Netgate SG-1000 microFirewall

Author Topic: PFsense Eignung Heimnetzwerk  (Read 278 times)

0 Members and 1 Guest are viewing this topic.

Offline fippox

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
PFsense Eignung Heimnetzwerk
« on: December 06, 2017, 01:54:51 am »
Moin,

seit einem halben Jahr habe ich meinen VServer bei webtropia aufgrund von Unzuverlässigkeit aufgegeben und betreibe seither auf meinem HTPC neben Windows 7 auch eine Virtual Box Instanz mit dem "guten" und vor Allem alten Windows XP, da ich davon noch eine VB Version hatte. Auf der VB ist ein Vserver gehostet, der einen TeamSpeak un mehrere Gameserver für meinen Clan bereitstellt. Ich bin mit dem Wissen in das Projekt reingegangen, dass das nicht unbedingt sicher für mein Heimnetz ist, gerade weil ich auch einen NAS Server besitze und bei einem eventuellen Hack über die für die Server geöffneten Ports damit meine Daten in Gefahr bringe.

Das möchte ich nun ändern mit einer DMZ und einem separaten PC, auf dem dann nur der dann Rootserver läuft. Leider bin ich bei O2, welche mir so eine dämliche Homebox2 geschickt haben. Aber sogar über die erhältliche Fritzbox wäre nur ein exposed Host möglich. Weil ich die O2 IP Telefonie benutze muss die Homebox leider erhalten bleiben. Meine Vorstellung wäre es, eine PFsense Instanz entweder auf einem extra Gerät oder auch als Virtual Box hinter den O2 Router zu schalten. Wenn ich das richtig sehe, müsste ich dann eher ein neues  Gerät dafür anschaffen, da ich ja auch das WLAN von der DMZ trennen muss, also z.B.

https://www.amazon.de/PC-Engines-Netzteil-Speicher-Gehäuse/dp/B00JR6X0ZK/ref=pd_lpo_vtph_147_tr_t_2?_encoding=UTF8&psc=1&refRID=R3BCY2ZMNW4PWAMBMXCE

sowas mit einer WLAN Integration.

Kann ich dann einfach festlegen, dass der Rechner in der DMZ nicht auf LAN und WLAN zugreifen kann, aber alle Geräte auf die DMZ und das Internet? Sollte doch so möglich sein. Für mein Vorhaben bräuchte ich also demensprechend 3 LAN Ports (LAN, DMZ, Internet), richtig?

Ggf. könnt ihr mir ja auch ein anderes Gerät als das von mir vorgeschlagene empfehlen, allerdings habe ich dazu schon eine Anzeige über ein gebrauchtes Gerät für 89€ gefunden.
Allgemein wollte ich das ganze Vorhaben relativ günstig realisieren.

Ich vertraue auf eure Ahnung und Hilfe, Beste Grüße
Felix

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #1 on: December 06, 2017, 06:21:49 am »
> sowas mit einer WLAN Integration.

Möchte man nicht. Du möchtest an der Stelle WLAN getrennt handhaben und nicht auf der Box drauf. :)

> Für mein Vorhaben bräuchte ich also demensprechend 3 LAN Ports (LAN, DMZ, Internet), richtig?

Du brauchst 3 Links, ja. Das müssen ggf. je nach Performance nichtmal physikalische Ports sein, das könnten auch VLANs auf der gleichen Gigabit Schnittstelle sein. Hängt vom Performance Wunsch etc. ab.

> Ggf. könnt ihr mir ja auch ein anderes Gerät als das von mir vorgeschlagene empfehlen, allerdings habe ich dazu schon eine Anzeige über ein gebrauchtes Gerät für 89€ gefunden.

Wundert mich nicht, dein Link ist eine APU1(!), die ist End of Life, alt und hat keine Ersatzteile mehr und wurde schon länger durch die APU2 abgelöst. Zudem ist die Performance für heute eher suboptimal. Gebraucht oder nicht.

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline fippox

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #2 on: December 06, 2017, 04:20:30 pm »
Erstmal danke für die Antwort. Warum WLAN nicht an dieser Stelle? Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

Welche von den Routerboxen ist dann zu empfehlen für die pfsense Software? Würde trotzdem gerne physikalische Schnittstellen haben, da ich vorhabe das ganze in Szene zu setzen im Flur.
Hatte mich übrigens vertan, https://www.ebay-kleinanzeigen.de/s-anzeige/pc-engines-bundle-alix2d13-alugehaeuse-router-firewall-pfsense/769679537-225-2155
Das sollte 2. Generation sein.

Liebe Grüße
« Last Edit: December 06, 2017, 04:43:54 pm by fippox »

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #3 on: December 07, 2017, 07:53:18 am »
Mahlzeit.

Die Alix sind noch älter.

Aktuell wäre das hier:
https://www.amazon.de/PC-Engines-APU2C4-Komplett-Alu-Geh%C3%A4use/dp/B01GEIEI7M/ref=sr_1_1?ie=UTF8&qid=1512654543&sr=8-1&keywords=apu2

Zum Thema Gameserver, zufällig was für die PS4 am laufen oder nur PC.


Gruß

DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #4 on: December 07, 2017, 08:37:39 am »
> Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

Nein, damit war gemeint, dass die pfSense bzw. das darunterliegende FreeBSD vieles gut kann. WiFi eher nicht. Deshalb würde ich das eher mit einem separaten AP machen, den man zudem dann ordentlich positionieren kann zwecks Abdeckung etc.

> Das sollte 2. Generation sein.

Nein, wie Mike korrekt sagt ist ALIX die Vorgängerin der APU. Bitte bitte - auch an alle die ein Problem haben und ihre Hardware schildern - schaut bei den PCEngines Sachen genau hin. Die Dinger heißen nicht ALIX APU oder sonstwas. Die Geräte von denen sind - dem Alter nach - WRAP (steinalt), ALIX (ganz alt), APU (alt), APU2 (aktuell) und APU3 (aktuell und PRIMÄR als Plattform für LTE/Telefonie gedacht). Irgendeine Kombination der Namen bringt alle nur durcheinander. Und alles was alt oder älter ist, solltest du tunlichst bei einer neuen Installation erstmal vergessen. Das macht IMHO absolut keinen Sinn damit anzufangen.

BTW: bei Amazon sind es meist die Shops selbst, die inserieren, da findet man eigentlich kein wirklich "gutes" Angebot. Dann kann man auch direkt bei den Händlern wie Varia und Co kaufen, meist sind die da noch ein klein bisschen günstiger.

Je nach Wunsch und später angestrebter Bandbreite und Pakete etc. würde ich entsprechende Hardware kaufen. Wenn du bspw. jetzt schon mit 400MBit Kabel oder >500Mbit FTTH planst, solltest du bspw. die APU2 ggf. im Schrank lassen und gleich etwas höher einsteigen. Genauso wenn du bspw. auf 2 Interfaces Gigabit brauchst und hier das Gigabit auch sauber ausnutzen willst oder die großen Pakete mit Snort und Co nutzen möchtest. Aber dann verlassen wir auch den Bereich "sehr günstig" :)

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline rubinho

  • Full Member
  • ***
  • Posts: 164
  • Karma: +5/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #5 on: December 07, 2017, 10:00:17 am »
Ich kann Jens nur Recht geben.

Wlan gehört nicht in die Firewall, dafür gibts Spezialisten wie z.B. Ubiquiti Unifi.

Was die Hardware angeht, ist die APU (2) so ziemlich die unterste Preiskategorie, was sich auch in der Leitsung bemerkbar macht. Wenn man einen Internet-Anschluss größer 200Mbit hat, sollte man auf eine leistungsfähigere Hardware setzen. Sieh dir mal das Board in meiner Signatur an, das wäre z.b. ein paar Leistungsstufen höher, jedoch halt nicht mehr ganz so günstig wie eine APU. Aber mit der entsprechenden Leistung, macht es richtig Spaß die Möglichkeiten von PFsense auszureizen.

Zu guter Letzt fehlt dann noch ein managebarer Switch (z.B. Dlink DGS1100er Series), um die unterschiedlichen Netze des WLan APs an die PFsense zu bekommen.

Gruß
Rubinho
[Pfsense 2.4] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.4] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

Offline fippox

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #6 on: December 07, 2017, 12:58:45 pm »
Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht? Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

Ich habe 50Mbit, vllt nächstes Jahr 100Mbit. Die Server sind rein für PC, keine Konsolen.

Also die APU2 würde mir dann reichen.


Wie gesagt, habe leider 0 Ahnung davon und müsste mich bei pfsense auch reinlesen und Tutorials gucken bei Sachen, die ich nicht durch mein eigenes Verständnis hinbekomme.
Ich danke euch für eure Antworten, wenigstens mal ein Forum in dem man schnelle Hilfe bekommt..

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3117
  • Karma: +201/-7
  • old man standing
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #7 on: December 08, 2017, 02:33:45 am »
> Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht?

Natürlich. Wenn ich eine ordentliche Firewall HINTER den Provider-Murks klemme, dann macht die auch alle Jobs. Und nicht die Murkskiste vornedran, der ich nicht vertrauen kann, weil sie nicht in meine Zuständigkeit gehört. Da der Provider da die Finger drauf hat, sehe ich die Box als WAN/Internet/potentiell gefährdend an, weil ich nicht genau sagen kann, wer was wo wie warum mit ihr macht. Da genügt mal wieder ein ISP und/oder Hersteller FuckUp und Upsi wird da WLAN drauf angemacht, ist eine Hintertür via TR069 oder sonst irgendein Murks offen, weil der Provider mal wieder ein ganz wichtiges Update remote eingespielt hat. Wenn man für sein Netz Ordnung schaffen und es absichern möchte, dann zieht man ja nicht unbedingt Dienste VOR die Firewall, die eigentlich dahinter laufen sollten.

> Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

Schön aber da oben irrelevant. Das einzige was ich auf der Box / mit dem WLAN des Provider-Routers abwickeln würde (wenn überhaupt), ist ein Gäste WLAN, die sind selbst für ihren Kram verantwortlich :) Aber meine Sachen haben schön hinter der pfSense zu spielen und nicht davor.

Ansonsten ist der ganze Stunt ja ziemlich wiedersinnig. Du hast dann einen Netzbereich hinter deinem Providerrouter, in welchem irgendwelche WLAN Devices herumspuken, dann die pfSense, dahinter dann eine DMZ und ein LAN. Und wenn die WLAN Geräte dann in die DMZ bzw. ins LAN müssen, musst du dich erst von WAN Seite her durch die Firewall bohren. Eher nicht so schön. Sinnvoller ist alle Netze terminieren auf der pfSense und von da geht der Traffic dann über die Providerbox nach draußen und fein :) - zumal es eh ein Krampf wäre, die Netze hinter der pfSense dann via DHCP Relay nach vorne zur Providerbox zu geben.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline fippox

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: PFsense Eignung Heimnetzwerk
« Reply #8 on: December 08, 2017, 11:53:17 am »
Stabil.

Also auf der Wunschliste für Weihnachten stehen somit APU2, AP und ein NUC von Intel für den Rootserver. Von der Homebox verbinde ich mit dem WAN der APU2, von dort ein link zum NUC und eins zum Switch, an dem dann der AP und das restliche LAN hängt.

Dann fehlt mir jetzt nur noch das Wissen was ich denn später in pfsense einstellen muss. Falls ich was nicht hinbekomme melde ich mich nochmal wenn ihr gewillt seid, sowas zu beantworten, aber dafür sollte das Forum ja da sein oder gibts dafür schon ein vergleichbares Thema/ Anleitung niedergeschrieben?

Liebe Grüße