Aufbau Heimnetzwerk / Firewall

M

Macer89

Enthusiast
Thread Starter
Mitglied seit
18.08.2009
Beiträge
243
Hallo Community!

Ich habe eine Frage bezüglich Einrichtung meines Heimnetzwerkes bzw. einer Firewall Lösung.

Zuerst einmal zur IST-Situation:

Ich habe von meinem ISP ein Cisco Modem, welches bei mir auch als DHCP-Server und WLAN Router dient. An dieses sind unter anderem mein Fernseher, ein PC und meine Workstation angeschlossen.
Auf dem PC wird die Firewall zur Zeit per iptables-Script realisiert, auf der Workstation per Comodo Firewall da Windows OS.

situation-ist.png

Meine Vorstellung wäre folgendes:

Das ISP Modem verbindet mein Heimnetz mit der Außenwelt (Internet), direkt dahinter steht ein ESXi mit einer Firewall und steuert zentral sämtliche (NAT-)Dienste/QoS/etc.
Dahinter folgt dann der Fileserver.

situation-soll.png

Im Vergleich zu den Profis die hier im Forum unterwegs sind habe ich wirklich nur eingeschränkte Netzwerkkenntnisse und mir fehlt auch ganz ehrlich die Erfahrung, da ich mich bis dato mit diesen Dingen sehr wenig beschäftigt habe. Das sieht man auch anhand meiner etwas besch***enen Topologie, falls man das überhaupt so nennen kann.

Die Meinungen über die Firewall hier in einem ESXi zu hosten oder in einem separaten System gehen bei vielen außereinander. Hier im Forum konnte ich ein paar Topics sehen wo die Leute zwar empfehlen es in einem separaten System zu hosten, viele es aber doch per VM realisiert haben.

Da ich in absehbarer Zeit sowieso viel ändern muss, würde ich gerne meine Netzwerktopologie auch auf Vordermann bringen.
Die Fragen die sich mir dabei noch stellen ist wie man am besten so einen Rechner/Router mit einer Firewall-Distribution einbindet, damit dann z.B. auch das ganze WLAN darüber läuft. WLAN-Router der direkt am Firewall-Server hängt?!
Welche Distribution ist am sinnvollsten (pfSense/ipfire/ipcop/monowall/etc)?
Kann ich damit Dinge wie bei gewissen Clients den Traffic sperren sobald dieser nicht mehr über ein VPN geht?

Wie muss man die Hardware dimensionieren? Bedient wird ein 100 MBit/s WAN Interface.
Firewall Server mit 1 Gigabit-LAN der dann auf einen Switch geht?

Einige Leute würden mich an dieser Stelle sicher am liebsten in der Luft zerreißen, aber jeder fängt mal klein an :d


Ich wäre um soviele Details/Beiträge wie möglich dankbar, auch wenn sie noch so trivial sind.
Wenn jemand einen besseren Vorschlag hat wie man das Ganze aufbauen sollte, dann werde ich diesen natürlich auch gerne lesen und in Betracht ziehen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Von der Topologie her isses ganz einfach:

Modem/Einwahlgeraet --> Firewall --> Internes Netz.

Heißt bei dir Konkret: Dein Cisco waehlt sich ins Netz ein, dahinter klemmst du zB ein kleines Intel NUC Board mit 2 Netzwerkkarten, kloppst dir ne PFsense zusammen(auf die Kiste) und dahinter klemmst du deine Clients.

Grueße
Grueße
 
Erstmal danke für die rasche Antwort! Okay ich verstehe, klingt wirklich relativ simpel.

Leider habe ich überhaupt keine Ahnung wieviel "Power" man hier braucht oder nicht braucht.
Auf welche Hardware sollte man hier setzen, kannst du mir da etwas empfehlen, den NUC gibt es auch in mehreren Ausführungen.

Bei Ethernet ist es mir klar wie man die Clients dahinterhängt (Switch), wie mache ich das am Besten bei WiFi Clients?
 
Wenn nicht grad 1000 Leute an der Leitung haengen, die per Gigabit nach außen angebunden ist
reicht ein kleiner Atom/Celeron fuer dein Vorhaben vollkommen aus ^^
 
Macer89 schrieb:
Meine Vorstellung wäre folgendes:

Das ISP Modem verbindet mein Heimnetz mit der Außenwelt (Internet), direkt dahinter steht ein ESXi mit einer Firewall und steuert zentral sämtliche (NAT-)Dienste/QoS/etc.
Dahinter folgt dann der Fileserver.
Zum Vergrößern anklicken....

..ist das alles wofür Du eine Firewall brauchst?
Dann reicht mMn, wie schon zuvor genannt, ein einfacher Router aus...nimm einen, der auch die 100MBit locker schafft....
 
Wenn Du IDS auf der virtualisierten FW nutzen willst, brauchst Du schon ordentlich CPU Power für 100 Mbit/s Durchsatz. Ich musste bei meinem ESXi der FW drei Prozessorkerne zuweisen, damit ich auf über 100 MBit/s kam.

Bin jedoch auch dabei, ganz von den virtualisierten FW's (Endian) weg zu kommen.
 
p4n0 schrieb:
Wenn nicht grad 1000 Leute an der Leitung haengen, die per Gigabit nach außen angebunden ist
reicht ein kleiner Atom/Celeron fuer dein Vorhaben vollkommen aus ^^
Zum Vergrößern anklicken....

Das heißt so etwas in die Richung Supermicro X9SBAA-F ?
Das hätte zumindest 2x Gigabit LAN.
Das heißt 1x Modem und 1x privates LAN, aber was mache ich mit dem WLAN? Mir ist immer noch etwas unklar wie ich das "firewall"-tauglich mache :(

hominidae schrieb:
..ist das alles wofür Du eine Firewall brauchst?
Dann reicht mMn, wie schon zuvor genannt, ein einfacher Router aus...nimm einen, der auch die 100MBit locker schafft....
Zum Vergrößern anklicken....

Nicht nur, je nach Rechner/Interface möchte ich den gesamten Traffic auch nur über entsprechende Interfaces/VPNs routen. Also wenn das VPN z.B. down ist, dann ist der Rechner auch vom Netz. Das geht mit einem normalen Router nicht so einfach oder?
 
Für den Preis würd ich über eine FW Appliance nachdenken. Ich habe eine Zywall 110, und bin recht zufrieden. Die Zywalls gibts auch mit WLAN.

Macer89 schrieb:
Das hätte zumindest 2x Gigabit LAN.
Das heißt 1x Modem und 1x privates LAN, aber was mache ich mit dem WLAN? Mir ist immer noch etwas unklar wie ich das "firewall"-tauglich mache :(
Zum Vergrößern anklicken....

Wenn schon eine FW, dann aber mit einer DMZ Zone für den Filer. Der soll ja von aussen erreichbar sein, nehm ich an?
 
Zuletzt bearbeitet:
Ich wuerde auf Basis von diesem Board etwas aufbauen.

--> PC Engines apu system boards

Schaut sehr ordentlich aus, stromsparend, bietet 3 phys NICs, ne ordentliche Moeglichkeit die SD Karte direkt zu verwenden (Bootlaufwerk).
Und kostet etwa 160€ - meiner Meinung nach Top!

Grueße


[edit]
Achja durch die kleinen PCI-e slots kann man direkt noch nen W-Lan adapter oder ne mSATA SSD auf das Board packen.
Glaub das Ding ist wirklich perfekt fuer sowas geeignet ^^
[/edit]
 
Zuletzt bearbeitet:
@AliManali

Klingt eigentlich auch ganz gut.
Kann man bei so einer FW-Appliance auch den Traffic von bestimmten Rechnern auf das VPN legen/routen?

@p4n0

Schaut sehr interessant aus, wäre kompakt, stromsparend und flexibel.


Vielleicht kann mich nochmal jemand aufklären wie das mit dem WLAN filtern/regeln funktioniert? Wenn ich mir ein WLAN auf dem Modem einrichte habe ich ja null Kontrolle darüber, das muss also irgendwo hinter der FW passieren. Wi/Wo macht man so was?
 
Macer89 schrieb:
@AliManali

Klingt eigentlich auch ganz gut.
Kann man bei so einer FW-Appliance auch den Traffic von bestimmten Rechnern auf das VPN legen/routen?
Zum Vergrößern anklicken....

Was Du mit dem VPN meinst, ist mir noch nicht ganz klar: meinst Du ein ausgehendes VPN (Firewall stellt VPN zu Server her), oder ein eingehendes VPN(VPN Server ist die Firewall)? Wenn die Firewall als VPN Server dient, wird das VPN als separater Adapter behandelt, da kannst Du dann Regeln dazu definieren, genauso wie für LAN, DMZ oder WLAN.

Macer89 schrieb:
Vielleicht kann mich nochmal jemand aufklären wie das mit dem WLAN filtern/regeln funktioniert? Wenn ich mir ein WLAN auf dem Modem einrichte habe ich ja null Kontrolle darüber, das muss also irgendwo hinter der FW passieren. Wi/Wo macht man so was?
Zum Vergrößern anklicken....

Wenn Du die FW selber zusammen baust, brauchst Du entweder eine separate NIC, an der ein Access Point dran hängt, oder eine WLAN Karte, die von der jeweiligen Distribution aber auch unterstützt werden muss. Für Hotspot Funktionalität brachst Du z.T. noch spezielle Distributionen (bei der Endian ist das so). Die Regeln sehen dann genauso aus, wie am LAN, der DMZ oder am VPN.

Es gibt Appliances, die schon WLAN drin haben. z.B die ZyXEL ZyWALL USG 20W (für 100MBit/s Durchsatz). Die UTM Funktionen kosten da allerdings zusätzlich pro Jahr.

Hast Du noch irgend einen alten Rechner rumstehen, wo Du das testen könntest? Ich würde nicht von Anfang an einen dreistelligen Betrag ausgeben, sondern das erst mal testen. Allenfalls kannst Du die Funktionalität auch mal in einer VM testen, die an 4 vSwitches hängt. So kannst Du selber mal schauen, was Dir am ehesten zusagt.

Alle meine Info's sind also ohne Gewähr ;)
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
450
justinh999
J
P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
3K
Pete_5
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh