Firewall für Heimnetz gesucht

[Bordi]

... oder sollte ich mich auch besser nach Alternativen umsehen?

Hol dir ein Gigaset A510 IP. Das kost dich vergleichsweise wenig und macht dich unabhängig.

Wie das "VoIP" von der Telekom einzuordnen ist, kann ich nicht mit Sicherheit sagen. Bei den meisten ist es aber ein fake. Sprich wen man's nicht all zu genau nimmt, telefonierst du noch immer auf die selbe weise wie früher auch.

 

[whitbread]

Also da bin ich da ganz anders. Splitter weg, DSL-Bridge ran (alle filter aus), FW hinter und ein SIP-Phone in's LAN/VLAN.

Ob du es glaubst oder nicht. Herkömmliche Telefone lassen sich bei weitem leichter anzapfen, und sind in der Anschaffen wie im Unterhalt wesentlich Teurer und deutlich weniger komfortabel.

Mich umtreibt beim Telefonieren weniger die Sorge um Datenschutz als die Verlässlichkeit. Selbst mit der VDS habe ich hinsichtlich Telefonie keine Probleme. Wir haben hier aber keinen Mobilfunkempfang - mit kleinen Kinder will ich da jederzeit telefonieren können. Daher würde ich VoIP auch immer direkt an den NAT- bzw. DSL-Router klemmen.

Wir haben hier sogar ein Siemens DECT IP und die VoIP-Funktion ist auch aktiviert (sipgate-Account); habe allerdings bisher kaum Gespräche darüber geführt...

Btw - was für einen "Unterhalt" hast Du denn für Telefone ausser Anschaffung und Strom?!?

 

[hakiri]

Hol dir ein Gigaset A510 IP. Das kost dich vergleichsweise wenig und macht dich unabhängig.

Wie das "VoIP" von der Telekom einzuordnen ist, kann ich nicht mit Sicherheit sagen. Bei den meisten ist es aber ein fake. Sprich wen man's nicht all zu genau nimmt, telefonierst du noch immer auf die selbe weise wie früher auch.

Danke, schaue ich mir mal an.
IMHO scheint die Telekom tatsächlich SIP zu sein

 

[whitbread]

Yep, Telekom macht natives SIP.

 

[DrRock]

Ich habe nun immernoch das Problem das die FritzBox an die FW keine Pakete weiterleitet trotz exposed host.
Wie geht das nur ?

 

[Bordi]

IMHO scheint die Telekom tatsächlich SIP zu sein

Wow, das ist .. verdammt cool. Dann müsstest du dafür auch persönliche zugutetaten haben. In der Regel die Tel. Nr und ein Passwort. Wen dem so ist, wehre der Anschluss einer richtigen SIP-Phones kein Problem. Gigaset, Granstream, Snome... ...mit oder ohne Bildschirm/Kamera.. oder vielleicht verzichtet ihr aufgrund der hohen Strahlung auf DECT und such euch eins der seltenen WLAN-Telefone.

Ach und falls nicht, es gibt ja noch Software. Sowohl für PC wie auch fürs Handy. Vor dem Kauf vielleicht erst-mal damit probieren. ^^

Wie geht das nur ?

Die Fritz ist jetzt im Modem Mode?

 

[whitbread]

Ja, Telekom geht halt 'nen anderen Weg. Und ja, daher gibt es dort völlig offen die SIP-Zugangsdaten.

 

[DrRock]

...
Die Fritz ist jetzt im Modem Mode?

Nein, ich möchte die Fritz ja vor (also in Richtung WAN) stehen lassen und dann verstehe ich die Funktion "Modem Mode" so, dass dieses Fritzbox als Modem dann kein VoIP mehr macht, was für meine Frau aber essenziell ist.

 

[Swp2000]

Kann mir mal ein netzwerk Spezi behilflich sein und folgendes etwas erläutern?
da ich mich einem neuen Projekt, bzw. vielmehr einer neuen Spielerei widmen möchte, habe ich beschlossen mir eine Firewall einzurichten mittels Supermicro-A1SAi-2550F sowas hier. Im gleichen Zug möchte ich natürlich bzw. muß ich ja auch meine Netzwerkverkabelung abändern, die momentan folgendermaßen aussieht:

(WAN:192.168.178.1) FB7490----->Hauptswitch ((192.168.178.2)TL-SG2216)---> Rechner aus sämtlichen Stockwerken alle weiteren Geräte bedienen sich aus dem IP-Pool (192.168.178.20-192.168.178.254)(Lan1-5), Lan 6: AP-WLAN 1.OG/ Lan 7: AP-WLAN 2.OG
---> LAN 8: DS115 (Webstation)
---> LAN 9: DS215J (Backup)
---> LAN 10-14 LAG DS1515+

Nun möchte ich wie gesagt oben genanntes Board in ein passendes Rack einbauen und als pFsense bzw. Sophos konfigurieren. Da mir nun gesagt wurde ich müsste die DS115 nun als DMZ einrichten um den Aufbau sicher zu gewährleisten bzw. vom Netz zu trennen bin ich mir nun nicht sicher wie die Verkabelung bzw. Adressierung aussehen sollte. Ich muss jedoch aus dem Netzwerk von den Rechnern zugriff auf die DS115 haben damit ich dort entsprechend Dateien für die Webstation ablegen kann (Photostation)

Kannst du mir aufzeigen, wie ich das Ganze "richtig" verkabeln muss?

Besten dank Grüße
Sven

 

[Bordi]

dein Link funktioniert nicht. Ich gehe mal davon aus du dachtest an ein Supermicro A1SAi-2750F ? ..und welche Software dazu?

 

[Swp2000]

dein Link funktioniert nicht. Ich gehe mal davon aus du dachtest an ein Supermicro A1SAi-2750F ? ..und welche Software dazu?

Dachte an ein Supermicro A1SAi-2550F. Ich wollte es so handhaben das ich, wenn ich das hinbekomme, eine VM mit pfsense und eine VM mit Windows 2012 Server anlege. Die Frage ist eben geht das so überhaupt? Und B wie muss ich meine jetzige Verkabvelung, die wie ich hoffe verständlich ist, ändern?

 

[Bordi]

Dachte an ein Supermicro A1SAi-2550F.

Wirklich? Wieso nicht das Supermicro A1SRi-2558F (Rangeley - C2558)
http://ark.intel.com/de/compare/77982,77983

.., eine VM mit pfsense und eine VM mit Windows 2012 Server anlege. Die Frage ist eben geht das so überhaupt?

Hmm.. ich sehe Schwierigkeiten. Ich kann mir schon vorstellen dass das funktioniert, dürfte allerdings recht tricky werden. Problem: Ein DualBoot würde nicht funktionieren, da nur immer ein OS aktiv sein könnte. Du müsstest also Virtualisieren, am besten wohl mit XEN oder pfSence als Mutter OS und Win in der phpVBox. Ich würde beides nicht empfehlen, allerdings besser so, als pfSence in der VBox vom Windows Server. Egal ich würds nicht wollen. Nicht nur wegen dem Win Server, auch wegen aufwand, Sicherheit, und Performaceverlust. Ergo ich würde auf den Win Server verzichten, mich für die Rangelay entscheiden, und mir den schritt zum 8-Core überlegen. Erfahrungsgemäss kann pfSence je nach Zusatzpaket (zB squid3 + squidGuard) recht anspruchsvoll werden.

LINK

..meine jetzige Verkabvelung, ..., ändern?

Wieso solltest du?

 

[Swp2000]

Wirklich? Wieso nicht das Supermicro A1SRi-2558F (Rangeley - C2558)
http://ark.intel.com/de/compare/77982,77983

Was ist den an dieser CPU besser, was ich brauchen kann? Du meinst wegen dem QuickAssist? Außerdem ist das kein 8-Kern sondern auch ein 4er.

Hmm.. ich sehe Schwierigkeiten. Ich kann mir schon vorstellen dass das funktioniert, dürfte allerdings recht tricky werden. Problem: Ein DualBoot würde nicht funktionieren, da nur immer ein OS aktiv sein könnte. Du müsstest also Virtualisieren, am besten wohl mit XEN oder pfSence als Mutter OS und Win in der phpVBox. Ich würde beides nicht empfehlen, allerdings besser so, als pfSence in der VBox vom Windows Server. Egal ich würds nicht wollen. Nicht nur wegen dem Win Server, auch wegen aufwand, Sicherheit, und Performaceverlust. Ergo ich würde auf den Win Server verzichten, mich für die Rangelay entscheiden, und mir den schritt zum 8-Core überlegen. Erfahrungsgemäss kann pfSence je nach Zusatzpaket (zB squid3 + squidGuard) recht anspruchsvoll werden.

Oder eben ESXI als Mutter OS. Generell würdest du mir nur die Firewall empfehlen auf dem System zu installieren. Da das Board für die Firewall etwas overzized ist, wollte ich das eben mit einem weiteren OS kompensieren. Wenn man die Möglichkeit hat, aber wenn das als Laie nicht durchführbar ist, etwas kompliziert!

PS: Wegen der Verkabelung, die muss ich ja im Gegensatz zu jetzt ändern und das C2550/2558 vor den Hauptswitch schalten und die DS115 an einen separaten Port des Atom Boards, wegen DMZ usw. oder? Ich weiß es eben nicht wie man dies richtig verkabelt damit es auch sicher ist nach außen. Deswegen frage ich ja!

 

[DrRock]

PS: Wegen der Verkabelung, die muss ich ja im Gegensatz zu jetzt ändern und das C2550/2558 vor den Hauptswitch schalten und die DS115 an einen separaten Port des Atom Boards, wegen DMZ usw. oder? Ich weiß es eben nicht wie man dies richtig verkabelt damit es auch sicher ist nach außen. Deswegen frage ich ja!

Also wenn du eine DMZ willst, dann muss dein Webserver ein einem seperaten Port an der FW angeschlossen sein, damit dieser sich nicht im gleichen Netzwerk wie dein LAN befindet.

 

[Bordi]

Was ist den an dieser CPU besser, was ich brauchen kann?

Im wesentlichen ja, kein HT dafür QuickAssist. C2550/2558 sind 4-Core, C2750/2758 sind 8-Core. Wie ich schon schrieb würde ich mich wahrscheinlich für den 8-Core Rangeley entscheiden, und die beiden Avaton (C2550 & C2750) beiseite schieben. Ich hätte den Avaton eher in einer DS eingesetzt.

nur die Firewall empfehlen auf dem System zu installieren.

JA !

Da das Board für die Firewall etwas overzized ist, ..

Tja das ist eben die frage ob es das ist. An einem meiner Standorte habe ich eine Z530 mit ordentlich RAM, 60GB SSD und Hifn 7955 Cryptocard laufen. HIER im Vergleich zu AMD APU. Grundsätzlich müsste man meine das die für eine 32Bit pfSence reicht. Aber nö, ohne Kühlung wird im Sommer verdammt heiss, mehr als 100MBit/s ist nicht, und wen ich sie nur das kleinste bisschen fordere: CaptivPortal, oder Virenscanner, oder ähnlich, verdaut sie nur mit sehr grosser mühe. 50MBit Internet ist das Limit, oder schon zu viel. An scuid3, squidGuard, Virenscanner und YouTube Caching brauch ich dar nicht erst denken.

..die muss ich ja im Gegensatz zu jetzt ändern und das C2550/2558 vor den Hauptswitch schalten und ...

Hast du de FB? Wen ja kommt die Firewall da hin wo jetzt die FB ist, und bekommt eine Dirtektverbindung zum Modem.


@DrRock: Ginge auch alles über VLAN. Mir würden 2 Ports reichen. WAN & VLAN (1+2+3+4+5+6+7+...). ;-) :-D

 

[Swp2000]

Die FB ist ja mein WAN Router über dessen ich Internet beziehe. Danach kommt mein Hauptswitch wo alles anderen dran hängt. Da dazwischen, wenn ich dich richtig verstehe kommt die DS115. Diese hat Von aussen einen Zugriff auf Webserver, Webdav und SFTP. Deswegen die Frage nach DMZ bzw. Ob das sinnvoll wäre.

Ich habe gestern zur Firewall noch etwas recherchiert, Sophos UTM, habe ich auch noch gefunden und bin nun am überlegen of pfs3nse oder Sophos. Hast du dazu auch Erfahrung?

 

[Bordi]

Die FB ist ja mein WAN Router über dessen ich Internet beziehe. Danach kommt mein Hauptswitch w..

OK! Dieser Aufbau ist dir ein Begriff?

Eine Firewall kommt generell zwischen Switch und Modem (Client-> Switch->Firewall->Modem). Hat also soweit nichts mit deiner Verkabelung am Hut. Wen du jedoch denkst das du wegen DMZ in Bedrängnis kommst, nutzt das das untagged VLAN deines Switches um es vom LAN abzugrenzen. Wo du allerdings hinschauen musst ist dein Fritz. Wen du die nicht zum reinen Modem umbaust, funkt sie dir dazwischen. ...und das willst du nicht. ..sicher nicht!

Hast du dazu auch Erfahrung?

Es gibt ja so einige Firewalls und Router. Zum eine die welche du kaufen kannst: MicroTik, ZyXEL, Watchguard, SonicWALL usw. und eben auch Sophos. Daneben hast du aber auch jene auf BSD basis die du selber aufsetzt: pfSense, OPNsence, SmallWall, t1n1wall, (m0n0wall) oder auf Linux Basis IPcop, IPfire, SmoothWall..
Meiner Meinung nach ist pfSence insbesondere in der 64Bit Version und entsprechender HW ein sehr mächtiges Schwert, das auch im Kommerziellen Markt der Oberklasse erstmal seines gleichen suchen muss. OPNsence ist der versuch, pfSence jenen zugänglich zu machen denen das Original bisher zu kompliziert war. Das scheint soweit auch gelungen, allerdings ist OPNsense auch das deutlich stumpfer Schwert. Der Nachteil an beiden ist das sie sehr Performance-Hungrig sein können, und für meisten zuhause etwas oversized sind. Den meisten würde eine SmallWall o. t1n1wall durchaus reichen. Früher hätte ich m0n0wall empfohlen.

Das gut an ihnen ist das eine kleine AMD APU bereits oversized sein kann. Die an m0n0 angelehnten Firewalls sind etwas einfacher, und für die meisten dennoch mehr als ausreichend.

Zu den Linux Firewalls: Das wird nun einigen meiner Kollegen nicht passen aber.. Ich halte nichts von Linux Firewalls wie IPfire usw! Die sind mir -nebst- vielem anderem- schlicht zu instabil.

 

[Swp2000]

So habe ich mir das vorgestellt, ja. Nur wie gesagt geht von der FB imo ein Kabel an den Hauptswitch welcher ja alle angeschlossenen Geräte mit Internet versorgt. Dies habe ich ja bei der Firewall anders. Hierzu muss ich eben genanntes Kabel ja in die Firewall stecken und von dort aus LÖan-Karte 2 dann an den Hauptswitch. Die DS115 mit dem Zugang von extern hätte ich an LAN 3 der Firrewall angeschlossen.
Wäre so ja korrekt? Oder wias meinst du mit DS an ein VLAN am Switch.? D.h. ich könnte sie am Hauptswitch lassen und müsste sie nicht direkt mit der Firewall verbinden?

 

[Bordi]

..am Hauptswitch lassen und müsste sie nicht direkt mit der Firewall verbinden?

Ja!

Selbstverständlich kannst du die FW auch Physisch zwischen FB und Switch stellen + verkabeln. Du musst aber nicht. Untagged VLAN geht genauso, wie auch tagged VLAN für die DMZ. Wie schon #95 kurz erwähnt, können zwei GBit-Anschlüsse

• Port1=WAN (PPPoE)
• Port2=VLAN 1, 2, 3, 4, .. (VLAN1=LAN | VLAN2=DMZ | VLAN3=VoIP..)

...reichen um daraus eine brauchbare Firewall zu basteln. Musst du halt mal in der VBox ausprobieren ob das für dich funktionieren würde, oder ob dir die -vielleicht einfachere- Variante mit physischen Ports

• Port1=WAN (PPPoE)
• Port2=LAN
• Port3=DMZ
• Port4=VoIP

..lieber wäre.

Egal wie du es löst. Ganz ganz super wichtig ist: Sobald du umstellst, musst du deine FB zum reinen Modem degradieren (Modem-Modus, alle Filter aus). Oder falls das nicht möglich ist, die FB durch eine DrayTek Vigor oder ZyXEL VDSL2-Bridge ersetzen. Ansonsten wirfst du nur dein Geld aus'm Fenster, und betreibst viel Mühe und Aufwand für etwas was nicht, oder nicht so funktioniert wie du es dir vorstellst.

 

[Swp2000]

Mh.. die Portweiterleitungen hätte ich aus der FB entfernt, genauso der DynDNS Dienst als auch DHCP deaktiviert. Das wird ja dann von pFsense erledigt oder? Aber den Rest hätte ich so gelassen, denn VOIP läuft ja über die FB da dort meine Telefone angeschlossen sind, das ist ja auch ok so. Mir geht es ja nur um die Rechner im LAN.
Und da kann ich bei der FB ja wie gesagt Portweiterleitung, DynDNS, DHCP ausschalten. Das passt dann ja oder?
Was meinst du mit VBox?

Also könnte ich nach Vorschlag 1, die Firewall einfach an einen freien Port an meinem Hauptswitch einstecken und die Konfiguration virtuell vornehmen, das würde dann auch bedeuten das die Leitung (Wan) von der FB auch im Hauptswitch bleiben kann und ich sie nicht direkt mit dem Atom-Board verbinden muss?
Was leider hinzu kommt, was ich noch nict angesprochen habe, ist das eine Überwachungskamera per WLAN der FB mit der Surveillance Station der DS115 aufnehmen muss, da es vom Aufbau her nicht andes geht und die Kamera nur zur FB optimalen Empfang hat.