PfSense Planung
-
Was die VDSL-Modems angeht, so kannst Du sicherlich eins der Speedports verwenden. Kaufe Dir dann am besten gleich ein Zweites dazu, wenn das Erste aussteigt (gibt es von der Telekom überhaupt noch reine Modems?).
Du kannst so ein Teil auch von der Telekom mieten und damit bei testen sowie eine Entscheidung für eine Anschaffung verzögern.
Nachdem die Telekom jetzt das Entertain (wolltest du glaube ich nutzen?) mit dem Internet zusammen in einem gemeinsamen VLAN 7 ausliefert (statt wie vorher in einem getrennten VLAN 8 ), kann man auch ein Gerät verwenden, was im PPPoE-Passthrough-Modus die VLAN-Tags gleich entfernt. Das war vorher noch ein Problem. Damit gehen halt auch ältere Speedports. An welchen Anschlüssen das mit den VLANs jetzt so ist, weiß ich aber noch nicht genau. Bei mir kam das bei VDSL2 so mit, vorher bei ADSL 16.000 hatte ich Entertain noch im VLAN 8.
Das Vigor 130 ist wohl für Vectoring sehr ok, selbst habe ich es nicht probiert.
Ich habe so ein Teil und das hat perfekte Übertragungsraten an einem VDSL2 mit 100 Mbit.
-flo-
-
Als Switche betreibe ich gerade ausschließlich die TP-Link. Ich werde vermutlich auch erstmal nicht auf VLAN setzen, daher denke ich, dass ich da erstmal nicht neu investieren muss. Das lässt sich ja zur Not auch noch später machen.
Es treibt mir ja jedesmal die Schamesröte ins Gesicht, wenn ich das hier erwähne, aber ich bin ganz zufrieden mit Netgear Switches für ca 30 Euro das Stück: 8 GigabitPorts, VLAN-fähig, kann IGMP-Snooping, überschaubarer Stromverbrauch. "Management" (mittlerweile) per Web-Konsole (ältere Geräte mußten noch per Windows-Software administriert werden, das war uncool).
Das IGMP-Snooping im Switch kann u.U. helfen, wenn Dir beim Fernsehen die WLAN-Performance einbricht.
-flo-
-
Bei der Virtualisierung hatte ich speziell daran gedacht, dass sich Backups leichter erstellen und wiederherstellen lassen
Wenn du dich mit pfSense mal auseinander setzt, wirst du sehen, dass das Backup in einer einzelnen XML Datei besteht. Der Rest ist: USB Stick rein, neu installieren, config wieder einspielen, das wars. Mehr ist völlig unnötig und das XML File zu exportieren auch nicht sonderlich schwer (Menü Diagnostic, Backup/Restore).
Grüße
-
Ich habe so ein Teil und das hat perfekte Übertragungsraten an einem VDSL2 mit 100 Mbit.
Ok gut zu wissen. Dann schau ich mir das mal näher an.
Es treibt mir ja jedesmal die Schamesröte ins Gesicht, wenn ich das hier erwähne, aber ich bin ganz zufrieden mit Netgear Switches für ca 30 Euro das Stück: 8 GigabitPorts, VLAN-fähig, kann IGMP-Snooping, überschaubarer Stromverbrauch. "Management" (mittlerweile) per Web-Konsole (ältere Geräte mußten noch per Windows-Software administriert werden, das war uncool).
Das IGMP-Snooping im Switch kann u.U. helfen, wenn Dir beim Fernsehen die WLAN-Performance einbricht.
Haha da brauchst du dich nicht schämen ;) Danke für den Tipp, an IGMP hatte ich gar nicht mehr gedacht. Sollte man mit einplanen!
Bei der Virtualisierung hatte ich speziell daran gedacht, dass sich Backups leichter erstellen und wiederherstellen lassen
Wenn du dich mit pfSense mal auseinander setzt, wirst du sehen, dass das Backup in einer einzelnen XML Datei besteht. Der Rest ist: USB Stick rein, neu installieren, config wieder einspielen, das wars. Mehr ist völlig unnötig und das XML File zu exportieren auch nicht sonderlich schwer (Menü Diagnostic, Backup/Restore).
Grüße
Mein Fehler ::) Hab nicht daran gedacht, dass es da ja eigentlich nichts für ein Backup gibt ;D
-
1. Jetway NF9HG-2930 (Intel Bay Trail-M)
https://www.mini-itx.de/Mini-ITX-Mainboards-Mini-ITX-mit-CPU-Intel/Jetway-NF9HG-2930-Intel-Bay-Trail-M::392959.htmlDas Board bringt ~900/920 MBit/s am WAN Port als Durchsatz und ist auch ganz nett für eine UTM
mit Squid & SquidGuard, Snort, ClamAV und pfBlocker-NG, aber dann bitte mit 8 GB RAM und nicht
4 GB! Da die CPU von 1,8GHz - 2,4GHz "geht" würde ich aber auf jeden Fall PowerD (hi adaptive)
einschalten damit je nach Last die CPU auch gefordert wird und vor allen Dingen auch "liefert".2. 4GB Corsair ValueSelect DDR3L-1333 SO-DIMM CL9 Single
http://www.mindfactory.de/product_info.php/4GB-Corsair-ValueSelect-DDR3L-1333-SO-DIMM-CL9-Single_936649.htmlMach lieber 8 GB daraus und dann kannst Du wenigstens die mbuf Größe falls notwendig erhöhen und
Squid ein wenig mehr RAM als die "default" 256 MB mehr zuweisen.3. 60GB Kingston SSDNow mS200 mSATA 6Gb/s MLC asynchron (SMS200S3/60G)
http://www.mindfactory.de/product_info.php/tab/reviews/60GB-Kingston-SSDNow-mS200-mSATA-6Gb-s-MLC-asynchron–SMS200S_904728.html#reviewsKann man nehmen, aber ich würde dazu die TRIM Unterstützung aktivieren, damit die mSATA länger lebt.
M350 Gehäuse und ein externes Netzteil dazu und gut ist es, das wird dann direkt auf dem Board
angesteckt (ganz links) und man braucht weiter nichts mehr dazu, es sei denn man möchte noch
WLAN dazu haben. -
… Schamesröte ... Netgear Switche ...
Haha da brauchst du dich nicht schämen ;) Danke für den Tipp, an IGMP hatte ich gar nicht mehr gedacht.
Netgedöns ist bei einigen Personen hier im Forum aus eigenen, suboptimalen Erfahrungen nicht sonderlich beliebt.
Vermutlich stehe ich mit meiner Antipathie da ziemlich weit vorne.
Von 6 (oder 8 ) Geräten, die ich in den Fingern hatte, lebt genau eines noch. Der Rest war entweder neu-defekt oder verstarb innerhalb der ersten Betriebsstunde. Einer wollte auch dringend eine neue Firmware haben, um danach mit diesem komischen Konfigurationsprogramm arbeiten zu können, und wurde seither nie wieder gesehen, geschweige denn gepingt.Selbst mit einem vermeidlich günstigen Anbieter wie TP-Link habe ich da deutlich weniger (äh, keine?!) solchen Probleme gehabt.
Und IGMP können deren Geräte auch prima, ich nutze einen TL-SG5412F als Fiber-Concentrator in einer größeren IP-TV Installation, dessen Konzept völlig darauf aufbaut. Der Hersteller (wir waren Errichter) lässt sonst nur Cisco Catalyst Switche zu… -
@Bluekobold: Ich hinterfrage nochmal: Wofür so übermäßig viel Performance, die locker Gigabit schaffen würde, aber der "Kunde" hier grad mal VDSL 50 hat?!? Deshalb sage ich an der Stelle unnötig große Hardware für den Heimeinsatz. Nett zum Spielen, aber sowohl Power Usage als auch mit Reserven viel zu hoch gegriffen. Ich kann mir auch nen kleinene Xeon E3 hinstellen, der auch nur TDP von 19-25W hat, aber wofür? Selbst wenn Unitymedia bei mir nächstes Jahr auf ~300-350MBit erhöht, habe ich das immer noch a) nicht synchron und b) immer noch kein Gigabit. Und momentan wuppt selbst mein Atom D510 noch locker die 200MBit Leitung. Egal ob 2, 4 oder 8GB RAM. Natürlich brauchen Spielerein wie Squid und Co Performance und RAM, aber wir reden hier trotzdem über VDSL 50 + Heimeinsatz.
Ansonsten kann ich jahonix beipflichten, ich habe selbst leidige Erfahrung mit den Netgear Geräten gemacht. Wackliger Stromanschluß, der beim leichten Wackeln plötzlich wahllose Ports kurzschließt oder resettet. Geräte die plötzlich kein LAN mehr haben (ausstecken - einstecken - läuft wieder) und lauter solcher Terz. Dann HP 1810 v2 gekauft dafür - läuft toll. Nach den vielen positiven Stimmen hier zu TP Link (günstig für zu Hause) dann noch einen kleinen Switch fürs Media Rack gekauft und gestaunt was die da für kleinen Preis alles reinpacken. Ist zwar nun auch einer, der leider ne Windows Software zum managen braucht, aber ich habe eh eine WinVM für sowas. Dafür einmal konfigurieren und nicht mehr anfassen, alles gut :)
-
HP 1810 v2
Die Geräte habe ich auch häufig bei Kunden installiert und selbst genutzt.
Probleme hatte ich damit nie, nur die fehlende Konsole (sowohl seriell als auch Telnet/ssh) machen langfristig keinen Spaß.
OK, früher
habe ich die Konsole auch nur benutzt, um die IP einzustellen. Den Rest dann über das Web-Interface. Nachdem ich einen Switch-Management Lehrgang bei der Avanis in Bielefeld mitgemacht habe, hat sich das schlagartig geändert. Den Lehrgang ich jedem, der sich mit der Materie beruflich beschäftigt, nur empfehlen! -
Da ja pfSense "eigentlich" nur eine Routersoftware ist
Das ist sie nicht sie ist eine Software Firewall, das was Du meinst sind mehr DD-WRT, OpenWRT und FreeWRT
oder Tomato._Eine Firewall trennt ein Netzwerk von einem oder mehreren anderen Netzwerken.
Eine Router routet Pakete von einem in ein oder mehrere andere Netzwerke.Und bloß weil beide NAT machen oder routen können macht es sie noch lange nicht zu Geräten
oder Software der gleich Klasse und/oder Liga!_und nicht so UTM versiert ist, dachte ich an die Nutzung von Proxmox um auf dem selben PC gleichzeitig Endian laufen zu lassen, da ich denke, dass da die Oberfläche besser ist und mehr Funktionen vorhanden sind.
pfSense & Squid (Proxy) & SquidGuard (URL redirector) & Snort (IDS) & HAVP (ClamAV) stellen für
mich sehr wohl eine richtige UTM dar die nicht nur 50MBit/s am WAN Port wuppen muss sondern
dann schon den richtigen "Antrieb" haben sollte um einen vernünftigen Durchsatz noch zu ermöglichen.
Das lässt sich sicher alles auch mit einer PC Engines APU1D4 machen und erledigen nur wenn der AVScan
auch noch mit dabei ist hätte ich eben gerne 4 statt zwei CPU Cores und auch lieber 8 GB anstatt 4 GB RAM
fest verlötet und auch 2GHZ anstatt 1GHz sind nicht schlecht, dazu noch 4 Intel anstatt RealTek Ports und
die Sache läuft rund.Bitte korrigiert mich, falls das falsch ist! (Das könnt/sollt ihr bitte bei allem machen, was ich schreibe ;) )
Also mittels pfSense kann man sehr wohl eine UTM Appliance realisieren und benötigt auch sonst nicht weiter
dazu als ein paar Pakete oder sagen wir es einmal so herum man braucht keine Endian, Sophos oder Untangle
UTM dazu die man dann auf etwas wie Proxmox laufen lässt! pfSense läuft auf der Hardware die Du Dir weiter
oben ausgesucht hast völlig fehlerfrei!@Bluekobold: Ich hinterfrage nochmal: Wofür so übermäßig viel Performance, die locker Gigabit schaffen würde, aber der "Kunde" hier grad mal VDSL 50 hat?!?
Weil er eine UTM Lösung sucht und da schaue ich nicht nur auf den WAN Durchsatz sondern eher auf
alles was noch installiert werden soll und zusammen mit dem AVScan, IDS und einem Proxy wie Squid
würde ich lieber zu dem Jetway Board greifen wollen. Die beiden Lösungen liegen im selben Preissegment
und bei dem Jetway Board hat man halt fast alles doppelt!
2 CPU Kerne vs 4 CPU Kerne
1GHz vs 2GHz
4 GB vs 8 GB
3 miniPCIe + SIM vs 2 miniPCIe + SIM
3 Realtek GB LAN Ports vs 4 Intel GB LAN Ports die noch auf bis zu 16 erweitert werden können, sicherlich
nicht in einem mini-ITX Gehäuse aber in einem 19" Gehäuse von Varia-Store.nett zum Spielen, aber sowohl Power Usage als auch mit Reserven viel zu hoch gegriffen.
Also ein aktuelles PC Engines APU Bundle aus Gehäuse und Board und Netzteil kostet bei Varia-Store ~239 €
was bei ~200 € bis 250 € angesiedelt ist und sein Board & Gehäuse & RAM & mSATA & Netzteil liegen bei
etwa ~280 € bis 300 € je nachdem wo er es alles kauft. Und die CPU Leistung liegt bei 7,5 Watt (TDP).Natürlich brauchen Spielerein wie Squid und Co Performance und RAM, aber wir reden hier trotzdem über VDSL 50 + Heimeinsatz.
Klar nur wir reden, oder zumindest redet der TO auch von UTM und nicht nur Snort, Squid und Firewall
und meiner Meinung nach ist er halt besser mit dem Jetway N2930 Board beraten als mit einem APU1D4
wenn es um eine UTM mit AVScan geht. Kann ja auch jeder für sich selber abmachen was er wem rät
nur ich würde lieber das Jetway Board nehmen und 50 € mehr ausgeben als später kaum Durchsatz
übrig zu haben bei einer UTM mit zu wenig RAM und zu kleiner SSD/mSATA. -
@Bluekobold: Mag schon stimmen, ich bin allerdings im Heimumfeld pragmatisch. Man kann da viel spielen wollen, schlußendlich wirds meist doch weniger ;)
Aber jedem wie er möchte, da habe ich keine Anteile dran. Aber diese immer wieder empfholenen Jetway Celeron Kisten haben eben trotz allem (mehr GHz, mehr Kerne) kein AES oder Quickassist. Und mit einem Atom C2358 oder 2558 ist man in einem recht ähnlichen Preissegment und hat dabei nicht nur annähernd gleiche Taktung und Kernzahl (wenns da unbedingt drauf ankommt), sondern auch noch ordentliche CPU Entlastung sobalds um Verschlüsselung geht. Und wenn ein full scale IDS wirklich von Interesse ist, dann sollte derjenige auch VPN/IPSEC nicht außer Acht lassen und dafür sind IMHO diese Celerons nur bedingt geeignet.Just my 2c
