PfSense hinter Modem vs. Gateway
-
Hallo,
ich würde mir mal gerne eure Meinungen zum Thema pfSense hinter Modem vs. Gateway anhören, der Grund ist der folgende: ich habe derzeit eine 200/10Mbit IPv4-only Leitung von Unitymedia mit einem alten Cisco Modem und dahinter läuft eben die pfSense. Überlege mir den Tarif upzugraden, da ich für nur 3€ mehr im Monat den Upload verdoppeln könnte (was schon echt gut tun würde), allerdings müsste ich das Modem abgeben und stattdessen kommt eine FritzBox 6490.
Vorteile:
+20 statt 10Mbit Upload
+mehr verfügbare Downstream-Kanäle (Das Cisco hat nur 8, mit der FritzBox könnte ich alle verfügbaren nutzen - wie viele das sind, weiß ich nicht, aber mindestens 12 werden es sein. Also immerhin min. 4 Kanäle mehr - somit womöglich mehr Stabilität, da mein Segment in den Abendstunden mehr oder weniger überlastet ist.)Nachteile:
-doppeltes NAT
-keine öffentliche IP in der pfSense sichtbar, DynDNS erschwert (obwohl dann in der FB möglich?)
-sonst noch etwas?Irgendwie bin ich gerade verunsichert, ob ich das Upgrade durchführen soll, da mir ein Gateway statt Modem kein gutes Gefühl bereitet. Könnt ihr mir die Sorgen nehmen? Wie ist das mit dem DMZ Modus bzw. Exposed Host, laufen dann weiterhin die Portfreigaben / Verbindungen zum VPN-Server der pfSense problemlos weiter?
Ich meine durch den (theoretischen) Wegfall des Routerzwangs könnte ich mir ein geeignetes DOCSIS Modem zulegen und die Sache wäre erledigt, aber leider gibt es ja derzeit keine aktuellen DOCSIS Geräte auf dem deutschen Markt, außer eben der FB6490….
-
Hi,
wobei soll dich das doppelte Nat stören? Welche Dienste betreibst du? Als "einfacher" Surfer kannst du dir die Bandbreite gönnen ;-) Und bei Verfügbarkeit stellst du um auf reinen Modembetrieb.
Gruß
pfadmin -
Hallo,
ich sehe da keine Probleme.
Ich selbst bin bei KD und habe eine ähnliche Konfiguration.
Auf dem Kabelrouter von KD habe ich die entsprechenden Port-Weiterleitungen eingerichtet und auf meiner
pfsense laufen die Dienste wie z. B. OpenVPN. Ich hätte auch die Möglichkeit den KD Router in den Bridge-Mode zu versetzen, dachte mir aber, dass eine weitere NW-Instanz vor meiner pfsense nicht unbedingt
nachteilig ist.
Und die Fritzbox hat ja vermutlich wesentlich mehr Einstellmöglichkeiten als so ein "Billigrouter" wie ich ihn
benutze.Gruß
Peter -
Moin,
aufgrund meiner 10 Rufnummern bin ich momentan noch auf die Fritte von KD angewiesen da ich sonst die Rufverteilung nicht sinnvoll hinbekomme, pfSense läuft schon eine ganze Weile als 2. Router dahinter und ist auf der Fritte als exposed Host eingestellt. Im praktischen Betrieb bemerke ich keinen Unterschied zur Kiste auf der Arbeit, dort hängt pfSense hinter einem DSL Modem. Ein schneller Download kommt mit ~12MB/sec rein (Knoppix per FTP)
DynDNS ist auch kein Problem, bei KD wechselt die öffentliche IP recht selten, ich habe die Aktualisierung per Cronjob realisiert:minute hour mday month wday who command 1 */2 * * * root /usr/bin/nice -n20 /etc/rc.dyndns.update-teddy
-
Was den DynDNS Dienst betrifft, habe ich einen komischen Effekt auf meiner pfsense.
Diese ist ja - wie oben beschrieben - hinter dem Kabelrouter und hat eine feste private IP.
Normalerweise kennt ja die pfsense nur die eigene WAN-IP, dennoch bekommt der DynDNS Dienst auf meiner pfsense die wirkliche WAN IP von KD mit.Gruß
Peter -
Moin,
…Und die Fritzbox hat ja vermutlich wesentlich mehr Einstellmöglichkeiten als so ein "Billigrouter" wie ich ihn benutze.
Die Einstellmöglichkeiten sind für mich überflüssig, ich stelle dort das Nötigste ein (Zugangsdaten / exposed Host oder Portweiterleitungen / Telefonie) und den Rest auf pfSense. Das hat den Vorteil das ich bei Netzwerkeinstellungen nur an pfSense und bei Telefonieeinstellungen nur an die Fritte muss. ;)
Iirc hat JeGr vor einiger Zeit mal erwähnt das pfSense bei Detektion einer privaten IP auf dem WAN Interface auf Plan B umschaltet und mit einem anderen Algorithmus die externe IP detektiert
-teddy
-
Mit dem "wesentlich mehr Einstellmöglichkeiten" bezog ich mich vor allem auf die Portweiterleitungen.
Da gab es bei den Routern von KD in der Vergangenheit immer wieder Schwierigkeiten.
Ansonsten mache ich das wie Du. Meine pfsense ist der Hauptakteur im NW.Danke für den Hinweis mit dem DynDNS Dienst.
Gruß
Peter -
Vielen Dank für die vielen Antworten, das hilft mir schon weiter (obwohl ich das trotzdem für nicht ganz optimal halte).
Und bei Verfügbarkeit stellst du um auf reinen Modembetrieb.
Den Gedanken hatte ich auch. Nur wie lange das dauert…
Iirc hat JeGr vor einiger Zeit mal erwähnt das pfSense bei Detektion einer privaten IP auf dem WAN Interface auf Plan B umschaltet und mit einem anderen Algorithmus die externe IP detektiert
Heißt es also, dass DynDNS nun doch problemlos in der pfSense laufen kann?
Wie gesagt, mir ist halt wichtig OpenVPN ein- als auch ausgehend problemlos zu betreiben und dass sonst keine spürbaren Nachteile entstehen. So wie ich das nun verstanden habe, soll es laufen. Ich hoffe es und werde dann wohl in den nächsten Tagen das Upgrade wagen.
Btw. werden eigentlich auch die IPSec Verbindungen von der FB zur pfSense durchgeschleift? Ich frage, weil die FB ja einen eigenen IPSec Zugang bietet und evtl. dadurch die benötigten Ports für sich selbst blockiert?
-
Heißt es also, dass DynDNS nun doch problemlos in der pfSense laufen kann?
Zumindest bei mir klappt das stressfrei. Ich habe 3 Tunnel aktiv sowohl kommend als auch abgehend …
IPSec hatte ich nur kurz mal am laufen, das funktionierte auch hinter der Fritte.-teddy
-
Ok, danke!
-
Heißt es also, dass DynDNS nun doch problemlos in der pfSense laufen kann?
Ja tut es. Prüfung läuft dann via Aufruf von checkip.dyndns.org.
-
Ich hatte auch erst die 6490 (freie Version) im Doppel-NAT Betrieb vor der pfSense. Im Grunde hat soweit auch alles einigermaßen funktioniert (DynDns, OpenVPN, IPSEC, Port-Forwarding). Allerdings hatte ich ab und zu Probleme mit NAT-UPNP bei diversen Spielen.
Ich habe dann über KD den Bridge Mode aktiviert, was die Fritte erstmal herzlich wenig interessiert hat, weil sie selber kein Bridge Mode liefert. Man muss über den FBEditor das versteckte Menü(Bridge Mode) in der Fritzbox aktivieren.Seitdem ich nun direkt mit dem pfSense die WAN IP beziehe habe ich 2 Vorteile bemerkt. A) NAT UPNP läuft nun anstandslos! B) die IPSEC Verbindungen (habe 4 Stück) erreichen einen etwas höheren Durchsatz. Das kommt ggf. durch die minimal niedrigere Latenz und den wegfallenden Hop.
Ein etwas zu vernachlässigen Vorteil gibt es zusätzlich. Die Fritzbox bezieht sich zusätzlich zum pfSense eine eigene IPV4 & IPV6 Adresse. Das heißt aktuell, ich habe 2 WAN IPs. Auf der Fritte und auf der pfSense ;) Sicher nicht so gewollt von KD und ich habe aktuell keinen Anwendungsfall dafür, aber sehr interessant. -
Ja, wenn es so etwas bei Unitymedia geben würde, wäre ich auch glücklich. Aber leider ist UM da nicht so flexibel und kundenfreundlich, wie KD.
Du sprichst gerade einen interessanten Punkt an: Latenzen. Hast du noch im Kopf, wie es vor der Umstellung war? Also wie die Latenz nun im Vergleich zu FritzBox im Routermodus besser geworden ist?
-
Du sprichst gerade einen interessanten Punkt an: Latenzen. Hast du noch im Kopf, wie es vor der Umstellung war? Also wie die Latenz nun im Vergleich zu FritzBox im Routermodus besser geworden ist?
Ich habe gerade nochmal geschaut aber ich finde leider die Screenshots nicht mehr, die ich während des Tests gemacht hatte. Ich hatte eine IPSEC Verbindung in die Firma verglichen. Das sind nun 2-3ms weniger. Hatte vorher rund 18-20Mbit (von max. 25Mbit) im Upload. Nun ist es recht konstant bei 23,5-24,3Mbit. Bei der IPSEC Verbindung wird jetzt halt auch kein NAT Traversal mehr benutzt.
-
So, habe den Schritt gewagt und bei mir werkelt nun eine FB6490 vor der pfSense. DynDNS klappt wunderbar, ohne noch etwas extra einstellen zu müssen, wie hier bereits mehrfach erwähnt wurde. Exposed Host und die Portweiterleitungen an die nachgeschaltete Geräte gehen auch problemlos.
Habe mir mal die Pingzeiten zu google.de und heise.de vor- und nachher notiert. So sieht es aus (jeweils min/avg/max):
google.de
13.149/15.243/18.432 vs. 16.526/19.501/23.944heise.de
13.596/15.877/29.519 vs. 16.053/20.057/31.268 -
Hallo,
würde gerne nochmal kurz das Thema aufgreifen und eine Frage zur FB 6490 bzw. dem Online-Zähler stellen.
Ich habe jetzt mal über einen längeren Zeitraum (ca. 40 Tage) den täglichen Verbrauch verglichen und die FritzBox liefert konstant einen um ca. 5-9% größeren Wert als das pfSense-Package "Traffic Totals".
Weiß jemand woran das liegen könnte? An der FB ist nur die pfSense angeschlossen, sonst keine weiteren Geräte. Auch läuft dort keine Telefonie drüber.
Könnte evtl. nur an DOCSIS Overhead denken, aber so viel? Oder eben jemand von den beiden zählt nicht richtig.Mich verunsichert halt die Sache etwas, wo nun genauere Werte ermittelt werden. Ich bin mir fast sicher, dass die pfSense die "Zählerei" besser beherrscht, als die FB. Ich würde aber trotzdem gerne wissen, was die Ursache dafür ist. Hat das Phänomen schon mal jemand anders beobachten und evtl. auflösen können?
-
Hast Du die Werte auch umgerechnet? Die FritzBox zählt in MB und Traffic Totals in MiB.
-
Ok, einen Fehler gefunden ::)
Ich habe nicht aufgepasst, habe nur die MB von der FritzBox /1024 in GB umgerechnet, weil ich mir gedacht habe, dass die FB schon in "1024er"-Schritten rechnen sollte.Nun gut… jetzt ist der Unterschied zwar kleiner geworden , aber es gibt den trotzdem noch. Über denselben Zeitraum zeigt die FB zwischen 0,11 und 3,8% mehr an (wobei das eher Ausreißer sind, die meisten Werte liegen dazwischen).
Nehmen wir bspw. den gestrigen Tag: FB - 83000MB => wären also 79154,97MiB => 77,30GiB. Traffic Totals zeigt aber 75,30GiB an. -
Keiner eine Idee wodurch dieser Unterschied zustande kommen kann und wer von den beiden genauere Werte liefert?
Übrigens: das meiste wird durch den Upload verursacht, obwohl dieser selbstverständlich um ein Vielfaches kleiner ist. Unterschiede im DL sind sehr minimal.
-
Leider nicht. Ich kann nur beisteuern, dass die Zahlen die die pfSense liefert(e) bislang immer recht zuverlässig waren. Als es noch BandwithD gab, hatten wir die Zahlen meist als Verifikation zu den Zahlen des RZ Providers genutzt, was auch sehr gut hinkam. Mit Netflows ebenfalls recht solide. Könnte da bei der Fritzbox noch was dranhängen was Traffic erzeugt?
