lukas0209
Goto Top

Kleine Hardware Firewalllösung gesucht

Hallo zusammen,

ich suche momentan eine Hardware Firewall für ein kleines Netzwerk, arbeiten 4 Personen aber höchstens nur 2 zeitgleich. Als Modem möchte ich weiterhin die vorhandene FritzBox nutzen.
Welche Vorschläge habt ihr?
Ich habe mir so ein Preisbereich bis 100€, wenn es nicht anders geht auch 200€, vorgestellt. Muss nichts hochprofessionelles sein, nur möchte ich nicht den vorhandenen Windows Server einfach so hinter der FritzBox stehen haben.

Gruß Lukas

Content-ID: 1906480818

Url: https://administrator.de/forum/kleine-hardware-firewallloesung-gesucht-1906480818.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

Kuemmel
Kuemmel 13.02.2022 um 19:35:45 Uhr
Goto Top
Moin,

was willst du denn mit der Firewall erreichen? Einen Windows Server kannst du auch einfach so hinter eine Fritzbox stellen.

Gruß Kümmel
lukas0209
lukas0209 13.02.2022 um 19:38:43 Uhr
Goto Top
Zitat von @Kuemmel:

Moin,

was willst du denn mit der Firewall erreichen? Einen Windows Server kannst du auch einfach so hinter eine Fritzbox stellen.
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.

Gruß Kümmel
Looser27
Looser27 13.02.2022 um 19:43:55 Uhr
Goto Top
Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
lukas0209
lukas0209 13.02.2022 um 19:47:10 Uhr
Goto Top
Zitat von @Looser27:

Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Entschuldigung, das habe ich voll vergessen zu sagen. Es ist nur der Port 443 geöffnet für die SSTP-VPN.
nullModem
nullModem 13.02.2022 um 20:06:18 Uhr
Goto Top
Hallo,

Warum dann keinen PI oder ähnliches wenn, es nur ein VPN sein soll?

Oder was soll da noch alles laufen?

Gruß
Looser27
Looser27 13.02.2022 um 20:07:37 Uhr
Goto Top
VPN gehört in der Konstellation auf die Fritte als IPSEC.
Dann brauchst Du keine Ports aufmachen auf der Fritte.
lukas0209
lukas0209 13.02.2022 um 20:14:53 Uhr
Goto Top
Zitat von @Looser27:

VPN gehört in der Konstellation auf die Fritte als IPSEC.
Dann brauchst Du keine Ports aufmachen auf der Fritte.
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. Es muss keine zusätzliche Software auf den Clients installiert werden die ich den Usern noch erklären muss. Was leider das größte Problem ist, da ich dann die nächsten paar Wochen täglich gefragt werde wie das nochmal geht und warum das jetzt anders ist.
lukas0209
lukas0209 13.02.2022 um 20:16:27 Uhr
Goto Top
Zitat von @nullModem:

Hallo,

Warum dann keinen PI oder ähnliches wenn, es nur ein VPN sein soll?
Würde gerne wie ich jetzt gerade geschrieben habe bei SSTP bleiben. Es ist die sicherste Windows integrierte Lösung.
Oder was soll da noch alles laufen?
Sonst soll dort nichts laufen.
Gruß
cykes
cykes 13.02.2022 um 20:33:08 Uhr
Goto Top
Hi,
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
und
Zitat von @lukas0209:
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Da kannst Du noch 100 Firewalls o.ä. dazwischenhängen, den Port 443 für das SSTP-VPN wirst Du auch darin durchleiten müssen. Die Sicherheit kannst Du nur erhöhen, wenn das VPN nicht am Server sondern am Gateway terminiert wird. Wenn das SSTP gehackt wird, ist der Bösewicht auch gleich komfortabel auf dem Server.

Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.

Gruß

cykes
lukas0209
lukas0209 13.02.2022 um 20:36:40 Uhr
Goto Top
Zitat von @cykes:

Hi,
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
und
Zitat von @lukas0209:
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Da kannst Du noch 100 Firewalls o.ä. dazwischenhängen, den Port 443 für das SSTP-VPN wirst Du auch darin durchleiten müssen. Die Sicherheit kannst Du nur erhöhen, wenn das VPN nicht am Server sondern am Gateway terminiert wird. Wenn das SSTP gehackt wird, ist der Bösewicht auch gleich komfortabel auf dem Server.
Ok gibt es denn etwas Windows kompatibles, sodass ich keine Drittanbieter Software installieren muss?

Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.
Ok, es ist ein VDSL-Anschluss von NetCologne mit fester IPv4. Die Leitungsgeschwindigkeit beträgt durchschnittlich 40 Mbit/s Download und 8 Mbit/s Upload.
Gruß

cykes
transocean
transocean 13.02.2022 um 20:44:09 Uhr
Goto Top
Moin,

Du brauchst das und das.

Gruß...

Uwe
lukas0209
lukas0209 13.02.2022 um 20:48:08 Uhr
Goto Top
Zitat von @transocean:

Moin,

Du brauchst das und das.
Ok sieht schonmal nicht schlecht aus, aber wenn ich das bis jetzt richtig gelesen habe, brauche ich wieder Drittanbieter Software für die Clients?
Gruß...

Uwe
transocean
transocean 13.02.2022 um 21:04:31 Uhr
Goto Top
Von welchem Client OS reden wir denn? Etwas mehr Infos wären schon hilfreich.
lukas0209
lukas0209 13.02.2022 um 21:14:11 Uhr
Goto Top
Zitat von @transocean:

Von welchem Client OS reden wir denn? Etwas mehr Infos wären schon hilfreich.
Client OS ist Windows 10.
Server OS ist Windows Server 2016.
transocean
transocean 13.02.2022 um 21:17:18 Uhr
Goto Top
Dann brauchst Du keine Drittanbieter SW. L2TP over IPSec mit Zertifikat oder PSK und IKEv2 bringt WIN 10 von Haus aus mit. Von PPTP lass die Finger.
lukas0209
lukas0209 13.02.2022 um 21:25:14 Uhr
Goto Top
Zitat von @transocean:

Dann brauchst Du keine Drittanbieter SW. L2TP over IPSec mit Zertifikat oder PSK und IKEv2 bringt WIN 10 von Haus aus mit. Von PPTP lass die Finger.
PPTP habe ich und werde ich niemals nutzen. Dann habe ich jetzt eine gute Lösung, danke und schönen Abend noch.
Ich werde morgen im Laufe des Tages als Lösung markieren falls noch eine weitere kommt.
transocean
transocean 13.02.2022 um 21:26:52 Uhr
Goto Top
Danke, Dir auch. Und viel Glück bei der Konfiguration.
maretz
maretz 13.02.2022 um 23:32:17 Uhr
Goto Top
Zitat von @lukas0209:

Zitat von @Looser27:

Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Entschuldigung, das habe ich voll vergessen zu sagen. Es ist nur der Port 443 geöffnet für die SSTP-VPN.

dann hilft dir aber ja keine firewall wenn du den port eh weiterleiten würdest, oder? Denn du hast ja vermutlich ein VPN eingerichtet (wobei ich da überlegen würde - das kann die Fritte ja auch direkt).

Die Frage wäre dann eher: Was willst du mit ner Firewall? Wenn ich den Rahmen und den Preis den du dir vorstellst so angucke - dann steht die eh auf "any/any-allow" oder die Logs werden nicht geprüft (weil das ja Wartungskosten verursacht - und sei es eben nur deine Zeit). Wenn du die aber nur hinstellst und glaubst dann is da irgendwas sicher - nein, ist es nicht. Die muss halt auch geprüft, angepasst usw. werden...
Lochkartenstanzer
Lochkartenstanzer 14.02.2022 um 00:54:01 Uhr
Goto Top
Moin,

die "Firewall", die Du suchst, gibt es ab 10€ in jedem Baumarkt. Einfach kaufen, anschließen und "Firewall" draufschreiben. Denn ob Du nun die Portweiterleitung nur durch die Fritte machst oder etwas anderes noch dazwischenklemmst, was auch nichts anderes macht ist unerheblich. Nur dann, wenn Du von innen nach außen auch noch den Traffic regulierst und zusätzlich den VPN-Verkehr von dem Server wegholst, ist eine zusätzliche Firewall sinnvoll.

lks
cykes
cykes 14.02.2022 um 06:16:16 Uhr
Goto Top
Hi,

die Sicherheit ist auch noch aus einem anderen Gesichtspunkt aktuell nicht bzw. nur halbherzig umgesetzt. So, wie Du die Struktur bisher beschrieben hast, läuft das SSTP-VPN ja nicht exklusiv auf dem 2016er Server.
Meine Vermutung aus Deiner Beschriebung: Der Server macht auch noch AD, DNS, Fileserver usw. - auch wenn die Dienste nach außen hin nicht sichtbar sind, ist die Gefahr umso größer, je mehr Dienste auf dem VPN-Server laufen. Wenn überhaupt läuft das RRAS/SSTP-VPN auf eine komplett separaten VM oder Blech.

Und ja, Sicherheit ist manchmal (um nicht zu sagen immer) unbequem und wirft meist Kosten auf. Ein (separater) VPN-Server, wie auch eine Firewall ist niemals Plug&Play, damit muss man sich auseinandersetzen und ein Konzept entwickeln. Das schließt natürlich auch Unbequemlichkeit für die Benutzer mit ein (ggf. Drittanbietersoftware).

Gruß

cykes
aqui
aqui 14.02.2022 aktualisiert um 09:16:51 Uhr
Goto Top
Diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
auf einem APU3 Board erfüllt alle deine Forderungen.
https://www.varia-store.com/de/produkt/265585-apu3d2-bundle-board-netzte ...
Alternativen findest du hier wovon es auch baugleiche Angebote bei den üblichen Versendern gibt.
Etwas preiswerter wäre z.B. ein Mikrotik RB3011 allerdings ist da die Lernkurve geringfügig steiler.
https://www.ipu-system.de/produkte/ipu450.html
Mikrotik supportet zudem das Microsoft proprietäre SSTP VPN Protokoll: https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Davon kann man aber nur abraten, denn das supporten ausschliesslich nur Windows Maschinen. Viel sinnvoller ist es das universellere IKEv2 oder L2TP zu verwenden.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Dafür reicht sogar ein Raspberry Pi: face-wink
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
rzlbrnft
rzlbrnft 14.02.2022 um 09:26:12 Uhr
Goto Top
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.

Solche Aussagen find ich immer interessant. Woher kommt die Weisheit?
Klar ist ein Windows Server unsicher, wenn man ihn aktiv so konfiguriert, das jeder drauf kommt.
Das liegt hauptsächlich daran, das er aufgrund der einfachen Oberfläche von jedem bedient werden kann, der nicht weiß was er tut.

Auch das SSTP das du hier nutzt kann man durchaus so konfigurieren, das es sicher ist, aber halt nicht so.
Der VPN Server und die interne Struktur müssen auf getrennte Maschinen, dazwischen öffnet man nur die Ports die mindestens zum funktionalen Betrieb nötig sind.

Das macht nur kaum einer mit Windows weil die Lizenz allein schon mehr kostet als eine kleine pfSense oder opnSense Kiste.

Es wäre aber denkbar, den DC/File/DHCP... Server auf einer VM und den VPN Server auf einer getrennten VM zu betreiben, beide in verschiedenen VLANs und per Firewall getrennt. Allerdings wird das dann wohl auch die Kapazität der Fritte überschreiten.

Ich betreibe hier eine pfSense in einer VM die auf einem dedizierten Hyper-V Server mit getrennt zugeteilten Netzwerkports liegt, theoretisch würde das für dich auch hinhauen, was aber dann eine extra VM für SSTP auch wieder ad absurdum führen würde, weil die pfSense das ja selber kann.
Visucius
Visucius 14.02.2022 aktualisiert um 10:45:41 Uhr
Goto Top
Zitat von @transocean:

Moin,

Du brauchst das und das.

Gruß...

Uwe

Klar ... für 2 Personen und ner 40/8er Internetanbindung.

Genau mein Humor! 😂
Lochkartenstanzer
Lochkartenstanzer 14.02.2022 um 10:53:07 Uhr
Goto Top
Zitat von @Visucius:

Zitat von @transocean:

Moin,

Du brauchst das und das.

Gruß...

Uwe

Klar ... für 2 Personen und ner 40/8er Internetanbindung.

Genau mein Humor! 😂

Kommt immer darauf an, welches Ziel erreicht werden soll.

face-smile

lks

PS: Manchmal tut es auch ein L3-Switch, auf den man Firewall draufschreibt. face-smile
Visucius
Visucius 14.02.2022 um 11:24:05 Uhr
Goto Top
Kommt immer darauf an, welches Ziel erreicht werden soll.
Das Ziel und die Rahmenbedingungen sind doch oben hinreichend definiert?!

Nur ist das Problem doch vorrangig strukturell und nicht einfach nur:
"Hau möglichst viel HW/SW/EUR druff dann wird alles gut"
PCChaos
PCChaos 22.02.2022 aktualisiert um 14:07:23 Uhr
Goto Top
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz. Das könnte aber erreicht werden. Ich biete zweihundert Euro und Prozentuale Beteiligung demjenigen, der mir so ein Programm schreibt. Darum ist es eigentlich egal wie viele Firewalls man einsetzt, welche man installiert oder wie viele externe Vorstufen man einbaut. Solange es keine passende Software gibt, ist man machtlos. Also unsinnig drüber nachzudenken.


MfG. PC Chaos
aqui
aqui 22.02.2022 um 14:24:19 Uhr
Goto Top
keine Firewall der Welt bietet hundert prozentige Schutz.
Die Firewall an sich schon, die ist wasserdicht.
Problemfaktor ist immer nur der Mensch der sie konfiguriert. Wie gut ist also immer von dessen Kenntinissen abhängig. Es ist ja naiv zu denken das eine Maschine per se selber weiß was sicher ist und was nicht. Weisst du als Admin Profi ja auch selber....
PCChaos
PCChaos 22.02.2022 um 14:45:11 Uhr
Goto Top
Doch soweit kann man denken, wenn man bedenkt der Mensch ist ein ###, auf Schäden getuned und wiederholt sich in seiner dumm Dreistigkeit endlos, wenn man ihn nicht aufhält. Soweit kann auch ein Computer denken. KI. Oder wenn man geistig intellektuell fähig ist, den ganzen Eventualitäten vorausschauend zu begegnen.
rzlbrnft
rzlbrnft 24.02.2022 um 13:08:01 Uhr
Goto Top
Zitat von @PCChaos:
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.

Vor was denn? Vor Corona oder Tripper nicht. Vor einem bösartigen Mitarbeiter, der den Laden mit C4 sprengt, oder sämtliche Passwörter an alle Email Empfänger im Adressbuch schickt, auch nicht.

Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
aqui
aqui 24.02.2022 um 16:16:58 Uhr
Goto Top
...oder Tripper nicht.
🤣👍
Lochkartenstanzer
Lochkartenstanzer 24.02.2022 um 16:26:11 Uhr
Goto Top
Zitat von @rzlbrnft:

Zitat von @PCChaos:
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.

Vor was denn? Vor Corona oder Tripper nicht.

Dafür gibt es spezielle Firewalls. Nennen sich ABC-Schutzanzug. face-smile

Vor einem bösartigen Mitarbeiter, der den Laden mit C4 sprengt, ...

Dafür gibt es Sprengstoff-Spürhunde

oder sämtliche Passwörter an alle Email Empfänger im Adressbuch schickt, ...

Dafür gibt es SPAM-Filter.

auch nicht.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.

Man muß nur die "richtige" Firewall nehmen. Dann schützt sie auch vor ungewöhnlichen Angriffen. Das A&O eines Firewall-Konzeptes ist die Risikoanalyse und die richtige Definition der Angriffsszenarien. Dann kann man auch überhaupt erst sagen ob und wovor die Firewall schützt.

lks

PS: Es gibt sogar Firewalls die vor Feuer schützen. face-smile
Lochkartenstanzer
Lochkartenstanzer 24.02.2022 um 16:29:41 Uhr
Goto Top
Zitat von @PCChaos:

Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz

Das ist eine unsinnige Aussage. Für Prozentaussagen muß man erstmal sagen was 100% über Haupt sind und wie die definiert werden. Bei unbestimmten Szenarien, kann man überhaupt keine Prozentaussagen treffen, solange man nciht sagt wovon.

Um die Schutzwirkung von friewalls zu beurteilen muß man erstmal das Angriffsszenario festlegen und dann eien Risikolanalyse machen und dementsprechend die "features" der Firewall festzurren. Erst dann kann man überhaupt Aussagen darüber treffen, ob die Firewall das leistet, was sie soll.

lks