Grundlegende Fragen zum Einsatz einer pfsense FW
-
Hallo Zusammen!
Ich plane aktuell der Neuaufbau eines kleinen privaten Netzwerks (3-4 Rechner, Netzwerkdrucker, irgendwann vielleicht mal ein Datenserver) und bin bei Recherchen auf pfsense gestoßen. Jetzt plagen mich ein paar grundlegende Fragen und ich würde mich freuen ein paar Infos "abgreifen" zu können. Wenn, dann würde ich eine gesonderte Hardware für den Betrieb der pfsense Firewall anschaffen wollen.
Zu meinen Fragen:
-
Etwas ketzerisch: welche Vorteile habe ich denn z.B. gegenüber einer Fritzbox mit integrierter Firewall? Was ich gelesen haben, wäre eine pfsense Lösung besser/sicherer etc., aber was heißt das konkret?
-
Reichen grundlegende Netzwerkkenntnisse + etwas Lernwillen für einen sinnvollen und sicheren Betrieb überhaupt aus? Oder mache ich mir im Zweifelsfall mehr Türen auf als bei einer Fritzbox o.ä. (wo ich vermutlich deutlich weniger Ein-/Verstellen kann)?
-
Reihenfolge der Gerätschaften: hier habe ich im Forum recht unterschiedliche Lösungen gesehen. Macht folgende Reihenfolge Sinn:
Tkom-Dose -> pfsense -> fritzbox -> IPtelefone + Rechner? -
In Punkt 3. skizzierten Fall: wer übernimmt das Wlan? Pfsense oder Fritzbox?
-
Lässt sich eine pfsense FW mit geringen Aufwand (nachdem alles eingerichtet ist etc.) betreiben oder bedarf es viel Update- und Überwachungsaufwand?
-
Gibt es sonst noch irgendwas wichtiges zu beachten?
Vielen Dank im Voraus!
Chris -
-
Moin,
Zu
1.
Die Pfsense hat eine managebare Firewall in dem du Regeln und Freigaben definieren kannst. Somit kannst du dein Netzwerk kontrollieren. Die FB kann dieses nur eingeschränkt (Kindersicherung) für einen DAU ist die FB eine gute Wahl für einen Interessierten oder Wissenden ist die Pfsense eine super Sache. Alle Vorteile einer Pfsense aufzuzählen würde einfach zu lange dauern.Ja grundlegende Kennnisse und eine Anleitung auf diesem Server/Forum oder auf www.Administrator.de langen erstmal aus.
TKOM-Dose > Modem > Pfsense > Netzwerk (Wenn möglich schon VLAN Switch) > Endgeräte. Sollte die FB nicht schon da sein, würde ich immer IP Telefone vorziehen. Die Telekomzugangsdaten liegen in der Pfsense die für IP Telefonie in den Endgeräten bzw. in der FB.
Das WLAN würde ich bei einer kleinen räumlichen Installation direkt in der Pfsense erledigen, da diese einfach mehr Möglichkeiten bietet.
Ja, geringer Aufwand einmal im Monat nach Update‘s schauen (in der Pfsense)
Die Hardware sollte wenn möglich, aktuelles sein:
http://www.pcengines.ch/apu1d4.htm- SSD und WLAN Karte mit Multi SSID
Gruß
Keule
-
Moin,
4. Das WLAN würde ich bei einer kleinen räumlichen Installation direkt in der Pfsense erledigen, da diese einfach mehr Möglichkeiten bietet.
Kann man machen, funktioniert auch aber wenn Du W-Lan mit höherem Durchsatz willst macht ein separater Accesspoint Sinn.
Bei einem Kumpel habe ich die integrierte Lösung gewählt weil kleine 1 Zimmer Wohnung, nur 2 Clients von einem Nutzer, also kein hoher Anspruch.@Home: Hier habe ich eine Accesspoint mit OpenWRT im Einsatz: Dualband, MultiSSID -> VLan, da kann ich auch mal eben ~13 MB / s netto durch die Gegend blasen, klare Nachteile: Stromverbrauch, Vorteile: Flexibler in der Aufstellung, Datendurchsatz
@fwnoob
Willst Du hausintern auch VOIP einsetzen oder reichen Mobilteile per DECT an der Fritte bzw analoge Apparate?
Wenn ja würde ich die Fritte vorerst im Einsatz lassen, spart Dir evtl. Stress und hält den Haussegen in waage 8).Sollen die WLan Clients auf Infrastruktur im verkabelten Netz zugreifen oder reicht Internetzugang völlig aus?
Vorschlag für den Einstieg: Dose –> Fritte --> pfSense --> LAN
Damit kannst Du dich ersteinmal mit allem vertraut machen und eine versehentlich gesetzt any any Regel auf dem WAN Interface reißt Dein Netz nicht nach außen auf, Du hast also eine Spielwiese.Je nach Steilheit Deiner Lernkurve willst Du eh schnell mehr, der Rest ergibt sich dann.
Updates sind zeitweise nötig, sind aber, wenn Du keine Spielereien installiert hast, klick & go. Deshalb solltest Du eine Plattform wählen wo Du ein vollständige Installation rauf bekommst und keine embeded.
Die APU1D mit 2 GB RAM ist als Komplettset mit Gehäuse, Netzteil und mSata für 195€ erhältlich und dürfte fürs heimische Umfeld in den meisten Fällen völlig ausreichend sein. Die Variante mit 4GB RAM kostet 20€ mehr ist aber oft überdimensioniert, momentane Auslastung bei mir 11% von 4030 MB.Der wichtigste Grund für mich Zuhause pfSense zu nutzen war ursprünglich meine Fritte: Es ist eine Zwangsbox von Kabeldeutschland die via https://de.wikipedia.org/wiki/TR-069 vom Anbieter managebar ist. D.h. keine zuverlässige Grenze zwischen Internet und LAN. Und wer sich in meinem LAN herumtreibt entscheide immer noch ich 8), dieses setze ich mit pfSense durch.
Die anderen Vorteile, (Squid als Werbeblocker, Kontrolle über ausgehenden Verkehr, beschränktes Gastnetz ohne Zugang zum LAN, VPN zu inzwischen 3 anderen Netzen, VLAN, ...) habe ich mit der Zeit schätzen gelernt.-teddy
-
Vielen Dank für die hilfreichen Antworten! Das klingt alles sehr gut soweit.
@teddy: hausintere VOIP sollen her. Wlan soll nur ein Backup sein, den Großteil des Netzwerkverkehrs soll via Kabel ablaufen, sprich: Internetzugang reicht für Wlan völlig aus.
VG
Chris