Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Die FB können ja hinter der FW als AP dienen, wobei, wir sind hier in einem Ubiquiti-Forum
ja das hab ich mir schon öfter schmunzelnd bewusst gemacht 
ich hatte ja schon die UDM pro vorübergehend in Betrieb und ich muss sagen es fiel mir verdammt schwer das Ding wieder abzubauen.
Hab die irgendwie total gemocht (Herzensangelegenheit)
Aber was nützt die hübsche Frau wenn Sie nicht kochen kann...
Das mit NAT deaktivieren funktioniert nicht.
Du sagtest ja das ihr 2-mal DSL habt. Also FB > OPNsense jeweils mit einem unterschiedlichen Netzwerk-Segment (192.168.178.0 und 192.168.179.0) an die "WAN"-Ports der FW. Die jeweiligen festen IPs des FW-WAN-Port in den jeweiligen FB als DMZ deklarieren. Damit musst du nur noch auf der FW die Regeln erstellen und nicht noch zusätzlich Port-Freigaben auf der FB (zukunftssicher bei wechsel der Internetzugänge zu Glasfaser etc.)
Nur so kannst du beide Internet-Zugänge zielführend verwalten. Dann wird die FB mit der festen öffentlichen IP das LAN2LAN macht.
Ich persönlich hätte allerdings vor der FW nur 2 DSL-Modem(z.B. Vigor 165) im Bridge-Modus gesetzt und die gesamte Konfiguration nur noch auf der FW incl. VPN / LAN2LAN / VoIP.
wäre wahrscheinlich vernünftiger.
ist ne 7590 dafür hat er voriges Jahr 260 Euro geblättert.
Vigor als Modem wäre sicher noch mal 200 für beide + WLAN-Access-Points
sind wieder schnell 400 weg, naja die FB würde ich dann privat verwenden...
ich werde mal drüber schlafen, Tendenz aktuell die Fritzen nutzen
Danke für die Hilfe ich weiß das sehr zu schätzen 
Das gibt es immer wieder mit Fach-Software. So etwas sollte man in eine VM und eigenes Netz sperren.
Damit kann man es schnell zurücksetzen und es kann nicht alles im Netz kaputt machen. Auch sind dann die Probleme eines Hardwareausfalls minimiert.
da gebe ich Dir recht, so wäre es vernünftig
Warum willst du 4-mal an die FB. Pro WAN-Port kommt doch nur von DSL mit 250 MBit. Ihr habt 2x mal WAN an 2 FB?
Also jeweils einmal an deine FW als IN und dann 2-3 Out (TK-Anlage/PC-Netz/Server-Netz).
ich hab die Hoffnung dass sich die Last zum Internet hin dann besser verteilt, kann aber auch ein Irrglaube sein.
Weiß nicht wie die FB das macht intern mit ihrem SWITCH-Modul
ich will ja die FB als Router lassen.
An der OPNsense kann ich NAT deaktivieren bei Bedarf, da habe ich aber noch keinen konkreten Plan.
Kein Schimmer ob die OPNsense besseres / sichereres NAT macht als die FB
Plan A wäre ja FB macht weiterhin LAN2LAN und zwischen LAN FB und SWITCHES dann die FW schalten
eine Intel 4-fach LAN lag schon bei 180 Euro
kann auch die Realtek noch abbestellen....
weiß nicht was besser ist 2 mal Intel oder 4 mal Realtek 
mit 4 fach kann ich alle LANs der Fritte abgreifen und weiter reichen
allerdings fahren sie aktuell nur über 2 LAN-Ports auf große Switches und die TK ist noch mal direkt an der Fritte
Das Ganze war von Anfang an ein Sauhaufen und ich räume seit Monaten auf (naja bekomme ja mein Geld dafür)
Es wäre vielleicht eine Idee jemand der Fit ist min OPNsense per Fernwartung zu holen gegen Bezahlung.
Das wäre mein Plan B falls ich in Sorgen ertrinke...
Ich könnte die Chefs schon dazu bringen Geld auszugeben, aber es gibt halt noch einige Baustellen und ich will nicht gleich 2-3k für ne Firewall-Lösung raus hauen wenns auch gut wäre.
Schwachpunkt sind noch 2 uralte PCs (ich sags nur gaaanz leise, mit XP drauf... weil da noch so wichtige alte Programme drauf laufen)
Die müssen auch unbedingt am Internet hängen, aber das treibe ich denen noch aus sobald die neue FW kommt !
hab eben mal 2 Stück 4-fach-LAN-Karten bestellt, ein PCIe-Platz wird frei auf dem PC da die GF-Karte rausflog und onboard-Grafik natürlich reicht für Textdarstellung ...
sind jetzt doch Realtek geworden (4fachChipsatz pro Karte)
hoffe die fressen mir nicht die CPU auf (quadcore AMD)
OPNsense läuft ja schon auf der Kiste auf einer 256 SSD (lag noch rum)
für die Gegenstelle lasse ich die FB da dort nur 3 Telefone hängen und nur einmal pro Woche jemand vor Ort.
Alternativ hole ich für dort noch ein Mini-PC + OPNsense drauf
so nun werde ich erst mal die 125XG -Bestellung canceln, wäre viel Geld für ein Mini-PC
Mit Intel bist du immer auf der sicheren Seite bei allen OS. Ich würde dann gleich ein Dual- oder gar Qudro-Karte nehmen.
LAN Ports kann man an einer FW nie genug haben.
Wenn du auch 10 GB verbauen willst, ist die Fa. Mellanox noch ein sehr guter Anbieter bei günstigen Preisen. Die Fa. ist den meisten nicht so bekannt, sie sind her im Serverbereich unterwegs.
Oki Danke für die Info 
hab mir mal OPNsense auf einem AMD-Desktop installiert eben.
Ist ein Quad-Core AMD mit 8GB-RAM wäre also gut dabei.
Frage:
Habt Ihr Vorschläge welche LAN-Karten ich da verwenden sollte/muss/kann ?
Vielleicht bau ich dann daraus ne Firewall...
Gibt da dual LAN PCI-Express (ist dummerweise nur ein einziger PCIe verbaut und halt die Onboard-LAN)
mein Plan war dann dualLAN-Karte um die 50Euro von Intel ist das zu naiv ? ist das Spielzeug ?
Besteht da ein Risiko da LAN in und Out quasi auf einer Platine?
Gehst du dann auch bei ALDI Klauen ? Die leiden auch nicht unter Existenz-Angst und haben ordentlich
Kohle. Ich will auch das nicht "klein Reeden“ daher: Suchst du grade nach einer Legitimation für Diebstahl ?
Schubst du den alten Mann dann auf dem Parkplatz und nimmst ihm seinen Mercedes Schlüssel weg ?
weil er sich ja einen neuen kaufen kann wo er doch offensichtlich sein leben in trockenen Tücher hat ?
fährst Du immer Auto nach Vorschrift?
gibt es bei Aldi was kostenloses für wenig betuchte?
kann man (nicht genehmigte) Verwendung von Freeware mit (Auto)-Diebstahl vergleichen?
glaubst Du nicht das Sophos irgendwann und irgendwie mal mit Freeware angefangen hat und diese modifiziert hat?
ich vermute die haben nicht alles komplett selbst erfunden, sondern bereits Vorhandenes angepasst, wäre ja auch doof das Rad neu erfinden zu wollen.
Microsoft hatte (oder hat vielleicht noch) die Strategie, seine Software auch als Raubkopien sich verbreiten zu lassen, denn es wurde auf die Möglichkeit verzichtet diese Raubkopien zu sperren beim Kontakt mit Internet.
Sie waren sehr kulant all die Jahre, und vermutlich aus dem folgenden Grund:
F.. Microsoft soll sich möglichst weltweit und im großen Stil verbreiten
jetzt wollen wir doch mal die Moral-Keule etwas beiseite legen für heute ....
sonst haben wir hier wieder eine typische Forum-Diskussion die mit Beleidigungen endet....
Das wäre schade.
Außerdem ging es ja um technische Machbarkeit, all die anderen Thema gehören ja eher in ein Ethik-Forum.
Ursprünglich wollte ich wissen ob man es schaft eine UDMpro im sleben Netzwerk als Friewall zu betreiben indem man den Klienten als Gateway die IP der UDM gibt.
Gruß
um das Ganze zu umgehen spiele ich wohl OPNsense auf die XG
hoffe das klappt, laut Recherche soll es gehen
ja und weil es nicht erlaubt ist, gibt es da draußen so was auch nicht (nene)
meine Frage war:
was passiert wenn ?
scheinbar gibt es zunächst mal keine Wlan-Unterstützung?
gibt es Fälle wo was abgeschaltet wird oder gab es Straf-Fälle?
bei Sophos kann man ordentlich Geld lassen!
denke mal nicht das die unter Existenz-Angst leiden heutzutage.
logo da steckt ordentlich Geld und Leistung in der Entwicklung, ich will das nicht klein reden, denke aber die haben ihre Schäfchen im Trockenen.
Du benötigst ja auch eine gültige Lizenz (!! Eine Home Lizenz ist für deinen Einsatz nicht zulässig !! Du brauchst ein Xstream Protection Bundle, Standard Protection Bundle oder was auch immer du für deinen Einsatz benötigst) für die XG 125 und diese gibt es bis zu einem Enddatum vor dem 31.03.2025.
verstehe
nicht zulässig heißt? läuft aber wäre illegal und unfair gegenüber Sophos ?
noch mal gefragt:
was veraltet?
wo ist das Problem?
geht es um Sicherheitslücken in der Zukunft die dann nicht mehr gepatcht werden oder gibt es das bei Sophos und der Hardware nicht?
oder geht es nur um Kompatibilität zu neueren Geräten?
naja das wäre ja egal, wenn die bis 2025 noch Updates bekommt dann kann die ja danach noch weiter laufen
oder gibt es für die Hardware keine Firmware?
wird das alles durch das OS "verwaltet"
oder so gefragt:
wo siehst Du die Gefahr?
Das ich keine kompatible Hardware nachkaufen kann?
oder
das keine Sicherheitslücken mehr geschlossen werden?
Gruß
Paranoia, ich hör dir trappsen
An sonst - wenn Du schon hier um Hilfe bittest, müsste Dir auch klar sein, dass Du auch die notwendigen Informationen liefern musst, damit man Dir überhaupt helfen kann.
Ich bin dann jedenfalls mal raus.
ne keine Paranoia.
weiß allerdings jetzt nicht was das Modell der TK-Analge hier so wichtig ist
geht ja mal um das Grundkonzept!
wenn ich da die SIP-Ports aufmache und eventuell noch einen Hersteller-spezifischen Port, wird die TK schon klar kommen zumal sie ja bereits mit der FB prima funktioniert seit Jahren.
Auch Lan2LAN funzt seit einmal eingerichter permanent und völlig ohne Probleme.
XG ist schon veraltet?
Das war doch der heiße Tipp hier im Forum?
ich wollte hier nicht zu viele Details preisgeben, nichts gegen Dich aber Internet ist halt Internet und jede Info ist ein weitere Mosaikstein
ich denke doch mal der Typ der TK ist jetzt nicht soo kriegsentscheidend ?
wie gesagt möchte gern das Lan2LAn den FB überlassen und dahinter die XG125 Rev3 und in der Zweigstelle noch eine RED15 Rev1
Und was für einen nun? Kabel, DSL, Glas, LTE, G5 ? Und was für ein CPE?
beides DSL made by Telekom, abe rnur eine Seite feste IP
was meinst Du mit CPE ?
na 2 FritzBoxen + 1 Seite TK-Anlage und 2 Seite IP-Telefone
oder meintest Du was Anderes?
--------------------------------------
kann ich meine XG 125 auch mit älteren Sophos Red kombinieren?
also XG125 Rev3 mit Sophos RED 15 Rev1
oder besser Sophos kontaktieren?
-------------------------------------------
und falls jemand eine Idee für ein gutes Grundschema hat, bitte her damit.
also FB + TK + Firwall + Lan2LAN
Wenn du die FB nicht als DSL-Modem loswerden kannst, solltest du die Sophos in die DMZ bringen. Ich weiß aber nicht, ob man dann noch die IP-Telefone/SIP durchbekommt.
Du meinst auf der FritzBox die Sophos als Exposed Host einrichten?
ja hat
Welcher Art ist den euere Internet-Leitungen? Habt ihr feste IP?
Warum FB als Router? Damit holst du dir doch doppeltes NAT rein?
Wenn du die FB nicht als DSL-Modem loswerden kannst, solltest du die Sophos in die DMZ bringen. Ich weiß aber nicht, ob man dann noch die IP-Telefone/SIP durchbekommt.
nur ein Anschluss hat feste IP
der andere DSL mit dyn IP vom Anbieter
Doppeltes NAT soll doch nur schlimm sein beim Online-Zocken was man so liest.
Büro 1
TK-Anlage + ca 20 IP-Telefone (Verwaltung macht die TK-Anlage aber die IPs macht die Fritte)
Büro 2
einige KM entfernt
ein paar Nebenstellen-Ip-Telefone die an die TK-Analge in Büro 1 angebunden sind per VPN über die FBoxen
Meinst Du die Sophos an die Netzwerkkante als FW und dahinter im LAN jeweils die Fritten und die machen VPN durch die Sophos hindurch? Na dann viel Spaß
nene umgekehrt
Fritzen bleiben als Router dahinter kommt dann die Sophos FW auf der 125
Dann können docjh die beiden AVM-Kinder ne Verbindung zueinander aufbauen und dahinter kommt dann die FW und blockt das böse Zeugs...
Auf der FW gebe ich dann den IP-Telefonen und der TK-Anlage freie Fahrt auf den SIP-Ports.
zur Zeit sind 58 Mitglieder (davon 1 unsichtbar) und 334 Gäste online - Rekord: 129 Benutzer ()
