*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Mein Post bezog sich vor allem auf den Post des Users den ich daraufhin ignorierte.Ich war in meinem Post weder unfreundlich, noch habe ich Dich als dumm dargestellt. Ob wir uns eltitär Verhalten, darüber mag man streiten.
Ich wollte mit meinem Post jedenfalls zum Ausdruck bringen, das ich mir nicht vorstellen konnte, dass sich jemand mit einer OPNSense oder verschiedenen (m.E. nicht trivialen) VPN-Lösungen beschäftigt, aber nicht weiß wie man ein Portforwarding auf einer Fritzbox einrichtet. Egal für welchen Service.
Jetzt kann ich es mir vorstellen. Danke - Diskussion beendet.
Danke!Ich zitier mich mal selber... -> Probieren ist der einzige Weg, wenn Du nicht dem Best Practise folgst.
DU musst doch erst einmal definieren, WO willst Du von Mobil aus zugreifen, also was ist der VPN Endpunkt!
Unsere Empfehlung mit Exposed Host und damit VPN-Endpunkt ist die OPNsense wird ja strickt abgelehnt.
Anhang anzeigen 676876
Wenn Dein VPN-client auf dem Mobilen Endgerät (Handy) den VPN-Endpunt in der Fritzbox hat (gelber Pfeil) muss die Fritzbox das auch können - wie und ob man dann hinter die beidern Firewalls kommt, musst Du im Regelwerk der Firewalls klären.
Wenn Als Endpunkt eine der beiden FWs genommen werden soll (rot oder grün) dann muss die entsprechende Konfiguration in der Firewall hinterlegt sein, und die benötigten Ports an der Fritzbox so eingestellt sein, das diese eben zur Endsprechenden Firewall zeigen -> Du kannst aber jeden Port nur einmal und damit auch nur für eine Firewall verwenden!
Alternativ macht man das eben über einen Exposed Host. spart sich die ganze Frickelei mit Ports in der FB freigeben und lässt die Firewall das ganze selbst machen.
Diese Gründe würden mich tatsächlich auch interessieren - warum ist ein exposed host "besser"? Bisher gabs da nur "Alles andere ist gefrickel" und ähnliche Substanzlose Aussagen. Vielleicht mag das ja mal jemand von den nicht abgehobenen erklären.
Das dürfte der Knackpunkt werden. Kann jemand was dazu sagen, was so nen Firewallkonstrukt an CPU braucht um 10GBE zu Routen und zu Firewallen?als SOC einen Intel Pentium D1508 (Reicht der Prozessor?)
Je tiefer du in die Pakete gehst, desto mehr Rechenleistung brauchst du. IDS und Co bringen selbst große Firewall zum Glühen., wenn man da 10, 40 oder 100GBE durchdrückt.
- Sensei, IDS/IPS (benötige ich das zwingend im Heimgebrauch, also z.B. auf der 10G Schnittstelle zum NAS, oder reicht das für die Verbindung nach außen? Oder benötige ich es gar nicht? Werde aus dem Für und Wieder nicht richtig schlau, das ist aber vermutlich der ausschlaggebende Punkt für die Wahl der Hardware)
Auf dem NAS richtet man keine VLANs sein, sofern nicht einzelne Dienste im NAS gekapselt werden sollen.Ich würde ein NAS an den Switch anschließen. Kenne mich mit NAS nicht aus, würde aber mal davon ausgehen wollen, dass man dort auch VLANs einrichten kann. Wenn dem so ist, würde ich den Storage in das selbe VLAN packen wie die Clients, die ihn primär nutzen sollen, dann muss das auch nicht durch die Sense.
Da sie bei mir virtualisiert auf meinem potenten Homeserver läuft, muss ich aber eine konkrete Hardwarempfehlung schuldig bleiben.
Das ist doch ne gute Aussage. Mit IPS/IDS?Mein Intel Celeron 3867U ist bei 2 Gbit/s (netperf bidirektional zwischen zwei GbE Ports im Heimnetz) zu 50 % ausgelastet.
Die unterschiedlichen VLANS wären halt dafür gedacht, dass die Clients ja nicht nur z.B. Fernseher sind, sondern auch Laptops, die direkt mit dem Internet verbunden sind. Nur deswegen wollte ich das eigentlich trennen, dass halt das NAS nicht direkt über die Clients am Internet hängt. Wenn das eh ein unsinniger Gedanke ist, dann hänge ich das NAS natürlich an den Switch und spar mir einen SFP+ Port am Router.Ich würde ein NAS an den Switch anschließen. Kenne mich mit NAS nicht aus, würde aber mal davon ausgehen wollen, dass man dort auch VLANs einrichten kann. Wenn dem so ist, würde ich den Storage in das selbe VLAN packen wie die Clients, die ihn primär nutzen sollen, dann muss das auch nicht durch die Sense.
Ohne.Das ist doch ne gute Aussage. Mit IPS/IDS?
Okay, ja so hatte ich es mir gedacht. Deswegen das eigene VLAN. Was filtert man denn da effektiv im Heimnetz? Also zwischen den VLANs?Auf dem NAS richtet man keine VLANs sein, sofern nicht einzelne Dienste im NAS gekapselt werden sollen.
Der Port, an dem das NAS hängt, der kommt in das VLAN und damit wird jedes Paket von/zum NAS dem VLAN zugeordnet.
Dass man Clients mit in das Storage Netz packt, ist ne Frage des Schutzziels. Wenn man das NAS/Storage schützen will, dann packt man das NAS in ein eigenes VLAN und filtert dann über die Firewall. Ja, dann müssten die 10GBE durch die FW. Das ist der Tradeoff Security/Kosten/Leistung.
Clients gelten als potentiell unsicher und sollten daher nicht mit zu schützenden Devices in den Sec-Zone.
Bräuchte ich dann eigentlich 3 SFP+ Ports? Die OpnSense bekommt 2 SFP+ zugewiesen und das NAS ein SFP+ und dann steck ich ein Kabel direkt von einem SFP+ Port auf den anderen? Oder kann man da dann einen virtuellen Port aufmachen, der den Traffic zwischen den VMs verwaltet?Ich würde wohl alles auf einer Kiste virtualisieren, also Homserver inkl. NAS inkl. Firewall etc. aber es gibt ja auch genug Leute, die davon verständlicherweise abraten. Du könntest es natürlich auch erst mal virtualisiert versuchen und dir dann später was separates holen, wenn Du Erfahrungswerte hast, was Du so brauchst.
Okay, andersrum, was lass ich durch? Nur Traffic über bestimmte Ports, oder eine bestimmte Art von Traffic, oder bestimmte MAC Adressen?Alles, was Du nicht explizit brauchst.
Einige Geräte (z. B. Drucker, Oszilloskop, ...) dürfen bei mir von sich aus gar nichts außer auf den lokalen NTP zugreifen.Okay, andersrum, was lass ich durch?
Das können sie auch, zumindest die Ordentlichen.deswegen ging ich davon aus, dass sie inzwischen auch eigenen VLAN-Support bieten.
Warum "doppelt" - im Wesentlichen nutzt Sensei mW doch die gleichen Regeln wie suricata bzw verpackt suricata/snort nur netter? (Und reichert es durch DNS blacklists etc an)Sensei intern, Suricata auf dem WAN,
Ein Dell R210 läuft bei mir auch. Habe zwar einen Xeon mit 4c8T drin, aber das sollte erstmal egal sein.
Nur ein Hinweis, die 10G Karte kannst Du nur nachrüsten, wenn Du die 4x1G Karte ausbaust.
Gibt es die umgelabelt günstiger?)
Das wird so nicht funktionieren, evtl mit einem Adapterstück oä.Okay, ich verstehe. Wobei bei Geizhals wenn ich nach PCIe 3.0 filtere, die meisten dann 3.0x8 haben.
Wenn ich jetzt die 2.0x8 Karte in nen x4 elektrisch Slot stecke, nutzt die Karte dann die vollen x4 Lanes? Also dann 2000MB/s? Dann fehlen ja nur 500MB/s um zwei 10G Ports voll auszulasten.