Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Anfänger Setup

    Deutsch
    6
    26
    2.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • GrimsonG
      Grimson Banned
      last edited by

      @JeGr:

      Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

      Nun ich verlasse mich hier auf die Link Geschwindigkeit die mir der Controller anzeigt. Evtl. liegt es auch daran das ich ein Z4 aus Japan habe, was aber eigentlich baugleich mit dem Z3+ sein soll.

      @JeGr:

      Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)

      Zumindest konnte ich selbst bei dem ganz kleinen GS105eV2 von Netgear das VLAN1 von den Ports entfernen. Mein Post war auch nicht als "kauf Netgear" gedacht, ich habe nur geschrieben das bei mir der Netgear Switch recht gut funktioniert. Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss. Und eben das man die VLANs ordentlich konfigurieren kann. Bei 48 Ports mit POE würde ich eh nicht mehr geizen und in Richtung HP oder Cisco schauen.

      Aber wir können es ruhig dabei belassen das wir verschiedener Meinung sind. Am Ende muss sich der OP eh selbst überlegen was für seine Zwecke, und seinen Geldbeutel, am besten geeignet ist.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss.

        Richtig, das kann durchaus ein störender Faktor sein, es sei denn man hat sowas wie einen kleinen Betriebsraum bei sich im Keller oder sonstwo, wo das nicht stört. Ein Grund, warum ich damals die HP1810er gekauft hatte, da sie recht günstig (für 24 Ports + 2x SFP+) waren, die Oberfläche HTML only und halbwegs sauberes VLAN abbilden können (auch wenns gruselig dargestellt wird) und dabei keinen Lüfter haben. Werden zwar im Sommer mal ein wenig warm, aber bislang ohne Problem.

        Da der OP schon meinte, er würde gern mit so wenig Tools/Oberflächen wie möglich arbeiten, war mein Gedanke hier eben ggf. Switche von Ubiquity mit ins Boot zu holen. Alternativ gibts sicher ne günstige Serie von Cisco (wobei die günstigen Ciscos ja dann auch wieder keine sind sondern meist Ex-Linksys oder anderes Gedöns) oder HP (auch hier muss man aufpassen, die 19xx'er waren das glaube ich, die eigentlich alte 3COMs sind mit absolut gruseliger Oberfläche, kann mich aber täuschen).

        Vielleicht gibts ja jemand der auch eine Empfehlung hat, wenn man ein paar PoE Ports brauchen könnte (gibt ja durchaus Misch-Konfigurationen mit 24/48 Ports bei denen 8/12 Ports PoE fähig sind). :)

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • M
          mims
          last edited by

          Wow, danke für die ganzen Infos!

          Bevor ich jetzt genauer darauf eingehe (mit weiteren Fragen ;)), vorab nur kurz die momentan wichtigste Frage: ich wollte jetzt eigentlich eine APU2C4 anschaffen. Das zugehörige 19" Gehäuse (was auch für meine bereits vorhandene APU1D passt), ist heute angekommen. Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4? Denn dann würde/müsste ich das 19" Gehäuse direkt wieder retournieren und gar nicht erst auspacken…....

          Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)

          Bzw. eben zeitlich wichtige Frage: statt ner APU lieber was anderes in ungefähr derselben Preisklasse? Was auch für die Zukunft noch geeignet ist (also beispielsweise nicht bald irgendwelche Verschlüsselungsstandarts nicht mitmacht). Ob ich jetzt 175 EUR oder 225 EUR zahle, ist relativ egal, solange ich dafür dann ein wirklich passendes Gerät habe :)

          Auf die anderen Punkte gehe ich später noch mal in Ruhe ein =)

          1 Reply Last reply Reply Quote 0
          • GrimsonG
            Grimson Banned
            last edited by

            Also der SG-1000 ist IMHO ein nettes Spielzeug bzw. ganz passable für einen Camper der das Teil über Batterien/Solar betreiben will. Für den dauerhaften Einsatz wäre der mir zu schwachbrüstig. Da schau dir eher den SG-3100 an, oder die MinnowBoard Produkte von Netgate: https://store.netgate.com/MBT-4220-system.aspx.

            Wobei ich persönlich bei dieser Art von Produkten nicht so der Experte bin, ich baue lieber selber mit Mini-ITX boards und Standard Komponenten. Da ist dann das Gehäuse zwar etwas größer, und evtl. der Stromverbrauch ein paar Watt höher, aber dafür kann ich jede Komponente ohne Probleme einzeln upgraden bzw. bei Defekten ersetzen.

            1 Reply Last reply Reply Quote 0
            • M
              monstermania
              last edited by

              @mims:

              Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4?

              Nein,
              in der Preisklasse ~ 200€ gibt es m.E. nichts vergleichbares. In der Kombination aus Kompaktheit/Leistung/Energieverbrauch/Preis steht die APU2 ziemlich einzigartig da.
              Ganz klar, besser geht immer. Nur wird es dann ganz schnell auch ganz schön schnell teuer.  ;)

              Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)

              Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)
              Zum Thema VLAN solltest Du berücksichtigen, dass sich alle VLAN-Netze den einen NIC teilen. Sprich, wenn Du 3 VLANS nutzt teilen sich diese 3 VLANS den einen 1 Gbit NIC. Das kann für den Einen oder Anderen schon eng werden, wenn Du z.B. ein NAS in der DMZ hast und gleichzeitig mit Clients aus dem LAN oder WLAN auf das NAS zugreifst.
              Eine APU2 ist da m.E. deutlich flexibler und performanter.
              Dazu kommt dann noch, dass Du nicht ausschließlich auf pfsense festgelegt bist wie z.B. bei einer SG1000/3100.  :)

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)

                Ich rate den meisten Kunden - aber das sind natürlich Firmenkunden - davon ab. Auch im Homeoffice, da:

                • Traffic Durchsatz mit Filter only bei rund 150-200Mbps, ggf. inzwischen ein wenig höher aber trotzdem Oberkante
                • VPN Durchsatz ~10-15Mbps TOP. Mehr geht nicht auf der HW
                • Gigabit gibts trotz zweier Interfaces nicht, weil die intern am gleichen Bus hängen (ähnlich Raspi) und daher niemals Gigabit Performance schaffen würden, selbst wenn nur nackte Hardware + minimal Routing laufen würde (dann liegt er wohl bei ~450Mbps nackt und ohne alles)
                • bestimmte Pakete gar nicht oder nur minimal nutzbar.

                Gerade weil der OP schon Pakete wie pfBlocker etc. angesprochen hat, wäre mir die Hardware extremst zu klein.

                Die SG-3100 ist tatsächlich was für den Heimeinsatz, ich finde das Gerät trotzdem irgendwie eine (kleine) Fehlbesetzung, da die 6 Interfaces gesplittet sind in 2 echte und ein interner Chip der auf 4 Einzelchips splittet - daher die 1+1+4 Interface Konfiguration, die man dort findet. Man kann also max. 1 WAN und 1 DMZ bauen, die anderen 4 Interfaces sind über den 5. internen Chip gebridged und quasi ähnlich einer FritzBox als Switch konfigurierbar. Klar, wenn man sowas sucht, mag das ideal sein. Ich hatte die 3100 kurz für einen Kunden als Ersatz für eine SG-2440 da und war nicht so angetan. Die Basisplatte ist zwar massiv, das restliche Gehäuse aber knarzig und klapprig und die UI für den internen Switch zur Konfiguration noch lange nicht ausgegoren. Ich fand das nicht intuitiv zu konfigurieren, sondern eher ein wenig … chaotisch trifft es wohl - da in der Switch Konfiguration plötzlich das interne 5. Bridge Interface sichtbar ist und damit auch konfigurierbar. Intuitiv fand ich somit die Konfiguration des Switches nicht. Eher sehr fehleranfällig. Power hatte das ARM Gerät zwar, welche Performance maximal konnte ich leider nicht testen - dazu hatte ich es zu kurz. Wird aber wohl irgendwo zwischen 2220 und 2440 angesiedelt sein.

                Da die Kiste auch schon über den ~220 einer APU2 liegt, würde ich erstmal dabei bleiben, es sei denn, du hast Größeres vor was Pakete wie IDS/IPS angeht oder du braucht intra-VLAN-Routing Durchsatz mit Gigabit. Da wirds bei der APU2 auch eher enger.

                Gruß

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • M
                  mims
                  last edited by

                  Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)

                  Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

                  VPN: ja! Läuft momentan auf meiner Synology, die deshalb einen bestimmten Port freigegeben bekommen hat. Würde ich gerne vermeiden. VPN dann für insgesamt sechs Clients, davon im Normalfall max. 3 gleichzeitig verbunden (eher 1-2). Um mobil Werbung etc. zu blockieren bin ich momentan beim Verlassen meines LAN automatisch per VPN wieder damit verbunden. Aktuell nutze ich OpenVPN, aber auch hier bin ich offen was Änderungen angeht (wenn Ihr der Ansicht seit bzw. mir erklärt, warum ein anderes Protokoll besser wäre :) ).

                  Ansonsten halt pfBlocker-ng und HAproxy oder squid für einfachere Zuordnung der Dienste (siehe unten: xy.foo.bar statt 192.168.1.65:8098/meindienst/admin).

                  Dann eben VLAN, habe mir das ungefähr so vorgestellt:
                  VLAN0 (Safe Space)
                  ==> mein Hauptrechner, NAS, Backup-NAS, ggf. mein Smartphone
                  ==> Zugriff hierauf von anderen VLAN verboten, bzw. ggf. einzelne Ports für einzelne Nutzer anderer VLAN freigeschaltet
                  ==>
                  ==> Internet: ja

                  VLAN1 (User)
                  ==> alle andere Personen im Haushalt; Zugriff von VLAN0 möglich, einzelne Services zu VLAN0 für einzelne User entsprechend freigeschaltet
                  ==> Internet: ja

                  VLAN2 (Geräte)
                  ==> FireTV, Raspberry Pis, Kleinkram, etc., Drucker, Scanner
                  ==> Geräte untereinander nicht vernetzt
                  ==> einzelne Geräte (z.B. FireTV) haben Zugriff auf einzelne Services von VLAN0 (z.B. Plex darf natürlich auf das NAS zugreifen, Pis kriegen ggf. eine Netzwerkfreigabe für das Sichern von Konfigurationsdateien, …)
                  ==> vielleicht irgendwann mal der lang ersehnte dedizierte Bitcoin Miner ;)
                  ==> Internet: ja

                  VLAN3 (yeah: no!)
                  ==> IP Cams, Testgeräte, "no trust" Geräte
                  ==> Geräte dürfen weder untereinander, noch in andere VLAN kommunizieren; Ausnahme: NAS aus VLAN0 darf auf die Kameras zugreifen
                  ==> Internet: nein!

                  VLAN4 (Netzwerkkram)
                  ==> Hier würde ich dann nur die Ubiquity Unify Geräte einbinden (aktuell geplant 1x Access Point, 1x managed Switch für VLAN, später kommt defintiiv ein 2. AP hinzu)
                  ==> Internet: ja

                  Die Idee dahinter ist, dass ich aus VLAN0 auf alles Zugreifen kann (Geräte konfigurieren, "Fern"wartung per SSH, etc. pp). VLAN3 würde ich nutzen, damit ich Geräte verwenden kann, die ich normalerweise nicht in mein Netzwerk lassen würde (z.B. China IP Cams, statt Geräte, bei denen ich sicher sein kann, dass sie nix Seltsames in meinem Netzwerk versuchen, sofern man sich da überhaupt sicher sein kann)........
                  Wer bestimmte Services braucht (alle User kriegen bsp. nextcloud für Dokumente, Kalender, Kontakte, einige bekommen Netzwerkfreigaben für weitere Dateien und/oder zum Datenaustausch), darf auch von außerhalb VLAN0 auf diese Services zugreifen - und nur auf diese (Idee dahinter ist, dass ich auch getrost die Windows-Rechner bestimmter User, die sonst gnadenlos im Gastnetz hängen, zumindest soweit ins Netzwerk integriere, dass sie von lokalen Services profitieren können).

                  Dies nur zur Erklärung, wieviel VLAN überhaupt geplant ist.

                  Wenn ich da mit der aktuell "besten" APU hinkomme, was afaik die APU2C4 sein müsste, dann würde ich darauf zurückgreifen.

                  Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.

                  Steht alles aktuell in meinem Büro. Ich hoffe, mittelfristig ein eigenes Zimmer (oder eine Ecke) hierfür zu finden, wo die Lautstärke dann gar keine Rolle spielt. Solange muss ich da durch :/ ^^

                  Bezüglich der Ubiquity Geräte: mittelfristig soll jedes Zimmer eine 2er LAN Dose bekommen; WLAN ist dann eigentlich nur noch für die Smartphones und diverse ESP8266 wirklich notwendig, daher brauche ich da jetzt nicht die Ultra-Performance. Es soll nicht stocken, aber je weniger Geräte WLAN überhaupt benötigen, umso glücklicher bin ich. Daher muss es da nicht das allerbeste Gerät sein. Wenn jetzt, wie bei den von mir bereits genannten AP, die Preise so dicht aneinander liegen, würde ich trotzdem lieber auf das "bessere" Gerät zurückgreifen. Da gehen Eure Meinungen hier ja etwas auseinander. Ist das wirklich reine persönliche Ansichtssache,, welches Gerät besser ist - oder kann man mir die Entscheidung doch auch objektiv gesehen irgendwie leicht machen?

                  Euer Vorschlag, dann auch auf einen Switch von Ubiquity zu setzen, finde ich grundsätzlich gut. Der US-24-250W hat 24 Ports und PoE; schlägt mit knapp 400 EUR zu Buche, würde aber erst einmal ausreichen - und wenn ich später doch noch Ports brauche, kann ich entweder noch einen non-PoE dazu nehmen (es braucht ja nicht jedes einzelne Gerät tatsächlich PoE), oder es wäre doch bestimmt auch möglich, einen meiner vorhandenen Switches mit dem Gerät zu verbinden - solange alle Geräte, die über den zusätzlich angeschlossenen Switch laufen, sich im selben VLAN befinden, wie der Port am Ubiquiti, an dem der Switch hängt… richig?

                  Kauf-Gedanken soweit:
                  ich behalte das 19" Gehäuse für die APU, verbaue solange ich noch teste meine APU1D und steige später (wenn es produktiv werden soll) auf die APU2C4 um; dazu kommt erst einmal ein Ubiquity AP (welcher??).

                  Was sagt Ihr denn zu meinen grundsätzlichen Voraussetzungen? Brauche ich überhaupt wirklich VLAN? Wenn ich beispielsweise auch direkt in pfSense festlegen könnte (kann ich??)

                  • Gerät A darf nicht ins Internet, hat keinen Zugriff/Verbindung auf andere Geräte
                  • Gerät B darf ins Internet, darf zugreifen auf Port 1234 von Gerät XY, hat keinen Zugriff auf andere Geräte
                  • etc.
                    Dann könnten sich ja theoretisch doch alle Geräte im selben VLAN befinden. Hauptsächlich geht es mir darum, dass potenziell "nicht unbedingt ungefährliche" Geräte trotzdem in mein LAN können, ohne ggf. Schäden zu verursachen.

                  Sorry, ist jetzt ganz schön lang geworden… ich möchte nur sicher gehen, genau das passende Setup zu erstellen, ohne am Ende Funktionen zu missen, aber natürlich trotzdem auch die Ausgaben nach Möglichkeit gering zu halten.

                  Grüße

                  1 Reply Last reply Reply Quote 0
                  • -flo- 0-
                    -flo- 0
                    last edited by

                    @JeGr:

                    Bei mehr als einem [Anm.: AP] kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

                    Statt eines Raspi (da tut's mit Einschränkungen sogar ein Pi2) oder dem Cloudkey geht auch eine VM. Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

                      Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich. :)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • M
                        monstermania
                        last edited by

                        @mims
                        Irgendwie verliere ich vor lauter VLAN den Überblick.  ;)
                        Aber mal im Ernst. VLAN dienen ja dazu über die gleiche HW Netzwerke getrennt voneinander betrieben zu können. Nur sollte man dabei auch die Praxis bzw. den Aufwand nicht außer acht lassen.
                        So wie ich das sehe benötigst Du bei Deinem geplanten Konstrukt (wahrscheinlich) in jedem Netz auch WLAN. D.H. Du müsstest in jedem Netz auch einen WLAN-AP bereitstellen. Die Unifi-AP können z.B. nur 4 unterschiedliche WLAN SSID bereitstellen.
                        Für Gäste habe ich jetzt bei Deiner Planung gar nichts finden können.
                        Und logischerweise kannst Du in jedem Netz auch individuell steuern, welche Devices ins Internet können oder eben auch nicht.

                        Ich befürchte nur, dass Du Dich etwas übernimmst.  ???
                        Mir persönlich wäre Deine Planung für ein Heimnetz viel zu aufwändig. Wer soll dabei dauerhaft den Überblick behalten?
                        Ich selbst habe ein LAN/WLAN in dem alle meine privaten Geräte laufen. Auf der FW ist dann individuell geregelt welche Devices was dürfen (z.B. Internet per trans. Proxy, VPN, WhatsAPP, usw.). Zusätzlich gibt es dann ein Gäste-WLAN für alle unsere Gäste (nur Internetzugriff).
                        Eine DMZ hab ich auch, aber mangels Geräten darin ist die nicht im Einsatz.
                        So reicht mir das. Und selbst bei diesem einfachen Konstrukt sind ettliche Stunden Arbeit drauf gegangen, bis endlich alle Regeln gepasst haben bzw. Dienste sauber konfiguriert waren.
                        Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)

                        Machbar ist (fast) Alles. Nur nicht Alles was machbar ist, ist auch sinnvoll.
                        Ich halte mich da lieber an die Regel: KISS (Keep it small and simple)

                        Gruß
                        Dirk

                        1 Reply Last reply Reply Quote 0
                        • M
                          mims
                          last edited by

                          Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.

                          Genau so habe ich das auch geplant. Extra nen Raspi würd ich dafür ungern aufsetzen, aber es gibt verschiedene Docker Images (auch eins von linuxserver.io, die mich bis jetzt noch nie enttäuscht haben), welches ich verwenden würde.

                          Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich.

                          Ups. Okay… ^^ aktuell läuft hier 1&1 DSL 100; gemessen habe ich da gerade mal 93 Mbit/s down und 33 Mbits/s up...

                          @monstermania: sofern ich unter pfSense für jedes Gerät festlegen kann a) welche Geräte darauf zugreifen können (inkl. bestimmte Ports pro Gerät), b) auf welche Geräte das Gerät selbst zugreifen darf, und c) ob das Gerät ins Internet darf, schmeiße ich VLAN gerne direkt wieder aus meiner Konfigurationsidee raus :)

                          Vielleicht kannst Du (bzw. Ihr) mir das netterweise an einem Beispiel erklären:

                          device0 = mein Hauptrechner
                          -> hat Zugriff auf alle Geräte im Netzwerk
                          -> hat Zugriff auf internet
                          -> kein Zugriff auf dieses Gerät von anderen Geräten im Netzwerk
                          ----> Ausnahme: mein Smartphone darf auf Port 8080 (und nur den) zugreifen

                          device1 = NAS1
                          --> hat Zugriff auf device[x,y,z] (diese haben aber keinen eigenen Zugriff auf das NAS)
                          –> hat Zugriff auf das Internet
                          --> device0 hat vollen Zugriff auf dieses Gerät
                          --> andere Geräte haben (je nach IP/MAC bzw. ggf. anderer, eindeutiger Vorgabe) nur auf bestimmte Ports/Services dieses NAS Zugriff

                          device2 = PC Freundin
                          -> hat Zugriff auf device1 [Port 6000, 7722, 8844, 9000]
                          -> hat Zugriff auf das Internet
                          -> hat keinen Zugriff auf andere Devices im Netzwerk

                          device[3,4,5] = "unsichere China Cams"
                          -> haben keinen Zugriff auf andere Devices im Netzwerk
                          -> haben keinen Zugriff auf das Internet
                          -> alle (bzw. bestimmte Devices) haben vollen Zugriff auf diese Geräte bzw. ggf. nur bestimmte Ports dieser Geräte

                          Mir geht es insbesondere um die folgenden zwei (aus meiner Sicht) Probleme:
                          1. meine zuletzt gekaufte China Cam hatte irgend einen komischen Port offen; Recherche ergab, dass es sich dabei entweder um xy (vergessen, sorry, aber nen harmlosen Dienst) oder einen Wurm handelt, der versucht, weitere Geräte im Netzwerk zu infizieren (mit wasauchimmer)
                          ====> solche Geräte würde ich gerne trotzdem verwenden, solange sie keinen Schaden anrichten können. Wenn dieser komische Port tatsächlich einen Wurm im Netzwerk verbreiten möchte, dies aber nicht kann, (weil absolut keinen Zugriff auf jegliche Devices und deren Ports), und ich gleichzeitig beispielsweise die Kamera trotzdemin meine Surveillance Station einbinden kann (notfalls via http bzw. JPEG Push), sodass sie nichts anrichten kann, bin ich zufrieden.

                          2. im Netzwerk befindet sich ein Windows PC. Da ich diesen nicht andauernd überprüfen kann, aber auch nicht möchte, dass er ggf. mit im schlimmsten Fall bsp. einem Cryptolocker infiziert wird und den im Netzwerk verbreitet, möchte ich auch diesen abschotten
                          ====> hängt aktuell im Gäste-WLAN; dadurch kann er aber weder von pi-hole profitieren (Werbung etc. wird nicht geblockt, da das Gäste-WLAN nicht den in der fb gesetzten DNS Server übernimmt), noch kann ich überhaupt eine Netzwerkfreigabe/Zugriff auf nextcloud/whatever erteilen, da das Gäste-WLAN eben vollständig isoliert ist. Ich würde dem PC aber gerne eine handvoll Ports bestimmter Geräte freigeben, nur halt keinen "Freifahrtschein" für alle Devices und deren Ports.

                          Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)

                          Genau davor graut mir nämlich auch schon :D

                          1 Reply Last reply Reply Quote 0
                          • -flo- 0-
                            -flo- 0
                            last edited by

                            Ich schließe mich der Meinung der Vorredner an. Das ist Overkill (und sicher kein "Anfänger-Setup" :-)).

                            Man muß doch nicht die gesamte Zugriffssteuerung durch VLANs regeln. Es können auch mehrere Hosts gemeinsam in einem Netzwerk laufen, ohne daß diese aufeinander Zugriff haben müssen. Jeder PC und NAS bringt dafür Bordmittel mit.

                            Wenn Du NAS und PCs jeweils in eigene VLANs packst, behinderst Du Dich total. Das Browsing im Netzwerk geht dann nicht, z.B. zu Netzwerk-Shares. Manche Drucker brauchen mDNS, die gehen nur im selben Netzwerk, und und und.

                            Bei Windows (eigentlich überall) gehört übrigens eine adäquate Absicherung gegen Malware dazu. (Ist der Rest bei Euch Apple-HW btw.?)

                            Mein Tipp: Ein VLAN für alle PC, NAS, ggf. Netzwerkdrucker. Ein zweites VLAN (editiert, da stand WLAN) für den Rest, also alles, was Du nicht selbst sauberhalten möchtest oder kannst / dem Du nicht vertrauen kannst (Mobilgeräte von Gästen oder Kindern, zweifelhafte Webcams, sonstiger IoT-Schrott, etc.)

                            1 Reply Last reply Reply Quote 0
                            • M
                              mims
                              last edited by

                              Ich habe produktiv ein MacBook, meine Freundin (hoffentlich "noch") Windows 10. Dazu dann Android Smartphones und ein paar Ubuntu Instanzen (als VM). Auf den Raspberry Pis läuft raspbian und auf Synology die DSM Software.

                              Wenn möglich würde ich es einfach gerne vermeiden, das mit Bordmitteln an jedem Gerät einzeln einstellen zu müssen… so kam ich ursprünglich auf VLAN bzw. bin natürlich auch für andere Vorschläge offen :) Schön wäre es allerdings, wenn ich das zentral steuern könnte (und dachte, dass das in pfSense doch möglich sein müsse). Sofern möglich, brauche ich gar kein VLAN mehr. Dann könnte alles in ein Netz und was nicht miteinander reden darf, bekommt entsprechende Restriktionen.

                              Auf Bordmitteln (wenn ich den Begriff jetzt richtig deute) halte ich da einfach nicht viel. Gerade wenn es irgendwelche Würmer oder Crypto-Geschichten sind, die ggf. darauf ausgelegt sind, so etwas zu umgehen. Wenn die Firewall einfach jeglichen Traffic "schluckt" oder unterbindet, egal, was das Gerät nun macht, kann -meiner laienhaften Einschätzung nach- doch kein großes Risiko mehr bestehen..?

                              1 Reply Last reply Reply Quote 0
                              • M
                                monstermania
                                last edited by

                                @mims
                                Theoretisch ist es ja eine pfiffige Idee alles per VLAN zu trennen, aber in der Praxis kann so etwas dann ganz schnell ganz schön nerven.
                                Einfaches Beispiel: Du willst mal eben Miracast/Chromecast nutzen um Inhalte von Deinem Smartphone/Tablet auf Dein Smart-TV zu streamen. Versuch das mal über VLAN hinzubekommen. Nicht, dass es nicht irgendwie geht, aber einfach ist das nicht.
                                Und natürlich ist die Aussage von -flo- absolut richtig. Wozu haben denn heutzutage alle OS eine Firewall an Bord?

                                Ich würde mich daher auf auf m.E. sinnvolle Netzwerke beschränken.
                                z.B.

                                • LAN + evtl. internes WLAN (für alle Geräte denen ich vertrauen kann)
                                • WLAN (Gäste)
                                • DMZ (für Geräte, die auch aus dem Internet erreichbar sind)
                                • IoT + evtl. WLAN (spielwiese für alle Devices)

                                Über die FW-Regeln kannst Du dann den Verkehr zwischen den Netzen regeln. In den einzelnen Netzen kannst Du z.B. die Devices über Gruppen zusammen fassen und darüber den Zugriff in das Internet/andere Netzwerk steuern). So habe ich das zumindest bei mir gemacht.
                                Kommt ein neues Device im mein internes LAN/WLAN kann das Teil erstmal (fast) gar nichts (kein Internet). Es muss zunächst einer/mehrer Gruppe(n) zugewiesen werden um z.B. Internet, Mail, VPN, FTP WhatsApp, usw. freizuschalten. Die Gruppenmitglieder habe ich per fester DHCP-Lease realisiert. Innerhalb der Netzwerk können die Geräte prinzipiell aufeinander zugreifen, sofern es nicht die lokale Firewall auf den Geräten unterbindet.
                                So reicht mir das.  ;)

                                Gruß
                                Dirk

                                PS: Selbst eine Sicam-Webcam kann ich so auf Intranet festnageln.  8)

                                1 Reply Last reply Reply Quote 0
                                • M
                                  mims
                                  last edited by

                                  Nur mal rein für mein Verständnis: wir gehen jetzt mal von der Kamera aus, die gar nichts dürfen soll. Allerdings ohne VLAN.

                                  Kann ich in der Firewall eine Regel anlegen, die folgendermaßen aussieht:
                                  Macbook IP: 192.168.1.11
                                  Cam IP: 192.168.1.55
                                  benötigte Ports: 8080, 80

                                  Quelle: 192.168.1.55
                                  Ziel: *
                                  Verbindung: verboten

                                  Quelle: 192.168.1.11
                                  Ziel: 192.168.1.55
                                  Port Ziel: 8080, 80
                                  Verbindung: erlaubt

                                  Quelle: *
                                  Ziel: 192.168.1.55
                                  Port Ziel: 8080
                                  Verbindung: erlaubt

                                  4.
                                  Quelle: *
                                  Ziel: 192.168.1.55
                                  Port Ziel: *
                                  Verbindung: verboten

                                  Ich kann das gerade nicht testen, da nur mein Macbook mit pfsense verbunden ist, alle anderen Geräte laufen, bis ich das produktiv einsetzen kann, noch über die FB.

                                  Jetzt müssten doch grundsätzlich alle Geräte erst mal auf Port 8080 der Kamera zugreifen dürfen; mein Hauptrechner darf zudem auf Port 80 zugreifen. Die Kamera kann auf gar nichts selbst zugreifen.

                                  Ist das grundsätzlich sinnvoll, oder viel zu kompliziert gedacht? Ich nehme an, dass die Firewall Regeln auch in irgend einer Datei editiert werden können; lege ich mir also diese Regeln zuerst an, dann habe ich ein Template. Kommt ein weiteres Gerät dazu, das selbst auf nichts zugreifen darf, aber auf das andere Geräte zugreifen sollen, kann ich einfach direkt die Regeldatei erweitern (copy, paste, edit), sodass ich nicht immer vier Regeln in der GUI von Hand anlegen muss…?

                                  Dein Beispiel passt bei mir aus verschiedenen Gründen nicht:

                                  • WLAN (Gäste) fällt weg.
                                    Den Aufwand will ich mir einfach nicht geben, wer hier zu Besuch ist, hat die Wahl zwischen mobilen Daten oder mal ganz in Ruhe ohne Smartphone nen Kaffee trinken ;)
                                  • DMZ fällt weg
                                    Ich möchte für alles, was von außerhalb des Netzwerks zugreifen wird, ausschließlich VPN verwenden. Sobald ich (denn vermutlich werde ich eh der einzige sein, der das permanent nutzt) dann von außerhalb mit dem VPN Netzwerk verbunden bin, habe ich ja Zugriff auf alle lokalen Services. Zumindest aktuell sehe ich keinen Grund, warum ich irgendwelche Services auch ohne VPN nach außen verfügbar machen sollte

                                  Mein Problem ist gerade, dass ich das nicht so wirklich einfach testen kann...... wenn ich "mal kurz" alle Geräte über pfsense laufen lasse und rumprobiere, geht vermutlich erst einmal irgend etwas nicht und ich muss zur Beschlichtigung doch wieder den Billigrouter aktivieren ;)

                                  Das mit den Gruppen finde ich allerdings interessant. "Normale" Geräte bekommen dann erst einmal nur die Ports, die sie tatsächlich brauchen (Internet, Mail, Telegram würden meiner Freundin zB komplett ausreichen). Je nach Bedarf wird das für andere Geräte erweitert.
                                  Wenn mehrere Gruppen pro Nutzer möglich sind ist das ja alles gar kein Problem.

                                  DHCP Lease muss ich noch schauen... ich habe jetzt einen Ubiquiti AC PRO eingesetzt und den C7 in den Ruhestand geschickt. Es scheint so, als bekämen die Geräte trotzdem weiterhin ihre IPs von der Fritzbox und nicht vom AC (denn der AC sollte eigentlich Adressen im Bereich 192.168.1.* vergeben, die verbundenen Geräte haben aber trotzdem welche im von der FB vergebenen Bereich).

                                  Sicam sagt mir jetzt nichts. Aber das Verbieten des Internetzugriffs (also rein im Intranet verfügbar machen) schafft ja sogar meine FB. Da muss pfsense das ja locker können :)

                                  1 Reply Last reply Reply Quote 0
                                  • magicteddyM
                                    magicteddy
                                    last edited by

                                    Moin,

                                    Quelle: 192.168.1.11
                                    Ziel: 192.168.1.55

                                    Nein, Du kannst die Regel zwar anlegen, aber sie greift nicht.
                                    Das Netz (grün) ist das gleiche als kommunizieren die Geräte direkt miteinander und brauchen den Router dafür nicht. (Bridge und krude Netzmasken jetzt mal ausgenommen :P)

                                    -teddy

                                    @Work Lanner FW-7525B pfSense 2.7.2
                                    @Home APU.2C4 pfSense 2.7.2
                                    @CH APU.1D4 pfSense 2.7.2

                                    1 Reply Last reply Reply Quote 0
                                    • -flo- 0-
                                      -flo- 0
                                      last edited by

                                      So geht es im Prinzip:

                                      • Zwei Netze 192.168.1.0/24 (VLAN 1) und 192.168.2.0/24 (VLAN 2)

                                      • 192.168.1.11 kommt in VLAN 1.

                                      • Aus der 192.168.1.55 wird eine 192.168.2.55, das Gerät kommt in VLAN 2.

                                      Firewall-Regeln schreibst Du in pfSense nicht in eine Datei, sondern immer mit der UI.

                                      Um eine weitere Kamera zu ergänzen macht man nicht jeweils 4 neue Regeln, sondern verwendet in den Regeln statt der IP-Adresse einen Alias, z.B 'IPcams'. In dem Alias kann man dann die IP-Adresse der neuen Kamera ergänzen.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.