Ubiquiti EdgeRouter X SFP optimimal einrichten

[macuser]

Hallo,

ich habe den EDGE SFX und mein Ziel ist es ein einigermaßen sicheres Netz /WLAN aufzubauen.

Setup:

Zyxel Modem mit VLAN 40 im Modem hinterlegt
2 VLAN fähige Switch Netgear GS108E-300PES 8-Port Smart Managed Plus Gigabit Switch (ProSAFE, bis 2000 MBit/s, Plug-and-Play & konfigurierbar, VLAN, QoS/DoS) vorhanden


EDGE Router mit aktueller Firmware

Im Basic Modus konfiguriert, Firewalleinstellungen vom Setup generieren lassen.

Einwahl mit pppoe klappt

Ziel ist folgendes:

IPv4/IPv6 Dualstack aktiveren
Filesharing aller Art zu blockieren
Erotische Seiten blockieren - dubiose Weiterleitungen unterbinden
Download unterbinden für WLAN

Ich fühle mich trotz div. Anleitungen und YouTube Filmen überfordert, da was auch immer ich versuche 1:1 umzusetzen, nicht so wird was ich gerne möchte.

Mag mir jemand ein paar Tipps geben, was ich sinnvoll tun kann und wie ich das Umsetzen kann ?

Würde mich über Tipps und Anleitungen freuen.

 

[sia]

Welche Anleitungen hast du denn konkret versucht und was genau möchtest du umsetzen?

Auf der CLI kannst du mit "show configuration" die Konfiguration mit zensierten Zugangsdaten ausgeben. Poste diese doch einfach mal hier.

Einwahl mit pppoe klappt

Das ist schon mal schön! Bekommst du auch direkt eine IPv6?

IPv4/IPv6 Dualstack aktiveren

Das funktioniert beispielsweise so:

You do not have permission to view link please Anmelden or Registrieren

Irgendwo hatte ich hier mal ne Config für Unitymedia gepostet. Welchen Internetanbieter hast Du denn?

Filesharing aller Art zu blockieren
Erotische Seiten blockieren - dubiose Weiterleitungen unterbinden

Dazu kannst du die Firewall und Deep Packet Inspection nutzen:

You do not have permission to view link please Anmelden or Registrieren

Download unterbinden für WLAN

Wie genau meinst du das? Dass WLAN-Clients überhaupt nicht ins Internet kommen? Dazu kannst du einfach mittels Firewall sämtlichen Traffic aus dem WLAN-Interface/Subnetz ins Internet sperren.

Vielleicht reicht dir aber auch die Beschränkung der Bandbreite mittels Traffic Policies aus:

You do not have permission to view link please Anmelden or Registrieren

Hier noch meine persönliche Wikiseite zu dem Thema:

You do not have permission to view link please Anmelden or Registrieren

 

[macuser]

Also ich habe Mnet.

Zum blockieren von Pornoseiten bin ich dieser Anleitung

You do not have permission to view link please Anmelden or Registrieren

bzw. Deinen Link gefolgt bis ich nach vielen verzweifelten versuchen habe ich hier

You do not have permission to view link please Anmelden or Registrieren

gelesen habe, dass „TopSites was removed from the signature set.*DPI isn't really intended as a content filtering solution, blocking using TopSites wasn't even remotely close to being effective at blocking that category.“

Dann habe ich versucht die DNS anzupassen, siehe Film

You do not have permission to view link please Anmelden or Registrieren

bzw nach der Anleitung
Quick Steps:

• -System Tab: Set DNS servers to ConnectSafe DNS servers
• -Services/DNS Tab: Make sure DNS Forwarding is enabled for all internal interfaces
• -Create a firewall rule set called WAN_OUT (Default accept)
• -Create 3 firewall rules in WAN_OUT
  Rule 1: Allow TCP&UDP 53 to the first DNS server
  Rule 2: Allow TCP&UDP 53 to the second DNS server
  Rule 3: Drop all packets for destination 53

Die Regeln hatten nicht gegriffen, hab’s nicht geschafft die DNS umzuleiten und eine Blockierung div.Seiten zu erreichen.
Zu IPv6 wenn ich die vom Provider bereitgestellte Fritzbox nehme habe ich eine ipv4 und ipv6 Adresse. Mit der Ubiquiti noch nicht. Dualstack ist freigeschaltet.


Was mein Ziel ist :

Ich möchte mein Netz so gut es geht absichern - einerseits soll Filesharing aller Art geblockt werden. Anderseits, das WLAN möglichst so eingestellt werden, dass es vernünftiges (ohne dubiosen Seiten / Erotik usw.) WWW bereitstellt.

Mir gehts jetzt erst mal darum, meinen Router so eintzustellen, dass er als so sinnvoll sicher wie möglich ist.

--- [2018-04-11 19:38 CEST] Automatisch zusammengeführter Beitrag ---

anbei die Config Anhang anzeigen UBNT flori.txt