Raspberry als Firewall einsetzen

[Weckmann]

Hey,

da ich mir gerne für zu Hause eine Firewall zulegen möchte, überlege ich gerade ernsthaft, ob dies nicht auch ein Raspberry mit zweitem Lan-Port kann? Welche Hardware sollte ich bei einem Durchsatz von 1Gbit/s wählen?

 

[MusicJunkie666]

Die Raspis haben nur 100MBit-LAN.

 

[bart0rn]

Vielleicht schreibt er deswegen "mit einem zweiten Lan-Port" ?

 

[Asghan]

Der zweite LAN Port wird für die Trennung internes und externes Interface sein...

 

[Weckmann]

Da ich einen Glasfaseranschluss mit 200Mbit/s nutze, würde ich nur ungern die Geschwindigkeit halbieren wollen. Am Router ist ein 1GBit Switch für das interne Netzwerk angeschlossen. Gerne würde ich direkt hinter dem Router (davor kann ich nicht abgreifen) eine Firewall setzen.

 

[chithanh]

Der Raspberry Pi unterstützt 802.1Q VLANs also müsste Routing/Firewall auch mit einem Netzwerkinterface gehen, solange der Switch das auch kann.

Ein zweites Netzwerkinterface per USB wird den Durchsatz höchstens geringfügig erhöhen (schon gar nicht auf 1 Gbit/s) weil auch das Onboard-Ethernet darüber angebunden ist und sich die USB-Bandbreite mit allen weiteren angeschlossenen Geräten teilen muss.

Wenn du dich mit Netzwerken auskennst, wäre vielleicht ein Ubiquiti EdgeRouter 3 lite was für dich, der schafft Routing & Firewall in der Geschwindigkeit.

 

[MusicJunkie666]

Auch mit einer zweiten NIC (USB?) hat die onboard-NIC nur 100Mbit, wodurch insgesamt nur 100Mbit Durchsatz möglich sind - und der TE schreibt von einem geünschten "einem Durchsatz von 1Gbit/s".

 

[Lawnmower]

Was muss denn die Firewall so speziell können was nicht ein normaler 35 Euro Consumer Router (mit Gbit Ports und genug Leistung für 200 Mbit/s Internet) kann?

 

[Weckmann]

Sie sollte Paketfilterung, NAT, VPN, evt. Proxy für Kinder, Port Forwarding usw können. Dann sollten dauerhaft Trafficlogs geschrieben werden.

 

[Bisumaruku]

Auch mit einer zweiten NIC (USB?) hat die onboard-NIC nur 100Mbit, wodurch insgesamt nur 100Mbit Durchsatz möglich sind - und der TE schreibt von einem geünschten "einem Durchsatz von 1Gbit/s".

Die OnBoard Nic hat nicht mal 100 Mbit/s...der RPi2 kommt grade so über 90 und der Vorgänger schafft grad mal um die 45.

Wenn dann musst du einen Raspberry Pi 2 nehmen und dann einen USB3.0 Ethernet Adapter (siehe Artikel). Damit schaffste dann etwas mehr als 200 Mbit/s. Da du aber 2 Interfaces brauchst bringt dir das also nichts.

Artikel: http://www.midwesternmac.com/blogs/jeff-geerling/getting-gigabit-networking

Ob das so Sinnvoll ist bezweifel ich aber. Ich denke mit nem 0815 Router oder einem OpenWRT-fähigen Router biste besser dran als das auf nem Pi umzusetzen.

 

[Weckmann]

Ein OpenWRT-fähigen Router habe ich mir auch schon überlegt. Welche Hardware eignet sich besonders gut für OpenWRT?

 

[chithanh]

Eine komplette Liste unterstützter Geräte findest du im OpenWrt-Wiki: http://wiki.openwrt.org/toh/start

Je nach Budget wären z.B. der TP-Link WDR4300 oder Archer C5 oder Archer C7 eine gute Wahl für OpenWrt.

 

[Lawnmower]

Die genannten Anforderungen können die meisten Router mit Stock Firmware, da ist nichts spezielles dabei ausser vielleicht das mit dem Traffic Log wobei das i.d.R. eh nur begrenzt sinnvoll ist. Mit OpenWRT oder DD-WRT sowiso kein Problem.

Als Minimum geht sowas: http://geizhals.de/tp-link-tl-wr1043nd-v1-a486889.html?hloc=de
Falls der Router auch als VPN Server zum Einsatz kommen soll entweder ne Fritzbox (einfache Einrichtung) oder für DD-WRT und Co sowas mit verhältnismässig starker CPU und viel RAM die auch bei den Asus Geräten mit ac WLAN verwendet wird: http://geizhals.de/asus-rt-n18u-90ig00l0-bm3g20-a1143907.html

Falls demnächst mal ein Upgrade auf Gbit Fibre (also Gbit Internet) anstehen sollte, solltest Du allerdings zu einem potenteren Gerät greifen wie der http://geizhals.de/asus-rt-ac68u-90ig00c0-bm3000-a1009590.html?hloc=de der LAN auf WAN (und umgekehrt) auf 950 Mbit/s kommt; wir haben in der Gegend bereits solche Angebote und die Kunden da verwenden oft die stärkeren Asus Dinger weil andere Consumer Router die 1000 Mbit nicht schaffen.

 

[UnBreakable]

Also der Raspberry ist dafür aus bereits genannten Gründen nicht zu empfehlen.
Dann eher sowas: http://www.reichelt.de/?ARTICLE=150228

Ich habe zuhause allerdings auch einen Router mit OpenWRT. Das wäre auch meine Empfehlung.
Du musst nichts rumbasteln und das Gerät ist auch wirklich dafür gedacht und ausgelegt, hast auch einen Web-Oberfläche Gehäuse usw.
Allerdings "darunter" ein "normales" Linux, damit du wirklich komplett flexibel bist, wenn du dich damit auskennst.

Ich glaube ich habe das Modell im Einsatz:

http://www.amazon.de/Linksys-WRT54G...4699128&sr=8-3-fkmr0&keywords=Linksys+OpenWRT

(Dieser hat allerdings nur 100 Mbit sehe ich gerade!)

 

[Weckmann]

Ok, vielen Dank.
Dann macht auch preislich gesehen, ein Router mit OpenWRT mehr Sinn.

 

[MusicJunkie666]

Alternativ kannst du dir auch ein ITX-System mit mehreren GBit-NICs aufbauen.
Meine Firewall besteht aus einem ITX-Board mit 2x GBit LAN und einer Intel-Karte mit noch 2x GBit in einem 1HE-Gehäuse...
Dann entweder händisch mit IPtables konfigurieren oder eine fertige Firewall/Router Linux Distribution nehmen.