OPNsense Forum
International Forums => German - Deutsch => Topic started by: inkasso on September 19, 2020, 03:50:27 pm
-
Hallo zusammen!
Ich bin neu hier und lese nun schon ein paar Tage das Forum quer. Aber je mehr ich lese, um so erschlagener fühle ich mich von all den Infos. Mehr wie ein hilfloses Gesicht kann ich momentan nicht machen :o
Offenbar habe ich das Thema Internet-Sicherheit echt zu lange stiefmütterlich behandelt. Jede zweite Abkürzung muss ich nachschlagen... aua.
Warum ich mich hier umsehe?
Ich hab schon länger den Wunsch, meine Internetverbindung zu Hause vernünftig abzusichern. Das Gefühl der Notwendigkeit dazu wächst stetig. Dabei möchte ich keine jährlichen Gebühren zahlen und scheue mich nicht davor, mich bei manchen Dingen durchwurschteln zu müssen. Für mich steht OPNsense als geeignete Lösung fest. Viel weiter bin ich aber noch nicht...
Was ich bisher so einsetze?
Aktuell "verlasse" ich mich auf meine FritzBox "Firewall" und den gesunden Menschenverstand beim Surfen und Installieren von Software, sowie bei der Inbetriebnahme von internet fähigen Geräten (in Deckung geh). Ich fühle mich damit nicht wirklich wohl - was einer der Gründe für mein Interesse an OPNsense ist. Bisher hab ich mich damit "beruhigt", dass bei meiner lahmen Internet-Verbindung das Risiko doch überschaubar ist. (Vielleicht nenne ich es lieber "fahrlässige Selbsttäuschung"?!)
Bevor jetzt die Backsteine geflogen kommen: ja, das ist nicht gut, so wie es ist. Das darf so nicht bleiben und ich gelobe Besserung ::).
Mein Background
Ich hab schon in jungen Jahren mit der IT begonnen, war noch mit BTX und DatexJ unterwegs, bevor man hier anfing, sich ins Internet zu begeben. Habe auch eine Ausbildung im IT Bereich gemacht und bastle schon immer an allem herum, was mir so in die Finger kommt. Ich setze auch schon länger verschiedene Linux-Distros ein - angefangen hab ich in einer Zeit, wo man noch viel über das Editieren von Konfigurationsdateien machen musste. Daher denke ich auch, der "Aufgabe" gewachsen zu sein, mit OPNsense meine Sicherheitsbedürfnisse zu regeln.
Ausgangslage
Vom pinken quasi Monopolisten hab ich hier auf dem Land einen IP basierten DSL RAM 6000 Anschluss aus dem etwa 4,5 MBit/s down rauströpfeln. Daran hängt eine FritzBox 7490 als Firewall/Modem/Router/WLAN AP. Ferner hab ich hier noch einen TP Link Router, der es mir ermöglicht, ein zweites WAN parallel zu nutzen. Dahinter hängt ein Sat-Modem (SkyDSL - Nachts 20 MBit down / Tags ist es langsamer als das Festnetz DSL)
Ich arbeite schon seit Jahren im Home Office. Meine Frau tut das auch - für eine andere Firma. Daher stammen zwei permanente VPN Verbindungen nach draußen. Es gibt diverse Netzwerk-Teilnehmer hier im LAN, die aber letztendlich alle nur Clients sind und von außen aktuell nicht erreichbar sein müssen.
Thema Verkabelung: ich hab ne Mietswohnung... aber das hat mich nicht so wirklich vom Löcher bohren abgehalten. Cat7 Verkabelung (Kumpel hatte damals "noch so ne Rolle rumliegen") und einige Netzwerkdosen. 2 Gigabit Switche (einer davon managed).
langfristige Zielsetzung
Ich hab mir jahrelang überlegt, was ich alles haben möchte, wenn hier denn endlich mal schnelleres Internet verfügbar wird. Inzwischen ist es so weit - und dann auch noch schneller, als ich je zu hoffen gewagt habe. Aktuell wird bei uns FTTH ausgebaut.
Die Interessensliste ist demnach also lang - und es muss nicht alles auf einmal und von Anfang an da sein. Die Reise soll aber letztlich da hin gehen (sortiert nach Dringlichkeit).
Telekom SIP muss von Anfang an gehen
Transparent WebProxy
Internes Gäste WLAN (in separatem VLAN)
Entertainment Geräte (in separatem VLAN)
OpenVPN Client + IPSec Client (aktuell schon vorhandene VPNs einbinden)
Application Filtering
Tor
OpenVPN Server
Dabei wird künftig mit nur einem WAN gearbeitet, es soll aber Luft für ein zweites sein. Die tatsächlich verfügbaren Geschwindigkeiten am Ort sind noch nicht offiziell bekannt gegeben worden, weil ja noch ausgebaut wird. Ich glaube nicht, dass hier tatsächlich 1GBit/s aus der Leitung kommen, wenn man auf FTTH geht.
Der Ausbau der Internetverbindung wird zunächst auf das maximal verfügbare VDSL gehen (50 Mbit/s down sind wegen der Förderung vom Bund als Minimum garantiert) und hier wird die FritzBox wohl zunächst das Modem für stellen. Die alte Hardware soll aber schon nach und nach durch Einzelkomponenten (Modem / WLAN AP) abgelöst werden. Später ist Glasfaser mit 500 Mbit/s angedacht.
Das Budget ist wie so oft der Knackpunkt, deswegen möchte ich jetzt einmal die Firewall-Hardware groß genug kaufen und dann 8-10 Jahre damit glücklich sein können. Zeitgleich kann ich mir aber definitiv nichts leisten, was im hohen dreistelligen Bereich liegt oder drüber. (Ich spüre schon wieder Backsteine fliegen *duck*)
Mein aktuelles Problem
Oder: Warum schreibt er all das nur?
Ich hab schon einige Hardware Empfehlungen hier im Forum gelesen. Was ich sehe sind dann aber entweder Empfehlungen, wo ich denke, dass es vielleicht am Anfang reicht, später aber nicht - oder Dinge, die gleich mal bei ~1.500€ ansetzen. Einen "alten PC ausm Fundus" möchte ich für die Aufgabe auch nicht hinstellen - soll schon Hardware sein, die genau für diese Anwendung gedacht ist und dabei dann möglichst auch nicht groß Platz braucht und Strom frisst.
Und nu versteht ihr hoffentlich, waurm ich hier nur hilflos dreinschaue und nicht so recht vorwärts komme. Hilfe... bitte ;)
-
Willkommen, irgendwo musst du anfangen.
Du hast ja genug Beiträge gelesen, ich denke mit der Hardware solltest du anfangen entweder jetzt erstmal eine apu4d4 und später was besseres oder gleich ca. 450€ - 500€ in die Hand nehmen.
Hier meine Tipps:
- keine REALTEK NIC
- CPU nicht zu alt und bloß keinen celleron j1900
- mindestens 3xETH
- kein wlan über eingebaute wlan-Karte
Hier die Kisten bekommt man auch bei AliExpress
Ich habe davon auch (siehe footer)
https://protectli.com/product-comparison/
Für mein Core i7 System habe ich damals ca. 450€ ohne RAM und ssd gezahlt.
Gesendet von iPad mit Tapatalk Pro
-
Hallo,
wenn Du dir schon sicher bist ,was Du für Bandbreiten später verarbeiten möchtest, kann so ein apu4d4 auch schon für später genügen. Sicher schaffen die Dinger so bis max. 500Mbit in der letzten Generation. Das ist denke ich doch auch eine relativ zukunftssichere Lösung. Persönlich genügen mir privat auch ca. 100/40Mbit, auch wenn ich aus der Firma 1/1Gbit gewohnt bin.
Die Geschwindigkeit eines Anschlusses hat auf die Sicherheit nur wenig Auswirkung. Ab einer bestimmten Bandbreite ist da alles egal. Da Du nicht von 56k kommst, hast Du da die gleichen Bedürfnisse wie alle im Netz.
Die Zeit für den transparenter Proxy würde ich streichen und durch was anderes ersetzen.
Schau dir an dessen Stelle lieber DNS Blacklisten und IDS/IPS an. Der meiste Traffic ist HTTPS und schließt in vielen Fällen den Nutzen eines HTTP Proxy aus, wenn du nicht das HTTPS aufbrichst.
Spare nicht am WLAN Accesspoint.
Dein Telekom SIP kannst Du je nach Bedarf in eine kleine Telefonanlage laufen lassen oder Du holst dir ein SIP fähiges Gigaset und konfigurierst die Zugangsdaten direkt im Telefon. Thema erledigt. Privat nutze ich einfach ein Gigaset und das macht das SIP mit Telekom. Funktioniert sehr gut. Telekom Profil ist in dem Teil hinterlegt, wenig bis kein Stress damit gehabt.
Bei allen Funktionen einer Firewall ist die Sicherheit des Netzwerk aber abhängig von den Clients. Die Angriffsvektoren sind vielfältig und verändern sich schnell. IDS/IPS sind kein Wundermittel. Manchmal informieren sie auch nur, können aber nicht sicher verhindern.
Ein sinnvolles Regelwerk und Netzwerktrennung sind aber gute Ansatzpunkte.
Ach sorry und zu deiner Frage im Subject wo Du anfangen sollst: "Wenn man Hinten und Vorne keine Ahnung hat, am besten in der Mitte." ;-)
VG und viel Spaß hier.
-
Zunächst mal Danke an euch beide fürs Durchhalten beim Lesen :D
Du hast ja genug Beiträge gelesen, ich denke mit der Hardware solltest du anfangen entweder jetzt erstmal eine apu4d4 und später was besseres oder gleich ca. 450€ - 500€ in die Hand nehmen.
Wenn ich jetzt nur die Firewall-Hardware kaufe, sind bis 400€ drin. Die tun dann aber schon weh.
Hier meine Tipps:
- keine REALTEK NIC
- CPU nicht zu alt und bloß keinen celleron j1900
- mindestens 3xETH
- kein wlan über eingebaute wlan-Karte
Das es kein REALTEK NIC sein soll hab ich glaub ich von dir schon in einem anderen Thread zu einer Hardware-Anfrage gelesen. Scheinst mit denen wohl schlechte Erfahrungen gemacht zu haben. Bisher hatte ich weder mit denen, noch mit Intel irgendein Theater. Es schadet sicher nicht, bewusst auf Intel zu setzen. Die werden schließlich auch im professionellen Bereich bevorzugt.
Nach allem was ich so überschlagen habe brauche ich 4 - 5 Ethernet Ports, spätestens wenn es Gigabit wird - sonst bau ich mir unnötig nen Flaschenhals.
Ein eingebautes WLAN... da will ich ja sowieso von weg. Sowas hab ich schon in der Fritzbox - und die kann noch nicht mal VLAN. War schon länger am Überlegen, ob ich da nicht mal Freetz drauf spiele, aber irgendwie macht mir der Haufen keinen so verlässlichen Eindruck mehr.
Hier die Kisten bekommt man auch bei AliExpress
Ich habe davon auch (siehe footer)
https://protectli.com/product-comparison/
Für mein Core i7 System habe ich damals ca. 450€ ohne RAM und ssd gezahlt.
Mein Wissen über AliExpress: Ich weiß, dass es existiert. Und daher wüsste ich jetzt erst einmal nicht, was ich davon halten soll. Auch darüber bin ich hier schon mehrfach gestolpert. Scheint beliebt zu sein, da was zu kaufen.
wenn Du dir schon sicher bist, was Du für Bandbreiten später verarbeiten möchtest, kann so ein apu4d4 auch schon für später genügen. Sicher schaffen die Dinger so bis max. 500Mbit in der letzten Generation. Das ist denke ich doch auch eine relativ zukunftssichere Lösung. Persönlich genügen mir privat auch ca. 100/40Mbit, auch wenn ich aus der Firma 1/1Gbit gewohnt bin.
Das Gemeine ist: mein Chef kommt gern mal auf verrückte Ideen. Ich war zufrieden mit meinem PC. Er schaltet sich per Fernwartung dazu und meint, das sei viel zu langsam... da kostet mich deine Wartezeit mehr als ein neuer PC. Und auf einmal bekomm ich einen neuen PC. Jetzt arbeite ich dank Windows 10 und Office 365 schlechter als vorher mit mienem Windows 7 und Office 2k. Ich fürchte, mit dem Internet kommt er auf ähnliche Ideen, sobald hier Gigabit verfügbar wäre. Nur da würde ich mich dann auch sicher nicht wehren, wenn er sich an den Kosten beteiligt.
Die Geschwindigkeit eines Anschlusses hat auf die Sicherheit nur wenig Auswirkung. Ab einer bestimmten Bandbreite ist da alles egal. Da Du nicht von 56k kommst, hast Du da die gleichen Bedürfnisse wie alle im Netz.
Ich weiß. Die Idee dahinter war: Ein Angreifer hat eh kein Bock mehr, wenn er auf die Resultate seiner Attacken nur lang genug warten muss :D
Das es blauäugig ist, ist mir klar. Dewegen soll ja jetzt auch was gescheites her. Zeitgleich lerne ich dann auch wieder was für die Arbeit hinzu.
Die Zeit für den transparenter Proxy würde ich streichen und durch was anderes ersetzen.
Schau dir an dessen Stelle lieber DNS Blacklisten und IDS/IPS an. Der meiste Traffic ist HTTPS und schließt in vielen Fällen den Nutzen eines HTTP Proxy aus, wenn du nicht das HTTPS aufbrichst.
Ja, da hast du Recht. HTTPS ist da echt der Knackpunkt. Nur IDS/IPS wollte ich bewusst erstmal nicht, weil ich denke, dass hier ein Großteil der Ressourcen für draufgehen würde, oder? Die Beispiele mit und ohne lagen irgendwie immer gleich so um die 500€ auseinander...
Spare nicht am WLAN Accesspoint.
Früher hätt ich noch gesagt, ich spar mir den WLAN AP komplett... In Zeiten von Smartphones und Tablets aber leider nicht mehr drin. Und ja, hier soll was vernünftiges her. Das ist aber eine spätere Anschaffung. Vorerst macht das weiter die Fritzbox.
Dein Telekom SIP kannst Du je nach Bedarf in eine kleine Telefonanlage laufen lassen oder Du holst dir ein SIP fähiges Gigaset und konfigurierst die Zugangsdaten direkt im Telefon. Thema erledigt. Privat nutze ich einfach ein Gigaset und das macht das SIP mit Telekom. Funktioniert sehr gut. Telekom Profil ist in dem Teil hinterlegt, wenig bis kein Stress damit gehabt.
Auch hier: aktuell nutze ich nur noch 2 DECT Telefone (auch Gigaset - aber eben keine SIP fähigen) und die FAX Funktion und den AB der Fritzbox. Auch die Rufnummern-Blockierung und das zentrale Adressbuch finde ich nicht verkehrt. Von daher würde ich auch das gern so belassen. Spannend wird dann noch ein echtes IP Telefon, was ich hier von meinem Arbeitgeber rumstehen hab...
Bei allen Funktionen einer Firewall ist die Sicherheit des Netzwerk aber abhängig von den Clients. Die Angriffsvektoren sind vielfältig und verändern sich schnell. IDS/IPS sind kein Wundermittel. Manchmal informieren sie auch nur, können aber nicht sicher verhindern.
Ein sinnvolles Regelwerk und Netzwerktrennung sind aber gute Ansatzpunkte.
Gut, das hab ich im Griff. Updates werden regelmäßig gemacht. Spy und Malware werden geblockt und es wird regelmäßig drauf gescannt... Vernünftiger Virenscanner ist auch am Start. Bei der Thematik sind wir hier schon recht gut aufgestellt. War mir auch wichtig, wenn man schon keine gescheite Firewall hat...
Ach sorry und zu deiner Frage im Subject wo Du anfangen sollst: "Wenn man Hinten und Vorne keine Ahnung hat, am besten in der Mitte." ;-)
Dann bin ich ja von Anfang an mitten drin statt nur dabei ;)
Danke nochmal ihr beiden! Ich werde mir heute Nachmittag nochmal die apu4d4 ansehen. Bei der dachte ich aber schon "das könnte eng werden". Und die QOTOM Q575G6 die du in der Signatur hast... die scheint mir ja schon arg an die Grenzen des finanziell möglichen zu gehen :-/
Schönen Gruß
-
Moin, alternativ kannst du dir ja sowas noch anschauen,
Müsstest nur noch eine dial oder Quad NIC nach stecken, hast aber genug Reserven schätze ich.
https://www.mindfactory.de/product_info.php/Supermicro-SuperServer-5019S-L-schwarz_1122713.html
Gesendet von iPad mit Tapatalk Pro
-
Ich hab mir gerade nochmal die Q575G6 bei Ali angesehen.
Laut Verkäufer bekommt man die Sendung DDP - dann ist der Preis ja gleich mal ein ganz anderer. Bleibt nur noch der bittere Beigeschmack von fehlender rechtlicher Handhabe und Garantieleistung...
Hast du dir das Gerät damals komplett mit SSD und RAM genommen oder beides dann in der EU nachgekauft und eingebaut? all inclusive wären es atm ~ 413€
-
nur die nackte hardware (ssd + ram über amazon )
-
Ich hab mir gerade nochmal die Q575G6 bei Ali angesehen.
Laut Verkäufer bekommt man die Sendung DDP - dann ist der Preis ja gleich mal ein ganz anderer. Bleibt nur noch der bittere Beigeschmack von fehlender rechtlicher Handhabe und Garantieleistung...
Hast du dir das Gerät damals komplett mit SSD und RAM genommen oder beides dann in der EU nachgekauft und eingebaut? all inclusive wären es atm ~ 413€
Ich habe mir das auch mal angeschaut.
Habe da eine nackte Q575G6 gesehen. Für 312 $.
Aber da ist kein Netzteil dabei.
Und es muss ja noch Steuern(16%) und Zoll (Bei PCs wohl nicht) drauf.
Also Achtung. Bitte genau schauen ob das auch vollständig ist.
-
Ich habe mir das auch mal angeschaut.
Habe da eine nackte Q575G6 gesehen. Für 312 $.
Aber da ist kein Netzteil dabei.
Und es muss ja noch Steuern(16%) und Zoll (Bei PCs wohl nicht) drauf.
Also Achtung. Bitte genau schauen ob das auch vollständig ist.
Danke für den Hinweis!
Ich hab bei dem Händler gesehen, dass er EU Versand mit DDP anbietet - dafür wartet man dann halt länger. Das hätt ich mir vorher auch nochmal bestätigen lassen. Wär ja noch schöner, wenn man etwas mehr für den Versand bezahlt, länger wartet, und dann noch die EinfuhrUSt. zahlen dürfte...
Was mir nicht schmeckt ist die geringe Anzahl an Bewertungen, die der Händler hat. Von daher ist mir das Risiko zu hoch.
Die 312 USD hatte ich auch - das ist das nackte Gerät. Davon kann ich aktuell Rabatt und Neukunden-Bonus abziehen. Aber egal wie schön ich es mir rechnen kann... es ist mir dann doch zu heikel.
-
Vom Netzwerk-Aufbau würde ich die Fritzbox als Router stehen lassen. Damit ist SIP wie gewohnt möglich und Du musst nichts Neues dafür kaufen. In das Netz der Fritzbox kommen dann alle nicht vertrauenswürdigen Geräte wie Entertain und co. WLAN und Gäste WLAN kann die Fritzbox dann auch erstmal weiterhin machen, bis Du Geld für eine richtige WLAN Lösung ausgeben willst. Allerdings kommen dann WLAN Geräte nicht ins Netz der OPNsense, was bei Tablets und co vermutlich nicht dramatisch ist.
Die OPNsense bekommt eine statische IP im Fritzbox-Netz. Um doppeltes NAT zu vermeiden trägst du in der Fritzbox die Netze als statische IPv4 Routen ein von der die Fritzbox wissen muss, um Pakete zu routen. NAT wird dann an der OPNsense deaktiviert. Für den OpenVPN Server trägst Du eine Port-Weiterleitung ein. So kannst es später auch ermöglichen, dass ein vielleicht nicht vertrauenswürdiges Gerät im Fritzbox Netz dennoch Zugriff auf einzelne Ports einzelner Geräte im OPNsense Netz erhält.
Hinter der OPNsense spannst Du dann Deine Netze auf.
Die firmenspezifischen VPN Verbindungen würde ich wohl eher auf dem Client belassen. Das macht nur Sinn wenn mehrere Geräte die gleiche VPN Verbindung nutzen sollen. Was in eurem Setup aber keine Rolle spielt. Sonst müsstest Du klar abgrenzen welche Endgeräte in welchen VPN Tunnel dürfen. Abgesehen davon werden die VPN Verbindungen, die Du da hast eher Roadwarrior Verbindungen sein und keine Site-to-Site Verbindungen. D.h. Du müsstest dann alle Verbindungen in die VPN Tunnel NATten. Das ist Unsinn.
Mit diesem Setup erreichst Du mit überschaubaren Mitteln (nur eine geeignete Box für OPNsense) einen Einstieg in die OPNsense Welt und musst Dich zu Beginn nur um die zu schützenden PCs kümmern und hast dennoch einen Gewinn an Funktionalität und Sicherheit.
Später dann kann man dann das WLAN umbauen und ggf irgendwann die Fritzbox komplett ablösen, wobei ich da keine Not drin sehe.
-
Endlich mal Dinge, bei denen ich schon ohne lang überlegen zu müssen, mitreden kann :)
Vom Netzwerk-Aufbau würde ich die Fritzbox als Router stehen lassen. Damit ist SIP wie gewohnt möglich und Du musst nichts Neues dafür kaufen. In das Netz der Fritzbox kommen dann alle nicht vertrauenswürdigen Geräte wie Entertain und co. WLAN und Gäste WLAN kann die Fritzbox dann auch erstmal weiterhin machen, bis Du Geld für eine richtige WLAN Lösung ausgeben willst. Allerdings kommen dann WLAN Geräte nicht ins Netz der OPNsense, was bei Tablets und co vermutlich nicht dramatisch ist.
Fritz wird SIP und WLAN bereitstellen. Ferner kommen alle nicht vertrauenswürdigen Geräte ins GästeLAN/WLAN. Ich kann keine pauschale Trennung zwischen dem WLAN und dem sicheren Netz gebrauchen. WLAN Teilnehmer sind Laptops, Tablets und Smartphones. Selbst mit letzteren greife ich auf Dienste in meinem LAN zu. Die Androids sind gerootet, haben ein CustomOS und eine Firewall drauf und tauschen regelmäßig Dateien mit verschiedenen Rechnern im LAN aus. Ich nutze absichtlich keine Cloud Lösungen für sowas...
Die OPNsense bekommt eine statische IP im Fritzbox-Netz. Um doppeltes NAT zu vermeiden trägst du in der Fritzbox die Netze als statische IPv4 Routen ein von der die Fritzbox wissen muss, um Pakete zu routen. NAT wird dann an der OPNsense deaktiviert. Für den OpenVPN Server trägst Du eine Port-Weiterleitung ein. So kannst es später auch ermöglichen, dass ein vielleicht nicht vertrauenswürdiges Gerät im Fritzbox Netz dennoch Zugriff auf einzelne Ports einzelner Geräte im OPNsense Netz erhält.
Da sprichst du genau den Punkt an, der mir gerade im Kopf herum schwirrt. Ich weiß noch nicht genau, wie ich es mache, weil es, egal wie herum, immer irgendwo doof ist...
Bisher hab ich ausschließlich statische IPv4 Vergabe und IPv6 ist disabled.
Schwierig wird es, die Firewall zwischen Modem und Fritzbox zu bekommen, da das physisch nicht geht, solange ich das Modem der Fritzbox nutzen möchte. Auf der einen Seite möchte ich, dass die Firewall die Internetverbindung herstellt und da steht, wo sie hin gehört: Zwischen WAN und LAN. Andererseits ist der WLAN AP, SIP und Modem alles gemeinsam in der Fritzbox und damit nicht so zu verkabeln, wie ich es gern hätte.
Hinter der OPNsense spannst Du dann Deine Netze auf.
Die firmenspezifischen VPN Verbindungen würde ich wohl eher auf dem Client belassen. Das macht nur Sinn wenn mehrere Geräte die gleiche VPN Verbindung nutzen sollen. Was in eurem Setup aber keine Rolle spielt. Sonst müsstest Du klar abgrenzen welche Endgeräte in welchen VPN Tunnel dürfen. Abgesehen davon werden die VPN Verbindungen, die Du da hast eher Roadwarrior Verbindungen sein und keine Site-to-Site Verbindungen. D.h. Du müsstest dann alle Verbindungen in die VPN Tunnel NATten. Das ist Unsinn.
Aktuell:
3 verschiedene Rechner hängen an 2 verschiedenen VPN Endpunkten.
Rechner 1 => openVPN Client => Internet => Roadwarrior
Rechner 2 => openVPN Client => Internet => Roadwarrior
Rechner 2 => Fritzbox => IPSec => Internet => Fritzbox
Rechner 3 => Fritzbox => IPSec => Internet => Fritzbox
Bei den Endpunkten handelt es sich um statische öffentliche IPs. Natürlich können bei der aktuellen Konfiguration alle Rechner auf die VPN der Fritzbox gehen - ist aber nicht der use case.
Später dann kann man dann das WLAN umbauen und ggf irgendwann die Fritzbox komplett ablösen, wobei ich da keine Not drin sehe.
Na Not sehe ich nicht. Aber Geräte mit "alles drin" kann man im Netzwerk nur unflexibel einsetzen, wie du ja selbst schon mit deinem Vorschlag zu umschiffen versuchst.
Danke auch dir für deinen Gehirnschmalz! Ich freu mich immer über konstruktive Vorschläge - hab hier keinen mit dem ich über solche Themen reden kann.
-
Bevor ich länger in das Thema einsteige ^^ ;) kurz vorab die Frage:
Hast du bzgl. deiner Hardware fürs Gateway dich schon festgelegt? Und wenn nicht, wann willst du denn das ganze starten (auch mit den anderen Punkten die du aufführst)?
-
Ich kann keine pauschale Trennung zwischen dem WLAN und dem sicheren Netz gebrauchen. WLAN Teilnehmer sind Laptops, Tablets und Smartphones. Selbst mit letzteren greife ich auf Dienste in meinem LAN zu. Die Androids sind gerootet, haben ein CustomOS und eine Firewall drauf und tauschen regelmäßig Dateien mit verschiedenen Rechnern im LAN aus. Ich nutze absichtlich keine Cloud Lösungen für sowas...
Das wird dann aber mit der Fritzbox schwierig. Die Zeiten in denen die FritzBox zum DSL Modem umfunktioniert werden konnten sind offenbar vorbei. Du kannst wie gesagt an der OPNsense dann Regeln anlegen für diese Geräte aus dem Fritzbox-WLAN (statische DHCP Leases helfen dabei) anlegen, um die Zugriffe, die diese Geräte benötigen zuzulassen.
Wenn das für Dich keine Option ist, würde ich Dir direkt zum Kauf einer WLAN-Lösung wie der Unifi-Serie von Ubiquiti raten. Dann kannst Du das konfigurieren wie Du magst mit mehreren SSIDs, die dann in unterschiedlichen VLANs landen.
Aprospos VLANs: VLAN-fähiges Switch ist vorhanden?
Da sprichst du genau den Punkt an, der mir gerade im Kopf herum schwirrt. Ich weiß noch nicht genau, wie ich es mache, weil es, egal wie herum, immer irgendwo doof ist...
Ich finde es nicht doof. Wenn man kein doppeltes NAT hat, hat man keine echten Nachteile. Das Fritzbox-Netz, was vor der OPNsense liegt, betrachtet man einfach als DMZ. Entertain Geräte und anderen Krempel, den man nicht im Griff hat aber Internetzugriff benötigt, rein und gut is.
Bisher hab ich ausschließlich statische IPv4 Vergabe und IPv6 ist disabled.
Schwierig wird es, die Firewall zwischen Modem und Fritzbox zu bekommen, da das physisch nicht geht, solange ich das Modem der Fritzbox nutzen möchte. Auf der einen Seite möchte ich, dass die Firewall die Internetverbindung herstellt und da steht, wo sie hin gehört: Zwischen WAN und LAN. Andererseits ist der WLAN AP, SIP und Modem alles gemeinsam in der Fritzbox und damit nicht so zu verkabeln, wie ich es gern hätte.
Wie ich schon schrieb. Die Fritzbox baut die Internetverbindung auf und das LAN der Fritzbox ist eine DMZ. Die OPNsense hat in diesem Netz ihr WAN Interface und filtert alle Anfragen, die zu ihr durchdringen.
Aktuell:
3 verschiedene Rechner hängen an 2 verschiedenen VPN Endpunkten.
Rechner 1 => openVPN Client => Internet => Roadwarrior
Rechner 2 => openVPN Client => Internet => Roadwarrior
Rechner 2 => Fritzbox => IPSec => Internet => Fritzbox
Rechner 3 => Fritzbox => IPSec => Internet => Fritzbox
Bei den Endpunkten handelt es sich um statische öffentliche IPs. Natürlich können bei der aktuellen Konfiguration alle Rechner auf die VPN der Fritzbox gehen - ist aber nicht der use case.
Die OpenVPN Clients würde ich auf den Clients belassen, wenn diese tatsächlich jeweils nur einen Rechner bedienen. Die zusätzlich NAT-Ebene macht da mehr Probleme, als Du damit löst.
Die IPSec Verbindung könnte man auf der OPNsense terminieren. Ist aber vermutlich keine Site-to-Site Verbindung, oder? Wenn nicht Site-to-Site musst Du wieder NATten. Muss man abwägen.
Na Not sehe ich nicht. Aber Geräte mit "alles drin" kann man im Netzwerk nur unflexibel einsetzen, wie du ja selbst schon mit deinem Vorschlag zu umschiffen versuchst.
Danke auch dir für deinen Gehirnschmalz! Ich freu mich immer über konstruktive Vorschläge - hab hier keinen mit dem ich über solche Themen reden kann.
Ich bin von dem Setup überzeugt, da es einem kostengünstig den Einstieg in die OPNsense Welt ermöglicht. Und man kann sich Stück für Stück an weitere Themen rantrauen. Ich hatte mal ein Setup ohne die Fritzbox und hatte nur Ärger mit dem IGMP Entertaintraffic und die SIP Funktionen von einer kleinen Gigaset-Anlage fand ich auch nicht so überzeugend.
Die Fritzbox hat m.E. ein gutes (V)DSL Modem drin und stellt die Internetverbindung stabil zur Verfügung. Auch die Telefonie-Funktionen sind sehr brauchbar. Gerade Fax und co nachzubauen ist doch ziemlich nervig. Ich habe meine Fritzbox sogar als SIP-Gateway eingerichtet und habe per VPN von unterwegs eine SIP Verbindung zu dieser. D.h. eine Nebenstelle auf einer Telefonnummer ist mein Smartphone. Funktioniert alles über die ergänzenden Möglichkeiten der OPNsense, die hinter der Fritzbox steht.
-
Bevor ich länger in das Thema einsteige ^^ ;) kurz vorab die Frage:
Hast du bzgl. deiner Hardware fürs Gateway dich schon festgelegt? Und wenn nicht, wann willst du denn das ganze starten (auch mit den anderen Punkten die du aufführst)?
Dir kann ich heute noch kurz antworten. Für Gauss23 brauch ich länger :)
Ich schätze, "das schnelle Internet" wie es der pinke Rise nennt, dürfte innerhalb der nächsten 8 Wochen spätestens verfügbar sein. Dann möchte ich eigentlich mit dem Ganzen an den Start gehen.
So ganz weiß ich noch nicht, was ich nehme. Aber Zeit, mich nochmal etwas intensiver umzuschauen, hab ich erst wieder am Wochenende.
-
Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com (https://protectli.com)) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.
-
Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com (https://protectli.com)) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.
das ist mein System2, nur habe ich damals meine hardware bei aliexpress gekauft.
-
@inkasso
Ich habe jetzt nicht alle Beiträge en Detail gelesen, möchte aber meine Sichtweise als Denkanstoß beitragen.
Ich würde mir keine "Rechenleistung" langfristig auf Vorrat kaufen! Nur weil es in Deinem Anschlussbereich möglicherweise mal Gigabit geben könnte und ich z.B. OpenVPN machen will, würde ich mir jetzt noch keine HW anschaffen, die dass dann auch in 2 Jahren (noch) schafft. In den 2 Jahren gibt es dann wieder ganz andere Hardware für gas Gleiche oder sogar weniger Geld!
Kauf Dir jetzt eine vernünftige Einstiegslösung und komm erst einmal an und lerne die Möglichkeiten von OPNsense kennen. Die bereits genannten APU2D4 bekommst Du komplett für ~ 200€ neu.
Wenn Du etwas Zeit hast, kannst Du auch bei ebay nach einem Securepoint BlackDwarf G3 oder einer 100/200G3 schauen. Gebraucht bekommt man die Securepoint mit etwas Glück für nen schmalen Taler (~100€). Die sind mit dem Atom E38x5 und 4GB RAM auch ein guter Einstieg.
Achtung: Von den häufig angebotenen BlackDwarfG2 bzw. 100/200G2 würde ich inzwischen die Finger lassen!
Ach ja, Überleg genau, wie viele LAN Ports Du wirklich benötigst (>4 LAN Porst wird es i.d.R. immer teuer). OPNsense kommt prima mit VLAN zurecht, so dass man problemlos mehrere Netzwerksegmente per VLAN auf einen Port laufen lassen kann. Gerade bei WLAN absolut üblich, dass man das interne Netz und das Gäste-WLAN über einen Port und VLAN laufen lässt.
Du wirst ja wahrscheinlich von der Telekom einen Router gestellt bekommen (allein schon wegen Telefonie). Sollte das eine AVM FritzBox sein, spricht m.E. überhaupt nichts dagegen diese weiter zu nutzen. Machen hier neben mir einige so. FritzBox für Telefonie und die OPNsense läuft als Exposed Host an der FritzBox und kümmert sich um Alles andere. Hat auch den charmanten Vorteil, dass man zur not mal eben über die Fritte ins Internet gehen kann, wenn es mit der OPNsense mal hakt. ;)
EDIT: Gauss23 hat das Thema ja bereits ausführlich dargelegt.
Zum WLAN ist ja bereits gesagt worden, lass von FW-internen WLAN-Lösungen die Finger!!! Im SOHO Umfeld habe ich sehr gute Erfahrungen mit WLAN-AP (Access Points) von Ubiquiti gemacht. Sehr einfach zu konfigurieren und laufen sehr stabil. Gerade Dinge wie Band Steering und WLAN-Handover möchte man nicht mehr missen, wenn man das mal genutzt hat. Ist schon genial, mit seinem Tablet vom Keller in den Garten zu laufen, ohne dass die Videokonferenz abbricht.
Sogar noch etwas günstiger sind AP von Mikrotik. Aber leider ist die Lernkurve bei Mikrotik recht steil! Bei Mikrotik lässt sich jede Kleinigkeit konfigurieren. Nur leider muss eben auch jede Kleinigkeit konfiguriert werden. ;D Da kommt schnell Frust auf.
Und dann noch etwas Grundsätzliches zum Thema FW. Nicht Alles was geht, macht auch in jedem Umfeld wirklich Sinn! Stell Dir immer die Frage, was Du überhaupt erreichen kannst (techn. Wissen) und wirklich erreichen willst. Ein Voll-Ausgerüstete FW mit allen möglichen Optionen ist ein fulltime Job! Wir haben in der Fa. 2 Kollegen, die sich ausschließlich um FW/Security kümmern. Das braucht man nicht im SOHO. Zumal ich gesehen habe, dass Du nach Außen hin keine Dienste anbieten willst. Und bisher scheinst Du ja mit der Lösung "Brain" auch nicht schlecht gefahren zu sein. ;) Eine FW ist immer nur ein Baustein eines ganzen Sicherheitskonzepts. Und ich hatte etwas gelesen von Windows7 und Office 2000. :o Was nutzt Dir die FW, wenn Du Dich mit einem inzwischen unsupportetem BS und einem uralten Office dann noch per VPN in ein Firmennetz einwählst!? Sorry, aber da fehlt mir dann jegliches Sicherheitsbewustsein sowohl Deines AG als auch von Dir.
Gruß
Dirk
-
Das wird dann aber mit der Fritzbox schwierig. Die Zeiten in denen die FritzBox zum DSL Modem umfunktioniert werden konnten sind offenbar vorbei. Du kannst wie gesagt an der OPNsense dann Regeln anlegen für diese Geräte aus dem Fritzbox-WLAN (statische DHCP Leases helfen dabei) anlegen, um die Zugriffe, die diese Geräte benötigen zuzulassen.
Wenn das für Dich keine Option ist, würde ich Dir direkt zum Kauf einer WLAN-Lösung wie der Unifi-Serie von Ubiquiti raten. Dann kannst Du das konfigurieren wie Du magst mit mehreren SSIDs, die dann in unterschiedlichen VLANs landen.
Hmmm... Das hat mich nun echt überrascht. Ich fange an, die Fritzbox immer weniger zu mögen. Früher waren die mal toll - inzwischen gehen die aber immer mehr in Richtung "für Ahnungslose" und beschneiden die Möglichkeiten.
Ich hab hier noch eine alte 3270er Fritzbox. Da muss ich aber erstmal schauen, was das Modem überhaupt mitmacht.
Aprospos VLANs: VLAN-fähiges Switch ist vorhanden?
Ja, einen Managed Switch mit 8 Ports habe ich. Leider aber auch noch einen älteren 32 Port, der zumindest nicht offiziell VLAN fähig ist. Man behauptet, er würde die Frames durchlassen - aber das will ich glaub ich gar nicht erst ausprobieren. der wird dann auch irgendwann abgelöst werden. Bis dahin muss ich mit den sich ergebenden Einschränkungen leben.
Ich finde es nicht doof. Wenn man kein doppeltes NAT hat, hat man keine echten Nachteile. Das Fritzbox-Netz, was vor der OPNsense liegt, betrachtet man einfach als DMZ. Entertain Geräte und anderen Krempel, den man nicht im Griff hat aber Internetzugriff benötigt, rein und gut is.
Das war auch nicht aufs doppelte NAT bezogen. Das würd ich auch vermeiden wollen.
Die Firewall soll u.A. aber den Entertainment-Geräten einen Maulkorb verpassen, nach dem Motto: ihr wollt ins Internet? Gut... ich sag euch wohin ihr dürft und wohin nicht.
Ferner werden die Geräte auch über das sichere (W)LAN gesteuert. Ist also leider auch nicht ganz so trivial zu lösen, wie ichs gern hätte.
Die OpenVPN Clients würde ich auf den Clients belassen, wenn diese tatsächlich jeweils nur einen Rechner bedienen. Die zusätzlich NAT-Ebene macht da mehr Probleme, als Du damit löst.
Die IPSec Verbindung könnte man auf der OPNsense terminieren. Ist aber vermutlich keine Site-to-Site Verbindung, oder? Wenn nicht Site-to-Site musst Du wieder NATten. Muss man abwägen.
Gut, ich hab kein Problem mit den openVPN Clients - die laufen ja schließlich sauber vor sich hin und ich hatte nie Theater damit. Denke demnächst wird hier zumindest vorübergehend noch eine weitere Verbindung dazu kommen. (Arbeitgeber hat vorübergehend einen weiteren Standort)
Die IPSecs sind IPSecs, weil es so am Einfachsten zu konfigurieren war. Gegenstelle hat feste IP, aber eben auch nur eine Fritzbox... Letztendlich greift man nur auf eine einzelne NAS im Zielnetz zu.
Ich bin von dem Setup überzeugt, da es einem kostengünstig den Einstieg in die OPNsense Welt ermöglicht. Und man kann sich Stück für Stück an weitere Themen rantrauen. Ich hatte mal ein Setup ohne die Fritzbox und hatte nur Ärger mit dem IGMP Entertaintraffic und die SIP Funktionen von einer kleinen Gigaset-Anlage fand ich auch nicht so überzeugend.
Na ich stelle es mal sicherheitshalber klar: ich habe und bekomme kein Entertain, kein Netflix, kein was auch immer. Solange ich unfreiwillig das GEZ PayTV habe, gibt es kein anderes für mich.
Entertainment Geräte: Smart TV, Spielekonsole, BluRay Player - die wollen alle ins Internet und überwiegend sehe ich aktuell kaum gute Gründe dafür. Updates... ja. Sonst eher nichts. Und ja... ich gehör nach wie vor zu der Fraktion die lieber Single Player offline spielen.
Da die Konsole aber auf Internet besteht zum Funktionieren und der Fernseher nicht über das Netzwerk steuerbar ist, wenn man ihm keinen Netzwerkanschluss gibt, macht es auch wenig Sinn, kein Kabel einzustöpseln... Und der BluRay Player weint mir immer alle 10 Sekunden einen vor, wenn er kein Kabel hat.
Die Fritzbox hat m.E. ein gutes (V)DSL Modem drin und stellt die Internetverbindung stabil zur Verfügung. Auch die Telefonie-Funktionen sind sehr brauchbar. Gerade Fax und co nachzubauen ist doch ziemlich nervig. Ich habe meine Fritzbox sogar als SIP-Gateway eingerichtet und habe per VPN von unterwegs eine SIP Verbindung zu dieser. D.h. eine Nebenstelle auf einer Telefonnummer ist mein Smartphone. Funktioniert alles über die ergänzenden Möglichkeiten der OPNsense, die hinter der Fritzbox steht.
Zumindest am Anfang werde ich es sicher auch so konfigurieren müssen. Die erste Neuanschaffung wird dann nach der Firewall aber wohl am Ehesten ein separates Modem sein (entweder VDSL oder Glasfaser).
-
Hmmm... Das hat mich nun echt überrascht. Ich fange an, die Fritzbox immer weniger zu mögen. Früher waren die mal toll - inzwischen gehen die aber immer mehr in Richtung "für Ahnungslose" und beschneiden die Möglichkeiten.
Ich hab hier noch eine alte 3270er Fritzbox. Da muss ich aber erstmal schauen, was das Modem überhaupt mitmacht.
Mach Dir Gedanken wie du das mit der Telefonie löst, bevor Du Deine jetzige Fritzbox in die Rente schickst. Man kann die Fritzbox auch als IP Client laufen lassen und die SIP Zugangsdaten dort hinterlegen, um die Telefonie weiter darüber laufen zu lassen.
Das war auch nicht aufs doppelte NAT bezogen. Das würd ich auch vermeiden wollen.
Die Firewall soll u.A. aber den Entertainment-Geräten einen Maulkorb verpassen, nach dem Motto: ihr wollt ins Internet? Gut... ich sag euch wohin ihr dürft und wohin nicht.
Ferner werden die Geräte auch über das sichere (W)LAN gesteuert. Ist also leider auch nicht ganz so trivial zu lösen, wie ichs gern hätte.
Das kannst Du ja machen. Eigenes VLAN für solche Geräte hinter der OPNsense anlegen und los. Wenn diese aber per WLAN ins Netz wollen, brauchst Du eine andere WLAN Lösung als die der internen Fritzbox. Dann kannst du auf diesen Netzen auch Port-Isolation aktivieren, damit die Geräte nur mit der OPNsense sprechen dürfen und nicht mit anderen Geräten im selben VLAN.
Gut, ich hab kein Problem mit den openVPN Clients - die laufen ja schließlich sauber vor sich hin und ich hatte nie Theater damit. Denke demnächst wird hier zumindest vorübergehend noch eine weitere Verbindung dazu kommen. (Arbeitgeber hat vorübergehend einen weiteren Standort)
Die IPSecs sind IPSecs, weil es so am Einfachsten zu konfigurieren war. Gegenstelle hat feste IP, aber eben auch nur eine Fritzbox... Letztendlich greift man nur auf eine einzelne NAS im Zielnetz zu.
Dann kann man das an der OPNsense terminieren lassen und per NAT drauf zugreifen.
Na ich stelle es mal sicherheitshalber klar: ich habe und bekomme kein Entertain, kein Netflix, kein was auch immer. Solange ich unfreiwillig das GEZ PayTV habe, gibt es kein anderes für mich.
Entertainment Geräte: Smart TV, Spielekonsole, BluRay Player - die wollen alle ins Internet und überwiegend sehe ich aktuell kaum gute Gründe dafür. Updates... ja. Sonst eher nichts. Und ja... ich gehör nach wie vor zu der Fraktion die lieber Single Player offline spielen.
Da die Konsole aber auf Internet besteht zum Funktionieren und der Fernseher nicht über das Netzwerk steuerbar ist, wenn man ihm keinen Netzwerkanschluss gibt, macht es auch wenig Sinn, kein Kabel einzustöpseln... Und der BluRay Player weint mir immer alle 10 Sekunden einen vor, wenn er kein Kabel hat.
Wie ich oben schon schrieb, in ein eigenes VLAN und Port-Isolation an. Am besten mit Ubiquiti Hardware. Switch+AP
Zumindest am Anfang werde ich es sicher auch so konfigurieren müssen. Die erste Neuanschaffung wird dann nach der Firewall aber wohl am Ehesten ein separates Modem sein (entweder VDSL oder Glasfaser).
Bei der Glasfaser der Telekom (Privatbereich) kannst Du m.E. die OPNsense direkt per Ethernet an den ONT anschließen und per PPPoE die Einwahl machen. Denk dabei an VLAN-ID 7.
-
@inkasso
Ich habe jetzt nicht alle Beiträge en Detail gelesen, möchte aber meine Sichtweise als Denkanstoß beitragen.
Danke! Genau darum hab ich ja überhaupt angefangen was zu schreiben :)
Ich würde mir keine "Rechenleistung" langfristig auf Vorrat kaufen! Nur weil es in Deinem Anschlussbereich möglicherweise mal Gigabit geben könnte und ich z.B. OpenVPN machen will, würde ich mir jetzt noch keine HW anschaffen, die dass dann auch in 2 Jahren (noch) schafft. In den 2 Jahren gibt es dann wieder ganz andere Hardware für gas Gleiche oder sogar weniger Geld!
Kauf Dir jetzt eine vernünftige Einstiegslösung und komm erst einmal an und lerne die Möglichkeiten von OPNsense kennen. Die bereits genannten APU2D4 bekommst Du komplett für ~ 200€ neu.
Wenn Du etwas Zeit hast, kannst Du auch bei ebay nach einem Securepoint BlackDwarf G3 oder einer 100/200G3 schauen. Gebraucht bekommt man die Securepoint mit etwas Glück für nen schmalen Taler (~100€). Die sind mit dem Atom E38x5 und 4GB RAM auch ein guter Einstieg.
Achtung: Von den häufig angebotenen BlackDwarfG2 bzw. 100/200G2 würde ich inzwischen die Finger lassen!
Ach ja, Überleg genau, wie viele LAN Ports Du wirklich benötigst (>4 LAN Porst wird es i.d.R. immer teuer). OPNsense kommt prima mit VLAN zurecht, so dass man problemlos mehrere Netzwerksegmente per VLAN auf einen Port laufen lassen kann. Gerade bei WLAN absolut üblich, dass man das interne Netz und das Gäste-WLAN über einen Port und VLAN laufen lässt.
Bekommt man denn auf die Securepoint Geräte beliebige Software drauf? Ich frag, weil mir Securepoint ein Begriff ist - haben wir in der Firma. Finde ich aber verdammt träge und Umständlich in der Bedienung. Denke aber, wenn du sagst von G2 die Finger lassen, dass dies auch der Grund dafür ist... Wir haben da noch eine der ersten Generation.
Du wirst ja wahrscheinlich von der Telekom einen Router gestellt bekommen (allein schon wegen Telefonie). Sollte das eine AVM FritzBox sein, spricht m.E. überhaupt nichts dagegen diese weiter zu nutzen. Machen hier neben mir einige so. FritzBox für Telefonie und die OPNsense läuft als Exposed Host an der FritzBox und kümmert sich um Alles andere. Hat auch den charmanten Vorteil, dass man zur not mal eben über die Fritte ins Internet gehen kann, wenn es mit der OPNsense mal hakt. ;)
EDIT: Gauss23 hat das Thema ja bereits ausführlich dargelegt.
Ok... den Absatz hab ich jetzt 3x neu geschrieben, weil sich mir bei dem Vorschlag die Fußnägel kräuseln...
Sagen wir einfach: freiwillig kommt mir keine Hardware der Telekom ins Haus. Deswegen hab ich hier auch kein Hybrid LTE, obwohl das seit 2-3 Jahren ginge und wenigstens ein wenig mehr Speed gebracht hätte. Alles Weitere, was ich dazu zu sagen hätte, gehört nicht in diesen Thread.
Zum WLAN ist ja bereits gesagt worden, lass von FW-internen WLAN-Lösungen die Finger!!! Im SOHO Umfeld habe ich sehr gute Erfahrungen mit WLAN-AP (Access Points) von Ubiquiti gemacht. Sehr einfach zu konfigurieren und laufen sehr stabil. Gerade Dinge wie Band Steering und WLAN-Handover möchte man nicht mehr missen, wenn man das mal genutzt hat. Ist schon genial, mit seinem Tablet vom Keller in den Garten zu laufen, ohne dass die Videokonferenz abbricht.
Sogar noch etwas günstiger sind AP von Mikrotik. Aber leider ist die Lernkurve bei Mikrotik recht steil! Bei Mikrotik lässt sich jede Kleinigkeit konfigurieren. Nur leider muss eben auch jede Kleinigkeit konfiguriert werden. ;D Da kommt schnell Frust auf.
Das schöne ist, dass wir uns hier bereits einig sind :)
Quasi "nebenbei" erwähnte mein Chef, dass wir demnächst einen größeren Standort haben und dass ich mich dort um "vernünftiges Netzwerk" kümmern soll. Jahrelang hab ich ihm gesagt, was hier daneben läuft und warum und leider wusste er am Anfang alles besser. Inzwischen vertraut er meinem Urteil erheblich mehr und einige Probleme konnte ich auch beseitigen. Und bezüglich WLAN kam er mit "ich hab mal in meiner Business-Facebook-Gruppe rumgefragt und alle hätten Ubiquiti gerufen". Ich hatte noch nicht die Gelegenheit, mir das näher anzusehen, aber jetzt wo ich selbiges auch hier schon mehrfach gelesen habe, gehe ich davon aus, dass da was dran ist.
Und dann noch etwas Grundsätzliches zum Thema FW. Nicht Alles was geht, macht auch in jedem Umfeld wirklich Sinn! Stell Dir immer die Frage, was Du überhaupt erreichen kannst (techn. Wissen) und wirklich erreichen willst. Ein Voll-Ausgerüstete FW mit allen möglichen Optionen ist ein fulltime Job! Wir haben in der Fa. 2 Kollegen, die sich ausschließlich um FW/Security kümmern. Das braucht man nicht im SOHO. Zumal ich gesehen habe, dass Du nach Außen hin keine Dienste anbieten willst. Und bisher scheinst Du ja mit der Lösung "Brain" auch nicht schlecht gefahren zu sein. ;) Eine FW ist immer nur ein Baustein eines ganzen Sicherheitskonzepts. Und ich hatte etwas gelesen von Windows7 und Office 2000. :o Was nutzt Dir die FW, wenn Du Dich mit einem inzwischen unsupportetem BS und einem uralten Office dann noch per VPN in ein Firmennetz einwählst!? Sorry, aber da fehlt mir dann jegliches Sicherheitsbewustsein sowohl Deines AG als auch von Dir.
Bezüglich Dienste nach außen... für mich privat werde ich einen OpenVPN Server betreiben, damit ich von unterwegs auf gewisse Daten zugreifen kann. Quasi Owncloud zu Hause. Sonst ist hier nichts geplant, da nicht notwendig.
Klar hast du mit dem Windoofs Recht. Ich würde eigentlich liebend gern ganz darauf verzichten - lebe aber leider in einer Windows Welt. Und von der Seite "Sicherheit" ist es natürlich sträflich, wenn man Betriebssysteme nutzt, für die es gar keine Sicherheits-Updates mehr gibt. Ich hab das Update auf Win10 so lange herausgeschoben wie es ging, weil Microsoft meint, dass ein PC Betriebssystem so aussehen und sich so verhalten muss, wie ein Betriebssystem für Tablets. Und da bin ich definitiv anderer Meinung. Und die Probleme die ich täglich mit meinem Win10 habe, geben mir Recht. Und mit dem Office ist es leider nicht anders.
Und in Sachen Zeitaufwand für die FW: ich denke mal, es geht mit viel los und endet mit "läuft fast von allein". Die lokale Situation ändert sich ja nicht so oft und wenn man mal alles beisammen hat, was man möchte, dann kommt irgendwann der Punkt, wo man sich einfach nur freut, dass es "fertig" ist. Vor 20 Jahren hätte das bei mir noch ganz anders ausgesehen :D
Gruß
Dirk
Schönen Gruß zurück!
-
Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com (https://protectli.com)) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.
das ist mein System2, nur habe ich damals meine hardware bei aliexpress gekauft.
Ohne das gerade irgendwie werten zu wollen - ich hab erst am Wochenende Zeit es mir in Ruhe nochmal anzusehen: warum ist sämtliche vorgeschlagene Hardware eigentlich immer aus Übersee? Gibts in Europa keinen Markt dafür? Immer wenn ich nach Angeboten suche kommt entweder was aus China oder was aus den USA hoch. Ganz selten auch mal was von einem EU Standort. Wundert mich - das hatte ich noch nie bei der Beschaffung von Elektronik.
-
Die Hardware kommt im Endeffekt immer aus China/Asien, ganz egal ob den Händler der an dich verkauft in DE/EU oder CN sitzt.
Wenn du dem Projekt was Gutes tun willst kaufst du was von Applianceshop oder von den OPNsense Partnern (Thomas Krenn und Landitec/scope7)
-
Fairerweise muss man sagen der Deciso A10 wird tatsächlich in Holland bestückt, deswegen ist auch der Preis höher.
Habe es selbst gesehen. ;)
Grüsse
Franco
-
Zum Thema Securepoint HW.
Securepoint selbst stellt ja keine HW her, sondern nutzt OEM-Produkte. Früher wurden Barebones von Lexcom genutzt. Inzwischen nutzt Securepoint für den BlackDwarf bzw. die 100/200 Serie Barebones von AAEON (FWS-225x). Da es sich dabei prinzipiell um 08/15 x86 Hardware handelt, lässt sich problemlos auch eine beliebige FW-Distribution installieren. Ich habe hier diverse SP-Hardware mit OPNsense am laufen.
Es lassen sich auch FW von Sophos sowie Gateprotect mit OPNsense bestücken. Allerdings sind m.E. nach die Preise für gebrauchte Sophos Hardware höher als bei Securepoint. :)
Und wie bereits geschrieben, so eine APU4D4 gibt es für ~ 200€
Ich habe hier eine FritzBox, die wir kostenlos von unserem Kabelnetzbetreiber zur Verfügung gestellt bekommen haben. Das Ding ist locked, wird also durch den Netzbetreiber mit FW-Updates versorgt, was sogar mal am Sonntag Nachmittag passiert ist. Dachte erst, Holy Shit, jetzt ist die OPNsense abgeschmiert, weil das I-Net plötzlich weg war. War aber 'nur' das FW-Update! Kann man so etwas nicht nachts einspielen! >:(
Egal, Jeder wie er mag und Du willst halt partout keine Provider-HW.
Die Anschaffung eines Samsung Smart-TV war auch die Initialzündung für mich, sich mit einer eigenen FW zu Hause zu beschäftigen. Das Teil ist wirklich so etwas von gesprächig... Aber dank OPNsense kein Problem. Hin und wieder hakt es mal mit den Mediatheken, insbesondere bei Sat.1/Pro7, da es hier immer wieder Probleme mit dem Werbeblockern gibt.
-
Wenn wir schon beim Thema Hardware sind.
Ich finde diese Box interessant:
https://www.senetic.de/product/SYS-E200-9B
Selbst im Einsatz hab ich sie noch nicht, habe es aber vor.
Ram und SSD machen nochmal 60€ aus. Ist leider nicht passiv gekühlt und der eingebaute Lüfter ist wohl etwas laut, kann man aber gegen etwas leiseres tauschen. Komplett geräuschlos wird die Box wohl aber nicht. Je nach Standort möglicherweise ein NoGo.
Die CPU kann alles was man für einen SOHO Einsatz benötigt.
Toll ist das vorhandene IPMI. Damit kann man die Box noch ansprechen, wenn OPNsense abgestürzt oder aus anderen Gründen nicht mehr erreichbar sein sollte.
-
Die Hardware kommt im Endeffekt immer aus China/Asien, ganz egal ob den Händler der an dich verkauft in DE/EU oder CN sitzt.
Wenn du dem Projekt was Gutes tun willst kaufst du was von Applianceshop oder von den OPNsense Partnern (Thomas Krenn und Landitec/scope7)
Das war ja auch gar nicht damit gemeint. Das Hardware fast ausschließlich in fernOst hergestellt wird, ist mir klar. Nur für gewöhnlich bekommt man alles, was man sonst so kauft, vom europäischen Markt. Mich hat gewundert, dass es hier eben überwiegend nicht so ist.
-
Zum Thema Securepoint HW.
Securepoint selbst stellt ja keine HW her, sondern nutzt OEM-Produkte. Früher wurden Barebones von Lexcom genutzt. Inzwischen nutzt Securepoint für den BlackDwarf bzw. die 100/200 Serie Barebones von AAEON (FWS-225x). Da es sich dabei prinzipiell um 08/15 x86 Hardware handelt, lässt sich problemlos auch eine beliebige FW-Distribution installieren.
Gut zu wissen, falls wir mal eine Securepoint ausmustern, die nicht überaltert ist. Vielleicht empfehle ich meinem Chef diesmal aber auch etwas aus dem hiesigen Business Bereich. Hätte den Vorteil, dass ich mich privat schon damit beschäftigt hätte.
Ich habe hier eine FritzBox, die wir kostenlos von unserem Kabelnetzbetreiber zur Verfügung gestellt bekommen haben. Das Ding ist locked, wird also durch den Netzbetreiber mit FW-Updates versorgt, was sogar mal am Sonntag Nachmittag passiert ist. Dachte erst, Holy Shit, jetzt ist die OPNsense abgeschmiert, weil das I-Net plötzlich weg war. War aber 'nur' das FW-Update! Kann man so etwas nicht nachts einspielen! >:(
Egal, Jeder wie er mag und Du willst halt partout keine Provider-HW.
Ich weiß noch, früher konnte man da einfach die Firmware vom ISP gegen die Originale tauschen und schon war man glücklich mit dem Ding. Genau solche Aktionen sind mit Grund dafür, warum ich keine Fremdhardware in meinem Netz dulde.
-
@inkasso, schau mal bitte in deinen "My Messages" bereich, habe dir nachrichten geschickt (hast du warscheinlich übersehen).
-
@inkasso, schau mal bitte in deinen "My Messages" bereich, habe dir nachrichten geschickt (hast du warscheinlich übersehen).
Genau so war es :D
Bekomme zwar Mail Benachrichtigung - aber wenn man so wie ich da nur 1x die Woche reinsieht, dauert es, bis Antworten kommen ;)
-
Ok... kleiner Nachtrag.
Die Jungs für die FTTH-Dose waren da. Konnten die vorhandenen leerRohre nicht nutzen und werden nun "demnächst" die Leitung über die Außenfassade legen.
Was mich aber viel mehr ärgert ist eine Aussage, die mir bei der Telekom leider nur zu gut ins Bild passt :-|
"Die alte Kupferverdrahtung zwischen Haus und Verteiler wird nicht auf die neue Technik mit aufgelegt".
Resultat ist also: entweder weiter Kriech Internet oder Glasfaser.
Unser DSL war immer nur so lahm, weil die Kupferverdrahtung zwischen zwei Verteilern der Telekom defekt war. Bis zum Verteiler ist unsere Leitung nämlich gar nicht so lang... Und nu hatte ich doch gehofft, die alte Technik wird weiter betrieben und im Anschlusskasten dann über die neuen Glasfaserleitungen geroutet, die sie eh zwischen den Verteilern legen mussten...
Jetzt muss ich also noch sehen, wo ich kurzfristig einen passenden ONT her bekomme, weil ich den von der Telekom ja nicht nutzen will UND keinen in eine Fritbox eingebauten möchte... :-/
-
> Nur für gewöhnlich bekommt man alles, was man sonst so kauft, vom europäischen Markt. Mich hat gewundert, dass es hier eben überwiegend nicht so ist.
Bekommt man auch, man muss nur wissen, von wem und was :)
> Vielleicht empfehle ich meinem Chef diesmal aber auch etwas aus dem hiesigen Business Bereich.
Wenn dein Chef für die Firma HW für ne Sense einkauft/einkaufen will, würde ich persönlich da schauen, dass ich HW von einem Händler/Distri von hier bekomme und ggf. mit erweiterten Garantien etc. Möchte aber, da mein AG auch in die Kategorie fällt nicht mehr dazu ausführen, sonst heißt es nachher wieder ich mache Werbung ^^
Ärgerlich auch dein Zusammentreffen mit der Telekom auch wenns leider ins Bild passt :(
-
> Nur für gewöhnlich bekommt man alles, was man sonst so kauft, vom europäischen Markt. Mich hat gewundert, dass es hier eben überwiegend nicht so ist.
Bekommt man auch, man muss nur wissen, von wem und was :)
Na ok... ich nehme an, du möchtest mir sagen, dass ich die Hardware hier selber aus Einzelteilen zusammensuchen muss - und das geht dann über die üblichen Wege. Oder worauf wolltest du hinaus?
> Vielleicht empfehle ich meinem Chef diesmal aber auch etwas aus dem hiesigen Business Bereich.
Wenn dein Chef für die Firma HW für ne Sense einkauft/einkaufen will, würde ich persönlich da schauen, dass ich HW von einem Händler/Distri von hier bekomme und ggf. mit erweiterten Garantien etc. Möchte aber, da mein AG auch in die Kategorie fällt nicht mehr dazu ausführen, sonst heißt es nachher wieder ich mache Werbung ^^
Oh das ist in dem Fall für mich schon ne Selbstverständlichkeit. Im Business Bereich auf Garantie und professionellen Support zu verzichten ist einfach nur dumm. Muss nur sehen, dass ich dem Chef das auch verkauft bekomme. Der spart nämlich gern am falschen Ende.
Ärgerlich auch dein Zusammentreffen mit der Telekom auch wenns leider ins Bild passt :(
Oh ja... kommt mit auf den Fruststapel, den ich für den Laden eh schon habe.
-
Jetzt muss ich also noch sehen, wo ich kurzfristig einen passenden ONT her bekomme, weil ich den von der Telekom ja nicht nutzen will UND keinen in eine Fritbox eingebauten möchte... :-/
Worin besteht das Problem mit dem ONT von der Telekom? Das ist doch m.E. nur ein erweiterter Medienkonverter? Dahinter kannst Du die OPNsense Box direkt anschließen und die PPPoE Einwahl machen. Oder lieg ich hier falsch?
-
Worin besteht das Problem mit dem ONT von der Telekom? Das ist doch m.E. nur ein erweiterter Medienkonverter? Dahinter kannst Du die OPNsense Box direkt anschließen und die PPPoE Einwahl machen. Oder lieg ich hier falsch?
Das ist recht schnell erklärt: keine Fremdhardware in meinen 4 Wänden. Je weniger weit der ISP in meine Wohnung kommt, um so besser.
-
Das ist recht schnell erklärt: keine Fremdhardware in meinen 4 Wänden. Je weniger weit der ISP in meine Wohnung kommt, um so besser.
Das Ding ist doch das Äquivalent zum NTBA aus ISDN Zeiten. Hast du den auch verflucht?
Es gibt inzwischen eine Fritzbox mit integriertem ONT. Das verbessert Deine Situation aber eher nicht ;)
-
> Das ist recht schnell erklärt: keine Fremdhardware in meinen 4 Wänden. Je weniger weit der ISP in meine Wohnung kommt, um so besser.
Netzabschlußgeräte hast du immer Fremdhardware. Wäre mir neu, dass man komplett ohne auskommt, aber selbst wenn - warum? Du baust dir mit der Sense eine Firewall und die betrachtet alles auf WAN als No-Go was korrekt ist. Somit wird auch der ONT als WAN/Internet bzw. pot. gefährlich betrachtet. Ist doch völlig in Ordnung. Sehe ich nicht unbedingt, warum das ein Problem darstellen sollte. Beim Kabelmodem bin ich ggf. auch nicht frei und selbst wenn ichs kaufe, muss ichs trotzdem noch als potentiell gefährlich betrachten, weil es direkt mit dem Netz verbunden ist. Also warum überhaupt erst die Mühe machen.
> Na ok... ich nehme an, du möchtest mir sagen, dass ich die Hardware hier selber aus Einzelteilen zusammensuchen muss - und das geht dann über die üblichen Wege. Oder worauf wolltest du hinaus?
Nein, ich wollte nur sagen, dass man ohne Probleme in DE auch gute/ordentliche Hardware von Händlern, Partnern und Distris bekommt ohne selbst in die Situation zu müssen, irgendwelche HW aus Fernost selbst zu importieren und sich dann ggf. mit Zoll und Garantien rumschlagen zu müssen. Da ist mir persönlich es mehr wert, wenn ich den Kram hier beziehen kann und hab meine Garantie und Gewährleistungsansprüche und jemand am Telefon/per Mail, der mich auch versteht ;)
> Oh ja... kommt mit auf den Fruststapel, den ich für den Laden eh schon habe.
Das kann ich leider gut nachvollziehen :/
> Im Business Bereich auf Garantie und professionellen Support zu verzichten ist einfach nur dumm. Muss nur sehen, dass ich dem Chef das auch verkauft bekomme. Der spart nämlich gern am falschen Ende.
Auch da bin ich leider bei dir. Hab dir deshalb aber auch ne PN geschrieben :)
Eventuell hast du ja heut ab 16:00 Zeit und kommst beim virtuellen UserGroup Meeting vorbei. Da hab ich u.a. auch einen Sneak Peak auf schöne Hardware :)
-
Zum Thema eigener ONT werde ich genau noch diesen einen Beitrag schreiben, denn sonst geht der Thread - wie leider viel zu oft bei "ich will keine Fremdhardware" Themen für egal welche Art Anschluss - in Diskussionen über Sinn und Unsinn vom Willen es zu tun unter.
ISDN NTBA => lief ohne Strom und war ein dummes Stück Hardware. Man sollte welchen anschließen - aber musste ich ja nicht.
ONT => braucht Strom UND wird mit Sicherheit einen Fernwartungsmodus der Telekom haben, mit dem sie z.B. FirmwareUpdates machen können oder das Gerät neu starten oder was auch immer. Allein schon das nicht mal sicher zu wissen, ist ein Umstand, mit dem ich nicht zufrieden wäre. Und dann könnten da Funktionen sein, die ein Gerät mit Hersteller Firmware hat, mit Telekom Firmware aber nicht...
Ich bin Herr über die Hardware in meinem Haus. Ich entscheide ob etwas neu startet oder nicht (mal abgesehen vom Stromnetzbetreiber, wenn der Strom mal wieder ausfällt). Ich entscheide, ob und wann ein Firmwareupdate stattfindet. Und ich mag es gar nicht, wenn man Konfigurationsmöglichkeiten vor mir verbirgt, nur weil es zu mehr Supportaufwand für den ISP führen könnte. PUNKT.
Andere argumentieren dann ggf. noch mit "ich will weniger Geräte da hängen haben" und "sieht schöner aus" und "braucht insgesamt weniger Strom, Kabel, Steckdosen ...". Sind weitere Motivationen dafür - aber nicht meine. Mit dem Wunsch bin ich aber nicht allein.
Und ja, es ist möglich den FTTH ohne Telekom ONT zu betreiben. Man kann bei Telekom wahlweise bestellen, dass die OTO so umgerüstet wird, dass man einen eigenen ONT anschließen kann.
Ich werde wohl zunächst mit dem Telekom ONT arbeiten müssen, bis der Makrt etwas weiter ist. Die Möglichkeit, eigene Hardware zu benutzen, gibt es noch nicht so lange und daher sind die Optionen sehr begrenzt. Das ist zumindest mein letzter Stand. Das Umrüsten der OTO ist eine kostenlose Serviceleistung, die man auch später noch bei bereits in Betrieb genommenem Anschluss ordern kann.
Bei einem Kabelanschluss würde ich auch mein eigenes Kabelmodem nehmen und LTE Hybrid habe ich nicht genommen, weil da zwangsweise die Telekom einem die Hardware vorgibt.
Falls es sich hitzig liest: sorry. Ich will damit hier keinen anfahren. Die Diskussionen über das Warum in solchen Fällen hatte ich nur schon zu oft und sie sind echt ermüdend und führen zu nichts.
-
So... ich hab mich eingeschossen auf eine Qotcom Q375G4 oder eine Protectcli FW4B.
Aufgrund der verschiedenen Prozessoren vermute ich Welten zwischen beiden Systemen. Ich würde zumindest bei der Qotcom einen China-Kauf riskieren. Da ich aber Null Erfahrung damit habe, fühlt es sich halt schon nach etwas Bauchschmerzen an.
Hatte neulich mal für das Angebot was hier im Thread schon angsrpochen wurde für die Q575G6 ins Auge gefasst und den Händler angeschrieben. Bis heute keine Reaktion :-/
Möchte noch jemand was hierzu beitragen bevor ich dann wohl morgen bestelle?
-
das FW4B ist gut, nur ich persönlich würde aber dann doch lieber den FW6C nehmen
einfach die bessere CPU (für mich persönlich). Den FW4B habe ich ja auch (nur von QOTOM)
-
das FW4B ist gut, nur ich persönlich würde aber dann doch lieber den FW6C nehmen
einfach die bessere CPU (für mich persönlich). Den FW4B habe ich ja auch (nur von QOTOM)
Jetzt komme ich nicht mehr mit...
FW6 = 6 Port. Brauche nach mehrmaligem Überlegen nur 3-4
Ferner hat die Qotcom ebenfalls einen i7 - also häh?
-
1. du hast bauchschmerzen in china zu bestellen
2. deshalb dachte ich du willst bei protecli bestellen
3. deshalb die beiden systeme gegenüber gestellt (die haben kein core i7 system meiner meinung)
4. deshalb die core i5 variante.
-
https://www.amazon.com/Firewall-Qotom-Q375G4-Processor-Broadwell-Aluminium/dp/B07PRTX2WG (https://www.amazon.com/Firewall-Qotom-Q375G4-Processor-Broadwell-Aluminium/dp/B07PRTX2WG)
Stimmt das nicht? War jetzt nur eine der Quellen...
-
Ok... das Ali Experiment beginnt :D
https://www.aliexpress.com/item/33055811185.html
No RAM - No SSD - Q375G4 no WiFi
Per UPS. Mal sehen, ob ich wie versprochen keinen Zoll zahlen muss. Wenn doch, ist es aber auch nicht schlimm.
Schlimmer wär, wenn es nicht kommt und ich dann dem Geld hinterher laufen muss.
Nu hab ich knapp 2 Wochen Zeit nach geeigneter SSD und RAM zu suchen.
-
So... für alle die es interessiert:
Die Lieferung ist gestern mit etwa 7 Tagen Verspätung eingetroffen.
Mit der Installation hatte ich fast keine Probleme.
Hier ein paar Systeminfos:
$ sysctl -a hw.model
hw.model: Intel(R) Core(TM) i7-5550U CPU @ 2.00 GHz
$ sysctl -a hw.physmem
hw.physmem: 8460046336
$ openssl speed -elapsed -evp aes-256-gcm
$ openssl speed -elapsed -evp aes-256-cbc
(...)
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproductible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 267715.17k 795903.74k 1701739.62k 2286167.04k 2690980.15k 2741347.75k
aes-256-cbc 405661.13k 454744.28k 464790.25k 466030.53k 467072.92k 466998.61k
Falls es sonst noch was gibt, was spannend zu sehen wäre, fragt danach :)
(und am Besten sagt ihr mir auch gleich, wie man das rausfindet, denn auf FreeBSD bin ich kompletter Anfänger)