*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Kann ich nicht bestätigen - bei mir läuft es gut. Evtl etwas warten, Unbound muss den cache ja neu aufbauen.
Generell "fühlt" sich das surfen mit 22.1 schneller an (nach c't: Die Schwuppdizität ist höher)
Guten Morgen miteinander
Ich spiele schon länger mit dem Gedanken mir für zu Hause eine pfSense Firewall anzuschaffen. Einen speziellen Grund gibt es hierfür nicht. Wir setzen bei uns im Office ebenfalls mehrheitlich pfSense ein. Ich möchte gerne mehr Kontrolle über mein Netzwerk haben und ich denke (unabhängig davon ob ich nur einen Bruchteil der Features brauchen werde oder nicht) es würde sich hierbei um eine sinnvolle Investition handeln.
Virtualisiert möchte ich die Firewall nicht betreiben da mir der Stromverbrauch einfach zu hoch wäre, weswegen ich aktuell Ausschau nach einem kleinen tauglichen Gerät halte. Gibt es (nebst den pc-engines Geräten) noch weitere empfehlenswerte Geräte, die man kaufen kann? Von Qotom resp. Protectli habe ich ebenfalls etwas gehört, diese Geräte sind jedoch bei uns nicht erhältlich oder?
Auf Amazon würde es als Beispiel folgendes Gerät geben: https://www.amazon.de/HSIPC-Celeron-Firewall-Appliance-OPNsense/dp/B08PNMHVZH/ref=sr_1_2?__mk_de_DE=ÅMÅŽÕÑ&crid=2G65LECU1VNIF&keywords=pfsense&qid=1643611475&sprefix=pfsense,aps,88&sr=8-2&th=1
Aber eben, in diesem Bereich kenne ich mich leider zu wenig aus. Aktuell habe ich einen Wireless-Router mit OpenWRT im Einsatz, den ich gerne als AP weiter verwenden würde.
Vielen Dank für eure Hilfe!
Grüsse
Ich spiele schon länger mit dem Gedanken mir für zu Hause eine pfSense Firewall anzuschaffen. Einen speziellen Grund gibt es hierfür nicht. Wir setzen bei uns im Office ebenfalls mehrheitlich pfSense ein. Ich möchte gerne mehr Kontrolle über mein Netzwerk haben und ich denke (unabhängig davon ob ich nur einen Bruchteil der Features brauchen werde oder nicht) es würde sich hierbei um eine sinnvolle Investition handeln.
Virtualisiert möchte ich die Firewall nicht betreiben da mir der Stromverbrauch einfach zu hoch wäre, weswegen ich aktuell Ausschau nach einem kleinen tauglichen Gerät halte. Gibt es (nebst den pc-engines Geräten) noch weitere empfehlenswerte Geräte, die man kaufen kann? Von Qotom resp. Protectli habe ich ebenfalls etwas gehört, diese Geräte sind jedoch bei uns nicht erhältlich oder?
Auf Amazon würde es als Beispiel folgendes Gerät geben: https://www.amazon.de/HSIPC-Celeron-Firewall-Appliance-OPNsense/dp/B08PNMHVZH/ref=sr_1_2?__mk_de_DE=ÅMÅŽÕÑ&crid=2G65LECU1VNIF&keywords=pfsense&qid=1643611475&sprefix=pfsense,aps,88&sr=8-2&th=1
Aber eben, in diesem Bereich kenne ich mich leider zu wenig aus. Aktuell habe ich einen Wireless-Router mit OpenWRT im Einsatz, den ich gerne als AP weiter verwenden würde.
Vielen Dank für eure Hilfe!
Grüsse
p4n0
Legende
So ne alte Gurke wuerde ich heute niemals kaufen.
Klein - schoen und gut. Aber da steckt DDR3 und ne 10 Jahre alte CPU drinnen.
Nichtmal fuer Umsonst
Such nach was relativ aktuellem, viel Takt. Kerne sind 2-Rangig. Dann kannst du auch, sofern du moechtest, alle Features von der Firewall sinnvoll nutzen.
(IPS/VPN etc..)
Klein - schoen und gut. Aber da steckt DDR3 und ne 10 Jahre alte CPU drinnen.
Nichtmal fuer Umsonst
Such nach was relativ aktuellem, viel Takt. Kerne sind 2-Rangig. Dann kannst du auch, sofern du moechtest, alle Features von der Firewall sinnvoll nutzen.
(IPS/VPN etc..)
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 127
Die Dinger gibt auch mit J4125 und 2,5GBit Ports und damit recht akuell.
konfetti
Urgestein
Ach für Umsonst können wir darüber reden, bei dem Preisen aber eher nicht - ich mein, schau Dir doch mal halbwegs aktuelle FW-Hardware an, da steckt auch nicht unbedingt ein 20Kerner mit 32GB RAM drin.
Und dann kommt es ja immer noch auf die Anforderung an.
Selbst meine D525-FW reicht @Lan für den 100Mbit Kabelanschluß...
Und dann kommt es ja immer noch auf die Anforderung an.
Selbst meine D525-FW reicht @Lan für den 100Mbit Kabelanschluß...
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Das hier sind alles umgelabelte Qotom Produkte: https://www.ipu-system.de/index.html
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.014
Helau, ich stehe gerade etwas auf dem Schlauch. Ich habe seit einiger Zeit wirklich langsame und manchmal garnicht funktionierende DNS-Auflösung - jedenfalls glaube ich das es daran liegt.
Ich habe am WE meine opnsense mal neu aufgesetzt, aber das hat nicht wirklich Verbesserung gebracht. Mal ein Beispiel:
Das sind auch mal 7 oder 8 Sekunden. Manchmal ist es aber auch sauschnell. Ich denke das das mit dem langsamen ersten Abfragen von unbound zusammen hängt, aber als ich das erste mal meine opnsense eingesetzt habe war sie deutlich schneller dabei. Überlege sogar meinen Pi mit pihole+unbound+hyperlocal rauszuholen, der war deutlich schneller.
Wie finde ich denn den Bogus, und woran kann es sonst liegen? Irgendwelche Ideen?
Setup ist:
Fritzbox -> opnsense (mit Fritz als Gateway) -> CRS 328 -> Clients
Ich habe am WE meine opnsense mal neu aufgesetzt, aber das hat nicht wirklich Verbesserung gebracht. Mal ein Beispiel:
Das sind auch mal 7 oder 8 Sekunden. Manchmal ist es aber auch sauschnell. Ich denke das das mit dem langsamen ersten Abfragen von unbound zusammen hängt, aber als ich das erste mal meine opnsense eingesetzt habe war sie deutlich schneller dabei. Überlege sogar meinen Pi mit pihole+unbound+hyperlocal rauszuholen, der war deutlich schneller.
Wie finde ich denn den Bogus, und woran kann es sonst liegen? Irgendwelche Ideen?
Setup ist:
Fritzbox -> opnsense (mit Fritz als Gateway) -> CRS 328 -> Clients
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.014
Cache + prefetch waren nicht eingeschaltet, danke!
densec ist jetzt aus, mal schauen
rein resolver, forward werd ich mich mal einfuchsen
statistics sehen nach einstellung und reboot gut aus.
fühlt sich jetzt ganz anders an, vielen lieben Dank
densec ist jetzt aus, mal schauen
rein resolver, forward werd ich mich mal einfuchsen
statistics sehen nach einstellung und reboot gut aus.
fühlt sich jetzt ganz anders an, vielen lieben Dank
Hallo zusammen,
ich will jetzt endlich mal meine OPNSense in Betrieb nehmen und versuche meine VLANs zu planen.
Wenn ich jetzt z.B. meine VLANs auf 10.0.10.xxx 10.0.20.xxx usw. plane, wo kommen denn z.B. die Switches und APs hin? Die Sense würde ja auf 10.0.0.1 sein, sind dann die APs und der Swicht ebenfalls in 10.0.0.xxx? Und der Router fungiert in jedem VLAN immer als die 10.0.xxx.1? Finde irgendwie kein Tutorial, wo das genau so eingerichtet wird.
Danke euch schonmal für die Antworten!
ich will jetzt endlich mal meine OPNSense in Betrieb nehmen und versuche meine VLANs zu planen.
Wenn ich jetzt z.B. meine VLANs auf 10.0.10.xxx 10.0.20.xxx usw. plane, wo kommen denn z.B. die Switches und APs hin? Die Sense würde ja auf 10.0.0.1 sein, sind dann die APs und der Swicht ebenfalls in 10.0.0.xxx? Und der Router fungiert in jedem VLAN immer als die 10.0.xxx.1? Finde irgendwie kein Tutorial, wo das genau so eingerichtet wird.
Danke euch schonmal für die Antworten!
Grundsätzlich korrekt, wie Du es planst. Das VLAN mit der Infrastruktur wäre dann vermutlich Dein Management VLAN.
Details wissen andere besser. (Ich nutze derzeit nur 1x Gäste/IoT/Home Office und 1x privat VLAN, drücke mich bisher vor weiterer Aufteilung).
Details wissen andere besser. (Ich nutze derzeit nur 1x Gäste/IoT/Home Office und 1x privat VLAN, drücke mich bisher vor weiterer Aufteilung).
konfetti
Urgestein
was für Geräte kommen denn zum Einsatz? - können die APs auch mit VLANs umgehen?
es macht durchaus Sinn, ein separates Management-Netz für die Geräte zu haben.
Hilfreich ist immer ein Bildlicher Netzwerkplan - einfach weil man dann viel leichter sieht, was gemacht werden soll und es hilft dann auch beim konfigurieren
KurantRubys
Legende
Kommt jetzt imho drauf an, von wie viel wir reden. Bei zwei Switches und 3 APs, lässt sich da zuhause schon drüber streiten. Ich bin schon auch echt ein Fan von Segmentierung, aber das muss sich dann auch nur ansatzweise lohnen.
Sind ja schnell eingerichtet.
Hatte bei mir auch ein eigenes Drucker/Scanner VLAN, nebst Management IoT, Gäste und privatem VLAN und Kommunikation zwischen den VLANs beschränkt auf gewisse Ports und Protokolle (z. B. nur Drucker-spezifische Sachen zwischen Drucker und Privat).
Ein grafischer Netzwerkplan macht es aber dann meist ziemlich klar, wie es aufzuteilen ist.
Code:
Internet
:
: Vodafone Cable
:
.------+----------------.
| Technicolor TC4400-EU |
'------+----------------'
|
WAN
|
.------+-----. 10G DAC .-------------.
| OPNsense +--------------------+ NAS/Server |
'------+-----' '-------------'
|
10G DAC
|
.------+-----------------. .--------------. .--------------------------.
| Aruba Instant on 1930 +---------------+ POE Injektor +----------------+ 4x Aruba Instant on AP22 |
'------------------------' '--------------' '--------------------------'Am Switch hängen per LAN noch zusätzlich:
- Fernseher
- KNX IP-Router
- IP-WebRelay (Türrelais)
- 2N IpVerso (Türklingel)
- 2x Reolink Kamera (PoE)
- MiniPC für Visualisierung
- Batteriespeicher
- Wechselrichter
Über WLAN im Netz:
- Staubsaugerroboter
- Smartphones
- Laptops
Zusätzlich soll es natürlich ein Gäste VLAN geben, was nur Zugriff aufs Internet gewährt.
Später kommen sicher noch Fernseher/Laptops/PCs der Kinder dazu bzw. Spielkonsolen/Audioanlage etc. und z.B. smarte Waschmaschinen/Kühlschränke, was es vllt mal so alles an IoT geben wird.
Ich hoff ich hab nichts vergessen. Ich weiß noch nichts darüber, wie man die Geräte dann in unterschiedlichen VLANs verfügbar machen kann.
Beispielsweise muss der Saugroboter nur von den Smartphones aus per App erreichbar sein, sonst von keinem Gerät. Der Drucker hingegen aber nur von Smartphones/Laptops und dem Server. Der Fernseher braucht eine Verbindung zum Server/NAS und zum Internet, sonst aber nichts.
Soll z.B. der Server in ein eigenes VLAN? oder ins Management VLAN? Und machen die unterschiedlichen VLANs überhaupt Sinn, wenn soviel übergreifend kommuniziert wird? Oder kann ich das so stark eingrenzen, dass wirklich nur der erwünschte und benötigte Traffic über die VLAN Grenzen kommt?
KurantRubys
Legende
Das hatte ich so durchaus auch, aber ohne Management
Da hab ich die 4 Geräte einfach im default gelassen, macht auch das Troubleshooting leichter wenn irgendwas nicht geht.Ich würde das so aufteilen:
Code:
IoT
- Fernseher
- KNX IP-Router
- IP-WebRelay (Türrelais)
- 2N IpVerso (Türklingel)
(- MiniPC für Visualisierung)
- Batteriespeicher
- Wechselrichter
- Staubsaugerroboter
Code:
Video
- 2x Reolink Kamera (PoE)
- 2N IpVerso (Türklingel)Fernseher ist immer so n schwieriger Punkt finde ich, machst du da irgendwas mit Casting oder so drauf? Wenn ja, dann kann es da in nem anderen VLAN als die Smartphones ggf. Probleme geben. Ich hab das mal mit Avahi versucht zu umgehen, hat aber nicht so wirklich funktioniert. Server würde ich ins Management VLAN packen.
konfetti
Urgestein
naja, man muss es ja nicht gleich auf 254 Adressen ausweiten, sondern dann eben eins, das nur 16 IPs beherbergt...
KurantRubys
Legende
Wie groß das Netz ist ist ja erstmal egal, Subnetting würde ich dann da echt nicht betreiben.
@KurantRubys , das mit dem Casting hab ich gar nicht bedacht, tatsächlich nutzen wir das, das ist schon komfortabel. Hab mir nie Gedanken drüber gemacht, wie das Casting überhaupt funktioniert.
Subnetting brauch ich nicht, ich will nur trennen, und so viele Geräte werde ich nicht haben, dass mir die Adressen ausgehen.
Subnetting brauch ich nicht, ich will nur trennen, und so viele Geräte werde ich nicht haben, dass mir die Adressen ausgehen.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Ja, du schränkst ja einmalig ein, welches VLAN mit welchen anderen über welche Protokolle kommunizieren darf und hast dann, sobald alles wie gewünscht läuft, Ruhe. Setup and forget.
Wenn der Drucker nur über den Drucker Port mit dem WLAN kommunizieren darf wird es nur sehr unwahrscheinlich zum C'n'C-Relais des nächsten IoT-Botnetzes. Drucken geht aber problemlos.
Ist es sinnvoll das IoT VLAN zu trennen in: "Darf ins Internet" und "Darf nicht ins Internet"? Z.B. benötigen Batteriespeicher und Wechselrichter zwingend eine Verbindung ins Internet. Ebenso der Fernseher. Ein Gerät, was ins Internet funken darf, sollte doch eigentlich nicht mit einem Gerät, welches im Internet nichts zu suchen hat (Klingel, WebRelay, KNX Router) im gleichen VLAN sein, oder gibts da sicherheitstechnisch keine Probleme?
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 127
Der Normale Nutzer wird das alles in ein flaches Netz, ohne echte Firewall stecken und hat als einzigen Schutz vor Angriffen von aussen seinen Router. Und man kann ggf mit der Kindersicherung der Fritzbox Ziele und Prtokolle einschränken oder Zugriff aufs Internet verhindern. Wer das tut ist schon sehr weit im ProUser Spektrum angesiedelt.
Die IOT Geärte sufen normal nicht im Internet sondern telefonieren nur nach Hause, was das einfangen von Schadsoftware deutlich reduziert. Wenn dann nichts von aussen erreichbar ist, sollte der Spaß erstmal "relativ sicher sein". Beim Fernsehr sieht das ganze anders aus, da der doch nen Blumenstrauß an Verbindngen aufbaut und ggf. wirklich surft.
Als einziger Angriffsvektor von Aussen bleibt ein Angriff der Hersteller Cloud. Dagegen kann man meines erachtens nicht viel tun.
Angriffe von innen können druch jedes Kompromitierte Gerät erfoglen bzw. über Präparierte Webseiten. Da mag eine Firewall Angrifssfläche reduzieren. Mir ist aus dem stehgreif aber kein Fall bekannt, wo IOT Kram von innen übernommen worden ist.
Long Story Short:
Kann man machen, sehe ich aber für Privat wenig Sinn, insbesondere wenn man IOT nicht von außen erreichbar macht.
Die IOT Geärte sufen normal nicht im Internet sondern telefonieren nur nach Hause, was das einfangen von Schadsoftware deutlich reduziert. Wenn dann nichts von aussen erreichbar ist, sollte der Spaß erstmal "relativ sicher sein". Beim Fernsehr sieht das ganze anders aus, da der doch nen Blumenstrauß an Verbindngen aufbaut und ggf. wirklich surft.
Als einziger Angriffsvektor von Aussen bleibt ein Angriff der Hersteller Cloud. Dagegen kann man meines erachtens nicht viel tun.
Angriffe von innen können druch jedes Kompromitierte Gerät erfoglen bzw. über Präparierte Webseiten. Da mag eine Firewall Angrifssfläche reduzieren. Mir ist aus dem stehgreif aber kein Fall bekannt, wo IOT Kram von innen übernommen worden ist.
Long Story Short:
Kann man machen, sehe ich aber für Privat wenig Sinn, insbesondere wenn man IOT nicht von außen erreichbar macht.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 853
Wenn man privat was von außen erreichbar macht, sollte man sowieso zuerst über nen reverse proxy gehen.
Und da wir hier im *sense-Thread sind, stellt das ganze auch kein Problem dar, HA-Proxy oder nginx, fluppen beide.
Somit sind alle internen Geräte erst mal nicht direkt im Netz.
Und da wir hier im *sense-Thread sind, stellt das ganze auch kein Problem dar, HA-Proxy oder nginx, fluppen beide.
Somit sind alle internen Geräte erst mal nicht direkt im Netz.
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 127
Nur zum Verständnis, was für einen Sicherheitsgewinn siehst du in einem Reverse Proxy gegenüber einem freigegebenen Port?
Ich vermute:
- reverse proxies sind besser auf Sicherheit gebaut und getestet als "random application xyz"
- TLS termination zentralisiert
- fail2ban, crowdsec u.ä. lassen sich leichter(?) und zentral nutzen
- etwas mehr Kontrolle, was über den offenen Port reinkommt
- ...?
- reverse proxies sind besser auf Sicherheit gebaut und getestet als "random application xyz"
- TLS termination zentralisiert
- fail2ban, crowdsec u.ä. lassen sich leichter(?) und zentral nutzen
- etwas mehr Kontrolle, was über den offenen Port reinkommt
- ...?
Ähnliche Themen
- Artikel