[erledigt]pfsense 2.2 und viele Probleme
-
Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
Da hast du recht ;) Zumal die meist auch noch TN/FTN/BTN was weiß ich haben, nur um einmal Frontmount, Backmount, Sidemount oder sonstwo mit dem Kabel rein abzudecken - und dann versuch mal deine Favorisierte Version irgendwo zu finden ;)Macht von Preis dann auch keinen großen Unterschied.
Absolut :) -
@bitboy: liest du eigentlich auch was ich schreibe? ;)
Beantworte mir bitte einmal ganz neutral betrachtet: Wie sieht es mit eurer Produktivität oder eurem Verdienstausfall aus, wenn Internet nicht geht? Und zwar komplett gar nicht. Superwichtig? Sehr wichtig? Nicht so wichtig? Egal?
Aber das nur als Denkanstoß :)
Nun, klar lese ich was du schreibst ;) Und wenn mein Chef sagt "Heute leuchtet der Mond rot", ja dann muss der das machen… also ich weiß das du recht hast, ändert aber nichts an den Umständen und was mein Chef muss oder sollte .. nun... also ich sag einfach nur wie es IST. Was das tatsächlich kostet wenn wir einen Tag nur über Telefon erreichbar wären? Also MICH kostet es erheblich Nerven, aber wir hatten das ja grade und von konkreten Kosten weiß ich nichts. Ist natürlich doof wenn die Leute keine Mails bekommen...
Klar wäre es angemessen wenn das ein Systemhaus machen würde und ich damit nur am Rande zu tun hätte. Ist aber nicht so und wird so nicht werden.
Irgendwann explodiert das alles mal richtig und DANN vielleicht. Bis dahin muss ich es machen.Ich hab ja gesagt, ich lese mir das durch .. nur bin ich eben nicht NUR Admin ... also ich versuche was geht und melde mich sobald ich so weit bin.
- ich brauche zwei Router
- Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
- Die Router haben je drei LAN-Ports ...
1. Externes Internet (über VLAN kommen da die drei WAN-Zugänge rein)
2. Verbindung zwischen den zwei Routern für CARB
3. Das interne LAN (die passende virtuelle IP dazu hat automatisch der aktive Router)
Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann ... ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.
Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen ... Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.
Ich muss jetzt Montag erst mal nach Berlin und komme frühestens Mitwoch wieder. Dann werden die Sachen bestellt die ich genemigt bekomme und sobald ich das Zeug hier habe melde ich mich wieder. Außer es gibt noch Fehler in meiner Liste, dann bitte korigieren.
gruß
-
Ich hab ja gesagt, ich lese mir das durch .. nur bin ich eben nicht NUR Admin … also ich versuche was geht und melde mich sobald ich so weit bin.
- ich brauche zwei Router
- Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
- Die Router haben je drei LAN-Ports ...
Den Part durchsehe ich nicht ganz. Kannst du das erleuchten? Wie bekommt Ihr Kabel, DSL und LTE, auf was für Kisten und wie wird das weitergereicht.
Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann ... ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.
Das trifft in etwa das Problem recht gut. VLAN: spart dir die Einzelswitches. Keines: Dann muss entweder der Router/das Modem mehrere Anschlüsse haben oder du klemmst kleine Switche dazwischen.
Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen ... Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.
Nochmal: Warum musst du deinem Chef Rechner/PCs verkaufen, anstatt ordentliche Hardware? Das geht mir nicht in die Rübe, sorry. Jedem Sparfuchs ist bislang trotzdem klar gewesen, hey wenn ich spezialisierte Hardware da hinstelle, die das Gleiche oder etwas mehr kostet, spart mir das im Umkehrschluß wieder Geld ein weil weniger Ausfallwahrscheinlichkeit, weniger Strom, mehr Managebarkeit etc. pp.
Warum müssen das irgendwelche zusammengestückelte MiniITX Kisten sein?Du sprachst davon, dass es jetzt explodiert ist und du es richtig machen willst. Warum dann nicht Richtig mit großem R, sondern wieder nur so ein bisschen richtiger? Kein Bastel-PC hat bspw. Garantie. Wenn du fertige Devices hast, schon. Dann zwar vielleicht keine Reaktionszeit, aber immerhin hast du dann zwei und es läuft alles erstmal weiter. Bei nem PC den du schraubst hast du höchstens auf die Einzelteile Garantie. Ich würde da nicht rumkaspern wollen, welches Teil da jetzt rumbockt (bei dubiosen Fehlern die bspw. Board, RAM oder CPU oder doch NIC sein könnten). Plus die kompletten Geräte sind erwiesenermaßen bereits mit pfSense kompatibel. Der Supermicro SuperServer C2758 bspw. ist nichts anderes als das, was pfSense selbst im eigenen Store mit eigenem Branding verkauft. Die APUs ebenfalls, werden von pfSense auch selbst im Store verkauft.
Grüße
-
- ich brauche zwei Router
- Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
- Die Router haben je drei LAN-Ports …
Den Part durchsehe ich nicht ganz. Kannst du das erleuchten? Wie bekommt Ihr Kabel, DSL und LTE, auf was für Kisten und wie wird das weitergereicht.
Also ich hab
Kabel (CISCO-Modem von Kabel-BW)
Versatel-DSL mit Fritzbox
UMTS mit 704 Router von WelotecAlle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.
Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.
Bei Versatel hat die Fritzbox eine Feste IP und ich hab ein privates Netz zwischen Fritzbox und PFSENSE. Dabei hat die PFSENSE eine IP und die ist in der Fritzbox als DMZ eingetragen.
Bei UMTS habe ich keine feste oder private IP extern. Ansonsten wieder ein privates Netz zwischen diesem Router und PFSENSE.die drei WAN-Zugänge brauchen dann jeweils einen Port am Switch und dort ist für jedes Netz ein VLAN eingerichtet. Dann geht das gebündelt zum PFSENSE wo die drei VLANs wieder als einzelne Gateways behandelt werden .. richtig so?
Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann … ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.
Das trifft in etwa das Problem recht gut. VLAN: spart dir die Einzelswitches. Keines: Dann muss entweder der Router/das Modem mehrere Anschlüsse haben oder du klemmst kleine Switche dazwischen.
OK! Dann ist es sinnvoll das per VLAN zu machen! Kisten mit 5 Ports sind viel teurer und bezahlbare fertige Sachen haben eh meist nur 3 Ports.
Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen … Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.
Nochmal: Warum musst du deinem Chef Rechner/PCs verkaufen, anstatt ordentliche Hardware? Das geht mir nicht in die Rübe, sorry. Jedem Sparfuchs ist bislang trotzdem klar gewesen, hey wenn ich spezialisierte Hardware da hinstelle, die das Gleiche oder etwas mehr kostet, spart mir das im Umkehrschluß wieder Geld ein weil weniger Ausfallwahrscheinlichkeit, weniger Strom, mehr Managebarkeit etc. pp.
Warum müssen das irgendwelche zusammengestückelte MiniITX Kisten sein?Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!
Du sprachst davon, dass es jetzt explodiert ist und du es richtig machen willst. Warum dann nicht Richtig mit großem R, sondern wieder nur so ein bisschen richtiger? Kein Bastel-PC hat bspw. Garantie. Wenn du fertige Devices hast, schon. Dann zwar vielleicht keine Reaktionszeit, aber immerhin hast du dann zwei und es läuft alles erstmal weiter. Bei nem PC den du schraubst hast du höchstens auf die Einzelteile Garantie. Ich würde da nicht rumkaspern wollen, welches Teil da jetzt rumbockt (bei dubiosen Fehlern die bspw. Board, RAM oder CPU oder doch NIC sein könnten). Plus die kompletten Geräte sind erwiesenermaßen bereits mit pfSense kompatibel. Der Supermicro SuperServer C2758 bspw. ist nichts anderes als das, was pfSense selbst im eigenen Store mit eigenem Branding verkauft. Die APUs ebenfalls, werden von pfSense auch selbst im Store verkauft.
Bisher ist nichts explodiert, nur das Internet ist mal ausgefallen. Wenn hier wirklich der SBS die Augen zu macht und es zwei-drei Tage dauert bis mein Chef wieder seine Mails und Daten bekommt, wenn dann vielleicht das letzte LTO-Band (wir machen Backups nach Plan auf Tages, Wochen, Monatsbänder) nicht fehlerfrei eingelesen werden kann und ein wichtiges Dokument / Mail deshalb weg ist, DANN ist es explodiert. DANN kann ich vermutlich durchsetzen es richtiger zu machen. Solange es irgendwie dann doch nach ein paar Stunden wieder geht sieht er das nicht ein. Und ich werde sicher hier keine GAU erzeugen, absichtlich, damit ich ihn überzeugen kann.
Wir haben halt einen teuren NIC (den INTEL4-Port für 450,-) und er will den unbedingt weiter benutzt sehen. Sinnvoll? Wohl nicht, aber siehe oben … du musst mich nicht überzeugen. Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.
Grüße
-
Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.
Nö, machen Sie anscheinend nicht, denn:
Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.
Eine feste IP wird per DHCP - wem zugeteilt - dem Router dahinter / pfSense. Das ist aber nicht das, was ich meinte. Besser für den CARP Betrieb wäre hier aber, wenn du entweder eine Fritzbox hättest, die die Verbindung hält und selbst die IP bekommt (oder einen anderen Router). Der bekommt dann ein Transfernetz zur pfSense und darüber können die beiden Knoten sich dann auch ordentlich die Verbindung übergeben. Bei DHCP wird das schwer(er).
Bei Versatel hat die Fritzbox eine Feste IP und ich hab ein privates Netz zwischen Fritzbox und PFSENSE. Dabei hat die PFSENSE eine IP und die ist in der Fritzbox als DMZ eingetragen.
Genau der Zustand wäre auf dem Kabel-Bein auch schön. Allerdings ist die IP die du einträgst später nicht mehr die von "einer" pfSense, sondern die virtuelle IP, die zwischen den pfSensen hin und her geschwenkt wird. Dito für Cable.
Bei UMTS habe ich keine feste oder private IP extern. Ansonsten wieder ein privates Netz zwischen diesem Router und PFSENSE.
Dann ist auch hier der Betrieb kein großes Problem. Die jetzige pfSense IP wird beim 2-Knoten-CARP Cluster dann die VIP (virtuelle IP), die als CARP IP zwischen den Knoten geteilt ist, so dass nur der Master sie auch benutzt, im Falle des Ausfalls aber der Backup übernehmen kann.
Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!
Was hat der Chef mit Beschaffung zu tun? Die Beschaffung machst du und wenn du ihm 2 Büchsen auf den Tisch legst zum Abnicken, kann ihm doch herzlichst egal sein, was das für Hardware ist, wenn DU sagst, dass es damit läuft? Einzig ein Preis-Konter würde ich verstehen, aber - verzeihe mein "stressen" - WAS hat der Chef zu sagen, was DU für Hardware für die Firewall einkaufst, die DU administrieren sollst? Wenn du sagst, DAS ist supportet und läuft, dann ist es so. Warum sollte er das besser wissen? Wenn er sich hinstellt und dir nen Taschenrechner gibt und sagt da soll die pfSense drauf, kannst du das ja auch schlecht bringen?! Da verstehe ich deine Argumentationslogik eben nicht. Sorry. Zumal schon mehrfach festgestellt wurde, dass:
- für dein Setup auch eine APU theoretisch ausreicht, wenn du mit VLANs arbeitest
- alternativ eine kleine Rangeley Büchse es tun würde
- eine APU ~180€ / Stück kostet, der Atom ca. 400€ / Stück. - Wenn du dir zwei Büchsen selbst schraubst sehe ich kaum, dass die billiger werden?!
Sorry, ich sehe da keinen Showstopper außer dem, dass du deine Meinung vertrittst und dir nicht vom Chef - der eben noch weniger Ahnung davon hat - dir was diktieren lässt?
Und ich werde sicher hier keine GAU erzeugen, absichtlich, damit ich ihn überzeugen kann.
Das macht auch kein SysE der was auf sich hält. Mein Beispiel war den Stecker zu ziehen, was eben - beim ein oder anderen Sturschädel - schonmal ein Eye-Opener war (ein sehr amüsanter auch ;))
Wir haben halt einen teuren NIC (den INTEL4-Port für 450,-) und er will den unbedingt weiter benutzt sehen.
Kann ich irgendwo nachvollziehen, ABER:
- wie gesagt kostet das Dingens 450€
- du bräuchtest dann ja noch nen zweiten für den zweiten Knoten
- ergo nochmal 450€ NIC + Board + Kleinteile wie SSD etc.
-> allein der zweite Knoten kommt dich wesentlich teurer, als zwei kleinere Kisten zu kaufen die den Job richtig machen.
Geld "einsparen" war bislang schon immer ein Punkt, den Chefs gesehen haben. Und für eine der NICs bekomme ich schon 2 komplette APUs... Notfalls sogar noch im 19" 1HE Case wo beide drin verbaut sind :)
Den 4 Port NIC kann man entweder verkaufen/zurückgeben oder auf Lager legen für den SBS oder anderen Bedarf. Da sehe ich das Problem wie gesagt nicht.
"Chef, Firewall Vendor bzw. Community empfiehlt für unseren Fall 2x Hardware XY, kostet Z, billiger als wenn ich jetzt 2x AB selbst baue und den Kram der da vergeigt wurde künstlich am Leben halte".
Ich/wir versuchen niemand zu "bekehren" oder ähnliches, wir geben dir nur die Fakten an die Hand, dass du das ordentlich selbst vertreten kannst. Und nur weil man jetzt was (falsch) gekauft hat oder über hat, muss man den Kram nicht zwangsweise auch nutzen :)Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.
Das ist keine Frage und auch die Option, dass du jemanden für ein zwei Stunden "professionell" mit einbeziehst steht dir/der Firma jederzeit offen (bspw. mal Support via Remote Hands o.ä.).
Grüße
-
Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.
Nö, machen Sie anscheinend nicht, denn:
Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.
Ok, ich meinte damit: es sein keine Zugangsdaten nötig, das Internet ist dann einfach da. Den Vorteil von dem privaten Netz hab ich verstanden, ist j auch kein Problem das so zu machen.
Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!
Was hat der Chef mit Beschaffung zu tun?
Du kennst ihn nicht. Logik ist nicht so das was ihn auszeichnet. Alleine die IDEE, das die teure Karte NUTZLOS rum liegt wird ihn nicht schlafen lassen … aber ich tu mein bestes ihn über deine Argumente zu kriegen ... Da wir mit VLAN ja auch nur 3 Ports brauchen ist das mit den kleinen Kisten ja tatsächlich nicht schlecht.
Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.
Das ist keine Frage und auch die Option, dass du jemanden für ein zwei Stunden "professionell" mit einbeziehst steht dir/der Firma jederzeit offen (bspw. mal Support via Remote Hands o.ä.).
Das ist gut! Danke und erst mal bis nächste Woche! ;)
gruß
-
Geld "einsparen" war bislang schon immer ein Punkt, den Chefs gesehen haben. Und für eine der NICs bekomme ich schon 2 komplette APUs… Notfalls sogar noch im 19" 1HE Case wo beide drin verbaut sind :)
Mhpf Hab noch mal nach den Superserver-Kisten geschaut… günstigstes Angebot 650 Euro pro Stück, aber ohne HDD/SSD und ohne RAM. Da bin ich dann leider nicht preislich niedriger als mit den "kisten", da ich einen NIC schon habe und eine SSD und was mir noch fehlt um dann zwei gleiche und vollständige Kisten zu bauen liegt preislich bei knapp 1200,- etwa ...
Vorteil wäre natürlich der geringe Verbrauch (10W maximal) und 19" ... aber dafür wäre die Leistung besser weil die CPU mehr dampf hat als ein Atom...
Die APU sind von der Leistung noch deutlich drunter, dafür aber zwei in einer Kiste und für unter 500 Euro zu haben.
puh!
-
Die APU sind von der Leistung noch deutlich drunter, dafür aber zwei in einer Kiste und für unter 500 Euro zu haben.
Richtig, aber die Frage ist was du machst. Und da du keinen Linespeed >100MBit/s hast, sind die APUs eigentlich komplett ausreichend. Da du zudem kein VPN hast, was 100MBit/1GBit/s wuppen muss, ebenfalls vollkommen genügend. Selbst für die zwei drei einzelnen Roadwarrior zum VPN sind die mehr als ausreichend (man korrigiere mich gerne, aber selbst die ALIX hatte da noch genug Saft zu).
Die kleinen Rangeleys liegen Stückpreis bei rund 400-420 Brutto und reichen von der Performance auch absolut aus (MEHR als das). Und mit denen solltest du trotzdem noch günstiger sein als dein Eigenbau.
Grüße
-
Servus,
gestattet mir ein paar Kommentare aus fast 10 Jahren pfS-Erfahrung:1. Möglichst immer weitverbreitete Standardhardware.
2. Keinen abgefahrenen Scheiß basteln und wenns auf Anhieb nicht läuft, nicht rumfummeln und in Betrieb setzen!
3. Verzichte auf USB-Sticks und investiere 30 Euro in eine kleine SSD oder nimm ne normale HDD. Die laufen bei mir seit Jahren stresslos.
4. Laborkiste breithalten und testen, ob sich die Konfig der Quellmaschine im Labor wiederherstellen lässt. NICs auf passenden Treibernamen umbennen ist das A und O.
5. Alle Shells aktivieren! SSH, Web, seriell und VGA muss einfach an sein, sonst bist Du der Fisch, wenn was streikt.Wenn bei einem meiner Kunden eine pfS hardwaretechnisch ausfällt, geh ich daheim in den Keller und hole meinen umgebauten Xeon mit Dual-Broadcom-Gigabit raus. Treibernamen in der Config anpassen und restoren. Innerhalb von längstens 20 Min ist wieder Internet da. Und wenn drei sterben, stell ich drei Desktopkisten hin. Notbetrieb muss immer laufen, eine Garantiefallabwicklung kann zig Wochen dauern.
Ansonsten bin ich jetzt gespannt, hab noch drei pfS vor dem Update auf 2.2 stehen. Davon zwei mit VLAN und eine mit Squid. Ich hab etwas Bauchweh, die neu unter 2.2 installierten Maschinen laufen super.
Grüße
-
So, das ist erst mal geklärt. ich hab die zwei APUs genommen und hier ist eigentlich alles gesagt. Für die Einrichtung mache ich ein neues Thema.
Danke bis hier her schon mal!!!!
gruß