Eure Meinungen sind gefragt
Hallo Community,
ich denke schon seit Tagen über eine Konfiguration nach, wie "sicher ist sicher"
Folgendes Konstrukt habe ich hier am Start:
Nun habe ich vor, von außen mit Wireguard auf mein Heimnetz zuzugreifen. Also ist eine Adresse ala 123456abcdef@myfritz.net eingerichtet. Beim Hoster einen CNAME Eintrag zur Subdomain erstellt.
Jetzt hatte ich vor, ein Modem an den VDSL Anschluss zu klemmen, das die pfSense am WAN die öffentliche IP erhält um Wireguard direkt auf der pfSense nutzen zu können.
Dinge die für mich dagegen sprechen:
- mögliche Fehlkonfiguration könnte ein sicherheitsrelevantes Merkmal sein
- eine Lücke im OS der pfSense könnte ebenfalls den Zugriff von extern zulassen
Evtl. noch interessant für Euch, die pfSense ist auf einer Hardware von Sophos (SG 135) installiert)
Daher stelle ich mir die Frage, wie wahrscheinlich ist es bei pfSense oder der FritzBox so etwas? Was tritt wahrscheinlicher auf, wie sind da Eure Meinungen?
VG Alexander
ich denke schon seit Tagen über eine Konfiguration nach, wie "sicher ist sicher"
Folgendes Konstrukt habe ich hier am Start:
- - FritzBox am VDSL Anschluß. für Telefonie mit FritzFon und Internetzugang
- - dahinter eine pfSense CE (natürlich aktuelle Version)
- - die pfSense stellt VLANS bereit und das NAT ist auf der pfSense deaktiviert
- - es gibt in einem VLAN einen Ubuntu-Server (im Einsatz für das papierlose Büro, FileShare und jellyfin) und eine Spielwiese (temporär)
Nun habe ich vor, von außen mit Wireguard auf mein Heimnetz zuzugreifen. Also ist eine Adresse ala 123456abcdef@myfritz.net eingerichtet. Beim Hoster einen CNAME Eintrag zur Subdomain erstellt.
Jetzt hatte ich vor, ein Modem an den VDSL Anschluss zu klemmen, das die pfSense am WAN die öffentliche IP erhält um Wireguard direkt auf der pfSense nutzen zu können.
Dinge die für mich dagegen sprechen:
- mögliche Fehlkonfiguration könnte ein sicherheitsrelevantes Merkmal sein
- eine Lücke im OS der pfSense könnte ebenfalls den Zugriff von extern zulassen
Evtl. noch interessant für Euch, die pfSense ist auf einer Hardware von Sophos (SG 135) installiert)
Daher stelle ich mir die Frage, wie wahrscheinlich ist es bei pfSense oder der FritzBox so etwas? Was tritt wahrscheinlicher auf, wie sind da Eure Meinungen?
VG Alexander
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673496
Url: https://administrator.de/forum/wireguard-pfsense-heimnetz-sicherheit-673496.html
Ausgedruckt am: 22.06.2025 um 13:06 Uhr
5 Kommentare
Neuester Kommentar
Guten Morgen,
Das von dir geplante Konstrukt (Vigor + pfsense) ist absolut nichts ausgewöhnliches. Ein Vigor als Modem und dahinter die PFsense ist genauso (un)-sicher, wie nur die FritzBox vorn dran. Letztlich kannst du in beiden Konfiguration Fehler machen, die sich am Ende in deinem internen Netz auswirken.
Auch im FritzOS kann es wie bei pfsense Lücken in der Firmware geben, nur werden die in der sense in der Regel eher gefixt.
Der einzige Unterschied: Bei der Sense hast du deutlich mehr Möglichkeiten, Fehler in der Konfig einzubauen und damit die Sicherheit negativ zu beeinflussen.
Das von dir geplante Konstrukt (Vigor + pfsense) ist absolut nichts ausgewöhnliches. Ein Vigor als Modem und dahinter die PFsense ist genauso (un)-sicher, wie nur die FritzBox vorn dran. Letztlich kannst du in beiden Konfiguration Fehler machen, die sich am Ende in deinem internen Netz auswirken.
Auch im FritzOS kann es wie bei pfsense Lücken in der Firmware geben, nur werden die in der sense in der Regel eher gefixt.
Der einzige Unterschied: Bei der Sense hast du deutlich mehr Möglichkeiten, Fehler in der Konfig einzubauen und damit die Sicherheit negativ zu beeinflussen.
1
Mahlzeit.
Bis dato hatte ich noch nicht getestet, ob eine MyFritz DynDNS Kopplung mit einer Sense klappt.
Ansonsten ist, wie Kollege @incisor2k schon schrieb, muss man aufpassen was man wie konfiguriert.
Es ist aber genauso möglich sich selbst ein sicherheitstechnisches Eigentor zu schießen, wenn man an einer Fritzbox Portweiterleitungen an alles Mögliche einrichtet.
Sollten Dienste aus dem Internet erreichbar gemacht werden, muss man immer Risiken abwägen und sich mit der "Abwehr" auseinandersetzen.
Denn auch die kommerziellen Firewalls haben durchaus große Probleme bescheinigt bekommen (z.B. Fortinet, SonicWall, Sophos), dass du nie ausschließen kannst, dass da eine Lücke existiert.
Es hilft in jedem Fall hier zu üben, wenn privates und/oder berufliches Interesse besteht.
Dein angestrebter Ansatz Internet > Nur Modem > Sense ist auf jeden Fall der sauberste Weg.
Gruß
Marc
Also ist eine Adresse ala 123456abcdef@myfritz.net eingerichtet. > Beim Hoster einen CNAME Eintrag zur Subdomain erstellt.
Bis dato hatte ich noch nicht getestet, ob eine MyFritz DynDNS Kopplung mit einer Sense klappt.
Ansonsten ist, wie Kollege @incisor2k schon schrieb, muss man aufpassen was man wie konfiguriert.
Es ist aber genauso möglich sich selbst ein sicherheitstechnisches Eigentor zu schießen, wenn man an einer Fritzbox Portweiterleitungen an alles Mögliche einrichtet.
Sollten Dienste aus dem Internet erreichbar gemacht werden, muss man immer Risiken abwägen und sich mit der "Abwehr" auseinandersetzen.
Denn auch die kommerziellen Firewalls haben durchaus große Probleme bescheinigt bekommen (z.B. Fortinet, SonicWall, Sophos), dass du nie ausschließen kannst, dass da eine Lücke existiert.
Es hilft in jedem Fall hier zu üben, wenn privates und/oder berufliches Interesse besteht.
Dein angestrebter Ansatz Internet > Nur Modem > Sense ist auf jeden Fall der sauberste Weg.
Gruß
Marc
muss man aufpassen was man wie konfiguriert.
Na ja, wenn man sich nicht sicher ist behält man einfach schlicht und einfach die Default Konfig bei, die ja eine wasserdichte Firewall am WAN Port eingerichtet hat. Die kann man dann behutsam nach seinen Anforderunge customizen. Das Risiko hält sich dann deutlich in Grenzen.Man sollte auch nicht vergessen das die Firewall mit einem erheblichen Mehr an Funktionalität daherkommt was vom TO als erfahrenen pfSense User ja auch explizit gewünscht ist. Da dann zu glauben sowas kommt mit einfachem KlickiBunti aus wie bei einer funktionsärmeren Plastikfritte wäre auch etwas naiv.
Wenn der TO einen Fokus auf Security legt wäre es ggf. sinnvoller auf die OPNsense zu wechseln, die etwas agiler in der Umsetzung von Updates ist und statt des Vigors auf ein Zyxel VMG3006 zu wechseln was eine deutlich bessere physische Trennung des Management Ports zum Modem Port bietet. Zu mindestens ist Ersteres Geschmackssache...
Letztlich aber, wie oben schon gesagt, ein absolut klassisches Standard Setup...
Den überflüssigen Wireguard Client könnte man sich bei beiden FW Optionen mit einem sinnvolleren IKEv2 VPN noch ersparen und so die überall so oder so vorhandenen onboard VPN Clients zu verwenden.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei der pfSense sogar zusätzlich noch die L2TP Option:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Moin Alexander,
in Mölln würde man die Ports 500 und 4500 (UDP) von der Fritte an die pfSense forwarden und das dann, so wie von @aqui bereits geschrieben, mit IKEv2 erledigen.
Grüße...
Uwe
in Mölln würde man die Ports 500 und 4500 (UDP) von der Fritte an die pfSense forwarden und das dann, so wie von @aqui bereits geschrieben, mit IKEv2 erledigen.
Grüße...
Uwe
1
Zu mindestens das überflüssige Port Forwarding entfällt ja wenn der TO plant die Fritte zu entsorgen.
