Eure geschätzte Meinung zu meinem Standard-Setup.

Started by Thomas_L, March 24, 2022, 02:23:51 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
March 25, 2022, 10:19:55 AM #15
@Thomas_L ich benutze AdGuard Home zum Blocken von Trackern und Malware.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 25, 2022, 10:29:39 AM #16
@pmhausen

Welche Liste(n) verwendest du da im AdGuard Home?

Ich verwende zuhause die folgenden Listen:

https://abp.oisd.nl/ Stellt funktion über Sicherheit, daher praktisch keine False Positives.
https://filters.adtidy.org/extension/chromium/filters/6.txt Die German Blocklist
und die AdGuard DNS filter Liste

Vielen Dank für deine Mithilfe!

Schöne Grüße,

Thomas
March 25, 2022, 10:32:54 AM #17
Hallo lfirewall1243,

vielen Dank für deine Antwort.

Dass die Client Zertifikate am HAproxy abgefragt werden war mir nicht klar. Dann hilft es natürlich um den Zugriff zum Exchange zu verhindern.

Verwendest du hier eine MDM Lösung oder verteilst du die Client-Zertifikate manuell?

Schöne Grüße,

Thomas
March 25, 2022, 11:01:47 AM #18
Siehe Anhang.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 26, 2022, 06:10:46 PM #19
Quote from: Thomas_L on March 25, 2022, 10:32:54 AM
Verwendest du hier eine MDM Lösung oder verteilst du die Client-Zertifikate manuell?
Schöne Grüße,

Thomas
Sowohl als auch.
In kleineren Umgebungen, wo sich eine MDM Lösung einfach nicht lohnt, machen wir das für die Zertifikate oder VPN manuell.
In größeren natürlich per MDM
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 29, 2022, 07:54:41 AM #20
Hallo,

@lfirewall1243: Welche MDM Lösung verwendet ihr für diesen Zweck? Gibt es hier was einfaches günstiges das man vor allem für diesen Zweck verwendet oder braucht es hier sowas wie Intune das jeden Monat kostet?

eine Frage noch an alle: Schränkt ihr die ausgehenden Protokolle vor allem für Client PCs ein? Eigentlich sollte ja HTTP(S) ausgehend ausreichen für die meißten Fälle. Was sind da eure Erfahrungen?

Schöne Grüße,
Thomas
January 20, 2023, 10:43:18 AM #21
Quote from: pmhausen on March 25, 2022, 10:19:55 AM
@Thomas_L ich benutze AdGuard Home zum Blocken von Trackern und Malware.

Hi Patrick,

nutzt Du dann zu Hause gar kein Zenarmor, sondern nur AdGuard Home mit BIND und das war's?

Bin am Überlegen, ob es mit Zenarmor ein großer Zugewinn ist, wenn man AGH schon hat?
January 20, 2023, 11:42:19 AM #22
Quote from: Nambis on March 24, 2022, 10:22:08 PM
Stichwort "kürzeste Route" und "Anycast", das würde auch Sinn ergeben, die Root Server sind ja auf der ganzen Welt mehr oder weniger verteilt.
Es gibt zwar die 13 root-Server Aliase, aber dahinter stehen um die 1300 Server, die auch wieder verteilt sind, daher kannst du garnicht festlegen, wohin deine kürzeste Latenz ist - nur grob evtl in einen Kontinent.

Aber denke, das werden 95% der Nutzer nicht mal bemerketen, ob die DNS-Anfragen schnell oder langsam waren, die meiste Zeit geht für den Aufbau von Webseiten usw. drauf.
January 20, 2023, 11:52:31 AM #23
Quote from: dumbo on January 20, 2023, 10:43:18 AM
nutzt Du dann zu Hause gar kein Zenarmor, sondern nur AdGuard Home mit BIND und das war's?
Exakt. Wozu braucht man mehr?

Es ist ja nicht so, dass eine Handvoll Geräte hinter einem Speedport oder einer Fritzbox nun eine katastrophal unsichere Installation sind. Also mach ich mir für das Familien-Netz doch keinen Kopf. Es soll einfach alles funktionieren wie hinter einem Plasterouter auch und bitteschön keine UPNP oder ähnliche Löcher von draußen rein. Fertig. AGH auf der OPNsense statt einem separaten Pihole ist ein netter Bonus gegenüber dem Plasterouter.

Mein Server-Netz mit den aus dem Internet erreichbaren Diensten sieht etwas anders aus, aber auch hier - wenn ich ein Confluence ins Internet stelle, dann steht es da eben. Port 443 offen, fertig. Regelmäßige Updates sind Pflicht. Und das Server-Netz kommt nicht ins Familien-Netz und umgekehrt. Zugriff auf das genannte Confluence per Hairpin-NAT ...

Ich schlaf gut und mache mir möglichst wenig Arbeit wo sie nicht benötigt wird.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 20, 2023, 12:23:11 PM #24
Quote from: pmhausen on January 20, 2023, 11:52:31 AM
Quote from: dumbo on January 20, 2023, 10:43:18 AM
nutzt Du dann zu Hause gar kein Zenarmor, sondern nur AdGuard Home mit BIND und das war's?
Exakt. Wozu braucht man mehr?


Danke Dir - ich mag die klaren und richtigen Aussagen sehr  8) Aber so ist es auch - man sollte es einfach nicht zu komplex machen.
Schön, dass hier so lernen zu können - das Forum und das Feedback ist wirklich super in der Sache und noch ein großer Mehrwert eben doch OPNsense zu nutzen als andere Varianten.

Mit dem neuen 23.1 Release werden die Unbound Blocklists ja ein wenig ausgebaut. Das bezieht sich aber denke ich nur auf eine Ansicht/Übersicht, oder?
Oder ist das dann direkt schon ein vollwertiger Ersatz für AGH der da vor der Tür steht?
January 22, 2023, 11:02:37 AM #25
Hallo zusammen,

Auch ich nutze AdGuard Home für mein Heimnetz. Sehr einfach, klein und schnell.
Eine Alternative dazu stellt der eBlocker da, mit dem ich mittlerweile auch sehr zufrieden bin, seitdem der in Proxmox läuft.
Der Bricht auf Wunsch auch https auf und hat den unglaublichen Vorteil, dass jeder Benutzer seine Settings selbst verwalten kann. Ob der für mittlere bis große Netze geeignet ist, weiss ich nicht.
Im Vergleich zu zenarmor kann er halt nur auf DNS Basis blocken, hat aber sehr viele Apps und URL in der Vorauswahl und kann beliebig erweitert werden. Anschauen lohnt sich!
Zum Thema Nameserver: Ich habe einen 1 Euro VPS, aufdem AdGuard home läuft. Der macht NS Anfragen an 5 verschiedene Server gleichzeitg. Der wiederum wird dann von meinem eBlocker bzw AdGuard lokal abgefragt. Ich wüsste nicht, wie das noch schneller realisiert werden könnte.

LG Neppu
Print
Go Up Pages 1 2
User actions