PfSense als Firewall/Router



  • Hallo,

    ich hoffe jemand kann mir weiterhelfen.

    Ich möchte mein Heimnetzwerk in verschiedene Vlans aufteilen. Dazu habe ich auf einem managebaren Switch 3 VLANs (DMZ, Privat, Gäste) eingerichtet. PfSense dient als Firewall, DHCP-Server (VLANs mit separaten IP-Adressen versorgen), sowie als Router.
    In pfSense habe ich momentan 2 Ports laufen: LAN und WAN, auf dem Interface LAN habe ich die 3 VLANs eingerichtet.
    Mein momentaner Aufbau:
    Provider Router bzw. Modem - pfSense auf Apu-Board - Netgear Managebarer Switch

    Nun zu meiner Frage: Wäre es sicherheitstechnisch sinnvoller den 3 Port des APU-Board mit einem eigenen Kabel mit dem VLAN DMZ auf den Switch zu verbinden?
    Danke für die Hilfe! :)



  • Hallo,

    nein, Sicherheit gewinnst du mit 3 separaten Leitungen nicht. Die Geräte auf verschiedenen VLANs können nicht direkt miteinander kommunizieren, sie müssen über die pfSense, ebenso als wenn sie auf physischen Schnittstellen hängen.

    Was du mit separaten Kabeln gewinnst, ist Bandbreite. Denn bei der VLAN-Lösung muss der Traffic von einem VLAN ins andere zwei mal über dieselbe Leitung. Wenn die Geräte der verschiedenen VLANs ohnehin nicht miteinander reden dürfen, ist es nur der Traffic ins und vom WAN, der über die gemeinsame Leitung muss.

    Grüße



  • Aufgrund von möglichen Wenn und aber muss man dazu sagen, dass eine seperate Leitung dir sehrwohl einen Gewinn an Sicherheit bringt, wenn das ganze nicht an dem Switch mit dem Privaten und Gäste VLAN zusammenhängt.
    Es wurde oft genug gezeigt, dass entweder ein falsch konfigurierter Switch oder sonstiges bugs/exploits die Möglichkeit boten um VLAN-hopping, VLAN-Trunking etc. zu begehen. Somit ist es eben oftmals doch sinnvoll eine DMZ auf einem seperaten physischem Interface zu terminieren. Ob diese Situation auch auf ein Home-Setup trifft, muss jeder für sich selber entscheiden da dies oft mit mehr Kosten verbunden ist.