Anfänger will kleines Netzwerk sicherer machen



  • Hallo Zusammen

    ich hab hier ein kleines Netzwerk das soweit funktioniert, ich aber sicherer machen will.

    So sieht es seit ein paar Jahren aus

       WAN / Internet
                :
                : VDSL 20/2 MBit
                :
          .-----+-----.
          |  Gateway  |  (Provider VDSL Modem/Router im Bridge-Mode)
          '-----+-----'
                |
            WAN | IP 
                |
          .-----+----------.  
          |  WLAN-Router | Asus RT-N66U  mit ein paar iPhones im WLAN und ab und zu iPhones von Gästen 
          '-----+-----------' 
                |
            LAN | 192.168.2.1/24
                |
          .-----+------.
          | LAN-Switch | Cisco SG200-26
          '-----+------'
                |
        ...-----+------... (Clients/Servers)
    
    

    Da hängen 6 PCs dran ein kleiner SBS Server zwei Netzwerkdrucker.

    soweit so schlecht  ::)

    Da eine neue Anschaffung jetzt einen Fernwartungszugang bekommen soll und der Lieferant mit einem Draytek Router ankam über den eine IPSec Verbindung laufen sollte, (da die Consumer-Router (auch der ASUS) regelmässig mit Löchern so gross wie Scheunentor aufwarten) hab ich erst einmal die Bremse gezogen.

    Sowas stelle ich mir vor

       WAN / Internet
                :
                : VDSL 20/2 MBit
                :
          .-----+-----.
          |  Gateway  |  (Provider VDSL Modem/Router im Bridge-Mode)
          '-----+-----'
                |
            WAN | IP 
                |
          .-----+-----.
          |  pfSense  | APU 4GB/16 GB mSSD Stand 2.2 RC
          '-----+-----'
                |
            LAN | 192.168.2.1/24
                |
          .-----+------.
          | LAN-Switch | Cisco SG200-26 
          '-----+------'
                |
        ...-----+------... (Clients/Servers)
          ¦      ¦     ¦      ¦
          ¦      ¦     ¦    VLAN 1 Default über LAN
          ¦      ¦    VLAN 10 "normales" Netzwerk über LAN und Ubiquiti Unifi APs
          ¦     VLAN 20 Gäste Netzwerk nur über Ubiqiti Unifi APs
         VLAN 30 Geräte/Maschinen etc.. über LAN
    
    

    Den Fernwartungszugang will ich über die pfSense APU und nur auf VLAN 30 ermöglichen,
    die pfsense APU läuft mit den 2.2 RC (den 2.15er hab ich nicht zum laufen gebracht), ist aber noch nicht Online.

    Ich würde schon gerne so Sachen wie die Suricata IDS/IPS einsetzen, einerseits um Bedrohungen von WAN als auch aus dem LAN abzuwehren oder zumindest zu erkennen.

    Evtl. noch Snort und der Virenscanner wären vielleicht ein sinnvoller Zusatznutzen, hab aber für Vorschläge für sinnvolle Funktionen/Packages natürlich ein offenes Ohr, bin halt noch ein frischling  ::) in Sachen pfSense.

    Wie gehe ich Sache an, Step by Step?

    Gruss Auric


Log in to reply