OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest15032 on January 25, 2017, 03:21:09 pm
-
Hallo zusammen,
ich nutze meine OPNsense Appliance nun schon ein paar Tage und habe gemerkt, dass da doch größere Unterschiede in der Hardware Ausstattung Einfluss haben auf die spätere Funktioinalität.
Ich selbst nutze die OPNsense Ghz Small, die direkt von Deciso stammt: https://www.applianceshop.eu/security-appliances/security-appliances-desktop-and-wallmountable/pfsense-based-desktop/opnsense-small-ghz.html
Ich denke, rein von den Spezifikationen her, ist das Gerät durchaus gut, für den Preis von 299€. Was ich bisher schon gemerkt habe (auch durch die Diskussionen hier im Forum) ist, dass man bei einigen Dingen, die man als Neuling in dem Gebiet zuvor nicht bedacht hat, an Grenzen stößt, die etwas "ärgern".
Beispiel Gästenetz: Ich habe mir einen etwas besseren Access Point besorgt, der hat meinen vorherigen Router, der selbst als AP konfiguriert war, ersetzt. Dieser sitzt an einem von zwei LAN Ports. Am zweiten LAN Port sitzt mein Switch. Somit habe ich eine physische Trennung von LAN und WLAN. Würde ich jetzt ein Gästenetz aufstellen wollen, kann ich das zwar durch die Funktionen im Access Point bewerkstelligen, aber einen dritten LAN Port, für einen echten zweiten AP, gibt es schon nicht mehr. Auch ein anderes Gerät an einem dritenn Port, oder evlt. ein zweites LAN Subnetz, ist somit nicht auf dieser Ebene möglich.
Beispiel Caching: Ich habe in dem Gerät eine 8GB SD Karte verbaut, Caching würde rein über eine RAM Disk laufen. Eine SSD kann ich nicht verbauen, aufgrund der Bauert des Gerätes.
Worauf ich hinaus möchte:
Wie zufrieden seid ihr mit euren Firewalls zu Hause? Wie habt ihr entschieden, was sinnvoll für euch ist und vor allem: was genau nutzt ihr zu Hause für Hardware? Sind das Security Appliances, wie meine? Von Cisco, Zyxel, etc.? Oder laufen eure Firewall auf alten Routern oder Reechnern?
Und wie seht ihr den Einsatz solcher Appliances hinsichtlich der wirtschaftlichkeit und des tatsächlichen Nutzens? Oder anders gesagt: Wenn ich jetzt mal nur die "einfachen" Appliances in dem Shop betrachte, aus dem ich meine habe, dann würde ich ja schon direkt statt 299€, 549 € für eine stärkere Appliance mit auch einem LAN Port mehr zahlen und wenn es noch eine mit SSD sein soll, dann sind direkt 649€ fällig.
Klar, es müssen nicht diese dort sein, das sei nur ein Beispiel. Aber generell sind die Appliances ja nicht sehr günstig, Ich überlege aber, bin ich mit meinem Gerät gut aufgestellt? Oder lohnt sich doch noch mal ein Hardware Wechsel? Schließlich möchte ich nicht jedes Jahr eine neue Appliance kaufen und konfigurieren, sondern mit einem Gerät länger glücklich sein.
Gruß
Chris
-
Hi,
es kommt immer darauf an! ;)
So lange man keine IDS/IPS zu Hause nutzen will tut es auch eine recht schwache Hardware für OPNSense problemlos. Dazu muss es m.E. Klein sein und darf keinen hohen Stromverbrauch haben.
Ich nutze zu Hause eine ältere Terra Black Dwarf Firewall-Hardware und habe darauf OPNSense installiert. Daran dann 2 USB-WLAN Sticks und fertig war meine Firewall. Hat mich im Ganzen so 50€ gekostet (35€ für die Terra und ca. 15€ für die Sticks). http://wiki.securepoint.de/index.php/Appliances_Hardware#Terra_Black_Dwarf_UTM.3B_VPN_V1_.28Nur_UTM.2F_EOL.29.2F_V2.2F_V10.2F_MicroNAC
Ich hab das Teil mal getestet (LAN2WAN) und könnte damit locker einen 50Mbit-Anschluss bedienen (Firewall, Proxy). Nur hab ich gerade mal einen 8Mbit-Anschluss zu Hause! Das Teil hat 3 LAN Anschlüsse, wovon ich z.Zt. keinen nutze!
Läuft Alles per WLAN, wobei ich hier real so zwischen 22-25 Mbit schaffe (11g).
Wenn ich jetzt neu kaufen müsste, würde ich wohl eine PC Engines-Hardware kaufen: http://varia-store.com/Hardware/PC-Engines-Bundles/APU-3A4-Bundles:::637_1081_1098.html
Dazu dann noch eine 16 GB mPCI SSD und eine WLAN-Karte. Das sollte für die nächsten Jahre ausreichen, wenn man nicht gerade einen Gbit-Glasfaseranschluss zu Hause hat und IDS/IPS auf der Firewall laufen lassen will.
Die Beschränkung mit den wenigen LAN-Anschlüssen sollte man ja per vLAN umgehen können. Klar, wäre schon schön, für jedes vLAN einen eigenen LAN-Port an der Firewall zu haben, aber irgendwann ist eh immer einer zu wenig. ;) Hab ich selbst schon hier in der Firma gehabt.
Bei den fertigen Appliances schreckt mich als Privatnutzer halt immer irgendwo der Preis! Auch gibt es hier zumeist keine Möglichkeit einen AP direkt auf der Appliance zu betreiben (evtl. per USB), was dann für mich zu Hause auch wieder irgendwo ein Showstopper wäre.
Gruß
Dirk
-
@Monster: Hast du vor auf der APU viel mit LTE zu machen? Ansonsten würde mich wundern, warum du das Alpha Board von pcEngines nutzen möchtest ;) Der einzige Unterschied zur APU2 (die noch lange nicht EOL geht) ist ja der Fakt, dass auf der APU3 Alpha/Test mehr SIM Slots eingebaut wurden um mehrere LTE Modems zu betreiben. Und man hat über einen PCIe Slot nachgedacht, der aber noch nicht implementiert wurde - zumindest m.W. :)
Ansonsten sind die APU2s sicher wohl das was man als günstigste Alternative zu Hause bekommen kann. Ein wenig kleiner und kompakter, dafür aber auch etwas teurer wäre da nur noch eine NCA-1010 von Lanner, die vergleichbar mit der APU2 arbeitet. Deren Nachfolger, die 1020 steht übrigens in den Startlöchern und bringt dann als SOC einen Braswell N3010er Zweikerner mit. Sollte sich dann doch etwas von der APU2/3 abheben können dadurch und ein wenig in die Lücke zu den Atom C2358/C2558 SOCs stoßen.
Ich hatte mir vor ca. 5 Jahren eine Lanner FW-7535 gekauft (viel zu teuer eigentlich aber 6 Intel Interfaces + Rackmount waren ZU verführerisch...) und die wird nun nach der langen Zeit wohl demnächst durch eine 7525 abgelöst - wieder mit 6 NICs und einem Atom C2558 drin. Der dürfte dann auch für Kabelnetze von 400MBit/s aufwärts keine Probleme bekommen :D Etwas übertrieben? Ja, für reinen Home-use schon, allerdings hab ich da tatsächlich auch mal Testnetze, Testsetups und mein eigenes Heimsetup dran, das etwas komplexer aufgebaut ist :) Daher durchaus legitim.
Grüße
Jens
-
@Monster: Hast du vor auf der APU viel mit LTE zu machen? Ansonsten würde mich wundern, warum du das Alpha Board von pcEngines nutzen möchtest ;) Der einzige Unterschied zur APU2 (die noch lange nicht EOL geht) ist ja der Fakt, dass auf der APU3 Alpha/Test mehr SIM Slots eingebaut wurden um mehrere LTE Modems zu betreiben. Und man hat über einen PCIe Slot nachgedacht, der aber noch nicht implementiert wurde - zumindest m.W. :)
Da hab ich nicht genau genug geschaut, als ich den Link gepostet hab :(
Ich meine natürlich die APU2!
-
Ansonsten sind die APU2s sicher wohl das was man als günstigste Alternative zu Hause bekommen kann. Ein wenig kleiner und kompakter, dafür aber auch etwas teurer wäre da nur noch eine NCA-1010 von Lanner, die vergleichbar mit der APU2 arbeitet. Deren Nachfolger, die 1020 steht übrigens in den Startlöchern und bringt dann als SOC einen Braswell N3010er Zweikerner mit. Sollte sich dann doch etwas von der APU2/3 abheben können dadurch und ein wenig in die Lücke zu den Atom C2358/C2558 SOCs stoßen.
Ich hatte mir vor ca. 5 Jahren eine Lanner FW-7535 gekauft (viel zu teuer eigentlich aber 6 Intel Interfaces + Rackmount waren ZU verführerisch...) und die wird nun nach der langen Zeit wohl demnächst durch eine 7525 abgelöst - wieder mit 6 NICs und einem Atom C2558 drin. Der dürfte dann auch für Kabelnetze von 400MBit/s aufwärts keine Probleme bekommen :D Etwas übertrieben? Ja, für reinen Home-use schon, allerdings hab ich da tatsächlich auch mal Testnetze, Testsetups und mein eigenes Heimsetup dran, das etwas komplexer aufgebaut ist :) Daher durchaus legitim.
Gerade mal angeschaut und das 7525 is ja en absolutes Flaggschiff. Wenn Geld keine Rolle spielen würde und man für dieses Monster nicht jemanden für ausrauben müsste (600€ !!!) hätt ich das ohne mit der Wimper zu zucken gekauft, obwohl mich das "x86" und die Tatsache, dass keine SSD verbaut wurde schon etwas stutzig macht...
die NCA-1210 wär hammer mit 4x intel LAN Ports aber kein AES-NI :(:(
(Oder hab ich mich verlesen und das Ding kann Intel® AES-NI?)
NCA-1010 bzw NCA-1020 haben nur 3x intel LAN Ports ..... einer zu wenig :(
Ich möchte den Thread hier nicht klauen, bzw. an mich reißen, aber da ich wie ne0h wahrscheinlich auch an einer Hardware Lösung mit 4 LAN Ports interessiert bin.... kannst du da etwas empfehlen?
Was die Kiste können muss:
- Prozessor und LAN Ports von Intel
- Fanless
- Intel® AES-NI unterstützt
- SSD verbau und nutzbar
- 4x LAN Ports (LAN, WLAN, WAN, DMZ)
Einer ne Idee? :)
-
Moinsen,
zur Frage 'Was nutzt ihr?'
Derzeit ein Zotac Nano CI323 mit 4GB und SD Card (Nano Image). SSD ist geplant, aber ich werde da keine neue reinschrauben, vielmehr wandert meine kleinste SSD (120GB) in die Zotac und eine größere SSD (>250GB) in meinen Hauptrechner.
An der WAN Seite hängt ne KD FritzBox, auf der LAN Seite ein 8 Port CISCO Switch (manageable, derzeit noch ohne VLAN Setup). Daran hängen wiederum 2 Clients, 1 HP ESX Server, ein UbiQuity AP und ein NAS (wird aber in kürze aus dem Setup entfernt und anderweitig ersetzt). OpenVPN Gateway, DynDNS Setup, Transparent Proxy mit ein paar ACL´s und 1 Smartphone mit OpenVPN angebunden.
Ich mach mir gerad einen Kopp ob es Sinn macht ein Gast Netzwerk einzurichten für Mobile Clients auf der OPNsense und zwar aus verschiedenen Gründen:
1. Der AP könnte das von Haus aus, dann würde ich den aber gerne per VLAN separieren
2. Die FritzBox kann das auch von Haus aus und damit wären die Gäste eh vor der OPNsense FW und sogar mit diversen Filtern und Sperren konfigurierbar.
Ja, nice to have Options........
Also, bisher eigentlich alles überschaubar und ohne größere Probleme im Einsatz (siehe meine Postings).
gruss,
Astronach
-
Gerade mal angeschaut und das 7525 is ja en absolutes Flaggschiff. Wenn Geld keine Rolle spielen würde und man für dieses Monster nicht jemanden für ausrauben müsste (600€ !!!) hätt ich das ohne mit der Wimper zu zucken gekauft, obwohl mich das "x86" und die Tatsache, dass keine SSD verbaut wurde schon etwas stutzig macht...
die NCA-1210 wär hammer mit 4x intel LAN Ports aber kein AES-NI :(:(
(Oder hab ich mich verlesen und das Ding kann Intel® AES-NI?)
NCA-1010 bzw NCA-1020 haben nur 3x intel LAN Ports ..... einer zu wenig :(
Ich möchte den Thread hier nicht klauen, bzw. an mich reißen, aber da ich wie ne0h wahrscheinlich auch an einer Hardware Lösung mit 4 LAN Ports interessiert bin.... kannst du da etwas empfehlen?
Was die Kiste können muss:
- Prozessor und LAN Ports von Intel
- Fanless
- Intel® AES-NI unterstützt
- SSD verbau und nutzbar
- 4x LAN Ports (LAN, WLAN, WAN, DMZ)
Einer ne Idee? :)
Aloha :)
1) Die 7525 ist genauso wie alle Lanner erstmal ein Barebone. Was du als RAM und SSD reinsteckst bleibt dir überlassen. Die 7525 gibt es als Scope-7 bspw. mit 80GB Intel SSD und 8GB RAM. Klar ist da eine SSD drin - wir vertreiben das Ding ja auch an unsere Kunden für mittlere/große Office Anbindungen :)
2) Die NCA-1210 ist ein C2000 Atom. Klar hat die AES-NI! Sogar QuickAssist mit drin, auch wenn das momentan noch nirgends eine Geige spielt. Allerdings habe ich von der noch keinen Preis gesehen geschweige denn ob lieferbar, aber sollte es jemand interessieren, könnte ich ja mal nachfragen ;)
3) Ja das Problem mit den 3 Ports... immer einer zu wenig scheint es. Wobei die Kisten trotzdem toll aufgestellt sind. Und von der Verarbeitung her kann man echt nicht meckern - nein keine Schleichwerbung ich durfte mich nur selbst überzeugen. Wer möchte kann sich gern meine Review dazu anschauen.
4) Zu deinen Punkten: Vielleicht doch mal die NCA-1210 anfragen ;) Theoretisch würde ja die C2358er Variante ohne Bypass durchaus reichen, also die -B. Gibt es auch mit einem SATA DOM statt vollständiger SSD.
Grüße
-
Hi,
viele interessante Antworten...
Die Boxen von Dir, Dirk, sind sehr interessant. Wobei ich da keine mit 4 LAN Ports gesehen habe. Aber 4GB RAM, mSATA Unterstützung, etc. sind für den Preis schon ganz ordentlich. Lediglich der Prozessor gibt mir etwas zu denken, wobei ich ja in meiner Box auch einen AMD T40E habe.
Kann ich die Geräte eigentliich genau so in Betrieb nehmen, wie meine jetzige Box? Sprich: SD Kart mit dem OPNsense Image bespielen, ins Gerät einbauen, booten, fertig? Oder müssen da erst irgendwelche speziellen Firmwares aufgespielt werden? Gibt es dazu irgendwelche Berichte hinsichtlich der Kompatibilität von Hardware und Firewall OS?
Die Lanner FW 7525 ist natürlich eine andere Klasse und im Vergleich zu anderen Appliances ist die mit 600$ (bei Amazon) sicherlich auch vertretbar, aber für mich persönlich dann doch wieder zu teuer für den Einsatz zu Hause.
die NCA-1210 wär hammer mit 4x intel LAN Ports aber kein AES-NI :(:(
(Oder hab ich mich verlesen und das Ding kann Intel® AES-NI?)
Die finde ich auch interessant, aber die Kiste hat - unabhängig vom wohl fehlenden AES-NI - nen Lüfter verbaut und scheidet für mich damit auch aus.
Was die Kiste können muss:
- Prozessor und LAN Ports von Intel
- Fanless
- Intel® AES-NI unterstützt
- SSD verbau und nutzbar
- 4x LAN Ports (LAN, WLAN, WAN, DMZ)
Das würde ich im Grunde so unterschreiben.
Die von Dirk verlinkten Boxen, oder speziell dieser hier: http://varia-store.com/Hardware/PC-Engines-Bundles/APU-3A4-Bundles/APU3A4-Embedded-Box-Bundle-1-GHz-4-GB-DDR3-RAM-3x-LAN::29431.html
Gefällt mir sehr gut. AES-NI Unterstützung soll sie wohl haben. Ok, wieder 3 LAN Ports, aber auch Intel (i211AT). Und das ganze Ding für 198€. Finde ich ziemlich gut und habe bisher nichts in der Preisklasse gefunden, das vergleichbar ist.
Kennt dazu noch jemand gute Alternativen?
Gruß
Chris
-
Die Beschränkung mit den wenigen LAN-Anschlüssen sollte man ja per vLAN umgehen können. Klar, wäre schon schön, für jedes vLAN einen eigenen LAN-Port an der Firewall zu haben, aber irgendwann ist eh immer einer zu wenig. ;) Hab ich selbst schon hier in der Firma gehabt.
Dabei muss es doch aber auch irgendwelche negativen Punkte geben, oder? Sonst würde doch jede Hardware mit 3 LAN Ports (WAN, LAN, LAN2/WLAN) ausreichen?
Gruß
Chris
-
Dabei muss es doch aber auch irgendwelche negativen Punkte geben, oder? Sonst würde doch jede Hardware mit 3 LAN Ports (WAN, LAN, LAN2/WLAN) ausreichen?
Klar,
gibt es auch Nachteile.
Die Verwaltung in der Firewall wird komplizierter/unübersichlicher und die vLAN's die auf einem NIC laufen teilen sich natürlich auch die Bandbreite des NIC!
Bei WLAN ist das mit der Bandbreite i.d.R. noch kein reales Problem.
Und die im Heimnetz genutzten Switche müssen natürlich auch vLAN-fähig sein.
-
> Die finde ich auch interessant, aber die Kiste hat - unabhängig vom wohl fehlenden AES-NI - nen Lüfter verbaut und scheidet für mich damit auch aus.
Bitte lesen: das ist ein Atom C2x58, der HAT definitiv AES-NI! :)
> Kennt dazu noch jemand gute Alternativen?
Ja, bitte ebenfalls meinen Post darüber lesen :D Die APU3 ist ein Alpha Gerät für LTE Einsatz mit SIM Karten. Das Board ist sonst identisch mit der APU2C2 bzw. 2C4. Also einfach ein APU2 Bundle nehmen. Die 3er ist Alpha Hardware und momentan nur zum Test für SIM basierende Builds mit LTE/GPRS Modem gedacht.
> Dabei muss es doch aber auch irgendwelche negativen Punkte geben, oder? Sonst würde doch jede Hardware mit 3 LAN Ports (WAN, LAN, LAN2/WLAN) ausreichen?
Tut sie auch. VLAN hat lediglich die Bandbreitenbeschränkung: mehrere VLANs teilen sich physikalisch den gleichen Port. Wenn es aber "nur" um Internet Bereitstellung geht und man da eh nur 100MBit/s hat, ist es kein Thema bis zu 10 VLANs ohne Einbußen auf einem 3. Port zusammenzuführen. Der Switch dahinter muss natürlich VLANs können, das ist klar, aber selbst das ist zwischenzeitlich mit günstigen Switches von TP-Link, HP etc. kein Problem mehr.
Grüße
-
Bitte lesen: das ist ein Atom C2x58, der HAT definitiv AES-NI! :)
Überlesen, Sorry. ;)
Ja, bitte ebenfalls meinen Post darüber lesen :D Die APU3 ist ein Alpha Gerät für LTE Einsatz mit SIM Karten. Das Board ist sonst identisch mit der APU2C2 bzw. 2C4. Also einfach ein APU2 Bundle nehmen. Die 3er ist Alpha Hardware und momentan nur zum Test für SIM basierende Builds mit LTE/GPRS Modem gedacht.
Auch etwas überlesen. :D
Ok. Also z.B. dieses Bundle hier: http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C4-Bundles/APU2C4-Embedded-Box-Bundle-1GHz-4GB-RAM-3x-LAN::29135.html
Wie verhält sich das denn preismäßig und leistungstechnisch im direkten Vergleich zur Lanner NCA-1210 (http://www.lannerinc.com/products/network-appliances/x86-desktop-network-appliances/nca-1210)? Also um wieviel ist die Lanner teurer und ist die in irgendeinem Bereich deutlich performanter bezogen auf ein normales Heimnetz? 4 separate LAN Ports sind mir einen deutlichen Aufschlag nicht wert, zumal das Teil halt nen Lüfter hat und dazu kämen ja noch RAM und SSD, die man sich kaufen muss.
Beim APU2C4 Bundle sind 16GB mSATA mit dabei, wenn ich das richtig verstehe?
Gruß
Chris
-
Beim APU2C4 Bundle sind 16GB mSATA mit dabei, wenn ich das richtig verstehe?
Wenns dabei steht ja ;) Im Normalfall aber schon, korrekt :)
> Wie verhält sich das denn preismäßig und leistungstechnisch im direkten Vergleich zur Lanner NCA-1210
Kann ich die in Bezug auf die 1210 nicht sagen, da die bislang noch nicht im Portfolio ist/war, aber der C2358 bzw. C2558 ist deutlich mächtiger als das, was die APU2/NCA 1010 leisten kann. Nicht vergessen dass beide kleinen Geräte einen Low-Level embedded Chip einsetzen, der C2000 Atom aber ein spezifisch für Netzwerk/Embedded gezüchteter SOC ist, von dem darf man dann auch etwas mehr erwarten :) Und zumindest der 4-Kerner C2558 wuppert bspw. in der FW7525 schonmal 150MBit/s synchron verschlüsselt durch die Gegend ohne zu schwitzen :) Da hätten die Kleinen Kisten dann schon dran zu knabbern...
-
Blöd gefragt:
Wie bespiele ich denn so nen mSATA Speicher? Also boote ich so eine Kiste einfach von einem USB Stick, um die OPNsense Software auf den mSATA Speicher zu installieren? Oder benötige ich dafür einen Adapter?
Kann ich die in Bezug auf die 1210 nicht sagen, da die bislang noch nicht im Portfolio ist/war, aber der C2358 bzw. C2558 ist deutlich mächtiger als das, was die APU2/NCA 1010 leisten kann. Nicht vergessen dass beide kleinen Geräte einen Low-Level embedded Chip einsetzen, der C2000 Atom aber ein spezifisch für Netzwerk/Embedded gezüchteter SOC ist, von dem darf man dann auch etwas mehr erwarten :) Und zumindest der 4-Kerner C2558 wuppert bspw. in der FW7525 schonmal 150MBit/s synchron verschlüsselt durch die Gegend ohne zu schwitzen :) Da hätten die Kleinen Kisten dann schon dran zu knabbern...
Mh, na gut, aber ich muss sagen, auch mein aktueller AMD T40E in meiner Appliance scheint sich eher zu langweilen, ich haue da jetzt bisher keine gewaltigen Mengen an verschlüsseltem Traffic durch. Ich frage mich halt, wie viel Sinn das macht, zumal ich keine Preise für die Lanner 1210 Kiste finde online? Und die Kosten für RAM und SSD kommen ja noch drauf. ;)
Generell noch ähnlich ausgestattete Geräte zum Vergleich? ;) Ich finde das Bundle bisher als Gesamtpaket am attraktivsten.
Gruß
Chris
-
Aloha,
Wie bespiele ich denn so nen mSATA Speicher? Also boote ich so eine Kiste einfach von einem USB Stick, um die OPNsense Software auf den mSATA Speicher zu installieren?
Genau. mSATA ist nur ein Laufwerk mit SATA Schnittstelle das über einen speziellen miniPCIe Bus angebunden ist. Verhält sich und installiert sich genauso wie eine normale SSD/HDD.
Generell noch ähnlich ausgestattete Geräte zum Vergleich? ;) Ich finde das Bundle bisher als Gesamtpaket am attraktivsten.
Hatte ich ja bereits gemeint: In dem Preissegment bis ~200€ wirst du nichts finden, was an die APU2 rankommt (leider - wäre schön Alternativen zu haben). Bei Firmen könnte dann die 1010 und andere wieder interessant werden, was Garantieerweiterungen, next-business-day replacement usw. angeht. :)
-
Genau. mSATA ist nur ein Laufwerk mit SATA Schnittstelle das über einen speziellen miniPCIe Bus angebunden ist. Verhält sich und installiert sich genauso wie eine normale SSD/HDD.
Ok. Bei der Box entfallen auch irgendwelche vorherigen BIOS Installationen usw. richtig? Da ist ein Bootloader vorinstalliert mit dem ich direkt von einem USB Stick OPNsense installieren kann.
Hatte ich ja bereits gemeint: In dem Preissegment bis ~200€ wirst du nichts finden, was an die APU2 rankommt (leider - wäre schön Alternativen zu haben). Bei Firmen könnte dann die 1010 und andere wieder interessant werden, was Garantieerweiterungen, next-business-day replacement usw. angeht. :)
Vielleicht habe ich meine Anforderungen ein wenig ungenau formuliert. ;)
Rein technisch gesehen, waren die Punkte , die Oxygen in seinem Beitrag gepostet hatte, ziemlich genau das, was ich ebenfalls suche.
Wobei sich hier eben für mich daraus ergibt, dass ich Kompromisse eingehe, wenn es einfach nicht genau das gibt, was ich mir vorstelle. Beispiel NIC: Ich fände 4 LAN Ports perfekt, wenns dabei noch Intel NIC sind, noch besser. Wenn ich das in der Gerätekonfiguration nicht finde, dann ist das hinnehmbar. Dann sind auch weiterhin 3 LAN Ports Ok, dann werden Netze halt per vLAN getrennt und nicht physisch.
Wenn ich die APU2C4 mit meiner jetzigen Appliance vergleiche, ist es für mich persönlich ein Grund, mir eine Appliance wie die APU2C4 zuzulegen, da die Spezifikationen zum großen Teil meine Anforderungen decken. Meine jetzige Appliance hatte ich damals eher blind gekauft (seitdem ist ja auch einige Zeit vergangen), schlecht ist sie deswegen aber auch nicht. Allerdings ist die APU in den meisten Belangen technisch besser und zudem in einem Preissegment, in dem ich direkt zuschlagen würde.
Mimr gehts darum, jetzt ein Gerät zu kaufen, mit dem ich zumindest 1-2 Jahre zufrieden bin. Dann wird sich, allein durch den Betrieb des Gerätes und den Spielereien damit, zeigen, ob es dann zur nächsten Stufe geht und ich mir dann halt wieder eine neue Hwardware zulege oder nicht.
Die ca. 200€ sind für mich auch keine endgültige Grenze. ;) Wenn es irgendein Gerät gibt, das vergleichbar mit der APU ist, aber dann halt doch noch nen LAN Port mehr hat und vielleicht auch noch etwas mehr Speicher oder nen besseren Prozessor, dann gebe ich dafür auch 250€ oder 270€ oder vielleicht auch 300€ aus. Es sollen halt Ressourcen da sein, um auch mal etwas "mehr" zu machen, also um VPN mit vernünftigem Durchsatz zu erzielen, um nen transparenten Caching und Webfilter Proxy laufen zu lassen, usw. Keine ungalublich hohen Anforderungen, aber trotz allem performant genug, um nicht in paar Monaten an die Grenzen zu stoßen.
Wenn da also bei höherem Preis etwas dabei ist, das vergleichbar wäre, dann freue ich mich über Vorschläge. :)
Gruß
Chris
-
Hey hey,
ich muss an der Stelle nochmal der Spielverderber sein und nochmal was klar stellen bezüglich VLANs, weil ich vorhin gelesen hatte dass es da keinen (?) Unterschied zu einer physischen NIC gibt.
Das ist grundlegend falsch, weshalb ich da nochmal nachhake.
VLANs trennen immer auf "logischer Ebene", währenddessen NICs auf "physischer Ebene" die Pakete trennen.
Der Einsatz von VLANs ist grundsätzlich nicht falsch oder unsicher (ganz im Gegenteil, es ist sogar gängige Praxis viele VLANs in Firmen aufzuziehen). Jedoch muss einem bewusst sein, dass es auf Layer-2 viele Angriffsmethoden gibt, die einzig und allein davon abhängig sind, ob notwendige Security Features bei dem Switch angewendet wurden oder eben nicht. Ist man sich dessen bewusst und nutzt einen ordentlich konfigurierten Switch ist alles i.O. Trotzdem würde ich "offensichtliche" Trennungen (WLAN/Gästenetz/LAN/DMZ/WAN/Testumgebung) nicht durch VLANs trennen, wenn es denn anders geht.
Hierfür kann ich euch nur die beiden Links hier ans Herz legen zum nachlesen:
https://security.stackexchange.com/questions/1551/why-do-people-tell-me-not-to-use-vlans-for-security
https://www.redscan.com/news/ten-top-threats-to-vlan-security/
________________________________
1) Die 7525 ist genauso wie alle Lanner erstmal ein Barebone. Was du als RAM und SSD reinsteckst bleibt dir überlassen. Die 7525 gibt es als Scope-7 bspw. mit 80GB Intel SSD und 8GB RAM. Klar ist da eine SSD drin - wir vertreiben das Ding ja auch an unsere Kunden für mittlere/große Office Anbindungen :)
@JeGr ich tendiere mittlerweile wirklich zu dem 7525. Grade als ich mich heute auch nochmal hinsetzte und meinen Netzplan anschaute, wurde mir bewusst, dass ich wohl so oder so tief in die Tasche greifen muss....
(Site-to-site VPN, OpenVPN Gateway am WAN, Proxy, Gästenetz, 1xNAS, VoIP Telefon, IP TV, DMZ mit IP-Kameras, 2 VLAN fähige Switche.... usw. Damn it... )
Ich konnte aber nichts zum Bestellen/Kaufen finden? Soll ich mich in dem Fall einfach direkt über "Contact" bei euch melden wenn es soweit ist? Hast du für die Kiste auch mal ne Review geschrieben? Würde ich mir gern mal durchlesen. :)
@ne0h ich glaube der NCA-1210 wär für das Heimnetz ganz ausreichend, grade weil er ja anscheinend doch AES-NI kann, was Grundvoraussetzung sein sollte, sobald du irgendwas verschlüsselt übertragen möchtest.
Wegen dem Lüfter steht hier folgendes: "Supports smart fan control".
Meine Vermutung: Ich gehe mal davon aus, dass er dadurch abhängig von der Auslastung entweder den Lüfter anschmeißt oder eben nich.
(Kennt man ja bereits von Grafikkarten und Gehäuse Lüftern in einem Desktop PC.
Dort fängt der Lüfter erst an zu arbeiten, wenn er es für nötig erachtet.)
-
@ne0h
Ok. Bei der Box entfallen auch irgendwelche vorherigen BIOS Installationen usw. richtig? Da ist ein Bootloader vorinstalliert mit dem ich direkt von einem USB Stick OPNsense installieren kann.
Was heißt entfällt BIOS Installation. Die Kiste verhält sich wie ein normaler x64 PC. BIOS bootet, da kannst du auch rein und ggf. noch was einstellen, per default wird aber der USB Stick vor der integrierten mSATA erkannt und gebootet.
Mimr gehts darum, jetzt ein Gerät zu kaufen, mit dem ich zumindest 1-2 Jahre zufrieden bin. Dann wird sich, allein durch den Betrieb des Gerätes und den Spielereien damit, zeigen, ob es dann zur nächsten Stufe geht und ich mir dann halt wieder eine neue Hwardware zulege oder nicht.
1-2 Jahre wirst du - solange du nicht innerhalb der Zeit auf Leitungsgrößen >200MBit/s aufrüstest - locker klar kommen. Auch mit IDS o.ä. wird das gehen, wobei diese Tools allerdings eh immer "je größer je besser" rufen :) Mehr RAM und CPU sind bei sowas immer toll, aber es muss auch preislich im Rahmen bleiben, gerade für zu Hause und mit WAF :D
@Oxygen
@JeGr ich tendiere mittlerweile wirklich zu dem 7525. Grade als ich mich heute auch nochmal hinsetzte und meinen Netzplan anschaute, wurde mir bewusst, dass ich wohl so oder so tief in die Tasche greifen muss....
(Site-to-site VPN, OpenVPN Gateway am WAN, Proxy, Gästenetz, 1xNAS, VoIP Telefon, IP TV, DMZ mit IP-Kameras, 2 VLAN fähige Switche.... usw. Damn it... )
Ich wollte niemand bekehren ;) Und bevor das hier ggf. auch anfängt: Nur weil ich mal hier und da auf Lanner hinweise oder empfehle habe ich - außer dass sie einer unserer Distributoren in der Firma sind - privat oder persönlich mit ihnen nix zu tun und bekomme auch keine Provision o.ä. :) Nachdem ich an anderer Stelle schonmal böse dafür abgewatscht worden bin, deshalb nochmal in aller Deutlichkeit. Ich empfehle sie nur, weil ich persönlich jetzt schon Jahre an extrem guten Erfahrungen mit Lanner und dem Distri habe und - leider - mit anderen Sachen wie APUs auch schonmal einige Fehlgriffe.
Ich konnte aber nichts zum Bestellen/Kaufen finden? Soll ich mich in dem Fall einfach direkt über "Contact" bei euch melden wenn es soweit ist? Hast du für die Kiste auch mal ne Review geschrieben? Würde ich mir gern mal durchlesen. :)
Wer ist denn "bei euch"? Wie gesagt, ich bin nicht Lanner oder Landitec :) Aber wenn du als Firma, Freelancer oder Privat eine Kiste brauchst, kann ich dir da ggf. auch gern weiterhelfen soweit gewünscht. ;)
ich muss an der Stelle nochmal der Spielverderber sein und nochmal was klar stellen bezüglich VLANs, weil ich vorhin gelesen hatte dass es da keinen (?) Unterschied zu einer physischen NIC gibt.
Das ist grundlegend falsch, weshalb ich da nochmal nachhake.
Vielleicht habe ich etwas überlesen, aber keinen Unterschied ist natürlich nicht richtig. "Keinen" Unterschied lediglich in dem Sinn, dass ein VLAN auf der *sense wie ein normales Interface zu behandeln ist, mit eigenem virtuellen Interface, eigenen Regeln etc. etc.
Natürlich ist ein VLAN nicht das Gleiche wie ein echtes Interface.
VLANs trennen immer auf "logischer Ebene", währenddessen NICs auf "physischer Ebene" die Pakete trennen.
Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.
Trotzdem würde ich "offensichtliche" Trennungen (WLAN/Gästenetz/LAN/DMZ/WAN/Testumgebung) nicht durch VLANs trennen, wenn es denn anders geht.
Gerade aus Gründen wie dem obigen (zusätzliche Hardware etc.) und den - doch oft recht theoretischen - Angriffsmethoden auf VLANs, die noch dazu sehr häufig Zugriff auf Switch oder Konfiguration von Ports benötigen, die per default auch kaum ein Gerät inzwischen konfiguriert hat, sehe ich das als eher nachrangiges Problem an. Vor allem wenn hier eines bedacht wird:
WLAN, Gästenetz, LAN etc. heißt: eine Person IST bereit physikalisch in meiner Einflußsphäre anwesend. Wenn sie eh bereits physikalischen Zugriff auf mein Netz HAT (weil anwesend) kann JEDER auch noch entsprechend mehr Chaos anrichten, als es theoretisch mit irgendwelchen VLAN Springereien möglich wäre. Auch Testumgebung vs. Live, etc. ist in diesem Muster. Wenn meine Mitarbeiter statt zu testen im Testnetz und produktiven Umgang im Livenetz die Zeit damit verschwenden, VLAN Attacken gegen sich selbst zu fahren, läuft was schief.
Die ganzen VLAN Angriffe sind ja hauptsächlich dann gefährlich, wenn ich - bspw. als Service Provider - Zugriff auf Systeme gebe, die per VLAN abgeschottet sind und dann von diesen Systemen aus ein VLAN Hopping möglich wäre mit den Bordmitteln dieses Geräts. Und genau da kommen sehr viele wenns und danns zusammen, die gegeben sein müssen. Für einen großen Hoster z.B. mag das ein durchaus existentes Phänomen sein, über dass er sich Gedanken machen sollte und muss. Für eine Trennung in einer Firma, wo nur eigenes Personal tätig ist, halte ich das für schlichtweg überzogen.
Das ist ja auch im Grundprinzip im ersten Beitrag auf Stackexchange so beantwortet, dass das Hopping teils theoretisch ist bzw. Dinge voraussetzt, die eigentlich eh nie gegeben sein sollten bzw. konfiguriert sein dürfen. Schön im zweiten Beitrag noch erwähnt, was ich auch immer wieder sage wenn es um VLANs geht: Vermeidet VLAN 1 irgendwo produktiv zu nutzen. Wenn VLANs dann bitte >1. Die anderen Punkte mögen Probleme sein, aber z.B. 5-10 sind sehr protokoll- bzw. produktspezifisch.
Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!
-
@JeGr
Genau deswegen lese ich Deine Beiträge sehr gern!
Bezüglich vLAN denke ich genau so! Und gerade beim privaten Einsatz einer FW sollte man sich m.E. über ganz andere Dinge Gedanken machen wie über die Sicherheit von vLAN's!
-
@ne0h ich glaube der NCA-1210 wär für das Heimnetz ganz ausreichend, grade weil er ja anscheinend doch AES-NI kann, was Grundvoraussetzung sein sollte, sobald du irgendwas verschlüsselt übertragen möchtest.
Wegen dem Lüfter steht hier folgendes: "Supports smart fan control".
Meine Vermutung: Ich gehe mal davon aus, dass er dadurch abhängig von der Auslastung entweder den Lüfter anschmeißt oder eben nich.
(Kennt man ja bereits von Grafikkarten und Gehäuse Lüftern in einem Desktop PC.
Dort fängt der Lüfter erst an zu arbeiten, wenn er es für nötig erachtet.)
Wenn ich denn mal irgendwo einen Vergleichpreis dafür finden würde, könnte ich das Gerät auch deutlich besser bewerten. ;) Wer kann/darf denn dazu Preise rausgeben?
Was heißt entfällt BIOS Installation. Die Kiste verhält sich wie ein normaler x64 PC. BIOS bootet, da kannst du auch rein und ggf. noch was einstellen, per default wird aber der USB Stick vor der integrierten mSATA erkannt und gebootet.
Alles klar. :)
1-2 Jahre wirst du - solange du nicht innerhalb der Zeit auf Leitungsgrößen >200MBit/s aufrüstest - locker klar kommen. Auch mit IDS o.ä. wird das gehen, wobei diese Tools allerdings eh immer "je größer je besser" rufen :) Mehr RAM und CPU sind bei sowas immer toll, aber es muss auch preislich im Rahmen bleiben, gerade für zu Hause und mit WAF :D
Hmm.... Nochmal einfacher erklärt für mich: Sprichst Du gerade von Netzanbindungen zu Hause (Glasfaser, Kabel, etc.)? Denn ich sitze hier hinter einem 400Mbit Kabel Anschluss. ^^ Falls ja, stellt sich mir eher die Frage, wo denn da innerhalb der Box der Flaschenhals zu suchen ist, bezüglich der Bandbreite?
Per LAN Kabel direkt an meiner Appliance angeschlossen konnte ich schon das eine oder andere Mal tatsächlich knapp 400Mbit messen, wobei das natürlich von so vielen Faktoren abhängt (Tageszeit und Netzauslastung, Netzwerkkarte meines Rechners, Wahrheitsgehalt des Speedtests, etc.) dass ich mich darauf niemals wirklich verlassen würde. Und natürlich muss die Gegenstelle auch immer solche Geschwindigkeiten zulassen, was ja auch nicht oft der Fall ist (hinsichtlich großer Downloads z.B.).
Also wo genau siehst du da die technischen Limitierungen, die mir den Spaß verderben würden?
Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!
Ja, ich finde es auch schön zu sehen, wie aktiv hier diskutiert wird. Und das bringt ja genau die Erkenntnisse und Lerneffekte mit sich.
Und gerade beim privaten Einsatz einer FW sollte man sich m.E. über ganz andere Dinge Gedanken machen wie über die Sicherheit von vLAN's!
Was speziell meinst Du? Die Firewall Regeln an sich? Oder andere Sachen?
Gruß
Chris
-
Ich wollte niemand bekehren ;) Und bevor das hier ggf. auch anfängt: Nur weil ich mal hier und da auf Lanner hinweise oder empfehle habe ich - außer dass sie einer unserer Distributoren in der Firma sind - privat oder persönlich mit ihnen nix zu tun und bekomme auch keine Provision o.ä. :) Nachdem ich an anderer Stelle schonmal böse dafür abgewatscht worden bin, deshalb nochmal in aller Deutlichkeit. Ich empfehle sie nur, weil ich persönlich jetzt schon Jahre an extrem guten Erfahrungen mit Lanner und dem Distri habe und - leider - mit anderen Sachen wie APUs auch schonmal einige Fehlgriffe.
Das ist natürlich auch ne Lösung. Die Schuld von einem selber abwenden, noch bevor man überhaupt auch nur irgendwie von jemanden etwas negatives zu hören bekommen hat.
Das ist doch jedem selber freigestellt, wie er mit der Empfehlung umgeht die er von dir bekommt.
Mein Sinneswechsel, war vollkommen unabhängig von deiner Überzeugung oder deinem Vorschlag. :)
Ich hatte die Kiste halt einfach mal gegoogled und hab gerade in den pfSense Beiträgen nur gutes über Lanner lesen können und über die 7525.
Da ich mir die Möglichkeit der Erweiterung meines Netzes frei halten wollte
und eben nich in 3 Jahren wieder neue Hardware kaufen will passt mir die 7525 doch besser als zuerst gedacht. :)
(Hier an der Stelle nochmal betont, ich kannte Lanner vorher nicht und hatte vorher keine Hardware Lösung die mich wirklich überzeugte... APU2 oder so eine andere Kiste mit 4 Ports, aber ohne AES-NI, nichts halbes und nichts ganzes. War deshalb froh für Alternativen :))
Ich weiß du wolltest dich nur von der Firma distanzieren,
aber so kam es halt leider Gottes nicht bei mir an bei deinen ersten Postings.
Falls du dich von mir mit Lanner in einen Topf geworfen fühltest, dann tut es mir leid.
Kommt nich wieder vor, versprochen! ;)
[...]Aber wenn du als Firma, Freelancer oder Privat eine Kiste brauchst, kann ich dir da ggf. auch gern weiterhelfen soweit gewünscht. ;)
Das wär super Nett von dir oder zu mindestens irgendjemanden zum Anschreiben,
wenn ich dann in ~2 Monaten die Hardware bräuchte. :)
Vielleicht habe ich etwas überlesen, aber keinen Unterschied ist natürlich nicht richtig. "Keinen" Unterschied lediglich in dem Sinn, dass ein VLAN auf der *sense wie ein normales Interface zu behandeln ist, mit eigenem virtuellen Interface, eigenen Regeln etc. etc.
Natürlich ist ein VLAN nicht das Gleiche wie ein echtes Interface.
Genau. Vielleicht hatte ich mich da auch verlesen, war schon spät :(
Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.
Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?
Ich trenne doch nicht per Interfaces in WLAN und LAN und stöpsel beide dann wieder an einen Switch?
Übersehe ich da grade was? :D Ich bitte um Aufklärung :)
Das ist ja auch im Grundprinzip im ersten Beitrag auf Stackexchange so beantwortet, dass das Hopping teils theoretisch ist bzw. Dinge voraussetzt, die eigentlich eh nie gegeben sein sollten bzw. konfiguriert sein dürfen. Schön im zweiten Beitrag noch erwähnt, was ich auch immer wieder sage wenn es um VLANs geht: Vermeidet VLAN 1 irgendwo produktiv zu nutzen. Wenn VLANs dann bitte >1. Die anderen Punkte mögen Probleme sein, aber z.B. 5-10 sind sehr protokoll- bzw. produktspezifisch.
"die eigentlich eh nie gegeben sein sollten".... lol :P
Einen in sich sicheren Switch den man per Plug and Play in sein Netz integriert, gibt es leider nicht.
Heutzutage muss alles einfach und schnell gehen und dann wird das "eigentlich" dann doch eher zu einem "oh, das hätte ich einstellen müssen?".
Man kann nich an alles denken. Man muss aber wissen, wonach man suchen muss,
wenn man dann vor der Frage der richtigen Switch Konfiguration steht. :)
Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!
Ich glaube das rundet alles perfekt ab. :) Mir fehlt leider das Praxiswissen für große VLAN Umgebungen bei Dienstleistern. Deshalb kann ich schwer einschätzen, was ein "akutes Problem" ist und was eben nicht.
Deswegen vielen Dank für den Einblick in dieses doch sehr komplexe Thema. :)
Schöne Grüße
Oxy
-
@ne0h
Hmm.... Nochmal einfacher erklärt für mich: Sprichst Du gerade von Netzanbindungen zu Hause (Glasfaser, Kabel, etc.)? Denn ich sitze hier hinter einem 400Mbit Kabel Anschluss. ^^ Falls ja, stellt sich mir eher die Frage, wo denn da innerhalb der Box der Flaschenhals zu suchen ist, bezüglich der Bandbreite?
Von der Anbindung, wo du das Gerät nutzen möchtest. Und da ist ja ggf. nicht nur up- sondern auch downstream relevant. Flaschenhals ist da weniger die Box, als mehr der Crypto-Part der eben CPU-lastig ist. Auch AES-NI kann da nur entlasten, aber selbst mit wird eine APU eben bei ~150MBit/s die Fühler strecken. Aber solang du nicht 400MBit/s vollverschlüsseln willst, sollte das kein Problem darstellen. Es gibt aber auch Leute die eben alles verschlüsseln und nur noch so online gehen. Dafür wärs dann knapp.
Also wo genau siehst du da die technischen Limitierungen, die mir den Spaß verderben würden?
Wenn du Vollverschlüsseln würdest - also volle Leistung haben willst - oder wenn du auf die 400MBit/s heftige Regelsets mit pfBlockerNG bspw. oder auch Surricata/Snort los lässt. Dann könnte es vielleicht(!) etwas eng werden. Bei Crypto definitiv. 350MBit/s aufwärts zu verschlüsseln, da braucht es ggf. nen C2558 oder C2758 von der Leistung her.
Was speziell meinst Du? Die Firewall Regeln an sich? Oder andere Sachen?
Gerade Dinge wie Netzplanung, Compartmentalizing, WiFi Bridges, powerLAN etc. bringen alle für sich Überlegungen mit, die getroffen werden müssen und die ggf. sicherheitsrelevant sind.
Grüße
Jens
-
@Oxygen
:o Der Übersicht halber hier mal ein eigenes Post dazu :)
Das ist natürlich auch ne Lösung. Die Schuld von einem selber abwenden, noch bevor man überhaupt auch nur irgendwie von jemanden etwas negatives zu hören bekommen hat.
...
Ich weiß du wolltest dich nur von der Firma distanzieren, aber so kam es halt leider Gottes nicht bei mir an bei deinen ersten Postings.
Falls du dich von mir mit Lanner in einen Topf geworfen fühltest, dann tut es mir leid. Kommt nich wieder vor, versprochen! ;)
OK in Kurzfassung: Ich wurde u.a. durch Empfehlungen bzw. Vorschläge, eine Lanner Kiste einzusetzen von zwei (später einem) anderen Forenschrieben im anderen bekannten Forum massiv angegriffen.
Begründung: Ich wäre als Mod nicht objektiv, würde massiv (?) Werbung für Lanner und nicht für pfSense' eigene Kisten machen und wäre doch bezahlter "Schreibdepp" und "Frontschwein" für Lanner/Landitec.
Da ich in Foren - sowohl hier als auch als Mod im anderen Forum - als Privatperson unterwegs bin und es mit etwas Nachfragen recht einfach möglich ist, herauszufinden, dass ich weder für den einen noch den anderen Laden arbeite, sondern bei einer Firma die eben u.a. pfSense Partner ist, ging mir das gelinde gesagt ziemlich aufs Schwein.
Und um da gar keine Unklarheiten aufkommen zu lassen, dachte ich ich mache es dieses Mal gleich klar, dass ich mit Lanner/Landitec weder verwandt noch verschwägert noch angestellt bin ;) Ich habe allerdings das Glück gehabt, dort offene Ohren für egal welches *Sense Projekt und andere Software zu finden, so dass mir auch vergönnt war, für die Foren bspw. eine NCA-1010B kurz nach Release zu testen.
Evtl. werde ich das mit der kommenden 1020 wieder dürfen und auch gern die Leute an meiner (durchaus subjektiven) Meinung daran Teil nehmen zu lassen. Auch wird es ggf. ein Teardown der FW-7525 in den nächsten Wochen geben, in Schrift- und ggf. Video- oder Streamform. Auch das lediglich mit gutem Willen und unbezahlt, ich bekomme lediglich die Hardware gestellt (die 1010B ging danach zurück bzw. wurde an einen Kunden verkauft).
Das lernt man aber einfach im Umgang auch mit US Unternehmen, dass man einfach einen "Disclaimer" braucht, der viele andere - vielleicht auch dich - gar nicht jucken würde :) Deshalb auch der Satz mit "wollte nicht bekehren" eher Augenzwinkernd ;)
Das wär super Nett von dir oder zu mindestens irgendjemanden zum Anschreiben,
wenn ich dann in ~2 Monaten die Hardware bräuchte. :)
Kannst du bei Interesse und Wunsch gerne tun, ggf. Mail oder PN schicken, dann schreibe ich dir dazu gern brav von der Firma aus ein Angebot :)
Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?
Echt? Also ich kenne einige Privatmenschen, die sich eben einen Switch wie nen 24er TP-Link mit VLAN hinstellen und darüber (und mit einer *sense) dann eben VLANs nutzen. Ein Switch pro LAN kenn ich eher selten.
Zudem ist mitunter die Infrastruktur daran mit Schuld. Denn nicht überall lässt sich dann gut Kabel verlegen und für eigene Switche noch extra Kabel legen etc. Da nutzt man dann einfach was man hat. Also nö, selbst Privat kenn ich das eher selten :) Zudem wäre der Verkabelungsaufwand und Komplexität höher, würden ja ggf. 2-3 Switche rumliegen nur um LAN, WLAN und ggf. Gäste zu trennen.
Was durchaus gemacht wird: LAN1 und LAN2 (getrennte LANs mit VLAN Tag) auf einzelne Ports legen und dann beide an den Switch rauf. Damit kann man dann auch 2x Linespeed 1Gbps nutzen, gerade wenn man bpsw. in LAN2 den Storage hinpackt und in LAN1 nen Server/heavy User hat, der möglichst schnell Daten kopieren muss. Dann möchtest du natürlich mit einem Trunk Port mit 2 VLANs drauf deinen Linespeed nicht halbieren. Dann trennt man es gern auf mehrere Interfaces auf.
Man kann nich an alles denken. Man muss aber wissen, wonach man suchen muss,
Durchaus richtig :) Allerdings sind einige genannten Szenarien Herstellerspezifisch (CDP etc.) bzw. in kleineren Switchen mit VLAN gar nicht implementiert. Somit auch kein Problem.
Und physikalische Sicherheit toppt da trotzdem noch theoretisches VLAN Hopping ;)
Deswegen vielen Dank für den Einblick in dieses doch sehr komplexe Thema. :)
Sehr gern. Da mein Brötchengeber u.a. selbst Cloud Hoster ist (das große Standbein, Netzwerk/Security das andere) bin ich da direkt mit konfrontiert. Und selbst dann geht es an der Stelle auf die Rechnung herunter: Das geht nur/meist nur, wenn der Angreifer Kunde von dir ist (oder der Server komplett übernommen werden würde). Und ein Kunde würde sich ja nicht die eigene Umgebung torpedieren (außer er ist dafür Kunde geworden, das ist aber ne wirklich böse Story dann).
So hoffentlich nicht zu viel abgeschweift. :)
Grüße
Jens
-
Hi,
Ok, also geht es im Prinzip um Hardware Crypto bei VPN.
Da ich das momentan nur in sehr seltenen Fällen privat nutze und eher Mal fürs Homeoffice, ist das nicht zwingend der wichtigste Punkt für mich, wenn es um eine Entscheidung geht. ;)
Für diesen Anwendungsfall reicht mir also aktuell auch meine Kiste prinzipiell. Und die AES-NI der APU würde da ja schon deutlich was bringen.
Also bleibt da grade noch meine Frage im Raum stehen:
Was kostet denn die Lanner 1210 ? ;)
Gruss
Chris
Gesendet von meinem Nexus 6P mit Tapatalk
-
Also bleibt da grade noch meine Frage im Raum stehen:
Was kostet denn die Lanner 1210 ? ;)
Ich frag die gerade mal an, jetzt interessiert es mich selber. :)
-
Begründung: Ich wäre als Mod nicht objektiv, würde massiv (?) Werbung für Lanner und nicht für pfSense' eigene Kisten machen und wäre doch bezahlter "Schreibdepp" und "Frontschwein" für Lanner/Landitec.
Da ich in Foren - sowohl hier als auch als Mod im anderen Forum - als Privatperson unterwegs bin und es mit etwas Nachfragen recht einfach möglich ist, herauszufinden, dass ich weder für den einen noch den anderen Laden arbeite, sondern bei einer Firma die eben u.a. pfSense Partner ist, ging mir das gelinde gesagt ziemlich aufs Schwein.
Arme Sau... (Sorry konnte ich mir nich verkneifen :P)
Aber mal Spaß beiseite.... ich versteh da beide Seiten, deshalb darf man sich niemals von nur einer Person etwas "empfehlen" lassen. Entweder man hat die Chance das Gerät zu testen oder man sucht sich halt weitere Quellen. Habe aber nur gutes gelesen über die Desktop Lanner Hardware. Die Anforderungen stimmen für mich.. also.. ::)
Auch wird es ggf. ein Teardown der FW-7525 in den nächsten Wochen geben, in Schrift- und ggf. Video- oder Streamform. Auch das lediglich mit gutem Willen und unbezahlt, ich bekomme lediglich die Hardware gestellt (die 1010B ging danach zurück bzw. wurde an einen Kunden verkauft).
Perfekt, das klingt doch super! Sag bescheid wenn es dann was zu sehen/lesen gibt. :)
Das lernt man aber einfach im Umgang auch mit US Unternehmen, dass man einfach einen "Disclaimer" braucht, der viele andere - vielleicht auch dich - gar nicht jucken würde :) Deshalb auch der Satz mit "wollte nicht bekehren" eher Augenzwinkernd ;)
Ja, naja is doch okay. Ich bin offen für neues. Die Wahrheit kriegt man dann eh raus wenn man bohrt und sucht.
Von daher, wer nicht offen für neues ist bleibt stehen, besonders in der IT. :)
Kannst du bei Interesse und Wunsch gerne tun, ggf. Mail oder PN schicken, dann schreibe ich dir dazu gern brav von der Firma aus ein Angebot :)
Supi, dann schreib ich mir das gleich mal auf und meld mich in gut ~2 Monaten nochmal bei dir, wenn ich das Geld habe und die Zeit und keinen Stress... man kennt das ja. (Klingt wie bei ner Erpressung. :o ;D)
Echt? Also ich kenne einige Privatmenschen, die sich eben einen Switch wie nen 24er TP-Link mit VLAN hinstellen und darüber (und mit einer *sense) dann eben VLANs nutzen. Ein Switch pro LAN kenn ich eher selten.
Zudem ist mitunter die Infrastruktur daran mit Schuld. Denn nicht überall lässt sich dann gut Kabel verlegen und für eigene Switche noch extra Kabel legen etc. Da nutzt man dann einfach was man hat. Also nö, selbst Privat kenn ich das eher selten :) Zudem wäre der Verkabelungsaufwand und Komplexität höher, würden ja ggf. 2-3 Switche rumliegen nur um LAN, WLAN und ggf. Gäste zu trennen.
Okay... da bin ich dann in der Hinsicht wohl einfach sehr verwöhnt und hab verallgemeinert.
Die Leute die ich gefragt hatte und kenne haben größtenteils ein Haus und leben nicht in einer WG/Mietswohnung, etc.
In der Hinsicht kann ich mir gut vorstellen, dass man da sehr eingeschränkt ist, wenn nicht viel Spielraum für neues "Spielzeug" zur Verfügung hat.
Switch für LAN, Switch für WLAN und ein Switch für Gäste oder ein Switch für Geräte in der DMZ....
ich meine.. wer kann der kann. Muss ja auch nicht alles von heut auf morgen umgebaut werden.
Kann man ja Schritt für Schritt planen und umsetzen. :)
Was durchaus gemacht wird: LAN1 und LAN2 (getrennte LANs mit VLAN Tag) auf einzelne Ports legen und dann beide an den Switch rauf. Damit kann man dann auch 2x Linespeed 1Gbps nutzen, gerade wenn man bpsw. in LAN2 den Storage hinpackt und in LAN1 nen Server/heavy User hat, der möglichst schnell Daten kopieren muss. Dann möchtest du natürlich mit einem Trunk Port mit 2 VLANs drauf deinen Linespeed nicht halbieren. Dann trennt man es gern auf mehrere Interfaces auf.
Stimmt, das wär natürlich auch noch eine Idee, falls man so oder so schon einen Switch rumzustehen hat.
Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch
(https://www.mindfactory.de/product_info.php/Netgear-ProSAFE-Plus-GS108Ev3-8x-10-100-1000-Mbit-Desktop-Switch_978450.html)
Der is nich so teuer... kann alles was ich brauche... sogar PoE und VLANs und isn 1000mbit/s Switch.
Wenn ich mir davon 2-3 hole über 2 Monate verteilt, brech ich mir kein Bein ab dabei und kann das umsetzen was ich mir im Kopf vorgestellt hatte.
(Der Konfigurationsaufwand steigt dadurch natürlich immens (mehrere VLANs... das ist mir bewusst.
Aber man hat ja sonst nichts zu tun :P)
physikalische Sicherheit toppt da trotzdem noch theoretisches VLAN Hopping ;)
Richtig. Das sowieso.... aber man muss ja auf alles gefasst sein, Paranoia sei dank. :)
Schönes Wochenende euch allen
Oxy
-
Arme Sau... (Sorry konnte ich mir nich verkneifen :P)
Nö wird aber einfach irgendwann lächerlich sowas immer wieder zu lesen. :)
Perfekt, das klingt doch super! Sag bescheid wenn es dann was zu sehen/lesen gibt. :)
Momentan noch etwas unklar, aber es gab letztes Jahr schon einmal nen kleinen Livestream zum Thema "DIY eigener Home-Router/Firewall mit pfSense" und da werde ich wohl dank Leihstellung der 7525 dieses Mal weitermachen. Wahrscheinlich zweigeteilt: Einmal Teardown - im Prinzip das was ich ich Schriftform für die NCA1010 gemacht habe - und einmal dann Installation von *sensen (warum nicht beide) und Test nach Möglichkeit mit einer Gegenstelle (vielleicht nen iperf machen). Auch den Bypass muss ich mal testen, Stromaufnahme etc. Ich hoffe ich bekomme das dieses mal etwas "profesioneller" hin, letztes Mal war sehr ad-hoc und improvisiert :D
Supi, dann schreib ich mir das gleich mal auf und meld mich in gut ~2 Monaten nochmal bei dir, wenn ich das Geld habe und die Zeit und keinen Stress... man kennt das ja. (Klingt wie bei ner Erpressung. :o ;D)
Läuft ja nicht weg das gute Stück :D Da die 7525-D ein Fokusprodukt ist, ist die auch noch länger vorhanden und lieferbar :)
Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch
Tus nicht ;) OK sehr subjektiv, aber Netgear (billig)Switche sind/waren bei mir Crap. Ein 5er (GS105EV2) war derart schlecht verarbeitet dass er beim Stecken/Abziehen nen Kurzen bekommen hat. Ein 8er hatte ständig Probleme mit "Aufhängen" (man bekam einfach keine Verbindung mehr, es sah aber alles gut aus -> Power raus rein geht wieder!?) und der 24er hatte Ports die gebuggt haben. Inzwischen von 10 Stück 4-5 als defekt oder strange markiert...
Ich würde TP-Link nehmen, die können ebenfalls VLANs und bislang von denen noch keinen einzigen verloren. Oder für ein paar Euro mehr die HP 1810er oder 1820er (NIE die 1910er die sind Müll). Oder Cisco 300er - nachdem was ich zuletzt gelesen habe könnte man mit denen sogar 802.1x port based authorization machen :D
-
Läuft ja nicht weg das gute Stück :D Da die 7525-D ein Fokusprodukt ist, ist die auch noch länger vorhanden und lieferbar :)
Alles klar... nur um das nochmal klar zustellen frag ich lieber nochmal nach...
Am Ende is das "nur" ein Barebone und RAM und SSD muss ich mir selber noch besorgen oder kann man die gleich mit bestellen? 8 GB RAM und ~120 GB SSD von Samsung z.B.?
Tus nicht ;)
Och nö jetzt muss ich nochmal vergleichen. :D Dabei dachte ich ich hätte etwas sicher.
Das Ding is, Kollegen von mir nutzen bereits die Netgear Switche zu Hause ohne Probleme.
Da trifft Aussage nun auf Aussage.
An der Stelle wären wir wieder beim Thema: Recherchieren. ::)
Trotzdem Danke für die Vorschläge ich werde mal schauen wer sich da am Besten schlägt.
Wichtig war mir auch PoE, weil an einen der Switche IP Kameras rankommen sollen, die natürlich nur das LAN Kabel gesteckt bekommen. Nen Cisco Switch wollte ich mir eigentlich nich Zuhause hinstellen.
Preislich übersteigt das mir den Kosten Nutzen Faktor und der IEEE 802.1x Standard ist "to much" für mein privates Netz. Die von TP-Link und HP vergleich ich nochmal mit dem NetGear Switch. Mal kucken wo mich das dann am Ende hintreibt. :)
Schöne Grüße
Oxy
-
Ich frag die gerade mal an, jetzt interessiert es mich selber. :)
Super, vielen Dank. :) Du kannst mir auch gern ne PN schicken diesbezüglich.
Tus nicht ;) OK sehr subjektiv, aber Netgear (billig)Switche sind/waren bei mir Crap. Ein 5er (GS105EV2) war derart schlecht verarbeitet dass er beim Stecken/Abziehen nen Kurzen bekommen hat. Ein 8er hatte ständig Probleme mit "Aufhängen" (man bekam einfach keine Verbindung mehr, es sah aber alles gut aus -> Power raus rein geht wieder!?) und der 24er hatte Ports die gebuggt haben. Inzwischen von 10 Stück 4-5 als defekt oder strange markiert...
Ich würde TP-Link nehmen, die können ebenfalls VLANs und bislang von denen noch keinen einzigen verloren. Oder für ein paar Euro mehr die HP 1810er oder 1820er (NIE die 1910er die sind Müll). Oder Cisco 300er - nachdem was ich zuletzt gelesen habe könnte man mit denen sogar 802.1x port based authorization machen :D
.
Preislich übersteigt das mir den Kosten Nutzen Faktor und der IEEE 802.1x Standard ist "to much" für mein privates Netz. Die von TP-Link und HP vergleich ich nochmal mit dem NetGear Switch. Mal kucken wo mich das dann am Ende hintreibt. :)
Vielleicht kann ich dazu beitragen, dass ich einen vLAN fähigen Switch von TP Link seit kurzem habe, den hier: http://www.tp-link.de/products/details/cat-41_TL-SG108E.html
Macht sich bisher wohl ganz gut.
Gruß
Chris
-
Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch
Nur mal am Rande: der von Dir bezeichnete Netgear kann KEIN PoE (hatte mich schon bei dem von Dir angegebenen Preis gewundert).
Für das entsprechende Gerät zahlst Du selbst bei Netgear auch mal eben über 250 € !
https://www.amazon.de/NETGEAR-GS108E-300PES-ProSAFE-8-Port-Managed/dp/B01MQQCQ4V/ref=sr_1_1?ie=UTF8&qid=1485606672&sr=8-1&keywords=Netgear%2BProSAFE%2BPlus%2BGS108Ev3&th=1 (https://www.amazon.de/NETGEAR-GS108E-300PES-ProSAFE-8-Port-Managed/dp/B01MQQCQ4V/ref=sr_1_1?ie=UTF8&qid=1485606672&sr=8-1&keywords=Netgear%2BProSAFE%2BPlus%2BGS108Ev3&th=1)
edit: die Cisco 300er (für die ich mich kürzlich auch mal interessiert hatte) sind übrigens seit über einem Jahr "end of support" !
-
Stimmt! Gerade nochmal geschaut. PoE kann der ja gar nicht. Da hatte ich mich wohl in der Beschreibung verlesen.
Is dann nur die Frage ob man lieber einen oder mehrere PoE Injector anstatt einem PoE Switch nimmt.
-
Und gerade beim privaten Einsatz einer FW sollte man sich m.E. über ganz andere Dinge Gedanken machen wie über die Sicherheit von vLAN's!
Was speziell meinst Du? Die Firewall Regeln an sich? Oder andere Sachen?
Vor Allem den eigentlichen Sinn/Konfiguration einer Firewall.
Ich habe schon bei diversen Firmen FW-Systeme im Einsatz gesehen, die m.E. vollkommen leichtfertig konfiguriert waren. So wird gerne die 'ANY'-Regel eingerichtet, damit ja schön alle Devices aus dem LAN heraus ins Internet können.
Zumeist weil da 'Irgendwas' für den Chef dann nicht funktioniert hat. Da wird dann auf die schnelle mal Alles freigeschaltet. ::)
Der Hammer war eine Firma, bei der ein 'Fachhändler' eine Firewall mit WebProxy und diversen Filterregeln eingerichtet hatte (Proxy nicht transparent auf Port 3128).
Ja der Proxy hat auch funktioniert, sofern er manuell in der Browserkonfiguration hinterlegt war! Aber leider ließen sich am Proxy vorbei alle Webseiten direkt aufrufen! ::)
Warum das so war konnte ich jetzt nicht analysieren, aber ich fand es schon befremdlich, dass ein 'Fachhändler' so eine Arbeit abliefert und auch noch Geld dafür verlangt!
Zum Thema Home Switch:
Ich finde den D-Link DGS 1100-08P nicht schlecht. Liegt so ~ 100€
Zur Qualität muss man sagen, dass sich Geräte von Netgear, TP-Link und D-Link hier insgesamt nicht viel nehmen. In einer Firma würde ich so etwas nicht nutzen wollen!
Ich habe die Erfahrung gemacht, dass oft die Netzteile bei den Billigherstellern das Problem sind. Ich hatte im Bekanntenkreis schon diverse defekte Netzteile bei Geräten der 3 Hersteller. Nach Austausch der Netzteile liefen der Geräte wieder problemlos.
Als 'Geheimtip' empfinde ich in letzter Zeit die Geräte der Firma Ubiquiti. Kosten zwar etwas mehr, aber habe damit bisher nur gute Erfahrungen gemacht (z.B. Switch Ubiquiti US8-150W).
Auch die WLAN-Geräte von Ubiquiti sind m.E. sehr zu empfehlen und bieten fast schon Enterprise-Features zum günstigen Kurs.
Gruß
Dirk
-
Hallo an alle - ich nutze diesen Thread gleich mal zur Vorstellung:
Berliner, 63 Jahre alt; Dipl.-Ing. Versorgungstechnik, seit dem Z80 (8086) computerkrank, an PfSense interessiert seit M0n0wall (auch FreeNas seit 0,7); 2010/2011 ein paar Free-BSD-Grundlagen gelernt; inzwischen vin FreeNAS zu NAS4Free gewechselt und nach einem Artikel im Administrator.de, in dem beiläufig irgendwo erwähnt wurde, dass es auch einen europäischen PfSense-Fork gäbe, nun begeisterter Nutzer von OpnSense. (Auch, wenn Surricata immer abstürzt).
Zur Hardware: Ich habe einen Fujitsu Futro Thin-Client S 550 https://sp.ts.fujitsu.com/dmsp/Publications/public/ds-FUTRO-S550-2.pdf umgebaut. 2 GB statt 1 GB DDR-2-RAM; statt des Sempron hat er einen Dual-Core L-310 bekommen (13 W). Zweite Netzwerkkarte und eine über USB 2.0 mit (laut Free-BSD) 40 MB/s angeschlossene 120 GB SSD. Ich besitze einige Xmore Industrial XM-CF 4 GByte Flashspeicher, die es derzeit günstig in der Bucht gibt, so daß ich zuerst OpnSense auf solch einem Flash installiert hatte. Die Leserate beträgt lt. Free-BSD 66,7 MB/s. Wegen Squid und wegen des nicht erweiterbaren Hauptspeichers (nur 1 Bank) kam ich auf den Gedanken mit dem internen USB-Port. Ich gehe davon aus, dass OpnSense, einmal gestartet, nur noch fürs Protokoll auf die SSD zugreift, hingegen der Flash mit der anderthalbfachen Zugriffsgeschwindigkeit besser als Cache geeignet ist. Deshalb habe ich den Flash als Swap konfiguriert (Es ist SLC mit der hundertfachen Lebensdauer von MLC oder TLC). Ein Test mit dem Download einer 1,2 GB .zip-Datei ergab einen WAN-Durchsatz von 40 MB/s, also genau die Schreibrate von Squid auf der SSD. Das Teil zieht ca. 17 W unter Last.
Ein zweites, gleich aufgebautes Gerät soll unter NAS4Free den ClamAV für Squid beherbergen.
Wenn mir nun noch jemand verraten könnte, weshalb Surricata fortlaufend abstürzt (Kerneldump on Signal 4) wäre ich vollends glücklich. Gruß, martin
-
Zumeist weil da 'Irgendwas' für den Chef dann nicht funktioniert hat. Da wird dann auf die schnelle mal Alles freigeschaltet. ::)
Das ist auch im Entwicklerumfeld gang und gäbe, Sicherheit spielt so lange keine Rolle, bis tatsächlich mal etwas passiert. Ich habe mir früher oft den Mund fusselig geredet, Perlen vor die Säue... ^^
Der Hammer war eine Firma, bei der ein 'Fachhändler' eine Firewall mit WebProxy und diversen Filterregeln eingerichtet hatte (Proxy nicht transparent auf Port 3128).
Ja der Proxy hat auch funktioniert, sofern er manuell in der Browserkonfiguration hinterlegt war! Aber leider ließen sich am Proxy vorbei alle Webseiten direkt aufrufen! ::)
Warum das so war konnte ich jetzt nicht analysieren, aber ich fand es schon befremdlich, dass ein 'Fachhändler' so eine Arbeit abliefert und auch noch Geld dafür verlangt!
Ich glaube, solche Fälle wird es immer geben. Überall. Leider. Ich habe auch schon mit eigene Augen gesehen, wie Software von "professionellen" Entwickler Teams auf Produktivserver deployed wurde, mit offen stehenden Ports, die zu Debug Zwecken genutzt wurden und auf meine Fragen bzw. meine Hinweise hin war man der Meinung, dass das schon Ok wäre, weil "die User zu dumm sind um sowas zu missbrauchen" (das waren teils komplett offen stehende Datenbanken und Debugger, die auf offenen Ports liefen). Ich kann nicht ins Detail gehen, aber grob umschrieben, waren das Dienstleister, die für ein Unternehmen gearbeitet haben. das man wohl zu den 20 größten im deutschen Technologie Sektor zählt. Und die Entscheider dieses Unternehmens (auch live erlebt) hatten Null komma Null Ahnung von IT und Technologie.
Sicherheit, egal ob aus Entwickler- oder Administratorensicht, hat einen, immer noch, viel zu geringen Stellenwert. In einem professionellen Umfeld ist es mir ein Rätsel...
Als 'Geheimtip' empfinde ich in letzter Zeit die Geräte der Firma Ubiquiti. Kosten zwar etwas mehr, aber habe damit bisher nur gute Erfahrungen gemacht (z.B. Switch Ubiquiti US8-150W).
Auch die WLAN-Geräte von Ubiquiti sind m.E. sehr zu empfehlen und bieten fast schon Enterprise-Features zum günstigen Kurs.
Ich habe einen Access Point von Ubuquiti sein wenigen Tagen. ;) Rein von der Hardware her, bin ich angetan. Reichweite und Datendurchsatz sind gut. Ich habe mir das Gerät auch aufgrund von guten Bewertungen zugelegt. Allerdings muss ich sagen, dass ich die Controller Software höchstens mittemäßig finde. Java hin oder her, aber die Software reagiert so dermaßen träge (und das auf einem sehr aktuellen und leistungsstarken Rechner). Der AP reagiert träge auf Änderungen, die an das Gerät provisioniert werden. Der Controller erkennt den AP manchmal auch nicht mehr, obwohl zuvor alles Ok war und auch keinerlei Änderungen durchgeführt wruden. Vor zwei Tagen konnte der AP plötzlich nicht mehr vom Controller eingebunden werden (also konnte ich den AP nicht mehr konfigurieren). Heute, ohne dass ich den AP oder die Software angefasst hätte, gehts wieder.
Ich bin generell kein großer Freund von proprietärer Software, vor allem wenn es sich um solche Controller handelt. Man hat keinerlei Ahnung, was da unter der Haube passiert. Und laut Google bin ich einer unter vielen, die die Controller Software nicht wirklich gut bewerten. ;)
Gruß
Chris
-
@neOh
Bin auch schon seit einigen Jährchen aktiv. Allerdings als die berüchtigte 'Eierlegendewollmilchsau'. Kann Alles etwas aber nichts richtig, trau mich aber erstmal an Alles ran! :)
Wenn es dann richtig komplex wird ziehe ich dann aber gern echte Spezialisten zu rate.
Zur Ubiquiti Controller-Software und auch der Hardware kann ich nichts negatives beitragen. Die Software läuft einfach! :)
Ach ja, bei nur einem einzelnen AP würde ich mir nicht unbedingt einen Ubiquiti holen ;) Da gibt es durchaus auch andere attraktive Geräte (z.B. Draytek Vigor AP).
So richtig ans fliegen kommt der Controller erst, wenn man mehrere AP verwaltet. Wer schon mal bei 10-20 AP gleichzeitig die Firmware updaten mußte, weiß was ich meine!
Gruß
Dirk
-
Alles klar... nur um das nochmal klar zustellen frag ich lieber nochmal nach...
Am Ende is das "nur" ein Barebone und RAM und SSD muss ich mir selber noch besorgen oder kann man die gleich mit bestellen? 8 GB RAM und ~120 GB SSD von Samsung z.B.?
Nö die bieten wir dann schon so an, dass sie dem Kunden passt. Barebones wollen nur die wenigsten. Unsere Standard Bestückung der 7525 ist entweder 8/32 oder 8/120, aber auch 8/80 wäre möglich, hängt einfach vom Kunden ab aber die ersten beiden sind die "Defaults" :)
Das Ding is, Kollegen von mir nutzen bereits die Netgear Switche zu Hause ohne Probleme.
Wenn man sie nie anfasst ;) Auch wenn das Forum des "roten Cousin" vielleicht verpönt ist - schaut mal rein, was die deutschen Kollegen im pfSense Forum zu Netgear und Co haben. Klar gibts da einige die daheim 1-2 Kisten haben die nicht mucken, aber andere wie Jahonix o.ä. die schon mal ein Dutzend verbaut haben, zeigen leider das gleiche Bild wie bei mir, dass 1/4-1/3 locker davon hops geht :/
Super, vielen Dank. :) Du kannst mir auch gern ne PN schicken diesbezüglich.
Momentan ist sie wohl noch gar nicht im Programm, sondern nur gelistet, ich frage aber mal Verfügbarkeit und Preis an.
Auch die WLAN-Geräte von Ubiquiti sind m.E. sehr zu empfehlen und bieten fast schon Enterprise-Features zum günstigen Kurs.
Anbieten ja ::) Leider nicht ganz in der Qualität die ich erwartet hätte :-\ Wir haben davon 3 Stück in der Firma an der Decke, AC-PRO, neue Generation. Seit Neujahr haben die ~3 Wochen lang sich im Dreieck alle paar Minuten durchgebootet, weil sie sich automatisch ne Firmware gezogen haben und dann in einer Reboot Loop hingen :( Danach hatten wir lustige Phänomene wie ständige Disconnects mancher Clients (Android Telefone, aber nur manche) die einfach den Empfang verlieren. Support ist leider auch nicht so prall und verweist entweder auf neue Firmware (die schon drauf ist), dass man die WiFi Netze trennen soll (hatten wir auch schon - bringt nix) und schiebt die Schuld dann auf die WiFi Umgebung, jemand würde da wohl stören. Super. Mit dem Billig-AP der vorher dran war, gings aber doch auch - und die UniFi UFOs sind dann hyperempfindlich oder wie? Alles ein wenig unbefriedigend. Für zu Hause aber ganz nett.
Zum Controller: Sieht zwar totschick aus, aber das Java Gedöns ist etwas frickelig zu installieren wenn mans sauber aufsetzen will. Und mein KO war eigentlich, dass fast jede kleine Änderung automatisch zum Neustart der APs führt. Mal ehrlich, da ist Windows weniger schlimm als der UniFi Controller... :o Und das mag was heißen.
Das ist auch im Entwicklerumfeld gang und gäbe, Sicherheit spielt so lange keine Rolle, bis tatsächlich mal etwas passiert. Ich habe mir früher oft den Mund fusselig geredet, Perlen vor die Säue... ^^
Stimmt leider. Provisorien gehen live, hinterher weiß es keiner mehr, dann bleibt einfach alles offen. Etc. etc.
Sicherheit, egal ob aus Entwickler- oder Administratorensicht, hat einen, immer noch, viel zu geringen Stellenwert. In einem professionellen Umfeld ist es mir ein Rätsel...
Schaut man sich Industrie 4.0 an, kommt man sich vor wie bei Hornbach. "Industrielösung XY - jetzt mit Stecker (RJ45)". Überall wird einfach IP/Netz/LAN/Internet drangeschraubt, aber von Leuten, die leider Security, Authorization, Authentication, Encryption etc. noch nie gehört haben. Kein Wunder, dass Botnetze inzwischen liebend gern IoT (Internet of Terror) Devices nutzen. Pah was braucht der Kühlschrank auch nen sicheres Passwort...
Und laut Google bin ich einer unter vielen, die die Controller Software nicht wirklich gut bewerten. ;)
Nee da bin ich dabei. Wirkt typisch Web 2.1 (oder 2.0): Optisch fancy, Bootstrappy, JavaScript, klick und zieh schön... aber unter der Haube werkelts böse. Wie gesagt, wenn die kleinste Änderung jedes Mal alle APs durchstartet find ich das schon sehr suspekt.
Wer schon mal bei 10-20 AP gleichzeitig die Firmware updaten mußte, weiß was ich meine!
Mich gruselts bei dem Gedanken da ne Einstellung zu ändern und 20 APs rebooten zu sehen. Natürlich gleichzeitig...
Oder ein auto-Firmware Update wie bei uns *schauder*
Gruß
-
Kann Alles etwas aber nichts richtig, trau mich aber erstmal an Alles ran! :)
So gehört sich das. :D ;)
Zur Ubiquiti Controller-Software und auch der Hardware kann ich nichts negatives beitragen. Die Software läuft einfach! :)
Ach ja, bei nur einem einzelnen AP würde ich mir nicht unbedingt einen Ubiquiti holen ;) Da gibt es durchaus auch andere attraktive Geräte (z.B. Draytek Vigor AP).
So richtig ans fliegen kommt der Controller erst, wenn man mehrere AP verwaltet. Wer schon mal bei 10-20 AP gleichzeitig die Firmware updaten mußte, weiß was ich meine!
Na ja, ich hab schon vor, das in Zukunft etwas auszubauen. nen zweiten AP weiter hinten in der Bude, wo momentan ein AVM Repeater sitzt, usw. Und ja, die Verwaltung über einen zentralen Controller ist von der Idee her gut und natürlich ideal für den Business Einsatz. Aber auch mit nur einem Gerät sollte das problemlos laufen. ;) Mal schauen, ich denke ich frag mal in der UZbuquiti Community nach.
Deren Switche finde ich überigens auch attraktiv, wobei die preislich ja deutlich höher angesiedelt sind, als vergleichbare...
Gruß
Chris
-
Und mein KO war eigentlich, dass fast jede kleine Änderung automatisch zum Neustart der APs führt. Mal ehrlich, da ist Windows weniger schlimm als der UniFi Controller... :o Und das mag was heißen.
Das geht mir, in der Tat, auch auf den Keks. Zumal das Provisionieren halt fehl schlägt, ab und an. Und dann plötzlich gehts wieder. Die Software scheint auch irgendwie in Intervallen die Konnektivität zum AP zu prüfen. Denn es kommt immer mal kurz zu Aussetzern ( da wird dann im Controller angezeigt: "Heartbeat fehlt") und dann ist der AP wieder eingebunden. Und mit dem AP verbundene Geräte werden auch mal angezeigt und mal nicht.
Das alles scheint aber nur seitens der Software ein Problem zu sein, der AP selbst ist unterbrechungsfrei im Betrieb und kein Client hat bisher Verbindungsprobleme.
Stimmt leider. Provisorien gehen live, hinterher weiß es keiner mehr, dann bleibt einfach alles offen. Etc. etc.
Dazu gesellt sich, dass Dokumentationen (oder zumindest Notizen in einfachster Form) als totales Übel angesehen werden. Ich pflege schon seit vielen Jahren ein eigenes Wiki mit allerlei technischen Dokus und das war mir schon mehrfach eine große Hilfe.
Schaut man sich Industrie 4.0 an, kommt man sich vor wie bei Hornbach. "Industrielösung XY - jetzt mit Stecker (RJ45)". Überall wird einfach IP/Netz/LAN/Internet drangeschraubt, aber von Leuten, die leider Security, Authorization, Authentication, Encryption etc. noch nie gehört haben. Kein Wunder, dass Botnetze inzwischen liebend gern IoT (Internet of Terror) Devices nutzen. Pah was braucht der Kühlschrank auch nen sicheres Passwort...
Ich persönlich habe beobachtet, dass die meisten technisch orientierten einfach kein Interesse an solchen relevanten Themen haben, weil der Aufwand schlicht zu groß ist, sich einzuarbeiten, etc. Wobei das, in meiner Sicht der Dingen, riesen Spaß machen kann, wenn man denn etwas für diese Themen übrig hat. Die nicht technisch Orientierten, das sind dann meist die Wirtschaftler, die in ihrer Kalkulation schlicht kein Budget für das Thema Sicherheit haben/haben wollen. Gibt ja wichtigeres, z.B. bunte Animationen... ;D
-
Oh und ich weiß nicht ob es ein wenig anrüchig oder verschrien ist - ich mach mir da ja kein Kopf mehr, mir ist das gleich - wenn man das "andere" Forum verlinkt, aber es geht ja um Hard- nicht um Software :)
Deshalb für die, die es interessieren möge, mein kurzer Einblick von damals in die NCA-1010B:
https://forum.pfsense.org/index.php?topic=104714.0
Grüße
-
Kurz nochmal zu Ubiquiti AP.
Ich kann wirklich nichts negatives berichten!
Meine bisherigen Installationen laufen m.W. nach völlig problemlos. Die Controller-Software läuft auf Windows Servern.
Und natürlich sind auto. Updatefunktionen/Cloud ausgeschaltet!
Klar, das sind keine Ruckus. Aber im SOHO-Bereich IMHO durchaus eine Alternative (und solange ich keine schlechten Erfahrungen mache).
Und jetzt wieder Back to Topic! ;)
Schaut man sich Industrie 4.0 an, kommt man sich vor wie bei Hornbach. "Industrielösung XY - jetzt mit Stecker (RJ45)". Überall wird einfach IP/Netz/LAN/Internet drangeschraubt, aber von Leuten, die leider Security, Authorization, Authentication, Encryption etc. noch nie gehört haben. Kein Wunder, dass Botnetze inzwischen liebend gern IoT (Internet of Terror) Devices nutzen. Pah was braucht der Kühlschrank auch nen sicheres Passwort...
In der c't 03/17 ist ein sehr aufschlussreiches Editorial und dazu ein Test von Alarmzentralen namenhafter Hersteller. Da wird einem schlecht, wenn ich so etwas lese!
Das war ja auch der Grund, warum ich jetzt eine OPNSense zu Hause betreibe. Ich möchte entscheiden, welches Gerät aus meinem LAN heraus wohin zugreifen kann. Oder eben auch nicht!
-
Nö die bieten wir dann schon so an, dass sie dem Kunden passt. Barebones wollen nur die wenigsten. Unsere Standard Bestückung der 7525 ist entweder 8/32 oder 8/120, aber auch 8/80 wäre möglich, hängt einfach vom Kunden ab aber die ersten beiden sind die "Defaults" :)
Auf Arbeit hab ich 1% Festplattenauslastung.... muss ich nochmal nachschauen wie groß die Platte da war.
8/80 sollte aber locker reichen. Bei 32 weiß ich grad nich wohin sich OPNsense noch entwickelt. Lieber zu viel als zu wenig :)
Wenn man sie nie anfasst ;) Auch wenn das Forum des "roten Cousin" vielleicht verpönt ist .....
Ne ne der Typ macht schon ordentlich trubel mit dem Switch, aber das kann natürlich auch alles Glück sein.
Das nächste Gerät von der selben Firma könnte auch wieder völliger Schrott sein.
Da verlässt man sich lieber auf die Rückmeldungen vieler vieler Nutzer. :)
Wegen pfSense... da verdrehst du etwas....
pfSense ist bei uns nicht verpönt.... OPNsense ist bloß bei den pfSense Leuten verpönt.
So wird ein Schuh draus. ;)
Momentan ist sie wohl noch gar nicht im Programm, sondern nur gelistet, ich frage aber mal Verfügbarkeit und Preis an.
Das wär supi... Einfach das ich ne Vorstellung habe auf was ich mich da preislich einlasse.
Wenn es da was neues gibt kannste mich ruhig einfach hier direkt anschreiben, ich seh das dann schon :)
Pah was braucht der Kühlschrank auch nen sicheres Passwort...
Wie soll der Kühlschrank sonst mit dem Toaster und der Bodenheizung kommunizieren können? :P ::)
Das sind wichtige Features! ;)
Aber mal Spaß bei Seite... ich finde es gut, dass der großteil der Leute mittlerweile zu mindestens etwas misstrauischer ist gegenüber der IT. Ich denke mal positiv und hoffe, dass sich mein Toaster später mal nicht selbstständig machen wird, weil die Unternehmen dazu gelernt haben. :)
@martin01
falls du das hier liest. Willkommen bei OPNsense. :)
Für dein Problem solltest du entweder einen neuen Thread aufmachen oder besser erst einmal versuchen, dass Problem mit dem Update auf Version 17.1 zu lösen. Ändert sich an dem Problem nichts, kannst du dich auch bei GitHub mit einem Ticket melden.
-
pfSense ist bei uns nicht verpönt.... OPNsense ist bloß bei den pfSense Leuten verpönt.
So wird ein Schuh draus. ;)
Aber auch nur bei bestimmten Leuten und/oder dann, wenn es um unnötigen oder sinnfreien Vergleich geht. Was besser ist muss eh jeder für sich entscheiden. Deshalb halte ich mich aus der (m.E. unnötigen) Diskussion raus. Und das mit dem Schuh... nunja der passt sicher immer hin wie her. Da ist jede Seite mal - nennen wir es überfürsorglich - gegenüber seinem Lieblingsprojekt. ;) Aber da mag ich gar nicht tiefer rein, am Besten lässt man einfach das "vs" ganz und ignoriert gezicke an höherer Stelle :)
-
Aber auch nur bei bestimmten Leuten und/oder dann, wenn es um unnötigen oder sinnfreien Vergleich geht. Was besser ist muss eh jeder für sich entscheiden. Deshalb halte ich mich aus der (m.E. unnötigen) Diskussion raus. Und das mit dem Schuh... nunja der passt sicher immer hin wie her. Da ist jede Seite mal - nennen wir es überfürsorglich - gegenüber seinem Lieblingsprojekt. ;) Aber da mag ich gar nicht tiefer rein, am Besten lässt man einfach das "vs" ganz und ignoriert gezicke an höherer Stelle :)
Für den Anwender, wie mich und dich, ist das ja auch nicht der Rede wert. Fakten zählen und die kann und sollte man auch als Anwender kennen und vergleichen. Das Kindergarten Gezicke im Hintergrund müssen andere mit sich selber ausmachen. Die ewige Diskussion nervt aber langsam wirklich, besonders wenn man sich mal anschaut wie unterschiedlich beide *senses mittlerweile schon sind. (Stichwort: Captive Portal). Da ist nun wirklich keine großen Gemeinsamkeit mehr bei der Ersteinrichtung. (Ich durfte/musste für beide Systeme das Captive Portal bereitstellen, kann das an der Stelle also ganz gut vergleichen). :)
Ich bin aber trotzdem gespannt in welche Richtung sich beide Projekte noch entwickeln werden.
Finde ich irgendwie spannend. :)
-
Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.
Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?
Ich trenne doch nicht per Interfaces in WLAN und LAN und stöpsel beide dann wieder an einen Switch?
Übersehe ich da grade was? :D Ich bitte um Aufklärung :)
Ich würde das zusammenführen von vLAN auf einem Switch sogar als gängige Praxis im Enterprise-Umfeld bezeichnen. :)
Es ist ja gerade der Vorteil, dass man per vLAN eine physische Infrastruktur mit mehreren getrennten LAN betreiben kann. Wir betreiben z.B. in unserer Firma Switche die untereinander per LWL verbunden sind.
Und nur per vLAN's ist es überhaupt möglich die unterschiedlichen Netzwerke über eine LWL z.B. in das Lager oder in die Fertigung zu bringen.
Kürzlich wurde eine Videoüberwachungsanlage für den Außenbereich beschafft. Auf die Videoüberwachung darf niemand aus unserer Firma aus arbeitsrechtlichen Gründen zugreifen, sondern ausschließlich das beauftragte Sicherheitsunternehmen. Ergo, sind alle Komponenten des Überwachungssystems in einem eigenen vLAN. Die Sicherheitsfirma hat einen exklusiven Zugang über das Internet in das vLAN.
Und wie bereits mehrmals geschrieben. Irgendwann hat man immer zuwenig NIC's in der Firewall, so dass man gar nicht mehr um vLAN herumkommt. ;) Gerade wenn man z.B. Testumgebungen für verschiedene Kunden betreibt geht es nicht ohne vLAN's.
Das größte Problem, dass ich bei vLAN's sehe ist das man schnell in einen Performanceengpass kommen kann. Über eine 1 GBit-Leitung gehen halt nur 1 Gbit. Und wenn da 3 oder 4 vLAN darüber laufen, die entsprechend Last erzeugen kann das schon zu Problemen führen.
Das war auch der Grund dafür, dass unsere Switche untereinander per 4 GBit-FC verbunden sind.
Ich würde mir jedenfalls keine Firewall-Hardware für zu Hause nur deswegen beschaffen, weil ich 4, 6 oder 8 LAN-Anschlüsse brauche (bzw. glaube die irgendwann einmal brauchen zu können)!
-
Ich würde das zusammenführen von vLAN auf einem Switch sogar als gängige Praxis im Enterprise-Umfeld bezeichnen. :)
Dito, ist schon Jahre her, dass ich es anders erlebt habe. Und da kann ich von sowohl sehr kleinen bis sehr großen Firmen aus Erfahrung sprechen (vom KMU bis zu bestimmten großen Firmen mit bspw. quadratischen Logo mit Ziffern). Gerade im RZ Umfeld ist das gar nicht anders denkbar, bei 42HE Racks im Blade- oder Pizzaschachtel Betrieb (viele kleine 1HE Server) die auf einen oder zwei Rackswitche verdrahtet und diese wiederum auf einen Core Switch laufen, wäre eine ordentliche Separation gar nicht anders denkbar ohne für jeden Kunden ein eigenes Rack etc. einzuplanen. Und das kann man sich bei der Packungsdichte in RZ Umfeldern gar nicht leisten.
Grüße
-
Echt? Also ich kenne einige Privatmenschen, die sich eben einen Switch wie nen 24er TP-Link mit VLAN hinstellen und darüber (und mit einer *sense) dann eben VLANs nutzen. Ein Switch pro LAN kenn ich eher selten.
Zudem ist mitunter die Infrastruktur daran mit Schuld. Denn nicht überall lässt sich dann gut Kabel verlegen und für eigene Switche noch extra Kabel legen etc. Da nutzt man dann einfach was man hat. Also nö, selbst Privat kenn ich das eher selten :) Zudem wäre der Verkabelungsaufwand und Komplexität höher, würden ja ggf. 2-3 Switche rumliegen nur um LAN, WLAN und ggf. Gäste zu trennen.
Okay... da bin ich dann in der Hinsicht wohl einfach sehr verwöhnt und hab verallgemeinert.
Die Leute die ich gefragt hatte und kenne haben größtenteils ein Haus und leben nicht in einer WG/Mietswohnung, etc.
In der Hinsicht kann ich mir gut vorstellen, dass man da sehr eingeschränkt ist, wenn nicht viel Spielraum für neues "Spielzeug" zur Verfügung hat.
Switch für LAN, Switch für WLAN und ein Switch für Gäste oder ein Switch für Geräte in der DMZ....
ich meine.. wer kann der kann. Muss ja auch nicht alles von heut auf morgen umgebaut werden.
Kann man ja Schritt für Schritt planen und umsetzen. :)
Eine sehr interessante Diskussion die genau jene Punkte behandelt die ich mich schon seit geraumer Zeit frage.
Ich betreibe derzeit einen IPCop als Firewall Router und würde aber gerne auf OPNsense umsteigen. Im Zuge dessen kamen die Fragen eben auf in wieweit es im Privatumfeld Sinn macht die Netze wirklich physikalisch zu trennen oder ob es VLANs nicht einfach ausreichen.
Wie hier ja schon angesprochen wurde - wie realistisch ist das Szenario das im Privatumfeld die VLAN's gehackt werden? Wie realistisch ist es dass mein mit langem komplizierten Passwort geschütztes WLAN gehackt wird etc. etc.
durch die physikalische Trennung schafft man sich meiner Meinung halt "Probleme" die man dann wieder mit Dingen wie Multicast etc. behebt.
Denn Dienste wie Airplay, Spotify Connect, Chromcast etc. funktionieren in meinem aktuellen Setup nicht, weil die Netze eben physikalisch getrennt sind. IPCOP unterstützt kein Multicast. Deswegen will ich zu OPNsense wechseln.
Nur die Frage ist ob ich nicht einfach alle LAN und WLAN Clients in ein Netz packe um mir den Aufwand mit Multicast zu ersparen.
Spannende Diskussion.
Danke
LG,
Michi
-
Denn Dienste wie Airplay, Spotify Connect, Chromcast etc. funktionieren in meinem aktuellen Setup nicht, weil die Netze eben physikalisch getrennt sind.
Hä? :D
Vielleicht steh ich gerade aufn Schlauch, aber VLANs und Netztrennungen macht man doch eben genau weil man dann über die Firewall Freischaltungen formulieren kann. Wenn Spotify von Netz A nach Netz B möchte schreibst du halt die Freischaltung dafür. Solange die Firewall eine Route in das Netz kennt, ist auch die Zustellung des Traffics kein Problem.
-
@Michi
M.E. ist eine Separierung per vLAN kein nennenswertes Sicherheitsproblem. Die Technik ist seit Jahren erprobt und heutzutage einfach Stand der Technik. Kein größeres Unternehmen würde heutzutage mehr auf vLAN's verzichten (können).
Wichtig ist, dass es sauber konfiguriert ist. Viel wichtiger im Umgang mit vLAN's ist auch, dass man sich über die Grenzen der Technik im klaren ist. Eine 1 GBit Leitung über die 5 vLAN's laufen ist und bleibt eine 1 GBit Leitung!
Evtl. solltest Du einen neuen Fred aufmachen und mal genau darlegen, was Du erreichen möchtest. Weil nur um einzelnen Gerätegruppen im Netz den Internetzugang zu sperren brauchst Du kein vLAN.
Gruß
Dirk
-
Danke für deine Antwort Dirk
M.E. ist eine Separierung per vLAN kein nennenswertes Sicherheitsproblem. Die Technik ist seit Jahren erprobt und heutzutage einfach Stand der Technik. Kein größeres Unternehmen würde heutzutage mehr auf vLAN's verzichten
Das dachte ich mir ja auch.
Privat kann man ja eine physikalische Trennung von z.B. LAN und WLAN evtl. noch einfacher Bewerkstelligen - aber steht die physikalische Trennung überhaupt dafür...
Wichtig ist, dass es sauber konfiguriert ist. Viel wichtiger im Umgang mit vLAN's ist auch, dass man sich über die Grenzen der Technik im klaren ist. Eine 1 GBit Leitung über die 5 vLAN's laufen ist und bleibt eine 1 GBit Leitung!
Da hast du natürlich absolut Recht. Ich werde das ganze mal niederschreiben um rauszufinden was Sinn macht und was nicht. Und dann natürlich nochmal hier posten :-)
Wie stellt man VLANs in einer Zeichnung am besten dar. bzw. wie stellt man SSIDs dar die auf ein VLAN getaggt sind? Gibts dafür eine bevorzugte Methode?
Evtl. solltest Du einen neuen Fred aufmachen und mal genau darlegen, was Du erreichen möchtest. Weil nur um einzelnen Gerätegruppen im Netz den Internetzugang zu sperren brauchst Du kein vLAN.
Das werde ich wohl am Besten machen.
Ich hatte bisher noch kein VLAN im Einsatz - lediglich physikalische Trennung schon Schnittstellen um z.B. LAN & WLAN Geräte zu trennen. Wobei wie ja vorher schon erwähnt stellt sich die Frage ob das überhaupt notwendig ist im privaten Umfeld.
Denn Dienste wie Airplay, Spotify Connect, Chromcast etc. funktionieren in meinem aktuellen Setup nicht, weil die Netze eben physikalisch getrennt sind.
Hä? :D
Vielleicht steh ich gerade aufn Schlauch, aber VLANs und Netztrennungen macht man doch eben genau weil man dann über die Firewall Freischaltungen formulieren kann. Wenn Spotify von Netz A nach Netz B möchte schreibst du halt die Freischaltung dafür. Solange die Firewall eine Route in das Netz kennt, ist auch die Zustellung des Traffics kein Problem.
Soweit ich weiß ist das nicht ganz so einfach, da es sich bei Airplay, Spotify Connect, und co Dienste handelt die auf Braodcasts basieren. Und diese können nicht einfach zwischen Netzten kommunizieren. Dafür brauchst du dann quasi einen Multicast DNS Proxy.
Ich hab das selbst noch nie konfiguriert - aber das ist was ich bisher online nachgelesen habe.
Man könnte natürlich alle betroffenen Clients (LAN & WLAN in ein Netz packen und damit würde das alles funktionieren.
Genau deswegen bin ich ja hier - um rauszufinden was Sinn macht bei der Neuplanung des Netzwerks :-)
-
Ich hatte bisher noch kein VLAN im Einsatz - lediglich physikalische Trennung schon Schnittstellen um z.B. LAN & WLAN Geräte zu trennen. Wobei wie ja vorher schon erwähnt stellt sich die Frage ob das überhaupt notwendig ist im privaten Umfeld.
Ich habe eine Hardware mit drei Netzwerkschnittstellen, WAN, LAN, WLAN. Ich überlege momentan tatsächlich, ob sich die Anschaffung einer Hardware mit mindestens 4 oder besser 5 NICs lohnt, da ich ein NAS habe welches ich gerne auch physikalisch getrennt zum Rest hätte. Allerdings ist es schon richtig, dass VLAN erprobt, sicher und praktikabel sind. Wie schon mal irgendwo hier angemerkt wurde, spielt auch ein gewisser Grad Paranoia mit.
Soweit ich weiß ist das nicht ganz so einfach, da es sich bei Airplay, Spotify Connect, und co Dienste handelt die auf Braodcasts basieren. Und diese können nicht einfach zwischen Netzten kommunizieren. Dafür brauchst du dann quasi einen Multicast DNS Proxy.
Ich hab das selbst noch nie konfiguriert - aber das ist was ich bisher online nachgelesen habe.
Ich verstehe das Problem hier nicht so ganz.
Ich habe z.B. Sonos Boxen, mit denen ich Spotifiy etc. in der Wohnung streame. Die Boxen und das Steuergerät dazu sind in meinem WLAN Netzwerk, da gehören sie meiner Meinung nach auch hin. Schließlich will man ja meistens von seinen Mobilgeräten streamen. ich habe keine speziellen Ports dafür geöffnet (nur die Standardports für das Netzwerk, HTTP(S), etc.) und alles läuft einwandfrei.
Warum soll da irgendwas zwischen irgendwelchen Netzen kommunizieren? Vielleicht kannst Du das noch etwas detaillierter erklären?
Falls Du damit meinst, dass Du z.B. ein Setup hast, in dem Du einen festen Rechner im LAN hast und dann deine Streaming Geräte im WLAN erreichen möchtest, dann reicht es ja, dafür eine einfache Firewall Regel zu erstellen.
Wie gesagt, das Problem ist mir nicht ganz klar.
Gruß
-
Ich habe nun auch aufgerüstet, nachdem ab Donnerstag ENDLICH VDSL100 zur Verfügung steht. Der Speedport Hybrid kommt weg und ich kann mich nun mit richtiger Hradware beschäftigen. Mein Setup besteht aus:
ZyXel VMG-1312-B30A
APU2C4 für OPNsense
UniFi Switch 8
UniFi AP AC Pro
Ich wollte mich schon lange mit Ubiquiti befassen, hatte bisher aber noch nicht wirklich die Gelegenheit dazu. Und mit dem VDSL-Upgrade war die Zeit reif, sich das einmal anzusehen. Ich bin gespannt, wie das so laufen wird.
-
Passt nicht 1000% zum Threat aber 999% geht auch :)
Ich werde OPNSense ab nächster Woche bei uns in der Firma einsetzen, aber ein bisschen mehr im Enterprise Umfeld. Die Umrüstung habe ich soweit vorbereitet, werde aber noch ein wenig testen bevor es in zwei Wochen ernst wird.
Die bisherigen Umgebungen:
2 x Astaro (Sophos) ASG 220 mit UTM 9.5
danach 1 x Astaro (Sophos) ASG 220 mit IPFire
Anbindung 1 x 1 GBit/s (momentan, demnächst 2 x 1 GBit/s)
1 x DSL 50/5 als Backup
Bisher waren wir eigentlich mit den Astaros sehr zufrieden, allerdings sind die Lizenzkosten pro. Jahr sehr unverschämt. Seit Anfang des Jahres gibt es dafür keine Lizenzen mehr, so dass wir IPFire eingesetzt haben. Backup Betrieb ist damit nicht möglich, bzw. nur mit erheblichen Klimmzügen.
Die Hardware der Astaro ASG 220 ist eine Nexcom NSA 3110 mit einem 2,2GHZ Celeron Dual-Core mit 4 GB
Nach langen suchen nach alternativen (IPFire hinkt im Bereich IPSec extrem hinterher) bin ich vor 3 Monaten auf OPNSense gestoßen. Natürlich über den Umweg pfSense, die Gründe warum wir OPNSense einsetzen werden, lass ich mal im Raum stehen.
Was für Anforderungen haben wir:
4 x 2 IPSec Tunnel zu unseren Datacentern, x 2 wegen Failover im Datacenter. Die Gegenstelle ist immer eine Cisco Series
25 x IPSec Roadwarrier Tunnel für Remote Access
25 x OpenVPN Tunnel für Remote Access (wir bieten bei uns beides an)
Dazu kommt noch ein Branch Office mit einer Ubiquiti USG die auch einen IPSec Tunnel zu uns bekommt
Als nächster Schritt nach der Migration, die zweite ASG 220 als Failover einrichten.
Ich sagte ja, weniger Home Bereich dafür mehr Enterprise Bereich
Viele Grüße
Jörg
-
Ich habe eine Hardware mit drei Netzwerkschnittstellen, WAN, LAN, WLAN. Ich überlege momentan tatsächlich, ob sich die Anschaffung einer Hardware mit mindestens 4 oder besser 5 NICs lohnt, da ich ein NAS habe welches ich gerne auch physikalisch getrennt zum Rest hätte. Allerdings ist es schon richtig, dass VLAN erprobt, sicher und praktikabel sind. Wie schon mal irgendwo hier angemerkt wurde, spielt auch ein gewisser Grad Paranoia mit.
Genau das ist die Frage - wie viel Paranoia ist im Privatumfeld "angebracht"?
Ich kenne vielleicht 1-2 Leute persönlich die eine Lösung wie OPNsense & Co daheim stehen haben. Der Rest verwendet nur den Router vom ISP - das wars.
Dass deren WLAN eine Katastrophe ist ist natürlich die andere Sache. Aber ansonsten scheinen mir die Leute ja nicht wirklich gröbere Probleme zu haben was eine derart Strickte Trennung der Netze erfordern würde.
Wobei das sicher auch andere Anforderungen/Ansprüche herrschen- das sollte man natürlich nicht außer acht lassen.
Ich habe z.B. Sonos Boxen, mit denen ich Spotifiy etc. in der Wohnung streame. Die Boxen und das Steuergerät dazu sind in meinem WLAN Netzwerk, da gehören sie meiner Meinung nach auch hin. Schließlich will man ja meistens von seinen Mobilgeräten streamen. ich habe keine speziellen Ports dafür geöffnet (nur die Standardports für das Netzwerk, HTTP(S), etc.) und alles läuft einwandfrei.
Warum soll da irgendwas zwischen irgendwelchen Netzen kommunizieren? Vielleicht kannst Du das noch etwas detaillierter erklären?
Falls Du damit meinst, dass Du z.B. ein Setup hast, in dem Du einen festen Rechner im LAN hast und dann deine Streaming Geräte im WLAN erreichen möchtest, dann reicht es ja, dafür eine einfache Firewall Regel zu erstellen.
Wie gesagt, das Problem ist mir nicht ganz klar.
Gruß
So wie du sagst - zwischen den WLAN Geräten klappt ja alles. Sprich die Spotify App am iPhone sieht die Chromecasts die auch im WLAN hängen. Jedoch der Mac oder Windowsstandrechner der über Kabel am LAN hängt, sieht die Airplay/Spotify Boxen, den WLAN Drucker mit AirPrint etc. nicht.
Denn es geht ja nicht grundsätzlich um die Erreichbarkeit eines WLAN Clients vom LAN aus - die ist ja gegeben. Es geht um die Discovery Funktion dieser Dienste - die been auf Broadcasts basiert.
Und da hilft es meiner Erfahrung nach auch nicht eine Firewallregel zu erstellen - weil es sich dabei eben um Broadcast Dienste handelt - die nicht über Netzgrenzen hinweg kommunizieren.
ZyXel VMG-1312-B30A
APU2C4 für OPNsense
UniFi Switch 8
UniFi AP AC Pro
Uhhh - sehr gut. Bis auf die Zyxel Ziemlich exakt das Setup das mir vorschwebt!
Bitte berichten wies dir dann damit geht :-)
Dazu kommt noch ein Branch Office mit einer Ubiquiti USG die auch einen IPSec Tunnel zu uns bekommt
Als nächster Schritt nach der Migration, die zweite ASG 220 als Failover einrichten.
Wie schlägt sich denn das USG im Business Einsatz?
Ist ja doch eher ein Consumer Produkt.
LG,
Michi
-
Wie schlägt sich denn das USG im Business Einsatz?
Ist ja doch eher ein Consumer Produkt.
Die USG ist eigentlich ein Mittelding zwischen KMU und Consumer. Störend ist, dass man einen Controller für Änderungen braucht. Eine Container mit Java, Tomcat und einer MongoDB. Wenn man einen Admin ist das OK, aber bei. zwei muss man eine dedizierte Workstation haben. Die USG wird aber abgelöst, da ich eine weitere ASG günstig ersteigern konnte. Ansonsten ist die Leistung der USG passabel
Grüße
Jörg
-
Uhhh - sehr gut. Bis auf die Zyxel Ziemlich exakt das Setup das mir vorschwebt!
Bitte berichten wies dir dann damit geht :-)
Gestern schon mal die Internetverbindung in Betrieb genommen. Die Installation war super einfach, nachdem ich das richtige serielle Kabel parat hatte. Innerhalb kürzester Zeit dann OPNsense konfiguriert, Modem angestöpselt, läuft. IPv4 und IPv6 werden bezogen und letzteres auch jeweils mit einer eigenen Adresse an die angeschlossenen Endgeräte vergeben. Passt.
Zur Kofiguration der Telefonie bin ich gestern nicht gekommen, das gilt es noch zu testen. Und die Ubiquiti-Sachen sind noch im Zulauf. Bis hierhin lief es aber erstaunlich problemlos. Sind für mich meine ersten Gehversuche mit OPNsense, kenne sonst nur die Sophos UTM. ;-)
-
Genau das ist die Frage - wie viel Paranoia ist im Privatumfeld "angebracht"?
Ich kenne vielleicht 1-2 Leute persönlich die eine Lösung wie OPNsense & Co daheim stehen haben. Der Rest verwendet nur den Router vom ISP - das wars.
Dass deren WLAN eine Katastrophe ist ist natürlich die andere Sache. Aber ansonsten scheinen mir die Leute ja nicht wirklich gröbere Probleme zu haben was eine derart Strickte Trennung der Netze erfordern würde.
Wobei das sicher auch andere Anforderungen/Ansprüche herrschen- das sollte man natürlich nicht außer acht lassen.
Was will man erwarten, wenn man es nicht besser weiß! Die meißten Leute machen keinen Unterschied zwischen FritzBox und einer Firewall. Weil Firewall hat die FritzBox ja auch... ::)
Für mich hat der Einsatz einer richtigen Firewall (wie OPNsense) gerade bei der Nutzung von internetfähigen Geräten wie z.B. einem Smart-TV etwas mit purem Eigenschutz/Datenschutz zu tun!
Wenn ich mir so ansehe, wohin mein Samsung so Alles senden will wird mir schlecht! Und das hat überhaupt nichts mit Paranoia zu tun.
Ja, ich will Zuhause Miracast, Mediatheken und Youtube auf dem Samsung TV nutzen. Ich will aber nicht, dass Samsung jederzeit nachvollziehen kann welche Sendung ich grad schaue!
So wie du sagst - zwischen den WLAN Geräten klappt ja alles. Sprich die Spotify App am iPhone sieht die Chromecasts die auch im WLAN hängen. Jedoch der Mac oder Windowsstandrechner der über Kabel am LAN hängt, sieht die Airplay/Spotify Boxen, den WLAN Drucker mit AirPrint etc. nicht.
Denn es geht ja nicht grundsätzlich um die Erreichbarkeit eines WLAN Clients vom LAN aus - die ist ja gegeben. Es geht um die Discovery Funktion dieser Dienste - die been auf Broadcasts basiert.
Und da hilft es meiner Erfahrung nach auch nicht eine Firewallregel zu erstellen - weil es sich dabei eben um Broadcast Dienste handelt - die nicht über Netzgrenzen hinweg kommunizieren.
Bridging ist hier das Zauberwort ;)
Ich habe bei meiner OPNsense das LAN und das interne WLAN gebridget. Dann klappt das auch mit dem Zugriff der Geräte untereinander problemlos. Ist Übrigens bei jedem 08/15 Router auch so.
Das Gäste-WLAN darf dann nur ins Internet.
Reicht für meine Ansprüche zu Hause vollkommen aus.
Sozusagen der Internetrouter 2.0 ;)
-
Ja, ich will Zuhause Miracast, Mediatheken und Youtube auf dem Samsung TV nutzen. Ich will aber nicht, dass Samsung jederzeit nachvollziehen kann welche Sendung ich grad schaue!
Das ist auf jeden Fall ein wichtiger Punkt. Daran habe ich so nicht wirklich gedacht. Hab selbst keinen Smart TV aber das betrifft ja auch andere Geräte.
Bridging ist hier das Zauberwort ;)
Ich habe bei meiner OPNsense das LAN und das interne WLAN gebridget. Dann klappt das auch mit dem Zugriff der Geräte untereinander problemlos. Ist Übrigens bei jedem 08/15 Router auch so.
Das Gäste-WLAN darf dann nur ins Internet.
Bridging ist mir neu. Danke für den Input - da werde ich mich mal einlesen.
Hebelt das bridging nicht die physikalische Trennung zweier Netze aus? Kann ich dann icht gleich alles in ein Netz packen?
Danke
LG
-
Bridging ist mir neu. Danke für den Input - da werde ich mich mal einlesen.
Hebelt das bridging nicht die physikalische Trennung zweier Netze aus? Kann ich dann icht gleich alles in ein Netz packen?
Ja, der per Brücke verbundenen Netze verhalten sich wie ein Netz.
Aber wir tauchen uns ja zum Einsatz der OPNsense im Heimnetz aus. Dazu muss man dann auch die Anforderungen im jeweiligen Heimnetz betrachten.
Wir haben z.B. folgende Devices zeitweise/immer in unserem Netz:
- Laptop
- Drucker
- Tablet
- 2 x Smartphone
- Smart TV
- eBook-Reader
Macht also insgesamt 7 Geräte. Normalerweise hängen auch fast alle per WIFI im Netz. Diese Geräte sollen auch alle untereinander unbeschränkt Kommunizieren dürfen (Streaming, Drucken, usw.). Daher eben das Heimnetz mit einem per Brücke verbundenen LAN und WLAN.
Die Geräte sind alle mit DHCP-Reservierung im Netz eindeutig identifizierbar, so dass ich die FW-Regeln individuell per Device-Groppen geregelt hab. Jeder Gruppe (auch wenn nur 1 Gerät ;) ) darf dann nur auf bestimmte Dienste/Ports im Internet zugreifen (z.B. können nur die Smartphones WhatsApp nutzen).
Dazu kommt dann ein Gäste-WLAN für Freunde/Bekannte die uns besuchen. Die kommen aus dem Gäste-WLAN aber nur ins Internet und können nicht auf das interne Netz zugreifen (ohne Captive-Portal/nur WLAN-Kennwort).
Damit habe ich zumindest weitgehend die Kontrolle, was aus meinem Netz heraus kommuniziert. Mehr als ich mit jeder FritzBox machen könnte.
Reicht mir persönlich für zuhause aus.
Jemand Anders mag eigene Server zu Hause betreiben und hat evtl ganz andere Anforderungen. Für den mag dann eine ganz andere Konfiguration sinnvoll sein.
-
@smawuascht
Ich habe jetzt mal die UniFi-Geräte in Betrieb genommen. Der Switch ist jedenfalls ein echt massives Gerät. Schwer, Gehäuse komplett aus Metall und wirkt echt hochwertig. Der AP hat eher die Materialanmutung einer billigen IKEA-Deckenlampe. Aber erfüllt auch sehr zufriedenstellend seine Aufgabe. Auch PoE funktioniert wunderbar.
Die Einrichtung war ein Kinderspiel. Theoretisch reicht ein einfacher Raspberry Pi als UniFi-Controller. Da bei mir ein Linux-NAS eh 24/7 läuft, habe ich die Controller-Software am Ende aber dort installiert. Spart mir eben wieder ein Gerät ein. Probiert hatte ich es vorab aber auch auf einem Raspberry und auch das lief für die paar wenigen Geräte performant genug für den täglichen Einsatz. Wer nen RPi3 hat, ist auf jeden Fall auf der sicheren Seite.
Telefonie hatte ich auch eingerichtet, da muss ich aber noch ein wenig prüfen, ob alles läuft. Beim ersten Telefonat habe ich nichts gehört, beim zweiten lief es dann. Das ist jedenfalls die aktuelle Baustelle.
VDSL wurde heute auch geschaltet, kann nachher also alles umbauen und in Betrieb nehmen. :)
-
Ich möchte mal kurz einwerfen, dass - trotz Bridging - die Sensen (egal welche) trotzdem die (theoretische) Möglichkeit haben, die Netze auf Paketebene trotzdem zu filtern. DAS ist ein Punkt, den kein einfacher Switch oder ein 08/15 SoHo Router erfüllen können :) (Stichwort transparentes Bridging und Filtering)
Hinzu kommt dass man bei allem Sicherheitsdenken dem natürlich immer der Komfort entgegen steht. Aber man kann durchaus beides kombinieren, hinterher mehr als nur "FB-Niveau" haben und sich trotzdem sicher(er) fühlen. Und das zurecht. Schon alleine dadurch, dass alles was hinter meinen Sensen steht jedem anderen Provider o.ä. verborgen bleibt und mir andere Vorteile bringt wie MultiWAN, policy based Routing, VPN, Jumphost und Co.
> Denn es geht ja nicht grundsätzlich um die Erreichbarkeit eines WLAN Clients vom LAN aus - die ist ja gegeben. Es geht um die Discovery Funktion dieser Dienste - die been auf Broadcasts basiert.
Hängt davon ab, was du discovern willst und musst! Ich kenne auch Kollegen die Sonos Geräte einsezten. In einem eigenen WLAN/VLAN und der Controller wird dann eben via IP/DNS angesprochen, problemlos. Die Auto-Erkennung oder Discovery ist schön, aber die meisten Sachen die IP sprechen, kann man auch per gutem DNS oder IP selbst ansprechen. Und wenn man eh schon über eigene Firewall und Co nachdenkt, ist das der kleinste Schritt ;) Die Sensen machen es einem da mit Unbound und Co auch noch recht einfach.
Grüße
-
Hi,
ich bin ganz neu hier und habe seit ca. 1 Woche OPNsense Zuhause laufen. Ich komme von IPCop der auf einem Fuijtsu Futro S300 mit 4GB CF Card und 1GB RAM lief.
Jetzt habe ich (günstig bei ebay) eine Terra Firewall "Black Dwarf" G2 UTM, VIA Nano U3500 1GHz , 2GB RAM mit 16GB mSata SSD ergattert. https://wiki.securepoint.de/UTM/Appliances#Terra_Firewall_.22Black_Dwarf.22_G2_UTM
Ich habe einen (theoretisch ::) ) 25 MBit's Down und 5 Mibt/s Up O2 VDSL Anschluss. Die Einwahl macht ein Sphairon Speedlink 1113 VDSL2 Modem <- WAN-> danach OPNsense <- LAN -> Fritzbox 7490.
Ich nutze eigentlich vorerst auf der OPNsense:
- OpenVPN Einwahl 1x Android Client, 1x PC
- DHCP, DNS, DynDNS
Ich möchte gerne noch etwas spielen und eventuell noch das Virenscanner-Plugin nachrüsten. Bzw. was ist noch sinnvoll im Heimgebrauch?
Ist es nötig / sinnvoll von 2GB Ram auf 4GB aufzurüsten?
MfG
:)
EDIT: Besonders cool finde ich das Captive-Portal. Dann bekommt meine Freundin zeitliche begrenzte WLAN-Voucher und ich somit weniger Pakete von Zalando. ;D
-
Ich möchte gerne noch etwas spielen und eventuell noch das Virenscanner-Plugin nachrüsten. Bzw. was ist noch sinnvoll im Heimgebrauch?
Ist es nötig / sinnvoll von 2GB Ram auf 4GB aufzurüsten?
Ich empfinde den WebProxy mit einigen aktiven Sperrlisten (z.B. Werbung) als sehr empfehlenswert. Ich habe den Proxy transparent für http-Filterung am Laufen. HTTPS-Verbindung aufzubrechen empfinde ich als nicht sinnvoll und mache ich dementsprechend nicht.
2 GB RAM reicht auf jedem Fall auch dafür aus. Ich habe hier selbst einen Zwerg G1 am laufen (1GB RAM) und da läuft der Proxy problemlos.
Wenn Du das ClamAV-Plugin und icap installierst macht 4GB RAM auf jedem Fall sinn. Aber Vorsicht! Ist sehr prozessorlastig und da könnte der Zwerg an die Grenzen kommen! Am Besten einfach ausprobieren, ob es der Zwerg tut.
IDS/IPS würde ich auf jedem Fall sein lassen! Dafür hat der Zwerg einfach nicht die (Prozessor)Power.
Gruß
Dirk
-
Ja, dass habe ich schonmal gelesen, dass du einen Zwerg hast. Danke für den Tipp ;) Daraufhin habe ich mir das teil besorgt, da mir ein PC Engines Gerät doch zu teuer war. Prinzipiell hätte es auch der alte IPCop weiterhin getan. Aber manchmal macht man solche Sachen aus einen Impuls heraus, einfach was neues haben zu wollen.
Werbung blocken ist sicher auch interessant, wobei ich auf meinen Geräte bis auf 1x Iphone Werbeblocker laufen habe bzw. angepasste Hostdateien.
Zum Thema IDS/IPS: Schade, dass ließt sich in der Theorie so gut. Aber dann ist das halt so.
-
Zum Thema IDS/IPS: Schade, dass ließt sich in der Theorie so gut. Aber dann ist das halt so.
Ja, Theorie und Praxis!
Jedes IP-Paket muss ja bei einem IDS/IPS-System analysiert werden, damit das System feststellen kann, ob es sich dabei um eine pot. Gefahr handelt oder um 'sauberen' Traffic. Dementsprechend sieht es auch mit der Last aus. Dementsprechend ist eigentlich auch SSL-Inspection pflicht, wenn man es mit IDS/IPS ernst meint.
Insbesondere, wenn Du dann noch eine schnelle Internetanbindung hast kommt die Hardware des Zwergs da einfach nicht mehr mit. Dafür braucht's dann schon Mehrkern-CPU-Systeme.
Erfahrungsgemäß sind aber die Meisten User mit der sauberen Konfiguration eines IDS/IPS eh hoffnungslos überfordert. ;)
Und jetzt mal ehrlich. Für 2-3 von einem selbst genutzte Clients zu Hause so ein Aufriss!?
-
@monstermania
Das mit dem ClamAV wuerde ich mir auch ueberlegen, da die Software anscheinend nicht besonders oft geupdated wird [1].
[1] http://tmowizard.square7.ch/wordpress/2017/10/15/sicherheit-am-pc-vi-ubuntu-clamav-verantwortungslos/
-
@loden_richard
Nun Ja, zunächst mal würde ich das Updateverhalten von ubuntu nicht als Masstab nehmen wollen. ;)
Aber rein grundsätzlich her ist der ClamAV von der Erkennungsleistung eh nicht doll. Wir haben auf unser kommerziellen UTM in der Firma sowohl ClamAV und noch ein Produkt im Einsatz (weiß jetzt nicht welches vom UTM Hersteller dazugekauft wurde ;)).
Fakt ist, dass durch ClamAV so ziemlich alle aktuellen Bedrohungen durchgehen (Email). Das dauert manchmal Tage, bis eine aktuelle Bedrohung auch durch ClamAV erkannt wird...
-
Hallo zusammen,
zur Frage was nutzt Ihr? Zur Zeit eine Fritzbox 7490.
Ich möchte aber eine "gescheite Firewall" in mein Netz integrieren. Die Fritzbox ist ja bezüglich der Firewall Funktion nicht so toll und lässt sich ja auch nur eingeschränkt konfigurieren. Ich würde gerne auf zusätzlicher Hardware Opnsene einsetzen. Die Fritzbox vorerst aber weiter nutzen. (ADSL Modem/ Switch/VOIP)
Welche Hardware ist da empfehlenswert. Zur Zeit habe ich DSL mit 16Mbit , 2018 soll dann aber VDSL mit 100MBit verfügbar sein.
Würde ein apu3b4 Board mit 4GB RAM erst einmal ausreichen? Könnte ich diese Hardware auch noch mit 100MBit weiter nutzen?
Die Draytek VigorNIC 132 PCIe Karte sieht auch interessant aus. Leider passt diese nicht auf das apu3b4 Board.
Wenn man sich damit damit eine Firewall/Router zusammenbaut ist man bei einer PC / Barebone Größe.
Ein kleineres Stück Hardware so wie das apu3b4 Board wäre mir da schon lieber. Der Stromverbrauch wäre auch geringer.
Was gibt es für Alternativen?
Über ein paar Ratschläge würde ich mich sehr freuen.
Danke.
Gruß Tom74
-
Hallo Tom,
ein PCengines APU ist eine sehr gute Wahl. Ich würde aber ein APU2C4 empfehlen. Das APU3 macht nur Sinn, wenn Du 3G/4G damit machen willst (SIM Slots auf dem Board).
Das APU3 ist nicht der Nachfolger des APU2.
Ansonsten wäre auch eine Securepoint RC100 eine Möglichkeit. Die Teile werden immer wieder für einen schmalen Taler bei eBay angeboten. Die laufen mit einem Intel Atom D525 und haben 4 x Gbit LAN. Braucht deutlich weniger als 10 Watt.
Hab gerade selbst vor einem Monat eine RC100 für 30€ gekauft.
Von der Leistung her reicht eine APU/RC100 auf jedem Fall auch für 100Mbit aus!
Gruß
Dirk
-
Vielen Dank für die Antwort.
Ist es sinnvoll noch eine WLAN Karte mit in die APU2 Firewall einzubauen? So wie ich gelesen habe kann die Compex WLE200NX Karte 2,4GHz und 5GHz nicht gleichzeitig. Oder einfach das WLAN der Fritzbox weiter nutzen?
Gruß Tom74
-
Ist es sinnvoll noch eine WLAN Karte mit in die APU2 Firewall einzubauen?
Tja gute Frage.
Die richtige Antwort ist wohl: Es kommt darauf an. ;)
Wenn richtig schnelles WLAN (IEEE 802.11ac) und 2,4/5Ghz für Dich wichtig ist und Du auch das WLAN reglementieren möchtest (z.B. Captive Portal, Proxy), dann besorg Dir einen extra AP. Die Unifi AC Pro sind m.E. von der Preis/Leistung her sehr empfehlenswert.
Ein eigener AP ist definitiv die optimale Lösung um stabiles und schnelles WLAN bereit zu stellen.
Wenn Du Deinen Gästen nur einen einfachen WLAN Gastzugang zu Verfügung stellen willst und Du keine besonderen Regeln dafür benötigst, dann nimm einfach die FritzBox dafür.
Und wenn Du partout keinen Platz und/oder Deine Frau auch diesen ganzen 'EDV-Krams' nicht haben will ::) und es Dir auch nicht auf den absoluten WLAN Speed ankommt und Du darüber hinaus noch Spaß am basteln/konfigurieren hast, dann kannst Du auch 1 oder 2 Atheros AR9280 Karten verbauen (z.B. Compex WLE 200 NX). ;)
WLAN in der OPNsense ist und bleibt eine Kompromisslösung.
-
Hallo monstermania,
ich habe richtig verstanden dass man opnsense auf der securepoint rc100 installieren kann, richtig ?
Und wenn das so ist braucht man dann irgendwelche Lizenzen von securepoint ?
-
ich habe richtig verstanden dass man opnsense auf der securepoint rc100 installieren kann, richtig ?
Ja, OPNsense läßt sich problemlos auf Securepoint HW betreiben. Egal, ob nun auf den Black Dwarf G1/G2 oder den RC100/RC200.
Securepoint baut die Hardware ja nicht selbst, sondern verwendet Hardware/Barebones von Lexcom:
- Black Dwarf G1 = Lexcom 3V700 (würde ich nicht mehr kaufen, da nur 32 Bit!)
- Black Dwarf G2 = Lexcom 3V900
- RC100/RC200 G2 = Lexcom 3I525D
Und natürlich brauchst Du keine Securepoint-Lizenz um OPNsense auf der Hardware zu installieren/nutzen. Allerdings wird bei der Installation der OPNsense die vorhandene Securepoint-Software gelöscht!
Das schöne ist halt, dass die Securepoint-Teile in D recht häufig bei ebay auftauchen.
Gruß
Dirk
-
Hallo Dirk,
vielen Dank für deine Antwort ;)
Das ist ja prima, ich hatte auch schon in der Bucht nach den RC100 geschaut. Werde mir dann auf jeden Fall eine greifen !
Wie läuft das bei der Installation ?
1. Das serial-Image der sense auf einen USB-Stick kopieren und ich die RC100 stecken.
2. Consolen-Anschluss der RC100 mit PC-Verbinden und die RC100 anschalten.
Korrekt ?
-
@vypr
Nein,
du benötigst für die Seceurepoints das VGA-Image! Die Securepointhardware hat einen VGA-Ausgang und keine serielle Konsole.
Ansonsten hast Du recht. Einfach das Image auf einen USB-Stick und vom Stick booten. Anschließend kann dann über den Installer einfach OPNsense auf der SSD installiert werden.
Achte darauf, dass Du auch wirklich eine RC100/200 G2 bekommst! Die G2 hat auf der Rückseite 4 x LAN und 3 x SMA-Anschluss für WLAN/UMTS.
Es gibt von Securepoint auch noch die Piranha's. Die haben das gleiche Gehäuse wie die RC100/200 aber nur 2 oder 3 x LAN und keine SMA-Anschlüsse. Teilweise verwechseln die Anbieter in Ihren Angeboten das auch!
Gruß
Dirk
-
RC100 V11 steht in der Beschreibung und sieht auch so aus wie hier:
https://wiki.securepoint.de/Datei:Rc100-200-back.png