Topics

1

German - Deutsch / avm fritz box vs opnsense

« on: June 06, 2018, 10:54:55 am »

servus,

vielleicht ist es ja eine blöde frage, aber ich würde gerne eure ansichten dazu hören:

derzeit betreibe ich die reihenfolge

inet - cablemodem - opnsense - fritzbox - (alle geräte)

dh die fritzbox übernimmt dhcp, fw (also eher: filter für erlauben ausgehender kommunikation usw., quasi wie als wenn opnsense nicht vorgeschaltet wäre), opnsense selbst nur IPS und einige ganz wenige rules um bspw vpn durchzulassen.

ich habe also die sicherheit der millionenfach eingesetzten, von der presse und den usern "überwachten" fritz box. ein fehler darin würde vermutlich zügig auffallen PLUS der vorgeschalteten opnsense mit IPS usw.

wenn ich jetzt die reihenfolge ändere auf

inet - cablemodem - opnsense - (alle geräte, inkl. fritzbox)

dh die fritzbox kümmert sich nur noch als router um ähhh wlan? und alles andere mache ich über opnsense.

stelle ich mir die frage: bin ich jetzt besser / schlechter dran
- was die sicherheit angeht (opnsense nutzerzahl sicher weit unter fritz box, dafür mehr profis?)
- was die usability angeht (ich kann bei opnsense mehr falsch machen, da komplexer und ggf. nicht alles so funktioniert, wie ich denke usw.)

klar ist, ich kann bei der opnsense viel mehr eingreifen, steuern, überwachen usw. als es mit der fritz box geht. aber vllt mache ich einen kleinen fehler, und dann ist meine security im keller.

warum dann die frage? weil ich eigentlich tatsächlich die bessere und feingranularere steuerung nutzen möchte, bspw. sollen bestimmte geräte nur bestimmte adressräume im inet ansprechen dürfen usw. vielleicht sind das ja kanonen auf spatzen, aber ich würde gerne mal darüber diskutieren.

ich danke euch vorab für vielfältige ansichten & expertisen!

vg!

2

16.7 Legacy Series / too many rules in IPS?

« on: December 01, 2016, 10:47:04 am »

Hi all,

I am checking out opnsense for th first time & did some tests with IDS/IPS and rule(sets)...

Right now, I only have a personal rule enabled (geoip), but there are still >200 rules "active" in the rules-tab of IDS.

Question: Is this correct? Is it like a suricata-standard ruleset?

Thanks in advance,
m

3

German - Deutsch / anfänger mit opnsense, architektur frage (vpn, fritzbox)

« on: September 29, 2016, 09:26:37 pm »

servus kollegen,

ich bin fw-anfänger, habe rudimentäre kenntnisse und bin ein bisschen überfordert aktuell - brauche mal unterstützung:

habe eine aktuelle opnsense VOR meiner fritz und nach meinem kabelmodem.

damit bin ich nach meinem kenntnisstand erstmal nicht unsicherer als ohne opnsense, korrekt?

jetzt nutze ich ein vpn zu einer anderen fritz; outbound kein problem, aber inbound kriege ich nicht ans fliegen.

mein verständnis: man muss bestimmte ports & services weiterleiten, so wie man bei AVM nachlesen kann. trotzdem kann ich von extern keine verbindung herstellen. ich habe versucht, mir die logs anzuschauen zur diagnose, aber da werde ich nicht fündig.

das liegt sicher an meiner fehlenden kenntnis; gibt es eine standard-anleitung (welche regeln auf (vermutlich) dem WAN IF ich einrichten muss), den wenn ich port forwarding nutze, werden diverse regeln ja automatisch eingestellt...

konfig konkret:

kabelmodem - opn - fritz - lan

ip-ranges sind alle schon unterschiedlich usw.

mir erscheint das eigentlich total simpel, aber es klappt einfach nicht: die verbindung wird immer abgebrochen, und auch die logs zeigen mir keinen hinweis.

besten dank,
M