AVM Fritz!Box Hardware Firewall OPNsense in Verbindung mit Fritzbox und VF Kabelanschluss

[Tommes]

Wie ich eingangs bereits erwähnt hatte, beziehen sich die Werte auf den "Leerlauf", wobei die DS224+ bedingt durch aktive Docker- und VMM Instanzen nicht in den Ruhezustand wechselt. Von daher habe ich...

...im Leerlauf (aufgerundet) zusammen grad mal 20 Watt im 24/7 Betrieb.

Das dies unter Last natürlich ganz anders aussieht, liegt natürlich auf der Hand. Ich habe mir aber nicht die Mühe gemacht, alle Komponenten unter Volllast zu analysieren, da dies doch eher die Ausnahme ist. Vielmehr langweilen sich die Geräte vorwiegend, auch die Zugriffe fallen doch eher moderat aus, möchte ich mal sagen, da ich durchaus auch mal andere Dinge mache, als tonnenweise Daten hin und her zu schaufeln oder 30 VMs parallel betreibe und mit irgendwelchen Aufgaben zumülle. Das Bash-Scripting z.B. braucht halt nicht viel Reccourcen.

Warum dann der ganze Zirkus mag man sich jetzt zu Recht fragen. Hauptsächlich betreibe ich die Segmentierung und das Firewalling wegen meines Sohnes, denn hinter seiner Zimmertüre betrittst du eine andere Welt und das willst du nicht wirklich in deinem Netzwerk haben. Auch endet an dieser Türschwelle meine Philosophie des Stromsparens, denn er betreibt zuweilen in seinem Zimmer ein Stromvernichtungszentrum. Ohne Scheiß... egal!

Aber der Hauptgrund, warum ich das alles mache ist: weil ich Bock drauf hab und es mit Spaß macht. Auch macht es mir sehr viel Spaß dabei soviel Strom wie möglich zu sparen, nicht weil ich arm oder geizig bin, sondern einfach weil mich das triggert. Das was man früher allein mit einer 60 Watt Glühbirne verballert hat, verballer ich grad mal mit meinen Geräten IM LEERLAUF!!! Von daher ja.... ich habe alles soweit durchgemessen, teilweise sogar jedes Gerät für sich und ich denke schon, das meine Werte stimmen. Aber das ist ja nur ein Bruchteil dessen, was in meinem Haushalt noch so kreucht und fleucht. Denn am Ende verbrauchen wir in unserem Haushalt trotzdem 5000 kW/h im Jahr, was ich durchaus viel finde.

 

[FricklerAtHome]

UND JETZT WILL ICH NICHTS VON STROM HIER LESEN!

Freuen wir uns wenn @crtlaltdel die weiteren Schritte bekannt gibt!

 

[Tommes]

 

[FricklerAtHome]

ich werde mal versuchen meinen Netzplan graphisch darzustellen um ggf. für @ctrlaltdelete Anregungen zur Segmentierung zu geben. Teilweise machen Gebäudevorgaben bei mir die Sache etwas komplexer, der TV Kabel / Internetanschluss ist zum Beispiel im jetzigen Schlafzimmer. Außer der (versteckten) ISP-Fritzbox akzeptiert meine Frau dort gar keinen IT-Schnick-Schnack (vor allem keine KABEL). Das wir hier an einem anderen Ort in der Wohnung einen Glasfaseranschluss bekommen ist auch mittelfristig so gut wie ausgeschlossen da wir in einer Anlage mit vielen Wohnungen und langfristigem Rahmenvertrag bedient sind. Hier haben wir bereits jetzt zumindest 1 GB im Download und die Zusicherung vom Kabelanbieter mit entsprechenden Docsis Versionen auch weiter upgradefähig gehalten zu werden. Das klappt auch seit wirklich 10 Jahren zuverlässig. Mein Zugang bietet echten Dual-Stack für IPv4 und IPv6 und die IPv4 Adresse ist quasi fix. ---- Und jetzt geht es an den Entwurf! Wollte ich für die uninteressierten Erben sowieso schon einmal machen!
F@H

 

[Tommes]

ich werde mal versuchen meinen Netzplan graphisch darzustellen… Wollte ich für die uninteressierten Erben sowieso schon einmal machen!

Sowas habe ich bereits in Form eines Kabelplans sowie eines Netzwerkdiagramm erstellt, ausgedruckt und an den Sicherungskasten im Technikraum gepappt, damit im Fall der Fälle jeder versteht, was das alles soll. Ich traue mich nur nicht, das hier zu veröffentlichen. Nachher lachen wieder alle … nein quatsch … ich denke nur, das das keinen sonderlich interessieren dürfte, zumal ich ja ein minimalistisches Setup hier habe, ohne viel Tamm Tamm.

 

[FricklerAtHome]

Gute Antwort @Tommes ! Ich habe mich davor bisher rumgetrickst, wollte eh keiner haben und wenn man ehrlich ist kann (im Falle eines Falles) bei mir eh keiner die Frickelei nachvollziehen. Wenn es mal irgendwann sein muss kann der ambitionierte Nachfolger zumindest bei der Hardware aus dem "Vollen" schöpfen! -- da helfe ich dann gerne bei konkreten Fragen!
Dann kann ich mich auf die heute die wirklichen und wichtigen Dinge konzentrieren ( letze Folge Staffel 2 Die Ringe der Macht, 2. Folge Skelleton Crew, aktuell mit Ehefrau "das perfekte Dinner").

 

[Tommes]

Wobei… solch einen Plan zu erstellen verursacht bestimmt weniger Str*mkosten, als Serien auf einem 85 Zoll Fernseher mit 3D-Audio Beschallung zu streamen … Ähm… ich muss weg!

 

[FricklerAtHome]

85 Zoll / 3D Audio ----- Darauf verzichten wir! Alles viel kleiner! Und ich rede hier nicht mehr über Strom!

 

[ctrlaltdelete]

Wo sind die Pläne
Edit: Mit welchem Tool erstellt ihr die?

 

[maxblank]

Microsoft Visio oder Draw.io

Edit: Draw.io mittlerweile Diagrams.net
https://g.co/kgs/47Uf4Wx

 

[Tommes]

Ich hab da mal was vorbereitet (siehe Anhang) und mein eigentliches Netzwerkdiagramm für die Allgemeinheit etwas umgeschrieben bzw. vereinfacht. Erstellt habe ich das mit LibreOffice Draw, also nichts wildes und sicherlich nicht Regelkonform, so wie das die Profis hier machen. Aber am Ende muss ich es ja verstehen und gut finden. BTW: Als DNS-Server lassen sich in der pfSense natürlich auch andere eintragen. In diesem Fall verweise ich halt auf den DNS der Fritzbox. Kann man machen... muss man aber nicht.

 

[ctrlaltdelete]

Hi @Tommes,
was ist das für ein Server in der DMZ vor der Sense?

 

[FricklerAtHome]

bei mir sieht das so aus (Teilansicht Bildschirmkopie meiner PRTG Web-Ansicht).



Die WLAN-Zellen/Netze sind nicht extra beschrieben!

 

[Tommes]

Das ist meine DS124 auf der ein paar kleinerer Docker-Container wie z.B. Nginx Proxy Manager, Home Assistent und ein kleiner Webserver laufen. Also nichts wildes. Und ja… eigentlich gehört die DMZ hinter die pfSense und nicht davor. So vermeide ich jedoch eine weitere Portweiterleitung durch die pfSense. Gefällt nicht jedem, ist mir aber sehr sympathisch. Im übrigen laufen meine AVM-Smarthome Geräte wie Thermostatregler und Steckdosen als auch meine IP-Cam i.d.R. ebenfalls innerhalb dieses Netzsegmentes, weshalb ich hinter der pfSense nicht zwingend ein IoT-Segment o.ä. benötige.

 

[ctrlaltdelete]

Danke für euren Input. Ich experimentiere auch gerade mit PRTG rum, muss mich da erstmal zurechtfinden.

 

[ctrlaltdelete]

Ich hatte mal zu meiner IT-Admin Zeit (long long time ago - in einem Land vor unserer Zeit) ein Win Tool, das hat das gesamte Netzwerk gescannt und alle Clients mit IP in einer Map angezeigt und ich meine die konnte man dann noch bearbeiten. Muss mal alte Unterlagen/Dateien durchschauen, ob ich das finde.
Edit: Weiß nur nicht mehr ob das mit Agents auf den Client lief, aber ich denke, das war ohne Agents.

 

[FricklerAtHome]

Dein altes Tool ist auch mir in Erinnerung. Das lief aber nur mittels PING und Port-Scan. Hat nir schon vor Jahrzehnten nicht mehr gereicht. Ich schöpfe die 99 freien Sensoren in PRTG aus, ist halt mein "Alarm-System". Was es nicht gut kann ist die Darstellung (bzw. ist auch mir das zu komplex) logischer Gruppen.
Beispiel: Ich betreibe "PROXMOX" in einem Cluster mit 3 echten Rechnern (sind gar nicht aufgeführt). Darin hoste ich 9 VM und einen Container. Die PM Kisten stehen in meinem LAN-SEGMENT, also bei mir VLAN-TAG 10, die laufenden VM / Container sind aber wiederum teils anderen VLAN's zugeordnet,also z.B. VLAN-TAG 20 für MEDIA.
Alles eine Quelle ständiger Veränderungen, besser bekannt als Frickelei!

 

[FricklerAtHome]

@Tommes
Auf eine DMZ habe ich verzichtet. Da bin ich sehr restriktiv. Es gibt auf der Provider-Fritzbox nur einen Port als Zugiff von Außen an die Opensense. Darüber laufen nur 3 auch für "Externe Clients" erreichbare Dienste: Mail-Server (jedoch mit E-Mailabholung mittels Fetchmail also SMTP-IN aus), NEXTCLOUD, MAIL-ARCHIV-SERVER. Das Zuordnen auf die realen Kisten übernimmt dann mit der Let'Encrypt Zertifizierung ein Reverse Proxy. Auf dem gleichen Port läuft in OPN noch eine WIREGUARD Instanz als VPN-Zugang für alles Andere.
Als Smart-HOME nutze ich FHEM mit etlichen Komponenten verschiedenster Protokolle etc. JA Frickelei aber seit Jahren antrainiert. Nur der Wunsch der Familie dies auch über die Handys zu nutzen führte zum Einsatz von Home-Bridge. Über die Apple-Dienste (ein entsprechendes häusliches Apple TV ist der Master) können nun die meisten Lichter, Heizungen und Rolladen auch aus der Ferne geschaltet werden. Das ist zwar auf dezidiere Clients / berechtigte Apple-ID User begrenzt. Es soll alles sicher sein, doch der Gnom des Misstrauen nagt an mir.

 

[Tommes]

Die DMZ war ursprünglich auch nur für meinen Sohn gedacht, weil er zeitweise einen Minecraft Server betrieben hat und verschiedene weitere Dienste ins Internet stellt. Da das überhaupt nicht meine Welt ist, kam halt die pfSense ins Haus. Nach viel hin und her und rumprobieren (steile Lernkurve) entschloss ich mich letztlich dazu die DMZ vor die pfSense zu stellen, da die Fritzbox trotz der statischen Routen es teilweise nicht auf die Kette bekommen hat, IPs hinter der pfSense zu akzeptieren.

Naja und wenn man dann schon mal so eine Segmentierung am Sart hat, beginnt man auch Dinge auszuprobieren. Beim Thema Smarthome bin ich aber immer noch ziemlich „Old school“ unterwegs, bin ich es doch gewohnt die Rolläden und Lichtschalter manuell zu betätigen. Aber da wir hier ebenfalls ein Apple vorbelasteter Haushalt sind, könnte das durchaus ein Zukunfstprojekt werden. Aber gut… wollen wir das an dieser Stelle nicht weiter vertiefen sonst forderst du bald noch ein, in diesem Thread nichts mehr von Smarthome lesen zu wollen

 

[FricklerAtHome]

Wie sich Lösungen gleichen: Auch in meiner betreuten Nachbarschaft haben wir das gleiche Problem mit einer ähnlichen Lösung als DMZ. Die Eltern brauchten ein "sauberes / sicheres" Netz und auch da der Sohnemann für Xbox, Playsi, obskure Streaming und weiteres die offene Tür in die Welt. Auch da landete der Sohnemann in einer DMZ. Und zwar vollständig mit all seiner Hard- und Software. So sind seit längerem alle glücklich. Letztlich ist das auch nur eine Netzwerk-Segmentierung.
Was ich gerade intensiv beobachte ist Zenarmor auf der OpenSense. Damit wird die Sicht was von wem im Netzwerk genutzt wird deutlich tiefer. Da leiste ich mir sogar die kleinste Bezahl-Version. Hier mal ein Reporting-Beispiel:



F@H