Netzaufbau Privat
-
Moin,
bis auf Dein WLan ist das doch so in Ordnung ;).
Wenn Du die "Einwahl" durch pfSense machen willst brauchst Du noch ein DSL Modem, soviel ich weiß kann man die Fritten mit aktueller Firmware nicht mehr zum reinen DSL-Modem degradieren.
Hauptvorteil so wie skizziert: Du kannst beim rumspielen mit pfSense auch mal Mist machen, Telefonie funktioniert immer noch das ist imho ein nicht zu unterschätzender Punkt.Meine Anspielung aufs WLan ist nur eine Spitze gegen die Fritte, sie kann vieles aber nichts richtig gut. 8)
Hier vielleicht einen echten Accesspoint nehmen? Falls Du ans WLan keinerlei Ansprüche stellst was Geschwindigkeit, Dualband anbelangt kannst Du auch einfach eine unterstüzte miniPCIe Karte aufs Mainboard drapieren und 2 Antennen ins Gehäuse flanschen.-teddy
-
Hi Teddy,
dann bleibt mir ja nichts anderes über als das erst mal so wie in meinem Plan zu machen. Eine miniPCIe Karte mit Antennen wird dann das nächste sein denke ich. Aber die erste Fritte muss dann wohl so bleiben. Ein DSL-Modem wollte ich ungern noch dazu kaufen, die pfSense war teuer genug :D … Dann mache ich das so wie geplant und versuche in Kürze auf die WLAN-Karte umzustellen.
Gibt es da bestimmte Kompatibilitätsbeschränkungen oder kann ich da jede nehmen? Gibt's Empfehlungen eurerseits?
Kann ich auch USB-WLAN-Sticks nehmen? Wenn ja, gibt's da Empfehlungen? Dann vergleiche ich mal beides...Danke! Marc
-
Moin,
klar gibt es Einschränkungen, die Treiberunterstützung, soll ja auch funktionieren ;). Schau mal hier: https://doc.pfsense.org/index.php/Supported_Wireless_Cards da bleibt eigentlich nur Atheros, dann mal hier zu konkreten Karten reinschnuppern: https://forum.pfsense.org/index.php?board=35.0
Ich habe es mal mit einem USB-Stick probiert, ruckzuck hing die ganze Kiste >:( daraufhin habe ich mir weitere Experimente gespart.
Zumal ich miniPCIe (keine miniPCI kaufen!) für die sinnvollere Anbindung ans System halte. Ich habe meine für kleines Geld aus der Bucht gefischt:```
$ dmesg | grep ath0
ath0: <atheros 2424="" 5424=""> at device 0.0 on pci4
ath0: AR2425 mac 14.2 RF5424 phy 7.0
ath0: 2GHz radio: 0x0000; 5GHz radio: 0x00a2</atheros>Alternative externer AP: TP-Link TL-WR841N, problemlos auf openWRT zu flashen -teddy -
Gibt es auch kosten günstige LAN Port Karten für die APU?
-
Moin,
trau Dich, wirf einfach mal miniPCIe LAN in die Suchmaschine Deiner Wahl ein :o, da findest Du überwiegend welche mit Realdreck Chipsatz den die APU ja sowieso hat, teilweise sogar mit 2 Nics
Je nachdem was Du für Ansprüche hast kannst Du das aber auch einfach mit einem managed Switch abfrühstücken:
Du legst auf der APU einfach soviele VLans wie nötig auf einem physischen Interface an, erzeugst damit die nötigen VLan Interfaces und schickst die dann tagged zu einem Switch der sie dann wieder auseinanderdröselt. Zuhause habe ich auf einem Interface 6 VLan stressfrei am Laufen. Wäre das was für Deinen Anwendungsfall?
-teddy
-
Hallo,
habe bereits gegoogelt aber nichts bezüglich der APU gefunden gehabt…
Aktuell läuft meine Sense mit 5 VLANs nur würde ich gerne noch 2 Ports für ne weitere DMZ haben.
Grüße
-
Moin,
den mechanischen Teil musst Du wohl schon selber übernehmen, da kenne ich auch nichts fertiges.
https://secure.reichelt.de/Netzwerkkarten/DELOCK-95237/3/index.html?ACTION=3&GROUPID=5822&ARTICLE=133308&OFFSET=16&-teddy
-
Hallo,
danke für den Link!
Wie ich das ganze da rein bekomme weiß ich noch nicht. Habe eine SSD in der APU und weiß nicht ob ich die hintere Blende so gesehen mit den zwei Ports austauschen kann.
Trotzdem danke für deine Hilfe.
Grüße
-
Hallo Teddy,
bitte entschuldige die späte Meldung… Was genau meinst du mit "Meine Anspielung aufs WLan ist nur eine Spitze gegen die Fritte, sie kann vieles aber nichts richtig gut. 8)"? Ich war immer recht zufrieden. Wieso kann sie "nichts richtig gut"?
Und was genau sind "keinerlei Ansprüche an das WLAN"?
Natürlich stelle ich Ansprüche hehe. Schnell, sicher, einfache konfiguration etc. WPS ist nicht zwingend erfolrderlich, wäre aber schön zu haben.LG Marc.
-
Moin Marc,
wieso entschuldigst Du dich? Jeder schreibt wie er kann & mag ;)
Dir Fritte ist ein wenig Router, Telefonanlage, Access Point ohne in irgendeinen Punkt richtig gut zu sein. Das reicht für viele Nutzer aus und ist im angepeiltem Kundensegment auch vollkommen in Ordnung. Wenn Du dich mit pfSense beschäftigst dürften Deine Ansprüche schon etwas höher sein bzw. werden, warte nur ab ;D und dann fängst du an Sachen bei der Fritte zu vermissen.
Wenn Du performantes W-LAN, eventuell sogar noch Dualband und vernünftige Reichweite benötigst nimm einen Access Point.
Der Konfigurationsaufwand ist minimal höher aber imho lohnt es sich.Ich betreibe beide Varianten, wobei die interne Lösung in rund 1100 km Entfernung steht, der Nutzer dort braucht das W-LAN nur für Handy & Tablett in einer 26m² Wohnung, dafür reicht es völlig aus.
@Home habe ich 2 Youtube süchtige Teenager, die am liebsten rund um die Uhr Spiele auf der Spielekonsole und gleichzeitig Videos auf Handy und Tablett laufen lassen würden. Da brauche ich schon etwas mehr Dampf im Äther. Das 5Ghz Band ist für meine Frau und mich reserviert. Hierzu habe ich einen TP-Link Archer C7 mit OpenWRT beglückt, das Teil strahlt momentan 5 W-LAN mit unterschiedlichen SSID ab (Eltern 2,4&5 Ghz, Kind1 2,4Ghz, Kind2 2,4 Ghz und ein beschränktes Gastnetz). Damit kann ich jedes Kind leicht an zu erledigende Aufgaben erinnern ohne Stress mit meiner Regierung zu bekommen, je nach Laune wird die Geschwindigkeit reduziert oder auch mal ganz abgeschaltet.
-teddy
-
Moin,
das hört sich ja wunderbar an. Ich habe ebenfalls 2 Kids, allerdings noch nicht Internetsüchtig (5 und 7 Jahre). Aber das kommt schneller als mir lieb ist wahrscheinlich. Unter anderem habe ich genau für diese Zwecke die pfSense angeschafft ;)
Der TP-Link Archer C7 AC1750 liest sich ganz gut. Kann der 5 WLAN's oder ist das Teil schon zu mächtig? Gehen auch kleinere? Der ist schon sehr teuer….. U.a. kann/hat er folgendes:
- WLAN-Router für den Anschluss an ein vorhandenes Netzwerk oder ein Kabel-/DSL-/Glasfasermodem (WAN) arbeitet nach dem 802.11ac-Standard - der neuen WLAN-Generation
- Gleichzeitiger Betrieb auf 2,4 GHz mit 450Mbps und auf 5 GHz mit 1300Mbps; Gesamtdatenrate: 1,75Gbps
- Drei externe 5dBi-Antennen und drei interne Antennen ermöglichen eine maximale WLAN-Abdeckung und -Zuverlässigkeit
- Zwei USB-Anschlüsse - einfache Freigabe von Druckern, Dateien oder Multimedia
Wie genau ist hier das zu machen? Fritte >> pfSense WAN | pfSense LAN >> Switch >> PCs | pfSense DMZ >> Access Point? Oder sollte der AP mit an den Switch?
-
Aloha Marc,
kleiner als der C7 würde ggf. gehen, dann aber meistens mit Abstrichen was WLAN angeht. Entweder haben die Kisten dann nur 2,4GHz oder haben beide Bänder, dafür dann aber "nur" 450 oder nur 300er Durchsatz. Zudem kann nicht jeder TP-Link so ohne weiteres umgeflasht werden auf OpenWRT, der C7 in der Revision 2(?) aber schon. Der ältere C5 bspw. konnte auch OpenWRT, kam dann aber in einer Rev2 raus, die m.W. bislang nicht mehr unter OpenWRT funktioniert (war zu ähnlich dem C7, vielleicht deshalb geblockt worden).
Kann dein Switch VLANs? Wenn ja, kannst du theoretisch den C7 einfach an den Switch hängen und dort pro SSID deine VLANs mit konfigurieren und die auf dem Switch und der pfSense zusätzlich auflegen. Damit könntest du dann bspw. normales LAN, die Kids (einzeln?) und irgendwelchen anderen Kram sowie Gäste WLAN alles in einzelne VLANs packen und auf der pfSense dann konfigurieren, wer wie wo mit wem sprechen darf.
Grüße
-
Heyho,
okay das liest sich sehr interessant. Also den C7 AC1750 bekomme ich bei Amazon neu für 92,00 Euro und gebraucht schon für 70,00. Das wäre vielleicht eine Überlegung den gebrauchten zu nehmen.
Mein Switch kann leider keine VLAN's. Das ist ein alter D-Link DGS-1016D. Bin früh das er schon Gigabit LAN kann ;D
Also doch lieber den C7 AC1750 an den DMZ Port oder wie?Gibt es eine schöne, leicht verständliche, bestenfalls deutsche Anleitung wie man die C7 AC1750 mit diesem OpenWRT bestückt? Das mache ich zum ersten Mal und habe null Ahnung davon. Besten Dank…
-
Moin,
keine Ahnung, ob das mit aktuellen Modellen noch klappt, aber mal als Suchgrundlage:
https://blog.thesen.eu/wie-aus-einem-tp-link-archer-c5-ac1200-ein-archer-c7-ac1750-wurde/
Eventuell eine ältere Version aus der Bucht fischen?Die Installation auf einem C7 selber ist einfach, siehe http://wiki.openwrt.org/toh/tp-link/tl-wdr7500
Nachtrag: Wenn du dir das Flashen und 5Ghz sparen willst: http://geizhals.de/497096355
der kann ab Werk mit Multi SSID und VLan umgehen und 4 Switchports bringt er auch noch mit.
Vielleicht eine Alternative auf Zeit zu spielen? 5 Ghz erst später nachrüsten wenn Deine Zwerge akuten Bandbreitenbedarf fordern?Falls Du einen kleinen VLan fähigen Switch suchst: http://geizhals.de/mikrotik-routerboard-rb260gs-a1147479.html?hloc=at&hloc=de
-teddy
-
Mahlzeit,
cool danke. Das werde ich mir mal genau und in Ruhe überlegen. Ich werde am Wochenende erst mal eine zusätzliche Fritzbox an den DMZ Port hängen und testen ob das so einfach geht.
Mal was anderes:
Was mich extrem stört sind hunderte von Einträgen in der Firewall Log die so aussehen:block Oct 28 14:21 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:22 WAN 0.0.0.0 255.255.255.255:67 block Oct 28 14:27 WAN 169.254.1.1 169.254.255.255:138 block Oct 28 14:27 WAN 169.254.1.1 169.254.255.255:138 block Oct 28 14:39 WAN 169.254.1.1 169.254.255.255:138 block Oct 28 14:39 WAN 169.254.1.1 169.254.255.255:138Liegt das an der Fritzbox die am WAN Port hängt? Wenn ja, kann man das irgendwie abstellen, dass diese Meldungen kommen. Es existieren fast nur solche Einträge. Ganz selten das mal bspw. so etwas kommt: "block Oct 28 14:39 LAN 192.168.1.102 95.97.77.42:35294"…
-
@teddy / Marc: Den C5 aber nur in der Rev1 nehmen, nicht 2, die läuft nicht laut OpenWRT Wiki! Dann doch lieber safety first und nen C7 schießen mit Rev2.
Und einen kleinen VLAN Switch - bspw. ebenfalls von TP-Link - gibts auch für schmales Geld, wie den SG105E z.B. sofern 5 Ports genügen: http://j.mp/tp-link-sg105e
Kleiner Nachteil der Kiste ist zwar, dass man die nur via Windows konfigurieren kann (warum frag ich mich schon…) aber trotz schmalem Geld kann der Easy Smart tatsächlich port based und frei definierbare VLANs etc.Die Einträge die dich stören sind DHCP von der vorgeschalteten Fritzbox (UDP/67 bzw. UDB/68) sowie irgendwelches Windows NETBIOS/AD Geblubber (tcp/135-139 sowie 445). Würde ich zwei Aliase erstellen, P_UDP_trash und P_TCP_trash und auf der WAN Seite einfach als erste Regeln jeden TCP Traffic an Ziel any Port P_TCP_trash sowie UDP Traffic an P_UDP_trash einfach kommentarlos blocken - dann taucht es auch nicht mehr in den Logs auf. Windows Directory Krams willst du auf der WAN Seite eh nicht haben und deine pfSense hinter der Fritte sollte eh statisch konfiguriert sein, also ist es safe DHCP zu verwerfen.
Grüße
-
Hey Moin,
danke für den Hinweis, das habe ich direkt umgesetzt - siehe Screen. Leider bekomme ich die Einträge im Log nach wie vor… Was habe ich falsch gemacht?
Log:
block Oct 29 07:20 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:20 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:32 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:32 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:44 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:44 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:56 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 07:56 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:08 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:08 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:20 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:20 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:32 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:32 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:44 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:44 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:56 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 08:56 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 09:08 WAN 169.254.1.1 169.254.255.255:138 block Oct 29 09:08 WAN 169.254.1.1 169.254.255.255:138
-
Das ist von der Regel her schon richtig, aber hast du auch die Ports in das Alias eingetragen, die du rausfiltern willst? ;)
-
Ja, das habe ich gemacht. Offensichtlich nicht korreklt, oder? Habe das noch mal angehängt…
-
Doch, das sieht an und für sich ganz gut aus. Evtl. müsste man die States resetten, aber eigentlich sollten die Regeln so auch greifen. Du kannst das aber in der WebGUI in den Firewall Logs besser prüfen, denn da steht im Gegensatz zu deinem Console Output auch dabei, was für ein Protokoll greift. Ich vermute und denke mich zu erinnern, dass 135:139 UDP, nicht TCP war. Deshalb wirds wohl auch noch nicht geblockt :)
Edit: Jep siehe https://support.microsoft.com/en-us/kb/204279
Trage in der Port Blockliste am Besten in beiden 135:139 sowie 445 einzeln ein (Doppelpunkt heißt hier "von-bis"). Windows benutzt die teils als TCP, teils mit UDP und da läuft im Normalfall auch sonst nichts im Internet, was dich interessieren müsste, deshalb kannst du da auch etwas gröber mit 135:139 filtern :)
