PfSense auf APU1D (mit oder ohne Kaskade) an All-IP VDSL-Anschluss Telekom oder doch nicht?
Hallo,
ich möchte mein Homenetzwerk etwas sicherer machen. Darunter verstehe ich (auch) die Trennung in 2 oder 3 Subnetze. 1 Netz für die Geräte mit höchstem Sicherheitsbedürfnis (Arbeits-PC, NAS), 1 Netz für weniger Sicherheitsbedürfnis bzw. eben abgetrennt von Netz 1 (Kinder/Gäste-WLAN, Plaudertaschengeräte wie Smart TVs etc.) und evtl. noch 3. Netz für z.B. IP-Cam (DMZ).
Nach entsprechenden Recherchen, fällt auch meine Wahl dafür die von aqui beschriebene Variante (Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät). Da ich auf All-IP VDSL der Telekom umsteigen möchte, frage ich mich, ob ich mir einige Dinge "verbaue" oder weniger komfortabel gestalte. Meine Idealtvorstellung wären:
- o.g. Netz (Modem => pfSense => etc., kein doppeltes NAT)
Welche Funktionen des Speedports W724v fallen dann weg (virtueller AB im Netz?). Ich habe zwar ein ISDN-Telefon, dass ich noch nutzen könnte, aber ich dachte mir, wenn schon dennschon IP-Telefon. Entertain ist eigentlich kein Thema, aber man weiß ja nie (könnte aber drauf verzichten).
- Aktuell faxe ich über eine ISDN-Karte. PC faxen reicht mir auch. Ich könnte zwar einen Adapter kaufen, wobei ich nicht weiß, ob der im Modembetrieb noch geht? Ich würde dann lieber auch über IP faxen. Wie geht das überhaupt?
- Ich möchte weiterhin eine Kindersicherung (Timer) nutzen. Das geht sicher mit pfSense. Wobei mich hier die komfortable Bedienung über eine App ala Fritzbox reizen würde, die fürs Faxen wohl auch die beste Wahl wäre(?)
Wenn ich das Ganze richtig verstehe, kann ich alle Vorzüge der o.g.Hardwarerouter nur nutzen, wenn man eine Kaskade macht. Vielleicht wär dann für mich auch eine Hardware-FW oder ganz anderes Konzept interessant? Für Tipps und Anregungen bin ich sehr dankbar.
Gruss Kai
ich möchte mein Homenetzwerk etwas sicherer machen. Darunter verstehe ich (auch) die Trennung in 2 oder 3 Subnetze. 1 Netz für die Geräte mit höchstem Sicherheitsbedürfnis (Arbeits-PC, NAS), 1 Netz für weniger Sicherheitsbedürfnis bzw. eben abgetrennt von Netz 1 (Kinder/Gäste-WLAN, Plaudertaschengeräte wie Smart TVs etc.) und evtl. noch 3. Netz für z.B. IP-Cam (DMZ).
Nach entsprechenden Recherchen, fällt auch meine Wahl dafür die von aqui beschriebene Variante (Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät). Da ich auf All-IP VDSL der Telekom umsteigen möchte, frage ich mich, ob ich mir einige Dinge "verbaue" oder weniger komfortabel gestalte. Meine Idealtvorstellung wären:
- o.g. Netz (Modem => pfSense => etc., kein doppeltes NAT)
Welche Funktionen des Speedports W724v fallen dann weg (virtueller AB im Netz?). Ich habe zwar ein ISDN-Telefon, dass ich noch nutzen könnte, aber ich dachte mir, wenn schon dennschon IP-Telefon. Entertain ist eigentlich kein Thema, aber man weiß ja nie (könnte aber drauf verzichten).
- Aktuell faxe ich über eine ISDN-Karte. PC faxen reicht mir auch. Ich könnte zwar einen Adapter kaufen, wobei ich nicht weiß, ob der im Modembetrieb noch geht? Ich würde dann lieber auch über IP faxen. Wie geht das überhaupt?
- Ich möchte weiterhin eine Kindersicherung (Timer) nutzen. Das geht sicher mit pfSense. Wobei mich hier die komfortable Bedienung über eine App ala Fritzbox reizen würde, die fürs Faxen wohl auch die beste Wahl wäre(?)
Wenn ich das Ganze richtig verstehe, kann ich alle Vorzüge der o.g.Hardwarerouter nur nutzen, wenn man eine Kaskade macht. Vielleicht wär dann für mich auch eine Hardware-FW oder ganz anderes Konzept interessant? Für Tipps und Anregungen bin ich sehr dankbar.
Gruss Kai
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 266422
Url: https://administrator.de/contentid/266422
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Nein, du verbaust dir nichts und deine Idealvorstellungen passen schon.
Generell müsste man sagen hast du das falsch verstanden und es steht so auch im Tutorial und du erwähnst es ja auch selber, das eine Kaskade mit einem Router davor immer nur die zweitbeste Lösung ist !
Technisch besser ist ein NUR xDSL Modem (keinen Router !) vor der Firewall zu haben da man sich so das überflüssige 2malige NAT (IP Adresstranslation) spart und noch dirverse andere Dinge.
Oder meintest du jetzt was ganz anderes...?
kann ich alle Vorzüge der o.g.Hardwarerouter nur nutzen, wenn man eine Kaskade macht.
WAS genau meinst du mit "Vorzüge" ? Hier müsste man deine Gedankengänge verstehen um diese Frage beantworten zu können.Generell müsste man sagen hast du das falsch verstanden und es steht so auch im Tutorial und du erwähnst es ja auch selber, das eine Kaskade mit einem Router davor immer nur die zweitbeste Lösung ist !
Technisch besser ist ein NUR xDSL Modem (keinen Router !) vor der Firewall zu haben da man sich so das überflüssige 2malige NAT (IP Adresstranslation) spart und noch dirverse andere Dinge.
Oder meintest du jetzt was ganz anderes...?
Moin,
bzgl. des Telefonieproblems schau Dir mal die Anlage von Starface an. Die ist für den Hausgebrauch mit 3 Usern kostenlos (entspricht 3 Endgeräten).
Der Vorteil ist, dass die Anlage ein eingebautes Fax hat, welches dann auch e-Mail weiterleiten kann.
Intern kannst du dann z.B. Siemens VOIP Telefone verwenden, die automatisch von der Anlage erkannt werden.
Als Hardware für die Anlage reicht ein ausrangierter PC oder ne VM, wenn Du sowieso nen Server laufen hast.
Damit hast du dann auch sofort Anrufbeantworter für jeden Nutzer getrennt und/oder für alle gemeinsam.....und vieles mehr.
Es gibt hier mit Sicherheit auch noch andere Anbieter. Einfach mal die Suche bemühen
Gruß
Looser
P.S.: Leider läuft die Starface-Geschichte noch nicht auf nem Raspberry. Ob das mit dem neuen Raspi2 geht, weiß ich allerdings nicht.
P.S.S.: Das hier könnte eine Alternative sein und läuft auf dem Raspi https://www.alternative-solution.de/gs5
bzgl. des Telefonieproblems schau Dir mal die Anlage von Starface an. Die ist für den Hausgebrauch mit 3 Usern kostenlos (entspricht 3 Endgeräten).
Der Vorteil ist, dass die Anlage ein eingebautes Fax hat, welches dann auch e-Mail weiterleiten kann.
Intern kannst du dann z.B. Siemens VOIP Telefone verwenden, die automatisch von der Anlage erkannt werden.
Als Hardware für die Anlage reicht ein ausrangierter PC oder ne VM, wenn Du sowieso nen Server laufen hast.
Damit hast du dann auch sofort Anrufbeantworter für jeden Nutzer getrennt und/oder für alle gemeinsam.....und vieles mehr.
Es gibt hier mit Sicherheit auch noch andere Anbieter. Einfach mal die Suche bemühen
Gruß
Looser
P.S.: Leider läuft die Starface-Geschichte noch nicht auf nem Raspberry. Ob das mit dem neuen Raspi2 geht, weiß ich allerdings nicht.
P.S.S.: Das hier könnte eine Alternative sein und läuft auf dem Raspi https://www.alternative-solution.de/gs5
Hi kai700,
Du hast Doch schon mal einen guten Ansatz geliefert.
Wenn Du das kostengünstig aufbauen möchtest, bleibt wohl nur das Speedport am Netz zu lassen und weiter als Router und Telefonanlage zu betreiben. Alternativ kann man das Speedport wohl auch Freetzen (einfach mal mit dem Thema beschäftigen).
In dessen Netz lässt Du einfach die Plaudertaschengeräte (Kinder/Gäste-WLAN, Plaudertaschengeräte wie Smart TVs etc.).
Dahinter die pfSense auf ALIX oder besser APU.
Damit kannst Du auch Dein NAS in eine richtige DMZ an der pfSense bringen.
Im LAN hast Du Deine PC´s, die auch problemlos nach "vorn" zugreifen können, was Deinen "Plaudertaschengeräten" umgekehrt verwehrt bleibt.
Die Anleitung für die pfSense hast Du ja schon gefunden.
Gruß orcape
Du hast Doch schon mal einen guten Ansatz geliefert.
Wenn Du das kostengünstig aufbauen möchtest, bleibt wohl nur das Speedport am Netz zu lassen und weiter als Router und Telefonanlage zu betreiben. Alternativ kann man das Speedport wohl auch Freetzen (einfach mal mit dem Thema beschäftigen).
In dessen Netz lässt Du einfach die Plaudertaschengeräte (Kinder/Gäste-WLAN, Plaudertaschengeräte wie Smart TVs etc.).
Dahinter die pfSense auf ALIX oder besser APU.
Damit kannst Du auch Dein NAS in eine richtige DMZ an der pfSense bringen.
Im LAN hast Du Deine PC´s, die auch problemlos nach "vorn" zugreifen können, was Deinen "Plaudertaschengeräten" umgekehrt verwehrt bleibt.
Die Anleitung für die pfSense hast Du ja schon gefunden.
Gruß orcape
Wenn du so oder so auf VoIP Telefone umstellen willst brauchst du den Speedport und den anderen Quatsch gar nicht mehr.
Alle Telefonie ist dann im lokalen LAN Netz ! Den virtuellen AB behältst du natürlich der ist ja beim Provider.
Mit VoIP hast du natürlich nun alle Möglichkeiten:
Alle Telefonie ist dann im lokalen LAN Netz ! Den virtuellen AB behältst du natürlich der ist ja beim Provider.
Mit VoIP hast du natürlich nun alle Möglichkeiten:
- VoIP Telefon Aastra, Grandstream, Snom, Linksys, Gigaset usw. usw.
- Softphone wie Phoner Lite, Zipher und wie sie alle heissen auf PC, Mac oder Smartphone
- Starface auf ne VM
- Raspberry Pi Asterisk Edition
- Cisco SPA 112 VoIP Adapter
- Auerswald 3000 oder 4000 VoIP Anlage
- Jede andere VoIP Anlage oder Telefone die es auf dem Markt gibt
Es gibt noch eine Alternative zur Telefonanlage:
Da Du eh nur 1 Telefon benötigst, kaufst Du Dir ein neues VOIP Telefon und bindest das ins LAN.
Dann entfällt die hässliche Router-Kaskade und Du brauchst vor der Firewall bloß ein 15€ DSL Modem.
Alternativ kannst Du auch eine VOIP-DECT Basis (z.B. N510 IP PRO) einbinden und bis zu 6 Mobilteile darauf anmelden.
Dann bist Du sogar noch flexibler und kannst günstige DECT-Handgeräte einsetzen, die Du mit der Basis verbindest.
Was Deine letzte Frage angeht, so kannst Du Dich zuhause per VPN in die Firma einwählen ohne das über ein separates Netz tun zu müssen.
Dafür gibt es ja schließlich VPN.
Gruß
Looser
Da Du eh nur 1 Telefon benötigst, kaufst Du Dir ein neues VOIP Telefon und bindest das ins LAN.
Dann entfällt die hässliche Router-Kaskade und Du brauchst vor der Firewall bloß ein 15€ DSL Modem.
Alternativ kannst Du auch eine VOIP-DECT Basis (z.B. N510 IP PRO) einbinden und bis zu 6 Mobilteile darauf anmelden.
Dann bist Du sogar noch flexibler und kannst günstige DECT-Handgeräte einsetzen, die Du mit der Basis verbindest.
Was Deine letzte Frage angeht, so kannst Du Dich zuhause per VPN in die Firma einwählen ohne das über ein separates Netz tun zu müssen.
Dafür gibt es ja schließlich VPN.
Gruß
Looser
Meine Vorstellungen gehen wohl am ehesten in das von orcape beschriebene Szenario. Mit dem Nachteil der Kaskade. Das ist mir bewusst.
Nein, das ist schlicht falsch, denn du kannst am WAN Port auch mit einem reinen xDSL Modem arbeiten und die Kaskade so vermeiden.lieber ein Gerät. Ich benötige ja nur 1 Telefon/AB.
Warum bitte setzt du dir dann nicht den Cisco SPA 112 in dein netz, schliesst Telefon und Fax da an und gut iss ??http://www.reichelt.de/CISCO-SPA112/3/index.html?ACTION=3&GROUPID=2 ...;
Damit ist doch da dann ein einfacher Haken dran.
Oder noch viel einfacher wenn du nur ein popeliges Telefon brauchst gleich eins mit VoIP von Aaastra, Grandstream, Linksys, Snom und wie sie alle heissen. Ist oben ja auch schon angemerkt.
Wenn du ein zweites brauchst steckst du das im LAN dazu und so weiter.
Den Adapter oben brauchst du nur wenn du alte Telefone weiter benutzen willst.
dass man auch mit Smartphones dann übers (VoIP) Festnetz telefonieren kann.
Ja, z.B. mit dem kostenlosen Zoiper Client:http://www.zoiper.com/en
Mit anderen" Vorzügen" meinte ich die Kindersicherung/Timer bei der Fritzbox, die auch andere Familienmitglieder bedienen können, die ich beim Speedport(?) oder bei reinem Modembetrieb erstmal nicht habe.
Unsinn, denn das setzt du ja auf der pfSense um die das hat ! Die Kindersicherung auf der FB ist in Sekunden ausgehebelt wenn man pfiffige Kids hat. Auf YouTube gibts da tausende Filmchen zu, vergiss das das ist Spielkram auf der FB für technische Noobs.von zu Hause mit einem Firmenlaptop einwählt (Homeoffice).
In der regel hat man dann einen VPN Client auf dem Rechner der einen gesicherten und verschlüsselten Tunnel zum Firmennetz herstellt und man darüber arbeitet.Sowie der aktiv ist wird das lokale LAN deaktiviert und alles geht aus Sicherheitsgründen über den VPN Tunnel.
Da muss man also nichts abtrennen.
Der Arbeitgeber kann ja auch nicht davon ausgehen das ein Mitarbeiter technisch versiert ist ! Das alles muss ja "dummiesicher" sein also so einfach wie möglich und da gilt dann wie immer ...einschalten und geht.
Ich meine die üblichen Varianten großer Arbeitgeber wie Citrix, VPN oder so.
So so...das "VPN" ein Arbeitgeber ist wussten wir noch gar nicht. Wo ist der denn ansässig ?!