Brauche Beratung für Coreboot Router/Modem vor Heimnetzwerk

[suber]

Hallo und liebe Grüsse an alle. Und zwar brauche ich etwas Beratung bzw. Orientierungshilfe in Sachen Router/Modem, mir sind da verschiedene Dinge noch nicht klar, weil ich so was einfach noch nie verwendet habe. Und zwar geht es darum das ich meine aktuelle FritzBox gegen einen soliden Router ersetzen möchte weil ich meinen Bearbone Server dahinter klemmen will.
Also braucht es ja logischerweise auch einen Bearbone Router.

Das heisst für mich einen Router mit Coreboot als Basis.
Ich hatte mich umgeschaut und zB. die Protectli Geräte gefunden. Weil ich so alternative Modem noch nie benutzt habe bin ich mir aber gar nicht sicher ob man das auch direkt als VDSL Modem nutzen kann? Das wäre meine Frage.
Ich weiss es gibt viele Security Router mit OpenWRT und Co, aber scheinbar sind nur die wenigsten mit Coreboot ausgestattet.
Ausser dem habe ich gesehen das viele, diese Hardware Firewalls wie diese Protectli Geräte, immer hinter die Fritzbox klemmen. Und gar nicht als eigenen Router verwenden.
Daher denke ich das ich da vielleicht was falsch verstanden habe und diese Bearbones gar nicht direkt als VDSL Router verwendet werden können?
In dem Fall habe ich natürlich schon gesehen das es viele OpenWRT und Co Router gibt die angeboten werden und wo man auch den Zweck dazu schreibt das sie als Modem dienen. Wenn es geht würde ich aber natürlich lieber was Eigenes mit Coreboot aufsetzen.

Meine Frage ist jetzt vor allem. Kann ich so einen Protectli richtig als Modem verwenden wo das DSL Kabel aus der Wand rein kommt, oder geht das nicht?
Denn wenn ich die Wahl habe möchte ich natürlich direkt was mit Coreboot und den vielen tollen Quell offenen Betriebssystemen die es so gibt.
Ich bin Linux user, habe aber keine Ahnung von sicheren Routern. Und will die Fritzbox endlich los werden.

Für Tipps dankbar. Grüsse

EDIT:
Geräte habe ich mir jetzt mal zwei raus gesucht, mehr brauch ich da nicht als 2 LAN Ports.
Der Protectli FW2B - 2 Port hat zB. noch einen COM Port auf der einen Seite, COM = für mein DSL Kabel?
Der Protectli V1210 - 2 Port hat nur einen USB-C COM Port und davon hab ich noch nie gehört das es so was gibt.
Vermute man braucht dann einen Adapter von einem normalen Telefon DSL Stecker auf das USB.
So was hier hab ich da gefunden (hoffe ich darf den Link von Ebay hier posten): Adapter Link Ebay

Aber ich kenn mich echt null aus und weiss nicht was ich kaufen soll im Moment. HELP

 

[the other]

Moinsen,
ich glaube dein Brett vorm Kopf rührt daher, dass du hier Begriffe und Funktionen verwechselst bzw. fließend die Begriffe tauschst...
Also:
deine Fritzbox ist dein Router, das Tor zum Internet, davon abgetrennt in einem eigenen Netzwerk dein Heimnetz (LAN).
Um Daten zwischen verschiedenen Netzen auszutauschen, benötigt es einen Router, der für die Datenpakete eben (vereinfacht gesagt) die "Route" zwischen Quelle und Ziel (die sich in UNTERSCHIEDLICHEN Netzwerken befinden) findet und organisiert.
Etwas anderes ist ein Modem, dass einfach nur ein Gerät ist, dass Signale umwandelt (ebenfalls stark vereinfacht gesagt). Beides hat nix miteinander zu tun.

Nun ist es aber so: nur einen Router hinstellen bringt nix, wenn du dich mit dem Internet verbinden willst. Via Kabel / Glasfaser kommen Signale (wenn du denn dafür zahlst) bei dir an, diese werden von einem Router alleine nicht verarbeitet, es braucht eben zusätzlich ein Modem. Die meisten Fritzboxen haben dies integriert, können also beides abdecken, daher die häufige Verwechslung bzw die unsaubere Begrifflichkeit vermutlich bei vielen.
Also:
dir ergeben sich daher nun verschiedene Möglichkeiten...
1. Dir Fritzbox behalten (als Modem UND Router), dahinter als zweiten Router Protectli mit pfsense / opnsense als Router- und FIrewallsoftware.
2. Die Fritzbox weggeben. Dann an den Hausanschluss ein Modem (zb dies https://www.amazon.de/DrayTek-Vigor-167-Supervectoring-Standard/dp/B091T8HKBJ), dahinter dann die pfsense / opnsense, die die Einwahl regelt.

Ich selber habe hier einfach ebenfalls die Fritzbox so belassen, dahinter dann die hardware für die pfsense angehängt. Fertig.
Und um deine Frage am Ende zusammenfassend zu beantworten

Kann ich so einen Protectli richtig als Modem verwenden wo das DSL Kabel aus der Wand rein kommt, oder geht das nicht?

Das geht nicht, wie oben erklärt...

Zum Selber lesen:
Modem vs. Router

Und: nur weil du da einen Server in deinem LAN installierst, musst du nicht zwingend extra einen Router anschaffen. Wenn du aber etwas performanter VPN nutzen willst und später ggf. dein LAN in VLANs unterteilen willst, dann ist das etwas anderes...

 

[suber]

Moinsen,
ich glaube dein Brett vorm Kopf rührt daher,

Hey danke dir fürs Brett entfernen. Okay das ist genau was ich wissen wollte.
Ja all die Begrifflichkeiten und Ports usw.

Gibt es da denn keine Modems mit sicherer Firmenware wie Coreboot von Haus aus?
Wenn ich jetzt meine Fritzbox behalte, was natürlich günstiger wäre. Die ist schon alt.
Hab ich halt irgendwie Bedenken um die Sicherheit. Das ist alles.

Man kann jetzt natürlich sagen, Firewall regelt schon. Gerade so eine Extra Bearbone Hardwarefirewall.
Es fühlt sich halt besser an einen gute Router zu kaufen. DryTek hab ich auch schon im Auge.

 

[the other]

Moinsen,
als Hardware für solche Dinge würde ich immer zu mehr als nur 2 NICs greifen. Die Fritzboxen haben idR ja schon 4 x LAN und 1 x WAN an Board.
Soll da dann später ggf. mehr passieren, dann greif zu eher solchen Dingen:
https://forum.heimnetz.de/threads/topologie-auf-den-ersten-blick-euer-bauchgefuehl.5640/ hier im Beitrag #12

Du musst selber wissen...was du willst.
Drytek machen Geräte, die einiges mehr können als die Fritzboxen.
Pfsense und opnsense sind dann nochmal mit deutlich mehr Funktionen dabei, es bedarf aber auch etwas Erfahrung und Bereitschaft, sich einzulesen und Zeit zu investieren.
Muss es denn zwingend Coreboot sein? Und wenn ja, warum dann nicht die Protectlis? Das Modem braucht das nicht, das wandelt idR einfach das Signal um. Fertig.
Coreboot ist nett, aber sicher kein zwingendes Muss.

Wie gesagt: hier einfach Fritzbox, dahinter pfsense. Einfach und ohne weitere Kosten.
Das Geld dann eher in gute Hardware für die *sense ausgeben, wie eben im link beschrieben... Oder Mut zum Basteln und Glück bei Ebay...

 

[the other]

Moinsen,

Wenn ich jetzt meine Fritzbox behalte, was natürlich günstiger wäre. Die ist schon alt.
Hab ich halt irgendwie Bedenken um die Sicherheit. Das ist alles.

Solange die Fritzbox noch von AVM unterstützt wird mit updates, muss da niemand ängstlich sein.
Durch ihr NAT ist das eigentlich sicher.
Was willst du denn zukünftig machen? Warum glaubst du, dass die Fritzbox nicht reicht / nicht sicher genug sei?
Solange du nicht zig Portweiterleitungen einrichtest, dein Netzwerk verschlossen hältst (bis auf VPN)...passiert da auch mit ner Fritzbox nix. Meist sitzen die Fehler und Sicherheitslücken VOR dem Gerät, nicht im Gerät.

 

[suber]

Ja danke für die Tipps. Ich denke ein neuer Router alleine wegen den Mehr an Funktionen möchte ich auf jeden Fall.
Gut wenn du sagst coreboot braucht ein Modem nicht weil es nur Signale übersetzt okay, muss ich so hinnehmen weil ich mich nicht auskenne. Und ich finde auch keine Coreboot Modems um ehrlich zu sein.
Was ich gefunden habe zu dem Vigor 167 ist diese Sicherheitslücke. https://www.syss.de/pentest-blog/command-injection-via-cli-des-draytek-vigor167-syss-2023-023 eventuell ist die schon gefixt oder auch nicht. Wo bei es natürlich nur darum geht das jemand schon so weit gekommen ist das er die CLI aufrufen kann und dein Passwort und Nutzernamen abgefischt hat. Würde sagen Bedrohunglevel 10% weil sehr unwahrscheinlich. Aber interessant natürlich um Risiken zu minimieren.

Was willst du denn zukünftig machen? Warum glaubst du, dass die Fritzbox nicht reicht / nicht sicher genug sei?

Vor allem Firmen/Büro Server, Cloud Nextclound, Webseiten/Blog hosting, Massangerdienste Email für Firma, alles über einen Server den ich schon habe. Aber alles noch im kleinen Bereich. Halb Privat halb beruflich sag ich mal.

 

[the other]

Moinsen,
vom Aufbau siehst du hier den Unterschied nochmal...

hinter die Firewall kommt idR noch ein switch mit genügend Ports, um deine Bedürfnisse abzudecken (Räume? Wanddosen? Geräte?)
Wenn du es etwas schneller magst (und deine Geräte das alle können), dann kannst du im LAN auch mit 2,5GBit/s unterwegs sein, der switch sollte "managed" sein, damit er später bei Bedarf auch mit VLANs umgehen kann.
Nutz mal die Suchfunktion hier im Forum zu pfsense + hardware sowie opnsense+ hardware und firewall + hardware...da solltest du mehr Input bekommen...

 

[suber]

Nutz mal die Suchfunktion hier im Forum zu pfsense + hardware sowie opnsense+ hardware und firewall + hardware...da solltest du mehr Input bekommen...

Ja mach ich. Kenne den Unterschied zwischen managed und nicht managed swtich noch nicht. Aber lerne schnell, bin ja Linuxkram gewohnt.

Die Geräte von https://www.ipu-system.de/ hab ich auch schon gefunden. Die haben kein Coreboot komischer weise was ich gesehen habe. Daher fällt meine Wahl auch eher auf ein Protectli. Hoffe die senden auch aus DE weil ab 150€ ja immer noch Einfuhrsteuer anfällt.

Das mit dem Switch ist natürlich eine gute Idee. Und ja ich hab 2,5Gbit LAN zumindest an einem PC.

EDIT:
Ah interessant, also wurde scheinbar gefixt mit der Firmenware version 5.2.3. von DrayTek, dann ist der ja was.

 

[the other]

Moinsen,
wenn du da Ambitionen hast bzgl. beruflich, dann besser auf potente hardware setzen. Für spätere backups usw sollte dann im Netzwerk genug Bandbreite vorhanden sein. Auch fällt ggf. ein schnellerer WAN (Internet) Zugang an, so dass hier vielleicht in RAM und NICs investiert werden sollte...
Protectli Vault FW4C zum Beispiel...

Managed und unmanged im switch: kurz (und wieder sehr vereinfachend) gesagt...wenn du einen unmanaged switch hast, dann bietet der nicht mal ne GUI, es dient einfach wie eine Verteilerdose...ein Netzwerk auf mehreren Ports erreichbar.
Ein managed switch bietet die Möglichkeit der Konfiguration, per GUI oder auch CLI. Damit kann dann zB auch VLAN, Port Security usw umgesetzt werden, es wird auf Layer2 oder sogar auf Layer3 der OSI Schichten (WTF??) gearbeitet. Ein managed L3 switch kann dann auch als "Router" zwischen den VLANs eingesetzt werden und den Zugriff zwischen diesen regeln per ACLs.
Da du aber eine Firewall einsetzten willst, die das ebenfalls kann (und das besser), reicht dir ein managed Layer2 switch, zb mit 2,5 GBit Ports (mehr kann dein Protectli nicht).

 

[suber]

Da du aber eine Firewall einsetzten willst, die das ebenfalls kann (und das besser), reicht dir ein managed Layer2 switch, zb mit 2,5 GBit Ports (mehr kann dein Protectli nicht).

Hast du einen Tipp für einen managed Layer2 Switch mit 3-5 2,5GBit Ports?
Hab hier einige gefunden die 150€ kosten. Das ist schon was.

Auf der anderen Seite klar, kann ich mir auch später kaufen, wenn ich mehr Geräte anstöpseln will und bis dahin eventuell den 4Port Protectli der sieht eh sehr gut aus mit den 2,5 Ports direkt ein paar mehr Ports dran M.2 SSD Möglichkeit. 300€ geht finde ich.
+ das MODEM nicht Router. So bei ca 400€, passt.

 

[the other]

Moinsen,
nimm doch am Anfang erstmal was einfaches mit 1 Gbit, zB
TPlink SG108
Mehr geht auch später noch.
Und am Anfang kommt eh das Reinlesen, Lernen und Versuchen. Das ist schon deutlich anders als ne Fritzbox...

 

[suber]

nimm doch am Anfang erstmal was einfaches mit 1 Gbit, zB
...

Na ja mir reicht ja erst mal die 4 Ports vom dem Protectli, das passt so, die nächste Zeit noch.
Weil der Server steht ja bei mir zu Hause und die Leute können dann zugreifen.
Und ich hab hier nur 3 Geräte, Server, Laptop, PC die Ports brauchen. Backups und Co, muss ich mir auch noch eine redundante Lösung ausdenken. Aber Speicherplatz hab ich genug. Auf meinem Server läuft ja auch ProxMox.

 

[blurrrr]

Was ich gefunden habe zu dem Vigor 167 ist diese Sicherheitslücke. https://www.syss.de/pentest-blog/command-injection-via-cli-des-draytek-vigor167-syss-2023-023 eventuell ist die schon gefixt oder auch nicht.

Das ist eine Lücke, wo man eh schon authentifiziert sein muss... Das verhält sich in etwa so, wie wenn jemand draussen vom Blitz getroffen wird und Du - als Konsequenz darauf - das Haus nicht mehr verlässt. Credentials sollten eh nie abhanden kommen, sind die Weg, hast Du sowieso ganz andere Probleme... Wirklich "schlimm" sind eh die Geschichten, wo 2 Dinge zutreffen: "remote"+"unauthenticated"

Und ich hab hier nur 3 Geräte, Server, Laptop, PC die Ports brauchen. Backups und Co, muss ich mir auch noch eine redundante Lösung ausdenken. Aber Speicherplatz hab ich genug. Auf meinem Server läuft ja auch ProxMox.

Proxmox kannst Du auch redundant fahren (entweder 2 Nodes mit Storage-Sync, oder halt ab 3 Nodes einen vollwertigen Cluster, dann aber eher mit shared Storage).

 

[suber]

Proxmox kannst Du auch redundant fahren (entweder 2 Nodes mit Storage-Sync, oder halt ab 3 Nodes einen vollwertigen Cluster, dann aber eher mit shared Storage).

Ja ein komplettes Proxmox Backup ist eh eine gute Lösung. Geht ja weniger um Ausfallsicherheit bei mir, mehr darum einfach nur daten und VMs zu sichern.

 

[suber]

@the other
Macht es eigentlich Sinn über all einen DNS Server einzustellen.
Also im Modem, in der pfSens Firewall und im PC bzw Server, oder reicht es wenn ich zB. im Modem alles basic lasse?
Ist ja dann irgendwie wie ein DNS Proxy.

Ich nutze ja nen verschlüsselten DNS oder mehrere über Linux. Aber macht es Sinn zB. jetzt überall nen Sec Crypt DNS einzustellen?

 

[blurrrr]

Macht es eigentlich Sinn über all einen DNS Server einzustellen.

Ohne wird's wohl nix mit der DNS-Auflösung.

Also im Modem, in der pfSens Firewall und im PC bzw Server, oder reicht es wenn ich zB. im Modem alles basic lasse?

Kommt wohl ganz darauf an, wie Du Dir das so vorstellst. Bei mir nutzen die Clients die Firewall, die nutzt die Fritzbox, Fritzbox nutzt Server vom ISP.

Ist ja dann irgendwie wie ein DNS Proxy.

Korrekt wäre jener welcher hier: https://de.wikipedia.org/wiki/Domain_Name_System#Resolver. Kannst natürlich auch noch einen eigenen Nameserver laufen lassen (zwecks eigenen Zonen), aber im privaten Segment greifen die meisten dann doch eher zu Cache-manipulierenden Resolvern, welche dann auch direkt noch Dinge rausfiltern (z.B. pi-Hole/Adguard/usw.).

Ich nutze ja nen verschlüsselten DNS oder mehrere über Linux. Aber macht es Sinn zB. jetzt überall nen Sec Crypt DNS einzustellen?

Wie zuvor auch schon: "Kommt wohl darauf an...". Ich würde es vermutlich einfach über die Firewall regeln in Form von: Clients -> Firewall -> DNS-Server, so können die Clients einfach die Firewall fragen und diese wiederum fragt via DoH/DoT im Internet.

 

[suber]

@blurrrr Okay ja danke dir. Ich Fuchs mich schon rein.

Hätte noch eine Frage zu einem der Protectli Geräte.
Es geht um den V1410-4Port. Der hat ja 4 Ports aber es ist kein WAN gekennzeichnet.
Kann ich da irgendeinen von den 4 einfach als WAN zu meinem Router nutzen?

Router habe ich jetzt übrigens den DrayTek Vigor 166 bestellt.

Weil der V1410 hat ein paar mehr Features die ich denke ich haben will, M.2 Steckplätze und 2,5GB Ports.

Noch eine Frage wäre ob ich da zwingend eine Festplattenspeicher rein machen muss, oder ob der Internespeicher schon genug ist für ein pfSense?
Die COM Schnittstelle werde ich ja wohl eh nicht brauchen vermute ich.

Danke Gruss

 

[blurrrr]

Kann ich da irgendeinen von den 4 einfach als WAN zu meinem Router nutzen?

Ja, kannst Du.

Router habe ich jetzt übrigens den DrayTek Vigor 166 bestellt.

Das ist ein "Modem"

G.Fast / Supervectoring / VDSL / ADSL2+ Modem

Noch eine Frage wäre ob ich da zwingend eine Festplattenspeicher rein machen muss, oder ob der Internespeicher schon genug ist für ein pfSense?

Kannst auch erstmal mit den 32GB eMMC loslegen. Je nach Logging-Einstellungen wäre es aber schon empfehlenswert, wenn man da eine SSD mit grösserer Kapazität nutzt. Falls es mal eng werden sollte, kannst Du aber auch ein Backup erstellen und dann auf eine SSD umziehen (eMMC raus, SSD rein, Installation und Backup wieder einspielen).

 

[suber]

Das ist ein "Modem"

Das liegt an zu vielen Jahren Firtzbox.

Kannst auch erstmal mit den 32GB eMMC loslegen. Je nach Logging-Einstellungen wäre es aber schon empfehlenswert, wenn man da eine SSD mit grösserer Kapazität nutzt. Falls es mal eng werden sollte, kannst Du aber auch ein Backup erstellen und dann auf eine SSD umziehen (eMMC raus, SSD rein, Installation und Backup wieder einspielen).

Super, weiss ich Bescheid. Bestellung ist raus.

 

[Digedag64]

Das liegt an zu vielen Jahren Firtzbox.

Sicher witzig gemeint, aber: Nein.
Es liegt an zuwenig Beschäftigung mit dem Thema. Denn auch bei AVM gibt es Router ohne Modem - wer abseits einer 08/15-All-in-one-Lösung aktiv werden will, muss sich halt wirklich mal mit den Grundbegriffen und den ins Auge gefassten Geräten beschäftigen.