Firewall für Heimnetz gesucht

[Bordi]

Um das Geld kannst du dir eine DS215j + 2 1TB platten kaufen ..

Das ist richtig. Nur sind die Probleme damit nicht immer gelöst. Erst recht wen eine apu1d4 nicht reicht. Beispiele?

PS: Ich hab ein OpenVox IPC100 mit Z530P CPU & 4GB RAM als Router @ Home -> was schon einige Zeit um Gnade winselt. Eine kräftige ablöse wäre mir dringendst zu empfehlen. Wen auch @ Home, die Anforderungen sind von Haushalt zu Haushalt unterschiedlich, und darauf ist eine individuelle Lösen nicht immer mit 08/15 SoHo zu lösen.

 

[tschortsch]

Die "Probleme" sind ja eigentlich momentan nur Wünsche.

Darum würd ich mal vorher testen ob man, mit eventuell vorhandender (alter) Hardware, mit besagter Software überhaupt klar kommt und selber (Google hilft natürlich) das ganze auch Konfigurieren kann wie man es möchte.
Es ist ja nicht so das man bei PFSense mal schnell alles einstellt und dann läufts bis zum sankt nimmerleinstag einwandfrei.
Eine schlecht konfiguriert Firewall ist auch keine Firewall. Da is die darunterliegende Hardware, ob alter PC oder nagelneues APU oder was auch immer, egal.

Ich bin halt einer der das Vorhandene bestmöglich ausnutzt bevor man was neues kauft.

 

[DrRock]

...
Ich bin halt einer der das Vorhandene bestmöglich ausnutzt bevor man was neues kauft.

Da hast du vollkommen recht. Ich nutze auch das vorhandene sehr gerne richtig aus. Aber wenn eine Hardware eine Drossel bildet fliegt sie raus, nachdem ich meine Nutzungspolitik nochmal durchdacht und vielleicht an ein oder anderer Stelle modifiziert habe. Ich möchte halt kein gefangener meiner eigenen Hardware sein. Ich bin kein Geizhalz und muss auch nicht jeden Euro rumdrehen, aber rechnen tue ich trotzdem. Da legt halt jeder seine Schwerpunkte individuell aus.

 

[Bordi]

..Ich möchte halt kein gefangener meiner eigenen Hardware sein. Ich bin kein Geizhalz und muss auch nicht jeden Euro rumdrehen, aber rechnen tue ich trotzdem. ..

Find ich gut, geht mir auch so. Daher habe ich mit einem solchen Aufbau auch irgendwann begonnen.


Vorteil: Die DSL Bridge kann ohne mühe jederzeit durch ein Kabel Modem ersetzt werden. Eine Umstellung deines Netzwerks oder deaktivierung aller Netzwerk Clients ist dafür nicht notwendig. Für WLAN lässt sich ein AccesPoint verwenden, und dank VLAN auch für alle Netz gleichzeitig. Ich weiss nicht wie Professionell du dein Netzwerk willst, Sollten jedoch layer7, virenscanner, ip blacklisting, URL filter o ä (also mit unter auch Kinderschutz, video cache usw) für dich Thema sein, bist du mit pfSense sicherlich nicht falsch. Ein APU wäre dann aber auch Minimum Hardware.

Wen du gedenkst das dein WLAN Netzwerk mehr als 1 AccesPoint umfassen sollte und/oder Zero-Handoff Roaming, Guest Control (Guest Policies, Hotspot, Access Control ect) allenfalls noch Videoüberwachung Themen sein sollten, die dich interessieren könnten. Würde ich dir dringendst raten dir die UniFi Produkte mal etwas genauer anzusehen.

Hinweis: Die grossen UniFi Switches sind alle mit Lüfter, der Gateway kann noch nicht das was er verspricht, und du solltest der Englischen Sprache mächtig sein. Ist das alles für dich keine Problem, bist du damit weit besser bedient als mit irgend nem Netgear oder was immer.

 

[whitbread]

Zum Thema 1 oder 2 Router: Natürlich kann die FB als NAT-Router mittels Portfreigaben eine NAS ins Internet stellen.

Wenn ich jedoch einen Schritt weiter gehen will, dann steht hinter dem NAT-Router eben ein weiterer Router, der aber keinesfalls NAT macht, sondern das Routing der getrennten Netze übernimmt. Durch Implementierung von Regeln wird aus diesem Router dann eben auch eine Firewall.
Der Mehrwehrt ggü. einer 1-Router-Architektur mit klassischem Portforwarding ist, dass ein einzelnes kompromittiertes Gerät (ob nun VPN-Server oder NAS) nicht gleich Zugriff auf alle Geräte im Heimnetzwerk ermöglicht.

Zum Thema pfSense meinerseits nochmal der Hinweis, hier definitiv nicht an der Hardware zu sparen!
Wer es günstiger mag und sich tiefer mit der Materie beschäftigen will bekommt mit MikroTik schon ab 35,- eine Alternative.

 

[DrRock]

eh, ne da hat Supermicro mehr zu bieten. Zur auswahl stehen

A1SAi-2550F & A1SAi-2750F mit 4-Core bz 8-Core Avaton CPU oder A1SRi-2558F & A1SRi-2758F mit 4-Core bz 8-Core Rangeley. Alle 2,4GHz, passiv gekühlt und bis max. 32GB ECC!

Ein 4-core Mainboard sollte genügen. Avaton oder Rangeley ? Was würdest Du nehmen ?
Jacob-Electronic hat sie auch da. Da habe ich schon ein paar Sachen gekauft und die sind nur 35 min. von hier entfernt.

 

[Bordi]

Ein 4-core Mainboard sollte genügen. Avaton oder Rangeley ?

Der Rangeley C2558 ist dazu am besten geeignet.

Was würdest Du nehmen ?

Wahrscheinlich das selbe, mit Option auf den 8-Core (C2758). Hängt mit der Konstellation zusammen. Die CPU kann(!) ziemlich gefordert werden. Am besten lässt du pfSense & OPNSense erst mal als VM, oder auf einem alten PC rennen, und machst ne wunsch-konfiguration. Wie du vielleicht weisst, lässt sich darauf einiges nachinstallieren, mit unter auch Asterisk, bind oder diverse proxis (wzB squid3 & squidGuard). So wirst du auch am ehesten ermitteln können, ob es den 8-Core braucht, oder das APU mehr als ausreichend wäre. -> Beides ist möglich!

Jacob-Electronic hat sie auch da. Da habe ich schon ein paar Sachen gekauft und die sind nur 35 min. von hier entfernt.

Ist nichts gegen einzuwenden. Für dich in der nähe, und wen einer günstiger ist, dann wohl nicht mehr al 1-2€.
Am besten schaust du dich auch gleich nach einem passenden Case um. Mini-ITX passt zwar überall rein (mini/midi/big Tower und Desktop), aber der Hersteller bietet auch eigene Cassis.

• SC101i
• SC505-203B
• SC504-203B
• SC721TQ-250B

Mit Glück könntest du von einem Bundle profitieren.

 

[DrRock]

Das Problem ist nur das ich selbst keinen alten Rechner besitze. Ich werde mal im Freundeskreis rumfragen. Irgendwie kenne ich überwiegend Apple Leute *hmm*.
Und dann müsste ich für die Testkonfi noch eine SSD besorgen, weil diese ja auch später zum Einsatz kommen wird und diese auch ein großes Nadelöhr darstellt.

 

[Bordi]

Das Problem ist nur das ich selbst keinen alten Rechner besitze. Ich werde mal im Freundeskreis rumfragen. Ir....

Nutze die Macht!... oder die von VirtualBox..

 

[DrRock]

Nutze die Macht!... oder die von VirtualBox..

Also VirtualBox ist kein Problem, da habe ich ja schon eine pfsense laufen. Aber wie löse ich dann noch das Problem das der Hostrechner nur eine LAN Schnittstelle hat. Das ist ein IMac mit 3,5 i7 16GB 250GB SSD.
Daran kann ich nur schwer abschätzen welche Konfiguration es mal werden soll.

 

[tschortsch]

Du müsstest
1. eine Mangabaren Switch haben der VLAN kann.
2. am Mac VLAN konfigurieren und das mit den "internen Netzwerk" (da kann man mehrer virtuelle Switchs erstellen) in VB verbinden.

Hab das selber mal ausprobiert, war mir aber zu steil.

Einfacher gehts du bildest dein LAN komplett nach in VirtualBox.

WAN Port von PF Sense mit der Netzwerkbrücke ans LAN anbinden => der Mac is qasi im Internet
Ein 2tes LAN für eine "internes Netzwerk" als Grün=LAN
ein 3tes LAN für eine "internes Netzwerk" als Orange=DMZ

Dann erstellst du dir eine weitere beliebige VM mit Linux/Windoof als Gast "internes Netzwerk" als Grün=LAN

Und eine weitere beliebige VM mit Linux/Windoof als Gast "internes Netzwerk" als Orange=DMZ

Somit kannst du alles Nachbilden.

 

[Bordi]

..Daran kann ich nur schwer abschätzen welche Konfiguration es mal werden soll.

Hm, ja bei so viel Power ist das echt ein Problem.

 

[DrRock]

Du müsstest
1. eine Mangabaren Switch haben der VLAN kann.
2. am Mac VLAN konfigurieren und das mit den "internen Netzwerk" (da kann man mehrer virtuelle Switchs erstellen) in VB verbinden.

Hab das selber mal ausprobiert, war mir aber zu steil.

Einfacher gehts du bildest dein LAN komplett nach in VirtualBox.

WAN Port von PF Sense mit der Netzwerkbrücke ans LAN anbinden => der Mac is qasi im Internet
Ein 2tes LAN für eine "internes Netzwerk" als Grün=LAN
ein 3tes LAN für eine "internes Netzwerk" als Orange=DMZ

Dann erstellst du dir eine weitere beliebige VM mit Linux/Windoof als Gast "internes Netzwerk" als Grün=LAN

Und eine weitere beliebige VM mit Linux/Windoof als Gast "internes Netzwerk" als Orange=DMZ

Somit kannst du alles Nachbilden.

Wow, was eine Idee und welche Kreativität.
Also mein Bekannter gibt mir seinen beeiste seit 3 Jahren im Keller sehenden 2 GHz Duo mit 2GB Ram. Es ist zwar eine 7200 1/min HDD verbaut, aber ok. Den werd ich erstmal aussaugen .
Bei Amazon bestell ich mir noch eine einfache 10€ Lan-Karte, dann kann ich pfSense mit Proxy mal ein paar Tage/ Wochen testen.

 

[DrRock]

Muss man eigentlich die Ports die man geöffnet habe will in dieser Konfig (FBF->FW->...) in der FritzBox sowie in der der FW forwarden, oder ist es OK in der FritzBox einen Exposed Host auf die IP der Firewall festzulegen ?

 

[hakiri]

Habe hier für pfSense eine APU1D4 vorgesehen zzgl. DSL Modem.
Die Hardware macht einen guten Eindruck und verbraucht wenig Strom.

Du könntest Dich alternativ auch mal mit Sophos UTM beschäftigen. Hat zwar viel "Klimbim" und ist an einigen Stellen etwas "Snake-Oil like", aber die GUI zum Konfigurieren ist eine feine Sache.
Nach einmaliger Registrierung kannst Du sie gratis für den Heimgebrauch bis 50 IP Adressen nutzen.
Mit etwas Tricks (Blind-Install) ist auch der Betrieb auf der APU möglich.

 

[Bordi]

.. zzgl. DSL Modem.

Wen du von Modem redest, was meinst du dann? DSL Modem (USB->PC dongle), DSL Bridge (LAN) oder DSL Router (LAN)?

 

[DrRock]

Ich installiere gerade pfsense auf dem Rechner.

Nach der Installation erscheint beim booten von der Festplatte folgende Fehlermeldung:

F1 pfSense
F6 PXE
Boot: F1

error 1 lba 294974479
error 1 lba 294974479
No /boot/loader

FreeBSD/x86 boot
Default: 0:ad(0,a)/boot/kernel/kernel
boot:
error 1 lba 294974479
No /boot/kernel/kernel

FreeBSD/x86 boot
Default: 0:ad(0,a)/boot/kernel/kernel
boot:

Dann friert das System ein.

Mit F6 und der Installations-CD kann man von der CD booten, aber von der Festplatte will er einfach nicht.


Woran kann es liegen ?

 

[tschortsch]

Steht doch dort:

No /boot/loader

...

No /boot/kernel/kernel

Hast du den Bootloader nicht mit installiert?

 

[DrRock]

Steht doch dort:

No /boot/loader

...

No /boot/kernel/kernel

Hast du den Bootloader nicht mit installiert?

Doch natürlich. Schon bestimmt 6 mal.
Nach der Installation konnte man den Standard Kernel und den Kernel ohne VGA wählen.
Beides führte zum gleichen Ergebnis.

 

[DrRock]

Kann es damit zusammenhängen das die SATA Platte nicht an SATA1 Port hängt sondern am SATA4 Port.

So sieht es aus:
SATAII 1 CD/DVD-ROM
SATAII 2 leer
SATAII 3 leer
SATAII 4 HDD

Wenn ich es umstecke kommt irgendwie das BIOS nicht mit klar.