Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [erledigt]pfsense 2.2 und viele Probleme

    Deutsch
    8
    36
    6.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Auric
      last edited by

      @JeGr:

      @Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

      Grundsätzlich stimmt das natürlich, ich könnte mir aber vorstellen das man gerade diese "langsamen" Datenkanäle problemlos über drei VLANs "getrunked" an einen Port der APU hängen könnte. (nur so eine Idee)  ???

      uups da hab ich wohl zu spät..

      1 Reply Last reply Reply Quote 0
      • A
        Auric
        last edited by

        zu doof für die forensoftware.. sorry

        1 Reply Last reply Reply Quote 0
        • B
          bitboy0
          last edited by

          Ja, also VLAN hört sich natürlich schon gut an … aber wie schon angemerkt wurde: Es wird dadurch noch komplexer und wenn ich mal im Urlaub bin kommt der einzige Kolle, der auch noch etwas Technik kann , damit dann spätestens nicht mehr klar... auch für mich würde es das nicht extrem einfach machen.

          Also ich tendiere zu zwei "normalen" PC's:

          • micro-ATX-Boards mit onboard VGA (MSI A78M-E35)
          • AMD-CPU FM2+ A4-4000
          • RAM 4GB (reicht das?)
          • INTEL NIC (4fach)  EXPI9404PTLBLK PRO1000PT
          • SAMSUNG EVO SSD (840/850) mit 120GB

          Einen davon habe ich ja hier schon. Der läuft nach dem Theater jetzt ohne Mucken und dann spare ich mir lieber das mit den VLAN.

          Wenn ich zwei davon habe brauche ich ja aber noch irgendwie etwas Zubehör, oder?

          • Wie verteile ich einen WAN auf Zwei Router?
          • Wie richte verbinde ich das LAN ein, damit der Ausgang beider Router da wieder zusammengeführt wird?
          • Wie verbinde ich die Router, damit es einen CARB-Cluster gibt.

          Also unser aktuelles Netz:

          • Es gibt einen Root-Server bei einem Hoster. Dort liegt das WWW und die email-Postfächer.
          • Lokal haben wir drei WAN-Möglichkeiten, wobei nur das KABEL wirklich ausreichend schnell ist. DSL kommt hier nur maximal mit 6000/500 an und reicht dann nur knapp. UMTS ist schneller als DSL, aber der Traffic ist zu hoch um damit länger als ein paar Tage zu überbrücken.
          • Es gibt einen Windows-Server und eine Telefonanlage mit VoIP-Karte
          • Zur Zeit sind lokal hier 8 PC's am Netz
          • Es gibt 10 Smartphones, die über Active-Sync ihre Daten bekommen
          • 4 Mitarbeiter sind endweder hier im Büro, ODER zuhause per VPN am arbeiten
          • einige externe rufen unregelmäßig Mails über IMAP ab

          Zur Zeit ist email einrichten umständlich:

          • email beim Hoster einrichten
          • Postfach/User im Windows Server einrichten
          • Pop3-Connector für den Abruf der Mails über POP einrichten (MapiLab)
            Die User rufen dann die Mails bei uns hier ab.

          Das machen wir, damit alle mails über den Virenscanner gehen und die Mails auch in der Datensicherung landen.

          Ziel wäre es die Mails nur noch direkt über den Windows-Server einzurichten und den MX direkt hier her zu leiten. Dann ist nur noch das Postfach/user hier anzulegen und der Rest erledigt sich.
          Aber dann wird es natürlich noch wichtige eine zuverlässige Lösung zu haben.

          gruß

          1 Reply Last reply Reply Quote 0
          • A
            Auric
            last edited by

            ich hatte auch Respekt von der VLAN Geschichte bis ich es dann tatsächlich mal gemacht hab. Bei dem Cisco war es nicht supereasy aber machbar, mit dem Billigswitch wie einem TP-Link T-SG105E war das wirklich supereinfach, grob umrissen

            Der Port an dem du die pfSense Box hängst ist der Trunk Port, also da laufen alle VLANs drüber und die Daten behalten die Tags und die anderen Ports kannst du anhängen was du willst an Internetquellen du musst nur jedem Port über die PVID Funktion im Switch eine eigene VLAN Nummer verpassen, und dafür sorgen das die Daten die den Port verlassen die Tags wieder vom Switch entfernt bekommen.

            Und mit den VLAN Nummern kannst du an der pfSense Box supereinfach in Interfaces: Vlan an das reelle Interface (Port) der pfSense Box all die VLANs einrichten die du benötigst.

            Wenn du jetzt Schiss hast dass die Urlaubsvertretung in dem Fall das der Switch verreckt (nicht seeeehr wahrscheinlich) aufgeschmissen ist…

            dann hol einfach für 23€ den Switch noch einmal, richte ihn identisch ein (10 Sekunden weil du ein Backup der Settings einspielen kannst)  und beschrifte die 4 LAN kabel und die beiden Switche gleich. Wenn jetzt der Switch verreckt muss der Hausmeister nur den neuen an den Strom anhängen und die 4 LAN Kabel an den gleichen Port wie beim defekten Switch am neuen Switch einstecken (farblich gestaltet schafft das ein Analphabet)

            Gruss Auric

            1 Reply Last reply Reply Quote 0
            • B
              bitboy0
              last edited by

              Ok …

              Also das kann man ja überlegen ... siehe unten...

              erst mal muss aber jetzt neue Hardware her, 2 identische Geräte und die sollen später redundant arbeiten.
              Es wäre toll wenn wir erst mal diesen Punkt angehen und ich dann bestellen kann.

              Diese Intel-NICs sind nicht billig, aber sind wohl für den Zweck gut und zuverlässig.
              Ich hab mir das jetzt noch mal angeschaut und tendiere zu mini-itx mit Intel Core3

              Das wäre klein, flexibel und preislich für den Chef ok. Dazu brauche ich dann noch switche?
              ich hab drei WAN und ein LAN und eigentlich brauche ich dann noch einen dedizierten Port für CARB, oder?

              Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
              Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense...

              aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?
              Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

              Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

              gruß

              1 Reply Last reply Reply Quote 0
              • S
                stack
                last edited by

                Schau dir mal von Supermicro die Atom-Boards an.

                ZB. http://www.supermicro.com/products/motherboard/Atom/X10/A1SAi-2750F.cfm.

                Alles incl. 4 * 1GB Nics und IPMI. Gerade IPMI ist recht praktisch.

                1 Reply Last reply Reply Quote 0
                • A
                  Auric
                  last edited by

                  @bitboy0:

                  Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
                  Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense…

                  aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?

                  Um die VLAN Geschichte zu machen brauchst du einen managebaren Switch der VLAN kann, der 23€ TP-Link Switch (und viele viele andere) können das.

                  Um auf dem letzten freien Port des Switch die gleichen Daten raus zu lassen muss der nur mit den identischen Einstellungen versehen die auch der Port hat der an die erste pfSense box hat, wie die Daten rein kommen entscheidet die Box an dem anderen Ende des Netzwerkkabels

                  Wenn du sowieso einen fetten VLAN fähigen Switch im Rack hast und noch 5 freie Ports, kann der das natürlich auch übernehmen.

                  hast du einen redundanten Switch?? die wenigsten haben den, wenn der aber abkackt, geht im Netzwerk absolut nix mehr.

                  @bitboy0:

                  Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

                  Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

                  Zu dem CARP Kram kann ich nix sagen hab ich mich noch nie mit beschäftigt, hat aber mit den kleinen 5 Port Switch und der VLAN Geschichte nichts zu tun

                  Gruss Auric

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    @Auric: VLAN Switch hat schon was mit CARP zu tun, weil dann jeder CARP node einen entsprechenden VLAN Trunk braucht, aber siehe unten.

                    @stack: Dann würde ich aber die Supermicro komplett-Appliance nutzen, bevor ich anfange den Kram selbst zusammenzufrickeln. Deshalb bin ich dagenen, das wie einen PC zu behandeln, es ist schlichtweg keiner. Das Einsatzgebiet ist m.E. kritischer als irgendeine selber-bastel-Lösung - es sei denn ich machs gleich für Große und kauf nen Server mit Wartungsvertrag :)
                    -> http://www.supermicro.com/products/system/1U/5018/SYS-5018A-TN4.cfm
                    -> http://www.supermicro.com/products/system/1U/5018/SYS-5018A-FTN4.cfm
                    Dann sind wir wieder bei einem "embedded Device" oder eben dedizierter Hardware für den Job. Zudem sind das Boards mit dem Atom 2750/2758 - finde ich fast überdimensioniert, denn einen 8-Kerner braucht er glaube ich nicht. Aber siehe folgender Absatz (und meine Empfehlung des 2-Kerners):

                    @bitboy:

                    Bezüglich der Hardware die du zuerst abhandeln willst:

                    Wie billig oder teuer sind denn deine MiniITX Kisten, dass du lieber "PCs" verbauen willst, statt kleineren Kisten die weniger Aufriß machen und dazu wesentlich weniger bewegliche Teile die Kaputt gehen könnten? Was ist bei einem Ausfall der Kisten? Bekommt man das SOHO-Zeug, dass da verbaut ist dann wieder oder ist das schon veraltet und man hat doch wieder zwei unterschiedliche Kisten? Wäre mir im Firmenumfeld zu unsicher und würde ich nicht empfehlen. Wenn du das weiter verfolgen möchtest, nichts dagegen, ich rate aber definitiv davon ab. Dann entweder Server Kram kaufen, der auch entsprechend länger lieferbar ist (oder besser gleich mit Service Vertrag wie dein Server) oder eben fertige Kisten wie eben bspw. http://www.landitec.com/Network-Appliance-Hardware/Desktop-Appliance/FW-7525::111.html

                    Für das was du da betreibst finde ich die Hardware unnötig/ungünstig. Da würde ich lieber auf sowas setzen.

                    Und was die Software angeht sehe ich da viel Unklarheiten von der Funktionsweise und vom Aufbau. Da würde ich mir schon überlegen jemand zu fragen, der sich damit auskennt, und nicht trial und error mit dem Forum zu machen bis alles halbwegs läuft. Aber auch das sei natürlich dir überlassen.

                    Ich würde es momentan so umreißen:

                    • Mit VLAN:
                    • VLAN Switch kaufen, 2x identische Hardware beschaffen (Wartung beachten)
                    • VLAN Switch mit mind. 8 Ports
                    • Router/Gateways der WANs für Routerbetrieb umrüsten, IP-Ranges für Uplinks definieren (192.168.101.x, .102.x, .103.x bspw.)
                    • VLAN Trunk auf 2 Ports konfigurieren und beide Firewalls dran anschließen.
                    • 2x pfSense aufsetzen, GRUNDkonfigurieren
                    • Firewall Verkabelung: 1x WAN-Trunk, 1x CARP Sync (Crossover zwischen den FWs), 1x LAN nach innen
                    • CARP Setup und Synchronisation einrichten
                    • WAN Loadbalancing konfigurieren (Prio auf Cable, dann DSL, dann LTE)
                    • Interfaces korrekt konfigurieren / optimieren
                    • Aliase, NAT und Regeln konfigurieren. Ggf. Zusatzdienste.

                    Das wären so die groben Punkte, wenn man das neue Konstrukt als CARP Setup mit 3 WAN und einem LAN aufzieht.

                    Grüße

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • B
                      bitboy0
                      last edited by

                      Ne, der Switch ist nicht managbar.

                      Für das VLAN Zeug brauche ich halt einen, kein Ding.

                      Aber ich weiß immer noch nicht wie ich von EINEM WAN (z.B. Kabel-internet) auf ZWEI Router komme. Denn wenn die Redundant arbeiten sollen müssen ja beide das Netzwerk auch haben!
                      Und wenn ZWEI Router das Signal haben und nur EINER grade zuständig ist, wie kommen die LAN-Netzwerke der beiden Kisten wieder zusammen auf EIN Netz an dem die Rechner hängen?

                      Also da brauche ich noch hilfe!

                      So ein Board mit IPMI brauche ich eher nicht. Die Sachen stehen 5 Meter hinter mir und da brauche ich keine Fernkonfiguration oder so.

                      Der Chef will keine Wartungsverträge … also gibts die nicht. Nur für den Server haben wir so eine Garantie/Ersatz innerhalb eines Arbeitstages, aber OHNE Konfiguration. Das würde im Fall des Falles nach Stunden abgerechnet.

                      Heute muss ich leider jetzt erst mal andere Sachen machen... morgen lese ich mir das alles mal in Ruhe durch und versuche zu verstehen was ihr geschrieben habt. Dann melde ich mich noch mal

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        @bitboy: liest du eigentlich auch was ich schreibe? ;)

                        JA du brauchst dringend Hilfe und solltest dir, wenn du das alles schon selbst machen willst, dringend mal die Doku zu CARP durchlesen, damit du verstehst wie das funktioniert. Dann erübrigen sich die Fragen nach "wie können 2 Maschinen über ein WAN raus". Kurzantwort: es geht (warum auch nicht), sinnvollerweise sollten dann eben DSL und Cabel nicht wie Modem, sondern via Router bereits die Verbindung aufgebaut haben bzw. aufbauen und geben das dann an die beiden pfSensen via Transfernetz rein.

                        So ein Board mit IPMI brauche ich eher nicht. Die Sachen stehen 5 Meter hinter mir und da brauche ich keine Fernkonfiguration oder so.

                        Es geht nicht nur um IPMI, das ist bei Supermicro eben freundlich gleich dabei. Es geht darum, dass die Kisten genau dafür gebaut worden sind und weniger Teile haben, die ausfallen können als bei einem StiNo PC

                        Der Chef will keine Wartungsverträge … also gibts die nicht.

                        Dein Chef will auch keinen Ausfall des Internets (oder?) - also gibts den nicht? Das war bisher scheinbar auch schon "egal". Aber für den (dann nutzlosen) SBS bezahlt er Wartung der Hardware ... warum genau? Denn wenn Internet ja egal ist (und dann auch keine Mails mehr gehen etc. etc.) wozu dann ein Problem mit dem Server sehen?
                        Bemerkst du den Denkunterschied der da klar werden muss? Ein Server wie SBS wird als was wichtiges behandelt, Internet/Netzwerk aber solala als bisschen Kabelage. Dat muss halt wuppen und jut. Das Zeug ist aber genauso wichtig (wenn nicht wichtiger) als der Server, und sollte eben auch so im Kopf sein. Das ist nicht schön, das ist mitunter auch nicht einfach, aber manchmal muss man das halt mit dem Holzhammer den Leuten eintrichtern.
                        (Kleine Anekdote: Einfach mal dem Chef das WLAN ausmachen oder das Netzwerk ziehen und fragen, ob er das jetzt immer noch so unwichtig findet wenn er seinen Server nicht erreichen kann... - oder mal das Internet kappen. Wirkt manchmal Wunder in der Denkarbeit ;) )

                        Nur für den Server haben wir so eine Garantie/Ersatz innerhalb eines Arbeitstages, aber OHNE Konfiguration.

                        Eure Firewall(s) sind AUCH Server. Genau das muss in den Kopf. Nur weil die Kisten anders aussehen oder was anderes machen sind sie nicht weniger wichtig.

                        Das würde im Fall des Falles nach Stunden abgerechnet.

                        Wie das ein guter Externer/Systemhaus eben auch machen würde, klar. Aber die nutzlose "künstliche" Unterscheidung zwischen "Server" und "anderem Kleinscheiß" ist das, was bei euch wirklich problematisch ist.
                        Oder anders gefragt:

                        Beantworte mir bitte einmal ganz neutral betrachtet: Wie sieht es mit eurer Produktivität oder eurem Verdienstausfall aus, wenn Internet nicht geht? Und zwar komplett gar nicht. Superwichtig? Sehr wichtig? Nicht so wichtig? Egal?

                        Je nachdem was man darauf antwortet, kann man das Thema relaxt angehen oder nicht. Nach dem was du in deinem Eingangspost mit rotem Telefon, glühen und DRAMA erzählt hast, hätte ich auf "Sehr wichtig" oder höher getippt. Wenn dem so ist - gleiches Spiel mit dem Chef machen. Ganz neutral die Frage selbst beantworten lassen. Und dann mal im Kopf mit seinem Superduper-Server vergleichen lassen, was der an Wichtigkeit hat. In vielen Fällen (kann bei dir anders sein) kehrt sich die Wichtigkeit plötzlich um:

                        • Email / Dateiablage etc. kann ich notfalls auf einem Zweitsystem / Windows Client / Linux Server o.ä. schnell aufsetzen, damit Leute wieder an Daten kommen und die untereinander austauschen können. E-Mail kann man auch notfalls auf ein Linux System, eine VM oder sonstwas umbiegen, um einen Notbetrieb zu haben (oder man ruft in seinem Outlook schnell die Postfächer beim Provider direkt ab, anstatt Sie in seinen Exchange abzuholen).
                        • Ohne Internet? Keine Angebote rein/raus, kein Austausch mit anderen Firmen oder Dateiablage, kein Offsite Backup (ggf), kein Banking, etc. etc. -> lässt sich notfalls direkt an einem PC hinbasteln, ist aber dann nicht mal annähernd schön.

                        Daran sieht man dann plötzlich, ob eine Komponente wichtig ist oder nicht. Und ob man dafür 5x30€ hinlegt und jedes Mal Ausfälle hat, oder einmal eben 150 oder mehr, damit das ne ordentlich Sache ist und ggf. noch Service mit bei ist.
                        (Hint: bei vielen guten Router/Switch Herstellern bekommt man eine Basis Garantie schon mit, kann diese aber mit ein klein wenig Geld aufbohren und bekommt dann genau wie bei Servern auch 4-8h Reaktionszeit auf Hardwareschäden. Da müssen gar keine teuren monatlichen Verträge her.)

                        Aber das nur als Denkanstoß :)

                        Grüße

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • S
                          stack
                          last edited by

                          @JeGr

                          Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
                          Aber du hast auf jeden Fall recht. Die würde ich dann auch lieber als Komplettsystem vorziehen.
                          Macht von Preis dann auch keinen großen Unterschied.

                          1 Reply Last reply Reply Quote 0
                          • JeGrJ
                            JeGr LAYER 8 Moderator
                            last edited by

                            Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
                            Da hast du recht ;) Zumal die meist auch noch TN/FTN/BTN was weiß ich haben, nur um einmal Frontmount, Backmount, Sidemount oder sonstwo mit dem Kabel rein abzudecken - und dann versuch mal deine Favorisierte Version irgendwo zu finden ;)

                            Macht von Preis dann auch keinen großen Unterschied.
                            Absolut :)

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            1 Reply Last reply Reply Quote 0
                            • B
                              bitboy0
                              last edited by

                              @JeGr:

                              @bitboy: liest du eigentlich auch was ich schreibe? ;)

                              Beantworte mir bitte einmal ganz neutral betrachtet: Wie sieht es mit eurer Produktivität oder eurem Verdienstausfall aus, wenn Internet nicht geht? Und zwar komplett gar nicht. Superwichtig? Sehr wichtig? Nicht so wichtig? Egal?

                              Aber das nur als Denkanstoß :)

                              Nun, klar lese ich was du schreibst ;) Und wenn mein Chef sagt "Heute leuchtet der Mond rot", ja dann muss der das machen… also ich weiß das du recht hast, ändert aber nichts an den Umständen und was mein Chef muss oder sollte .. nun... also ich sag einfach nur wie es IST. Was das tatsächlich kostet wenn wir einen Tag nur über Telefon erreichbar wären? Also MICH kostet es erheblich Nerven, aber wir hatten das ja grade und von konkreten Kosten weiß ich nichts. Ist natürlich doof wenn die Leute keine Mails bekommen...

                              Klar wäre es angemessen wenn das ein Systemhaus machen würde und ich damit nur am Rande zu tun hätte. Ist aber nicht so und wird so nicht werden.
                              Irgendwann explodiert das alles mal richtig und DANN vielleicht. Bis dahin muss ich es machen.

                              Ich hab ja gesagt, ich lese mir das durch .. nur bin ich eben nicht NUR Admin ... also ich versuche was geht und melde mich sobald ich so weit bin.

                              • ich brauche zwei Router
                              • Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
                              • Die Router haben je drei LAN-Ports ...
                                1. Externes Internet (über VLAN kommen da die drei WAN-Zugänge rein)
                                2. Verbindung zwischen den zwei Routern für CARB
                                3. Das interne LAN (die passende virtuelle IP dazu hat automatisch der aktive Router)

                              Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann ... ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.

                              Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen ... Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.

                              Ich muss jetzt Montag erst mal nach Berlin und komme frühestens Mitwoch wieder. Dann werden die Sachen bestellt die ich genemigt bekomme und sobald ich das Zeug hier habe melde ich mich wieder. Außer es gibt noch Fehler in meiner Liste, dann bitte korigieren.

                              gruß

                              1 Reply Last reply Reply Quote 0
                              • JeGrJ
                                JeGr LAYER 8 Moderator
                                last edited by

                                Ich hab ja gesagt, ich lese mir das durch .. nur bin ich eben nicht NUR Admin … also ich versuche was geht und melde mich sobald ich so weit bin.

                                • ich brauche zwei Router
                                • Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
                                • Die Router haben je drei LAN-Ports ...

                                Den Part durchsehe ich nicht ganz. Kannst du das erleuchten? Wie bekommt Ihr Kabel, DSL und LTE, auf was für Kisten und wie wird das weitergereicht.

                                Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann ... ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.

                                Das trifft in etwa das Problem recht gut. VLAN: spart dir die Einzelswitches. Keines: Dann muss entweder der Router/das Modem mehrere Anschlüsse haben oder du klemmst kleine Switche dazwischen.

                                Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen ... Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.

                                Nochmal: Warum musst du deinem Chef Rechner/PCs verkaufen, anstatt ordentliche Hardware? Das geht mir nicht in die Rübe, sorry. Jedem Sparfuchs ist bislang trotzdem klar gewesen, hey wenn ich spezialisierte Hardware da hinstelle, die das Gleiche oder etwas mehr kostet, spart mir das im Umkehrschluß wieder Geld ein weil weniger Ausfallwahrscheinlichkeit, weniger Strom, mehr Managebarkeit etc. pp.
                                Warum müssen das irgendwelche zusammengestückelte MiniITX Kisten sein?

                                Du sprachst davon, dass es jetzt explodiert ist und du es richtig machen willst. Warum dann nicht Richtig mit großem R, sondern wieder nur so ein bisschen richtiger? Kein Bastel-PC hat bspw. Garantie. Wenn du fertige Devices hast, schon. Dann zwar vielleicht keine Reaktionszeit, aber immerhin hast du dann zwei und es läuft alles erstmal weiter. Bei nem PC den du schraubst hast du höchstens auf die Einzelteile Garantie. Ich würde da nicht rumkaspern wollen, welches Teil da jetzt rumbockt (bei dubiosen Fehlern die bspw. Board, RAM oder CPU oder doch NIC sein könnten). Plus die kompletten Geräte sind erwiesenermaßen bereits mit pfSense kompatibel. Der Supermicro SuperServer C2758 bspw. ist nichts anderes als das, was pfSense selbst im eigenen Store mit eigenem Branding verkauft. Die APUs ebenfalls, werden von pfSense auch selbst im Store verkauft.

                                Grüße

                                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                1 Reply Last reply Reply Quote 0
                                • B
                                  bitboy0
                                  last edited by

                                  • ich brauche zwei Router
                                  • Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
                                  • Die Router haben je drei LAN-Ports …

                                  Den Part durchsehe ich nicht ganz. Kannst du das erleuchten? Wie bekommt Ihr Kabel, DSL und LTE, auf was für Kisten und wie wird das weitergereicht.

                                  Also ich hab
                                  Kabel (CISCO-Modem von Kabel-BW)
                                  Versatel-DSL mit Fritzbox
                                  UMTS mit 704 Router von Welotec

                                  Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.
                                  Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.
                                  Bei Versatel hat die Fritzbox eine Feste IP und ich hab ein privates Netz zwischen Fritzbox und PFSENSE. Dabei hat die PFSENSE eine IP und die ist in der Fritzbox als DMZ eingetragen.
                                  Bei UMTS habe ich keine feste oder private IP extern. Ansonsten wieder ein privates Netz zwischen diesem Router und PFSENSE.

                                  die drei WAN-Zugänge brauchen dann jeweils einen Port am Switch und dort ist für jedes Netz ein VLAN eingerichtet. Dann geht das gebündelt zum PFSENSE wo die drei VLANs wieder als einzelne Gateways behandelt werden .. richtig so?

                                  Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann … ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.

                                  Das trifft in etwa das Problem recht gut. VLAN: spart dir die Einzelswitches. Keines: Dann muss entweder der Router/das Modem mehrere Anschlüsse haben oder du klemmst kleine Switche dazwischen.

                                  OK! Dann ist es sinnvoll das per VLAN zu machen! Kisten mit 5 Ports sind viel teurer und bezahlbare fertige Sachen haben eh meist nur 3 Ports.

                                  Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen … Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.

                                  Nochmal: Warum musst du deinem Chef Rechner/PCs verkaufen, anstatt ordentliche Hardware? Das geht mir nicht in die Rübe, sorry. Jedem Sparfuchs ist bislang trotzdem klar gewesen, hey wenn ich spezialisierte Hardware da hinstelle, die das Gleiche oder etwas mehr kostet, spart mir das im Umkehrschluß wieder Geld ein weil weniger Ausfallwahrscheinlichkeit, weniger Strom, mehr Managebarkeit etc. pp.
                                  Warum müssen das irgendwelche zusammengestückelte MiniITX Kisten sein?

                                  Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!

                                  Du sprachst davon, dass es jetzt explodiert ist und du es richtig machen willst. Warum dann nicht Richtig mit großem R, sondern wieder nur so ein bisschen richtiger? Kein Bastel-PC hat bspw. Garantie. Wenn du fertige Devices hast, schon. Dann zwar vielleicht keine Reaktionszeit, aber immerhin hast du dann zwei und es läuft alles erstmal weiter. Bei nem PC den du schraubst hast du höchstens auf die Einzelteile Garantie. Ich würde da nicht rumkaspern wollen, welches Teil da jetzt rumbockt (bei dubiosen Fehlern die bspw. Board, RAM oder CPU oder doch NIC sein könnten). Plus die kompletten Geräte sind erwiesenermaßen bereits mit pfSense kompatibel. Der Supermicro SuperServer C2758 bspw. ist nichts anderes als das, was pfSense selbst im eigenen Store mit eigenem Branding verkauft. Die APUs ebenfalls, werden von pfSense auch selbst im Store verkauft.

                                  Bisher ist nichts explodiert, nur das Internet ist mal ausgefallen. Wenn hier wirklich der SBS die Augen zu macht und es zwei-drei Tage dauert bis mein Chef wieder seine Mails und Daten bekommt, wenn dann vielleicht das letzte LTO-Band (wir machen Backups nach Plan auf Tages, Wochen, Monatsbänder) nicht fehlerfrei eingelesen werden kann und ein wichtiges Dokument / Mail deshalb weg ist, DANN ist es explodiert. DANN kann ich vermutlich durchsetzen es richtiger zu machen. Solange es irgendwie dann doch nach ein paar Stunden wieder geht sieht er das nicht ein. Und ich werde sicher hier keine GAU erzeugen, absichtlich, damit ich ihn überzeugen kann.

                                  Wir haben halt einen teuren NIC (den INTEL4-Port für 450,-) und er will den unbedingt weiter benutzt sehen. Sinnvoll? Wohl nicht, aber siehe oben … du musst mich nicht überzeugen. Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.

                                  Grüße

                                  1 Reply Last reply Reply Quote 0
                                  • JeGrJ
                                    JeGr LAYER 8 Moderator
                                    last edited by

                                    Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.

                                    Nö, machen Sie anscheinend nicht, denn:

                                    Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.

                                    Eine feste IP wird per DHCP - wem zugeteilt - dem Router dahinter / pfSense. Das ist aber nicht das, was ich meinte. Besser für den CARP Betrieb wäre hier aber, wenn du entweder eine Fritzbox hättest, die die Verbindung hält und selbst die IP bekommt (oder einen anderen Router). Der bekommt dann ein Transfernetz zur pfSense und darüber können die beiden Knoten sich dann auch ordentlich die Verbindung übergeben. Bei DHCP wird das schwer(er).

                                    Bei Versatel hat die Fritzbox eine Feste IP und ich hab ein privates Netz zwischen Fritzbox und PFSENSE. Dabei hat die PFSENSE eine IP und die ist in der Fritzbox als DMZ eingetragen.

                                    Genau der Zustand wäre auf dem Kabel-Bein auch schön. Allerdings ist die IP die du einträgst später nicht mehr die von "einer" pfSense, sondern die virtuelle IP, die zwischen den pfSensen hin und her geschwenkt wird. Dito für Cable.

                                    Bei UMTS habe ich keine feste oder private IP extern. Ansonsten wieder ein privates Netz zwischen diesem Router und PFSENSE.

                                    Dann ist auch hier der Betrieb kein großes Problem. Die jetzige pfSense IP wird beim 2-Knoten-CARP Cluster dann die VIP (virtuelle IP), die als CARP IP zwischen den Knoten geteilt ist, so dass nur der Master sie auch benutzt, im Falle des Ausfalls aber der Backup übernehmen kann.

                                    Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!

                                    Was hat der Chef mit Beschaffung zu tun? Die Beschaffung machst du und wenn du ihm 2 Büchsen auf den Tisch legst zum Abnicken, kann ihm doch herzlichst egal sein, was das für Hardware ist, wenn DU sagst, dass es damit läuft? Einzig ein Preis-Konter würde ich verstehen, aber - verzeihe mein "stressen" - WAS hat der Chef zu sagen, was DU für Hardware für die Firewall einkaufst, die DU administrieren sollst? Wenn du sagst, DAS ist supportet und läuft, dann ist es so. Warum sollte er das besser wissen? Wenn er sich hinstellt und dir nen Taschenrechner gibt und sagt da soll die pfSense drauf, kannst du das ja auch schlecht bringen?! Da verstehe ich deine Argumentationslogik eben nicht. Sorry. Zumal schon mehrfach festgestellt wurde, dass:

                                    • für dein Setup auch eine APU theoretisch ausreicht, wenn du mit VLANs arbeitest
                                    • alternativ eine kleine Rangeley Büchse es tun würde
                                    • eine APU ~180€ / Stück kostet, der Atom ca. 400€ / Stück. - Wenn du dir zwei Büchsen selbst schraubst sehe ich kaum, dass die billiger werden?!

                                    Sorry, ich sehe da keinen Showstopper außer dem, dass du deine Meinung vertrittst und dir nicht vom Chef - der eben noch weniger Ahnung davon hat - dir was diktieren lässt?

                                    Und ich werde sicher hier keine GAU erzeugen, absichtlich, damit ich ihn überzeugen kann.

                                    Das macht auch kein SysE der was auf sich hält. Mein Beispiel war den Stecker zu ziehen, was eben - beim ein oder anderen Sturschädel - schonmal ein Eye-Opener war (ein sehr amüsanter auch ;))

                                    Wir haben halt einen teuren NIC (den INTEL4-Port für 450,-) und er will den unbedingt weiter benutzt sehen.

                                    Kann ich irgendwo nachvollziehen, ABER:

                                    • wie gesagt kostet das Dingens 450€
                                    • du bräuchtest dann ja noch nen zweiten für den zweiten Knoten
                                    • ergo nochmal 450€ NIC + Board + Kleinteile wie SSD etc.
                                      -> allein der zweite Knoten kommt dich wesentlich teurer, als zwei kleinere Kisten zu kaufen die den Job richtig machen.

                                    Geld "einsparen" war bislang schon immer ein Punkt, den Chefs gesehen haben. Und für eine der NICs bekomme ich schon 2 komplette APUs... Notfalls sogar noch im 19" 1HE Case wo beide drin verbaut sind :)
                                    Den 4 Port NIC kann man entweder verkaufen/zurückgeben oder auf Lager legen für den SBS oder anderen Bedarf. Da sehe ich das Problem wie gesagt nicht.
                                    "Chef, Firewall Vendor bzw. Community empfiehlt für unseren Fall 2x Hardware XY, kostet Z, billiger als wenn ich jetzt 2x AB selbst baue und den Kram der da vergeigt wurde künstlich am Leben halte".
                                    Ich/wir versuchen niemand zu "bekehren" oder ähnliches, wir geben dir nur die Fakten an die Hand, dass du das ordentlich selbst vertreten kannst. Und nur weil man jetzt was (falsch) gekauft hat oder über hat, muss man den Kram nicht zwangsweise auch nutzen :)

                                    Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.

                                    Das ist keine Frage und auch die Option, dass du jemanden für ein zwei Stunden "professionell" mit einbeziehst steht dir/der Firma jederzeit offen (bspw. mal Support via Remote Hands o.ä.).

                                    Grüße

                                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                    1 Reply Last reply Reply Quote 0
                                    • B
                                      bitboy0
                                      last edited by

                                      Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.

                                      Nö, machen Sie anscheinend nicht, denn:

                                      Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.

                                      Ok, ich meinte damit: es sein keine Zugangsdaten nötig, das Internet ist dann einfach da. Den Vorteil von dem privaten Netz hab ich verstanden, ist j auch kein Problem das so zu machen.

                                      Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!

                                      Was hat der Chef mit Beschaffung zu tun?

                                      Du kennst ihn nicht. Logik ist nicht so das was ihn auszeichnet. Alleine die IDEE, das die teure Karte NUTZLOS rum liegt wird ihn nicht schlafen lassen … aber ich tu mein bestes ihn über deine Argumente zu kriegen ... Da wir mit VLAN ja auch nur 3 Ports brauchen ist das mit den kleinen Kisten ja tatsächlich nicht schlecht.

                                      Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.

                                      Das ist keine Frage und auch die Option, dass du jemanden für ein zwei Stunden "professionell" mit einbeziehst steht dir/der Firma jederzeit offen (bspw. mal Support via Remote Hands o.ä.).

                                      Das ist gut! Danke und erst mal bis nächste Woche! ;)

                                      gruß

                                      1 Reply Last reply Reply Quote 0
                                      • B
                                        bitboy0
                                        last edited by

                                        @JeGr:

                                        Geld "einsparen" war bislang schon immer ein Punkt, den Chefs gesehen haben. Und für eine der NICs bekomme ich schon 2 komplette APUs… Notfalls sogar noch im 19" 1HE Case wo beide drin verbaut sind :)

                                        Mhpf Hab noch mal nach den Superserver-Kisten geschaut… günstigstes Angebot 650 Euro pro Stück, aber ohne HDD/SSD und ohne RAM. Da bin ich dann leider nicht preislich niedriger als mit den "kisten", da ich einen NIC schon habe und eine SSD und was mir noch fehlt um dann zwei gleiche und vollständige Kisten zu bauen liegt preislich bei knapp 1200,- etwa ...

                                        Vorteil wäre natürlich der geringe Verbrauch (10W maximal) und 19" ... aber dafür wäre die Leistung besser weil die CPU mehr dampf hat als ein Atom...

                                        Die APU sind von der Leistung noch deutlich drunter, dafür aber zwei in einer Kiste und für unter 500 Euro zu haben.

                                        puh!

                                        1 Reply Last reply Reply Quote 0
                                        • JeGrJ
                                          JeGr LAYER 8 Moderator
                                          last edited by

                                          Die APU sind von der Leistung noch deutlich drunter, dafür aber zwei in einer Kiste und für unter 500 Euro zu haben.

                                          Richtig, aber die Frage ist was du machst. Und da du keinen Linespeed >100MBit/s hast, sind die APUs eigentlich komplett ausreichend. Da du zudem kein VPN hast, was 100MBit/1GBit/s wuppen muss, ebenfalls vollkommen genügend. Selbst für die zwei drei einzelnen Roadwarrior zum VPN sind die mehr als ausreichend (man korrigiere mich gerne, aber selbst die ALIX hatte da noch genug Saft zu).

                                          Die kleinen Rangeleys liegen Stückpreis bei rund 400-420 Brutto und reichen von der Performance auch absolut aus (MEHR als das). Und mit denen solltest du trotzdem noch günstiger sein als dein Eigenbau.

                                          Grüße

                                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                          1 Reply Last reply Reply Quote 0
                                          • T
                                            tpf
                                            last edited by

                                            Servus,
                                            gestattet mir ein paar Kommentare aus fast 10 Jahren pfS-Erfahrung:

                                            1. Möglichst immer weitverbreitete Standardhardware.
                                            2. Keinen abgefahrenen Scheiß basteln und wenns auf Anhieb nicht läuft, nicht rumfummeln und in Betrieb setzen!
                                            3. Verzichte auf USB-Sticks und investiere 30 Euro in eine kleine SSD oder nimm ne normale HDD. Die laufen bei mir seit Jahren stresslos.
                                            4. Laborkiste breithalten und testen, ob sich die Konfig der Quellmaschine im Labor wiederherstellen lässt. NICs auf passenden Treibernamen umbennen ist das A und O.
                                            5. Alle Shells aktivieren! SSH, Web, seriell und VGA muss einfach an sein, sonst bist Du der Fisch, wenn was streikt.

                                            Wenn bei einem meiner Kunden eine pfS hardwaretechnisch ausfällt, geh ich daheim in den Keller und hole meinen umgebauten Xeon mit Dual-Broadcom-Gigabit raus. Treibernamen in der Config anpassen und restoren. Innerhalb von längstens 20 Min ist wieder Internet da. Und wenn drei sterben, stell ich drei Desktopkisten hin. Notbetrieb muss immer laufen, eine Garantiefallabwicklung kann zig Wochen dauern.

                                            Ansonsten bin ich jetzt gespannt, hab noch drei pfS vor dem Update auf 2.2 stehen. Davon zwei mit VLAN und eine mit Squid. Ich hab etwas Bauchweh, die neu unter 2.2 installierten Maschinen laufen super.

                                            Grüße

                                            10 years pfSense! 2006 - 2016

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post