ratzeburg

Eure Meinungen sind gefragt

Hallo Community,

ich denke schon seit Tagen über eine Konfiguration nach, wie "sicher ist sicher"

Folgendes Konstrukt habe ich hier am Start:
  • - FritzBox am VDSL Anschluß. für Telefonie mit FritzFon und Internetzugang
  • - dahinter eine pfSense CE (natürlich aktuelle Version)
  • - die pfSense stellt VLANS bereit und das NAT ist auf der pfSense deaktiviert
  • - es gibt in einem VLAN einen Ubuntu-Server (im Einsatz für das papierlose Büro, FileShare und jellyfin) und eine Spielwiese (temporär)

Nun habe ich vor, von außen mit Wireguard auf mein Heimnetz zuzugreifen. Also ist eine Adresse ala 123456abcdef@myfritz.net eingerichtet. Beim Hoster einen CNAME Eintrag zur Subdomain erstellt.

Jetzt hatte ich vor, ein Modem an den VDSL Anschluss zu klemmen, das die pfSense am WAN die öffentliche IP erhält um Wireguard direkt auf der pfSense nutzen zu können.

Dinge die für mich dagegen sprechen:
- mögliche Fehlkonfiguration könnte ein sicherheitsrelevantes Merkmal sein
- eine Lücke im OS der pfSense könnte ebenfalls den Zugriff von extern zulassen

Evtl. noch interessant für Euch, die pfSense ist auf einer Hardware von Sophos (SG 135) installiert)

Daher stelle ich mir die Frage, wie wahrscheinlich ist es bei pfSense oder der FritzBox so etwas? Was tritt wahrscheinlicher auf, wie sind da Eure Meinungen?

VG Alexander
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673496

Url: https://administrator.de/forum/wireguard-pfsense-heimnetz-sicherheit-673496.html

Ausgedruckt am: 17.07.2025 um 17:07 Uhr

incisor2k
incisor2k 22.06.2025 um 10:08:02 Uhr
Guten Morgen,

Das von dir geplante Konstrukt (Vigor + pfsense) ist absolut nichts ausgewöhnliches. Ein Vigor als Modem und dahinter die PFsense ist genauso (un)-sicher, wie nur die FritzBox vorn dran. Letztlich kannst du in beiden Konfiguration Fehler machen, die sich am Ende in deinem internen Netz auswirken.

Auch im FritzOS kann es wie bei pfsense Lücken in der Firmware geben, nur werden die in der sense in der Regel eher gefixt.

Der einzige Unterschied: Bei der Sense hast du deutlich mehr Möglichkeiten, Fehler in der Konfig einzubauen und damit die Sicherheit negativ zu beeinflussen.
radiogugu
radiogugu 22.06.2025 aktualisiert um 12:13:45 Uhr
Mahlzeit.

Also ist eine Adresse ala 123456abcdef@myfritz.net eingerichtet. > Beim Hoster einen CNAME Eintrag zur Subdomain erstellt.

Bis dato hatte ich noch nicht getestet, ob eine MyFritz DynDNS Kopplung mit einer Sense klappt.

Ansonsten ist, wie Kollege @incisor2k schon schrieb, muss man aufpassen was man wie konfiguriert.

Es ist aber genauso möglich sich selbst ein sicherheitstechnisches Eigentor zu schießen, wenn man an einer Fritzbox Portweiterleitungen an alles Mögliche einrichtet.

Sollten Dienste aus dem Internet erreichbar gemacht werden, muss man immer Risiken abwägen und sich mit der "Abwehr" auseinandersetzen.

Denn auch die kommerziellen Firewalls haben durchaus große Probleme bescheinigt bekommen (z.B. Fortinet, SonicWall, Sophos), dass du nie ausschließen kannst, dass da eine Lücke existiert.

Es hilft in jedem Fall hier zu üben, wenn privates und/oder berufliches Interesse besteht.
Dein angestrebter Ansatz Internet > Nur Modem > Sense ist auf jeden Fall der sauberste Weg.

Gruß
Marc
aqui
aqui 22.06.2025 aktualisiert um 12:40:33 Uhr
muss man aufpassen was man wie konfiguriert.
Na ja, wenn man sich nicht sicher ist behält man einfach schlicht und einfach die Default Konfig bei, die ja eine wasserdichte Firewall am WAN Port eingerichtet hat. Die kann man dann behutsam nach seinen Anforderunge customizen. Das Risiko hält sich dann deutlich in Grenzen.
Man sollte auch nicht vergessen das die Firewall mit einem erheblichen Mehr an Funktionalität daherkommt was vom TO als erfahrenen pfSense User ja auch explizit gewünscht ist. Da dann zu glauben sowas kommt mit einfachem KlickiBunti aus wie bei einer funktionsärmeren Plastikfritte wäre auch etwas naiv.
Wenn der TO einen Fokus auf Security legt wäre es ggf. sinnvoller auf die OPNsense zu wechseln, die etwas agiler in der Umsetzung von Updates ist und statt des Vigors auf ein Zyxel VMG3006 zu wechseln was eine deutlich bessere physische Trennung des Management Ports zum Modem Port bietet. Zu mindestens ist Ersteres Geschmackssache...
Letztlich aber, wie oben schon gesagt, ein absolut klassisches Standard Setup...
Den überflüssigen Wireguard Client könnte man sich bei beiden FW Optionen mit einem sinnvolleren IKEv2 VPN noch ersparen und so die überall so oder so vorhandenen onboard VPN Clients zu verwenden. face-wink
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei der pfSense sogar zusätzlich noch die L2TP Option:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
transocean
transocean 22.06.2025 um 13:50:54 Uhr
Moin Alexander,

in Mölln würde man die Ports 500 und 4500 (UDP) von der Fritte an die pfSense forwarden und das dann, so wie von @aqui bereits geschrieben, mit IKEv2 erledigen.

Grüße...

Uwe
aqui
aqui 22.06.2025 um 14:27:28 Uhr
Zu mindestens das überflüssige Port Forwarding entfällt ja wenn der TO plant die Fritte zu entsorgen. face-wink
transocean
transocean 22.06.2025 um 15:30:35 Uhr
Stimmt, das hatte ich überlesen.
nachgefragt
nachgefragt 23.06.2025 aktualisiert um 10:49:03 Uhr
Dein Vorhaben ist gut, gehört in jeden "EDV Unterricht" in der Schule bzw. IT Berufsschule.

Kennst du schon? OpnSense für Dummies (speziell für Fritzbox-Umsteiger)
forum.opnsense.org/index.php?topic=39556.0

OPNsense ist privat und kommerziell meine 1. Wahl, Sophos flog in höchsten Bogen raus, deine SG135 für OPNsense zu nutzen ist das Beste, was man aktuell damit (noch) machen kann.
SPOK71
Lösung SPOK71 25.06.2025 aktualisiert um 09:05:31 Uhr
Servus Ratzeburg, dein Ansatz, die pfSense direkt hinter ein reines Modem zu hängen und die öffentliche IP zu nutzen, ist goldrichtig – cleaner geht’s kaum. Wie aqui und radiogugu schon sagten, das ist der Standard für ein sicheres Setup. Dein größtes Risiko sind dabei weniger OS-Lücken in der pfSense, da sind Updates meist schnell da. Viel eher sind es eigene Fehlkonfigurationen, wenn du zum Beispiel zu weite Firewall-Regeln setzt. Konzentrier dich darauf, die pfSense-GUI niemals am WAN erreichbar zu machen und wirklich nur den benötigten WireGuard-UDP-Port auf WAN zu erlauben. Alles andere konsequent blocken. Das minimiert die Angriffsfläche massiv und ist wesentlich übersichtlicher und sicherer als Port-Weiterleitungen über die FritzBox zu schleusen. So hast du die volle Kontrolle und weniger Stolperfallen.

Quellen:
support.privadovpn.com/kb/article/1150-fritz-box-wireguard%C2%AE ...
forum.netgate.com/topic/185191/pfsense-wireguard-to-fritzbox-753 ...
docs.netgate.com/pfsense/en/latest/recipes/wireguard-s2s.html
forums.lawrencesystems.com/t/wireguard-routing-issue-with-a-pfse ...
aqui
aqui 25.06.2025 um 09:17:22 Uhr
Kein Feedback vom TO ist natürlich auch ein Feedback! face-sad
Wie kann ich einen Beitrag als gelöst markieren?
the-buccaneer
the-buccaneer 26.06.2025 um 02:56:02 Uhr
Noch ein Klecks Senf:

Ich würde das Setup so lassen, wie es ist. Die Telefonie ist hier die Krux. Das ist so schön easy mit der Fritte. Sonst hängt die Fritte ja immer noch im Netz nur hinter Modem und PfSense. (Geht natürlich auch)
Im Zweifel die PfSense in der FB als "exposed Host" einriichten. Damit bleibt die Telefonie erhalten. Alles andere hinter der Sense. Tausendfach im Einsatz und absolut stabil. VPN ist Geschmackssache. Ich gehe da mit @aqui .

Wenn du Angst vor 0-Day Attacken auf FB oder PfSense trotz aktueller Versionen hast, bleibst du besser offline... face-wink Einfache Regel: Nix aufmachen, was nicht unbedingt nötig ist. Und das ist meist alles, was die Anbieter installieren wollen damit du ein glücklicheres Leben hast... face-wink

Gehe mal davon aus, dass @Ratzeburg noch mitliest?

e mare libertas
Buc
aqui
aqui 26.06.2025, aktualisiert am 27.06.2025 um 13:49:07 Uhr
Gehe mal davon aus, dass @Ratzeburg noch mitliest?
Wohl eher nicht wie das fehlende Feedback des TOs ja leider zeigt! face-sad
Ratzeburg
Ratzeburg 29.06.2025 um 21:48:01 Uhr
Hallo zusammen,

natürlich lese ich noch mit, denn sonst hätte ich ja nicht fragen sollen.

@SPOK71 Wie ich jetzt so lesen kann, die meisten würden die pfSense/OPNSense per PPPOE die Verbindung über ein BridgeModem laufen lassen und die Firewall die öffentliche IP bekommen lassen.
Ich denke das werde ich auch so machen....

Auf einer 2ten Sophos SG135 habe ich mir im Schnelldurchlauf mal OPNSense angeschaut und muss leider sagen, das sie sich zwar wie die pfSense konfigurieren lässt, aber dennoch moderner / besser ausschaut und jetzt komm ich auch direkt zu einem Punkt, der mich massiv beeinflusst hat und mich geradezu dazu drängt, zur OPNSense zu wechseln.
Es ist die Versorgung mit Updates... die scheint es mir auf OPNSense definitiv öfter zu geben, als bei pfSense, solange man nicht die plus Version von pfSense hat. Ich glaube ähnlich oder genau so hat es auch @aqui gemeint?

@the-buccaneer Die Fritz!Box wird ihr da sein (so lange noch benötigt) als einfacher IP Client fristen und nur noch in einem dedizierten VLAN für die Telefonie zuständig sein. Ich glaube kaum das ich an den 2 Ports für SIP (5060 / evtl. auch 5061?) und RTP (7078 - 7097) werde ich nicht scheitern face-smile

@aqui
Warum Zyxel VMG3006 und nicht VMG 4005?
Sorry nochmal, das ich mich nun erst zu Wort melde, aber ab und zu erwischt es auch mich gesundheitlich...

VG Alexander
aqui
aqui 30.06.2025 aktualisiert um 09:20:51 Uhr
Warum Zyxel VMG3006 und nicht VMG 4005?
Das ist egal. Mir war schlicht nicht bewusst das es mit dem 4005er bereits einen Nachfolger gibt. face-wink