Valera
Here to stay
|
es gibt schon eine Rückmeldung ob das Intrusion Detection System funktioniert im Web-Interface. Da habe ich mich ungenau ausgedrückt. Also folgendes: Natürlich habe ich gesehen, dass unter Status -> Services das aufgelistet ist. Das ist auch bei mir beides grün. Unter Services -> Intrusion Detection -> intrusion detection system rules sind natürlich etliche Regeln angehakerl, auch die Untermenüs. Natürlich wurde (mehrmals auf Update, Speichern usw gedrückt. Ich hab auch probiert dazwischen neu zu starten. So weit so gut. ABER: Unter Logs -> IDS Logs -> Log Total number of intrusion rules activated for Dec 12: 0 Es gibt auch kein einziges Log, dass Snort irgendwo etwas zu meckern hätte. Wie auch immer, ich mach mal das Update, evtl ändert sich etwas. ich plane in naher Zukunft quasi eine Router seitige shutup10 Liste zu veröffentlichen. Sehr nett. Danke. Schaun wir dann mal obs bei mir läuft.
|
mr.nice.
differential image maker
|
Es gibt übrigens seit Oktober 2015 den Nachfolger des von mir verwendeten Mainboards, das Gigabyte GA-N3150N-D3V, welches auch über zwei Realtek Gigabit NICs verfügt. Der Celeron N3150 hat im Gegensatz zum J1900 Prozessor die AES-NI Erweiterung, die von IPFire unterstützt wird und z.B. zur Beschleunigung von IPSec oder OpenVPN eingesetzt werden könnte.
Mit einer Intel Wireless-AC 7260 PCIe Mini Card kann man sich so einen VPN tauglichen, vergleichsweise günstigen WLAN/LAN Router mit Snort IPS-Firewall bauen. Bei Bedarf kann man in den PCI-Slot noch eine low profile Netzwerkkarte einbauen.
Bearbeitet von mr.nice. am 04.01.2016, 18:32
|
spunz
Super ModeratorSuper Moderator
|
Bei 250 Euro wäre eine PCengine APU ggf eine günstigere Alternative. Die gibt es als komplettes Set schon um ~200 Euro.
Bearbeitet von spunz am 04.01.2016, 17:38
|
mr.nice.
differential image maker
|
Die PCengines APUs sind definitiv tolle Hardware und exzellent auf ihren Einsatzzweck zugeschnitten. Sie bieten zum Teil noch mehr Möglichkeiten für den professionellen Bereich, z.B. vorbereitet für redundante WAN-Links. Wenn man aktuelle Hardware von der Stange kauft, bekommt man etwas mehr Leistung unterm Strich und hat dadurch mehr Spielraum zum experimentieren. Wenn ich mir heute eine IPFire V2 für den Privatgebrauch bauen würde, das wäre sie:
Bearbeitet von mr.nice. am 04.01.2016, 19:44
|
nexus_VI
Overnumerousness!
|
Ich habe 2 ~15 Personen Offices (geteilte Internetanbindung) problemlos mit einer pfSense APU angebunden, inkl. Traffic Shaping, VPN Dienste, etc., spielte alle Stückerl.
Kann diese Lösung demnach sehr empfehlen. Da mir die Spielerei vergönnt war, fahre ich jetzt im Solo-Office mit einem Supermicro Atom Quadcore Brettl, 16GB RAM und ebenfalls pfSense.
Haut auch einwandfrei hin, und ist mit Multi-WAN und Failover (Load Balancing benötigen wir nicht) ausgestattet welches sogar im WebIf auf einfachstem Wege zusammenklickbar ist. Transparenter Squid, DNS Recursor sind auch kein Problem.
Die IPFire Lösung ist nicht uninteressant, aber ich sehe persönlich dafür kein Einsatzgebiet wo pfSense nicht gleich gut oder besser dasteht.
Bearbeitet von nexus_VI am 04.01.2016, 22:39
|
Valera
Here to stay
|
AES-NI Erweiterung, die von IPFire unterstützt wird und z.B. zur Beschleunigung von IPSec oder OpenVPN eingesetzt werden könnte. Ich hab IPFire OpenVPN auf einem Pentium G630 ohne AES-NI und bring 7Mb/sek drüber. Mehr kann meine Anbindung nicht im Upload. Aber natürlich würde ich bei Anschaffung von Hardware auch AES-NI einsetzen. Die IPFire Lösung ist nicht uninteressant, aber ich sehe persönlich dafür kein Einsatzgebiet wo pfSense nicht gleich gut oder besser dasteht. Naja. IPFire mach auf mich den Eindruck einer Bastellösung. Ich kenne pfsense nicht, aber überzeugt hat mich IPFire nicht. IPFire 2.17 - Core Update 95 und Squid und Snort sind nicht zum Laufen zu bringen. Zumindest nicht übers Webinterface. Die Grundeinrichtung ist sehr einfach, auch OpenVPN ist ok aber das wars auch schon. Sobald ich Zeit habe werde ich pfsense ausprobieren.
Bearbeitet von Valera am 04.01.2016, 23:09
|
userohnenamen
leider kein name
|
ACK @ neues_VI: Hab (bzw bald hatte) zwei größere Niederlassungen und 3-4 Home Offices im Verbund + ein weiteres Netz mit 5-6 APUs und ALIX Boards für VoIP das jetzt um noch 6 weitere aufgebohrt wird Mit CARP, OSPF, failover Dual-WAN etc Die Lösung ist einfach wöd
Bearbeitet von userohnenamen am 04.01.2016, 23:13
|
mr.nice.
differential image maker
|
Im Linux Bereich tut sich recht viel, z.B. finde ich firehol.org ziemlich spannend, ob es für pfSense bzw. BSD etwas vergleichbares wie IPset gibt weiß ich nicht. Die Addons Liste von ipfire http://wiki.ipfire.org/en/addons/start ist auch nicht gerade schwach. Da gibt's viele Addons die sowohl für Private als auch für Firmen interessant sind.
Bearbeitet von mr.nice. am 04.01.2016, 23:22
|
nexus_VI
Overnumerousness!
|
Die Addons Liste von ipfire http://wiki.ipfire.org/en/addons/start ist auch nicht gerade schwach. Nur ein paar Beispiele: BackupPC, LCD4LINUX, owncloud, Asterisk und Teamspeak, Video Disc Recorder, MP3 Jukebox (beta) und MiniDLNA (beta), Tor... Im AIO Bereich natürlich superklasse, wenn ich BackupPC und den Asterisk (auch für pfSense verfügbar) gleich dabeihab, für die "reine Firewall" imho eher nicht in erster Linie ausschlaggebend, bzw. reicht mir da ein einfacher SIP Proxy und ein VPN Tunnel zum tatsächlichen BackupPC Host. Stimmt aber, hab das Gefühl im GNU/Linux Bereich tut sich recht viel. Betreffend Bastellösung, die vor der APU bestehende Lösung via Zyxel Appliance lief immer ganz OK, bot natürlich nicht annähernd die Möglichkeiten. Nach ein paar (4?) Jahren Betrieb rauchte das Ding eines Tages kommentarlos ab. Diese Lösung kostete dafür annähernd das 4-fache. Brauche mir nur ein Sonicwall Management Interface anschauen um zu wissen, dass ich mit den "Profi-Lösungen" nicht freiwillig arbeiten will.
Bearbeitet von nexus_VI am 04.01.2016, 23:25
|
mr.nice.
differential image maker
|
Der core developer copymaster hat begonnen leicht verständliche, deutschsprachige Youtube-Videos zur Einrichtung der IPFire zu veröffentlichen. Allen die sich dafür interessieren und vielleicht noch nicht getraut haben, seien diese Videos ans Herz gelegt. Für Fragen, die über die Videos hinausgehen, gibt es auch ein gut besuchtes, deutschsprachiges Forum mit einer hilfsbereiten Community. copymasters Video-Blog: https://www.youtube.com/channel/UCB...Wg1hXFK1jZShx6gDeutschsprachiger Ipfire.org Bereich: http://forum.ipfire.org/viewforum.php?f=85
Bearbeitet von mr.nice. am 01.02.2016, 21:59
|
michael
Little Overclocker
|
IPFire 2.17 - Core Update 99 released www.ipfire.org - IPFire 2.17 - Core Update 99 releasedIPFire is a free firewall distribution based on Linux. Link: www.ipfire.org
|
mr.nice.
differential image maker
|
Ich habe erst kürzlich eine Zotac ZBOX nano CI323 Plus erfolgreich als IPFire Router mit WLAN Access Point in Betrieb genommen. Im UEFI muss man den den boot Modus auf legacy eingestellen, sonst startet das Linux nicht. Installiert habe ich von CD und externem USB DVD-Laufwerk. Die Access Point Konfiguration habe ich nach folgender Anleitung gemacht: http://wiki.ipfire.org/en/addons/wireless/startUm den WiFi MAC-Filter auszuschalten, muss man bei Wireless -> Add device -> sein WLAN Subnetz eintragen, z.B. 192.168.3.0/24, die MAC-Adresse frei lassen, das Gerät hinzufügen und die IPFire einmal neu starten. Günstiger bekommt man eine IPS taugliche Firewall mit VPN, Webproxy und WLAN AP mit 5 Jahren Herstellergarantie nicht.
Bearbeitet von mr.nice. am 07.04.2016, 09:44
|
Viper780
Er ist tot, Jim!
|
Wie gut ist der WLAN Empfang gegen die Zotac ZBox? zB im Vergleich zu den Ubiquiti UniFi AP AC Pro
|
mr.nice.
differential image maker
|
Mit einem richtigen Access Point kann der WLAN Empfang vermutlich nicht konkurrieren, allein schon wegen der Antennenkonfiguration, groß getestet habe ich es nicht.
Ich hatte auf einem Smartphone einen HD-Stream laufen und auf einem zweiten einen Speedtest mit etwa 50 Mbit/s, beide circa 5 Meter entfernt mit nicht mehr als zwei Wänden dazwischen.
Bearbeitet von mr.nice. am 11.04.2016, 11:16
|
whitegrey
Wirtschaftsflüchtling
|
Passt ev. hier rein - sonst einfach moven bei Bedarf The Ars guide to building a Linux router from scratchRemember how our homebrew router embarrassed off-the-shelf options? Go make your own. Link: arstechnica.com
|