ComputerBase Menü
Aktuelles

Firewall: Mikrotik oder OPNsense?

P

-Pascal-

Cadet 1st Year
Registriert
Sep. 2020
Beiträge
15
Hallo zusammen,

zu meinem Anliegen:

Ich möchte gern mein Heimnetz gegen Angriffe von außen abhärten. Konkret schwebt mir Folgendes vor: öffentliche IP-Adressbereiche (nach Ländern) sperren/zulassen, nur den Datenverkehr bestimmter Protokolle durchlassen (z.B. https erlauben, icmp/ssh verbieten), ggf. Netz segmentieren (VLAN) und ein-/ausgehenden Traffic mittels Dashboard visualisieren/protokollieren. Es kann sehr gut sein, dass diese Aufzählung nicht vollzählig ist - das sind in erster Linie die Anforderungen, die mir spontan eingefallen sind.

Zur Ausgangssituation / Infrastruktur:

Ich betreibe in meinem Heimnetz verschiedene Dienste, die ausschließlich von meiner Freundin und mir genutzt werden. Angebunden bin ich mit 500/250 Mbit FTTH + FB5590 Fiber. Zu meinen Diensten zählen: Nextcloud, Bitwarden, Home Assistant, paperless-ngx, AdGuard Home, Wireguard. Alle Dienste laufen in verschiedenen LXC-Containern unter Proxmox und sind von außen erreichbar. Vorgeschaltet ist ein nginx Reverse Proxy. Um die Dienste aufrufen zu können, wird zwingend die pro Dienst angelegte Subdomain benötigt. Anfragen an die öffentliche IP-Adresse werden vom nginx ins Nirvana weitergeleitet. Hierdurch filtere ich nahezu 99,9% der "Spam-Aufrufe" raus. Ich kann mich nicht daran erinnern, dass mein Home Assistant oder die Nextcloud jemals Login-Versuche fremder IP-Adresse protokolliert hätten.

Ansonsten laufen derzeit alle LXC-Container, Clients, Smart Home Geräte im 192.168.178.0/24 Netz der FB und können untereinander kommunizieren.

Aufgrund der für mich/uns hohen Relevanz verschiedener Dienste, will ich die Sicherheit verstärken. Alles hinter den VPN-Zugang zu packen, kommt für mich aus verschiedenen Gründen nicht in frage.

Mögliche Lösungen:

Ich möchte definitiv eine Hardware-Firewall implementieren. Übergangsweise wäre sicherlich das Blocken von Verbindungen durch Einstellungen des nginx und entsprechenden Geo-IP-Dateien möglich. Mein Ziel ist aber eher, dass diese Anfragen überhaupt nicht das Gerät erreichen.

Zur Umsetzung der Hardware-Firewall kamen für mich im Prinzip zwei Szenarien in Frage: Mini-PC mit 2/4 RJ45-Ports i.V.m. mit OPNsense/pfSense ODER Mikrotik Switch o.ä.. Da mir konkrete, eigene Erfahrungen fehlen, kann ich nicht wirklich sagen, welche Option meine Anforderungen/Wünsche am ehesten abdeckt.

Gern würde mich hier eure Meinung interessieren, wozu ihr tendieren würdet oder ob ihr ganz andere Ideen habt. Wenn ihr Hinweise zur Konfiguration der Firewall als solches habt, gern her damit.


LG
Pascal
 
Also ich rate dir da ganz klar zu pfSense mit pfBlockerNG installiert. Da kannst du das was du vor hast - und mehr - umsetzen.
Was Hardware angeht entweder Netgate (2100 oder höher), Protectli oder eine der typischen Chinaboxen (Topton, Qotom, KingNovy, ...; jeweils ohne RAM&SSD kaufen wegen P/L). Das beste wäre natürlich eine Lösung mit SFP+ Optik falls dein Provider das unterstütz, dann sparst du dir die FB/das ONT und gehst mit der Glasfaser direkt in den Router.
Die Fritzbox würde ich probieren, ob man die in einen Bridge Modus bekommt.

Ich habe es genau wie du geplant hast umgesetzt, wo bestimmte Länder gesperrt sind.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: -Pascal-
-Pascal- schrieb:
Alles hinter den VPN-Zugang zu packen
Zum Vergrößern anklicken....
selbst betrieben, right?

-Pascal- schrieb:
Zur Umsetzung der Hardware-Firewall kamen für mich im Prinzip zwei Szenarien in Frage: Mini-PC mit 2/4 RJ45-Ports i.V.m. mit OPNsense/pfSense ODER Mikrotik Switch o.ä.. Da mir konkrete, eigene Erfahrungen fehlen, kann ich nicht wirklich sagen, welche Option meine Anforderungen/Wünsche am ehesten abdeckt.
Zum Vergrößern anklicken....
spricht etwas gegen, dass auch einfach im container laufen zu lassen?
 
  • Gefällt mir
Reaktionen: -Pascal-
Zeroflow schrieb:
pfSense mit pfBlockerNG
Zum Vergrößern anklicken....
Warum explizit die PfSense? Die OPNSense kann das auch. (der Unterschied liegt nur darin, das die PfSense derweil schon als OS kommerziell vermarktet wird.)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: -Pascal- und foo_1337
PERKELE schrieb:
Warum exizit die PfSense? Die OPNSense kann das auch. (der Unterschied liegt nur darin, das die PfSense derweil) schon als OS kommerziell vermarktet wird.
Zum Vergrößern anklicken....
So ist es... im Vergleich zu OPNSense ist die Entwicklung von pfsense gerade zu eingeschlafen und die Lizenzthematik hat überhaupt erst dazu geführt, dass OPNSense entwickelt wurde. Daher auch von mir eine klare Empfehlung für OPNSense. Die wireguard Implementierung von pfsense bzw. netgate damals sagt übrigens alles aus: https://lists.zx2c4.com/pipermail/wireguard/2021-March/006494.html
 
  • Gefällt mir
Reaktionen: PERKELE, -Pascal- und madmax2010
@Zeroflow
Ich danke dir für deine Einschätzung! Habe bei Amazon heute diese Box gesehen: https://www.amazon.de/Firewall-Gigabit-Appliance-Celeron-Fanless/dp/B09XK8V6P3/ref=sr_1_2?__mk_de_DE=ÅMÅŽÕÑ&crid=3HUD7JKW8Q8F9&keywords=firewall+2,5&qid=1657736634&sprefix=firewall+2+,aps,100&sr=8-2
Hat mir grundsätzlich schon zugesagt. Sollte passen, oder?

Bzgl. SFP+: Meine 5590 ist nicht vom Provider, sondern meine eigene. Damit diese überhaupt funktioniert, musste ich die Fritzbox-Kennnummer mitteilen - nicht die MAC-Adresse. Ich schließe daraus, dass nur Fritzboxen ohne weitere Umstände "kompatibel" sind. Könnte also ein K(r)ampf werden...

PPPoE-Passtrough wird mit sehr hoher Wahrscheinlichkeit auch nicht funktionieren. Es läuft also auf "Exposed Host" hinaus, was mir tendenziell Bauchschmerzen bereitet. Wenn ein Fehler in der Firewall ist, habe ich ein Problem. Aus meiner Sicht ein Argument, das für MikroTik spricht.


@madmax2010
Auch dir danke!
Der VPN-Zugang wird selbst betrieben. Ein "externer" VPN wie CyberGhost o.ä. ist nicht im Einsatz.

OPNsense/pfSense läuft m.E. nicht so super im LXC. Spätestens beim Clustering würde man eine VM benötigen, was machbar wäre. Prinzipiell sehe ich aber Probleme, wenn ich die Firewall als VM auf demselben Proxmox-Knoten betreibe. Ich hole mir alle Datenpakete auf das physische Gerät, was ich schützen möchte, damit ich diese dann an eine VM weiterleite, die dann wiederum die Pakete an verschiedene CT/VMs routet. Ich meine mich auch erinnern zu können, dass das BSI für Firewalls eigenständige Hardware vorsieht. Zwar habe ich nicht vor, das gesamte Grundschutzkompendium abzuarbeiten, grundlegende Dinge würde ich aber schon berücksichtigen.
 
-Pascal- schrieb:
OPNsense/pfSense läuft m.E. nicht so super im LXC. Spätestens beim Clustering würde man eine VM benötigen, was kein Problem ist. (...) Ich hole mir alle Datenpakete auf das physische Gerät, was ich schützen möchte, damit ich diese dann an eine VM weiterleite, die dann wiederum die Pakete an verschiedene CT/VMs routet. Ich meine mich auch erinnern zu können, dass das BSI für Firewalls eigenständige Hardware vorsieht.
Zum Vergrößern anklicken....
Ja, die sagen auch, dass man keine VLANs verwenden soll. Man kann es aber jeweils immer verk*cken. Wenn du es einigermaßen sicher haben möchtest, dann weißt du das externe interface direkt via pci passthru an die firewall vm durch. Es spricht ansonsten überhaupt nix dagegen. Auch nicht das über vlan interfaces zu machen.
zu LXC: Es läuft nicht "nicht so super" sondern gar nicht im LXC weil FreeBSD != Linux :)
Edit: Na gut, mittlerweile sagen sie es sollten "sollten" keine VLANs verwendet werden und "nur" bei hohem Schutzbedarf verbieten sie es.
Man macht das übrigens auch im professionellen Bereich so (also VM ohne pci PT). Daher gibt es ja auch mittlerweile von habwegs jedem Hersteller dedizierter Firewalls VM Images. Und in Clouds hat man eh keine andere Wahl, wenn man nicht deren eigenen Kram nutzen will.
 
Zuletzt bearbeitet von einem Moderator:
Wenn du kein PPP(oE) auf der Box machst, hält sich das CPU seitig zum Glück in Grenzen. Ich benutze einen pcengines APU2, habe aber auch nur 250Mbit/s. Da dürfte bei 400Mbit/s schluss sein.
Diese Qotom Teile sind glaube ich recht beliebt, habe aber keine Erfahrung damit.
 
@foo_1337
Hast du deine Firewall auch via Exposed Host freigegeben? Bekomme ich dort Probleme wegen doppeltem NAT?
 
-Pascal- schrieb:
Ich betreibe in meinem Heimnetz verschiedene Dienste, die ausschließlich von meiner Freundin und mir genutzt werden.

...

Alles hinter den VPN-Zugang zu packen, kommt für mich aus verschiedenen Gründen nicht in frage.
Zum Vergrößern anklicken....
Die Gründe würden mich mal interessieren.
 
-Pascal- schrieb:
@foo_1337
Hast du deine Firewall auch via Exposed Host freigegeben? Bekomme ich dort Probleme wegen doppeltem NAT?
Zum Vergrößern anklicken....
Ja, alles geht via Exposed Host an die opnsense. Doppel NAT braucht es nicht, da du der Fritzbox einfach die route in dein(e) Netz(e) mitgeben kannst. Ich hatte bis vor kurzem anstatt der Exposed Host Variante PPPoE Passthrough und wollte da auch eine Anleitung schreiben (sorry @Bob.Dig). Aber es hat sich leider gezeigt, dass es extrem Buggy ist. Die meisten Änderungen im FB UI, und dazu reicht schon das Anpassen eines Telefons, in der FB sorgen dafür, dass das PPPoE PT unterbrochen wird. Der PPPoE Client der OPNSense hat das oft nicht mitbekommen und so war manuelle intervention notwendig. Die Familie hasst dich für sowas, weil das macht man ja nicht in einem "Wartungsfenster" sondern man klickt ja öfter auch einfach mal so in der FB rum. Daher von mir definitiv keine Empfehlung für PPPoE Passthrough. Ist ja von AVM nicht für diese Zwecke vorgesehen.

Hier noch ein Screenshot der Routingtabelle. Der obere, nicht aktive Eintrag, ist noch von der PPPoE Passthrough Zeit, da hier das Default GW der Fritzbox die Firewall war
1657744765905.png
 
  • Gefällt mir
Reaktionen: 0-8-15 User und Bob.Dig
Gerade festgestellt, dass PPPoE Passtrough doch funktionieren würde. Aufgrund deiner Beschreibung würde ich erstmal die Finger davon lassen.

Das 192.168.178.0/24 Netz der FB könnte ich dann per statische Route auf das Subnetz der Firewall (z.B. x.x.179.0/24) umleiten und Gateway ist die WAN IP der Firewall?!
Wenn das funktioniert, dann kann ich ja die 5590 sogar noch als WLAN "Access Point" nutzen.

@Bob.Dig
Ich kann nicht auf allen Clients, die ich verwende, VPN-Verbindungen aufbauen (Berechtigung fehlt). Dann möchte ich gern auch gelegentlich Dateien für Dritte aus meinem näheren Umfeld freigeben (Nextcloud) und auch andere Services werden manchmal von denjenigen genutzt. Hier jedes Mal neue VPN-Verbindungen einzurichten, ist nicht sonderlich komfortabel. Last but not least gibt's ein paar Aspekte, die den WAF betreffen. Und der ist (aufgrund negativer Grundhaltung zu allem was irgendwie mit Technik zu tun hat) leider wichtig.
 
-Pascal- schrieb:
Das 192.168.178.0/24 Netz der FB könnte ich dann per statische Route auf das Subnetz der Firewall (z.B. x.x.179.0/24) umleiten und Gateway ist die WAN IP der Firewall?!
Zum Vergrößern anklicken....
Ich bin mir nicht sicher, ob ich dich hier richtig verstanden habe, daher mache ich mal nen "Netzplan". Die 1.1.1.1 steht hier symbolisch für die public IPv4 deines Providers

Code: 
 1.1.1.1   (WAN IP)
     |
------------
-Fritzbox-
------------
     |
192.168.178.1 (LAN IP). Netz: 192.168.178.0/24
--------------------------------------------------
     |
     |
---------------------------------------------------------
 192.168.178.2 (WAN IP) Netz: 192.168.178.0/24
     |
------------
- Firewall -
------------
     |
192.168.0.1 (LAN IP). Netz: 192.168.0.0/24
---------------------------------------------------------
    |
    |
---------------------------------------------------------
192.168.0.100 (DHCP IP). Netz: 192.168.0.0/24
     |
------------
- LAPTOP -
------------
In diesem Fall müsstest du der Fritzbox sagen, dass sie das Netz 192.168.0.0/24 (Also dein LAN) über das Gateway 192.168.178.2 (WAN IP der OPNSense) erreicht. Der Packetflow vom Laptop ausgehend zu computerbase wäre dann wie folgt:
Code: 
Laptop src ip: 192.168.0.100 -> Firewall -> Fritzbox -> Natted auf die 1.1.1.1 -> CB Server: 212.83.33.137
Rückweg:
CB Server: 212.83.33.137 -> Fritzbox: 1.1.1.1 -> Fritzbox weiß durch die NAT Table, dass die 192.168.0.100 die Antwort bekommt-> Firewall -> Laptop: 192.168.0.100
Die Fritzbox weiß beim Rückweg, dass sie über die Firewall gehen muss, wenn sie in das 192.168.0.0/24 Netz will.


-Pascal- schrieb:
Wenn das funktioniert, dann kann ich ja die 5590 sogar noch als WLAN "Access Point" nutzen.
Zum Vergrößern anklicken....
Das geht schon, aber die Clients in diesem WLAN wären dann im 192.168.178.0/24 Netz. Damit würden sie durch deine Firewall müssen, wenn sie mit deinem LAN (in dem Fall 192.168.0.0/24) hinter der FW kommunizieren wollten. Broadcasts, mDNS etc. würden dann nicht (ohne weiteres) gehen.
 
  • Gefällt mir
Reaktionen: -Pascal- und Hannibal Smith
foo_1337 schrieb:
wollte da auch eine Anleitung schreiben (sorry @Bob.Dig).
Zum Vergrößern anklicken....
Hab es ja dann noch selbst hinbekommen und bin sehr zufrieden. Ich könnte die FB sogar noch als AP einsetzen, aber aktuell kein Bedarf. Das einzige, was mir zu meinem Glück noch fehlt, wäre ein Reconnect Script für die pfSense in JDownloader. 😄
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
OPNsense mit Deutsche Glasfaser DS-Lite und VPS Wireguard Tunnel im Tunnel... Sinnvoll?
Antworten
19
Aufrufe
701
Harrdy
H
R
Absolut Planlos: Eigene Server extern manchmal ereichbar, manchmal nicht (NGINX, OPNSense, Proxmox, Namecheap)
2 3
Antworten
40
Aufrufe
1.120
RolloMollo
R
W
OPNsense Firewall: Hardwareberatung
2
Antworten
34
Aufrufe
4.173
JustAnotherTux
JustAnotherTux
Bob.Dig
  • Artikel Artikel
Leserartikel pfSense & OPNsense (Firewall- und Routing-Appliance)
2
Antworten
26
Aufrufe
13.365
Bob.Dig
Bob.Dig
Malaclypse17
Günstige gebrauchte Firewall für OPNsense
Antworten
12
Aufrufe
3.343
Masamune2
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz