Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wiki:basteleien:firewall [2013/10/11 12:00] – angelegt wikiadmin
+++ wiki:basteleien:firewall [2021/03/23 08:51] (aktuell) – [Firewall reloaded (die Zweite)] wikiadmin
@@ Zeile 1: / Zeile 1: @@
+~~BARCODE~class=barcode_right~size=S~~
 Da ich zu Hause auch des öfteren mal Virenverseuchte Rechner reparieren muss, habe ich mich für eine Abtrennung zum Produktivnetz entschieden.
 Erste Ideen gab mir der folgende heise-Artikel: [[http://heise.de/-1825801|Router-Kaskaden]]. Eine super Idee, günstige Hardware (Router) zur Trennung zu nutzen. Nachteil: SMB-Freigaben im DMZ-Netz sind schwierig zu konfigurieren und der Zugang von Netzt zu Netz ist fast nicht möglich.
 Deshalb habe ich mir eine Firewall angeschaft:
 ====== Hardware ======
-  * Igel 4200LX
+  * Igel 5200LX 5/3
   * D-Link DFE-580TX 100MBit Quad-Port Netzwerkkarte
   * 1GB RAM
@@ Zeile 15: / Zeile 18: @@
 Erster Gedanke war M0n0Wall. Leider hat die BSD-Version die Netzwerkkarten nicht richtig erkannt
-Zeiter Gedanke: pfSense. Dieser Fork von M0n0wall hat eine neuere BSD-Version und unterstützt die Netzwerkkkarte.
+Zweiter Gedanke: pfSense. Dieser Fork von M0n0wall hat eine neuere BSD-Version und unterstützt die Netzwerkkkarte.
 Installation ging reibungslos von Statten. Boot von USB-Stick, Installation, Fertig.
@@ Zeile 22: / Zeile 25: @@
-===== VDSL-Modem =====
+===== VDSL-Modem einrichtung=====
 Da ich VDSL-habe, habe ich mich auf die suche nach einem VDSL-Modem (nicht Router) gemacht.
@@ Zeile 32: / Zeile 35: @@
 Leider hat es nicht funktioniert. Fehler: 1und1 benutzt zwar das VLAN 7 für die Übertragung, dieses VLAN endet aber am Modem. Die Firewall muss also nicht für VLAN7 konfiguriert werden. Außerdem muss der Benutzername (bei 1und1) ein "H" vorangestellt werden (Quelle: [[http://forum.pfsense.org/index.php?topic=51582.0]]). Dann klappts auch mit dem Zugang.
+===== VDSL-Modem Geschwindigkeit =====
+Die offiziell letzte Firmware auf der Website hat ein Problem mit der Downloadgeschwindigkeit.
+Nach Rücksprache mit dem Support wurde mir [[ftp://ftp.zyxel-tech.de/2.new_mirror/P-870H-53A_v2/firmware/daytime/101TUH0_0909.zip|diese Firmware]] empfohlen
 ===== VoIP-Telefon =====
+VoIP einzurichten ist eigetlich nicht sonderlich schwer, nur ein paar Ports öffnen und fertig. Weit gefehlt.
+Zunächst sollte man die Fritzbox selbst umkonfigurieren, da sie ja nicht mehr selbst die Einwahl übernimmt. Hilfe gibt es [[http://service.avm.de/support/de/SKB/FRITZ-Box-7390/106:Internetverbindung-eines-anderen-Routers-mit-FRITZ-Box-nutzen|hier]]
+Dann muss man die <del>[[http://www.avm.de/de/Service/Service-Portale/Service-Portal/5188_Fragen_an_die_Hotline/090_Gateway_hinter_Router_Ports.php|folgendnen Ports]]</del>[[http://avm.de/nc/service/fritzbox/fritzbox-7113/wissensdatenbank/publication/show/38_Mit-FRITZ-Box-telefonieren-wenn-ein-anderer-Router-die-Internetverbindung-herstellt/|folgenden Ports (gaaaanz unten)]] in der Firewall öffnen:
+  * UDP: Source = 5060; Destination = Fritzbox 5060
+  * UDP: Source = >= 1024; Destination = 7078 - 7097
+Normalerweise sollte es jetzt funktionieren.
+Aus Sicherheitstechnischen Gründen ändert pfsense den Source-Port aller ausgehenden Pakete. Dies ist aber Gift für VoIP und IPSec. Um dies zu ändern, muss man sich [[https://doc.pfsense.org/index.php/Static_Port|diesen pfsense-Artikel]] zu gemüte führen und Outbound-Regeln definieren.
+====== Traffic Shaper ======
+  * [[http://www.hammerweb.com/blog/2011/09/traffic-shaper-in-pfsense-2-0/]]
+====== Firewall reloaded ======
+Neue Aufgaben brauchen neue Hardware. Die 100MBit Netzwerkkarten wurden auf dauer doch zu langsam. Deshalb wurde ein neues System gekauft
+Spezifikation
+  * Mainboard: Jetway NF96FL-525-LF
+  * CPU: Intel Atom D525
+  * Netzwerk: 4x GigaBit Ethernet (1x Realtek, 3x Intel)
+  * RAM: 2GB Kingston ValueRAM DDR2-800
+  * Festplatte: 80GB SATA 2,5 Zoll
+  * M350 mini-ITX Gehäuse
+Stromverbrauch: 20-25 Watt
+Netzwerkdurchsatz: 30 - 50MB/s :-D
+====== Firewall reloaded (die Zweite) ======
+Nachdem das Mainboard meiner Firewall aufgegeben hat, musste ein neues her. Nachbestellen war zu teuer und hätte zu lange gedauert.\\
+Deshalb wurde eine neue Firewall aufgebaut.
+Spezifikation:
+  * Mainboard: ASRock N3700M (Diesmal MicroATX, da ich ein PCIe 2.0 x16 brauchte)
+  * CPU: Intel Pentium N3700
+  * Netzwerk: 5x GigaBit Ethernet (1x OnBoard, 4x Intel Pro 1000 Quad Port)
+  * RAM: 4GB Kingston ValueRAM DDR3-1600 (KVR16LN11/4)
+  * Festplatte: 80GB SATA 2,5 Zoll (ersetzt durch eine ADATA SU900)
+  * Gehäuse: Kolink Satellite
+Stromverbrauch: 7-25 Watt
+Netzwerkdurchsatz: bis zu 52MB/s 8-O ;-)
+====== openVPN ======
+  * ein Server, mehrere Netze: [[https://doc.pfsense.org/index.php/OpenVPN_multi_purpose_single_server]]
+  * Howtos: [[https://forum.pfsense.org/index.php/topic,48667.0.html]], [[https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)]]
+  * RoutingProblem: [[http://www.administrator.de/wissen/pfsense-und-openvpn-ein-hartn%C3%A4ckiges-routing-problem-im-remote-netz-erfolgreich-gel%C3%B6st-wie-immer-254195.html]]
+  * Routed Lans: [[https://community.openvpn.net/openvpn/wiki/RoutedLans]]
+  * Weg zum Ziel?: [[https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_OpenVPN-connection_in_PfSense_2.1]], [[https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense/]]
+  * Der Richtige Weg: [[http://husse.in/2012/12/01/pfsense-openvpn-server-with-dd-wrt-clients/]]