrichten (hab ich so gemacht, dann komme ich auch ins LAN)
und für regelmäßige Sachen wie Kalender/Adressbuch freigeben einfach nur eine Portfreigabe am Router/Firewall.

Genau, das ist halt das Problem, das auf der einen DS halt ziemlich viele Dienste laufen. Ob es finanziell möglich ist eine zweite DS als Webserver und Mailserver zu betreiben und dann in die DMZ zu stellen wie hier beschrieben muss ich erst noch durchrechnen (Strom-, Anschaffungs-, Wiederbeschaffungs- und Upgradekosten / Jahr). Würde es aber gerne so machen.

Falls du wirklich VOIP nutzen möchtest (und du noch am Anfang der Materie stehst wie mir scheint) wäre es sinnvoll wenn du es so machst:

WAN ==> FB (für VOIP) ==> DMZ = Firewall (ALix) ==> LAN (PCs und DS).

VOIP und Firewalls ist immer ne heikle sache.. du willst (für den Anfang) sicher nicht mal ohne Telefon dasteh und nicht wissen warum.

Stimmt, die Materie ist mir noch nicht so vertraut, darum danke ich jeden in diesem Thread, von dem ich was lernen darf.
Die Konfiguration die Du beschreibst, ist im Prinzip die, die ich in meiner Grafik gezeichnet habe, wenn man die DS im gleiche IP-Netz die meine Rechner sieht.

Dann hast du zwar doppeltes NAT aber das ist (für den Anfang) leichter.

Richtig. Aber da in der DMZ in deinem Beispiel ja kein Rechner steht, kann man nicht NAT in der Firewall abschalten, oder senkt das das Abwehrpotential, wenn ein weiterer NAT unmittelbar davorgeschaltet ist ?

Ausserdem hast du uns noch nciht gesagt wie du ans WAN angebunden bist. Wenn die FB den Netzabschluss (= Modem) bildet kannst du sowieso nur die Firewall dahinter setzen weil sämtliche Firewalls kein Modem (auch das ALix hat keins) eingebaut haben.

Das steht in meiner Signatur. Ich habe ADSL und außer der FritzBox kein weiteres Modem.

 

[Bordi]

..Aber mit der sch..önen Software muss ich es trotzdem jeden tag neu starten. ..

Ja schade für dich. Ich hab damit weit weniger Probleme. Meine rennt seit Jahr und Monat durch.

Aber nur so als Tip: Die DS kann auch mit PPPoE..

 

[DrRock]

OK, noch ein Versuch. Könnte es so mit einer 2. DS für Web-Applikations (Webserver, Mailserver, Groupware, FTP) aussehen ?



Verbesserungsvorschläge ?

 

[tschortsch]

Geht so aber der Webserver darf nicht im selben netz sein (x.x.2.x)
Auch würd ich komplett andere Netze nehmen.
Fb 192.168.66.1
Firewall extern 192.168.66.2
Firewall lan 10.0.100.1
Geräte im lan 10.0.100.x
Firewall Webserver 10.0.30.1
Webserver 10.0.30.1
Somit kannst du dich auch später nicht mit den ganzen Zahlen verheddern und wenn du VPN einsetzt hast kommst du an alle deine Geräte.
Sollte nämlich in dem Netz aus dem du dich einwählst ebenfalls zufällig die selbe ip genutzt werden dann kommst du,trotz VPN, nur in dieses netz und nicht auf das Gerät bei dir zuhause.

 

[tschortsch]

Aber mit einer gut konfigurierten fb (und was ich so gehört habe kann die das)
Kannst du das alles mit portfreigaben lösen.
Zusätzlich kannst du die Firewall auf der ds auch noch konfigurieren.
Das sollte das für den Hausgebrauch, wie Bordi schon angedeutet hat, auch reichen.

 

[Bordi]

Aber mit einer gut konfigurierten ..

Nicht zu vergessen auch das der Managed Switch VLAN Gruppen (untagged) bilden kann, und so sicher die eine oder andere fw-regel entbehrlich macht. Kannst als geren auch alles über den Switch laufen lassen, und die Netze von einander trennen.

Server 10.0.0.0/8
LAN 192.168.0.0/16
VoIP 172.16.0.0/12

 

[DrRock]

Auf der Suche nach einem vllt etwas Leistungsstärkerem Ersatz für das 1Ghz APU, bin ich auf dieses Board mit Dual-Lan und 2,4 Ghz Intel CPU gestoßen. :
http://www.ebay.de/itm/Supermicro-X...366070?hash=item4af0f80576:g:yk8AAOSwHjNV~Zhq
http://ark.intel.com/de/products/78867/

16GB SSD und 8GB RAM kommen auf ca. 100€ zusätzlich
Eine Stromversorgung mit einem Standartkabeladapter kann man sich ja selbst bauen.

 

[Bordi]

eh, ne da hat Supermicro mehr zu bieten. Zur auswahl stehen

A1SAi-2550F & A1SAi-2750F mit 4-Core bz 8-Core Avaton CPU oder A1SRi-2558F & A1SRi-2758F mit 4-Core bz 8-Core Rangeley. Alle 2,4GHz, passiv gekühlt und bis max. 32GB ECC!

Fix-Fertig und teils auch vorinstalliert geht auch bei:
applianceshop.eu
voleatech.de
varia-store.com
store.pfsense.org

Falls du importieren willst ist auch netgate.com zu empfehlen. Soekris hat das net6801 leider auf Eis gelegt, und das APU von PC-engines ist dir zu schwach.

Als OS ist neben Platzhirsch pfSense neu auch OPNsence im Rennen. Andere wie m0n0wall, SmallWall, t1n1wall sind nur 32Bit erhältlich und haben eingestellt, oder eben erst angefangen. Linux Firewalls wie SmoothWall Express, IPFire oder IPCop machen mir zu-viel ärger/arbeit, und würde sie dh auch weniger empfehlen.

Meine Empfehlung? Ganz klar: APU oder Rangeley Board mit 64Bit pfSense.

Als DSL-Bridge würde sich eine ZyXEL P-870H sehr gut machen.

 

[tschortsch]

Also langsam wird das ein mit Kanonen auf Spatzen schießen..

Ne extra DS für Mail und Web in der DMZ hättest du durchrechnen müssen (Anschaffung, Festplatten, Strom) aber jetzt wird schon von Serverboards geredet die mindestestens 250€ kosten.

Mich haben früher auch so Pferde geritten, dann hab ich das Zeug zuhause gehabt und hab mir gedacht: so sinnvoll wars dann doch nicht weils am Ziel vorbeischießt...

Um das Geld kannst du dir eine DS215j + 2 1TB platten kaufen und kannst die in der jetzigen Konfiguration mit der FB in eine DMZ stellen. Somit hast du alles geregelt.

Zuerst ma stehst du noch am Anfang der ganzen Firewall Materie.

Da würd ich dir dringenst raten:
Nimm dir eine alten PC mit 1x Gbit Lan onboard + 2 Lan über PCI(e) wäre optimal aber zum Testen reichts mit 2 Lan Karten egal obs eine onboard 100Mbit oder eine gesteckte 100mbit PCI karte ist, da dein Download zwar am Limit aber zum testen reichts allemal.
PCs und PCI Lankarten findest du vieleicht im eigenen Keller, bei Freunden,...
Dann installier darf das OS deiner Wahl (Pfsense,...) und tob dich da mal aus. Da kannst du alles ausprobieren.

Wenn du dann nach einer Woche sagst es is nichts für dich und eigentlich reicht mir die FB (was sie leicht tut) hast du richtig viel Geld gespart. Und das bischen Strom das die alte Gurke in einer Woche gefressen hat is nicht der rede Wert...

Falls dir dann das ganze zusagt kannst du einfach die Konfiguration von der/m Test-Firewall/Router sichern und in der neuen Hardware deiner Wahl importieren und bist fertig.