• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Was für Optionen für pfSense als Ergänzung zu Fritzbox

SolarCatcher

Well-Known Member
Themenstarter #1
Bisher macht - wie bei so vielen - die Fritzbox alles: Sie ist DSL-Modem, Firewall, Wlan-AP, Ethernet-Router, DECT-Basistation...

Obwohl die Fritzboxen in den letzten Jahren offenbar recht gut gepatcht zu sein schienen (bisher auch noch nicht von VPNFilter betroffen), würde ich gerne einen Teil der Aufgaben an eine pfSense-Box abgeben - einersteits, weil ich dem OS (HardenedBSD) mehr vertraue und auch, um nicht alle o.g. Dienste auf dem selben Gerät zu vereinigen. Wie macht Ihr das? Habt Ihr eine *BSD-Box als Firewall/Ethernet-Router/Wlan-AP? Oder habt Ihr das (teilweise) separat? Welche Hardware nutzt Ihr?

Hinweis: Ich werde auf absehbare Zeit keine 100Mbit-Internetverbindung haben oder benötigen. Ist eher kleiner SoHo-Bedarf.
 

gadean

Well-Known Member
#2
Ich hab eine Box mit pfsense hinter der fritzbox als Firewall und VPN-Client. Anfangs hatte ich auch DHCP & DNS laufen, aber das doppel NAT ging mir zu sehr auf den Zeiger (gerade bei VoIP).

Bei der Hardware habe ich es vielleicht etwas übertrieben, aber lieber etwas mehr Rechenleistung als zu wenig.
Shuttle XPC slim XH110V
Intel Pentium Gold G4600
Crucial SO-DIMM Kit 8GB

Die Box läuft im "adaptive" Mode (powerd) bei 800 MHz (nur bei Updates taktet der mal hoch).
 

turrican

Well-Known Member
#3
Ich hab ne Fritz ganz klassisch fürs DSL und das hausinterne WiFi - daran klemmt ne pfsense auf alter Alix-Board-Basis welche das (kabelbasierte) restliche Netzwerk abschottet, z.B. den Filer, ne Proxmox Maschine usw. Läuft seit vielen Jahren ohne Probleme durch, nur jede Fritzbox ist bisher immer nach ca 3 Jahren verreckt (die Box selber, nicht das Netzteil, konnte man fast den Kalender danach stellen, so regelmässig war das, die aktuelle beginnt auch schon rumzuzicken...).
Bin deshalb schon länger auf der Suche nach nem guten dediziertem Modem für Dauerbetrieb, um von der Fritz wegzukommen (Wifi dann über vorh. OpenWRT APs), aber sowas scheints nicht (mehr) für den SOHO Markt zu geben;
Werd jetzt mal als Upgrade für die Alix/pfsense OpnSense mit ner neueren HW testen, erstens wg AES-NI und weil mir bei pfsense die Änderung auf Serial-Nr und Netgate-ID nie so richtig gefallen hat.

Im Prinzip könnte man das auch schön mittels ner Box und FreeBSD samt fwbuilder nachstellen - bzw fw-Konfig direkt per Kommandozeile, aber ich muss zugeben, das GUI bei pfsense und auch bei opnsense is schon gut gemacht, am OS sind updates unproblematisch übers GUI einzuspielen usw; an diesen Integrationsgrad kann man sich schon gewöhnen.

EDIT: P.S. Uptime der Alix/pfsense aktuell:
Uptime 171 Days 01 Hour 14 Minutes 47 Seconds
Wie gesagt, immer ohne Probleme, die meisten Reboots waren entweder wg Stromausfall oder OS Updates; die geringe CPU Leistung (800 MHz Geode) reicht locker für ein 16000er DSL, HD Filme vom Server über die FW ins WiFi davor klemmten aber; u.a. deswegen bald das HW Update auf Board mit GBit NICs und geringfügig etwas mehr CPU Power.
 

turrican

Well-Known Member
#5
ich würde es genau anders herum machen, pfsense als Router...
Ja, nur was würdeste als (dediziertes) Modem nehmen?

Aktuell würd ich es ganz ohne Fritz machen, wenn ich könnte; die Fritz is ja an sich ned übel, als schnelle und Einfache Möglichkeit, online zu kommen und WiFi zu haben - nur is m.Mng. nach leider immer noch grade die fw-Einstellmöglichkeit im GUI arg beschränkt und bei mir scheinen die nur immer 3 J Dauerbetrieb zu halten :(
 

stadtkind

Well-Known Member
#8
Ja, nur was würdeste als (dediziertes) Modem nehmen?
Ein Draytek Vigor 130?!

https://www.draytek.de/vigor130.html

Ich hatte mal meine FritzBox durch eine APU2 mit OpenBSD (auch als WLAN AP) ersetzt. Der Durchsatz im WLAN war dann eher Mau (von AC runter auf jetzt N [damals noch G bzw. A]...) und aus einem Netzteil wurden drei (APU2, Switch, Vigor 130). Außerdem ging mein FritzFon nicht mehr (hatte dann in meinem Android VoIP aktiviert und schon mal ein WLAN faehiges VoIP Telefon ergoogelt).

Vorteile FritzBox:

* nur ein Geraet, dementsprechend geringerer Stromverbrauch
* VPN geht mit Android *und* iOS (ging bei OpenBSD's isakmp/l2tp/ipsecctl nicht, da war entweder/oder angesagt)
* FritzFon geht, andere DECT Telefone gehen
* WLAN AC

Nachteile FritzBox:

* closed Source, unsignierte Firmware vom Hersteller (neben Autoupdate nur ueber FTP ohne Checksumme angeboten)
* wer eine etwas aeltere FritzBox hat bei sowas schnell mal ein Problem -> http://www.heise.de/netze/meldung/R...ox-Besitzer-jetzt-machen-muessen-2110186.html
* Firewall/Port Forwarding Einstellungen reichen nicht fuer alle Anwendungsfaelle
* keine Jumbo Frames
* Black Box halt
* man kann ausgehende DNS/NTP/HTTP/FTP Anfragen nicht auf den lokalen unbound/ntpd/squid umbiegen
* kein AdBlocking auf DNS bzw. Squid Ebene
 

mr44er

Well-Known Member
#9
reicht locker für ein 16000er DSL
Ich glaube, ich hab noch ein reines Modem für bis 16000 rumliegen. War aus der Zeit vor VDSL und hing am ipcop. Wenn Interesse, such ichs raus.

@thread
Hab auch die Fritze erst hintendran, die macht aber auch nur wlan-ap zum Nachbarn rüber. Der wiederum hat nochmal die gleiche Fritze als repeater und daran auch sein Telefongedöhns + die Geräte.
 

mark05

Well-Known Member
#10
hi

seit wann hat den die fritzbox ne firewall ? ich habe da noch nix gefunden ... wo man reglen etc hinterlegen kannt.
das ding ist maximal eine reine nat box.

ich selber nutze sie nur fuer telefon und Wlan und ist hinter einer rdom zone vergraben.

davor laeuft openbsd und das dsl wird via draytek vigor 130 reallisiert.

holger
 

mark05

Well-Known Member
#12
hi

das ist keine firewall , sondern die möglichkeit rechner / dienste hinter der fritzbox aus dem internet zugreifbar zu maschen

oder port redirect ( bei openbsd pf rdr-to )

wenn man dor nun sagen könnte welche source ips der zugriff erlauft ist , dann gaebe es einen packet filter

und rdr-to gehoert in die kiste "NAT" -> destination-nat

holger
 

gadean

Well-Known Member
#13
Das da im Hintergrund mehr passiert wird wohl einfach ignoriert und damit das "redirect" funktioniert muss der Traffic erst mal zugelassen werden (pass in). Naja wie dem auch sei, das wird zu stark OT.
 

turrican

Well-Known Member
#17
@stadtkind - hey, das Vigor 130 Modem kannte ich noch nicht, nur den Router gleichen Typs, muss ich mir mal anschauen;

@das.chaos - cool, die Karte kannte ich auch noch ned - aber die passt auch ned in meine Routergehäuse rein :P

@mr44er - was wär das für eins?

@SolarCatcher - was (für Services) willste eigentlich genau auslagern? Die pfsense is schon ned schlecht, aber wie gesagt mir stiess die Einführung der Netgate- und Unique-ID irgendwie mit dem 2.3er Update sauer auf.
 

SolarCatcher

Well-Known Member
Themenstarter #19
@SolarCatcher - was (für Services) willste eigentlich genau auslagern? Die pfsense is schon ned schlecht, aber wie gesagt mir stiess die Einführung der Netgate- und Unique-ID irgendwie mit dem 2.3er Update sauer auf.[/QUOTE]
Hauptsächlich ginge es mir um Firewall und DHCP, ggf. eben auch den Wlan-AP. Die Fritzbox sollte einfach nur Modem sein. Und auch die Telefonie-Funktionalität bereitstellen (wir haben zwei Nummern, bei der die Fritzbox einmal auch DECT-Basisstation ist, im anderen Fall die "Telefonleitung" für eine solche bereitstellt).

Ooops, da habe ich tatsächlich pfSense geschrieben... ich meinte eigentlich OPNsense! Das ist ja das HardenedBSD basierte Projekt. Sorry!!!
 

f41thr

Well-Known Member
#20
Bisher macht - wie bei so vielen - die Fritzbox alles: Sie ist DSL-Modem, Firewall, Wlan-AP, Ethernet-Router, DECT-Basistation...

.....
Bis vor 3 Wochen lief eine Alix im Stealthmode hinter meiner Zwangs Kabel Fritzbox.
Am dritten LAN Port der ALIX der DHCP Server und Unbound, DNSCRYPT für DNS.

Ein Blitzeinschlag in der Nachbarschaft hat meine ganze Elektronik, die an der Fritzbox angeschlossen waren, gegrillt.
Ich mag die Fritzboxen überhaupt nicht. Die Patchpolitik der Kabelprovider trägt dazu bei sie noch viel weniger zu mögen.
Bis OS 6.50 hat die Fritzbox ein hässlichen Bug (INTEL PUMA Bug) , wenn eine handvoll UDP auf eine der LAN oder WAN Anschlüsse abgefeuert wird, macht die Box komplett zu. Der Kabelprovider weigert sich die gepatchte Firmware aufzuspielen.
Selber kann man das ja nicht mehr. Danke für die "freie Routerwahl". Kein Kommentar, ich bin Bestandskunde keine Chance auf eine eigene Box.
Die Ersatz Fritz, die ich jetzt bekam hat OS 6.52. Ich bin bisher nicht dazu gekommen zu testen, ob das Problem weiterhin auftritt.
Davor hinter dem alten Kabelmodem mehr als 6 Jahre WRAP oder ALIX. Längste Uptime über 450 Tage mit pf, DNS, SIXXS ipv6.
 

marzl

Well-Known Member
#21
Eigentlich versuche ich Fritzbox zu vermeiden wo immer es geht. Ja, sie vereinen ein paar nette Sachen in einem Gerät, bei entsprechenden Einschränkungen für alle die "mehr" wollen. Sie kann halt alles, aber nix komplett ;)

Mindestens dann wenn es in dem KMU Sektor geht und auch auf DNS/Firewall/DHCP mal ein paar Extraaufgaben hinzukommen (DNSBL, IP Blocking, lokaler DNS, DHCP Optionen, OpenPVN oder Load Balanding mit Dual WAN, kannste die FB nur noch abbauen. Is aber auch klar, da sie ja für den privaten Sektor konzipiert wurde und da funktioniert sie ja auch ordentlich.

Ein "alternatives" Setup (VDSL100) zur Fritzbox wäre z.b. eine APU2C4 mit einem WLAN Modul und einem vorgeschaltetem Draytek oder Zyxel Modem im PPPoE Pass Through Modus. Kostet zwar mehr, dann hat man aber alle Freiheiten die man so benötigt. Die Modems sind für alle großen Provider in DE zertifiziert und werden auch teilweise von denen vertreiben (z.b. Telekom).

Etwas extravganter geht es auch mit einer Watchguard :)

Es gibt zwar keinen echten Routerzwang mehr, aber durch die Hintertür dann doch wieder über die Support Keule. Keine Fritzbox, kein Support. Ätzend!
 

marzl

Well-Known Member
#23
Absolut! Das ist wie gesagt eher ein Setup für ambitionierte IT'ler oder alles was mal professionell sein soll :)
Otto normalo hat von 90% der Funktionen die eine Fritzbox zur Verfügung gestellt nie gehört.
 

turrican

Well-Known Member
#24
Arcor Speed-Modem 200, lief absolut zuverlässig mit t-online 16000. 10€ inkl. Versand, wenn du magst.
Ja, merci! Kann ich ggf drauf zurückkommen wenns akut wird - die nächsten Wochen komm ich nicht dazu, bin anderweitig verplant

@SolarCatcher - aktuell bin ich, nach Jahren und etlichen FritzBoxen, auf dem Pfad "weg von der FritzBox".
Die is gut für das was sie is, keine Frage, aber der Bereich der Möglichkeiten grad in Bezug auf was mit Firewall-Regeln möglich ist - im Vgl z.B. mit ner pfsense/opnsense oder auch mit nem Linux-basierten iptables - ist doch arg beschränkt.
Wenn man dann die FB eh nur als Modem nutzt, weil dahinter ne eigene dedizierte FW platziert ist, dann kann man sich die FB auch gleich sparen, und ein simples und günstigeres) Modem nutzen.

Je nach dem, was du machen willst/von dem FW-/Modem-Device erwartest, is entweder ne Fritz oder ne auf mehrere Geräte aufgesplittete Variante die Lösung.