Eigenbau Linux Router mit IPFire

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

12.12.2015 - 19:09

Zitat
es gibt schon eine Rückmeldung ob das Intrusion Detection System funktioniert im Web-Interface.

Da habe ich mich ungenau ausgedrückt. Also folgendes:
Natürlich habe ich gesehen, dass unter Status -> Services das aufgelistet ist. Das ist auch bei mir beides grün.

Unter Services -> Intrusion Detection -> intrusion detection system rules sind natürlich etliche Regeln angehakerl, auch die Untermenüs. Natürlich wurde (mehrmals auf Update, Speichern usw gedrückt. Ich hab auch probiert dazwischen neu zu starten.
So weit so gut. ABER:

Unter Logs -> IDS Logs -> Log
Total number of intrusion rules activated for Dec 12: 0
Es gibt auch kein einziges Log, dass Snort irgendwo etwas zu meckern hätte.

Wie auch immer, ich mach mal das Update, evtl ändert sich etwas.

Zitat
ich plane in naher Zukunft quasi eine Router seitige shutup10 Liste zu veröffentlichen.

Sehr nett. Danke. Schaun wir dann mal obs bei mir läuft.

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

04.01.2016 - 15:54

Es gibt übrigens seit Oktober 2015 den Nachfolger des von mir verwendeten Mainboards, das Gigabyte GA-N3150N-D3V, welches auch über zwei Realtek Gigabit NICs verfügt. Der Celeron N3150 hat im Gegensatz zum J1900 Prozessor die AES-NI Erweiterung, die von IPFire unterstützt wird und z.B. zur Beschleunigung von IPSec oder OpenVPN eingesetzt werden könnte.

Mit einer Intel Wireless-AC 7260 PCIe Mini Card kann man sich so einen VPN tauglichen, vergleichsweise günstigen WLAN/LAN Router mit Snort IPS-Firewall bauen. Bei Bedarf kann man in den PCI-Slot noch eine low profile Netzwerkkarte einbauen.

Bearbeitet von mr.nice. am 04.01.2016, 18:32

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11118

04.01.2016 - 17:37

Bei 250 Euro wäre eine PCengine APU ggf eine günstigere Alternative. Die gibt es als komplettes Set schon um ~200 Euro.

Bearbeitet von spunz am 04.01.2016, 17:38

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

04.01.2016 - 18:24

Die PCengines APUs sind definitiv tolle Hardware und exzellent auf ihren Einsatzzweck zugeschnitten. Sie bieten zum Teil noch mehr Möglichkeiten für den professionellen Bereich, z.B. vorbereitet für redundante WAN-Links.

Wenn man aktuelle Hardware von der Stange kauft, bekommt man etwas mehr Leistung unterm Strich und hat dadurch mehr Spielraum zum experimentieren. Wenn ich mir heute eine IPFire V2 für den Privatgebrauch bauen würde, das wäre sie:

Bearbeitet von mr.nice. am 04.01.2016, 19:44

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3661

04.01.2016 - 22:37

Ich habe 2 ~15 Personen Offices (geteilte Internetanbindung) problemlos mit einer pfSense APU angebunden, inkl. Traffic Shaping, VPN Dienste, etc., spielte alle Stückerl.

Kann diese Lösung demnach sehr empfehlen. Da mir die Spielerei vergönnt war, fahre ich jetzt im Solo-Office mit einem Supermicro Atom Quadcore Brettl, 16GB RAM und ebenfalls pfSense.

Haut auch einwandfrei hin, und ist mit Multi-WAN und Failover (Load Balancing benötigen wir nicht) ausgestattet welches sogar im WebIf auf einfachstem Wege zusammenklickbar ist. Transparenter Squid, DNS Recursor sind auch kein Problem.

Die IPFire Lösung ist nicht uninteressant, aber ich sehe persönlich dafür kein Einsatzgebiet wo pfSense nicht gleich gut oder besser dasteht.

Bearbeitet von nexus_VI am 04.01.2016, 22:39

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

04.01.2016 - 23:08

Zitat
AES-NI Erweiterung, die von IPFire unterstützt wird und z.B. zur Beschleunigung von IPSec oder OpenVPN eingesetzt werden könnte.

Ich hab IPFire OpenVPN auf einem Pentium G630 ohne AES-NI und bring 7Mb/sek drüber. Mehr kann meine Anbindung nicht im Upload. Aber natürlich würde ich bei Anschaffung von Hardware auch AES-NI einsetzen.

Zitat
Die IPFire Lösung ist nicht uninteressant, aber ich sehe persönlich dafür kein Einsatzgebiet wo pfSense nicht gleich gut oder besser dasteht.

Naja. IPFire mach auf mich den Eindruck einer Bastellösung. Ich kenne pfsense nicht, aber überzeugt hat mich IPFire nicht. IPFire 2.17 - Core Update 95 und Squid und Snort sind nicht zum Laufen zu bringen. Zumindest nicht übers Webinterface. Die Grundeinrichtung ist sehr einfach, auch OpenVPN ist ok aber das wars auch schon.
Sobald ich Zeit habe werde ich pfsense ausprobieren.

Bearbeitet von Valera am 04.01.2016, 23:09

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

04.01.2016 - 23:11

ACK @ neues_VI:
Hab (bzw bald hatte) zwei größere Niederlassungen und 3-4 Home Offices im Verbund + ein weiteres Netz mit 5-6 APUs und ALIX Boards für VoIP das jetzt um noch 6 weitere aufgebohrt wird
Mit CARP, OSPF, failover Dual-WAN etc
Die Lösung ist einfach wöd

Bearbeitet von userohnenamen am 04.01.2016, 23:13

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

04.01.2016 - 23:13

Im Linux Bereich tut sich recht viel, z.B. finde ich firehol.org ziemlich spannend, ob es für pfSense bzw. BSD etwas vergleichbares wie IPset gibt weiß ich nicht.

Die Addons Liste von ipfire http://wiki.ipfire.org/en/addons/start ist auch nicht gerade schwach. Da gibt's viele Addons die sowohl für Private als auch für Firmen interessant sind.

Bearbeitet von mr.nice. am 04.01.2016, 23:22

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3661

04.01.2016 - 23:25

Zitat von mr.nice.
Die Addons Liste von ipfire http://wiki.ipfire.org/en/addons/start ist auch nicht gerade schwach. Nur ein paar Beispiele: BackupPC, LCD4LINUX, owncloud, Asterisk und Teamspeak, Video Disc Recorder, MP3 Jukebox (beta) und MiniDLNA (beta), Tor...

Im AIO Bereich natürlich superklasse, wenn ich BackupPC und den Asterisk (auch für pfSense verfügbar) gleich dabeihab, für die "reine Firewall" imho eher nicht in erster Linie ausschlaggebend, bzw. reicht mir da ein einfacher SIP Proxy und ein VPN Tunnel zum tatsächlichen BackupPC Host. Stimmt aber, hab das Gefühl im GNU/Linux Bereich tut sich recht viel.

Betreffend Bastellösung, die vor der APU bestehende Lösung via Zyxel Appliance lief immer ganz OK, bot natürlich nicht annähernd die Möglichkeiten. Nach ein paar (4?) Jahren Betrieb rauchte das Ding eines Tages kommentarlos ab. Diese Lösung kostete dafür annähernd das 4-fache.

Brauche mir nur ein Sonicwall Management Interface anschauen um zu wissen, dass ich mit den "Profi-Lösungen" nicht freiwillig arbeiten will.

Bearbeitet von nexus_VI am 04.01.2016, 23:25

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

01.02.2016 - 21:57

Der core developer copymaster hat begonnen leicht verständliche, deutschsprachige Youtube-Videos zur Einrichtung der IPFire zu veröffentlichen. Allen die sich dafür interessieren und vielleicht noch nicht getraut haben, seien diese Videos ans Herz gelegt. Für Fragen, die über die Videos hinausgehen, gibt es auch ein gut besuchtes, deutschsprachiges Forum mit einer hilfsbereiten Community.

copymasters Video-Blog:
https://www.youtube.com/channel/UCB...Wg1hXFK1jZShx6g

Deutschsprachiger Ipfire.org Bereich:
http://forum.ipfire.org/viewforum.php?f=85

Bearbeitet von mr.nice. am 01.02.2016, 21:59

michael

Little Overclocker

Registered: Apr 2002
Location: Feldkirchen in K..
Posts: 98

06.03.2016 - 09:26

IPFire 2.17 - Core Update 99 released

www.ipfire.org - IPFire 2.17 - Core Update 99 released

IPFire is a free firewall distribution based on Linux.

Link: www.ipfire.org

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

07.04.2016 - 09:39

Ich habe erst kürzlich eine Zotac ZBOX nano CI323 Plus erfolgreich als IPFire Router mit WLAN Access Point in Betrieb genommen.

Im UEFI muss man den den boot Modus auf legacy eingestellen, sonst startet das Linux nicht. Installiert habe ich von CD und externem USB DVD-Laufwerk.

Die Access Point Konfiguration habe ich nach folgender Anleitung gemacht:
http://wiki.ipfire.org/en/addons/wireless/start

Um den WiFi MAC-Filter auszuschalten, muss man bei Wireless -> Add device -> sein WLAN Subnetz eintragen, z.B. 192.168.3.0/24, die MAC-Adresse frei lassen, das Gerät hinzufügen und die IPFire einmal neu starten.

Günstiger bekommt man eine IPS taugliche Firewall mit VPN, Webproxy und WLAN AP mit 5 Jahren Herstellergarantie nicht.

Bearbeitet von mr.nice. am 07.04.2016, 09:44

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48856

11.04.2016 - 09:17

Wie gut ist der WLAN Empfang gegen die Zotac ZBox?
zB im Vergleich zu den Ubiquiti UniFi AP AC Pro

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6296

11.04.2016 - 11:12

Mit einem richtigen Access Point kann der WLAN Empfang vermutlich nicht konkurrieren, allein schon wegen der Antennenkonfiguration, groß getestet habe ich es nicht.

Ich hatte auf einem Smartphone einen HD-Stream laufen und auf einem zweiten einen Speedtest mit etwa 50 Mbit/s, beide circa 5 Meter entfernt mit nicht mehr als zwei Wänden dazwischen.

Bearbeitet von mr.nice. am 11.04.2016, 11:16

whitegrey

Wirtschaftsflüchtling

Registered: Dec 2000
Location: 95% Wien 5% Linz
Posts: 7302

21.04.2016 - 06:08

Passt ev. hier rein - sonst einfach moven bei Bedarf

The Ars guide to building a Linux router from scratch

Remember how our homebrew router embarrassed off-the-shelf options? Go make your own.

Link: arstechnica.com

Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	12.12.2015 - 19:09 Zitat es gibt schon eine Rückmeldung ob das Intrusion Detection System funktioniert im Web-Interface. Da habe ich mich ungenau ausgedrückt. Also folgendes: Natürlich habe ich gesehen, dass unter Status -> Services das aufgelistet ist. Das ist auch bei mir beides grün. Unter Services -> Intrusion Detection -> intrusion detection system rules sind natürlich etliche Regeln angehakerl, auch die Untermenüs. Natürlich wurde (mehrmals auf Update, Speichern usw gedrückt. Ich hab auch probiert dazwischen neu zu starten. So weit so gut. ABER: Unter Logs -> IDS Logs -> Log Total number of intrusion rules activated for Dec 12: 0 Es gibt auch kein einziges Log, dass Snort irgendwo etwas zu meckern hätte. Wie auch immer, ich mach mal das Update, evtl ändert sich etwas. Zitat ich plane in naher Zukunft quasi eine Router seitige shutup10 Liste zu veröffentlichen. Sehr nett. Danke. Schaun wir dann mal obs bei mir läuft.
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	04.01.2016 - 15:54 Es gibt übrigens seit Oktober 2015 den Nachfolger des von mir verwendeten Mainboards, das Gigabyte GA-N3150N-D3V, welches auch über zwei Realtek Gigabit NICs verfügt. Der Celeron N3150 hat im Gegensatz zum J1900 Prozessor die AES-NI Erweiterung, die von IPFire unterstützt wird und z.B. zur Beschleunigung von IPSec oder OpenVPN eingesetzt werden könnte. Mit einer Intel Wireless-AC 7260 PCIe Mini Card kann man sich so einen VPN tauglichen, vergleichsweise günstigen WLAN/LAN Router mit Snort IPS-Firewall bauen. Bei Bedarf kann man in den PCI-Slot noch eine low profile Netzwerkkarte einbauen. Bearbeitet von mr.nice. am 04.01.2016, 18:32
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11118	04.01.2016 - 17:37 Bei 250 Euro wäre eine PCengine APU ggf eine günstigere Alternative. Die gibt es als komplettes Set schon um ~200 Euro. Bearbeitet von spunz am 04.01.2016, 17:38
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	04.01.2016 - 18:24 Die PCengines APUs sind definitiv tolle Hardware und exzellent auf ihren Einsatzzweck zugeschnitten. Sie bieten zum Teil noch mehr Möglichkeiten für den professionellen Bereich, z.B. vorbereitet für redundante WAN-Links. Wenn man aktuelle Hardware von der Stange kauft, bekommt man etwas mehr Leistung unterm Strich und hat dadurch mehr Spielraum zum experimentieren. Wenn ich mir heute eine IPFire V2 für den Privatgebrauch bauen würde, das wäre sie: Bearbeitet von mr.nice. am 04.01.2016, 19:44
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3661	04.01.2016 - 22:37 Ich habe 2 ~15 Personen Offices (geteilte Internetanbindung) problemlos mit einer pfSense APU angebunden, inkl. Traffic Shaping, VPN Dienste, etc., spielte alle Stückerl. Kann diese Lösung demnach sehr empfehlen. Da mir die Spielerei vergönnt war, fahre ich jetzt im Solo-Office mit einem Supermicro Atom Quadcore Brettl, 16GB RAM und ebenfalls pfSense. Haut auch einwandfrei hin, und ist mit Multi-WAN und Failover (Load Balancing benötigen wir nicht) ausgestattet welches sogar im WebIf auf einfachstem Wege zusammenklickbar ist. Transparenter Squid, DNS Recursor sind auch kein Problem. Die IPFire Lösung ist nicht uninteressant, aber ich sehe persönlich dafür kein Einsatzgebiet wo pfSense nicht gleich gut oder besser dasteht. Bearbeitet von nexus_VI am 04.01.2016, 22:39
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	04.01.2016 - 23:08 Zitat AES-NI Erweiterung, die von IPFire unterstützt wird und z.B. zur Beschleunigung von IPSec oder OpenVPN eingesetzt werden könnte. Ich hab IPFire OpenVPN auf einem Pentium G630 ohne AES-NI und bring 7Mb/sek drüber. Mehr kann meine Anbindung nicht im Upload. Aber natürlich würde ich bei Anschaffung von Hardware auch AES-NI einsetzen. Zitat Die IPFire Lösung ist nicht uninteressant, aber ich sehe persönlich dafür kein Einsatzgebiet wo pfSense nicht gleich gut oder besser dasteht. Naja. IPFire mach auf mich den Eindruck einer Bastellösung. Ich kenne pfsense nicht, aber überzeugt hat mich IPFire nicht. IPFire 2.17 - Core Update 95 und Squid und Snort sind nicht zum Laufen zu bringen. Zumindest nicht übers Webinterface. Die Grundeinrichtung ist sehr einfach, auch OpenVPN ist ok aber das wars auch schon. Sobald ich Zeit habe werde ich pfsense ausprobieren. Bearbeitet von Valera am 04.01.2016, 23:09
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	04.01.2016 - 23:11 ACK @ neues_VI: Hab (bzw bald hatte) zwei größere Niederlassungen und 3-4 Home Offices im Verbund + ein weiteres Netz mit 5-6 APUs und ALIX Boards für VoIP das jetzt um noch 6 weitere aufgebohrt wird Mit CARP, OSPF, failover Dual-WAN etc Die Lösung ist einfach wöd Bearbeitet von userohnenamen am 04.01.2016, 23:13
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	04.01.2016 - 23:13 Im Linux Bereich tut sich recht viel, z.B. finde ich firehol.org ziemlich spannend, ob es für pfSense bzw. BSD etwas vergleichbares wie IPset gibt weiß ich nicht. Die Addons Liste von ipfire http://wiki.ipfire.org/en/addons/start ist auch nicht gerade schwach. Da gibt's viele Addons die sowohl für Private als auch für Firmen interessant sind. Bearbeitet von mr.nice. am 04.01.2016, 23:22
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3661	04.01.2016 - 23:25 Zitat von mr.nice. Die Addons Liste von ipfire http://wiki.ipfire.org/en/addons/start ist auch nicht gerade schwach. Nur ein paar Beispiele: BackupPC, LCD4LINUX, owncloud, Asterisk und Teamspeak, Video Disc Recorder, MP3 Jukebox (beta) und MiniDLNA (beta), Tor... Im AIO Bereich natürlich superklasse, wenn ich BackupPC und den Asterisk (auch für pfSense verfügbar) gleich dabeihab, für die "reine Firewall" imho eher nicht in erster Linie ausschlaggebend, bzw. reicht mir da ein einfacher SIP Proxy und ein VPN Tunnel zum tatsächlichen BackupPC Host. Stimmt aber, hab das Gefühl im GNU/Linux Bereich tut sich recht viel. Betreffend Bastellösung, die vor der APU bestehende Lösung via Zyxel Appliance lief immer ganz OK, bot natürlich nicht annähernd die Möglichkeiten. Nach ein paar (4?) Jahren Betrieb rauchte das Ding eines Tages kommentarlos ab. Diese Lösung kostete dafür annähernd das 4-fache. Brauche mir nur ein Sonicwall Management Interface anschauen um zu wissen, dass ich mit den "Profi-Lösungen" nicht freiwillig arbeiten will. Bearbeitet von nexus_VI am 04.01.2016, 23:25
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	01.02.2016 - 21:57 Der core developer copymaster hat begonnen leicht verständliche, deutschsprachige Youtube-Videos zur Einrichtung der IPFire zu veröffentlichen. Allen die sich dafür interessieren und vielleicht noch nicht getraut haben, seien diese Videos ans Herz gelegt. Für Fragen, die über die Videos hinausgehen, gibt es auch ein gut besuchtes, deutschsprachiges Forum mit einer hilfsbereiten Community. copymasters Video-Blog: https://www.youtube.com/channel/UCB...Wg1hXFK1jZShx6g Deutschsprachiger Ipfire.org Bereich: http://forum.ipfire.org/viewforum.php?f=85 Bearbeitet von mr.nice. am 01.02.2016, 21:59
michael Little Overclocker Registered: Apr 2002 Location: Feldkirchen in K.. Posts: 98	06.03.2016 - 09:26 IPFire 2.17 - Core Update 99 released www.ipfire.org - IPFire 2.17 - Core Update 99 released IPFire is a free firewall distribution based on Linux. Link: www.ipfire.org
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	07.04.2016 - 09:39 Ich habe erst kürzlich eine Zotac ZBOX nano CI323 Plus erfolgreich als IPFire Router mit WLAN Access Point in Betrieb genommen. Im UEFI muss man den den boot Modus auf legacy eingestellen, sonst startet das Linux nicht. Installiert habe ich von CD und externem USB DVD-Laufwerk. Die Access Point Konfiguration habe ich nach folgender Anleitung gemacht: http://wiki.ipfire.org/en/addons/wireless/start Um den WiFi MAC-Filter auszuschalten, muss man bei Wireless -> Add device -> sein WLAN Subnetz eintragen, z.B. 192.168.3.0/24, die MAC-Adresse frei lassen, das Gerät hinzufügen und die IPFire einmal neu starten. Günstiger bekommt man eine IPS taugliche Firewall mit VPN, Webproxy und WLAN AP mit 5 Jahren Herstellergarantie nicht. Bearbeitet von mr.nice. am 07.04.2016, 09:44
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48856	11.04.2016 - 09:17 Wie gut ist der WLAN Empfang gegen die Zotac ZBox? zB im Vergleich zu den Ubiquiti UniFi AP AC Pro
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6296	11.04.2016 - 11:12 Mit einem richtigen Access Point kann der WLAN Empfang vermutlich nicht konkurrieren, allein schon wegen der Antennenkonfiguration, groß getestet habe ich es nicht. Ich hatte auf einem Smartphone einen HD-Stream laufen und auf einem zweiten einen Speedtest mit etwa 50 Mbit/s, beide circa 5 Meter entfernt mit nicht mehr als zwei Wänden dazwischen. Bearbeitet von mr.nice. am 11.04.2016, 11:16
whitegrey Wirtschaftsflüchtling Registered: Dec 2000 Location: 95% Wien 5% Linz Posts: 7302	21.04.2016 - 06:08 Passt ev. hier rein - sonst einfach moven bei Bedarf The Ars guide to building a Linux router from scratch Remember how our homebrew router embarrassed off-the-shelf options? Go make your own. Link: arstechnica.com

Eigenbau Linux Router mit IPFire

Forum Index > Hardware > Peripherie > Netzwerktechnik

Valera

mr.nice.

spunz

mr.nice.

nexus_VI

Valera

userohnenamen

mr.nice.

nexus_VI

mr.nice.

michael

mr.nice.

Viper780

mr.nice.

whitegrey