wiki:basteleien:firewall

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
wiki:basteleien:firewall [2013/10/17 11:20] wikiadminwiki:basteleien:firewall [2021/03/23 08:51] (aktuell) – [Firewall reloaded (die Zweite)] wikiadmin
Zeile 1: Zeile 1:
 +~~BARCODE~class=barcode_right~size=S~~
 +
 Da ich zu Hause auch des öfteren mal Virenverseuchte Rechner reparieren muss, habe ich mich für eine Abtrennung zum Produktivnetz entschieden. Da ich zu Hause auch des öfteren mal Virenverseuchte Rechner reparieren muss, habe ich mich für eine Abtrennung zum Produktivnetz entschieden.
 Erste Ideen gab mir der folgende heise-Artikel: [[http://heise.de/-1825801|Router-Kaskaden]]. Eine super Idee, günstige Hardware (Router) zur Trennung zu nutzen. Nachteil: SMB-Freigaben im DMZ-Netz sind schwierig zu konfigurieren und der Zugang von Netzt zu Netz ist fast nicht möglich. Erste Ideen gab mir der folgende heise-Artikel: [[http://heise.de/-1825801|Router-Kaskaden]]. Eine super Idee, günstige Hardware (Router) zur Trennung zu nutzen. Nachteil: SMB-Freigaben im DMZ-Netz sind schwierig zu konfigurieren und der Zugang von Netzt zu Netz ist fast nicht möglich.
Zeile 16: Zeile 18:
 Erster Gedanke war M0n0Wall. Leider hat die BSD-Version die Netzwerkkarten nicht richtig erkannt Erster Gedanke war M0n0Wall. Leider hat die BSD-Version die Netzwerkkarten nicht richtig erkannt
  
-Zeiter Gedanke: pfSense. Dieser Fork von M0n0wall hat eine neuere BSD-Version und unterstützt die Netzwerkkkarte.+Zweiter Gedanke: pfSense. Dieser Fork von M0n0wall hat eine neuere BSD-Version und unterstützt die Netzwerkkkarte.
  
 Installation ging reibungslos von Statten. Boot von USB-Stick, Installation, Fertig. Installation ging reibungslos von Statten. Boot von USB-Stick, Installation, Fertig.
Zeile 46: Zeile 48:
 Zunächst sollte man die Fritzbox selbst umkonfigurieren, da sie ja nicht mehr selbst die Einwahl übernimmt. Hilfe gibt es [[http://service.avm.de/support/de/SKB/FRITZ-Box-7390/106:Internetverbindung-eines-anderen-Routers-mit-FRITZ-Box-nutzen|hier]] Zunächst sollte man die Fritzbox selbst umkonfigurieren, da sie ja nicht mehr selbst die Einwahl übernimmt. Hilfe gibt es [[http://service.avm.de/support/de/SKB/FRITZ-Box-7390/106:Internetverbindung-eines-anderen-Routers-mit-FRITZ-Box-nutzen|hier]]
    
-Dann muss man die [[http://www.avm.de/de/Service/Service-Portale/Service-Portal/5188_Fragen_an_die_Hotline/090_Gateway_hinter_Router_Ports.php|folgendnen Ports]] in der Firewall öffnen: +Dann muss man die <del>[[http://www.avm.de/de/Service/Service-Portale/Service-Portal/5188_Fragen_an_die_Hotline/090_Gateway_hinter_Router_Ports.php|folgendnen Ports]]</del>[[http://avm.de/nc/service/fritzbox/fritzbox-7113/wissensdatenbank/publication/show/38_Mit-FRITZ-Box-telefonieren-wenn-ein-anderer-Router-die-Internetverbindung-herstellt/|folgenden Ports (gaaaanz unten)]] in der Firewall öffnen: 
-  * UDP-Port 5060 +  * UDP: Source = 5060; Destination = Fritzbox 5060 
-  * UDP-Port 7078 bis 7097 +  * UDP: Source = >= 1024; Destination = 7078 - 7097
-  * UDP-Port 53 (DNS-Anfragen und Antworten)+
  
 Normalerweise sollte es jetzt funktionieren. Normalerweise sollte es jetzt funktionieren.
  
-Aus Sicherheitstechnischen Gründen ändert pfsense den Source-Port aller ausgehenden Pakete. Dies ist aber Gift für VoIP und IPSec. Um dies zu ändern, muss man sich [[https://doc.pfsense.org/index.php/Static_Port|diesen pfsense-Artikel]] zu gemüte führen.+Aus Sicherheitstechnischen Gründen ändert pfsense den Source-Port aller ausgehenden Pakete. Dies ist aber Gift für VoIP und IPSec. Um dies zu ändern, muss man sich [[https://doc.pfsense.org/index.php/Static_Port|diesen pfsense-Artikel]] zu gemüte führen und Outbound-Regeln definieren.
  
  
Zeile 59: Zeile 60:
  
   * [[http://www.hammerweb.com/blog/2011/09/traffic-shaper-in-pfsense-2-0/]]   * [[http://www.hammerweb.com/blog/2011/09/traffic-shaper-in-pfsense-2-0/]]
 +
 +
 +====== Firewall reloaded ======
 +
 +Neue Aufgaben brauchen neue Hardware. Die 100MBit Netzwerkkarten wurden auf dauer doch zu langsam. Deshalb wurde ein neues System gekauft
 +
 +Spezifikation
 +  * Mainboard: Jetway NF96FL-525-LF
 +  * CPU: Intel Atom D525
 +  * Netzwerk: 4x GigaBit Ethernet (1x Realtek, 3x Intel)
 +  * RAM: 2GB Kingston ValueRAM DDR2-800
 +  * Festplatte: 80GB SATA 2,5 Zoll
 +  * M350 mini-ITX Gehäuse
 +
 +Stromverbrauch: 20-25 Watt
 +
 +Netzwerkdurchsatz: 30 - 50MB/s :-D
 +
 +====== Firewall reloaded (die Zweite) ======
 +
 +Nachdem das Mainboard meiner Firewall aufgegeben hat, musste ein neues her. Nachbestellen war zu teuer und hätte zu lange gedauert.\\
 +Deshalb wurde eine neue Firewall aufgebaut.
 +
 +Spezifikation:
 +  * Mainboard: ASRock N3700M (Diesmal MicroATX, da ich ein PCIe 2.0 x16 brauchte)
 +  * CPU: Intel Pentium N3700
 +  * Netzwerk: 5x GigaBit Ethernet (1x OnBoard, 4x Intel Pro 1000 Quad Port)
 +  * RAM: 4GB Kingston ValueRAM DDR3-1600 (KVR16LN11/4)
 +  * Festplatte: 80GB SATA 2,5 Zoll (ersetzt durch eine ADATA SU900)
 +  * Gehäuse: Kolink Satellite
 +
 +Stromverbrauch: 7-25 Watt 
 +
 +Netzwerkdurchsatz: bis zu 52MB/s 8-O ;-)
 +
 +====== openVPN ======
 +
 +  * ein Server, mehrere Netze: [[https://doc.pfsense.org/index.php/OpenVPN_multi_purpose_single_server]]
 +  * Howtos: [[https://forum.pfsense.org/index.php/topic,48667.0.html]], [[https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)]]
 +  * RoutingProblem: [[http://www.administrator.de/wissen/pfsense-und-openvpn-ein-hartn%C3%A4ckiges-routing-problem-im-remote-netz-erfolgreich-gel%C3%B6st-wie-immer-254195.html]]
 +  * Routed Lans: [[https://community.openvpn.net/openvpn/wiki/RoutedLans]]
 +  * Weg zum Ziel?: [[https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_OpenVPN-connection_in_PfSense_2.1]], [[https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense/]]
 +
 +  * Der Richtige Weg: [[http://husse.in/2012/12/01/pfsense-openvpn-server-with-dd-wrt-clients/]]
 +
  
  
  • wiki/basteleien/firewall.1382001633.txt.gz
  • Zuletzt geändert: 2013/10/17 11:20
  • von wikiadmin