Eigene Firewall bauen (Hardware)

M

minefubi

Gast
Hallo liebe Community,

ich würde gerne für mein Heimnetzwerk eine eigene Firewall zulegen (nicht den Router eigenen "Müll"). Ich würde gerne PfSense als System benutzen und alle meine Netze trennen. Ich habe zum einen "Mein" Netzwerk, was aus folgenden besteht:

  • Intel Nuc mit XBMC
  • Computer zum zocken
  • Mein Handy

Dafür braucht man ja eig. keine eigene Firewall aber: Ich würde erstens gerne das Netz von meiner "unerfahren" Schwester getrennt von meinem laufen lassen (ein Handy, ein Tablet und ein Netbook). Zweitens habe ich einen Ubuntu Server und eine Synology Kiste die ich ebenfalls gerne in einem eigenen Netz hätte. Der Ubuntu Server und die Synology Kiste sollen aber aus dem Internet erreichbar sein (Internet Seite, PyLoad etc. ...). Dazu kommt, dass ich von meinem Netz auf den Ubuntu Server (und Synology) kommen möchte, aber meine Schwester soll nur direkt ins Internet kommen.

Nun hab ich mir ein Paar Teile zusammen gesucht die ich als Firewall benutzen könnte, nur habe ich das gefühl, dass die Hardware etwas sehr stark ist dafür, dass da "nur" geroutet ggf. gefiltert wird.

Hier mal meine aktuelle Konfiguration:
http://geizhals.de/eu/?cat=WL-529697&wlkey=7e1b958bc88cac19a24bbbbfa7002607

Natürlich wäre es gut wenn das Teil sowenig Strom wie möglich verbraucht und leise wäre ebenfalls ein plus Punkt.

Was sagt ihr kann man da ggf. andere Hardware benutzen? Hat da einer vllt. gute Erfahrungen gemacht, im Thema "Firewall im Eigenbau"?
 
Für dieses Vorhaben kann man doch bestimmt einen Pi oder ähnliches einsetzen.
Oder der Router ?
 
Für weniger Geld könntest du dir einfach einen Layer 3 Switch kaufen dieser würde durch Access-Listen dein vorhaben realisieren.

Verschiedene Layer3 Netze konfigurieren und die Geräte dementsprechend in die Netzte heben. Das ganze wie gesagt durch Access-Listen absichern.

Für die Wifi Geräte langt ein einfacher AP der Multi SSIDs unterstützt.
Dieser wird dann per Trunk an den Layer3 Switch angeschlossen.
Jede SSID hat dann ihr eigenes VLAN.

Statische Route vom Switch zu deinem Router und fertig ;)
 
Er möchte sein NAS aber in einem eigenen Netz halten und selbst drauf zugreifen. Da sind 100Mbit ein bissel mau ;)

Die Hardware reicht dicke, würde ich sagen. Spannend wirds immer erst, wenn man mit VPN, Intrusion Detection und solchen Späßen anfängt.

Schonmal im pfSense Forum umgesehen?
 
Ja genau. Das Problem ist: ich brauch die schnelle Bandbreite nicht fürs Internet sondern um von dem NAS Videos zu streamen und Dateien auf den Computer zu kopieren. Ich besitze zwar 2 Raspberry Pis, aber ich denke dass man in dem Bereich Firewall und Routing schnell an die grenzen der Himbeere kommt ;)

Ich hab mal kurz im PfSense Forum geguckt (und die Mindestanforderungen gelesen, die ich allemal überbiete...). Es gibt zwar die Embedded Boards, die haben aber nur 3 LAN ports. Ich bräuchte schon für mein Vorhaben 4 Ports und es ist nicht schlecht, wenn man noch mehr PCIe Netzwerkkarten anschließen könnte...
 
Das ist viel zu teuer und viel zu groß. Nimm einen Celeron J1900 oder einen AM1 Kabini. Mit 19V Notebooknetzteil
Die haben 1GBit NICs, man kann eine Netzwerkkarte reinstecken und fertig.

Die brauchen weniger Strom, sind mehr als schnell genug, billiger und kleiner. Zumindest Kabinis gibts auch als uATX und dann kannst du mehrere NICs anschliessen.
 
HominiLupus schrieb:
Das ist viel zu teuer und viel zu groß. Nimm einen Celeron J1900 oder einen AM1 Kabini. Mit 19V Notebooknetzteil
Die haben 1GBit NICs, man kann eine Netzwerkkarte reinstecken und fertig.

Die brauchen weniger Strom, sind mehr als schnell genug, billiger und kleiner. Zumindest Kabinis gibts auch als uATX und dann kannst du mehrere NICs anschliessen.

mit dem J1900 gibt es doch noch Probleme mit pfsense, oder ?

Hatte damals das Board von Gigabyte weil mein gutes Intel DC2500 abgeraucht ist.

Habe pfsense einfach nicht zum booten bekommen. Gab da iwelche Controller Schwierigkeiten
 
Ja genau das habe ich auch gelesen. Deswegen wollte ich kein Mainboard mit OnBoard CPU (Falls es Schwierigkeiten gibt etc...)
 
Das ist/war eine schlechte ACPI Implementation. Das kann mit jedem Mainboard und Exoten OS wie FreeBSD passieren. Das hat nix mit der CPU zu tun.
Wurde laut pfSense Bugtracker auch vor 5 Monaten behoben. https://redmine.pfsense.org/issues/3678

AM1 Mainboards haben übrigens Sockel, eben für AM1 CPUs. Wenn es Schwierigkeiten gibt ist es egal ob Onboard CPU oder nicht.
 
Würde sowas wie pcengines APU in Betracht ziehen. Alles andere ist totaler Overkill... http://www.pcengines.ch/apu.htm

Achja, und wenn du mehr Ports brauchst, nimm doch einfach einen Managed Switch und arbeite mit VLAN's
 
Zuletzt bearbeitet:
Ich habe pfsense mit Gigabyte NM70 GA-C1037UNE im Einsatz. Bisher sind keine Probleme augetreten. Da kann eine PCI-Karte aber nur rein.
Ich würde auch gerade eher zu razzys Vorschlag tendieren.
 
Ethernet-Schnittstellen
Für eine minimale FW benötigst du ja mindestens zwei Ethernet Schnittstellen. Möchtest du ein oder zwei getrennte Sub-Netze, die auf bestimmte Teil-Netze nicht zugreifen sollen, benötigst du entsprechend mehr Ethernet Schnittstellen.

Muss es GB Ethernet sein? Im Moment noch nicht. Auch bei VDSL+ sollten noch Fast-Ethernet Schnittstellen genügen. Auch ins heimische (Teil-) Netz. Denn mehr als 100MBit geht ja im Moment nicht aus Richtung Provider. Sollen die Teil-Netze untereinander aber Daten tauschen, dann kommst du um eine Firewall mit GB-Ports (und Switch und oder Routing) nicht herum. Oder wenn die Firewall mittelfristig zukunftsfähig sein soll.

Und ziemlich genau da steckt der Pferdefuß mit den günstigen, Energie sparsamen Angeboten. Meist gibt es kaum GB Ethernet und falls doch, dann meist nicht ausbaubar.

Falls du explizite Hardware nutzen willst, also dann doch ein effizientes Mainboard mit sparsamster CPU und der Möglichkeit Ethernet-Karten nach zu rüsten. Man sollte auf der Firewall in der Regel ja keine Server laufen lassen, zur Minimierung der Sicherheitsrisiken, aber vielleicht findest du ja eine andere Möglichkeit den Strom und die Hardware sinnvoll zu nutzen.

Man kann auch ein größeres Eisen zusammen stellen, mit Quad-Core CPU, und dort erst einmal einen Hypervisor laufen lassen. Dann entsprechende Anwendungen, virtuelle Systeme, wie eine Firewall, Server, ...

Du brauchst zwar immer noch drei mal GB Ethernets für zwei interne Teil-Netze, aber die Server und die Firewall kann man bequem per virtuellen LANs koppeln. Ne andere Firewall testen? Neuen virtuellen PC aufsetzen. Neuer Server? kein Problem, ...

Aber Achtung, Baby: Der Administrations-Aufwand steigt gegenüber fertig gekauften Applikationen gewaltig!
 
Zuletzt bearbeitet von einem Moderator:
RangnaR schrieb:
Ethernet-Schnittstellen
Für eine minimale FW benötigst du ja mindestens zwei Ethernet Schnittstellen. Möchtest du ein oder zwei getrennte Sub-Netze, die auf bestimmte Teil-Netze nicht zugreifen sollen, benötigst du entsprechend mehr Ethernet Schnittstellen.

Nein. Ein Netzwerkinterface reicht :P
 
EdgeRouter Lite
EdgeRouter PoE

Da läuft ein modifiziertes Linux drauf (mit einer eigenen Kommandozeile). Damit kannst du im Prinzip alles machen was du willst. Getrennte Netze, gegenseitige Routen (oder eben auch nicht).. Kostenpunkt: 85€ für den Lite (3 Ports), ca. 140€ für den PoE (5 Ports)



Einen vollen PC würde ich dafür nicht einsetzen. Der Einsatzzweck klingt nicht wirklich zwingend, also eher Spielkram. Da is der PC zum einen zu teuer und zum anderen auch zu stromhungrig.

Wenn wie oben zT empfohlen ein PI oder sonstiges Gerät mit 1x LAN zum Einsatz kommt, sprechen wir von einer reinen Software-Trennung (andere IP-Bereiche + Software-Firewall). Richtiger wären für jedes getrennte Netzwerk ein Netzwerkport.
 
Wenn du nur eine Firewall brauchst und dir der Stromverbrauch wichtig ist, würde ich dir zu einer Appliance wie dem Ubiquity EdgeRouter lite 3 raten. Es ist eine Firewall-Distribution (Vyatta) vorinstalliert, bei Bedarf kann man die auch durch Debian oder Gentoo ersetzen.
Allerdings richtet sich das Gerät an Nutzer mit Netzwerkkenntnissen, die keine Angst vor der Kommandozeile haben.

Ein Raspberry Pi (2) ist für Routing und Firewall eher ungeeignet. Wenn du einen USB-nach-Ethernetadapter anschließt, muss sich der die Bandbreite mit dem ebenfalls über USB angebundenen internen Ethernet teilen.
Ergänzung ()

Wenn man einen Switch verwendet, der VLANs kann, dann reicht auch ein Netzwerkinterface für alles.
 
Es ist in der Tat ein wenig Spielerei, aber ich Interessiere mich halt für Netzwerktechnik und da war dann halt die Überlegung ein offenes System zu benutzen welches man von oben bis unten selbst konfigurieren kann. Ich weiß leider nicht wie es bei den Ubiquity EdgeRoutern aussieht, aber kann man da auch so Späße wie Webfilterung und sowas einstellen? (gibt es extra Pakete die man installieren kann?)
 
Ich drücke es mal so aus:

Auf den EdgeRoutern läuft Linux. Das heißt grundsätzlich kann man sich da mehr oder weniger austoben.

Der Nachteil an den Kisten ist aber, dass man sich mit EdgeOS bzw. Vyatta (spezielles Kommandointerface für Linux) auseinandersetzen muss. Das heißt man bearbeitet zB die Firewall nicht mit iptables, sondern mit dem Pendant von EdgeOS/Vyatta -> andere Syntax. Es ist also einiges an Einarbeitung nötig. Glücklicherweise gibt es eine gute Community mit vielen Beispielen und Tutorials. Sogar die Entwickler von Ubiquiti sind ziemlich nah an der Community.

Packt man so einen EdgeRouter aus, ist er grundsätzlich erstmal komplett nackt. Keinerlei Firewallregeln, kein gar nix. Nur eine IP-Adresse auf eth0 ;)

Es gibt aber für verschiedene Szenarien (zB eth0=wan, eth1=lan, eth2=dmz) Konfigurationsskripts, die man sich runterladen kann - von der Community. Da sind dann die Basisregeln schon drin, die zB WAN, LAN und DMZ entsprechend isolieren.


Ja, Webfilterung wäre möglich. Allerdings nicht über die Weboberfläche, sondern Handarbeit auf der Kommandozeile. Nur gefühlt 5% der Möglichkeiten des EdgeRouters sind auf dem Webinterface realisiert. So kann man zB OpenVPN derzeit nur per Kommandozeile installieren, während andere VPNs auch im Browser zu konfigurieren sind.
 
Okay ich denke, dass ich den EdgeRouter mal testen werde. Ich kann hier ja von meinem Ergebnissen berichten wenn einer Interesse hat. :D

Bin allerdings immer noch gespannt ob es vllt noch andere Lösungen gibt (Deshalb lass ich den Thread mal offen).

Ergänzung: Leider sind bei der PoE Variante nur 3 physikalische Ports vorhanden. Kann man die restlichen Ports mit VLAN trennen? (VLAN war noch nie meine Stärke)
 
Zuletzt bearbeitet:
Zurück
Oben