wiki:basteleien:firewall

barcode

Da ich zu Hause auch des öfteren mal Virenverseuchte Rechner reparieren muss, habe ich mich für eine Abtrennung zum Produktivnetz entschieden. Erste Ideen gab mir der folgende heise-Artikel: Router-Kaskaden. Eine super Idee, günstige Hardware (Router) zur Trennung zu nutzen. Nachteil: SMB-Freigaben im DMZ-Netz sind schwierig zu konfigurieren und der Zugang von Netzt zu Netz ist fast nicht möglich. Deshalb habe ich mir eine Firewall angeschaft:

Hardware

  • Igel 5200LX 5/3
  • D-Link DFE-580TX 100MBit Quad-Port Netzwerkkarte
  • 1GB RAM
  • 8GB Compact Flash

Stromverbrauch: 27-33Watt

Software

Erster Gedanke war M0n0Wall. Leider hat die BSD-Version die Netzwerkkarten nicht richtig erkannt

Zweiter Gedanke: pfSense. Dieser Fork von M0n0wall hat eine neuere BSD-Version und unterstützt die Netzwerkkkarte.

Installation ging reibungslos von Statten. Boot von USB-Stick, Installation, Fertig.

Probleme

Da ich VDSL-habe, habe ich mich auf die suche nach einem VDSL-Modem (nicht Router) gemacht. Vorteile: Die Firewall selbst macht das NAT und die Einwahl ins Netz. Das Modem ist quasi nur für die Umsetzung von VDSL auf LAN zuständig

Als Modem habe ich mir das Zyxel P-870H-53A gekauft.

Nach langer Recherche und mehreren Tagen bin ich auf die Rezensionen von Amazon und auf diesen Link gestoßen. Mit Hilfe des Heise-Artikels habe ich die Einwahl versucht.

Leider hat es nicht funktioniert. Fehler: 1und1 benutzt zwar das VLAN 7 für die Übertragung, dieses VLAN endet aber am Modem. Die Firewall muss also nicht für VLAN7 konfiguriert werden. Außerdem muss der Benutzername (bei 1und1) ein „H“ vorangestellt werden (Quelle: http://forum.pfsense.org/index.php?topic=51582.0). Dann klappts auch mit dem Zugang.

Die offiziell letzte Firmware auf der Website hat ein Problem mit der Downloadgeschwindigkeit.

Nach Rücksprache mit dem Support wurde mir diese Firmware empfohlen

VoIP einzurichten ist eigetlich nicht sonderlich schwer, nur ein paar Ports öffnen und fertig. Weit gefehlt.

Zunächst sollte man die Fritzbox selbst umkonfigurieren, da sie ja nicht mehr selbst die Einwahl übernimmt. Hilfe gibt es hier

Dann muss man die folgendnen Portsfolgenden Ports (gaaaanz unten) in der Firewall öffnen:

  • UDP: Source = 5060; Destination = Fritzbox 5060
  • UDP: Source = >= 1024; Destination = 7078 - 7097

Normalerweise sollte es jetzt funktionieren.

Aus Sicherheitstechnischen Gründen ändert pfsense den Source-Port aller ausgehenden Pakete. Dies ist aber Gift für VoIP und IPSec. Um dies zu ändern, muss man sich diesen pfsense-Artikel zu gemüte führen und Outbound-Regeln definieren.

Traffic Shaper

Firewall reloaded

Neue Aufgaben brauchen neue Hardware. Die 100MBit Netzwerkkarten wurden auf dauer doch zu langsam. Deshalb wurde ein neues System gekauft

Spezifikation

  • Mainboard: Jetway NF96FL-525-LF
  • CPU: Intel Atom D525
  • Netzwerk: 4x GigaBit Ethernet (1x Realtek, 3x Intel)
  • RAM: 2GB Kingston ValueRAM DDR2-800
  • Festplatte: 80GB SATA 2,5 Zoll
  • M350 mini-ITX Gehäuse

Stromverbrauch: 20-25 Watt

Netzwerkdurchsatz: 30 - 50MB/s :-D

Firewall reloaded (die Zweite)

Nachdem das Mainboard meiner Firewall aufgegeben hat, musste ein neues her. Nachbestellen war zu teuer und hätte zu lange gedauert.
Deshalb wurde eine neue Firewall aufgebaut.

Spezifikation:

  • Mainboard: ASRock N3700M (Diesmal MicroATX, da ich ein PCIe 2.0 x16 brauchte)
  • CPU: Intel Pentium N3700
  • Netzwerk: 5x GigaBit Ethernet (1x OnBoard, 4x Intel Pro 1000 Quad Port)
  • RAM: 4GB Kingston ValueRAM DDR3-1600 (KVR16LN11/4)
  • Festplatte: 80GB SATA 2,5 Zoll (ersetzt durch eine ADATA SU900)
  • Gehäuse: Kolink Satellite

Stromverbrauch: 7-25 Watt

Netzwerkdurchsatz: bis zu 52MB/s 8-O ;-)

openVPN

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
   ___    __    ___   _      __   ___ 
  / _ \  / /   / _ \ | | /| / /  / _ |
 / ___/ / /__ / // / | |/ |/ /  / __ |
/_/    /____//____/  |__/|__/  /_/ |_|
 
  • wiki/basteleien/firewall.txt
  • Zuletzt geändert: 2021/03/23 08:51
  • von wikiadmin