IPFire hinter Fritzbox

[Setra]

Hallo ihr Lieben,

ich habe bitte ein Problem mit einer IPFire Firewall zwischen der Fritzbox 7590 dem "Main-Switch" und Fragen dazu.

Wie erwähnt möchte ich gern mein Heimnetzwerk mit einer IPFire Firewall sichern, da ich der Firewall der Fritzbox nicht so ganz traue Trotzdem möchte ich der Fritzbox den DNS und DHPC überlassen, da der WLAN Traffic nach wie vor über die Fritzbox laufen soll. Lediglich der LAN Traffic soll durch die Firewall.
Die IPFire läuft auf einem RasPI 4 Mod. B 4GB mit 64GB mSD Karte welcher mit einem zweiten USB 3.1 Ethernet Adapter ausgestattet ist.

Die Hardware Konfiguration sieht im Moment so aus:

WAN ---> Fritzbox (192.168.178.1) ---> RasPI IPFire (RED 192.168.178.21 - GREEN 192.168.178.20) ---> LAN (192.168.178.0/24)

Nun bin ich mir über die Konfiguration des Netzwerks nicht klar und um so mehr ich darüber lese um so verwirrter werde ich.
Meiner Meinung nach sollte es doch funktionieren, dass ich eine Regel erstelle um jeden Traffic der Greenzone zur Redzone zu erlauben?

Nur leider bekommen die Clients die am Switch hängen kein Netz. Und auch die Fritzbox ist dann nicht mehr erreichbar.

Ich hoffe ich habe nichts vergessen... Hat jemand einen Tipp was da nicht richtig läuft?

Vielen Dank für eure Hilfe und Mühe!

 

[Mojo1987]

Das kann und wird so nicht funktionieren.
Wie soll den die Firewall alles innerhalb eines Netzes filtern? So funktionieren Firewalls nicht.

Du hast eine WAN Seite und eine LAN Seite aber momentan vermischt du beides, das wird nichts.

 

[CoMo]

Warum soll die Fritzbox denn überhaupt noch routen? Konfiguriere die doch als Modem und lass die IPFire die Internetverbindung herstellen.

\\
Sehe gerade, der reine Modem-Betrieb ist bei Fritzboxen gar nicht mehr möglich. Dann wärs wohl am besten, du besorgst dir ein Modem und verwendest die Fritzbox als IP-Client.

 

[redjack1000]

Hat jemand einen Tipp was da nicht richtig läuft?

Dein Routing.


@Setra
Beantworte folgende Fragen:

1. Wieviele Subnetze werden min. benötigt, damit Routing funktioniert?

2. Wieviele Subnetze sind bei dir vorhanden?

CU
redjack

 

[SSD960]

Und wenn man das Routing/Firewallfunktionen nicht versteht wird es schlimmer bzw. gefährlich.

 

[SaCre]

Um eine solche Konfiguration zu betreiben solltest du dich grundsätzlich mit dem Thema Netzwerk beschäftigen. Mit den aktuellen Kenntnissen wirst du mit dieser Konstellation immer wieder auf Probleme stoßen, welche du nicht nachvollziehen kannst. Eine kurze Beschreibung, wie man die Firewall einbindet wird dir nicht weiterhelfen, wenn du das grundsätzliche Prinzip nicht kennst.

 

[User007]

Hi...

Was veranlasst Dich zu

[...] da ich der Firewall der Fritzbox nicht so ganz traue [...]

?

 

[Raijin]

Wie erwähnt möchte ich gern mein Heimnetzwerk mit einer IPFire Firewall sichern, da ich der Firewall der Fritzbox nicht so ganz traue Trotzdem möchte ich der Fritzbox den DNS und DHPC überlassen, da der WLAN Traffic nach wie vor über die Fritzbox laufen soll. Lediglich der LAN Traffic soll durch die Firewall.

Das ergibt vorne und hinten keinen Sinn.

Die Hardware Konfiguration sieht im Moment so aus:

WAN ---> Fritzbox (192.168.178.1) ---> RasPI IPFire (RED 192.168.178.21 - GREEN 192.168.178.20) ---> LAN (192.168.178.0/24)

Das noch viel weniger.


Ein Router bzw. dessen Firewall sitzt zwischen mehreren Netzwerken und nicht mittendrin. Du hast jetzt einen Kreisverkehr in eine gerade Straße ohne Querstraße gebaut und wunderst dich, dass der Kreisverkehr nix bringt.

Offensichtlich haben wir hier ein handfestes XY-Problem. Erkläre uns also bitte erstmal was deine Beweggründe sind, was du am Ende erreichen willst. Dabei bitte keine Lösungsansätze ausführen, sondern wirklich nur deine Ziele und die Gründe dafür. Wenn wir wissen was hinter deinen Gedanken steckt, können wir auch dein eigentliches Problem lösen und nicht an deinem vermurksten Lösungsversuch rumdoktorn

 

[Setra]

Dabei bitte keine Lösungsansätze ausführen, sondern wirklich nur deine Ziele und die Gründe dafür. Wenn wir wissen was hinter deinen Gedanken steckt, können wir auch dein eigentliches Problem lösen und nicht an deinem vermurksten Lösungsversuch rumdoktorn

Bitte entschuldigt die späte Antwort.

Im Prinzip möchte ich die Firewall der Fritzbox ersetzen und dabei das WLAN, den DNS und DHCP der Fritzbox weiterhin nutzen, aufgrund Ease of Use (vielleicht macht das auch keinen Sinn, aber ich bin mir nicht im Klaren ob die Performance des Pi reicht um auch noch DNS und DHCP zu übernehmen und/oder ob das der bessere Weg ist).
Auch möchte ich so wenig Aufwand wie möglich betreiben, da es sich "nur" um mein Heimnetzwerk mit ~10 (inkl. Smartdevices etc.) Clients und 6 Proxmox VMs handelt.

 

[norKoeri]

Das sind alles Lösungen. Was genau möchtest Du erreichen: Möchtest Du ein Gerät überwachen, möchtest Du ein Gerät in seiner Quassel-Laune begrenzen, möchtest Du einfach mehr mit Firewalls spielen können (weil gerade in IT-Ausbildung) … solche Sachen brauchen wir, um Dich mit Deinem Anliegen zu verstehen.

[sinngemäß:] Reicht die Performance [eines] Pi, um auch noch DNS und DHCP zu übernehmen?

Locker. Allerdings macht DHCP und DNS eigentlich erstmal die Firewall. Das bedeutet, der Aufbau wäre sogar erheblich einfacher, wenn Du Dir ein DSL-Modem holst – bekommt man schon kostenlos –, einen Computer mit zwei LAN-Ports – dazu hatten wir auch schon zwei/drei Threads – und darauf dann die Software-Firewall. Dahinter dann gerne auch noch DNS-Server … aber auch all das sind Lösungsansätze, bitte beschreibe was Du eigentlich erreichen willst, also einen Satz in dem das Wort oder der Gedanke „Firewall“ überhaupt nicht vorkommt.

 

[Raijin]

Im Prinzip möchte ich die Firewall der Fritzbox ersetzen

Das ist aber keine Begründung, sondern ein nicht weiter erläuterter Wunsch.

Wie erwähnt möchte ich gern mein Heimnetzwerk mit einer IPFire Firewall sichern, da ich der Firewall der Fritzbox nicht so ganz traue

Wie genau kommst du denn zu dieser Erkenntnis? Hast du handfeste, belegbare Bedenken oder hat der Bruder vom Kumpel bei Facebook gelesen, dass jemand bei Youtube gesagt hat Fritzboxxen seien unsicher?

Grundsätzlich kommt die Sicherheit einer Firewall nicht durch den Namen, sondern die fachgerechte Konfiguration. Eben diese ist bei einem voll konfigurierbaren System wie IPfire, pfSense und Co deutlich schwieriger, weil man viel mehr Möglichkeiten hat - im Positiven wie im Negativen. Heißt: Otto Normal wird mit einer Vielzahl von Begriffen und Funktionen konfrontiert, von denen er noch nie zuvor gehört oder gelesen hat. Wie will man sowas sicher konfigurieren, wenn man die Hälfte gar nicht versteht?

Auch möchte ich so wenig Aufwand wie möglich betreiben, da es sich "nur" um mein Heimnetzwerk mit ~10 (inkl. Smartdevices etc.) Clients und 6 Proxmox VMs handelt.

Genau genommen spricht dieser Satz explizit gegen den Einsatz einer fortgeschrittenen Firewall und für die Fritzbox. Bisher schätze ich die Kombination IPFire+begrenztes Wissen als das deutlich größere Sicherheitsrisiko ein als unspezifische "gefühlte" Bedenken in Bezug auf eine Fritzbox. Ich lasse mich aber mit einem konkreten Einwand gerne eine vom Gegenteil überzeugen

 

[SaCre]

Im Prinzip kann ich den Gedanken sich nicht auf die Fritzbox zu verlassen schon nachvollziehen, da ich die dort möglichen Einstellungen gegenüber einer richtigen Firewall schon ziemlich rudimentär finde. Die Tatsache das es auch immer wieder mal Berichte gibt, wo Angriffswellen speziell auf Fritzboxen gestartet werden, finde ich jetzt auch nicht so ...naja. Man könnte die Firewall mit der Fritzbox in ein Zwischennetz packen und alles andere hinter der Firewall betreiben. Aber ich muss meinen Vorrednern schon in sofern recht geben, dass man natürlich auch verstehen muss, was man da macht. Die Fritzbox ist in meinen Augen eine gute Lösung für Personen, welche sich nicht näher mit dem Thema Netzwerk beschäftigen möchten.

 

[User007]

Sorry, aber nochmal:

[...] möchte ich die Firewall der Fritzbox ersetzen [...]

Warum?
Ansonsten... gemäß Deinem Wunsch:

[...] aufgrund Ease of Use [...]

Laß es die Fritte machen - einfacher zu handhaben geht praktisch nicht. 😉

Btw.:

[...] da ich die dort möglichen Einstellungen gegenüber einer richtigen Firewall schon ziemlich rudimentär finde.

Ja, und das folgt doch auch ganz konsequent dem Gedanken des Herstellers des Simple Use für die Zielgruppe seiner Produkte - also völlig richtig und gut so! 🤷‍♂️​

[...] immer wieder mal Berichte gibt, wo Angriffswellen speziell auf Fritzboxen gestartet werden, [...]

Scheinargument - gibt's genauso auf Gerätschaften anderer Hersteller!

 

[SaCre]

Scheinargument - gibt's genauso auf Gerätschaften anderer Hersteller!

Da ich aber paranoid bin, würde ich auch bei allen Herstellern mit einem Zwischennetz arbeiten