Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Fünf von sechs Routern…

Pfsense

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Pfsense

    Autor: fritze_007 05.10.18 - 12:24

    ...und gut is.

  2. Re: Pfsense

    Autor: diedmatrix 05.10.18 - 12:50

    Ist eine Firewall und kein Router
    Der Normaoa ist damit überfordert
    Die Hersteller sollen ihr drecks Produkte endlich pflegen!

    Als kundefreundlichere Alternative bin ich die Tage auf Firewalla gestoßen.

  3. Re: Pfsense

    Autor: xploded 05.10.18 - 12:55

    Eine Firewall mit nur einem RJ45 Port kann ich irgendwie nicht ernst nehmen.

  4. Re: Pfsense

    Autor: fritze_007 05.10.18 - 12:57

    diedmatrix schrieb:
    --------------------------------------------------------------------------------
    > Ist eine Firewall und kein Router

    https://www.netgate.com/docs/pfsense/wireless/should-i-use-pfsense-as-my-access-point.html

    > Der Normaoa ...

    What´s that?

  5. Re: Pfsense

    Autor: fritze_007 05.10.18 - 13:06

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Eine Firewall mit nur einem RJ45 Port kann ich irgendwie nicht ernst
    > nehmen.

    Das Konzept, eine firewall klein und die Bedienung "idiot save" zu machen, ist nicht schlecht und anschaulicher als manche fritze.

    Aber: mehr als 100 MBit Durchsatz schafft die Kleine nicht ! Das war´s dann als aktuelle Alternative.

  6. Re: Pfsense

    Autor: robinx999 05.10.18 - 13:07

    Mit einem VLAN fähigem Switch ist auch eine Firewall mit nur einem RJ45 machbar.
    Auch ein alter Laptop mit Displayschaden kann dort noch gute Dienste verrichten.
    Aber letztendlich ist es für die meisten Heimnutzer zu viel Aufwand seine Geräte ordentlich in unterschiedliche Netze aufzuteilen. Insbesondere Geräten denen man evtl. nicht vollständig vertraut, die aber Internetzugang benötigen.

  7. Re: Pfsense

    Autor: Sinnfrei 05.10.18 - 13:17

    pfSense ist ein Firewall/Router-System. Aber ja, das kann deutlich mehr als jede Billo-Box die an Endanwender verkauft wird, und man braucht auch mehr als drei Gehirnzellen dazu.

    __________________
    ...

  8. Re: Pfsense

    Autor: xploded 05.10.18 - 13:34

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Mit einem VLAN fähigem Switch ist auch eine Firewall mit nur einem RJ45
    > machbar.
    > Auch ein alter Laptop mit Displayschaden kann dort noch gute Dienste
    > verrichten.
    > Aber letztendlich ist es für die meisten Heimnutzer zu viel Aufwand seine
    > Geräte ordentlich in unterschiedliche Netze aufzuteilen. Insbesondere
    > Geräten denen man evtl. nicht vollständig vertraut, die aber Internetzugang
    > benötigen.

    Erklär mal. Mir fehlt gerade die Fantasie. LAN/WLAN Entkopplung ja. Aber sonst?

  9. Re: Pfsense

    Autor: Argh 05.10.18 - 13:48

    fritze_007 schrieb:
    --------------------------------------------------------------------------------
    > ...und gut is.

    Da nehme ich dann doch lieber ne Fritzbox pack dahinter eine Sophos UTM und hinterder eine Sophos XG.

    Für "Privatkunden" kostenlos.

  10. Re: Pfsense

    Autor: Jolla 05.10.18 - 13:53

    Wozu?

  11. Re: Pfsense

    Autor: Argh 05.10.18 - 14:00

    Wieso nicht?
    Da habe ich ne Firewall, nen Proxy, MailGateway, AV-Scanner Management und iPhone /Android Phone Management, dahinter dann noch die XG für vebessertes Application Control.

  12. Re: Pfsense

    Autor: robinx999 05.10.18 - 14:08

    xploded schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mit einem VLAN fähigem Switch ist auch eine Firewall mit nur einem RJ45
    > > machbar.
    > > Auch ein alter Laptop mit Displayschaden kann dort noch gute Dienste
    > > verrichten.
    > > Aber letztendlich ist es für die meisten Heimnutzer zu viel Aufwand
    > seine
    > > Geräte ordentlich in unterschiedliche Netze aufzuteilen. Insbesondere
    > > Geräten denen man evtl. nicht vollständig vertraut, die aber
    > Internetzugang
    > > benötigen.
    >
    > Erklär mal. Mir fehlt gerade die Fantasie. LAN/WLAN Entkopplung ja. Aber
    > sonst?


    Wie ein VLAN funktioniert sollte schon klar sein
    Im wesentlichen macht man folgendes man installiert eine PFSense auf einem System lässt dort alle VLANs tagged auflaufen und auf den anderen im Normalfall jeweils nur untagged. Evtl. der ein oder andere Accessspoint auch in mehreren Netzen und dann tagged

    Einfaches Beispiel man stelle sich einen VLAN Fähigen Switch vor
    In Port 1 die die PFSense in allen VLANs

    Dann haben wir sagen wir mal folgende VLANs

    Vlan 1 = DSL
    Vlan 2 = Intern
    Vlan 3 = Gäste

    In Port 2 Steckt das DSL Modem (gibt ja einige RJ45 Modelle z.B.: von Vigor), das ist in VLAN 1
    Dann habe ich Ports für das Interne Netz und das ist in Vlan 2
    Dann habe ich Ports die sind in Vlan 3 für die Gäste

    Und auf der PFsense erscheinen die Geräte ja als Virtuelle Geräte RE0.1, RE0.2 u.s.w. diese sind halt alle in eigenen Netzwerken und es findet natürlich entweder überhaupt kein Routing zwischen Intern und Gäste statt oder nur sehr eingeschränkt, aber alle dürfen in das Internet.

    Accesspoints könnten evtl. in mehreren VLANs sein in dem Fall VLAN 2 und 3 und dann jeweils WLANs in den einzelnen Netzen zur Verfügung stellen


    Natürlich ist das hier nur das einfachste Szenario man kann es natürlich noch weiter spinnne
    ein VLAN für Telefone (sind ja mittlerweile meistens auch VoIP Geräte), eines für Drucker, eines für Überwachungskameras, eines zum Testen, Intern Netz in Server und Clients aufteilen u.s.w.

    So kann man sein Netz relativ sauber segmentieren und kann Geräte einschränken, die Überwachungskameras müssen evtl. nicht ins Internet da reicht es wenn sie mit einem Server verbunden sind welcher die Videos aufzeichnet, dieser Sever mag evtl. gleichzeitig im Internen Netz sein, so dass man von dort die Videos abrufen kann.

    Aber dies sind Einzelheiten, aber grundsätzlich kann mit einem VLAN Fähgiem Switch einiges gemacht werden und dann reicht oft ein RJ45 Port an der Firewall

    Klar man muss sich mit VLANs auseinandersetzen und wenn man mehrere Switches Kaskadieren will muss man auch dort jeweils die passenden Ports durchreichen.



    1 mal bearbeitet, zuletzt am 05.10.18 14:09 durch robinx999.

  13. Re: Pfsense

    Autor: bombinho 05.10.18 - 14:22

    Damit addierst Du dann die Gefaehrdung durch die Firewall mit der Gefaehrdung durch den Switch.

  14. Re: Pfsense

    Autor: xploded 05.10.18 - 14:31

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > Damit addierst Du dann die Gefaehrdung durch die Firewall mit der
    > Gefaehrdung durch den Switch.

    Genau so sieht es aus. Aber immerhin spricht er selber nur von einer Segmentierung und nimmt das Wort Trennung gar nicht in den Mund.
    Ich möchte gar nicht darauf eingehen, das noch AP und Server in verschiedenen Segmenten gleichzeitig hängen sollen.

  15. Re: Pfsense

    Autor: robinx999 05.10.18 - 15:08

    In der Praxis habe ich es schon bei einigen Firmen gesehen dass genau dies gemacht wird.

    Teilweise hängt natürlich auch ein Virtualisierungsserver in allen Segmenten und gibt dann den Virtuellen Maschinen Virtuelle Netzwerkkarten die dann in mehreren Segmenten hängen.
    z.B. : ein Asterisk Server der im VLAN der Telefone ist.
    Und klar manche Server hängen dann auch in mehreren Netzen der Cups Server der die Drucker anspricht muss von dem RDP Server erreicht werden oder auch von den Clients. Klar man kann es über Firewall regeln und eingeschränktem Routing machen oder evtl. eine zusätzliche virtuelle Netzwerkkarte mit der der Cups Server dann auch eine IP Adresse bei den Servern hat, insbesondere wenn man z.B.: den Internetzugriff aus dem Drucker VLAN komplett blockiert hat.

    Und klar wenn man Drucker in ein eigenes Netz packt müssen diese, da diese oft Multifunktionsgeräte sind halt auch oft Zugriff auf eine Dateiablage oder den Mailserver haben, um das Gescannte zu versenden. Die lässt sich natürlich auch über Routing in der Firewall regeln.

    Und das ein Accesspoint halt sowohl ein WLAN für Gäste als auch eines für das Interne Netz bereit stellen soll (natürlich mit anderen Zugangsdaten) ist halt oft aus Kostengründen gewünscht und dann kommt man da halt nicht über Tagged Systeme hinweg

    Wobei mir allerdings kein praktikabler Angriff auf VLANs bekannt ist zumal das Managment Interface des Switches nur aus einem VLAN erreichbar ist


    Aber klar ich man muss einiges beachten aber angriffe auf VLAN sind mir noch nicht untergekommen. Und eigentlich ist die Hauptgefahr ein Konfigurationsfehler aber man kann schon einiges erreichen

    Das Hauptproblem hier ist ja das es für Privatpersonen oft unpraktikabel ist, da die Hardware es nicht kann. Aber bei Firmen habe ich genau so etwas schon öfters gesehen. und da kommt es dann halt auch vor das bestimmte Dinge in mehreren VLANs sind. Ein Server der Bilder von IP Kameras speichert ist halt in dem Netz der IP Kameras und gleichzeitig in dem Netz der Server, da man die Bilder auch in einem anderem Netz sehen will, aber die IP Kameras kommen halt nirgendwo anders hin

  16. Re: Pfsense

    Autor: narfomat 05.10.18 - 15:08

    alter schwede, der die das normalo(in) weiss nicht mal was ein router wirklich macht, geschweige denn wollen die pfsense...

  17. Re: Pfsense

    Autor: logged_in 05.10.18 - 15:09

    Dachte ich auch. Meine FWs haben auch mehrere Ports.

    Aber die Idee hier ist nicht schlecht: Auf dem Teil läuft ein VPN-Server. Also muss man wohl seine Geräte so einstellen, dass sie dieses VPN benutzen, der Filtert dann bevor die Pakete in's Internet kommen. Also technisch machbar ist es, aber eine IP-Kamera lässt sich damit nicht verwenden, es sei denn, die ist dann im ungeschützten Teil des Netzes.

    Ich würde mal so 20 Mbit/s als maximale Transferrate angeben, die unter allen Geräten geteilt werden muss.

  18. Re: Pfsense

    Autor: M.P. 05.10.18 - 15:10

    PFSENSE hat gar keinen RJ45 Port ;-)

    Das ist ein auf OpenBSD basierendes modulares Router-Betriebssystem, und unterstützt definitiv so viele Netzwerkschnittstellen, wie die Hardware, auf der man es installiert bietet ...

    Das kann z. B. ein PC sein, dessen PCI-Steckplätze man mit zusätzlichen Netzwerkkarten ausstattet ... (da muss man aber bereit sein, die Stromrechnung zu zahlen)

    Womöglich die kleinste Hardware für PFSense ist dies hier - mit zwei RJ45 Buchsen...



    3 mal bearbeitet, zuletzt am 05.10.18 15:19 durch M.P..

  19. Re: Pfsense

    Autor: M.P. 05.10.18 - 15:13

    Damit man das WLAN der Fritzbox und drei von vier LAN-Ports brachliegen lassen kann..

  20. Re: Pfsense

    Autor: Argh 05.10.18 - 16:47

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Damit man das WLAN der Fritzbox und drei von vier LAN-Ports brachliegen
    > lassen kann..

    Das stimmt zumindest für mein Setup zu Hause nicht. Da hängt die XB1 am WLAN der Fritzbox.
    Weil die unbedingt Teredon will. Das habe ich muss ich zugeben aus Bequemlichkeit auf den Sophos Mopeds nicht eingerichtet.
    Bei mir liegt aber nur ein LAN Port brach, da zwei auf den Switch, die dann per Link Aggragation zur Sophos UTM respektive dem Hyper-V auf dem die liegen, gehen.
    Der dritte geht auf eine Blinddose als Backup, falls ich mich mal quasi selbst aussperre.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Dataport, Altenholz/Kiel, Bremen, Halle (Saale), Hamburg
  3. Hornbach-Baumarkt-AG, Bornheim bei Landau Pfalz
  4. ABB AG, Mannheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 199,90€
  2. 204,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest
  2. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  3. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

  1. Spielestreaming: 200 Millionen Stadia-Spieler wären ein Fehlschlag
    Spielestreaming
    200 Millionen Stadia-Spieler wären ein Fehlschlag

    Gamescom 2019 Mit dem Spielestreamingdienst Stadia möchte Google in den Massenmarkt - und mehr Spieler erreichen als andere Plattformen

  2. Kolyma 2: Frühere Deliveroo-Fahrer gründen eigenes Kollektiv
    Kolyma 2
    Frühere Deliveroo-Fahrer gründen eigenes Kollektiv

    Noch sind es erst drei, aber es gibt viele Interessenten: Ein eigener Lieferdienst soll Würde, Arbeiterrechte und Geld für Fahrer bringen, anders als bei Deliveroo. Dort wurde ein Fahrer nach einem Unfall im Krankenhaus angerufen und nach dem Verbleib der Burger gefragt.

  3. Germany Next: Telefónica schließt Internet-of-Things-Tochter
    Germany Next
    Telefónica schließt Internet-of-Things-Tochter

    Telefónica schließt Germany Next, sein Tochterunternehmen für Advanced Data Analytics und Internet of Things. Beschäftigte befürchten einen weiteren Stellenabbau.


  1. 19:42

  2. 18:31

  3. 17:49

  4. 16:42

  5. 16:05

  6. 15:39

  7. 15:19

  8. 15:00