Eigene Firewall im Haus

[xCtrl]

Howdy,

Ich überlege mir eine Sophos UTM zu Hause im Eigenbau aufzusetzen (Habe auf der Arbeit ebenfalls mit Sophos UTMs zu tun). Ich habe bereits ein Board auf Basis des Celeron J1900 Board mit 4GB Ram, 64er SSD und Pico PSU sowie den externen Stromversorger ins Auge gefasst. Preislich gesehen komme ich bei guten Angeboten schon an eine gebrauchte UTM 120, welche aber nur einen Atom 450 besitzt. Immerhin ließe sich der RAM aufrüsten. Mit der Eigenbauvariante wäre ich evtl. flexibler unterwegs.

Auf jeden Fall brauche ich mind. eine 3. NIC. Bei Eigenbau bräuchte ich einen Tipp für ein schlankes ITX Gehäuse mit der Möglichkeit für Low Profile Karten, respektive auch mit Riser. Ooooder ich setze auf ein micro ATX, welches die Größe des Geräts anwachsen lässt.

Frage: Warum brauch ich eine 3. NIC?

Antwort:
Am besten sollte man sich hinsetzen und etwas Popcorn besorgen, das dauert jetzt etwas :-)

Hintergrund:
aktuell krebsen wir mit 1und1 DSL 16.000 rum, was gerade mich als "Nesthäckchen" im elterlichen Haus etwas nervt. Ich mag eine zweite DSL Verbindung in Form von Kabel Deutschland (bzw. Vodafone) 100Mbit über mich mit ins Haus holen - Eltern Vertragstechnisch außen vor. Aus Feature-Gründen ist es nicht einfach den 16k DSL Anschluss zu kicken (DSL mit Telefonie und Faxempfang über Fritzbox, E-Mail, SIM Karten für Mobil). Damit hätten wir dann 2 DSL Anschlüsse im Haus. Um die beiden zu wuppen, müsste eben eine UTM her

Technik:

Ich überlege, wie ich das Ganze realisieren kann. Klar, die UTM würde zwischen dem Heimnetz und dem jeweiligen DSL Router bzw. Modem sitzen). Die Heirat der UTM mit der KD Leitung sehe ich nicht so kritisch wie die Verbindung mit der Fritzbox und dem 16k Anschluss. Wie oben erwähnt läuft über den Anschluss noch Telefonie und aktuell noch das heimische WLAN.

Was ich erreichen will ist folgendes: der Großteil Traffics soll dann über die dicke Leitung laufen, während die 16k mehr als Loadbalancing... oder noch besser, als Backup bereit steht.

Ich konnte aus einer Quelle bereits zwei (2 1/2) Lösungswege erfahren:

a) die Fritzbox per Port Forwarding vor der UTM transparent schalten (Portfreigabe: Exposed Host?) und den Traffic zur UTM weiter reichen (Telefonie: Ja, WLAN wäre dann vor der UTM - schwachsinn)

a.a) gleiches wie a), nur WLAN über eigenen AP realisieren (Komfortfuktion zur Steuerung des WLANs der FB über das Fritzfon sowie abschaltung des WLANS über Nacht wären nicht mehr möglich)

b) vor die UTM ein DSL Modem für die 16k Leitung, Fritzbox hinter die UTM als WLAN AP und Telefonanlage, die Ports für die DSL Telefonie in der UTM entsprechend freischalten und den VOIP Verkehr durch die UTM zur FB lenken. (Telefonie(?) und WLAN: Ja)

Ob die Fritzbox auch mit DSL Telefonie funktioniert, wenn sie nicht direkt am DSL hängt, muss ich noch in Erfahrung bringen.

Welcher Ansatz würde hier mehr Sinn machen und ließe sich einer dieser relativ unfallfrei umsetzen?

Ich freue mich auf ein paar Gedanken von euch

So Long

[Playitlouder]

(20.05.2015 18:41)xCtrl schrieb:  Ob die Fritzbox auch mit DSL Telefonie funktioniert, wenn sie nicht direkt am DSL hängt, muss ich noch in Erfahrung bringen.

Das geht bei der Telekom. Denke bei 1und1 ist das auch kein Problem.
Hab hier Tcom Hybrid Router -->Fritzbox als WLAN AP und für Telefonie.
Musst an der Fritzbox bei Internetzugang auf Internetzugriff per Lan1/WAN stellen und fertig.

[xCtrl]

(20.05.2015 19:26)Playitlouder schrieb:  

(20.05.2015 18:41)xCtrl schrieb:  Ob die Fritzbox auch mit DSL Telefonie funktioniert, wenn sie nicht direkt am DSL hängt, muss ich noch in Erfahrung bringen.

Das geht bei der Telekom. Denke bei 1und1 ist das auch kein Problem.
Hab hier Tcom Hybrid Router -->Fritzbox als WLAN AP und für Telefonie.
Musst an der Fritzbox bei Internetzugang auf Internetzugriff per Lan1/WAN stellen und fertig.

danke schon mal für die Info jetzt stellt sich die Frage, ob ich mit entsprechenden Definitionen und Regeln den VOIP Verkehr durch die Sophos zur FB leiten kann... also ja klar, gehen tut das bestimmt, die Frage ist nur wie aufwendig das ist

[tk1908]

(20.05.2015 18:41)xCtrl schrieb:  Howdy,

Ich überlege mir eine Sophos UTM zu Hause im Eigenbau aufzusetzen (Habe auf der Arbeit ebenfalls mit Sophos UTMs zu tun). Ich habe bereits ein Board auf Basis des Celeron J1900 Board mit 4GB Ram, 64er SSD und Pico PSU sowie den externen Stromversorger ins Auge gefasst. Preislich gesehen komme ich bei guten Angeboten schon an eine gebrauchte UTM 120, welche aber nur einen Atom 450 besitzt. Immerhin ließe sich der RAM aufrüsten. Mit der Eigenbauvariante wäre ich evtl. flexibler unterwegs.

Auf jeden Fall brauche ich mind. eine 3. NIC. Bei Eigenbau bräuchte ich einen Tipp für ein schlankes ITX Gehäuse mit der Möglichkeit für Low Profile Karten, respektive auch mit Riser. Ooooder ich setze auf ein micro ATX, welches die Größe des Geräts anwachsen lässt.

Frage: Warum brauch ich eine 3. NIC?

Antwort:
Am besten sollte man sich hinsetzen und etwas Popcorn besorgen, das dauert jetzt etwas :-)

Hintergrund:
aktuell krebsen wir mit 1und1 DSL 16.000 rum, was gerade mich als "Nesthäckchen" im elterlichen Haus etwas nervt. Ich mag eine zweite DSL Verbindung in Form von Kabel Deutschland (bzw. Vodafone) 100Mbit über mich mit ins Haus holen - Eltern Vertragstechnisch außen vor. Aus Feature-Gründen ist es nicht einfach den 16k DSL Anschluss zu kicken (DSL mit Telefonie und Faxempfang über Fritzbox, E-Mail, SIM Karten für Mobil). Damit hätten wir dann 2 DSL Anschlüsse im Haus. Um die beiden zu wuppen, müsste eben eine UTM her

Technik:

Ich überlege, wie ich das Ganze realisieren kann. Klar, die UTM würde zwischen dem Heimnetz und dem jeweiligen DSL Router bzw. Modem sitzen). Die Heirat der UTM mit der KD Leitung sehe ich nicht so kritisch wie die Verbindung mit der Fritzbox und dem 16k Anschluss. Wie oben erwähnt läuft über den Anschluss noch Telefonie und aktuell noch das heimische WLAN.

Was ich erreichen will ist folgendes: der Großteil Traffics soll dann über die dicke Leitung laufen, während die 16k mehr als Loadbalancing... oder noch besser, als Backup bereit steht.

Ich konnte aus einer Quelle bereits zwei (2 1/2) Lösungswege erfahren:

a) die Fritzbox per Port Forwarding vor der UTM transparent schalten (Portfreigabe: Exposed Host?) und den Traffic zur UTM weiter reichen (Telefonie: Ja, WLAN wäre dann vor der UTM - schwachsinn)

a.a) gleiches wie a), nur WLAN über eigenen AP realisieren (Komfortfuktion zur Steuerung des WLANs der FB über das Fritzfon sowie abschaltung des WLANS über Nacht wären nicht mehr möglich)

b) vor die UTM ein DSL Modem für die 16k Leitung, Fritzbox hinter die UTM als WLAN AP und Telefonanlage, die Ports für die DSL Telefonie in der UTM entsprechend freischalten und den VOIP Verkehr durch die UTM zur FB lenken. (Telefonie(?) und WLAN: Ja)

Ob die Fritzbox auch mit DSL Telefonie funktioniert, wenn sie nicht direkt am DSL hängt, muss ich noch in Erfahrung bringen.

Welcher Ansatz würde hier mehr Sinn machen und ließe sich einer dieser relativ unfallfrei umsetzen?

Ich freue mich auf ein paar Gedanken von euch

So Long

Ironie. Für meine spätere Bude hab ich aktuell was ähnliches in Planung, allerdings mit Pfsense.

Wie wärs mit Anschluss 1 ->FritzBox -> WAN-Port 1 an UTM/ Anschluss 1 -> DSL-Modem -> WAN-Port 2 an UTM. Die UTM könnte dann Loadbalancing machen und gleichzeitig auch das WLAN stellen. Die FritzBox von A1 würde dann als Telefonanlage dienen.

Ich werds bei mir ähnlich machen, nur mit dem Unterschied, dass bei mir der 2te Anschluss über nen UMTS-Modem realisiert wird.

[xCtrl]

ich verstehe den Weg von dir nicht so ganz... magst Du das etwas verständlicher aufbröseln?

[tk1908]

(20.05.2015 21:05)xCtrl schrieb:  ich verstehe den Weg von dir nicht so ganz... magst Du das etwas verständlicher aufbröseln?

Sekunde.

---

(20.05.2015 21:09)tk1908 schrieb:  

(20.05.2015 21:05)xCtrl schrieb:  ich verstehe den Weg von dir nicht so ganz... magst Du das etwas verständlicher aufbröseln?

Sekunde.

So hab ich mir das gedacht:

[xCtrl]

das wäre bei mir die Variante b), wobei ich dann das WLAN vor der UTM hätte, statt dahinter. Wäre auch verschmerzbar, da die WLAN Geräte nicht zwingend die 100k Leitung nutzen brauchen, dennoch wäre das WLAN eben nicht hinter der Firewall - ein Extra Gerät für das WLAN will ich nur ungern aufstellen. Daher kämpfe ich eben zwischen Variante a) und b), wobei b) eben recht einfach realisierbar ist

[tk1908]

(20.05.2015 21:18)xCtrl schrieb:  das wäre bei mir die Variante b), wobei ich dann das WLAN vor der UTM hätte, statt dahinter. Wäre auch verschmerzbar, da die WLAN Geräte nicht zwingend die 100k Leitung nutzen brauchen, dennoch wäre das WLAN eben nicht hinter der Firewall - ein Extra Gerät für das WLAN will ich nur ungern aufstellen. Daher kämpfe ich eben zwischen Variante a) und b), wobei b) eben recht einfach realisierbar ist

Kombinier doch einfach die UTM mit dem WLAN-Accesspoint

[xCtrl]

(20.05.2015 21:28)tk1908 schrieb:  

(20.05.2015 21:18)xCtrl schrieb:  das wäre bei mir die Variante b), wobei ich dann das WLAN vor der UTM hätte, statt dahinter. Wäre auch verschmerzbar, da die WLAN Geräte nicht zwingend die 100k Leitung nutzen brauchen, dennoch wäre das WLAN eben nicht hinter der Firewall - ein Extra Gerät für das WLAN will ich nur ungern aufstellen. Daher kämpfe ich eben zwischen Variante a) und b), wobei b) eben recht einfach realisierbar ist

Kombinier doch einfach die UTM mit dem WLAN-Accesspoint

wie meinst Du das? Das Netz zwischen Fritzbox und UTM ins Netz hinter der UTM routen?

[tk1908]

(20.05.2015 21:34)xCtrl schrieb:  

(20.05.2015 21:28)tk1908 schrieb:  

(20.05.2015 21:18)xCtrl schrieb:  das wäre bei mir die Variante b), wobei ich dann das WLAN vor der UTM hätte, statt dahinter. Wäre auch verschmerzbar, da die WLAN Geräte nicht zwingend die 100k Leitung nutzen brauchen, dennoch wäre das WLAN eben nicht hinter der Firewall - ein Extra Gerät für das WLAN will ich nur ungern aufstellen. Daher kämpfe ich eben zwischen Variante a) und b), wobei b) eben recht einfach realisierbar ist

Kombinier doch einfach die UTM mit dem WLAN-Accesspoint

wie meinst Du das? Das Netz zwischen Fritzbox und UTM ins Netz hinter der UTM routen?

Du hast ja n Netz hinter der UTM. (Dein Heimnetz) Du machst jetzt noch n Netz auf (das WLAN) und baust ne Route vom WLAN ins Heimnetz. Lass einfach die UTM auch den WLAN AP spielen.