Ich möchte mein Heimnetzwerk absichern und Werbung und Tracker von sämtlichen Geräten bei mir zu Hause blockieren. Ich stehe vor der Entscheidung Ipfire oder Pihole. Ich weiß, dass beide nicht miteinander zu vergleichen sind, da das eine eine Firewall ist und das andere nicht, doch was ist mehr zu empfehlen?
Ich möchte schließlich auch, von außerhalb einen sicheren Zugang zu meinen NAS Heimserver haben.
Wie sieht mein Netzwerk derzeit aus? Die Fritzbox ist die erste Anlaufstelle für mein Internet über den Betreiber. An dieser befindet sich über einen Lan Port ein Home Assistant angeschlossen. Ich habe mir beide Artikel im Kuketz-Blog durchgelesen, bezüglich Ipfire und Pihole. Beide sind empfohlen um Werbung und Tracker im Haus zu unterbinden/blockieren. Da ich über das Wlan im Haus Geräte (Smart TV) die ich vom tracken abhalten will, bin ich nun etwas unentschlossen welches der beiden Programme sich besser eignen.
Du weißt, dass sie nicht zu vergleichen sind, trotzdem willst du eine Empfehlung?
Beschreibe doch mal dein Heimnetzwerk, wie es jetzt ist, und wie du es gerne hättest.
Wenn du eine separate Firewall einsetzt, wirst du normalerweise mindestens mit einer drei-Geräte-Lösung enden (Modem → Firewall/Router → Access Point). Kommt das für dich in Frage? Solltest du auch ein IDS einsetzen wollen kann das Ganze zudem sehr rechenintensiv werden.
Man kann es natürlich auch so auslegen das du davon ausgehst er besitzt 3 Geräte. Ich lese eben in deiner Formulierung wenn man eine Firewall wie IPFire einsetzt benötigt man 3 Geräte. Da weder du noch ich wissen wie sein Netzwerk aussieht ist die Diskussion derzeitig sowieso irrelevant
Ich habe sowohl pihole als auch ipfire schon benutzt.
Pihole hatte ich separat auf einem raspi 3B zu laufen. DNS-Blockade macht er grundsolide. ABER: du musst auf der FB den pihole als DNS-Server eintragen und zusätzlich auf der FB dafür sorgen, das alle DNS-Anfragen für Port 53 (DNS) auf den pihole umgeleitet werden. Ich weiß nicht, ob letzteres ohne Weiteres auf der FB geht.
Noch vertrackter wird es, wenn du DNS over TLS (DOT, Port 853) blocken willst oder gar DNS over https (DOT, Port 443). Letzteres geht mit entsprechenden Filterlisten in ubound einfach, wenn auch vermutlich nicht lückenlos. Aber du musst eben Zielports sperren können (wegen der Umgehung des pihole/FB).
ipfire kannst du auf einem Mini-PC oder z. B. einem APU-Board von pcengines.ch laufen lassen. Auch mit ubound und DNS-Filter. Ipfire kannst du auch recht problemlos mit Wlan bestücken, weil die Treiber unter Linux gut funktionieren. Das wäre z. B. mit OpnSense (BSD-Unix) nicht der Fall (wobei die dafür wesentlich mehr Spielraum bietet, aber anderes Thema).
Aber speziell das Sperren von Ports geht unter ipfire recht gut. Umleitungen habe ich damals nicht genutzt, weiß daher ob auch das problemlos funktioniert.
Wenn du ipfire verwenden willst, kannst du auch versuchen, Fernsehen und andere Geräte in unterschiedliche Netze zu hängen (natürlich nur bei LAN, ipfire kann m. W. nicht mit vlans umgehen). Dann kannst du ggf. „unsichere“ Geräte vom Rest trennen.
Auf jeden Fall macht ipfire sowohl firewall als auch DNS-Filterung in einem Gerät. Insofern würde ich eher zu ipfire tendieren. Da hast du alle „Stellschrauben“ in einem System und was du dort sperrst IST auch gesperrt, weil ipfire als Router (z. B. als exposed Host an der FB) dann nicht umgangen werden kann.
Sollte aber schon vorhanden sein, ein neues APU-Board wird schwierig zu besorgen werden, da die Herstellung als EOL (end-of-life) gemeldet wurde. Ich habe gerade mal wieder geschaut und nichts verfügbares von pcengines auf die schnelle gefunden. Es gibt aber ähnliches als Nachfolger, aber halt nicht mehr von pcengines.
Das stimmt nur zum Teil, aktuell, kann man zum Beispiel mit VLAN ein Netzwerkanschluss in zwei verwandeln, indem ein neben dem native ein zusätzliches VLAN angelegt werden kann. VLANs sollten (meiner Meinung nach) auch eher in den verwendeten Switches konfiguriert werden um parallel laufende aber getrennte Netze zu realisieren.
Ein Netz für unsichere Geräte z.B. APs per LAN an Ipfire und TV, lot, etc. , auch an dieses Netz (in der IPfire das blaue Netz) wäre dafür ebenfalls geeignet auch ganz ohne VLAN an der Ipfire selber.
@Lehrling
Es sollte vielleicht noch erwähnt werden, das Ipfire (meiner Meinung nach) ein pi-Hole vollständig ersetzen kann und zusätzlich, auf einer ausreichend dimensionierte Maschine, auch noch viel mehr Sicherheit bietet als der consumer Hybrid Router. z.B. DMZ(für Server/eigene Dienste)/Squid Proxy/ Intrusion Detection/Prevent System/Black- und (ein von Ipfire selbst entwickeltest) location-List feature und noch einiges mehr.
Wlan sollte generell (meiner Meinung nach bei Selbstbau und Opensource Software) über APs und weniger durch WLAN Karten eingebunden werden, welche per LAN an den Router hängen. Damit umgeht man die genannten Treiber Probleme und kann die WLAN Standards (WLAN5,6,7,8…/WAP3, WAP4, WAP5…) separat aktualisieren, völlig unabhängig zur verwendeten Firewall Software.
Fanboy? Gibt es auch einen Nachteil mit ipfire?
Aktuell, wird nur IPv4 unterstützt.