Firewall Setup / Segmentierung Hardwareberatung

[Chibi88]

Schönen guten Morgen!

ich möchte jetzt mein Projekt angehen, meine ConnectBox zu Hause durch SophosXG Home oder Opnsense abzulösen. Leider weiß ich aktuell nicht, was ich am besten als Hardware nehmen sollte. Protectli ist mMn schon sehr hochpreisig.

Folgende Lösungen habe ich als Alternativ gefunden:

Aliexpress Alternative
Alternative2

Ausgestattet dann mit 8GB | 256GB NVME
Celeron N5100

Ich könnte natürlich noch eine andere CPU wählen, bin mir hier aber nicht sicher. Der N5100 ist eine Quad Core CPU, was ja reichen sollte. Wie ist eure Meinung?

Switch:
TP-Link mgmt Switch mit VLAN

4 Ports reichen. Ich nutze einen Link als Trunk für meine VLANs

Access Point:
Hier leider keine Erfahrungen. Könnt ihr mir einen guten empfehlen, der ebenfalls VLAN fähig ist? Hier ist die Auswahl groß und ich weiß nicht, was sich am besten anbietet. Der AP sollte ebenfalls mindestens 2 SSIDS ausstrahlen könne.

Netzwerk bei uns ist überschaubar. Mein PC ist über Patchkabel verbunden, alles andere über WIFI. Ich habe eine 1GBIT Leitung von Vodafone und in Summe haben wie vielleicht 15 devices im Netzwerk.

Grüße
Chibi88

 

[Mojo1987]

Ein Gerät von AliExpress welches meinen Perimeter sichern soll ... Würd ich ja nicht machen.

 

[Chibi88]

Ist halt die Frage. Hatte auch erst Zweifel, aber meinst du wirklich, da ist ne BD drin?

Dies wäre die Protectli Alternative

 

[Mojo1987]

Hatte auch erst Zweifel, aber meinst du wirklich, da ist ne BD drin?

Vielleicht, vielleicht auch nicht. Aber genau das ist der Punkt. Du weist es nicht.
Und wenn man sich anschaut was im Bereich Smartphones und Streaming Boxen so auf Ali abgeht, würd ich mir da halt einfach keine Hardware zulegen die irgendwas wichtiges macht.

 

[qiller]

Wenn du da auch IDS/Proxy drauf laufen lassen willst, könnten die schwächeren CPUs (z.b. die Celeron Jxxx Teile) bei 1Gbit-Anschlüssen schon an ihre Grenzen kommen. Für nur Routing/Nat/Firewalling reichen die aber. Wenn IDS ein Thema ist, würde ich nicht unter den N100 Teilen (=bessere ST-Leistung als die Celeron Jxxx Teile) gehen. Ich bin eher ein Fan von halbwegs aktuellen Intel i3 Vierkernern, die haben ordentlich Power für so ziemlich alles.

 

[atze303]

Hier kam ja schon das Kommentar .. Bei Markenware bekommst due UEFI updates, bei ALI hardware eher nicht. Oft betrifft es nur die CPU aber manchmal auch andere Hardware.

Brauch ja nur ein Bug sein der Netzwerkprobleme machen wenn die NIC bestimmte Pakete empfängt die im OSI Layer 2 oder 1 sind und nicht erst ab 3...

Sowas wird nicht im Treiber gelöst sonder eine Ebene davor.

Bei Markenware gibt es auch noch nach Jahren updates...Bei Ali eher nicht

 

[chrigu]

Was genau willst du erreichen?

 

[Chibi88]

Alles klar, überzeugt. Dann nehme ich lieber etwas mehr Geld in die Hand. Danke für das Feedback!

Bleibt dann aktuell ja die FW4B von Protectli. Leider sind die anderen 4 Port Protectli nicht mehr SophosXG komptatibel:
https://kb.protectli.com/kb/how-to-install-sophos-utm-essential-firewall-on-the-vault/

Habt ihr eine Alternative, die ihr mir empfehlen könnt?

Grüße

@chrigu volle Kontrolle über das Heimnetz. Mehr Möglichkeiten bzgl. Policies.

Diese noch gefunden:
1
2

 

[chrigu]

Schau mal die vigor Serie Router an, die hat mehr mit „volle Kontrolle“ am Hut als die aliexpress Dinger und sind erst noch in der eu zugelassen.

 

[Chibi88]

Danke soweit. Was könnt ihr als VLAN fähigen AP empfehlen?

 

[chrigu]

Ein ap wird automatisch ein vlan wenn man das Kabel an ein vlan-Switch oder vlan-Router steckt

 

[norKoeri]

ConnectBox

Vielleicht habe ich es jetzt überlesen, aber eine Unitymedia bzw. Vodafone Connect Box ist mehr als nur ein Router. Das ist auch ein Cable-Modem. Du meinst, Du willst die irgendwie zu einer Bridge machen, also nur noch als Modem nutzen?

Was könnt ihr als VLAN fähigen AP empfehlen?

Hast Du wirklich eine große Auswahl … und das sind nur die modernen Plattformen gleich mit zentralem Software-Controller. Ich würde das nehmen, was auf Kleinanzeigen.de aktuell verfügbar ist. Zum Beispiel den Zyxel NWA1123-AC Pro, den Du auch Außen oder an der Wand montieren kannst, und den Du auch ohne Controller über seine lokale Webseite verwalten darfst.

Ein ap wird automatisch ein vlan wenn man das Kabel an ein vlan-Switch oder vlan-Router steckt

Ich glaube, @Chibi88 meinte einen Multi-SSID fähigen WLAN-Access-Point, also der zwei SSID jeweils auf ein anderes VLAN umlegt.

 

[Chibi88]

Danke euch allen für eure Hilfe. Ich habe mein HomeNetwork mit einer OPNsense, einem managed Switch mit VLANS und einem AP, der mehrere SSIDS und VLANS unterstützt, realisieren können.