Pfsense e Fritz 7530
2 partecipanti
Pagina 1 di 1
Pfsense e Fritz 7530
Buongiorno a tutti, sto studiando da qualche giorno la possibilità di inserire Pfsense all'interno della mia piccola rete casalinga per avere una maggior sicurezza.
Vi spiego in linea di massima quello che vorrei fare, senza entrare nel dettaglio delle singole configurazioni, per capire se il progetto che ho in mente può andar bene o se
è possibile ottimizzarlo.
A casa ho:
- fibra TIM FTTC
- modem/router TIM Tecnhicolor (attualmente non utilizzato)
- modem/router FritzBox 7530 (attualmente in uso)
- NAS QNAP connesso in ETH a Fritz
- 2 ipcam, una connessa in eth e l'altra connessa tramite powerline al fritz
- notebook, smartphone, tablet, TV, ecc connessi in WiFi al fritz
Quello che pensavo di fare all'inizio era collegare Pfsense (su miniPC che dovrei comprare) direttamente alla fibra ma da quanto ho capito questa possibilità è solo per la fibra FTTH, felice di essere smentito.
A questo punto ho pensato di riciclare il modem TIM usandolo solo per la portante della fibra, in cascata PFsense che farebbe da firewall e router e utilizzare il Fritz come switch, access point e come gestore del VOIP.
Come gestore intendo dire che attualmente tramite le regole che posso configurare sul fritz posso bloccare le chiamate indesiderate, accettare solo alcuni numeri, ecc ecc
Ecco questa gestione non vorrei perderla.
Secondo voi è corretta una configurazione del genere o si può ottimizzare al meglio? Con questa configurazione l'unica spesa sarebbe per il miniPC che ospiterebbe Pfsense.
Grazie a tutti
Vi spiego in linea di massima quello che vorrei fare, senza entrare nel dettaglio delle singole configurazioni, per capire se il progetto che ho in mente può andar bene o se
è possibile ottimizzarlo.
A casa ho:
- fibra TIM FTTC
- modem/router TIM Tecnhicolor (attualmente non utilizzato)
- modem/router FritzBox 7530 (attualmente in uso)
- NAS QNAP connesso in ETH a Fritz
- 2 ipcam, una connessa in eth e l'altra connessa tramite powerline al fritz
- notebook, smartphone, tablet, TV, ecc connessi in WiFi al fritz
Quello che pensavo di fare all'inizio era collegare Pfsense (su miniPC che dovrei comprare) direttamente alla fibra ma da quanto ho capito questa possibilità è solo per la fibra FTTH, felice di essere smentito.
A questo punto ho pensato di riciclare il modem TIM usandolo solo per la portante della fibra, in cascata PFsense che farebbe da firewall e router e utilizzare il Fritz come switch, access point e come gestore del VOIP.
Come gestore intendo dire che attualmente tramite le regole che posso configurare sul fritz posso bloccare le chiamate indesiderate, accettare solo alcuni numeri, ecc ecc
Ecco questa gestione non vorrei perderla.
Secondo voi è corretta una configurazione del genere o si può ottimizzare al meglio? Con questa configurazione l'unica spesa sarebbe per il miniPC che ospiterebbe Pfsense.
Grazie a tutti
Branch- nuovo utente
- Numero di messaggi : 6
Data d'iscrizione : 11.05.21
Re: Pfsense e Fritz 7530
Ciao,
la tua idea indicativamente mi pare buona!
In fin dei conti ci vuole sempre un router che gestisca il segnale Internet e anche nelle configurazioni aziendali il Firewall è connesso ad un router internet fornito dallo ISP di turno (solitamente tramite un VLAN dedicata, ma non voglio complicare questa discussione).
Lo schema ideale per la tua rete domestica potrebbe essere:
[Internet] -----(Ethernet cable)---- [Router FTTC] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]
Sinceramente dovresti avere un mini PC a disposizione con una scheda che supporti la VDSL ed inoltre avere i parametri per effettuare la configurazione lato WAN, al fine di rimuovere il Router TIM FTTC. Credo che la soluzione più immediata sia usare il router TIM.
Ti suggerisco inoltre di (ma forse ci hai già pensato!):
- Assegnare un IP statico alla porta WAN del firewall PFSENSE (porta che collega il router TIM al Firewall), come ad esempio 192.168.1.2
- Aprire tutte le porte del router TIM verso questo IP statico in modo da gestire gli eventuali port-forwarding direttamente da FW, dimenticandoti del router TIM
Naturalmente la LAN gestita dal firewall deve avere una rete differente rispetto a quella che "gestisce" il router TIM (Ad esempio 192.168.10.0/24).
Il mini PC quante porte ethernet ha?
Te lo chiedo perchè potresti creare una rete DMZ, senza gestire VLAN, per esporre su Internet NAS e CCTV (se per caso lo fai già adesso) e configurare le relative firewall policy affinchè dalla LAN si possa andare verso la DMZ ma non viceversa. In questo modo se un nodo della tua rete esposto su Internet venisse compromesso, gli altri client della LAN sono al "riparo".
Ti suggerisco di spegnere SIP ALG, se dovessi avere problemi di telefoni VoIP sul firewall!
Ciao!!
la tua idea indicativamente mi pare buona!
In fin dei conti ci vuole sempre un router che gestisca il segnale Internet e anche nelle configurazioni aziendali il Firewall è connesso ad un router internet fornito dallo ISP di turno (solitamente tramite un VLAN dedicata, ma non voglio complicare questa discussione).
Lo schema ideale per la tua rete domestica potrebbe essere:
[Internet] -----(Ethernet cable)---- [Router FTTC] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]
Sinceramente dovresti avere un mini PC a disposizione con una scheda che supporti la VDSL ed inoltre avere i parametri per effettuare la configurazione lato WAN, al fine di rimuovere il Router TIM FTTC. Credo che la soluzione più immediata sia usare il router TIM.
Ti suggerisco inoltre di (ma forse ci hai già pensato!):
- Assegnare un IP statico alla porta WAN del firewall PFSENSE (porta che collega il router TIM al Firewall), come ad esempio 192.168.1.2
- Aprire tutte le porte del router TIM verso questo IP statico in modo da gestire gli eventuali port-forwarding direttamente da FW, dimenticandoti del router TIM
Naturalmente la LAN gestita dal firewall deve avere una rete differente rispetto a quella che "gestisce" il router TIM (Ad esempio 192.168.10.0/24).
Il mini PC quante porte ethernet ha?
Te lo chiedo perchè potresti creare una rete DMZ, senza gestire VLAN, per esporre su Internet NAS e CCTV (se per caso lo fai già adesso) e configurare le relative firewall policy affinchè dalla LAN si possa andare verso la DMZ ma non viceversa. In questo modo se un nodo della tua rete esposto su Internet venisse compromesso, gli altri client della LAN sono al "riparo".
Ti suggerisco di spegnere SIP ALG, se dovessi avere problemi di telefoni VoIP sul firewall!
Ciao!!
FedericoCoppola- medio
- Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21
Re: Pfsense e Fritz 7530
FedericoCoppola ha scritto:Ciao,
la tua idea indicativamente mi pare buona!
In fin dei conti ci vuole sempre un router che gestisca il segnale Internet e anche nelle configurazioni aziendali il Firewall è connesso ad un router internet fornito dallo ISP di turno (solitamente tramite un VLAN dedicata, ma non voglio complicare questa discussione).
Lo schema ideale per la tua rete domestica potrebbe essere:
[Internet] -----(Ethernet cable)---- [Router FTTC] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]
Intanto grazie per la risposta. Lo schema che hai proposto è esattamente quello che avevo in mente, almeno inizialmente per non complicarmi troppo la vita.
FedericoCoppola ha scritto:
Sinceramente dovresti avere un mini PC a disposizione con una scheda che supporti la VDSL ed inoltre avere i parametri per effettuare la configurazione lato WAN, al fine di rimuovere il Router TIM FTTC. Credo che la soluzione più immediata sia usare il router TIM.
Ok, lo tengo a mente.
Perfetto, avevo letto già dei tutorial che spiegavano questo discorso delle 2 subnet.FedericoCoppola ha scritto:
Ti suggerisco inoltre di (ma forse ci hai già pensato!):
- Assegnare un IP statico alla porta WAN del firewall PFSENSE (porta che collega il router TIM al Firewall), come ad esempio 192.168.1.2
- Aprire tutte le porte del router TIM verso questo IP statico in modo da gestire gli eventuali port-forwarding direttamente da FW, dimenticandoti del router TIM
Naturalmente la LAN gestita dal firewall deve avere una rete differente rispetto a quella che "gestisce" il router TIM (Ad esempio 192.168.10.0/24).
FedericoCoppola ha scritto:
Il mini PC quante porte ethernet ha?
Te lo chiedo perchè potresti creare una rete DMZ, senza gestire VLAN, per esporre su Internet NAS e CCTV (se per caso lo fai già adesso) e configurare le relative firewall policy affinchè dalla LAN si possa andare verso la DMZ ma non viceversa. In questo modo se un nodo della tua rete esposto su Internet venisse compromesso, gli altri client della LAN sono al "riparo".
Ti suggerisco di spegnere SIP ALG, se dovessi avere problemi di telefoni VoIP sul firewall!
Ciao!!
Allora, il mini PC devo ancora comprarlo, stavo aspettando appunto di capire prima le mie reali esigenze e configurazioni da fare per effettuare un acquisto sensato.
Sicuramente il miniPC dovrà avere almeno 2 porte eth.
Anche se non l'ho scritto hai capito che la mia esigenza è proprio quella di proteggere in modo particolare il NAS e le 2 ipcam.
Se ho capito bene quindi la DMZ la dovrei configurare sul Pfsense sugli indirizzi IP delle ipcam e del NAS giusto?
Al monento le telecamere le raggiungo dall'esterno, senza VPN, utilizzando il DNS della QNAP.
Nella nuova configurazione sicuramente implementerò anche la vpn per raggiungere le ipcam e in generale la rete di casa.
Per la parte voip ho letto in giro che, con un collegamento del genere, andrei a perdere la segreteria del frtiz. Ad altri invece sembra funzionare collegandolo l'uscita telefonica del modem TM alla porta ADSL del fritz e collegare il telefono analogico ad una porta telefonica del fritz.
Dovrebbe funzionare secondo te?
Branch- nuovo utente
- Numero di messaggi : 6
Data d'iscrizione : 11.05.21
Re: Pfsense e Fritz 7530
Ciao Branch,
L'idea della DMZ è utile se:
1) Le telecamere IPCAM sono sempre raggiungibili senza VPN in modo che non siano sulla stessa LAN dei PC, smartphone, TV..
2) Il NAS è sempre raggiungibile senza VPN
Sinceramnete non se integri NAS e IPCAM.
Considera che se ad esempio sul NAS hai dei film o musica, la funzionalità di DLNA non funziona, in quanto si trova su una rete diversa da quella su cui si trova la TV o il tuo PC.
Preciso inoltre che se accedi in VPN quindi non esponi nulla su Internet la DMZ non è necessaria
Ciaoo
Anche se non l'ho scritto hai capito che la mia esigenza è proprio quella di proteggere in modo particolare il NAS e le 2 ipcam.
Se ho capito bene quindi la DMZ la dovrei configurare sul Pfsense sugli indirizzi IP delle ipcam e del NAS giusto?
Al monento le telecamere le raggiungo dall'esterno, senza VPN, utilizzando il DNS della QNAP.
Nella nuova configurazione sicuramente implementerò anche la vpn per raggiungere le ipcam e in generale la rete di casa.
L'idea della DMZ è utile se:
1) Le telecamere IPCAM sono sempre raggiungibili senza VPN in modo che non siano sulla stessa LAN dei PC, smartphone, TV..
2) Il NAS è sempre raggiungibile senza VPN
Sinceramnete non se integri NAS e IPCAM.
Considera che se ad esempio sul NAS hai dei film o musica, la funzionalità di DLNA non funziona, in quanto si trova su una rete diversa da quella su cui si trova la TV o il tuo PC.
Preciso inoltre che se accedi in VPN quindi non esponi nulla su Internet la DMZ non è necessaria
Ciaoo
FedericoCoppola- medio
- Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21
Re: Pfsense e Fritz 7530
FedericoCoppola ha scritto:
Sinceramnete non se integri NAS e IPCAM.
Intendevi dire che la DMZ non è utile se integro una VPN per raggiungere NAS e IPCAM ho capito bene?
FedericoCoppola ha scritto:
Preciso inoltre che se accedi in VPN quindi non esponi nulla su Internet la DMZ non è necessaria
Ciaoo
Hai ragione, ho fatto confusione e forse la cosa migliore sarebbe la VPN, così non espongo nulla su internet e il NAS è raggiungibile anche dalla TV per i contenuti multimediali.
Branch- nuovo utente
- Numero di messaggi : 6
Data d'iscrizione : 11.05.21
Re: Pfsense e Fritz 7530
Ciao,
sì credo che per un uso personale e domestico, va benissimo avere NAS, PC, TV... nella stessa LAN,
in modo particolare se NAS e DVR con relative telecamere sono raggiungibili solamente in VPN e quindi non direttamente tramite Internet.
Solitamente la creazione della DMZ è dovuta al fatto che un host (web server, nas, cctv...) sia esposto su Internet e gli altri client sono "protetti" in quanto non sono nella stessa rete e il traffico fra DMZ e LAN è bloccato dal firewall.
Quello che potresti fare con il firewall sarebbe filtrare le connessioni verso Internet a questo punto, ma qui si apre un discorso che credo non sia interente al forum.
Ti faccio solamente notare che se vuoi lavorare a livello di porte riguardante le connessioni LAN > WAN il fritzbox riesce a svolgere egregiamente questo ruolo. Non sono ovviamente presenti controlli avanzati come DNS Filter, IPS/IDS come avrai notato.
Inoltre la VPN la potrebbe gestire anche il tuo NAS QNAP (io con il mio NAS Synology ci riesco senza problemi).
Ti consiglio di iniziare comunque con una sola LAN sul firewall e utilizzando il router di TIM come router a cui collegare PfSense in cascata. In altre parole ti è sufficiente un PC con due porte Ethernet.
Spero di averti aiutato!
sì credo che per un uso personale e domestico, va benissimo avere NAS, PC, TV... nella stessa LAN,
in modo particolare se NAS e DVR con relative telecamere sono raggiungibili solamente in VPN e quindi non direttamente tramite Internet.
Solitamente la creazione della DMZ è dovuta al fatto che un host (web server, nas, cctv...) sia esposto su Internet e gli altri client sono "protetti" in quanto non sono nella stessa rete e il traffico fra DMZ e LAN è bloccato dal firewall.
Quello che potresti fare con il firewall sarebbe filtrare le connessioni verso Internet a questo punto, ma qui si apre un discorso che credo non sia interente al forum.
Ti faccio solamente notare che se vuoi lavorare a livello di porte riguardante le connessioni LAN > WAN il fritzbox riesce a svolgere egregiamente questo ruolo. Non sono ovviamente presenti controlli avanzati come DNS Filter, IPS/IDS come avrai notato.
Inoltre la VPN la potrebbe gestire anche il tuo NAS QNAP (io con il mio NAS Synology ci riesco senza problemi).
Ti consiglio di iniziare comunque con una sola LAN sul firewall e utilizzando il router di TIM come router a cui collegare PfSense in cascata. In altre parole ti è sufficiente un PC con due porte Ethernet.
Spero di averti aiutato!
FedericoCoppola- medio
- Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21
Re: Pfsense e Fritz 7530
FedericoCoppola ha scritto:Ciao,
sì credo che per un uso personale e domestico, va benissimo avere NAS, PC, TV... nella stessa LAN,
in modo particolare se NAS e DVR con relative telecamere sono raggiungibili solamente in VPN e quindi non direttamente tramite Internet.
Solitamente la creazione della DMZ è dovuta al fatto che un host (web server, nas, cctv...) sia esposto su Internet e gli altri client sono "protetti" in quanto non sono nella stessa rete e il traffico fra DMZ e LAN è bloccato dal firewall.
Chiarissimo!
Allora la VPN con il NAS l'avevo già testata tempo fa. VPN ti tipo ipsec. Il problema è che ho una sim aziendale che si collega ad un apn dove molte porte sono bloccate.FedericoCoppola ha scritto:
Inoltre la VPN la potrebbe gestire anche il tuo NAS QNAP (io con il mio NAS Synology ci riesco senza problemi).
rete e il traffico fra DMZ e LAN è bloccato dal firewall.
Infatti se provavo l'accesso con apn aziendale non riuscivo, con apn "pubblico" tutto ok. Ho provato a vedere se si potevano cambiare le porte di default ma non sono riuscito (500, 1701, 4500).
Ieri ho invece attivato la VPN sul NAS con OpenVPN. In questo caso posso configurare la porta a piacimento anche se per farla digerire all'apn aziendale ho dovuto impostarla in tcp, avrò quindi una maggior latenza ma per adesso bene così in attesa di una configurazione con pfsense.
PS: piccolo problema sul mio Samsung dove ho installato il certificato della QNAP ma quando cerco di attivare la vpn e mi chiede di selezionare il certificato non si apre nessuna lista per scegliere, ma se faccio "continua" lui si connette. Ma questo è un altro problema.
La domanda invece inerente sempre al mondo vpn è:
meglio la vpn di tipo openvpn o ipsec fornita dal NAS o quella del fritzbox?
FedericoCoppola ha scritto:
Ti consiglio di iniziare comunque con una sola LAN sul firewall e utilizzando il router di TIM come router a cui collegare PfSense in cascata. In altre parole ti è sufficiente un PC con due porte Ethernet.
Questo passaggio invece non l'ho capito perdonami.
Mi stai dicendo che dovrei collegare in cascata al modem TIM sia il fritz che pfsense (miniPC) ?
Grazie per l'aiuto
Branch- nuovo utente
- Numero di messaggi : 6
Data d'iscrizione : 11.05.21
Re: Pfsense e Fritz 7530
Sinceramente non ho mai avuto modo di usare quella del FritzBox. Riguardo a tale aspetto non saprei aiutarti.meglio la vpn di tipo openvpn o ipsec fornita dal NAS o quella del fritzbox?
Se installi il firewall, utilizza lui è dedicato anche a tale scopo solitamente.
Questo passaggio invece non l'ho capito perdonami.
Mi stai dicendo che dovrei collegare in cascata al modem TIM sia il fritz che pfsense (miniPC) ?
Nessun problema, ti suggerisco di collegare in cascata al modem TIM, prima PfSense e poi FritzBox, come avevamo schematizzato in post precedenti ovvero:
[Internet] ------ [Router FTTC TIM] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]
Ciao!
FedericoCoppola- medio
- Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21
Re: Pfsense e Fritz 7530
FedericoCoppola ha scritto:Sinceramente non ho mai avuto modo di usare quella del FritzBox. Riguardo a tale aspetto non saprei aiutarti.meglio la vpn di tipo openvpn o ipsec fornita dal NAS o quella del fritzbox?
Se installi il firewall, utilizza lui è dedicato anche a tale scopo solitamente.
Questo passaggio invece non l'ho capito perdonami.
Mi stai dicendo che dovrei collegare in cascata al modem TIM sia il fritz che pfsense (miniPC) ?
Nessun problema, ti suggerisco di collegare in cascata al modem TIM, prima PfSense e poi FritzBox, come avevamo schematizzato in post precedenti ovvero:
[Internet] ------ [Router FTTC TIM] -----(Ethernet cable)---- [Firewall PFSENSE] -----(Ethernet cable)---- [FritzBox]
Ciao!
Per la VPN lo scopo è quello di usare quella di pfsense quando avrò configurato tutto. Nel frattempo però ho attivato quella del NAS, ho provato anche quella del fritz ma con l'apn aziendale non va, quindi torno a usare quella del NAS.
Riguardo allo scherma di rete grazie per la conferma, mi ero confuso.
Grazie ancora
Branch- nuovo utente
- Numero di messaggi : 6
Data d'iscrizione : 11.05.21
Re: Pfsense e Fritz 7530
Figurati, il FritzBox ti suggerirei di usarlo in modalità "CLIENT IP" e non in modalità "ROUTER".
In questo modo la porta LAN del futuro firewall PfSense e altri client connessi al FritzBox saranno tutti nella stessa LAN, semplificando la gestione della tua rete domestica.
Saluti
Federico
In questo modo la porta LAN del futuro firewall PfSense e altri client connessi al FritzBox saranno tutti nella stessa LAN, semplificando la gestione della tua rete domestica.
Saluti
Federico
FedericoCoppola- medio
- Numero di messaggi : 77
Età : 27
Località : Torino
Data d'iscrizione : 09.05.21
Argomenti simili
» 7530/7590 VPN IPSEC PFSENSE
» Fritz box 7530 collegato via lan ad un altro Fritz box 7530
» Fritz 7530 master e Fritz 4040 come ripetitore MESH
» Come assegnare apparecchi ai Fritz repeat ? E non la Fritz box 7530
» fritz 3490 in cascata a fritz 7530
» Fritz box 7530 collegato via lan ad un altro Fritz box 7530
» Fritz 7530 master e Fritz 4040 come ripetitore MESH
» Come assegnare apparecchi ai Fritz repeat ? E non la Fritz box 7530
» fritz 3490 in cascata a fritz 7530
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.
Oggi alle 9:41 am Da Acuplush
» Ciao a tutti
Oggi alle 9:37 am Da Acuplush
» 6850 lan1 wan
Oggi alle 8:18 am Da maurofritz
» FritzBox 5690 pro e Fastweb FTTH
Oggi alle 2:20 am Da DANIELONE
» Problema con Fritzbox 7590 e ripetitore 1240e
Ieri alle 11:51 am Da savsa82
» Buonasera a tutti sono nuovo
Ieri alle 9:21 am Da savsa82
» 3 fritz per me
Ieri alle 9:08 am Da Thejosehln
» Buonasera a tutti
Ieri alle 8:19 am Da Causio
» Fritzbox 7590 in sostituzione di modem TIM
Ieri alle 4:56 am Da DANIELONE
» Help Passaggio configurazione VOIP TIM da vecchio 7590 a nuovo 7690
Ieri alle 4:48 am Da rohrl
» Fritz!Repeater 600 e Fasweb Fastgate
Mer Nov 20, 2024 6:45 am Da DANIELONE
» Steve - Nuovo utente
Mer Nov 20, 2024 2:32 am Da Steveworld7