Office Router Empfehlung

[LouCypher]

für €200,- bekommst gar nichts, ausser spielzeug, ab etwa €350,- bist dabei. Wenn ihr wirklich keine kohle habt würde ich eine monowall auf einem alten pc empfehlen, anders als der ipcop bietet sie eine ordentliche funktionalität ohne addons von fremdanbietern.

[3of4]

Zitat:

Zitat von ZombyKillah

Oder ein Computer mit Linux und firewall ... kann eine low-power maschiene (45-65W Verbrauch) sein und hätte den Vorteil, dass man mehr loggen kann und die resourcen viel größer sind wie bei openwrt.

Davon rate ich eher ab, PCs als Router sind noch immer auf Grund der komplexeren Struktur unzuverlässiger...

[ingomar]

naja, ein ml530 g2 oder tasksmart (in meinem fall mit p3 933 und 1.5 gb ram) tut als firewall/router ganz gut

im konkreten fall ein intel atom-board (iirc 80 eur), memory, 2 disken (oder CF-card), eine NIC, ein brauchbares gehäuse und drauf eine endian/ipcop/vyatta... das kommt preislich hin und ist in sachen verfügbarkeit/zuverlässigkeit kaum schlechter als ein kleiner router.

[exacta]

nachdem wir auf keinen grünen zweig gekommen sind, hab ich beschlossen mich mit vyatta zu beschäftigen...

Hab auch schon eine virtuelle Testmaschine mit vytta drauf, mit mühe und not eth0 (office=192.168.123.254/24) und eth1 (wan=80.120.x.x/29) , dazu noch nat und standardgateway eingerichtet, aber wie zum kuckuck mache ich da portweiterleitungen?

frage: wie läuft das z.b. mit einem ftp server im passive mode? wie realisiert man das mit vyatta?


falls mir da jemand weiterhelfen könnte, wär das wirklich prima.

mfg,
exacta

[ingomar]

Hi,

so, wie es für mich in der doku aussieht, würde ich es mal so anfangen:

http://www.vyatta.com/downloads/othe..._evalguide.pdf

vyatta@vyatta# set service nat rule 2
vyatta@vyatta# set service nat rule 2 type destination
vyatta@vyatta# set service nat rule 2 inbound-interface eth1
vyatta@vyatta# set service nat rule 2 protocol tcp
vyatta@vyatta# set service nat rule 2 destination address $externe_addresse
vyatta@vyatta# set service nat rule 2 destination port http
vyatta@vyatta# set service nat rule 2 source address 0.0.0.0/0
vyatta@vyatta# set service nat rule 2 inside-address address $interne_addresse

für ftp: nachlesen.
http://www.vyatta.org/forum/viewtopic.php?p=2490#2490
http://www.vyatta.com/downloads/docu..._VC2.2_v01.pdf

ich verwende momentan endian, vyatta hat auf meiner alten maschine nicht getan. allerdings hab ich einen dl380g2 (mit redundanten netzteilen), da werd ich mir den umstieg auf vyatta mal sehr genau überlegen.

[exacta]

endian... das richtige stichwort...

ich bin grad dabei das/den/die endian fertig zu konfigurieren; fahr es in einer virtuellen maschine mit 2 nic, surfen und portforwardings hab ich schon fertiggebracht. was mir aber fehlt ist ein -ich nenn es mal- "internal loopback". von "aussen" (inet) erreiche ich meinen webserver und die anderen dienste ohne problem, nur wie schaff ich das von "innerhalb" (lan)? ich hoffe dass du mir da einen tip geben kannst. bis jetzt hat mich endian halt mehr überzeugt als das vyatta.

danke!!

mfg,
exacta

[zonediver]

Einen IPcop willer nicht - aber endian ??? LOOOOL ich lach mich kaputt.
Was ist denn endian? Genau, OpenSource - und die Kastln enthalten embedded Hardware also auch nichts anderes als ein Cop - aber bitte - jedem das seine

[exacta]

Zitat:

Zitat von zonediver

Einen IPcop willer nicht - aber endian ??? LOOOOL ich lach mich kaputt.
Was ist denn endian? Genau, OpenSource - und die Kastln enthalten embedded Hardware also auch nichts anderes als ein Cop - aber bitte - jedem das seine

es geht nicht ums wollen sondern ums müssen.
ich brauch eine lösung die leicht zu administrieren ist und gut funktioniert.
auch auf der hardware die ich zur verfügung habe.
darum *muss* ich mich hier durch das ganze zeug durchgraben.
danke für den konstruktiven beitrag. du hast mir echt weitergeholfen.

mfg,
exacta

[ingomar]

@zonediver: endian hat in meinen augen einen massiven vorteil gegenüber ipcop: wenn man nicht gerade tage investieren will, kommt se von haus aus mit snort und einem sehr mächtigen logging. die verschiedenen zuschaltbaren proxies sind ein weiteres plus.
ich selbst verwende endian deswegen, weil ipcop sich auf meiner hardware (p3 mit asus p3bf mainboard) sich zuerst beim setup zerbirnt hat und dann mac-spoofing einfach zach war.



@exacta: nimmst halt endian, da gibts im webinterface sogar management-kompatible graphen der auslastung usw.

weiters: auf "guten"firewalls ist ein loopback-NAT eigentlich ein ziemlicher graus, denn theoretisch hebelt man damit die spoofing-protection aus (=anfragen mit derselben ursprungs-ip wie das ziel sind ja per se "böse"). loopback-NAT ist eigentlich was für DAUs und homeuser, die ihren webserver hinter einem netgear-kastl halten...

normalerweise macht man es so, dass man auf dem internen DNS eben die interne addresse z.b. des mailservers hat; am externen DNS dann die externe IP.
Sollte das mangels internem DNS oder mangels Willen, hosts files zu editieren, nicht gehen, macht man eben folgendes: einen kleinen DNS server aufsetzen (ob windows, bind, ... wurscht) und den bei der endian als benutzerdefinierten DNS für die domain yyy.zzz eintragen.


und weiters: speicher dir die finale config der virtuellen maschine auf einen usb-stick (geht im webinterface), setz die finale maschine auf und spiel die config ein - fertig.

[zonediver]

Also meine Cops laufen alle auf PIII-Basis mit Intel 815 Chipsatz - da gibt's keine Probs. Ledigilich SIS-Chipsätze machen hin und wieder Ärger. Aufgesetzt ist er in ca. 12 Minuten inkl. aller Plugins die wichtig sind. Beim MAC-Spoofing geb ich Dir recht - das is zach hehe. Allerdings ist das - zumindest bei Chello - kein Problem. Läßt man eben die MAC der roten NIC registrieren und gut isses. Natürlich setzt der Cop aber einiges an "Wissen" vorraus, das bei endian nicht nötig ist - endian ist ja quasi ne "all in on" Lösung - mir persönlich aber viel zu teuer, da der Funktionumfang auch nicht größer als beim Cop ist, allerdings mit einem vielfach höheren Preis, den ich nicht bereit bin zu zahlen - daher eben der IPCop und ned endian.