Wegeleitsystem für blutige Grünschnäbel?

Sachte

Grüß euch.

Ich schätze in diesem Forum dürfte eher das Motto "Jeder sollte eine haben" (pfsense) herrschen ;-) Hab ich mir auch immer gedacht. Das ist eh so ein altes Träumchen von mir mit der "echten" Firewall.
Und jetzt hat mir hier wirklich jemand einen 210II mit SSD und 16GB RAM angeschleppt. Und auf der SSD eine zurückgesetzte pfSense.

Ich schraub an PCs schon eine ganze Weile und benutze auch mal recht unkonventionelle Programme, aber mit Netzwerk hab ich bisher nur soviel zu tun gehabt, in der Fritte den paar Geräten hier feste IPs zuzuordnen (und in selbigen einzustellen).

Da ist sowas hier eine andere Nummer. Alle Docs die ich bisher las, sind imho eher was für Leute die in der Berufschule (mindestens) Fachinformatik lernten. Man muss schon einiges mitbringen.

Was ist nun mit uns, also dem Rest der Bevölkerung? ;-) Könnte ihr zu pfSense gute Tutorials für ECHTE ANFÄNGER empfehlen?

mfG.

JeGr

@sachte Grüße zurück :)

Also anders gefragt: Kommst du schon mit den Original-Docs nicht klar oder scheitert es an den Fachbegriffen? Denn da würde ich dir schon empfehlen dich dann ein wenig einzulesen. Aber so Grundbegrifflichkeiten bzw. Basiswissen ist ja sicher da, sonst wäre der Wunsch nach ner echten Firewall doch nicht parat, oder?

Cheers
\jens

Sachte

Moin.
Vorab, ich hab vor 2 Tagen irgendwie falsch gelegen beim Pennen und hab immer noch eine matschige Birne davon :( Kann also gut sein, daß dies meine Laune noch unterdurchschnittlich nieridg hält :)

Wenn ich das trotzdem sachlich kühl betrachte, bringt mich der Anfang der Docs wenig nach vorn. Ich meine das was immer zuerst verlinkt wird so mit dem O-Ton "hier, zieh dir das erstmal rein und durch
"https://docs.netgate.com/pfsense/en/latest/

Ich kann mir vorstellen, daß dies SUPER Lernmaterial für die Berufsschule Fachinformatik zum Thema Netzwerk wäre. Das erkenn ich auch an.
Muss ich aber wirklich OSI model layers verstehen? Mir scheint, und das gilt bei weitem nicht pfsense, sondern fast jeder ernsthafteren Sache durch die ich mich schon durchgekämpft habe, daß solche "Manuals" vom Fachmann für den Fachmann geschrieben werden. Mit dem Gedanke, daß der versierte Leser liest was er zu 70% eh schon weiß und dann die Quali der Docs beurteilen wird. Auf Richtigkeit und Umfang. Ich wette da gibts für fast alles heutzutage bestimmt auch einen Begriff für. Vielleicht gar irgendwas mit einem Syndrom.
Das alles interessiert Grünschnäbel aber nicht im geringsten. Das führt zum keinen realen Ziel.

Wer ist man also? Oder, wer ist man, wenn man sich PRIVAT so eine Kiste hinstellen will? Was will man?
Man wird bombardiert mit Infos was es alle für Hacks gibt, die Malware-Schürfet wollen nicht und nicht aussterben, jeder will alles über dich wissen, Werbung kommt mit Viren und kommt sowieso in Wellen welche die realen Inhalte der Seiten fast schon untergehen lassen.
Und dann ruft auch noch alles nach Hause was nur geht. Programme und ganze Geräte suchen nach Updates/Firmwares, obwohl man das vielleicht garnicht möchte. Lässt sich aber nicht komplett abstellen. Win10 möchte, daß du dich für DX12 mit deinen Daten prostituierst, 2 von 3 IoTs wollen ihre tägliche Story nach Peking senden usw. usw.

Das würde man gerne wenigstens zum großen Teil einfangen.
Was will man nicht? Man will kein VPN. Das ist für niemanden der ich kenne und der in der Lage ist interessiert zu verfolgen wie es mit dem R210II nun weitergeht von auch nur geringster Bedeutung. Ich erwähne das nur, weil VPN gefühlt das absolute Hauptthema in jedem solchen Forum ist (Netzwerke). Ich hab VPN verstanden, und brauche das ebenfalls nicht im geringsten. Nur mal so, wegen der Aufregung über 2.5 und WireGuard ;-)

Dann sagt also irgendwer "musst du pfSense mit pfBlockerNG machen" und schon nimmt das Drama seinen Lauf ;-) Und dann schenkt mir quasi noch so ein Ochse eine 1HE Box die dafür wie gemacht ist und wo das schont rauf ist :-D

Ok, daß man sich hier alles händisch einpflegt und/oder auf die viele Listen im Netz zurückgreift und sein eigenes Netzwerk auch mal kennen sollte, das ist überhaupt nicht das Thema.
Das ist ohne Problem so zu akzeptieren. So ein Ding ist kein Toaster. Mein vollstes Verständnis. Das ist nicht das anfängliche Prob.

Was ist es also... Jemand mit in Germanien meist einer Fritte an der TEA, die dann WLAN macht + von da eine Leitung zum Switch + vom Switch zu den Clients/Dosen. + vielleicht 1-2 WLAN-Repeater. Wie das meist so ist. In einer Wohnung wie in einem Haus.
Der Standardaufbau für mich bei Leuten die überhaupt dazu kommen die Existenz von pfSense wahrzunehmen.

Diese Leute wollen zu 99% die Firewall zwischen der Fritte und dem Switch hängen. Sie wollen nichts an der Fritte ändern, falls das mit der Firewall mal gelegentlich schief geht oder deren Hardware einfach irgendwan aufgibt. Die Fritte ist dann der fall-back für solche Fälle.
Anschliessend kommt dann später der Gedanke das WLAN auch nach der Firewall zu fahren und es an der Fritte auch nur als fall-back bereit halten.
Das wars meist in der ersten Jahren. Echt :-) Ich hab das also gestern mit einem Kumpel durchgespielt:

Gibt dem Ding einen Hostnamen - check
Gibt dem Ding eine Domain - check
Dann kommen die DNS-Server:
"If this firewall has a dynamic WAN type such as DHCP, PPTP or PPPoE these may be automatically assigned by the ISP and can be left blank."

Finito :) Das wars erstmal :) Schätzte wegen obigem, blank lassen (?) aber der baut seit Jahrzehnten PCs für sein Umfeld und ist schon vor nur drittem Check eingebrochen.
D.h. irgendwas ist mit dem Text nicht richtig. Richtig?

Aber, das Thema kommt sofort wieder. Override DNS. Hat die Firewall ein dynamisches WAN...
Ja... hat sie es nun? Oder hat sie es nicht?
Hat sie überhaupt selbst ein WAN oder nur ein Buchse dafür, und ist damit das gemeint das Gerät an ihrer WAN-Buchse meint?

Sprich, für mich sind das keine Beschreibungen für Normales. Es beschleicht mich aber das traurige Gefühl, das müsste nicht so sein.

Sorry :) Wenn ich wieder wach bin sieht das alles vielleicht wieder anders aus ;)

NOCling

Wir helfen ja gern weiter, aber die Netgate Docs solltest du schon lesen und verstehen können (und wenn du anfangs jeden Fachbegriff googlen musst). Es ist noch nie ein Meister vom Himmel gefallen, das war immer harte Arbeit.
Sonst ist das einfach nicht das richtige für dich.
Ich meine wenn ihr schon beim Wizard scheitert, weil ihr mit dem WAN Type nicht mehr weiter wisst, dann werdet ihr/du früher oder später in gigantische Problem rein laufen. Denn dann hört es schon auf mit den einfachen Fragen, alles andere muss man von vorne bis hinten selber einstellen und das mit Details die man in einer Fritz nie angezeigt bekommt.

Eine Firewall ist etwas ganz spezielles und auch gestandene Sysadmins trauen sich da oft aus gutem Grund nicht ran. Das Risiko hier Mist zu bauen, wenn man nicht genau weiß was man bei der jeweiligen Version des Herstellers machen muss, ist groß.
In so einem Fall gefährdet man dann das ganze Netzwerk dahinter, was in einem Totalausfall inkl. totalem Datenverlust enden kann.
Dann eine kleine any Regel hier und und schon ist eingehender Datenverkehr auf dem WAN überall hin erlaubt und dann hast du keine Firewall mehr die dich vor dem bösen Internet schützt.

Klingt jetzt hart, aber das OSI Modell muss man einfach verstanden haben, gerade wenn man mit einer Firewall spielt, sonst läuft du von einem Problem ins nächste.

Clients Richtung Inet blocken kannst du auch mit der Fritz, dann bleibe besser bei der Kiste, wenn du dich nicht in das Thema Netzwerk und speziell Firewalling rein arbeiten willst.
Es ist vor allem dir nicht geholfen, wenn du deine Netzwerksicherheit auf 0 reduzierst, dann stehst du deutlich schlechter da als mit der Fritz die von WAN Seite einen gewissen Grundschutz bietet, so lange du nicht mit exposed Host anfängst.

Es hängt also im Grunde von deiner Bereitschaft ab, dich drauf ein zu lassen und dich rein zu arbeiten.

Und der optimale Aufbau sieht wie folgt aus.
Provider -> ggf. Modem -> Firewall -> Switch -> Fritz (als TK Anlage), Access Points, Server/NAS, Clients usw.

Sachte

Moin.

@NOCling
Eigentlich ist das alles trotz allem KEINE Kritik :) Letztendlich will ich ja auch, daß dies alles besser wird und nicht rumnörgeln wie schlecht es ist.

Sobald ich ein Problem hierbei löse, fällt mir immer direkt auf wie trivial die Fragestellung/Problemstellung eigentlich war. Und staune, wie... eigenartig elitär es die Docs behandelt haben. Ich schreibe aber auch, daß dies kein spezielles Problem von pfSense ist. Hoffe das kam an.

Es gibt ja auch einen Gebiet in dem ich beruflich Fachmann bin. Angeblich gar recht gut. Und wenn ich mir da so manche Dokumentation durchlese, beim Thema was ich schon beherrsche, denke ich mir, daß keiner der Azubis das auch nach Stunden nur ansatzweise schnallen wird. Und ich erklär ihm das dann in 5 Minuten. Und DANN erst fängt er an die Docs nach und nach zu schnallen. Warum muss das immer so sein? :(

Was mir fehlt ist ein Tutorial für den zu allermeist auftretenden Fall. Den hab ich imho beschrieben.
Da möchten zwar mal wieder Youtuber einspringen, aber ich hab noch nicht durchgesiebt wer da wirklich vernünftiges erzählt. Muss ich mal die Tage schauen.
Ich bin jedenfalls nicht der Meinung, daß "hat die Box ein dynamisches WAN?" eine sinnvolle Formulierung für die Einsteiger ist.

"Dann ist das nichts für euch", ist kein akzeptabler Weg bei einer Sache, von der wir glauben, daß jeder so etwas haben sollte ;-)

Diesen optimalen Aufbau könnte ICH keinem Neuling empfehlen. Mit Grips nimmt er das eh nicht an. Er wird seine Fritte nicht killen/kastrieren, weil er Angst hat, der ganze Haushalt ist Stunden oder gar Tage ohne Netz, wenn er mal was mit der Fw verbockt oder ihre Hardware mal nicht mehr will.
Ihre letzte Fritte lief dagegen 6 Jahre durch. Das hätte sein "PC" niemals hinbekommen ;)

Ich hab bei dem Test mit bzw. am :) Kumpel schon direkt gesehen: Wenn das Teil nur installiert ist und man damit vorerst aufhören will oder muss (Zeit), wie schaltet man das erstmal wieder aus? Das war dann seine erste Frage danach. "Kann man jetzt erstmal einfach den Ausschalter drücken oder muss man es irgendwie runterfahren??" ;)

Wenn ihr wie gesagt Greenhorn-Tutorials kennt, nur her damit bitte.

JeGr

@sachte Ich würde bei sowas immer erstmal empfehlen zu überlegen, was man (möglichst genau) erreichen möchte. Und nicht bei vagen oder groben Punkte wie "mehr Sicherheit" stehen bleiben, sondern wirklich mal genauer definieren, was ich mir von dem Ding erhoffe und versuchen möchte umzusetzen.

Also quasi in der Art: Firewall

• möchte meine Geräte absichern
• wie? was soll zusätzlich zu "jetzt" erreicht werden?
  • bspw.: weniger Adware/Malware eintreten
• irgendwohin sicher kommunizieren (kollege, firma, etc.)
  • vielleicht VPN?

etc.

Und dann damit eine Art grober Schlachtplan machen, was ich eigentlich erreichen möchte. Kannst du das bereits definieren? Dann können wir da gerne Ideen noch zusätzlich einfließen lassen und dann Vorschläge bzw. konkrete Punkte geben, wie man das sinnvoll angeht und umsetzt.

Ansonsten gehen die meisten "Anfänger" Tutorials in die Richtung:

• Wie installiere ich das
• Was ist danach erreicht (von außen alles geblockt, vom default LAN alles erstmal erlaubt)
• Wie kann ich das danach weiter eingrenzen und an welcher Stelle tut es dann weh
• Grundlegender Umgang mit Aliasen (damit man nicht mit IPs rumwerkeln muss), NAT und Regelwerk: verstehen was NAT macht (je nach Richtung), wie die Regeln wo funktionieren und wo ich überhaupt welche anlegen muss.

Geht das mehr in deine Fragerichtung? :)

Und konstruktive Kritik ist nie fehl am Platz. Es gibt ja einen Grund, warum wir bspw. Anfänger oder Fortgeschrittene Schulungen/Workshops zu pfSense und Co machen. Wenn jeder alles wüsste, hätte ich da keine Leute vor mir sitzen (virtuell). :)

Sachte

Ja ich weiß. Idealerweise hab ich ein Produkt den alle nach 2 Tagen schnallen. Oder halt nicht, dann hab ich idealerweise Zubrot ;)

Vorstellungen und Ziele stehen schon im Thread. Für mich persönlich, gibt es Outtrusion und Intrusion. Und mittlerweile weiß man nicht mehr was schlimmer ist...

Outtrusion ist Win10 (+ natürlich Blackbird) endlich das Maul zuhalten, Gerätschaften und Programmen die nach irgendwas im Netz suchen, obwohl man denen das weder befohlen hat noch gibt es ein ein/aus dafür (kommerz. NASe machen das auch liebend gern) das Telefonieren unmöglich machen, Menschen vor sich selbst schützen (auf falsche Sachen neugierig z.B...)

Möglichst gut. An einen 100%igen Schutz glaub natürlich auch ich nicht.

Intrusion ist halt das was man an Angriffen kennt, was eine Fw noch verhindern kann. weniger Müll ist auch erwünscht. Hier springt glaub ich pfBlockerMG ein ;)

Und wie ich schon schrieb, schnellen einfachen Fallback, falls die Fw bzw. deren Hardware sie unerwartet langmacht: Die beiden Kabel die zum WAN und LAN Buchse der Fw gehen, über einen Steckverbinder zusammengesteckt, und weiter gehts.

Die ganz normalen Nöten und Begehren der Normalos also, beim Einstieg. Als ich es beschloss, war es mir aber noch nicht klar, daß dies eher ein sonderbares und unerwartetes Nutzungsprofil wäre, wenn man sich bei den Netzwerkern durchfragt.
Für mich gibt es jetzt aber keinen Weg zurück ;) Es wird durchgezogen.

NOCling

Meine 7430 hier ist eh Multihomed, die kann ich zur Not an das Cabel Modem hängen und haben wieder Inet. (Heißt Inet über LAN 1, was bei mir ein TK DMZ Netz ist wo nur die Fritz Inet bekommt und dann über ein Hybrid NAT zum SIP Gateway vom Provider verbinden darf. Mit LAN 2 ist die dann im normalen Heimnetz).
Da muss die Netgate aber schon Asche sein, sonst bleibt die wo sie ist und spielt TK.
Musste das nur machen, weil ich sonst nicht mit den Fritz APPs über VPN an die Kiste ran komme, da man hier sonst kein internes sicheres Netz definieren kann.
Request ist ein gereicht, Umsetzung von AVM, vermutlich nie.

Digag -> Halt System, da kann man die runter fahren.

Und mache dir einen Netzplan, denn wenn du später dann doch mit VPN anfängst, wird es doof und du baust im schlimmsten Fall alles um.
Also 192.168.0.0/24, 192.168.1.0/24 ist doof, zu viele Default Router werfen ihre IPs hier rum.
192.168.178.0/24, 192.168.179.0/24 ist wegen AVM verbrannte Erde.

Also dazwischen was suchen oder in eins der anderen RFC1918 Netze ausweichen.

Hier kannst paar Sachen finden:
https://www.youtube.com/channel/UCHkYOD-3fZbuGhwsADBd9ZQ

So wenn das erledigt hast, geht mit dem full Managed Switch, Spanning Tree, VLANs usw. weiter.
Soll ja nicht langweilig werden!
Ok, dann wird es langweilig, weil dann hast du alles Segementiert und nix mehr zu tun, dann kannst ja mit IPv6 anfangen...

m0nji

@sachte
Ein paar Gedanken:
a) Es würde allen gut tun, wenn man nicht so viel drum herum schreibt. ;) Das strengt an...
b) Es gibt hier durchaus einige Forenteilnehmer, die keine Fachinformatiker sind. Für viele ist es einfach ein Hobby
c) Anhand deiner Anforderung würde ich vorerst bei der Fritzbox bleiben und um ein "pi-hole" System ergänzen. Damit erreichst du einer deiner Hauptziele, interne Systeme nicht nach Peking telefonieren zu lassen, so wie du es schön umschrieben hast. Dies hat auch zum Vorteil, dass du erstmal mit einem Basisthema "DNS" anfangen kannst, was ebenfalls bei pfSense ein Teil des Ganzen ist (pfBlockerNG und DNS Server). Wenn du dich damit nicht überfordert siehst und mehr machen MÖCHTEST, dann kann man immer noch auf die pfSense setzen.
In den Grundeinstellungen macht deine Fritzbox nichts anderes was auch die pfSense machen würde.
WAN --> LAN blockieren
LAN --> WAN alles offen

Falls du doch direkt mit der pfSense weitermachen möchtest, dann bitte versuche gezielt die Unklarheiten zu benennen.
Ein kleines Beispiel zu einer deiner Irritationen: "If this firewall has a dynamic WAN type such as DHCP, PPTP or PPPoE these may be automatically assigned by the ISP and can be left blank."

Bei der Fritzbox wird automatisch der oder die DNS Servers deines Internet Providers verwendet. Erst in den späteren erweiterten Einstellungen könntest du diese ändern.
pfSense fragt dich dies quasi ab. Möchtest du die Standard DNS Servers deines Internetproviders eintragen lassen oder möchtest du selber welche eintragen? (Beispiel 1.1.1.1, 8.8.8.8 etc.)
Wobei ich mich gar nicht mehr daran erinnere, dass das im Wizard abgefragt wird.
VG

JeGr

@sachte said in Wegeleitsystem für blutige Grünschnäbel?:

Ja ich weiß. Idealerweise hab ich ein Produkt den alle nach 2 Tagen schnallen. Oder halt nicht, dann hab ich idealerweise Zubrot ;)

Ich glaube von sowas geht niemand aus. Sachen, die man in 2 Tagen fix mal eben schnallt können meist auch kaum was :)

@sachte said in Wegeleitsystem für blutige Grünschnäbel?:

Vorstellungen und Ziele stehen schon im Thread. Für mich persönlich, gibt es Outtrusion und Intrusion. Und mittlerweile weiß man nicht mehr was schlimmer ist...

Bin ich bei dir, wobei ich tatsächlich im Heimbereich den outbound attack vector wesentlich höher schätze als den inbound, da der heute meist nur noch von Mail (wenn man das lokal macht) oder Browsereinsatz kommt. Ansonsten lässt man heute ja so gut wie nichts per default rein was nicht gerade VPN oder ggf. ein gewünschter Dienst ist - der dann hoffentlich ordentlich abgesichert wird.

@sachte said in Wegeleitsystem für blutige Grünschnäbel?:

Outtrusion ist Win10 (+ natürlich Blackbird) endlich das Maul zuhalten, Gerätschaften und Programmen die nach irgendwas im Netz suchen, obwohl man denen das weder befohlen hat noch gibt es ein ein/aus dafür (kommerz. NASe machen das auch liebend gern) das Telefonieren unmöglich machen, Menschen vor sich selbst schützen (auf falsche Sachen neugierig z.B...)

Bei Windows finde ich persönlich das im Home-Use schwierig. Kann man einiges mit Tools abdrehen, wenn man zu viel sperrt, klemmt und knirscht es wieder an anderern Punkten im System. Aber ja, da kann man schon das eine oder andere machen was Telemetrie und Co angeht, aber die Updates sollen ja laufen :)

@sachte said in Wegeleitsystem für blutige Grünschnäbel?:

Möglichst gut. An einen 100%igen Schutz glaub natürlich auch ich nicht.

Sehr vernünftige Einstellung :)

@sachte said in Wegeleitsystem für blutige Grünschnäbel?:

Intrusion ist halt das was man an Angriffen kennt, was eine Fw noch verhindern kann. weniger Müll ist auch erwünscht. Hier springt glaub ich pfBlockerMG ein ;)

Jein. Eingehend - wenn keine Dienste geplant sind wie eigene Cloud o.ä. - dann ist das höchste der Gefühle im Privaten eigentlich nur "VPN Port erlaubt" und gut :) Aber alles andere wird default geblockt. Somit eigentlich kaum was anderes notwendig. pfBlocker ist aber so oder so dann sinnvoll. Extern braucht man natürlich nichts zusätzlich blocken wenn eh schon alles geblockt ist. Aber ausgehend vom LAN ab macht es natürlich Sinn, IP Listen zu laden, die man ausgehend blocken kann. Wie bspw. Malware, C&C, Trojaner und sonstige bösen IPs gleich wegblocken. Damit dann gleich weniger Angriffsfläche, wenn man sich per Mail oder Browser doch mal was eintritt und das dann ggf. aber seine volle Möglichkeit nicht entfaltet weil es den C&C Server nicht erreicht (Command & Control). Sowas kann dann schon die Rettung sein.
Zusätzlich ist der DNS Part dann noch von Interesse, denn einiges kann man dann per DNS Blocking noch zusätzlich wegblocken. Da stehen dann Adressen auf dem Plan, die man per IP schlecht blockieren kann, da diese bspw. auf großen CDN Netzwerken liegen die mehrere Anbieter bedienen. Um Overblocking zu vermeiden werden dann lieber die DNS Domains geblockt à la ad-system.xyz.tld - somit auf jeden Fall sinnvoll.

@sachte said in Wegeleitsystem für blutige Grünschnäbel?:

Und wie ich schon schrieb, schnellen einfachen Fallback, falls die Fw bzw. deren Hardware sie unerwartet langmacht: Die beiden Kabel die zum WAN und LAN Buchse der Fw gehen, über einen Steckverbinder zusammengesteckt, und weiter gehts.

Das wird aber ohne Vorbereitung etwas tricky aber mit der FritzBox vornedran sollte das eigentlich dann notfalls gut funktionieren.

Im Gegensatz zu @m0nji wäre ich nicht bei "Pi-Hole" only, denn die Fritte kann von innen nach außen gar nichts. Auch nichts blocken. Oder segmentieren. Vielleicht ist das auch zu viel des Guten aber mich nur auf DNS Blocking zu verlassen wäre mir zu wenig.
Pi Hole wäre natürlich auch eine Alternative zu pfBlockerNG aber müsste auch irgendwo drauf laufen. Also extra Gerät so oder so. Und wenn man dann schon anfängt, kann man auch gleich richtig ;)

Das sind aber nur meine Gedanken dazu :)

Sachte

Grüß euch.
DAS macht wirklich gute Laune grad. Thread betreten und alle neuen Beiträge zeigen entweder direkt, daß alles was ich meine verstanden wurde (ja, das kann natürlich genauso an mir liegen :)) oder es kommen auch schon direkt Lösungen.
[b{Damit kann ich das Schwafeln ab morgen endlich stark einschränken[/b] :D Die Beiträge werden [u]nach diesem[/u], wesentlich kürzer (!)

Auf einiges geh ich auch erstmal nicht weiter an (wie Win10 Maul zuhalten). Das kommt viel später.

[b]Na dann, endlich zum Thema selbst.[/b]
@m0nji

• Kein PiHole, kein IPfire und auch sonst nichts anderes. Die erste Station des Wegs nach Golgatha ist durch und ich kehre nicht mehr um.

• dynamisches WAN ist, wenn du z.B. eine voll funktionsfähige Fritte o.ä. davor hängen lassen willst. check. Vielen Dank.
  Die Formulierung der Abfrage verstehe ich trotzdem nicht. Wenn dann der DNS aus der Fritte gilt, wo auch [i]nur[/i] der des ISP drin steht, was ist denn daran "dynamisch" für den WAN der Fw?

@NOCling
Das Video schau ich mir gleich an.

"Halt system" war glaub ich 5 in der Konsole? :> Ja schau ich mir an. Digag sagt mir leider noch nichts.

PLANUNG. Mach ich mit. Was muss ich mir alles merken/notieren bzw. was alles abchecken, aus [u]dem schon bestehenden Netzwerk[/u]? IPs sind bei mir bisher imho alle fest.

Was gibt es hier:
Fritte + Wlan
-> TV direkt an der Fritte per LAN
-> Switch an der Fritte mit allem
Schützenwerten dahinter

Das sind paar Workstations und 2x NAS bisher. Die Fritz spielt bisher erfolgreich auch einen Zeitserver.

Was soll idealerweise passieren:
Die pfSense-Box hängt zwischen der Fritz und dem Switch und beschützt alles was hinter dem Switch ist und blockt alles unerwünschte was vom Switch angeflogen kommt.
(was primär unerwünscht ist hab ich schon erwähnt)

Wenn die Firewall mal "explodiert", WAN/LAN abstöpseln von der Box abziehen, beide in einen Cat6a Verbinder/Doppelkupplung stecken und das Netzwerk funktioniert weiter sauber als wenn es pfSense nie gegeben hätte.
(DAS ist signifikant.)

Optional, wenn alles sauber rennt, das WLAN ebenfalls hinter die Fw zu packen.
WLAN der Fritte dann also auch für Notfälle als fallback.

Was wird nicht gemacht und ist auch nicht geplant:
Auf irgendein Bestandteil des Heimnetzwerks von draußen zugreifen.
Wir müssen NICHTS davon. Niemand hier will wissen wo ein Saugroboter grad rumfährt, ob der Rasensprinkler es tut, muss keine Bilder vom NAS seiner Freundin beim Kaffee vorführen, muss weder die Heizkörper hochdrehen noch den Wasserkocher anmachen und schon garnicht die Jalousien fahren. WLAN-Lampen gibts hier auch nicht.

Ok die Thermostate werden zwar über BT eingestellt aber sonst ist hier nichts mit Smart. Außer den Bewohnern. Und deswegen auch bin ich nicht woanders hin, sondern direkt zu euch gekommen...

Vielen Dank. Ich freu mich auf die nächsten Schritte.

thiasaef

TV direkt an der Fritte per LAN

Einen TV eventuell gar mit Alexa und Co. direkt ans Internet zu hängen, würde ich nicht übers Herz bringen.

Sachte

Natürlich gibt es hier auch kein Alexa und sonstiges. Der Fernseher macht bisher... Schlichtes.
Netflix, AmazonPrime, Zatoo. Nichtmal Media vom NAS. Das macht bisher "Dateibasiert" ;) ein LG BR-Player von anno domina... Der hat noichtmal die Leistung um mit irgendetwas hausieren zu können. So groß waren die SDRAMs damals garnicht für soviel Firmware :)

@all
Das Thema: Eine Fritz davor die voll funktionsfähig bleibt, muss man bisschen was stricken, aber es geht.

Gibt es da nun was genaueres zu? Ich wäre natürlich extrem... verbunden :)
Wie sieht allgemein die Vorbereitung jetzt, um anschliessend die pfSense dazwischen klemmen zu können?

mfG.

thiasaef

An der Fritzbox musst du im Prinzip überhaupt nichts verändern, um pfSense dahinter betreiben zu können. Aber wenn du weiterhin Geräte direkt an der Fritzbox anschließt, dann unterläufst du damit streng genommen dein angestrebtes Sicherheitskonzept.

Sachte

Das ist nicht schlimm. Vor der Fw wären dann ein iPad, ein Macbook und der TV. Alles andere, also alles was einen realen Datenwert hat, wäre dahinter.
Den Rest dann hinter die Fw zu verschieben (vor allem WLAN hinter die Fw zu packen), steht fest. Hier gibt es aber auch (noch) paar bauliche Probleme. Da ist ja schon was dran, wenn die Leute sagen, daß auch Rom nicht an einem Tag gebaut wurde... Erstmal das wichtigste und wichtige tun. Passt schon.

FRAGE:
Auf der Konsole (also eben nicht über die WebGUI) die installierten pkgs auflisten lassen. Geht?
Wenn ja, gleich den direkten Weg zum Ziel vielleicht? :) Wäre wie auch bisher immer, sehr nett von euch.

mfG.

thiasaef

Wenn ja, gleich den direkten Weg zum Ziel vielleicht? :)

Google Suche: "pfsense console list packages"

Erster Treffer:

pkg search pfSense-pkg

Sachte

bei mir leider nicht. Ok, ich hab "list" beim Suchen vercheckt.

Aber erster Treffer ...bei meinem Google... ist ein Link auf docs.netgate wo alles bis dato vorhandenen pkgs aufgelistet sind.
Nicht mit einem Befehl um das aufzulisten in der Console.

Sonst hab ich nur was mit
pfSense shell: playback listpkg (php)
und

pfSsh.php playback listpkg (cli)

Sorry. Das hat mich bisschen verwirrt. Danke.

thiasaef

Gut, es war der dritte Treffer. Aber du verstehst hoffentlich trotzdem, was ich mit meinem Post sagen wollte.

Sachte

Was ich mit meinem ausdrückte, war das Fehlen von "list" als Suchwort. Damit bekommt man viel... eingehendere Treffer als ohne ;-)

Schrieb ich ja.

thiasaef

@sachte

Meiner Erfahrung nach stellt sich der Erfolg umso regelmäßiger und schneller ein je höher die Frustrationstoleranz bei der Suche nach Informationen ist.

die installierten pkgs auflisten lassen. Geht?

-> list == auflisten

Wenn du nicht danach suchst, was du eigentlich wissen willst, dann wirst du es auch nicht finden.