32
Kleine Hardware Firewalllösung gesucht
Hallo zusammen,
ich suche momentan eine Hardware Firewall für ein kleines Netzwerk, arbeiten 4 Personen aber höchstens nur 2 zeitgleich. Als Modem möchte ich weiterhin die vorhandene FritzBox nutzen.
Welche Vorschläge habt ihr?
Ich habe mir so ein Preisbereich bis 100€, wenn es nicht anders geht auch 200€, vorgestellt. Muss nichts hochprofessionelles sein, nur möchte ich nicht den vorhandenen Windows Server einfach so hinter der FritzBox stehen haben.
Gruß Lukas
ich suche momentan eine Hardware Firewall für ein kleines Netzwerk, arbeiten 4 Personen aber höchstens nur 2 zeitgleich. Als Modem möchte ich weiterhin die vorhandene FritzBox nutzen.
Welche Vorschläge habt ihr?
Ich habe mir so ein Preisbereich bis 100€, wenn es nicht anders geht auch 200€, vorgestellt. Muss nichts hochprofessionelles sein, nur möchte ich nicht den vorhandenen Windows Server einfach so hinter der FritzBox stehen haben.
Gruß Lukas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1906480818
Url: https://administrator.de/contentid/1906480818
Printed on: April 20, 2024 at 03:04 o'clock
32 Comments
Latest comment
Moin,
was willst du denn mit der Firewall erreichen? Einen Windows Server kannst du auch einfach so hinter eine Fritzbox stellen.
Gruß Kümmel
was willst du denn mit der Firewall erreichen? Einen Windows Server kannst du auch einfach so hinter eine Fritzbox stellen.
Gruß Kümmel
Zitat von @Kuemmel:
Moin,
was willst du denn mit der Firewall erreichen? Einen Windows Server kannst du auch einfach so hinter eine Fritzbox stellen.
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.Moin,
was willst du denn mit der Firewall erreichen? Einen Windows Server kannst du auch einfach so hinter eine Fritzbox stellen.
Gruß Kümmel
Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Zitat von @Looser27:
Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Entschuldigung, das habe ich voll vergessen zu sagen. Es ist nur der Port 443 geöffnet für die SSTP-VPN.Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Hallo,
Warum dann keinen PI oder ähnliches wenn, es nur ein VPN sein soll?
Oder was soll da noch alles laufen?
Gruß
Warum dann keinen PI oder ähnliches wenn, es nur ein VPN sein soll?
Oder was soll da noch alles laufen?
Gruß
VPN gehört in der Konstellation auf die Fritte als IPSEC.
Dann brauchst Du keine Ports aufmachen auf der Fritte.
Dann brauchst Du keine Ports aufmachen auf der Fritte.
Zitat von @Looser27:
VPN gehört in der Konstellation auf die Fritte als IPSEC.
Dann brauchst Du keine Ports aufmachen auf der Fritte.
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. Es muss keine zusätzliche Software auf den Clients installiert werden die ich den Usern noch erklären muss. Was leider das größte Problem ist, da ich dann die nächsten paar Wochen täglich gefragt werde wie das nochmal geht und warum das jetzt anders ist.VPN gehört in der Konstellation auf die Fritte als IPSEC.
Dann brauchst Du keine Ports aufmachen auf der Fritte.
Würde gerne wie ich jetzt gerade geschrieben habe bei SSTP bleiben. Es ist die sicherste Windows integrierte Lösung.
Oder was soll da noch alles laufen?
Sonst soll dort nichts laufen.Gruß
Hi,
Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.
Gruß
cykes
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
undIch will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Zitat von @lukas0209:
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Da kannst Du noch 100 Firewalls o.ä. dazwischenhängen, den Port 443 für das SSTP-VPN wirst Du auch darin durchleiten müssen. Die Sicherheit kannst Du nur erhöhen, wenn das VPN nicht am Server sondern am Gateway terminiert wird. Wenn das SSTP gehackt wird, ist der Bösewicht auch gleich komfortabel auf dem Server.Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.
Gruß
cykes
1Zitat von @cykes:
Hi,
Ok gibt es denn etwas Windows kompatibles, sodass ich keine Drittanbieter Software installieren muss?Hi,
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
undIch will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Zitat von @lukas0209:
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Da kannst Du noch 100 Firewalls o.ä. dazwischenhängen, den Port 443 für das SSTP-VPN wirst Du auch darin durchleiten müssen. Die Sicherheit kannst Du nur erhöhen, wenn das VPN nicht am Server sondern am Gateway terminiert wird. Wenn das SSTP gehackt wird, ist der Bösewicht auch gleich komfortabel auf dem Server.Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.
Gruß
cykes
cykes
Ok sieht schonmal nicht schlecht aus, aber wenn ich das bis jetzt richtig gelesen habe, brauche ich wieder Drittanbieter Software für die Clients?
Gruß...
Uwe
Uwe
Von welchem Client OS reden wir denn? Etwas mehr Infos wären schon hilfreich.
Client OS ist Windows 10.
Server OS ist Windows Server 2016.
Server OS ist Windows Server 2016.
Dann brauchst Du keine Drittanbieter SW. L2TP over IPSec mit Zertifikat oder PSK und IKEv2 bringt WIN 10 von Haus aus mit. Von PPTP lass die Finger.
Zitat von @transocean:
Dann brauchst Du keine Drittanbieter SW. L2TP over IPSec mit Zertifikat oder PSK und IKEv2 bringt WIN 10 von Haus aus mit. Von PPTP lass die Finger.
PPTP habe ich und werde ich niemals nutzen. Dann habe ich jetzt eine gute Lösung, danke und schönen Abend noch.Dann brauchst Du keine Drittanbieter SW. L2TP over IPSec mit Zertifikat oder PSK und IKEv2 bringt WIN 10 von Haus aus mit. Von PPTP lass die Finger.
Ich werde morgen im Laufe des Tages als Lösung markieren falls noch eine weitere kommt.
Danke, Dir auch. Und viel Glück bei der Konfiguration.
Zitat von @lukas0209:
Zitat von @Looser27:
Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Entschuldigung, das habe ich voll vergessen zu sagen. Es ist nur der Port 443 geöffnet für die SSTP-VPN.Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
dann hilft dir aber ja keine firewall wenn du den port eh weiterleiten würdest, oder? Denn du hast ja vermutlich ein VPN eingerichtet (wobei ich da überlegen würde - das kann die Fritte ja auch direkt).
Die Frage wäre dann eher: Was willst du mit ner Firewall? Wenn ich den Rahmen und den Preis den du dir vorstellst so angucke - dann steht die eh auf "any/any-allow" oder die Logs werden nicht geprüft (weil das ja Wartungskosten verursacht - und sei es eben nur deine Zeit). Wenn du die aber nur hinstellst und glaubst dann is da irgendwas sicher - nein, ist es nicht. Die muss halt auch geprüft, angepasst usw. werden...
Moin,
die "Firewall", die Du suchst, gibt es ab 10€ in jedem Baumarkt. Einfach kaufen, anschließen und "Firewall" draufschreiben. Denn ob Du nun die Portweiterleitung nur durch die Fritte machst oder etwas anderes noch dazwischenklemmst, was auch nichts anderes macht ist unerheblich. Nur dann, wenn Du von innen nach außen auch noch den Traffic regulierst und zusätzlich den VPN-Verkehr von dem Server wegholst, ist eine zusätzliche Firewall sinnvoll.
lks
die "Firewall", die Du suchst, gibt es ab 10€ in jedem Baumarkt. Einfach kaufen, anschließen und "Firewall" draufschreiben. Denn ob Du nun die Portweiterleitung nur durch die Fritte machst oder etwas anderes noch dazwischenklemmst, was auch nichts anderes macht ist unerheblich. Nur dann, wenn Du von innen nach außen auch noch den Traffic regulierst und zusätzlich den VPN-Verkehr von dem Server wegholst, ist eine zusätzliche Firewall sinnvoll.
lks
Hi,
die Sicherheit ist auch noch aus einem anderen Gesichtspunkt aktuell nicht bzw. nur halbherzig umgesetzt. So, wie Du die Struktur bisher beschrieben hast, läuft das SSTP-VPN ja nicht exklusiv auf dem 2016er Server.
Meine Vermutung aus Deiner Beschriebung: Der Server macht auch noch AD, DNS, Fileserver usw. - auch wenn die Dienste nach außen hin nicht sichtbar sind, ist die Gefahr umso größer, je mehr Dienste auf dem VPN-Server laufen. Wenn überhaupt läuft das RRAS/SSTP-VPN auf eine komplett separaten VM oder Blech.
Und ja, Sicherheit ist manchmal (um nicht zu sagen immer) unbequem und wirft meist Kosten auf. Ein (separater) VPN-Server, wie auch eine Firewall ist niemals Plug&Play, damit muss man sich auseinandersetzen und ein Konzept entwickeln. Das schließt natürlich auch Unbequemlichkeit für die Benutzer mit ein (ggf. Drittanbietersoftware).
Gruß
cykes
die Sicherheit ist auch noch aus einem anderen Gesichtspunkt aktuell nicht bzw. nur halbherzig umgesetzt. So, wie Du die Struktur bisher beschrieben hast, läuft das SSTP-VPN ja nicht exklusiv auf dem 2016er Server.
Meine Vermutung aus Deiner Beschriebung: Der Server macht auch noch AD, DNS, Fileserver usw. - auch wenn die Dienste nach außen hin nicht sichtbar sind, ist die Gefahr umso größer, je mehr Dienste auf dem VPN-Server laufen. Wenn überhaupt läuft das RRAS/SSTP-VPN auf eine komplett separaten VM oder Blech.
Und ja, Sicherheit ist manchmal (um nicht zu sagen immer) unbequem und wirft meist Kosten auf. Ein (separater) VPN-Server, wie auch eine Firewall ist niemals Plug&Play, damit muss man sich auseinandersetzen und ein Konzept entwickeln. Das schließt natürlich auch Unbequemlichkeit für die Benutzer mit ein (ggf. Drittanbietersoftware).
Gruß
cykes
Diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
auf einem APU3 Board erfüllt alle deine Forderungen.
https://www.varia-store.com/de/produkt/265585-apu3d2-bundle-board-netzte ...
Alternativen findest du hier wovon es auch baugleiche Angebote bei den üblichen Versendern gibt.
Etwas preiswerter wäre z.B. ein Mikrotik RB3011 allerdings ist da die Lernkurve geringfügig steiler.
https://www.ipu-system.de/produkte/ipu450.html
Mikrotik supportet zudem das Microsoft proprietäre SSTP VPN Protokoll: https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Davon kann man aber nur abraten, denn das supporten ausschliesslich nur Windows Maschinen. Viel sinnvoller ist es das universellere IKEv2 oder L2TP zu verwenden.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Dafür reicht sogar ein Raspberry Pi:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
auf einem APU3 Board erfüllt alle deine Forderungen.
https://www.varia-store.com/de/produkt/265585-apu3d2-bundle-board-netzte ...
Alternativen findest du hier wovon es auch baugleiche Angebote bei den üblichen Versendern gibt.
Etwas preiswerter wäre z.B. ein Mikrotik RB3011 allerdings ist da die Lernkurve geringfügig steiler.
https://www.ipu-system.de/produkte/ipu450.html
Mikrotik supportet zudem das Microsoft proprietäre SSTP VPN Protokoll: https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Davon kann man aber nur abraten, denn das supporten ausschliesslich nur Windows Maschinen. Viel sinnvoller ist es das universellere IKEv2 oder L2TP zu verwenden.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Dafür reicht sogar ein Raspberry Pi:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
2
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Solche Aussagen find ich immer interessant. Woher kommt die Weisheit?
Klar ist ein Windows Server unsicher, wenn man ihn aktiv so konfiguriert, das jeder drauf kommt.
Das liegt hauptsächlich daran, das er aufgrund der einfachen Oberfläche von jedem bedient werden kann, der nicht weiß was er tut.
Auch das SSTP das du hier nutzt kann man durchaus so konfigurieren, das es sicher ist, aber halt nicht so.
Der VPN Server und die interne Struktur müssen auf getrennte Maschinen, dazwischen öffnet man nur die Ports die mindestens zum funktionalen Betrieb nötig sind.
Das macht nur kaum einer mit Windows weil die Lizenz allein schon mehr kostet als eine kleine pfSense oder opnSense Kiste.
Es wäre aber denkbar, den DC/File/DHCP... Server auf einer VM und den VPN Server auf einer getrennten VM zu betreiben, beide in verschiedenen VLANs und per Firewall getrennt. Allerdings wird das dann wohl auch die Kapazität der Fritte überschreiten.
Ich betreibe hier eine pfSense in einer VM die auf einem dedizierten Hyper-V Server mit getrennt zugeteilten Netzwerkports liegt, theoretisch würde das für dich auch hinhauen, was aber dann eine extra VM für SSTP auch wieder ad absurdum führen würde, weil die pfSense das ja selber kann.
1
Klar ... für 2 Personen und ner 40/8er Internetanbindung.
Genau mein Humor! 😂
Kommt immer darauf an, welches Ziel erreicht werden soll.
lks
PS: Manchmal tut es auch ein L3-Switch, auf den man Firewall draufschreibt.
Kommt immer darauf an, welches Ziel erreicht werden soll.
Das Ziel und die Rahmenbedingungen sind doch oben hinreichend definiert?!Nur ist das Problem doch vorrangig strukturell und nicht einfach nur:
"Hau möglichst viel HW/SW/EUR druff dann wird alles gut"
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz. Das könnte aber erreicht werden. Ich biete zweihundert Euro und Prozentuale Beteiligung demjenigen, der mir so ein Programm schreibt. Darum ist es eigentlich egal wie viele Firewalls man einsetzt, welche man installiert oder wie viele externe Vorstufen man einbaut. Solange es keine passende Software gibt, ist man machtlos. Also unsinnig drüber nachzudenken.
MfG. PC Chaos
MfG. PC Chaos
keine Firewall der Welt bietet hundert prozentige Schutz.
Die Firewall an sich schon, die ist wasserdicht.Problemfaktor ist immer nur der Mensch der sie konfiguriert. Wie gut ist also immer von dessen Kenntinissen abhängig. Es ist ja naiv zu denken das eine Maschine per se selber weiß was sicher ist und was nicht. Weisst du als Admin Profi ja auch selber....
Doch soweit kann man denken, wenn man bedenkt der Mensch ist ein ###, auf Schäden getuned und wiederholt sich in seiner dumm Dreistigkeit endlos, wenn man ihn nicht aufhält. Soweit kann auch ein Computer denken. KI. Oder wenn man geistig intellektuell fähig ist, den ganzen Eventualitäten vorausschauend zu begegnen.
Zitat von @PCChaos:
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Vor was denn? Vor Corona oder Tripper nicht. Vor einem bösartigen Mitarbeiter, der den Laden mit C4 sprengt, oder sämtliche Passwörter an alle Email Empfänger im Adressbuch schickt, auch nicht.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
...oder Tripper nicht.
🤣👍Zitat von @rzlbrnft:
Vor was denn? Vor Corona oder Tripper nicht.
Zitat von @PCChaos:
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Vor was denn? Vor Corona oder Tripper nicht.
Dafür gibt es spezielle Firewalls. Nennen sich ABC-Schutzanzug.
Vor einem bösartigen Mitarbeiter, der den Laden mit C4 sprengt, ...
Dafür gibt es Sprengstoff-Spürhunde
oder sämtliche Passwörter an alle Email Empfänger im Adressbuch schickt, ...
Dafür gibt es SPAM-Filter.
auch nicht.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
Man muß nur die "richtige" Firewall nehmen. Dann schützt sie auch vor ungewöhnlichen Angriffen. Das A&O eines Firewall-Konzeptes ist die Risikoanalyse und die richtige Definition der Angriffsszenarien. Dann kann man auch überhaupt erst sagen ob und wovor die Firewall schützt.
lks
PS: Es gibt sogar Firewalls die vor Feuer schützen.
Das ist eine unsinnige Aussage. Für Prozentaussagen muß man erstmal sagen was 100% über Haupt sind und wie die definiert werden. Bei unbestimmten Szenarien, kann man überhaupt keine Prozentaussagen treffen, solange man nciht sagt wovon.
Um die Schutzwirkung von friewalls zu beurteilen muß man erstmal das Angriffsszenario festlegen und dann eien Risikolanalyse machen und dementsprechend die "features" der Firewall festzurren. Erst dann kann man überhaupt Aussagen darüber treffen, ob die Firewall das leistet, was sie soll.
lks
