W. Steuber hat geschrieben: ↑Mittwoch 26. April 2023, 19:36
Pfsense läuft in einer VM gaaanz schlank kalkuliert mit 1 Prozessorkern, 1 GB RAM und und minimal 1 GB Festplatte (ok, für die Installation braucht's erstmal mehr).
Läuft bei mir nebenbei auf dem Linux-Server zur Bereitstellung des VPN zu Red Medical.
Einmal justiert (alle any-any überprüft und ggf. geändert) und danach alles gut.
Extra Hardware (außer 1 Netzwerkkarte für's WAN) war nicht nötig.
Geht mit beiden (pf/OPN) auf ´ner Himbeere.
Wenn man allerdings so spaßige Features wie Reverse Proxy, Zenarmor, Squid Cache und Co. nutzen möchte, dann geht´s munter nach oben mit RAM und Disk. Und manchmal auch CPU, speziell bei VPN mit mehreren Clients an dicker Leitung.
Hier zeigt sich die Flexibilität im Vergleich zu den geschlossenen Appliances der unteren Preisklasse. Ein i5 der 4. Generation steckt das alles gut weg, und wer Strom sparen will, kann auch mit i5-4xxxU an den Start gehen. i3-6xxx tut´s auch, weil fehlende Features gegenüber i5 weitgehend kompensiert werden.
Das sollte dennoch nicht darüber hinwegtäuschen, dass jedes Feature für sich prinzipiell eine weitere potenzielle Schwachstelle und Fehlerquelle ist.
Updaten ist stets Pflicht, und USV oder Auto-Poweron nach Stromausfall sind auch ratsam.
@bofh und Thomas:
Ja, die grundsätzliche Überlegung ist zuerst die erwünschte Netzwerkstruktur.
1) Einfach ist es, die FW als solche zwischen Fritte und internes Netz zu packen und die FW als Exposed Host einzutragen (Fritz schiebt alles durch zur Firewall, die macht dann die Arbeit). Dahinter kann dann das Praxisnetz kommen.
2) ODER hinter 1 mehrere Netze via zusätzliche LAN-Adapter oder alternativ schlauen Switch mit VLAN-Tauglichkeit ansetzen. Also ein Subnetz für sichere Praxis, eines für Hotspot oder so, eines für Internet-PC, eines für Telefonie... naja, es ginge viel
3) Besser wäre natürlich dann noch, gar keine Fritte, sondern einen für das jeweilige WAN (DSL, Glasfaser, LTE) geeignetes Modem vorzuschalten und die _sense die Einwahl erledigen zu lassen. Beseitigt doppeltes NAT und allerlei Besonderheiten.
a) Eine FW zwischen eine Fritz und einen "geschützten Teil" allein zu setzen, ist irgendwie verschwenderisch. Da kann man auch eine Fritzbox als IP-Client zwischensetzen (im richtigen Modus ist die zum vorgelagerten Netz so dicht wie sonst auch zum Internet).
b) Die Fritte weiterhin als Paketfilter zu nutzen und ein eigenes Netz betreiben zu lassen, kann sinnvoll sein, wenn man dort noch zwingend die Telefonie, ggf. ein Gäste-WLAN oder sowas nutzen will. Dennoch entgehen dabei eventuell relevante Dinge wie Freigaben, Reverse Proxy und sowas. Okay, gezielte Weiterleitungen wären eine Idee für sowas...
->
Der Idealzustand ist immer praxisabhängig und eine Frage des Willens und der Ressourcen, da tief einzusteigen.
Die "komplexeren" Lösungen gehören hier auch nicht her: Wer sowas in Eigenregie machen will, wird das System verstehen können und ggf. die passenden Anleitungen dazu finden.
Ich merke, es geht vielleicht so zu weit, eine reine Basislösung als How-To zu bauen. Zu groß ist das Risiko, dass man versucht, irgendwelche weiteren Sachen zu aktivieren und dabei Scheunentore öffnet. Wobei: Das geht auch mit einer Serien-Firewall sehr leicht :>
) Und wenn es wirklich eine sein soll, würde ich eine Watchguard Txx nehmen (T20 mit Basic Security reicht). Aber wie gesagt, in dem meisten Fällen dürfte das nur ein Alibi sein in der Art von "Ja, das BSI will das und die KBV auch, also habe ich eine Hardware-Firewall installiert." (Löst zwar keine echten Probleme, beruhigt aber auf den ersten Blick.)