Da ich zu Hause auch des öfteren mal Virenverseuchte Rechner reparieren muss, habe ich mich für eine Abtrennung zum Produktivnetz entschieden. Erste Ideen gab mir der folgende heise-Artikel: Router-Kaskaden. Eine super Idee, günstige Hardware (Router) zur Trennung zu nutzen. Nachteil: SMB-Freigaben im DMZ-Netz sind schwierig zu konfigurieren und der Zugang von Netzt zu Netz ist fast nicht möglich. Deshalb habe ich mir eine Firewall angeschaft:
Hardware
- Igel 5200LX 5/3
- D-Link DFE-580TX 100MBit Quad-Port Netzwerkkarte
- 1GB RAM
- 8GB Compact Flash
Stromverbrauch: 27-33Watt
Software
Erster Gedanke war M0n0Wall. Leider hat die BSD-Version die Netzwerkkarten nicht richtig erkannt
Zweiter Gedanke: pfSense. Dieser Fork von M0n0wall hat eine neuere BSD-Version und unterstützt die Netzwerkkkarte.
Installation ging reibungslos von Statten. Boot von USB-Stick, Installation, Fertig.
Probleme
VDSL-Modem einrichtung
Da ich VDSL-habe, habe ich mich auf die suche nach einem VDSL-Modem (nicht Router) gemacht. Vorteile: Die Firewall selbst macht das NAT und die Einwahl ins Netz. Das Modem ist quasi nur für die Umsetzung von VDSL auf LAN zuständig
Als Modem habe ich mir das Zyxel P-870H-53A gekauft.
Nach langer Recherche und mehreren Tagen bin ich auf die Rezensionen von Amazon und auf diesen Link gestoßen. Mit Hilfe des Heise-Artikels habe ich die Einwahl versucht.
Leider hat es nicht funktioniert. Fehler: 1und1 benutzt zwar das VLAN 7 für die Übertragung, dieses VLAN endet aber am Modem. Die Firewall muss also nicht für VLAN7 konfiguriert werden. Außerdem muss der Benutzername (bei 1und1) ein „H“ vorangestellt werden (Quelle: http://forum.pfsense.org/index.php?topic=51582.0). Dann klappts auch mit dem Zugang.
VDSL-Modem Geschwindigkeit
Die offiziell letzte Firmware auf der Website hat ein Problem mit der Downloadgeschwindigkeit.
Nach Rücksprache mit dem Support wurde mir diese Firmware empfohlen
VoIP-Telefon
VoIP einzurichten ist eigetlich nicht sonderlich schwer, nur ein paar Ports öffnen und fertig. Weit gefehlt.
Zunächst sollte man die Fritzbox selbst umkonfigurieren, da sie ja nicht mehr selbst die Einwahl übernimmt. Hilfe gibt es hier
Dann muss man die folgendnen Portsfolgenden Ports (gaaaanz unten) in der Firewall öffnen:
- UDP: Source = 5060; Destination = Fritzbox 5060
- UDP: Source = >= 1024; Destination = 7078 - 7097
Normalerweise sollte es jetzt funktionieren.
Aus Sicherheitstechnischen Gründen ändert pfsense den Source-Port aller ausgehenden Pakete. Dies ist aber Gift für VoIP und IPSec. Um dies zu ändern, muss man sich diesen pfsense-Artikel zu gemüte führen und Outbound-Regeln definieren.
Traffic Shaper
Firewall reloaded
Neue Aufgaben brauchen neue Hardware. Die 100MBit Netzwerkkarten wurden auf dauer doch zu langsam. Deshalb wurde ein neues System gekauft
Spezifikation
- Mainboard: Jetway NF96FL-525-LF
- CPU: Intel Atom D525
- Netzwerk: 4x GigaBit Ethernet (1x Realtek, 3x Intel)
- RAM: 2GB Kingston ValueRAM DDR2-800
- Festplatte: 80GB SATA 2,5 Zoll
- M350 mini-ITX Gehäuse
Stromverbrauch: 20-25 Watt
Netzwerkdurchsatz: 30 - 50MB/s
Firewall reloaded (die Zweite)
Nachdem das Mainboard meiner Firewall aufgegeben hat, musste ein neues her. Nachbestellen war zu teuer und hätte zu lange gedauert.
Deshalb wurde eine neue Firewall aufgebaut.
Spezifikation:
- Mainboard: ASRock N3700M (Diesmal MicroATX, da ich ein PCIe 2.0 x16 brauchte)
- CPU: Intel Pentium N3700
- Netzwerk: 5x GigaBit Ethernet (1x OnBoard, 4x Intel Pro 1000 Quad Port)
- RAM: 4GB Kingston ValueRAM DDR3-1600 (KVR16LN11/4)
- Festplatte: 80GB SATA 2,5 Zoll (ersetzt durch eine ADATA SU900)
- Gehäuse: Kolink Satellite
Stromverbrauch: 7-25 Watt
Netzwerkdurchsatz: bis zu 52MB/s
openVPN
- ein Server, mehrere Netze: https://doc.pfsense.org/index.php/OpenVPN_multi_purpose_single_server
- Der Richtige Weg: http://husse.in/2012/12/01/pfsense-openvpn-server-with-dd-wrt-clients/
Diskussion