12
Firewall hinter Router vs Router durch Firewall ersetzen
Guten Morgen Com!
Ich stehe gerade vor der Entscheidung
Nachtrag: Als Firewall werde ich eine OPNsense einsetzen.
Mir fallen für beide Szenarien durchaus Pros und Contras ein. Daher würde ich gerne mal andere Standpunkte dazu hören. Was haltet ihr so im Allgemeinen für die sinnvollere Lösung?
Gründe für die Firewall hinter Router Variante:
Gründe für die normaler Router in die Mülltonne Variante:
Und jetzt kommt ihr! Haut mir meine Argumente um die Ohren
Greetz Fugu
Ich stehe gerade vor der Entscheidung
- eine Firewall hinter dem normalen Internetrouter von Glasfaser/Telekom/wer auch immmer installieren
- den normalen Internetrouter durch die Firewall ersetzten
Nachtrag: Als Firewall werde ich eine OPNsense einsetzen.
Mir fallen für beide Szenarien durchaus Pros und Contras ein. Daher würde ich gerne mal andere Standpunkte dazu hören. Was haltet ihr so im Allgemeinen für die sinnvollere Lösung?
Gründe für die Firewall hinter Router Variante:
- im Problemfall kann auch ein (z. B.) Telekom-Techniker vor Ort auch einfach mal den Router tauschen
- doppeltes NAT hat man... ja, aber man könnte sich evtl. das Leben vereinfachen, indem man einfach die Ports 1-65535 an die Firewall weiterleitet... oder wäre das dumm?
- bei Leitungsstörungen habe ich die Erfahrung gemacht, dass man im Support besser zurecht kommt, wenn der Supporter auf eine für ihn bekannte Konstellation trifft und er auch auf seine Standard-Messwerte zugreifen kann
Gründe für die normaler Router in die Mülltonne Variante:
- niemand greift ungefragt in mein Netzwerk ein - auch kein Internet-Service-Provider... allerdings würde sich dieser Eingriff ja eig. nur auf ein einziges Gerät beschränken
- erweiterte Möglichkeiten beim Leitungs-Handling
Und jetzt kommt ihr! Haut mir meine Argumente um die Ohren
Greetz Fugu
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4571118170
Url: https://administrator.de/contentid/4571118170
Printed on: April 27, 2024 at 12:04 o'clock
12 Comments
Latest comment
Moin..
Bitte wer?
Ich stehe gerade vor der Entscheidung
Oha...
bitte um definition, was du unter einer Firewall verstehst! bzw. welches gerät möchtest du nutzen?
Mir fallen für beide Szenarien durchaus Pros und Contras ein. Daher würde ich gerne mal andere Standpunkte dazu hören. Was haltet ihr so im Allgemeinen für die sinnvollere Lösung?
Gründe für die Firewall hinter Router Variante:
nun ja... da legt sich der admin ein weiteres modem hin, und gut ist!
Gründe für die normaler Router in die Mülltonne Variante:
Und jetzt kommt ihr! Haut mir meine Argumente um die Ohren
lass das sein, kauf ein (zwei) DSL Modems und deine Firewall macht den rest! PPOE sollte ja kein Problem sein.
Greetz Fugu
Frank
Bitte wer?
Ich stehe gerade vor der Entscheidung
- eine Firewall hinter dem normalen Internetrouter von Glasfaser/Telekom/wer auch immmer installieren
- den normalen Internetrouter durch die Firewall ersetzten
Mir fallen für beide Szenarien durchaus Pros und Contras ein. Daher würde ich gerne mal andere Standpunkte dazu hören. Was haltet ihr so im Allgemeinen für die sinnvollere Lösung?
Gründe für die Firewall hinter Router Variante:
- im Problemfall kann auch ein (z. B.) Telekom-Techniker vor Ort auch einfach mal den Router tauschen
* doppeltes NAT hat man... ja, aber man könnte sich evtl. das Leben vereinfachen, indem man einfach die Ports 1-65535 an die Firewall weiterleitet... oder wäre das dumm?
ja... wozu dann eine router kaskade?* bei Leitungsstörungen habe ich die Erfahrung gemacht, dass man im Support besser zurecht kommt, wenn der Supporter auf eine für ihn bekannte Konstellation trifft und er auch auf seine Standard-Messwerte zugreifen kann
das kann der supporter auch mit einem Vigor 167 oder allnet VDSL Modem!Gründe für die normaler Router in die Mülltonne Variante:
- niemand greift ungefragt in mein Netzwerk ein - auch kein Internet-Service-Provider... allerdings würde sich dieser Eingriff ja eig. nur auf ein einziges Gerät beschränken
- erweiterte Möglichkeiten beim Leitungs-Handling
Und jetzt kommt ihr! Haut mir meine Argumente um die Ohren
Greetz Fugu
Frank
Moin,
hab ich auch zu Hause... FritzBox und Exposed Host für OPNsense. An der FB hängen 2 Haushalte - Schwiegereltern. Doppelte NAT ist da nur bedingt. Dann lass halt beiden laufen. Stromverbrauch wäre nur ein Kriterium.
Bei uns kommt noch Telefonanalage mit ISDN S0 mit rein. Die hängt auch an der FritzBox. Darum ist es so einfacher!
FB steht im Keller, OPNsense im 1. OG: Wegen Ethernet mit den Leitungslängen also kein Problem.
Es kommt auch auf den 2. Router dann an. Meine OPNsense läuft auf einer alten Sophos Hardware. Hauts die mal raus, kann ich immer noch fix auf die FB zurück greifen. Musste ich sogar schon einmal... 23 Uhr abends. Da war es angenehm, dass Netflix wieder rasch über die FB lief. Bequemlichkeit.
Einen deutlichen Mehrwert hat man meist nicht. Bei mir durch die lange Strecke zwischen den beiden wäre noch ein Vorteil, dass ggf. bei Blitzeinschlag nur 1 Router kaputt geht. Hatten wir ähnlich. Hälfte der Geräte war kaputt, andere OK. Wobei meine Sophos kein Modem hat...
Geschmackssache....
mfg Crusher
hab ich auch zu Hause... FritzBox und Exposed Host für OPNsense. An der FB hängen 2 Haushalte - Schwiegereltern. Doppelte NAT ist da nur bedingt. Dann lass halt beiden laufen. Stromverbrauch wäre nur ein Kriterium.
Bei uns kommt noch Telefonanalage mit ISDN S0 mit rein. Die hängt auch an der FritzBox. Darum ist es so einfacher!
FB steht im Keller, OPNsense im 1. OG: Wegen Ethernet mit den Leitungslängen also kein Problem.
Es kommt auch auf den 2. Router dann an. Meine OPNsense läuft auf einer alten Sophos Hardware. Hauts die mal raus, kann ich immer noch fix auf die FB zurück greifen. Musste ich sogar schon einmal... 23 Uhr abends. Da war es angenehm, dass Netflix wieder rasch über die FB lief. Bequemlichkeit.
Einen deutlichen Mehrwert hat man meist nicht. Bei mir durch die lange Strecke zwischen den beiden wäre noch ein Vorteil, dass ggf. bei Blitzeinschlag nur 1 Router kaputt geht. Hatten wir ähnlich. Hälfte der Geräte war kaputt, andere OK. Wobei meine Sophos kein Modem hat...
Geschmackssache....
mfg Crusher
Hallo,
warum sollte der Techniker einen Router tauschen ? Ausnahme: du hast ein Mietgerät (dann muss er sich sogar darum kümmern)
Alternativ (Glasfaser) ONT = Modem hinstetzen (man kann auch vDSL-Modem bei vDSL)
Alles danach geht keinen was an.
Natürlich kannst/darfst du auch einen vDSL/Glasfaserrouter deiner Wahl kaufen und betreiben ( AFIK bei fast allen Providern - wichtig: fast ! irgendwo gab es Ärger )
Fred
warum sollte der Techniker einen Router tauschen ? Ausnahme: du hast ein Mietgerät (dann muss er sich sogar darum kümmern)
Alternativ (Glasfaser) ONT = Modem hinstetzen (man kann auch vDSL-Modem bei vDSL)
Alles danach geht keinen was an.
Natürlich kannst/darfst du auch einen vDSL/Glasfaserrouter deiner Wahl kaufen und betreiben ( AFIK bei fast allen Providern - wichtig: fast ! irgendwo gab es Ärger )
Fred
Moin,
Den Quatsch mit einem extra Speedport oder einer Fritte vor einer Firewall machen nur Leute, bei denen die Telekomiker oder İSP-Supporter mehr Ahnung als sie selber haben. Wo immer es technisch geht, macht man immer direkt seine eigene Firewall hin.
lks
Den Quatsch mit einem extra Speedport oder einer Fritte vor einer Firewall machen nur Leute, bei denen die Telekomiker oder İSP-Supporter mehr Ahnung als sie selber haben. Wo immer es technisch geht, macht man immer direkt seine eigene Firewall hin.
lks
Zitat von @Lochkartenstanzer:
Moin,
Den Quatsch mit einem extra Speedport oder einer Fritte vor einer Firewall machen nur Leute, bei denen die Telekomiker oder İSP-Supporter mehr Ahnung als sie selber haben. Wo immer es technisch geht, macht man immer direkt seine eigene Firewall hin.
lks
Moin,
Den Quatsch mit einem extra Speedport oder einer Fritte vor einer Firewall machen nur Leute, bei denen die Telekomiker oder İSP-Supporter mehr Ahnung als sie selber haben. Wo immer es technisch geht, macht man immer direkt seine eigene Firewall hin.
lks
Fehlt eh ob privat oder gewerblich. Bei mir zu Hause war es wegen Tk-Anlage und andere karm einfacher so. Hatte ihn mehr unter "privat" eingestuft, da vor ein paar Jahren Routerzwang überall beschrieen wurde.
Bei mir wie gesagt durch ISDN und Telefonie bedingt. Hatte damals ein Unternehmen so installiert. Über die FB bin ich schon froh. Davor war es ein Speedlink
+1 für z.B. FB
S0 Bus für Telefonie. Gerade auch in privaten Umfeld deutlich einfacher.
Guten morgen 
Also wenn es ein Glasfaseranschluss ist so würde ich diesen direkt an der Firewall Terminieren lassen.
Die Anbieter der Glasfaser stellen dir ja eine "Umsetzerbox" die aus GPON/PON oder was auch immer für eine Technik auf der Faser zum Einsatz kommt ein Ethernet Signal macht. Den Ausgang der Box dann mit der Firewall verbinden und die Firewall die Einwahl machen lassen und gut ist.
Für xDSL würde ich ein Modem einsetzten und hier ebenfalls die Einwahl über die Firewall erledigen lassen.
Doppel NAT und Portfreigaben/ Weiterleitungen würde ich nicht machen wollen. Es haat durchaus seine Vorteile wenn man die Public IP ( v4 od v6 ) direkt auf der Firewall hat wenn man verschiedene Szenarien umsetzen will.
Kann mich erinnern das wenn man eine FritzBox hatte und ein IPSec VPN von Extern einrichten wollte die Fritzbox immer meinte das der IPSec Traffic auf ihr ( fritzbox selber ) terminiert werden sollte und die Box den Traffic somit nicht an die Firewall oder das IPSec Gateway weitergeleitet hatte. Kam dann immer zu Problemn. Bei SIP gabs glaube ich auch so eine "Besonderheit"
Die Szenarien sind mittlerweile Standard seitdem es keinen Routerzwang mehr durch die Provider gibt.
Messen kann der Techniker die Leitung teilweise sogar ohne das ein Endgerät verbunden ist. Und alles was keine Leitungsunterbrechung ist wird sowieso eine Messung von beiden Seiten nach sich ziehen wo der Techniker direkt vor Ort muss um die Ganze Strecke vom DSLAM bis zur ersten TAE Dose durchzumesen. Wenn die Leitungswege passen ist für die Meisten Provider eh das ganze erledigt und du stehst mit deinem Problem alleine da.
Hatte mal einen Betrieb wo wir auch Probleme mit dem DSL hatten und das Ergebnis war dann das angeblich mit der leitung alles OK war. Messwerte haben auch gepasst. Alles also gut, nur funktioniert hat´s eben nicht.
Dan ewiges hin und her .... Dann kam der Techniker und hat eine Fritzbox angeschlossen oder sogar einen Cisco 800 Router mit VDSL Interface und die Verbindung war da UND stabil.
Somit war die ganze Sache erledigt für den Techniker. Aussage war dann: Nimm halt die Fritzbox und dann geht es. Das es Vorher funktioniert hatte war ihm egal.
Also wenn es ein Glasfaseranschluss ist so würde ich diesen direkt an der Firewall Terminieren lassen.
Die Anbieter der Glasfaser stellen dir ja eine "Umsetzerbox" die aus GPON/PON oder was auch immer für eine Technik auf der Faser zum Einsatz kommt ein Ethernet Signal macht. Den Ausgang der Box dann mit der Firewall verbinden und die Firewall die Einwahl machen lassen und gut ist.
Für xDSL würde ich ein Modem einsetzten und hier ebenfalls die Einwahl über die Firewall erledigen lassen.
Doppel NAT und Portfreigaben/ Weiterleitungen würde ich nicht machen wollen. Es haat durchaus seine Vorteile wenn man die Public IP ( v4 od v6 ) direkt auf der Firewall hat wenn man verschiedene Szenarien umsetzen will.
Kann mich erinnern das wenn man eine FritzBox hatte und ein IPSec VPN von Extern einrichten wollte die Fritzbox immer meinte das der IPSec Traffic auf ihr ( fritzbox selber ) terminiert werden sollte und die Box den Traffic somit nicht an die Firewall oder das IPSec Gateway weitergeleitet hatte. Kam dann immer zu Problemn. Bei SIP gabs glaube ich auch so eine "Besonderheit"
Die Szenarien sind mittlerweile Standard seitdem es keinen Routerzwang mehr durch die Provider gibt.
Messen kann der Techniker die Leitung teilweise sogar ohne das ein Endgerät verbunden ist. Und alles was keine Leitungsunterbrechung ist wird sowieso eine Messung von beiden Seiten nach sich ziehen wo der Techniker direkt vor Ort muss um die Ganze Strecke vom DSLAM bis zur ersten TAE Dose durchzumesen. Wenn die Leitungswege passen ist für die Meisten Provider eh das ganze erledigt und du stehst mit deinem Problem alleine da.
Hatte mal einen Betrieb wo wir auch Probleme mit dem DSL hatten und das Ergebnis war dann das angeblich mit der leitung alles OK war. Messwerte haben auch gepasst. Alles also gut, nur funktioniert hat´s eben nicht.
Dan ewiges hin und her .... Dann kam der Techniker und hat eine Fritzbox angeschlossen oder sogar einen Cisco 800 Router mit VDSL Interface und die Verbindung war da UND stabil.
Somit war die ganze Sache erledigt für den Techniker. Aussage war dann: Nimm halt die Fritzbox und dann geht es. Das es Vorher funktioniert hatte war ihm egal.
Egal wie man es dreht und wendet, Kaskaden sind immer die technisch schlechtere Lösung sofern man sie vermeiden kann. Wozu ein überflüssiger Durchlauferhitzer im Datenpfad?!
Kollege @lks hat es ja schon kurz und knackig gesagt.
Kollege @lks hat es ja schon kurz und knackig gesagt.
Also erstmal kommts natürlich auf das Medium an. Beim Kabel- und beim Glasfaser-Anbieter habe ich auch ein Router vom ISP vorgeschaltet. Beim Kabelanschluss weil der Hausanschlusspunkt nicht im Serverraum ist und das so einfach am simpelsten war und bei der Glasfaser weil es der Anbieter vorgibt. In beiden Fällen laufen die Dinger als Bridge und in beiden Fällen macht der ISP seine Software Updates selbst, kann da Messen und sonstigen Shit.
Bei VDSL bzw. ADSL macht der Router die Einwahl, das ist so simple Technik und da hat auch kein ISP was zu melden.
Bei VDSL bzw. ADSL macht der Router die Einwahl, das ist so simple Technik und da hat auch kein ISP was zu melden.
Sehe das wie @ukulele-7 Kabel ist nicht gleich Kabel. Busenes oder Company. Erstes wäre da oftmals auch eine FritzBox. Beim der größeren Variante ein Hitron.
Kenn ich aus leidiger Erfahrung. Nach Upgrade des Tarfis hatten die von Hitron auf Fritzbox gewechselt. Die Verbindung hielt grad mal 5 min. Dann war die FB ausgelastet. War eine private Klinik hinter. Nach langen hin und her konnte man das Hitron nach ein paar Tagen wieder reaktivieren.
Wie diskutiert man wiederum sowas, wenn man die Modems selber beschafft hat? Die Techniker bauen nur auf. Alles andere geschieht im Operation-Center bei denen. Hatte der TS ja auch so vorhin erwähnt. Nicht nur messen, sondern auch belegen wer hat Schuld. Das wäre mit gesteller Hardware deutlich einfacher in solchen Fällen. Ansonsten lief es auch im Bridge und die public IP lag direkt an der OPNsense an.
Nur wir hatten lange, lange Telefonate mit Kabel Anbieter. Gut, hätte man das Hitron besessen, wär man vermutlich eh nicht davon abgerückt
Zumindet in der Klinik konnte ich da nichts negatives feststellen. Gut, Hitron hat ja primär auch Modem Funktionalität. Wie @ukulele-7 schon sagte kommt es auf Anbieter und Medium an.
Kenn ich aus leidiger Erfahrung. Nach Upgrade des Tarfis hatten die von Hitron auf Fritzbox gewechselt. Die Verbindung hielt grad mal 5 min. Dann war die FB ausgelastet. War eine private Klinik hinter. Nach langen hin und her konnte man das Hitron nach ein paar Tagen wieder reaktivieren.
Wie diskutiert man wiederum sowas, wenn man die Modems selber beschafft hat? Die Techniker bauen nur auf. Alles andere geschieht im Operation-Center bei denen. Hatte der TS ja auch so vorhin erwähnt. Nicht nur messen, sondern auch belegen wer hat Schuld. Das wäre mit gesteller Hardware deutlich einfacher in solchen Fällen. Ansonsten lief es auch im Bridge und die public IP lag direkt an der OPNsense an.
Nur wir hatten lange, lange Telefonate mit Kabel Anbieter. Gut, hätte man das Hitron besessen, wär man vermutlich eh nicht davon abgerückt
Zumindet in der Klinik konnte ich da nichts negatives feststellen. Gut, Hitron hat ja primär auch Modem Funktionalität. Wie @ukulele-7 schon sagte kommt es auf Anbieter und Medium an.Zitat von @Crusher79:
+1 für z.B. FB
S0 Bus für Telefonie. Gerade auch in privaten Umfeld deutlich einfacher.
+1 für z.B. FB
S0 Bus für Telefonie. Gerade auch in privaten Umfeld deutlich einfacher.
Wenn man eine pfsense konfigurieren kann, kann man die Fritte als VOIP-2-Pots-Adapter auch hinter die pfsense stellen.
lks
@Crusher79
Gruß,
Dani
Beim der größeren Variante ein Hitron.
Die Zeit von Hitron ist abgelaufen. Wir haben im letzten 4 Monaten für über 60 Standorte das Infoschreiben für einen Zwangstausch erhalten. Aktuell wehren wir uns noch, weil dafür grade Zeit ist, aber es wird nicht aufzuhalten zu sein.Das wäre mit gesteller Hardware deutlich einfacher in solchen Fällen.
Das sehe ich auch so. Zumal je nach Anschluss auch um SLA und Verfügbarkeit geht und evtl. auch um Geld bei Ausfällen.Gruß,
Dani
Zitat von @Dani:
@Crusher79
@Crusher79
Beim der größeren Variante ein Hitron.
Die Zeit von Hitron ist abgelaufen. Wir haben im letzten 4 Monaten für über 60 Standorte das Infoschreiben für einen Zwangstausch erhalten. Aktuell wehren wir uns noch, weil dafür grade Zeit ist, aber es wird nicht aufzuhalten zu sein.Naja. Erfahrung aus 2018? Bin auch nicht mehr bei dir Firma. Die wollten eh alles nur billig haben
Das sehe ich auch so. Zumal je nach Anschluss auch um SLA und Verfügbarkeit geht und evtl. auch um Geld bei Ausfällen.
Die "Fuss-Soldaten" teilen sich ja auch in 2 Lager: normale Monteure und qualifizeirte Mitarbeiter. Ist auch bei der Telekom so. Einige Sub die nur auflegen und patchen. Andere die auch VoIP, VPN etc. mit betreuen.
Speziell bei meinen Beispiel oben würde ich definitiv den Durchlauferhitzer - @aqui so schön sagte - bewusst beibehalten. Die Monteure tauschen nur oder "bauen" Leitungen. Alles andere kommt aus den Operation-Center oder wie auch immer die das nennen. Nach etlichen Telefonaten hatte ich endlich eine Dame, die was entscheiden kann und auch Tickets übernehmen kann. Die konnte dann auf Hitron zurück rollen und gut war es.
"Fuss-Soldaten": Kleiner Bericht. Ich hatte mal einen besch.... Chef und wollte aus den Systemhaus nur weg. Hatte dann - da ich IT-SE bin - mal auf Kabel-Job beworben. War sehr interessant:
- Chef war auch Chef von mehreren Firmen. Hatte von Kabel keine Ahnung. Wurde selber angelernt. Scheinen nur einen "Gebietsvertreter" o.ä. gewollt zu haben
- Typ der mir meinen Job erklären sollte kam in Blaumann. Ihn störten schon meine "Lackschühchen". Ich war halt für ein Bew. Gespräch gekleidet
- Der Typ der sich auskannte sprach nur von bauen, bauen bauen. Man könnte zu Hochzeiten bis zu 4.000 Euro machen.
- Billig: die Leute wollen es billige, ### egal wie das Kabel liegt.
Ich hatte mich gegen den Job entschieden. Wäre wohl eh nicht genommen worden
Warum dieser Exkurs? Weil das die Leute sind, die Hand bei Endkunden anlegen! Jemand der "nur baut" tickert alles via Mobil nach "hinten" durch. Genau da ist dann das Problem bei Fremd-Hardware.
Ich mag Freiheit. Privat damals mit 1.500er DSL auf nem Dorf angefangen. Speedport war Kacke und hing sich immer auf. Also Netgear dann genommen.... Kann also verstehen warum man gleich mit "richtiger Hardware" loslegt und keine 2 Geräte will.
Das Beispiel mit FB und Hitron: Ich möchte wetten dass es mit eigener Hardware noch etwas länger gedauert hätte. Da die im Operation-Center vlt. kein Bock drauf hätten. Und manche Service-Techniker haben nur eine kurze Schulung erhalten. Zumindest damals meine Erfahrung.
Man kann ja eigenes Modem nehmen. Würde mir dann aber "deren Hardware" in den Schrank packen. Der Techniker damals hatte übrigens 3x FritzBoxen verbraten ! Bis sich endlcih herausstellte das mein IT-Leiter das falsche Produkt bestellt hat! Business statt Company - oder so ähnlich.
Selbst mti CoDel auf der OPNsense ließ sich die Fritte nur ein paar Minuten entlasten. Das Trauerspiel zog sich damals schon gut 2 Wochen hin...
1