Firewall für Heimnetz gesucht

[Bordi]

Ja. Wahrscheinlich hast du beim installieren den Boot loader auf die CD installiert, was -wie wir wissen- nicht funktioniert. Da du ohnehin nur üben willst, ist es für den anfang villeicht besser wen du es mit einem USB Stick versuchst.

https://doc.pfsense.org/index.php/Writing_Disk_Images

https://www.thomas-krenn.com/de/wiki/Open_Source_Firewall_pfSense_auf_USB_Stick_installieren

http://hubpages.com/hub/How-to-Install-pfSense-From-a-Bootable-USB-Stick

 

[hakiri]

Wen du von Modem redest, was meinst du dann? DSL Modem (USB->PC dongle), DSL Bridge (LAN) oder DSL Router (LAN)?

Vorgesehen hatte ich entweder das D-Link 321 welches mit ca. 25 EUR recht günstig liegt oder das Vigor130. Letzteres schlägt mit etwa 100 EUR zu Buche, kann aber auch Geschwindigkeiten jenseits der 25 MBit.

Die Alternative einen Router davor zuschalten finde ich weniger gut, da dann hier ein Doppel NAT statt findet.
Mit VOIP habe ich noch keine Erfahrungen gemacht, aber im schlimmsten Falle würde ich eine Fritzbox dann als Modem/Router nutzen, da VOIP hinter einem Router wohl Probleme machen kann.
Die Erfahrung werde ich dann allerdings erst im Februar sammeln. Dann will die Telekom den Neuanschluss bei mir legen.

Das USB Modem kannte ich noch gar nicht, sieht interessant aus. Das werde ich mal unter die Lupe bezüglich Treiber und Zuverlässigkeit nehmen.

 

[DrRock]

Ja. Wahrscheinlich hast du beim installieren den Boot loader auf die CD installiert, was -wie wir wissen- nicht funktioniert. Da du ohnehin nur üben willst, ist es für den anfang villeicht besser wen du es mit einem USB Stick versuchst.

https://doc.pfsense.org/index.php/Writing_Disk_Images

https://www.thomas-krenn.com/de/wiki/Open_Source_Firewall_pfSense_auf_USB_Stick_installieren

http://hubpages.com/hub/How-to-Install-pfSense-From-a-Bootable-USB-Stick

OK, danke für die Links.
Ich habe nun einen USB Stick Bootbar gemacht und pfsense drauf kopiert.

1. Versuch : Mit der i-Taste die Installationroutine angefahren. -> Nicht lauffähig ohne USB-Device
2. Versuch : Mit 99 (Install pfSense to hard drive, etc.) nochmals die Installation durchgemacht. -> Nicht lauffähig ohne USB-Device

Ich versuche es jetzt nochmal mit der 32 Bit Version. Es ist zwar ein 64 Bit Board, aber mit geht solangsam die Puste aus.
Im prinziep kann ich es ja testweise auch so lassen, aber irgendwie habe ich bedenken das ich es mit meiner finalen Hardware auch zu diesem Problem kommt.
Komischerweise hat es in meiner VirtualBox super funktioniert.

 

[DrRock]

Habs gelöst. Die 32 Bit Version läuft bei mir.

Nun klemme ich den Rechner ins LAN. Dann gehts weiter ....

 

[Bordi]

Vorgesehen hatte ich entweder das D-Link 321 welches mit ca. 25 EUR recht günstig liegt oder das Vigor130. L..

Das Vigor ist bereits ein router

"Multiples PVC/VLAN für Triple-Play-Anwendungen, Firewall mit URL-Filter, Der beste Partner für DrayTek Breitband-Router"

..und beim D-Link bin ich mir nicht sicher, aber ich tendiere auch da zu wenig positivem. Unsicher stimmt mich da die Zeile:

"PPPoE, PPPoA zur Interneteinwahl durch das Modem"

Was du eigentlich bräuchtest ist eine DSL Bridge, die sich im unterschied zum Router nicht selbst einwählen kann. So! und jetzt schreien alle: WtF...!..?

Aber ne so is'es nicht. Die einwahl würde durch die pfSense oder die DS vorgenommen. Wie? Am WAN Port der DS oder von pfSense -wo die DSL Bridge angeschlossen ist- wird die Konfiguration von DHCP oder Fester IP auf PPPoE gewechselt. In den zugehörigen Feldern werden die Provider Zugangdaten eingegeben, fertig. Weshalb? Nun auf die weise hat das externe Gerät -die DSL Bridge, oder Router im Bridge Mode- lediglich eine Aufgabe: Das DSL Signal in ein LAN Signal zu wandeln. Sämtlich anderen aufgaben wie Einwählen, FIlter, Schutz, Routen, DHCP, NAT usw entfallen vollständig, und können somit auch nicht stören.

Von wegen Stören. Der unterschied zwischen Analogem und ISDN DSL-? ist lediglich der Splitter, der -und jetzt kommt's- auch weggelassen werden kann! Nachteil beim weglassen ist, das man den Anschluss nicht gleichzeitig zum Surfen und zum Telefonieren via Analog/ISDN Festnetz nutzen kann.

Wer als den Splitter nicht benötigt, weil kein ISDN/Analoges Festnetz wird, kann ihn gut und gerne weg lassen (noch eine Störquelle weniger). Weiter muss man sich nicht darauf achten ob die Geräteverpackunf mit ISDN oder Analog DSL beschriftet ist.




@DrRock
Ich dachte eigentlich nicht daran das du mit dem USB-Stick installieren sollst. Ich dachte daran das du damit arbeiten sollst.

 

[hakiri]

Das Vigor ist bereits ein router ..und beim D-Link bin ich mir nicht sicher, aber ich tendiere auch da zu wenig positivem. Unsicher stimmt mich da die Zeile: Was du eigentlich bräuchtest ist eine DSL Bridge, die sich im unterschied zum Router nicht selbst einwählen kann. So! und jetzt schreien alle: WtF...!..?

Aber ne so is'es nicht. Die einwahl würde durch die pfSense oder die DS vorgenommen. Wie? Am WAN Port der DS oder von pfSense -wo die DSL Bridge angeschlossen ist- wird die Konfiguration von DHCP oder Fester IP auf PPPoE gewechselt. In den zugehörigen Feldern werden die Provider Zugangdaten eingegeben, fertig. Weshalb? Nun auf die weise hat das externe Gerät -die DSL Bridge, oder Router im Bridge Mode- lediglich eine Aufgabe: Das DSL Signal in ein LAN Signal zu wandeln. Sämtlich anderen aufgaben wie Einwählen, FIlter, Schutz, Routen, DHCP, NAT usw entfallen vollständig, und können somit auch nicht stören.

Richtig, PPPoE-Passthrough ist das was ich von einem Modem erwarte.
Das Vigor kann es zumindest: http://www.draytek.com/index.php?option=com_k2&view=item&id=5346&Itemid=293&lang=en

...und das D-Link auch: ftp://ftp.dlink.de/dsl/dsl-320b/documentation/DSL-320B_howto_de_Bridge-Modus_20090423.pdf

 

[Bordi]

..
Das Vigor kann es zumindest: ..[/url]

...und das D-Link auch:

Es sind beides Router die den BridgeMode beherrschen. Man muss sie als zur Bridge umbauen, was wie ich aus eigener Erfahrung weiss, auch schief gehen kann. Die ZyXEL P-871M VDSL2 Bridge hingegen kann nur das. Wen du dich auf der Website umsiehst wirst du merken das was fehlt. Die Bedienungsanleitung. Der Grund dafür ist einfach: Es gibt nichts zum bedienen. Einrichten bedeutet, Strom geben und mittels LAN-Kabale direkt (!) mit der DS o. pfSense WAN verbinden.
Dummerweise hat dieser Luxus auch seinen Preis.


@DrRock: Top!

 

[DrRock]

So, wie geht man nun in der FritzBox vor, das man die pfsense ins Netz bekommt.

Also derzeit ist es so :

WAN-> FBF/Lan1-> Lan1/pfsense/Lan2-> PC

Ich habe mal testweise einen exposed Host in der FBF auf die pfSense angelegt, aber das funktioniert nicht. Ich komme mit dem PC nicht durch die pfSense.


Edit:
Mit dieser Einstellung komme ich nun auf die FritzBox und auf die pfsense und ins Internet. Das man Router und DNS Server unterschiedlich, manuell eingeben muss, geht doch bestimmt Elegenater.

 

[whitbread]

Die Alternative einen Router davor zuschalten finde ich weniger gut, da dann hier ein Doppel NAT statt findet.

Doppel-NAT ist auch nicht nötig. Du kannst Deine pfSense ja auch ohne NAT laufen lassen.
Die PPPoE-Passthru-Variante würde ich jedoch auch bevorzugen (s. Post #65) - aber bitte niemals PPPoE-Einwahl über die NAS!

 

[DrRock]

OK, das habe ich hinbekommen.



Jetzt muss ich nurnoch hinbekommen das die pfSense die Portregeln etc. macht und die FritzBox nicht im weg steht.
Geht das mit dem exposed Host ?

 

[Bordi]

Was meinst du, ob dir das weiter hilft?
http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html

http://www.administrator.de/wissen/...rewall-eigenbau-fertiggerät-149915.html#toc-6

 

[DrRock]

Diese Funktion kenne ich. Funktioniert denn dann die Fritzbox noch für voip?

 

[Bordi]

..Funktioniert denn dann die Fritzbox noch für voip?

Wen du unter voip verstehst das dein altes Analoges Telefon an der Fritzbox angeschlossen wird, um so (angeblich) übers Internet zu telefonieren, dann nein. Aber! Du kannst ja auf pfSense auch Asterisk installieren, oder aber -und das ist weit besser- dir ein richtiges Voice over IP (SIP) Phone zulegen, dir einen richtigen VoIP Anbieter suchen, und schon brauchst auf solch fake zeug's keine Rücksicht mehr nehmen.

 

[whitbread]

Haha sehr schön geschrieben Bordi! Was bin ich froh, dass bei uns Telefonie noch unabhängig vom Internet ist...

Allerdings war die ursprüngliche Empfehlung, die Telefonie vor die FW zu setzen. Bei den neuen NGN-Anschlüssen bleibt einem da ja wenig Auswahl.

 

[Bordi]

Haha sehr schön geschrieben Bordi! ...

Danke!

..Was bin ich froh, dass bei uns Telefonie noch unabhängig vom Internet ist...

Also da bin ich da ganz anders. Splitter weg, DSL-Bridge ran (alle filter aus), FW hinter und ein SIP-Phone in's LAN/VLAN.

Ob du es glaubst oder nicht. Herkömmliche Telefone lassen sich bei weitem leichter anzapfen, und sind in der Anschaffen wie im Unterhalt wesentlich Teurer und deutlich weniger komfortabel.

 

[DrRock]

Asterisk wäre zwar die beste Wahl in Verbindung mit einem anderen Sip Anbieter als mein Hoster, aber dann müsste ich a) ein neues Sip Funktelefon kaufen und b) voip doppelt bezahlen. Als Belohnung spare ich mir dann aber tatsächlich die Stromkosten für die Fritzbox.
Das wlan der Fritzbox ist sowieso unterirdisch und dect ist bei uns in der Wohnung auch nicht so gut.

 

[Bordi]

nene.. wen du ein SIP-Phone kaufst, brauchst du kein Asterisk. (es sei den du willst ein ganze Firma damit ausstatten, und 100en von verschiedenen Konten anlegen oder so).

PS: und wen du auf Kabel wechselst, kannst du auch gleich den Festnetz-Anschluss kündigen. Den der brauch ja keiner mehr. Weder für DSL noch zum Telefonieren.

 

[DrRock]

Ich wechsle nicht zu Kabel Deutschland. Mir ist VDSL lieber.

 

[Bordi]

..Mir ist VDSL lieber.

Mir auch..

Ich wollt's halt bloss erwähnt haben. Sind ja schliesslich auch kosten die man dadurch sparen kann.

 

[hakiri]

Wo wir beim Thema VoIP sind
Wie kann ich denn das VoIP von der Telekom am besten abbilden?
Ich hatte daran gedacht, die Fritzbox weiterhin als Dect und VoIP Server zu verwenden. (hinter der PfSense).
Da ich auch einige Handgeräte von Fritz habe... geht das so, oder sollte ich mich auch besser nach Alternativen umsehen?