Ford Prefect

...also mit WAF war jetzt wirklich was anderes gemeint 🤣 ...es ging um diese Aussage von Dir: -> ein physischer Host mit unterschiedlichen Diensten....davon einer als Firewall, eine OPNSense. Das bedeutet, dass auf dem Host eine OPNSense als Virtuelle Maschine läuft. Wenn diese Firewall die zentrale Firewall sein soll, dann macht man das nicht mit einer VM !!! -> das war meine Aussage. Hintergrund: hat der Server mal "Wartung", steht die Firewall. Das bedeutet im besten Fall ungemach mit der Familie und/oder Ärger mit Firmenkunden/Mitarbeitern.

Ich habe nicht von der roten gestrichelten Liniie, sondern von der Verbindung Firmenserver (der Mini) zur Firewall gesprochen. Das Beispiel ist einfach: Du schreibst ja selbst, von Innen und Aussen erreichbar. Und jeder Server hat eine System-/Verwaltungs-Ebene und eine Applikations-Ebene. Beim Beispiel unraid möchtest Du das Web-Interface zur Konfiguration nicht im gleichen Netz haben ueber das auch die externen Nutzer auf die anderen Dienste/Apps/... zugreifen. im "echten" Leben ist ein Host in der "demilitarisierten Zone (DMZ) *zwischen* zwei Firewalls - eine zwischen DMZ und I-Net und eine zwischen DMZ und Heimnetz. Sind die Dienste auf dem Server in der DMZ virtualisiert, macht es das noch komplizierter. Nein, das kann er nicht, weil er eben nicht mehrere Netze kann. Um diese Dienste anzubieten musst Du die Firewall quasi teilweise durchlöchern. Das gilt auch bei deinem Telekom-Router...das Problem: er kann nur ein Netz...ist die Verbindung kompromittiert, ist das eine/ganze Netz kompromittiert. Hast Du nun mehrere Netze, schön durch Firewalls getrennt, ist dann eben (hoffentlich) nur das eine Netz kompromittiert....mehrere Netze machen es also nicht sicherer, sondern senken nur das Risiko eines "Totalschadens". Blacklistes, Adguard usw sind Services, die auf die Teilnehmer im internen Netz "wirken"...Portweiterleitungen sind für Zugriffe von Aussen nach Innen. Das sind getrennte Perspektiven.

In dem Kontext ging es um das Handy...ein Gerät, das naturgemäss zu Hause dann in zwei Netzen gleichzeitig ist (WLAN und "telekom") und sozusagen aus der Perspektiive Deines Heimnetzes eine potenziell "unerlaubte" Netzkopplung darstellt (praktisch ein WAN, dass Du nicht mit Deiner Heim-Firewall kontrollieren kannst). Deshalb macht es Sinn da eine Firewall/Security App zu installieren. Unraid ist ein Linux und hat einige Firewall-Elemente drin, die aber nicht aktiv zugänglich (und sicher eingestellt) sind. Grundsätzlich stellt man unraid selbst eben *nicht* ins Internet. Man kann eine Firewall-Appliance als VM drauf installieren und dann Docker/VMs netzwerktechnisch trennen, überwachen usw...aber das kannst Du auch auch mit einer zentralen Firewall machen. Wichtig also die Dienste sinnvoll zu trennen. Für Android würde ich tatsächlich SEP-Mobile nehmen....ich glaube die ist sogar kostenlos (bei uns in der 4ma Standard und Pflicht). Bei Linux Clients bin ich ehrlich gesagt unschlüssig...SEP gibt es, glaube ich nur noch für Enterprises. Mit Linux ist das Risiko für Viren bedeutend geringer als bei Windoof (bei Windoof reicht der Standard MS Defender). Cloudflare bietet viele Services, aber eben im Internet, nicht fürs innere Deines Netzes. Indem Du die Dienste (Docker, VMs) in separate Netze trennst und vor allem auch das Management-Interface (das Web-UI) nur aus einem inneren, vertrauenswürdigen Teil des Netzes zugänglich machst. Diesen Teil nennt man das Management-(V)LAN. Symantec gehört zu Broadcom...OK, hmmm...böse Chinesen sind das nicht, aber Alternativen gibt es auch wenige...aber da gibt es sicher Leute mit mehr Meinungen hier. Also bitte keine Panik...abermache Dir klar, dass das grösste Risiko vor der/Deiner Tastatur sitzt

Nein, das ist ein Hardware-Router, mit RouterOS. ja, das schon...allerdings wäre entweder Adguard oder Pihole...zusammen macht nirgends Sinn ...ich weiss nicht, von was immer da die/Deine Rede ist...kannste bei OPNSense auch nicht. Aber wie schon gesagt, RouterOS ist keine leichte Kost....da Du Dich da wohl garnicht auskennst, würde ich sagen lass es. Es gibt mehr Videos, die Du kopieren kannst von OPNSense/PFSense.... In Deinem Plan erkennt man keine IP-Segmente, nur Netzwerk(Kabel)Verbindungen ...oder was soll jedee Verbindung in dem Bild darstellen? Wenn es ein Netzwerk-Segment darstellen sollte, hast Du da schon einen Fehler, denn um das korrekt zu bauen, braucht es auf dem "Firmensoftware-Server" mehr als ein Netzz-Segment... Nein. Du gehst davon aus, dass der "Firmensoftwareserver" nur ein Segment braucht...das ist falsch...zumindest wenn Du es sicher machen willst. Und im inneren willst Du vielleicht ja auch mehr als eines brauchen.... Ich glaube der bietet für den Zweck ausreichend Schutz. Da dort der User die Firewall nicht kaputt konfigurieren kann, bietet er genaugenommen weniger Risko für den Normalo-User als wenn dieser mit einer OPNSense o.ä. spielt. gut gekontert, aber in dem Kontext geht es um WiFi und genau das habe ich Dir nicht in einem Gerät empfohlen. -> Wife Acceptance Factor Yepp...genau...mach das mal...aber komm bitte nicht hierher, wenn Dir der WAF im Nacken sitzt Also, bevor das hier zu weit abdriftet....gegen Deine grundsätzlichen Ansprüche an Sicherheit ist ja nix einzuwenden, aber bei der Umsetzung schiesst Du - mein Eindruck - etwas übers Ziel hinaus - und über Deine Fähigkeiten, vermutlich. Nur weil eine Lösung sowas kann, ist sie nicht so einfach zu bedienen, wie der Heim-Router. Der ist genauso sicher im Rahmen der Möglichkeiten, die er bietet...kann aber komplexere Netzwerk-Setups nicht, aber dafür kann der User nicht viel falsch machen und die Sicherheit unterlaufen. Bei einer "frei konfigurierbaren" Lösung ist das anders...nicht umsonst werden diese Instanzen in einer 4ma von Profis betreut (normalerweise). Du solltest das etwas minimalistischer angehen. Auch eine OPNSense ist mit wenigen Einstellungen erstmal sicher...mit jedem Register, das man danach zieht steigt das Risiko, dass man etwas verkonfiguriert, statt es noch sicherer zu machen.

Die gängige Praxis ist, das Gerät selbst mit einer Firewall und Security-Lösung zu sichern. Den Netzwerktraffik mitzuschneiden und Bedrohungen per Analyse zu erkennen kannst Du vergessen, da der Traffik ja in der Regel verschlüsselt ist. Da gibt es Lösungen, aber die sind eher staatlichen Institutionen zugänglich. Wenn Du niemandem vertraust, ausser Dir selbst empfehle ich Dir mit dem Handy offline zu bleiben....oder das OS und die Apps eben ausschliesslich selbst zu entwickeln. Das Problem bist nicht Du, sondern die bösen Anderen...eine App, die Du nicht kontrollierst kann dynamisch Daten teilen/Schadcode nachladen usw. Die Leistung des Phone reicht allein nicht aus um das zu prüfen und Bedrohungen sind schon lange nicht mehr statisch und auf Viren beschränkt.

...es ist nur ein Netz-Segment, da wird nix geroutet. Statische IPs werden am Endpunkt(client, server, gerät) direkt eingestellt. Das oben Beschriebene geht auch mit 192.168.178.xxx statt 10.10.10.xxx

...der Angriffsvektor über ein Smartphone ist ein anderer. Da hilft auch keine opnsense wirklich, da Du ja auf dem Smartphone den Tunnel durch die opnsense einrichten musst und diese Lücke in der opnsense bewusst öffnen musst. Es gibt auch entsprechende Firewalls und Sicherheitssoftware (Apps) für das Smartphone, denn das Gerät selbst ist zu sichern, nicht nur die Verbindung/der Tunnel nach Hause. Such mal nach SEP mobile...

Nein das ist ein Router *und* ein Switch. Der Mini-PC, den Du als Router auserkoren hast hast zwar ein paar Netzwerk-Ports, wenn Du aber Netze trennen willst und je Netz-Segment nicht willst (das willst Du nicht) das der Traffik immer durch den Router muss, dann braucht es einen Switch. Ein Switch bietet Hardware-Unterstützung dafür, dass Teilnehmer im Netz, obwohl an unterschiedliche Ports angeschlossen, mit maximaler Geschwindigkeit miteinander kommunizieren können. Er hat dazu einen Switch-Chip eingebaut (quasi eine kleine CPU, die auf Netzwerk-/Ethernet-Traffic und -kommunikation getrimmt ist). Der Mini-PC/Router aus Amazonien hat so einen Switch-Chip nicht!! Das man also einen Switch nutzen kann/muss hast Du prinzipiell auch erkannt, aber nicht bedacht, dass man bei Nutzung von verschiedenen Netz-Segmenten diese auch im Switch trennen muss. Daher ist ein unmanaged Switch wie Deiner ungeeignet. Es gibt mehr als ein Derivat von der Router-Software, die Du angedacht hast ...PFSense oder OPNSense --- was Du nimmst ist eigentlich egal...wenn man ein paar Bytes sparen will, schreibt man Sense Nein, mein Hinweis war nur, dass Du für weniger Geld viel mehr Leistung bekommst mit dem Mikrotik. Unter anderem musst Du auch keinen managed Switch mehr kaufen. ...vielleicht siehst Du es noch nicht, kommt aber bestimmt noch. Wenn Dein mini Air Dingsbums ein unraid host (oder Proxmox oder was anderes in der Art) ist, dann brauchst Du entweder mehr physische Ports um die Software-Komponenten (Host/Verwaltung, Dienste/Server/VMs/Docker) auf Netzsegmente zu trennen oder VLANs. Denke nicht in Kabeln, sondern in Netz-Segmenten (= IP-Segemente)...male das Bild mal damit neu...wo landet der Mini Air dann, in Deinem Diagramm am besten? Ein Switch ist aber genau das...die Frage ist, wie viele LAN-Segmente, die voneinander getrennt sein sollen, brauchst Du...ein unmanaged Switch sieht alle Ports als ein LAN. Klar...aber wie kommt sie den heute ins Internet? Warum? Willst Du ne Eierlegende Wollmilchsau (eine Fritz)box nachbauen? Nimm einen normalen AP....den kannst Du auch noch in der Position im Haus etwas besser verändern um die WLAN Versorgung zu optimieren. Du weisst wahrscheinlich nicht, was ein WAF ist Ausserdem ist das Teil da nur ein Adapter...fehlt noch die WLAN-Karte und Antenne...und die Karte musst Du danach aussuchen, das OPNSense dafür Treiber hat (wenn es überhaupt welche für sowas bietet) und hoffen, dass die Treiber auch bei Updates noch da sind/mitgepflegt werden. Ich würde es *nicht* so machen.

Nein, das Gateway in der Fritz (zu 10.10.10.0/24 (NM 255.255.255.0), also Beispielsweise die 10.10.10.1) muss aus dem Bereich des Netzwerkes der Fritz sein (zB 192.168.178.12) und dahinter muss sich ein Host/Router verbergen, der das Netz 10.10.10.0/24 kennt. Die Fritz (192.168.178.1) kennt die Route zu 10.10.10.1/24 nicht.

OK, warum bist Du nicht zufrieden? Die Karte hat doch jetzt wohl einen 10G Link (siehe oben). Wie hast Du die jetzt mit dem Switch verbunden, mit nur einem 10G-T Transceiver?

...ganz schön starker Tobak, fürn Frischling. Die Community macht das hier freiwillig und Servicezeiten am Sonntag sind selbst bei "payed Services" eingeschränkt...merkste was? ...es gibt keinen Standard und keine Garantien, das SFP+ Transceiver überhaupt was anderes als 1G/10G unterstützen (SFP/SFP+ Abwärtskompatibilität). Warum willst Du unbedingt 2.5G mit ner 10G Karte? Wenn Du den HP direkt mit dem Switch (SFP+ Uplink Port nehmen) verbindest (also ohne Kupfer und LAN-Dosen über Geschosse hinweg), versuche bis 7m Länge ein DAC Kabel oder ein LWL-Patchkabel...das spart auch Strom. ...aus Deiner Diagnostics/ethertool.txt: ettings for eth0: Supported ports: [ FIBRE ] Supported link modes: 1000baseT/Full 10000baseT/Full Supported pause frame use: Symmetric Receive-only Supports auto-negotiation: No Supported FEC modes: Not reported Advertised link modes: 10000baseT/Full Advertised pause frame use: No Advertised auto-negotiation: No Advertised FEC modes: Not reported Speed: 10000Mb/s Duplex: Full Auto-negotiation: off Port: FIBRE PHYAD: 1 Transceiver: internal Supports Wake-on: g Wake-on: g Current message level: 0x00000000 (0) Link detected: yes ...was zu beweisen war.

...slightly off-topic @Amane .. Du hast doch ins Spiel gebracht, dass es mit ner Fritz gehen sollte...klar, dass es mit nem richtigen Router, wie nem MT und RouterOS geht.

...nur eine Route (genaugenommen beliebig viele), aber jede Route braucht ein Gateway, welches dann hier *nicht* die Fritz sein kann. Das "andere" Gateway muss auch die Clients dieses anderen Netzes managen, zB DHCP, NTP, ...

Kannst Du machen, solange Dir die Ports nicht ausgehen. Pysische Ports am Router reichen dann für N-1 (weil 1x WAN) Netze und entsprechende Gegenstellen. Zähle einfach durch, wie viele Endgeräte mit den LANx-Ports des Routers verbunden sind. Hast Du an einem LAN schon zwei, brauchst Du dafür einen Switch. Passiert Dir das für mehr als einen LANx, wäre es besser einen Switch zu haben, den Du aufteilen kannst, statt mehrere Switche. Brauchst Du mehr als N-1 Netze, musst Du auf VLANs gehen. Beispiele: Der Netzwerkdrucker ist ja sicherlich für Alle (shared)...braucht also nochmal ein Netz. Hast Du im unraid mehr als ein Netz aber dafür nicht genug Netzwerk-Ports, kannst Du dann zB VLANs nutzen. Ich habe in meinem unraid ne 10G Karte zum Switch und VLANs am Start, damit trenne ich unraid Admin selbst und Docker für Heim, Gast, IoT, ... Für kritische VMS habe ich weitere dedizierte NICs zum durchreichen. Ausserdem, mit dem richtigen Switch muss auch Inter-(V)LAN Traffic nicht komplett durch den Router durch. Die "kleine" Sense ist schon ganz nett...wirespeed mit Inter-(V)LANs wird ihr aber schon zusetzen, denn die NICS haben keinen vollen L2-Offload oder gar L3-HW-Offload, wie manche andere Multi-NIC Router mit Switch-Chip oder eben dedizierte Switche....alles muss bei der Sense durch die CPU. Eigentlich soll die Sense ja nur den Speed des I-Net schaffen und halten....den Rest soll der Switch erledigen. Also ja, dedizerter Switch, mit richtiger Hardware-Ausrüstung macht Sinn. ...dafür gibt es zB den: https://geizhals.de/mikrotik-routerboard-rb5009-router-rb5009ug-s-in-a2585362.html ...und der zieht Kreise um Deine Sense....und einen Switch mit L2-HW-Beschleunigung hat er schon drin (und Wireguard kann er auch nativ (edit: selbst zerotier geht schon ab Werk: https://help.mikrotik.com/docs/display/ROS/ZeroTier und bietet sogar Container support) Allerdings ist RouterOS für viele keine leichte Kost (obwohl ich selbst das Gegenteil bin...ich kriege BSD networking ener Sense nicht in den Kopf...RouterOS auf Linux fällt mir leicht). Gibt aber auch gute Anleitungen, Foren und Hilfe: https://help.mikrotik.com/docs/display/ROS/Getting+started Edit: falls Du bei ner Sense bleiben willst, kann ich natürlich die Mikrotik Switches immer empfehlen

Nope of=/dev/sdc ...die ganze Disk, bitte Edit: ...und Du hast den Teil mit if=/dev/urandom vergessen..... geht auch mit if=/dev/null if=/dev/zero der schreibt nur 2MB Zufallszahlen an den Anfang der Disk und zerstört so die Partitionstabelle und das Dateisystem auf der ersten Partition. Es soll ja schnell gehen.... Edit: aber Du musst es schon richtig eingeben