Fritz!Box-Forum Italia (unofficial)
Vuoi reagire a questo messaggio? Crea un account in pochi click o accedi per continuare.

Pfsense e Fritz 7530

2 partecipanti

Andare in basso

Pfsense e Fritz 7530 Empty Pfsense e Fritz 7530

Messaggio Da Branch Lun Mag 17, 2021 11:40 pm

Buongiorno a tutti, sto studiando da qualche giorno la possibilità di inserire Pfsense all'interno della mia piccola rete casalinga per avere una maggior sicurezza.

Vi spiego in linea di massima quello che vorrei fare, senza entrare nel dettaglio delle singole configurazioni, per capire se il progetto che ho in mente può andar bene o se
è possibile ottimizzarlo.

A casa ho:

- fibra TIM FTTC
- modem/router TIM Tecnhicolor (attualmente non utilizzato)
- modem/router FritzBox 7530 (attualmente in uso)
- NAS QNAP connesso in ETH a Fritz
- 2 ipcam, una connessa in eth e l'altra connessa tramite powerline al fritz
- notebook, smartphone, tablet, TV, ecc connessi in WiFi al fritz

Quello che pensavo di fare all'inizio era collegare Pfsense (su miniPC che dovrei comprare) direttamente alla fibra ma da quanto ho capito questa possibilità è solo per la fibra FTTH, felice di essere smentito.

A questo punto ho pensato di riciclare il modem TIM usandolo solo per la portante della fibra, in cascata PFsense che farebbe da firewall e router e utilizzare il Fritz come switch, access point e come gestore del VOIP.
Come gestore intendo dire che attualmente tramite le regole che posso configurare sul fritz posso bloccare le chiamate indesiderate, accettare solo alcuni numeri, ecc ecc
Ecco questa gestione non vorrei perderla.

Secondo voi è corretta una configurazione del genere o si può ottimizzare al meglio? Con questa configurazione l'unica spesa sarebbe per il miniPC che ospiterebbe Pfsense.

Grazie a tutti


Branch
nuovo utente
nuovo utente

Numero di messaggi : 6
Data d'iscrizione : 11.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da FedericoCoppola Mar Mag 18, 2021 8:20 am

Ciao,
la tua idea indicativamente mi pare buona!
In fin dei conti ci vuole sempre un router che gestisca il segnale Internet e anche nelle configurazioni aziendali il Firewall è connesso ad un router internet fornito dallo ISP di turno (solitamente tramite un VLAN dedicata, ma non voglio complicare questa discussione).

Lo schema ideale per la tua rete domestica potrebbe essere:


[Internet] -----(Ethernet cable)---- [Router FTTC] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]

Sinceramente dovresti avere un mini PC a disposizione con una scheda che supporti la VDSL ed inoltre avere i parametri per effettuare la configurazione lato WAN, al fine di rimuovere il Router TIM FTTC. Credo che la soluzione più immediata sia usare il router TIM.

Ti suggerisco inoltre di (ma forse ci hai già pensato!):
- Assegnare un IP statico alla porta WAN del firewall PFSENSE (porta che collega il router TIM al Firewall), come ad esempio 192.168.1.2
- Aprire tutte le porte del router TIM verso questo IP statico in modo da gestire gli eventuali port-forwarding direttamente da FW, dimenticandoti del router TIM

Naturalmente la LAN gestita dal firewall deve avere una rete differente rispetto a quella che "gestisce" il router TIM (Ad esempio 192.168.10.0/24).

Il mini PC quante porte ethernet ha?
Te lo chiedo perchè potresti creare una rete DMZ, senza gestire VLAN, per esporre su Internet NAS e CCTV (se per caso lo fai già adesso) e configurare le relative firewall policy affinchè dalla LAN si possa andare verso la DMZ ma non viceversa. In questo modo se un nodo della tua rete esposto su Internet venisse compromesso, gli altri client della LAN sono al "riparo".

Ti suggerisco di spegnere SIP ALG, se dovessi avere problemi di telefoni VoIP sul firewall!

Ciao!!

FedericoCoppola
medio
medio

Maschio Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da Branch Mar Mag 18, 2021 9:27 pm

FedericoCoppola ha scritto:Ciao,
la tua idea indicativamente mi pare buona!
In fin dei conti ci vuole sempre un router che gestisca il segnale Internet e anche nelle configurazioni aziendali il Firewall è connesso ad un router internet fornito dallo ISP di turno (solitamente tramite un VLAN dedicata, ma non voglio complicare questa discussione).

Lo schema ideale per la tua rete domestica potrebbe essere:


[Internet] -----(Ethernet cable)---- [Router FTTC] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]

Intanto grazie per la risposta. Lo schema che hai proposto è esattamente quello che avevo in mente, almeno inizialmente per non complicarmi troppo la vita.

FedericoCoppola ha scritto:
Sinceramente dovresti avere un mini PC a disposizione con una scheda che supporti la VDSL ed inoltre avere i parametri per effettuare la configurazione lato WAN, al fine di rimuovere il Router TIM FTTC. Credo che la soluzione più immediata sia usare il router TIM.

Ok, lo tengo a mente.

FedericoCoppola ha scritto:
Ti suggerisco inoltre di (ma forse ci hai già pensato!):
- Assegnare un IP statico alla porta WAN del firewall PFSENSE (porta che collega il router TIM al Firewall), come ad esempio 192.168.1.2
- Aprire tutte le porte del router TIM verso questo IP statico in modo da gestire gli eventuali port-forwarding direttamente da FW, dimenticandoti del router TIM

Naturalmente la LAN gestita dal firewall deve avere una rete differente rispetto a quella che "gestisce" il router TIM (Ad esempio 192.168.10.0/24).
Perfetto, avevo letto già dei tutorial che spiegavano questo discorso delle 2 subnet.

FedericoCoppola ha scritto:
Il mini PC quante porte ethernet ha?
Te lo chiedo perchè potresti creare una rete DMZ, senza gestire VLAN, per esporre su Internet NAS e CCTV (se per caso lo fai già adesso) e configurare le relative firewall policy affinchè dalla LAN si possa andare verso la DMZ ma non viceversa. In questo modo se un nodo della tua rete esposto su Internet venisse compromesso, gli altri client della LAN sono al "riparo".

Ti suggerisco di spegnere SIP ALG, se dovessi avere problemi di telefoni VoIP sul firewall!

Ciao!!

Allora, il mini PC devo ancora comprarlo, stavo aspettando appunto di capire prima le mie reali esigenze e configurazioni da fare per effettuare un acquisto sensato.
Sicuramente il miniPC dovrà avere almeno 2 porte eth.
Anche se non l'ho scritto hai capito che la mia esigenza è proprio quella di proteggere in modo particolare il NAS e le 2 ipcam.
Se ho capito bene quindi la DMZ la dovrei configurare sul Pfsense sugli indirizzi IP delle ipcam e del NAS giusto?
Al monento le telecamere le raggiungo dall'esterno, senza VPN, utilizzando il DNS della QNAP.
Nella nuova configurazione sicuramente implementerò anche la vpn per raggiungere le ipcam e in generale la rete di casa.

Per la parte voip ho letto in giro che, con un collegamento del genere, andrei a perdere la segreteria del frtiz. Ad altri invece sembra funzionare collegandolo l'uscita telefonica del modem TM alla porta ADSL del fritz e collegare il telefono analogico ad una porta telefonica del fritz.

Dovrebbe funzionare secondo te?

Branch
nuovo utente
nuovo utente

Numero di messaggi : 6
Data d'iscrizione : 11.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da FedericoCoppola Mar Mag 18, 2021 11:08 pm

Ciao Branch,

Anche se non l'ho scritto hai capito che la mia esigenza è proprio quella di proteggere in modo particolare il NAS e le 2 ipcam.
Se ho capito bene quindi la DMZ la dovrei configurare sul Pfsense sugli indirizzi IP delle ipcam e del NAS giusto?
Al monento le telecamere le raggiungo dall'esterno, senza VPN, utilizzando il DNS della QNAP.
Nella nuova configurazione sicuramente implementerò anche la vpn per raggiungere le ipcam e in generale la rete di casa.

L'idea della DMZ è utile se:
1) Le telecamere IPCAM sono sempre raggiungibili senza VPN in modo che non siano sulla stessa LAN dei PC, smartphone, TV..
2) Il NAS è sempre raggiungibile senza VPN

Sinceramnete non se integri NAS e IPCAM.
Considera che se ad esempio sul NAS hai dei film o musica, la funzionalità di DLNA non funziona, in quanto si trova su una rete diversa da quella su cui si trova la TV o il tuo PC.


Preciso inoltre che se accedi in VPN quindi non esponi nulla su Internet la DMZ non è necessaria

Ciaoo

FedericoCoppola
medio
medio

Maschio Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da Branch Mer Mag 19, 2021 12:40 am

FedericoCoppola ha scritto:

Sinceramnete non se integri NAS e IPCAM.

Intendevi dire che la DMZ non è utile se integro una VPN per raggiungere NAS e IPCAM ho capito bene?

FedericoCoppola ha scritto:
Preciso inoltre che se accedi in VPN quindi non esponi nulla su Internet la DMZ non è necessaria
Ciaoo

Hai ragione, ho fatto confusione e forse la cosa migliore sarebbe la VPN, così non espongo nulla su internet e il NAS è raggiungibile anche dalla TV per i contenuti multimediali.

Branch
nuovo utente
nuovo utente

Numero di messaggi : 6
Data d'iscrizione : 11.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da FedericoCoppola Mer Mag 19, 2021 6:07 am

Ciao,
sì credo che per un uso personale e domestico, va benissimo avere NAS, PC, TV... nella stessa LAN,
in modo particolare se NAS e DVR con relative telecamere sono raggiungibili solamente in VPN e quindi non direttamente tramite Internet.
Solitamente la creazione della DMZ è dovuta al fatto che un host (web server, nas, cctv...) sia esposto su Internet e gli altri client sono "protetti" in quanto non sono nella stessa rete e il traffico fra DMZ e LAN è bloccato dal firewall.

Quello che potresti fare con il firewall sarebbe filtrare le connessioni verso Internet a questo punto, ma qui si apre un discorso che credo non sia interente al forum.

Ti faccio solamente notare che se vuoi lavorare a livello di porte riguardante le connessioni LAN > WAN il fritzbox riesce a svolgere egregiamente questo ruolo. Non sono ovviamente presenti controlli avanzati come DNS Filter, IPS/IDS come avrai notato.

Inoltre la VPN la potrebbe gestire anche il tuo NAS QNAP (io con il mio NAS Synology ci riesco senza problemi).


Ti consiglio di iniziare comunque con una sola LAN sul firewall e utilizzando il router di TIM come router a cui collegare PfSense in cascata. In altre parole ti è sufficiente un PC con due porte Ethernet.

Spero di averti aiutato!

FedericoCoppola
medio
medio

Maschio Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da Branch Mer Mag 19, 2021 8:31 pm

FedericoCoppola ha scritto:Ciao,
sì credo che per un uso personale e domestico, va benissimo avere NAS, PC, TV... nella stessa LAN,
in modo particolare se NAS e DVR con relative telecamere sono raggiungibili solamente in VPN e quindi non direttamente tramite Internet.
Solitamente la creazione della DMZ è dovuta al fatto che un host (web server, nas, cctv...) sia esposto su Internet e gli altri client sono "protetti" in quanto non sono nella stessa rete e il traffico fra DMZ e LAN è bloccato dal firewall.

Chiarissimo!

FedericoCoppola ha scritto:
Inoltre la VPN la potrebbe gestire anche il tuo NAS QNAP (io con il mio NAS Synology ci riesco senza problemi).
rete e il traffico fra DMZ e LAN è bloccato dal firewall.
Allora la VPN con il NAS l'avevo già testata tempo fa. VPN ti tipo ipsec. Il problema è che ho una sim aziendale che si collega ad un apn dove molte porte sono bloccate.
Infatti se provavo l'accesso con apn aziendale non riuscivo, con apn "pubblico" tutto ok. Ho provato a vedere se si potevano cambiare le porte di default ma non sono riuscito (500, 1701, 4500).
Ieri ho invece attivato la VPN sul NAS con OpenVPN. In questo caso posso configurare la porta a piacimento anche se per farla digerire all'apn aziendale ho dovuto impostarla in tcp, avrò quindi una maggior latenza ma per adesso bene così in attesa di una configurazione con pfsense.
PS: piccolo problema sul mio Samsung dove ho installato il certificato della QNAP ma quando cerco di attivare la vpn e mi chiede di selezionare il certificato non si apre nessuna lista per scegliere, ma se faccio "continua" lui si connette. Ma questo è un altro problema.

La domanda invece inerente sempre al mondo vpn è:
meglio la vpn di tipo openvpn o ipsec fornita dal NAS o quella del fritzbox?

FedericoCoppola ha scritto:
Ti consiglio di iniziare comunque con una sola LAN sul firewall e utilizzando il router di TIM come router a cui collegare PfSense in cascata. In altre parole ti è sufficiente un PC con due porte Ethernet.

Questo passaggio invece non l'ho capito perdonami.
Mi stai dicendo che dovrei collegare in cascata al modem TIM sia il fritz che pfsense (miniPC) ?

Grazie per l'aiuto

Branch
nuovo utente
nuovo utente

Numero di messaggi : 6
Data d'iscrizione : 11.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da FedericoCoppola Mer Mag 19, 2021 10:40 pm

meglio la vpn di tipo openvpn o ipsec fornita dal NAS o quella del fritzbox?
Sinceramente non ho mai avuto modo di usare quella del FritzBox. Riguardo a tale aspetto non saprei aiutarti.
Se installi il firewall, utilizza lui è dedicato anche a tale scopo solitamente.


Questo passaggio invece non l'ho capito perdonami.
Mi stai dicendo che dovrei collegare in cascata al modem TIM sia il fritz che pfsense (miniPC) ?

Nessun problema, ti suggerisco di collegare in cascata al modem TIM, prima PfSense e poi FritzBox, come avevamo schematizzato in post precedenti ovvero:

[Internet] ------ [Router FTTC TIM] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]

Ciao!

FedericoCoppola
medio
medio

Maschio Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da Branch Mer Mag 19, 2021 11:04 pm

FedericoCoppola ha scritto:
meglio la vpn di tipo openvpn o ipsec fornita dal NAS o quella del fritzbox?
Sinceramente non ho mai avuto modo di usare quella del FritzBox. Riguardo a tale aspetto non saprei aiutarti.
Se installi il firewall, utilizza lui è dedicato anche a tale scopo solitamente.


Questo passaggio invece non l'ho capito perdonami.
Mi stai dicendo che dovrei collegare in cascata al modem TIM sia il fritz che pfsense (miniPC) ?

Nessun problema, ti suggerisco di collegare in cascata al modem TIM, prima PfSense e poi FritzBox, come avevamo schematizzato in post precedenti ovvero:

[Internet] ------ [Router FTTC TIM] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]

Ciao!

Per la VPN lo scopo è quello di usare quella di pfsense quando avrò configurato tutto. Nel frattempo però ho attivato quella del NAS, ho provato anche quella del fritz ma con l'apn aziendale non va, quindi torno a usare quella del NAS.

Riguardo allo scherma di rete grazie per la conferma, mi ero confuso.

Grazie ancora

Branch
nuovo utente
nuovo utente

Numero di messaggi : 6
Data d'iscrizione : 11.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da FedericoCoppola Gio Mag 20, 2021 5:43 am

Figurati, il FritzBox ti suggerirei di usarlo in modalità "CLIENT IP" e non in modalità "ROUTER".
In questo modo la porta LAN del futuro firewall PfSense e altri client connessi al FritzBox saranno tutti nella stessa LAN, semplificando la gestione della tua rete domestica.


Saluti
Federico

FedericoCoppola
medio
medio

Maschio Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21

Torna in alto Andare in basso

Pfsense e Fritz 7530 Empty Re: Pfsense e Fritz 7530

Messaggio Da Contenuto sponsorizzato


Contenuto sponsorizzato


Torna in alto Andare in basso

Torna in alto

- Argomenti simili

 
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.