Umstellung von Heimnetzwerk auf pfsense (Anfänger, OpenVPN, VoIP, Entertain)
-
Inzwischen macht sich bei mir etwas die Ernüchterung breit, dass wenn ich die VPN-Clients am Ende dann doch auf Desktop-PCs abbilde, ich keine so wirkliche Verwendung für die pfsense habe.
Einzig, dass ich darüber eine zentrale Möglichkeit hätte gewisse Dinge bewusst zu blocken/kontrollieren.Wenn du auf dem Stadium bist, ist es vielleicht gar nicht schlecht. Es ist richtig, dass du für das ein oder andere Szenario Geld in die Hand nehmen musst, aber das ist eben leider so, wenn man was gut machen will. Und wenn du andererseits schon schreibst, dass du einen "schlechten Router hast den du nicht kontrollieren kannst", dann wäre mir, wenn ich schon sicherheitsbewusst mit VPN Tunneln etc. arbeite, es schon wichtig, den zu ersetzen oder um den drumherum zu arbeiten. Ich mag mir in mein Netz eben nicht reinschauen lassen von meinem ISP, ganz egal warum. Mein interner Traffic soll auch intern bleiben. :)
Grüße
-
Wenn du auf dem Stadium bist, ist es vielleicht gar nicht schlecht. Es ist richtig, dass du für das ein oder andere Szenario Geld in die Hand nehmen musst, aber das ist eben leider so, wenn man was gut machen will. Und wenn du andererseits schon schreibst, dass du einen "schlechten Router hast den du nicht kontrollieren kannst", dann wäre mir, wenn ich schon sicherheitsbewusst mit VPN Tunneln etc. arbeite, es schon wichtig, den zu ersetzen oder um den drumherum zu arbeiten. Ich mag mir in mein Netz eben nicht reinschauen lassen von meinem ISP, ganz egal warum. Mein interner Traffic soll auch intern bleiben. :)
Das der Spaß auch was kostet ist mir klar. Heißt nicht umsonst: "Wer billig kauft, kauft zweimal". Jedoch ist es dann irgendwo dennoch eine Kosten-Nutzen-Rechnung, welche bei mir halt eher fragwürdig aussieht.
Entweder ich wähle die Hintereinanderschaltung "FB (direkt mit Telefon und Entertain dran) -> pfsense -> Switch -> Rest" oder "Modem -> pfsense -> Switch -> Rest". Beides kostet unterm Strich mindestens 250 Euro, eigentlich sogar 300 Euro nach erstem überschlagen.
Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.
-
Ich hab aufgrund ähnlicher Gedanken mich damals hier angemeldet (weil ipFire anscheinend nur OPENVPN Server aber keine Clients hat)
Ich weiss jetzt nicht ob ich es falsch Verstanden hab oder andere es evtl. falsch Verstanden haben…
Ich lese das hier
192.168.100.10-19 -> Server in der Schweiz
192.168.100.20-29 -> Server in den Niederlanden
192.168.100.30-39 -> Server in den USAso:
Alle internen Geräte mit den letzten Oktett zwischen 10 und 19 (also der PC der Frau, das Notebook vom Nachwuchs etc..) werden über eine VPN Verbindung auf einen Server in der Schweiz geroutet, und gehen von da aus ins Internet eben auch auf z.B. die Youtubevideos die die GEMA in Deutschland gesperrt hat (z.B. russische Dashcam Crashvideos die ab und zu den Ton vom russischen Radio drauf haben)
Alle internen Geräte mit dem letzten Oktett zwischen 20 und 29 (also das NAS im Keller und bla bla…) werden über eine VPN Verbindung auf einen Server ...
Alle internen Geräte zwischen 30 und 39 (also der Fire-TV Box, der Roku für Hulu und Netflix) gehen über eine VPN Verbindung in die USA um den Kram zu glotzen den man trotz 8 Milliarden TV Gebühren in Deutschland nicht sehen kann.
so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.
Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.
http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn
Gruss Auric
-
so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.
Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.
So war es gemeint, vielen Dank :)
Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.
-
@please:
Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.
Das Fitlet -i und -X http://www.golem.de/news/compulab-fitlet-und-mintbox-mini-passive-mini-pcs-mit-amds-mullins-chip-1501-111716.html haben wohl was wir wollen, wenn es nur um die Anzahl der NICs ginge wäre ein Gigabit-Ethernet Port den man als Router on a Stick über einen VLAN fähigen Switch anschliessen könnte ausreichend (das mit dem Router on a Stick schreib ich hier ganz leise, weil das natürlich bei Heavy-Traffic im Gigabit Bereich ein Flaschenhals wäre)
Gruss Auric
-
Danke für den Hinweis!
Ein Quad-Core mit AES sollte ausreichend Power haben. Lockt ziemlich das Gerät.
Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?
Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/
-
Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.
Ich hab das gemacht und habe das Gefühl, dass es sich gelohnt hat, denn jetzt habe ich Remote Management Möglichkeiten, denen ich vertrauen kann (SSH, OpenVPN sowie IPv6 und mehr).
Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Ich weiß nicht was ihr sucht oder wo ihr das Problem habt. Die APU kann sicher kein Gigabit VPN machen. Das muss sie aber auch gar nicht, denn du hast vorne raus nur 50MBit DSL. Und das sollte sie spielend schaffen. Wenn das zu wenig ist, kann man auch in die Ecke Rangeley Atom gehen, da gibt es die kleineren Kisten mit 4-5 NICs auch schon für 200-300€.
Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.
Grüße
-
@please:
Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?
Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/
Ich hab das mal angegangen, mir eine APU besorgt, einige Wochen mit ihr gekämpft, ipFire rauf und wieder runter (siehe oben) an pfSense 2.15 verzweifelt und 2.2 RC problemlos zum laufen gebracht, und auf 2.2 Final upgedated.
Die APU ist jetzt hier in der Firma, weil wir da ganz schnell eine ordentliche VPN Verbindung gebraucht haben und macht hier ihre Sache mit 3 VLANs bisher absolut problemlos.
Jetzt muss ich mir für daheim halt wieder eine neue Hardware suchen…
Ja die Preise sind natürlich prohibitiv, mein Wissensstand waren die 130 $ laut Golem, + Aufpreis für die bessere Hardware. Das der Aufpreis 90% beträgt wusste ich nicht, hätte ich es gewusst hätte ich das Ding nicht verlinkt.
@Jens: Die Frage nach AES-NI kam auf weil das selektive Routing theoretisch auch mit einem ASUS Router möglich ist, der ist aber oft selbst für langsamere Verbindungen schlicht zu schwach, kommt evtl. daher das gewisse VPN Anbieter solche Verschlüsselungen Version:
OpenVPN-2.3.6
TLS+Cipher: TLSv1.2 + AES-256-CBC
HMAC-Auth: SHA-512
RSA-Keys: 4096 bitanbieten und dazu ist eine AES Hardware evtl. von Nöten (was ich nicht beurteilen kann, ich hab nur so einiges gelesen....) :-[
-
OpenVPN-2.3.6
TLS+Cipher: TLSv1.2 + AES-256-CBC
HMAC-Auth: SHA-512
RSA-Keys: 4096 bitWürde auf genau meinen Anbieter zutreffen.
Nicht sicher, ob du das nicht sogar von deren Seite hast ;)
-
Ich hab mich ein wenig in die Zotac Zbox PA330 http://techreleasedate.com/zotac-zbox-ci321-nano-en860-pa330-review/verguggt, leider hab ich für die noch keinen Preis oder Lieferdatum gefunden.
-
@Auric: Dat Dingens hat aber nur eine Gigabit Schnittstelle soweit ich sehe? Fiele damit bei mir komplett durch :) Zumal der SOC ja auch ein APU ist (obwohl ein anderer) und beim WLAN nicht klar ist welches Modul, wüsste ich nicht ob das überhaupt sauber mit pfSense läuft.
-
Die Eckwerte kenne ich ;)
Mir gefällt die APU die im Gegensatz zu PC-Engines APU auch AES kann, die Gigabit Ethernet Schnittstelle der Formfaktor und hoffentlich der Preis
Der einzelne Netzwerkport stört erst einmal nicht, als Router on a Stick am VLAN fähigem Switch im Keller brauche ich nicht mehr.
Gruss Auric
-
OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)
-
OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)
OT: so eine GE Schnittstelle macht das ja im Duplex, da kann man ganz ordentliche Datenmengen gleichzeitig rein und raus schaufeln sofern die innen Verarbeitet werden können, es müssen ja "nur" die Datenmengen eines VDSL Anschlusses durch, ich will damit keine Bürogebäude miteinander koppeln.
On Topic: hast du ein Link zu so einem Rangeley 2 Kerner? ist natürlich interessant.
Gruss Auric
-
Jup, ein Link zu Rangeley 2-Kerner, coming right up!
http://j.mp/rangeley2
Gibbet in Ausführung mit 4 oder 6 NICs. Liegen dafür aber etwa beim Doppelten von einer APU also im Preissegment ~350-400€, allerdings damit günstiger als die C2758er Angebote, die da schon im Segment 450-550€ rumschwirren.
Grüße
Jens -
Danke :D
Ach ja und die Intel Version von der kleinen Zotac Box die Zotac pico PI330 hat die gleichen Schnittstellen (ausser AC-WLAN) und einen Intel Z3775 drin der wie alle Prozessoren der Z Serie AES-NI kann ;) die Box ist also auch denkbar und sicher im gleichen Leistungsbereich.
-
Hab da ein nettes Mainboard gefunden, leider noch nicht verfügbar aber anscheinend schon für 200 bis 230$ gelistet..
http://www.jetwaycomputer.com/NF3A.html
mit dem E3827 bestens ausgestattet, einzig die beiden Realtek RTL8111G Gigabit LAN Ports sind anscheinend nicht ideal
Gruss Auric
Edit: nur damit ich es nicht vergesse, von Shuttle den DS57U
http://www.shuttle.eu/de/produkte/slim/ds57u/uebersicht/gibt es demnächst einen lüfterlosen Slim-PC der sowohl einen brandneuen Broadwell Intel Celeron 3205U (mit AES-NI)
http://ark.intel.com/de/products/84809/Intel-Celeron-Processor-3205U-2M-Cache-1_50-GHzund zwei Gigabit Ethernet Ports von Intel
Dual Gigabit Netzwerk
Mit zwei RJ45 Netzwerkanschlüssen
Verwendete Netzwerkchips:- Intel i211 Ethernet Controller mit MAC, PHY und PCIe-Schnittstelle
- Intel i218LM PHY verbunden mit dem MAC des Prozessors
Unterstützt 10 / 100 / 1.000 MBit/s Datentransferrate
Unterstützt WAKE ON LAN (WOL)
Unterstützt das Booten vom Netzwork via Preboot eXecution Environment (PXE)
-
Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.
Einen wunderschönen. Leider musste ich das Thema etwas parken, derzeit beruflich viel um die Ohren und daher nicht so viel Zeit mich mit dem Thema zu beschäftigen.
Was suche ich? Ganz ehrlich: Die perfekte Lösung, die es vermutlich nicht geben wird ;)
Daher noch einmal kurz zusammengefasst was ich erreichen möchte:
- Betrieb von VDSL50 (später 100) mit deutscher Telekom
- VoIP derzeit noch mit altem Telefon (kein VoIP-Gerät)
- Telekom Entertain
- OpenVPN Client von pfsense nutzen, so dass ich je nach eingestellter IP-Adresse der lokalen PCs direkt ins Netz gehe oder über einen VPN-Tunnel
–> siehe dazu: Use PFSense to selectively route through a VPN
–> Telekom Entertain, VoIP, PC 1 und 2 z.B. nicht über VPN, PC 3 bis X über VPN - Gedanklich spiele ich noch mit einem Virenfilter auf pfsense, wobei ich dann bei SSL-Verbindungen ja mit einem eigenem Zertifikat rumspielen muss was mich etwas stört
Ich hoffe in diesem Zusammenhang, dass VPN, VLAN für Telekon Entertain, etc. alles so glatt gehen wird.
Da ich im "schlimmsten" Fall bis zu 50 Mbit (später 100 Mbit) über VPN jage (Anbieter schafft so viel, auch wenn ich das natürlich nicht permanent am Stück auslaste sondern eher als Spitze ansehe) und dabei TLS+Cipher TLSv1.2 + AES-256-CBC, HMAC-Auth: SHA-512, RSA-Keys: 4096 bit nutzen möchte, denke ich, dass eine CPU mit AES-Befehlssatz einfach sinnvoll wäre.
Für mich steht also derzeit als Planung auf dem Zettel:
- DSL-Modem DrayTek Vigor130 (oder ggf. ein gebrauchtes Speedport 300HS, eben hier das erste mal gesehen, muss ich mal recherchieren)
- TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept) (Die von jahonix genannten Cisco-Hobel sind mir etwas teuer oder lohnt sich das?)
- Dazwischen Firewall mit pfsense
Wenn man mir nun aber definitiv klar sagen kann, dass ich auf AES als CPU-Befehlssatz verzichten kann, dann sieht die Sache easy aus. Ansonsten tendiere ich langsam jedoch schon fast zu einem selbstgebautem PC mit einer AMD CPU (AMD Athlon 5150 oder AMD A4-5000). Dazu eine gebrauchte zusätzliche Gigabit-Netzwerk-Karte und "fertig".
Mit zusätzlicher Hardware bzw. vorhandenen Komponenten liege ich dann bei ca. 200-300 Euro, also ähnlich den fertigen Lösungen. Nur flexibler, dafür natürlich auch größer.
Für mich hängt das nun praktisch an zwei Dingen:
1. Klappt das mit dem Modem und Switch so wie ich es mir vorgestellt habe?
2. Welche CPU benötige ich wirklich?Edith sagt: Ach ja, für den Betrieb des Telefons würde ich dann noch ne olle billige Fitzbox für VoIP bei ebay schießen
-
Hallo,
ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.
Eckdaten:
-
pfSense auf ZBOX ID89 mit 2x LAN (nicht optimal was den Stromverbrauch angeht, hatte ich aber noch übrig - aktuell würde ich wohl eher zum Shuttle DS57U greifen)
-
T-Entertain über eigenes VLAN
-
VDSL50
-
eigener VPS-Server in USA zu dem ich einen dauerhaften OpenVPN Tunnel stehen habe und so bei Bedarf bestimmten Geräten (über die IP) einen US-Standort verpassen kann
Was ich zunächst wollte war eine Lösung mit "selective Routing", so dass ich die IP-Adressen der Clients nicht ändern muss. Das scheitert aber daran dass gerade die großen Anbieter wie Netflix, Amazon Prime Video, Youtube, Maxdome, usw. nicht so einfach über eine IP-Adresse oder ein Subnet zu erfassen sind. Wenn mir die richtigen Daten vorliegen würden, müsste ich diese nur eintragen - denn vom Setup ist alles so vorbereitet und mit einfacheren Gegenstellen (wieistmeineip, etc.) erfolgreich gestestet.
Daher schicke ich jetzt einfach komplette Geräte (selektiert über deren eigene IP Adresse) durch den OpenVPN-Tunnel. Mein Fire-TV läuft so z.B. problemlos mit US-Netflix, ohne dass ich dafür irgendwas machen muss. Auch die 24stündige Zwangstrennung übersteht die Lösung ohne manuelle Eingriffe.
Am PC habe ich mir das Tool NetSetMan installiert, mit dem man mit 2-3 Clicks IP-Konfigurationen wechseln kann. Dadurch kann ich am PC innerhalb weniger Sekunden zwischen deutscher und US-IP wechseln, einfach indem ich die IP-Adresse des PCs umschalte.
T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.
Alles was Du willst ist also mit pfsense umsetzbar, sofern Du ein Gerät mit mind. 2 LAN-Anschlüssen + VLAN-fähigem Switch oder ein Gerät mit 3 LAN-Anschlüssen (dann kannst Du den T-Entertain Receiver auf einem eigenen Anschluss laufen lassen) hast. Außerdem brauchst Du ein VDSL Modem (z.B. DrayTek Vigor130 - angeblich auch für VDSL100 geeignet) - die Telekom Geräte lassen keinen reinen Modembetrieb zu!
-
-
@please:
- TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept)
(Die von jahonix genannten Cisco-Hobel sind mir etwas teuer oder lohnt sich das?)
Der ist auch völlig iO, davon werkeln bei mir 3 oder 4 daheim. Kann halt kein L3, brauche ich zuhause aber auch nicht.
Die CLI ist zu der von Cisco nur ähnlich, daher tue ich mich mit dem hin- und herswitchen immer wieder schwer und werde langfristig wohl komplett auf die Ciscos setzen. Denn beruflich verwende ich die viel öfter. - TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept)
