Hardware für Eigenbau Firewall (Sophos?)

Netzaufbau

New member
Hallo zusammen,

ich überlege mir eine Firewall daheim im Netzwerkschrank mit einzubauen.
Dabei fand ich im Internet viele ältere Beiträge welche eine APU empfehlen von PC Engines.
Diese bieten auch IPU an.

Aktuell habe ich einen Kabelanschluss mit 1000mBit Down und 50mBit up.
Als Switch werkelt ein 24Port Gig Lan rum.

Sind die APU oder IPU ausreichend für diesen Internet Anschluss?
 
Najo, das kommt wohl ganz auf das Modell an und ebenso auf die Frage, was Du alles darauf laufen lässt. VPN-Durchsatz ist dann mitunter auch nochmal so ein Punkt... ☺️
 
IPU641
IPI613
oder als APU das APU.4D4

Ich möchte 2-4 verschiedene Lan (VLan) daheim haben.

VPN weiß ich noch nicht. Habe ich aktuell über die Fritzbox und Handy aber das ist nicht wirklich komfortable da ich mir überlege ein NAS extra per Portweiterleitung ins Internet zu setzen.
Soweit ich das verstanden habe kann man ein Synology NAS trotz mehrerer Lan Anschlüsse nicht intern aufteilen.
 
Jo, kannste schon machen...
kann man ein Synology NAS trotz mehrerer Lan Anschlüsse nicht intern aufteilen
Was genau meinst Du damit? Die Syno-Ports kannst Du entsprechend in jeweils in ein eigenes VLAN hängen + eigene Firewall-Regeln auf der Sophos für die entsprechenden Interfaces. Alternativ kommt die Syno in ein komplett eigenes VLAN und dann regelst Du es direkt über die Sophos (Firewall-Regeln).
 
Die Synology NAS hat 4x Lan Anschlüsse.
Kann ich 1x Lan in ein VLan und den 2x Lan in ein separates VLan?
Das würde nur was bringen wenn ich auch in der Synology NAS intern diese Trennung vollziehen kann oder?
Beispiel ich würde in der Synology NAS 1 Festplatte in ein separates VLan setzen wo nur diese von Außen erreichbar ist.
Kann ich damit Daten innerhalb des NAS gegenseitig abschotten?
 
Kann ich 1x Lan in ein VLan und den 2x Lan in ein separates VLan?
Ja.
Das würde nur was bringen wenn ich auch in der Synology NAS intern diese Trennung vollziehen kann oder?
Intern? Keine Ahnung was Du meinst, aber grundsätzlich hängt die Syno dann mit je einem Bein in einem anderen Netz. Die Firewall-Regeln erledigen dann den Rest.
Kann ich damit Daten innerhalb des NAS gegenseitig abschotten?
Nein, Du kannst lediglich die "Dienste" (welche den Plattenplatz anbieten) entsprechend einschränken, z.B.: Dateifreigabe nur aus Netz 1, aber nicht aus Netz 2 erreichbar.

EDIT: Während es bei regulären Samba-Freigaben nicht möglich ist, können aber sehr wohl IP-Beschränkungen bei NFS-Freigaben erstellt werden (das wird Dir nur mit normalen Windows-Clients nicht viel nutzen, die haben es nicht so mit NFS). Damit wäre es also eine Einschränkung beim "Dienst" selbst. Davor kannst Du eigentlich nur sagen: Dienst erlaubt ja/nein.
 
Zuletzt bearbeitet:
Hi!

…da ich mir überlege ein NAS extra per Portweiterleitung ins Internet zu setzen.
Soweit ich das verstanden habe kann man ein Synology NAS trotz mehrerer Lan Anschlüsse nicht intern aufteilen.

Ich halte es nicht für sonderlich clever, ein und dasselbe NAS über den einen (V)LAN Anschluss externe Dienste zu verweigern, die du am anderen (V)LAN Anschluss erlaubst, vor allem dann nicht, wenn sich auf dem NAS schützenswerte Daten befinden. So verstehe ich dein Vorhaben jedenfalls. Sollte solch ein Dienst mal kompromittiert sein und man dadurch in irgendeiner Form erweiterten Zugriff auf das NAS erhält, ist eine Firewall davor inkl. VLANs auch Wurst.

Daher würde ich Geräte, die über das Internet per Portweiterleitung erreicht werden sollen, hardwareseitig trennen, also ein NAS für externen Zugriff im VLAN X und ein NAS für den internen Zugriff im VLAN Y, oder halt VPN!

Was die APU bzw. IPU Boards angeht, so kann ich nur sagen, das ich mit meinem APU Board absolut zufrieden bin, wobei ich auch schon seit längerer Zeit mit einer IPU liebäugle. Meine Empfehlung würde daher eher in Richtung IPU gehen.

Tommes
 
Zuletzt bearbeitet:
Hallo blurrrr und Tommes,

danke für die Ratschläge.
Ich werde ein separates NAS nehmen für den Externen Dienst.

Wo ich noch nicht Infos im Internet finden konnte ist wie die Firewall und der Switch miteinander verbunden werden.
Ich habe aktuell einen Switch von: Level One GSW-2494 24-port Gigabit w/2SFP L2 SNMP oder hier das Handbuch.

Schließe ich jetzt Router ---> Firewall Lan1
Firewall Lan2 ---> Switch
Firewall Lan3 ---> ??? (soll z.B. für den externen Dienst sein)
Firewall Lan3 ---> ???

Ist dies entscheidend vom Switch ob ich alle Lan dort anschließe wenn er Vlan unterstützt oder muss ich die einzelnen Lan zu den jeweiligen Geräten anschließen?
 
Klassisch richtig wäre wohl…

Modem > Router > Firewall > Switch

… wobei Modem und Router (z.B. Fritzbox) oder Router und Firewall (z.B. pfSense, OPNsense etc.) oft in Kombination auf einem Stück Hardware verwendet werden.

Bei mir schaut das Setup daher ein wenig anders aus, da bei mir ganz am Anfang eine Fritzbox 7590 als Modem/Router fungiert und erst daran eine pfSense als Router/Firewall angedockt ist, also so…

Fritzbox > Firewall > Switch.

Was die Sache mit den VLANs angeht, so kannst du über ein Interface bzw. LAN Anschluss deiner Firewall Hardware mehrere VLANs leiten, die dann über den Switch an die jeweiligen Clients verteilt werden. Von daher benötigst du primär eigentlich nur einen LAN Eingang vom Modem zur Firewall und einen LAN Ausgang von der Firewall zum Switch. Möchtest du dagegen ohne VLANs arbeiten, benötigst für jedes Subnetz jeweils einen separaten LAN Anschluss an deiner Firewall Hardware. Natürlich kannst du auch über mehrere LAN Ausgänge diverse VLANs koppeln, ganz wie du magst. Oder du verwendest ein LAN Ausgang speziell für VPN Verbindungen, oder ein separates Subnet.
 
Ich dachte das wenn ich in der Firewall mehrere VLans eingestellt habe und dann danach nur einen Switch angeschlossen habe dies nur funktioniert wenn der Switch selbst Level3 kann. Oder irre ich mich da?
 
Du meinst bestimmt Layer 3 und nicht Level 3.

Ein Layer 3 kann u.a. auch das Routing übernehmen, was ein Layer 2 Switch, so wie du ihn verwendest, nicht kann. Brauchst du ja auch nicht, da das Routen bereits deine Firewall übernimmt. Aber falls es dich beruhigt, ich habe mir damals fälschlicherweise einen Layer 3 gekauft. Erst irgendwann später fiel mir dann auf, das ich mit ein Layer 2 Switch besser bedient gewesen wäre.

Aus deinem verlinkten Datenblatt kannst du das auch klar erkennen *klick*
 

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.006
Beiträge
50.196
Mitglieder
4.698
Neuestes Mitglied
giovannirat
Zurück
Oben