Heimnetzwerk Absichern

Halli Hallo zusammen,

also, kleiner zwischenstand. Läuft alles genau so wie ich es geplant habe. Das mit der 2ten FW-Stufe ist echt gut finde ich, zwar etwas komplizierter aber funktioniert einwandfrei. Die FritzBox die den AP stellt muss halt etwas anders konfiguriert werden als gedacht damit sie sich ihre Updates ziehen kann, aber auch das klappt. Ich denke ich werde mal eine kleine Doku hierzu veröffentlichen wie ich was gemacht und konfiguriert habe :)

 Was ich allerdings noch nicht so gefunden habe das man den zugriff auf den WebAdmin nur aus einem bestimmten netz erlaubt. Habt Ihr da evtl. eine lösung?

Beste Grüße aus Cuxhaven

Jan

Der Zugriff auf das Webinterface kann nicht an ein Interface gebunden werden.

Aber die IP-Adressen / Netzbereiche welche berechtigt sind werden in Management / WegAdmin settings / allowed networks eingetragen

Der Zugriff auf das Webinterface kann nicht an ein Interface gebunden werden.

Aber die IP-Adressen / Netzbereiche welche berechtigt sind werden in Management / WegAdmin settings / allowed networks eingetragen

Hi Dirk,

sry das ich erst so spät antworte, ist momentan echt was los auf der arbeit :/

Natürlich hast du recht, habe da irgendwie was falsch gedacht. Habe das nun aber auch sehr leicht lösen können. Wer lesen kann und so ... peinlich :)

Bislang läuft alles so wie ich es möchte, auch wenn man sich hier und da ein wenig reinfuchsen muss. Aber ich bin echt sehr sehr angetan von der Sophos.

Heute habe ich das IPSec-VPN eingerichtet und wer hätte es gedacht, klappte auf anhieb. Als ich mir dann so den Livelog von der FireWall angesehen habe ist mir aufgefallen das von dem IPSec-IP-Pool so mal alles nach draussen gehend geblockt wird -> Ergo, biste im VPN haste kein Internet. Jetzt habe ich folgende FireWall-Regel erstellt:

Macht diese Regel sinn? Also "Sinn" im Sinne von:"Wenn du diese Regel machst brauchste keine FireWall!" ?

LG aus dem langsam kalten Cuxhaven

Jan

Das ist eine Regel wie sie oft eingesetzt wird.

Der Sinn hängt von der Umgebung ab.

HTTP(s) würde ich lieber über einen Proxy leiten und DNS von der Sg als Relay machen lassen (dann werden "gefährliche" DNS Anfragen u.U. bereits geblockt)

... und jede Regel mit 5 offenen ports muss besser sein als eine any-regel mit 65535 offenen Ports.

Hi Dirk,

danke für deine Antwort.

Sehe ich auch so, wenn man einfach mal den LiveLog ein wenig beobachtet sieht man schon wie viele Anfragen von überall her kommen und geblockt werden. Ist schon wieder mal eine bestätigung das so eine FireWall sinn macht.

dirkkotte said:

DNS von der Sg als Relay machen lassen

Wie meinst du das? Wie kann man bei der UTM einen DNS als Relay machen?

Meinst du das so ?

LG aus Cuxhaven

Jan

ja, das isses.

Hallo Jan,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

You might also ne interested in DNS best practice.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Jan,

das ist für DNS aber nur die halbe Miete. Unter "Weiterleitung" im Bild oben müssen dann sinnvolle Einträge für die DNS-Server vorgneommen werden.

Ich mache das so:

Die internen Systeme nutzen dann die UTM als DNS-Server. Dort muss also die interne IP-Adresse der UTM als DNS-Server eingetragen werden.

Das kann manuell oder über DHCP geschehen.

Hallo Phillip,

danke für den Hinweis, habe ich jetzt ähnlich umgesetzt.

:)

Grüße aus Cuxhaven

Jan