kai700
Goto Top

PfSense auf APU1D (mit oder ohne Kaskade) an All-IP VDSL-Anschluss Telekom oder doch nicht?

Hallo,
ich möchte mein Homenetzwerk etwas sicherer machen. Darunter verstehe ich (auch) die Trennung in 2 oder 3 Subnetze. 1 Netz für die Geräte mit höchstem Sicherheitsbedürfnis (Arbeits-PC, NAS), 1 Netz für weniger Sicherheitsbedürfnis bzw. eben abgetrennt von Netz 1 (Kinder/Gäste-WLAN, Plaudertaschengeräte wie Smart TVs etc.) und evtl. noch 3. Netz für z.B. IP-Cam (DMZ).

Nach entsprechenden Recherchen, fällt auch meine Wahl dafür die von aqui beschriebene Variante (Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät). Da ich auf All-IP VDSL der Telekom umsteigen möchte, frage ich mich, ob ich mir einige Dinge "verbaue" oder weniger komfortabel gestalte. Meine Idealtvorstellung wären:

- o.g. Netz (Modem => pfSense => etc., kein doppeltes NAT)
Welche Funktionen des Speedports W724v fallen dann weg (virtueller AB im Netz?). Ich habe zwar ein ISDN-Telefon, dass ich noch nutzen könnte, aber ich dachte mir, wenn schon dennschon IP-Telefon. Entertain ist eigentlich kein Thema, aber man weiß ja nie (könnte aber drauf verzichten).

- Aktuell faxe ich über eine ISDN-Karte. PC faxen reicht mir auch. Ich könnte zwar einen Adapter kaufen, wobei ich nicht weiß, ob der im Modembetrieb noch geht? Ich würde dann lieber auch über IP faxen. Wie geht das überhaupt?

- Ich möchte weiterhin eine Kindersicherung (Timer) nutzen. Das geht sicher mit pfSense. Wobei mich hier die komfortable Bedienung über eine App ala Fritzbox reizen würde, die fürs Faxen wohl auch die beste Wahl wäre(?)

Wenn ich das Ganze richtig verstehe, kann ich alle Vorzüge der o.g.Hardwarerouter nur nutzen, wenn man eine Kaskade macht. Vielleicht wär dann für mich auch eine Hardware-FW oder ganz anderes Konzept interessant? Für Tipps und Anregungen bin ich sehr dankbar.

Gruss Kai

Content-ID: 266422

Url: https://administrator.de/contentid/266422

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

aqui
aqui 16.03.2015 aktualisiert um 08:00:37 Uhr
Goto Top
Nein, du verbaust dir nichts und deine Idealvorstellungen passen schon.
kann ich alle Vorzüge der o.g.Hardwarerouter nur nutzen, wenn man eine Kaskade macht.
WAS genau meinst du mit "Vorzüge" ? Hier müsste man deine Gedankengänge verstehen um diese Frage beantworten zu können.
Generell müsste man sagen hast du das falsch verstanden und es steht so auch im Tutorial und du erwähnst es ja auch selber, das eine Kaskade mit einem Router davor immer nur die zweitbeste Lösung ist !
Technisch besser ist ein NUR xDSL Modem (keinen Router !) vor der Firewall zu haben da man sich so das überflüssige 2malige NAT (IP Adresstranslation) spart und noch dirverse andere Dinge.
Oder meintest du jetzt was ganz anderes...?
Looser27
Looser27 16.03.2015 aktualisiert um 10:31:17 Uhr
Goto Top
Moin,

bzgl. des Telefonieproblems schau Dir mal die Anlage von Starface an. Die ist für den Hausgebrauch mit 3 Usern kostenlos (entspricht 3 Endgeräten).
Der Vorteil ist, dass die Anlage ein eingebautes Fax hat, welches dann auch e-Mail weiterleiten kann.
Intern kannst du dann z.B. Siemens VOIP Telefone verwenden, die automatisch von der Anlage erkannt werden.
Als Hardware für die Anlage reicht ein ausrangierter PC oder ne VM, wenn Du sowieso nen Server laufen hast.
Damit hast du dann auch sofort Anrufbeantworter für jeden Nutzer getrennt und/oder für alle gemeinsam.....und vieles mehr.

Es gibt hier mit Sicherheit auch noch andere Anbieter. Einfach mal die Suche bemühen

Gruß

Looser

P.S.: Leider läuft die Starface-Geschichte noch nicht auf nem Raspberry. Ob das mit dem neuen Raspi2 geht, weiß ich allerdings nicht.
P.S.S.: Das hier könnte eine Alternative sein und läuft auf dem Raspi https://www.alternative-solution.de/gs5
orcape
Lösung orcape 16.03.2015, aktualisiert am 06.04.2015 um 16:02:53 Uhr
Goto Top
Hi kai700,
Du hast Doch schon mal einen guten Ansatz geliefert.
Wenn Du das kostengünstig aufbauen möchtest, bleibt wohl nur das Speedport am Netz zu lassen und weiter als Router und Telefonanlage zu betreiben. Alternativ kann man das Speedport wohl auch Freetzen (einfach mal mit dem Thema beschäftigen).
In dessen Netz lässt Du einfach die Plaudertaschengeräte (Kinder/Gäste-WLAN, Plaudertaschengeräte wie Smart TVs etc.).
Dahinter die pfSense auf ALIX oder besser APU.
Damit kannst Du auch Dein NAS in eine richtige DMZ an der pfSense bringen.
Im LAN hast Du Deine PC´s, die auch problemlos nach "vorn" zugreifen können, was Deinen "Plaudertaschengeräten" umgekehrt verwehrt bleibt.
Die Anleitung für die pfSense hast Du ja schon gefunden.
Gruß orcape
aqui
aqui 16.03.2015 um 10:50:12 Uhr
Goto Top
Wenn du so oder so auf VoIP Telefone umstellen willst brauchst du den Speedport und den anderen Quatsch gar nicht mehr.
Alle Telefonie ist dann im lokalen LAN Netz ! Den virtuellen AB behältst du natürlich der ist ja beim Provider.
Mit VoIP hast du natürlich nun alle Möglichkeiten:
  • VoIP Telefon Aastra, Grandstream, Snom, Linksys, Gigaset usw. usw.
  • Softphone wie Phoner Lite, Zipher und wie sie alle heissen auf PC, Mac oder Smartphone
  • Starface auf ne VM
  • Raspberry Pi Asterisk Edition
  • Cisco SPA 112 VoIP Adapter
  • Auerswald 3000 oder 4000 VoIP Anlage
  • Jede andere VoIP Anlage oder Telefone die es auf dem Markt gibt
Was will man mehr ?!
kai700
kai700 17.03.2015 um 08:49:13 Uhr
Goto Top
Hallo und danke an Alle,

ich versuchs mal in einen Kommentar zu packen.

Meine Vorstellungen gehen wohl am ehesten in das von orcape beschriebene Szenario. Mit dem Nachteil der Kaskade. Das ist mir bewusst.
Wenn ich es "sauber" (NUR xDSL Modem, keinen Router vor der Firewall) machen will, benötige ich eine alternative Telefonanlage/Fax. Gut, dass scheint nicht so kompliziert zu sein. Ich möchte jedoch keinen zus. Server laufen lassen auch nicht auf dem NAS), lieber ein Gerät. Ich benötige ja nur 1 Telefon/AB. Wobei ich gelesen habe, dass man auch mit Smartphones dann übers (VoIP) Festnetz telefonieren kann. Ich muss nicht unbedingt alle über VoIP laufen haben, ich dachte nur, dass man die Vorteile dann nutzen kann. Ich könnte auch das ISDN-Telefon über einen Adapter laufen lassen (wenn das im reinen Modembetrieb noch geht).
Mit anderen" Vorzügen" meinte ich die Kindersicherung/Timer bei der Fritzbox, die auch andere Familienmitglieder bedienen können, die ich beim Speedport(?) oder bei reinem Modembetrieb erstmal nicht habe. Unterm Strich siehts für mich jetzt so aus.

Variante 1: "saubere" FW (NUR xDSL Modem, keinen Router vor der Firewall) (wobei man hier gucken muss, ob das Speeport überhaupt die richtige Wahl ist) + Telefonanlage/Gerät (vielleicht kauf ich mir mal ein Drucker mit (VoIP) Fax., keine leicht zu bedinende Kindersicherung ala Fritzbox

Variante 2: zweitbeste FW Lösung (Kaskade), Telefonie/AB über Speedport ohne Kindersicherung ala Fritzbox oder Telefonie/AB/Fax/Kindersicherung über eine Fritzbox.

Da ich die Geräte alle noch nicht habe, wollte ich mich vorab gut informieren.

PS: Eine Frage noch am Rande. Wenn man sich von zu Hause mit einem Firmenlaptop einwählt (Homeoffice). Ist dieses Netz dann auch abzutrennen oder ist das perse sicher seitens des Arbeitgebers. Ich meine die üblichen Varianten großer Arbeitgeber wie Citrix, VPN oder so.

Gruss Kai
Looser27
Lösung Looser27 17.03.2015, aktualisiert am 06.04.2015 um 16:03:24 Uhr
Goto Top
Es gibt noch eine Alternative zur Telefonanlage:
Da Du eh nur 1 Telefon benötigst, kaufst Du Dir ein neues VOIP Telefon und bindest das ins LAN.
Dann entfällt die hässliche Router-Kaskade und Du brauchst vor der Firewall bloß ein 15€ DSL Modem.

Alternativ kannst Du auch eine VOIP-DECT Basis (z.B. N510 IP PRO) einbinden und bis zu 6 Mobilteile darauf anmelden.
Dann bist Du sogar noch flexibler und kannst günstige DECT-Handgeräte einsetzen, die Du mit der Basis verbindest.

Was Deine letzte Frage angeht, so kannst Du Dich zuhause per VPN in die Firma einwählen ohne das über ein separates Netz tun zu müssen.
Dafür gibt es ja schließlich VPN.

Gruß

Looser
aqui
Lösung aqui 17.03.2015, aktualisiert am 06.04.2015 um 16:03:29 Uhr
Goto Top
Meine Vorstellungen gehen wohl am ehesten in das von orcape beschriebene Szenario. Mit dem Nachteil der Kaskade. Das ist mir bewusst.
Nein, das ist schlicht falsch, denn du kannst am WAN Port auch mit einem reinen xDSL Modem arbeiten und die Kaskade so vermeiden.
lieber ein Gerät. Ich benötige ja nur 1 Telefon/AB.
Warum bitte setzt du dir dann nicht den Cisco SPA 112 in dein netz, schliesst Telefon und Fax da an und gut iss ??
http://www.reichelt.de/CISCO-SPA112/3/index.html?ACTION=3&GROUPID=2 ...;
Damit ist doch da dann ein einfacher Haken dran.
Oder noch viel einfacher wenn du nur ein popeliges Telefon brauchst gleich eins mit VoIP von Aaastra, Grandstream, Linksys, Snom und wie sie alle heissen. Ist oben ja auch schon angemerkt.
Wenn du ein zweites brauchst steckst du das im LAN dazu und so weiter.
Den Adapter oben brauchst du nur wenn du alte Telefone weiter benutzen willst.
dass man auch mit Smartphones dann übers (VoIP) Festnetz telefonieren kann.
Ja, z.B. mit dem kostenlosen Zoiper Client:
http://www.zoiper.com/en
Mit anderen" Vorzügen" meinte ich die Kindersicherung/Timer bei der Fritzbox, die auch andere Familienmitglieder bedienen können, die ich beim Speedport(?) oder bei reinem Modembetrieb erstmal nicht habe.
Unsinn, denn das setzt du ja auf der pfSense um die das hat ! Die Kindersicherung auf der FB ist in Sekunden ausgehebelt wenn man pfiffige Kids hat. Auf YouTube gibts da tausende Filmchen zu, vergiss das das ist Spielkram auf der FB für technische Noobs.
von zu Hause mit einem Firmenlaptop einwählt (Homeoffice).
In der regel hat man dann einen VPN Client auf dem Rechner der einen gesicherten und verschlüsselten Tunnel zum Firmennetz herstellt und man darüber arbeitet.
Sowie der aktiv ist wird das lokale LAN deaktiviert und alles geht aus Sicherheitsgründen über den VPN Tunnel.
Da muss man also nichts abtrennen.
Der Arbeitgeber kann ja auch nicht davon ausgehen das ein Mitarbeiter technisch versiert ist ! Das alles muss ja "dummiesicher" sein also so einfach wie möglich und da gilt dann wie immer ...einschalten und geht.
Ich meine die üblichen Varianten großer Arbeitgeber wie Citrix, VPN oder so.
So so...das "VPN" ein Arbeitgeber ist wussten wir noch gar nicht. Wo ist der denn ansässig ?!
kai700
kai700 17.03.2015 um 12:39:08 Uhr
Goto Top
Unsinn, denn das setzt du ja auf der pfSense um die das hat ! Die Kindersicherung auf der FB ist in Sekunden ausgehebelt wenn man
pfiffige Kids hat. Auf YouTube gibts da tausende Filmchen zu, vergiss das das ist Spielkram auf der FB für technische Noobs.
Mir gehts hier mehr um Erziehung und Zeitmanagement als um Sicherheit. Ich kann mir ja dann ne App für pfSense basteln, sodass auch andere die Zeiten einstellen/ändern können.
So so...das "VPN" ein Arbeitgeber ist wussten wir noch gar nicht. Wo ist der denn ansässig ?!
Du bist aber streng. "VPN" bezieht sich in dem Satz auf die Varianten. Ok, grammatikalisch nicht ganz korrekt....
Gruss
orcape
orcape 17.03.2015 um 13:37:53 Uhr
Goto Top
Du bist aber streng.
...ja ja, so isser nu mal, hart aber gerecht.
Da musst Du Dir schon genau überlegen was Du schreibst, das ist hier nicht das Windows für Anfänger Forum.face-wink
Gruß orcape