Umstieg IPFire auf pfSense Fragen
-
Hallo Leute,
wie ihr seht bin ich hier im Forum neu.
Momentan habe ich eine IPFire auf einer APU 1C mit 2GB Ram und einer 30GB SSD am laufen.
Nun würde ich gerne umsteigen auf pfSense, da mit IPFire zu wenig Möglichkeiten bietet.Ich würde gerne folgende Dienste laufen lassen:
- OpenVPN 8 User, wenig Traffic
- DHCP (intern)
- DNS (BIND interne Namensauflösung)
- Captive Portal
Als Internetprovider hab ich UMKBW mit 150MBit down / 5mbit up
Zu meinen Fragen:
Meine Frage nun reicht mit die APU1C mit 2Gb für meine Anwendung?
Zu OpenVPN, muss ich an alle Clients neue Zertifikate erstellen und ausrollen?
Eventuell würde ich auch gerne in Zukunft eine zweite WAN Leitung da zunehmen und Load Balancing machen, ist aber momentan noch kein muss.Danke für eure Hilfe und Gruß Robert
-
Meine Frage nun reicht mit die APU1C mit 2Gb für meine Anwendung?
Die APU1 reicht da sicher erstmal aus (für reines Routing), wenn du weitere Dienste in Richtung pfBlockerNG oder auch IDS/IPS in Betracht ziehen möchtest, würde ich dir eher ein etwas größeres Gerät nahelegen (APU2, NCA1010/1020, N3150-basierend etc.)
Für die OpenVPN User sollte das auch genügen, wenn wenig Traffic läuft, ansonsten wäre bspw. eine Vollverschlüsselung deiner Leitung bei 150MBit/s mit der APU1 wahrscheinlich schlecht zu lösen, da die 1. Generation noch keine AES-NI Unterstützung mitbringt und sehr CPU-lastig wäre.
DHCP intern sowie DNS o.ä. spielen da eine sehr untergeordnete Rolle und funktionieren einfach. Benötigst du wirklich einen vollständigen BIND? Ich vermute in den meisten Fällen genügt da der DNS Resolver mit DHCP Anbindung und einigen eingetragenen Hostnamen/Domain Overwrites problemlos und einfacher, als eine ganze BIND Zone (oder mehrere) zu pflegen :)
Das Captive Portal habe ich selbst nicht im Einsatz sollte aber kein großes Problem darstellen in der Standard Nutzung.
Zu OpenVPN, muss ich an alle Clients neue Zertifikate erstellen und ausrollen?
Nicht unbedingt, wenn du die CA und die Server Zertifikate sowie Keys etc. von der IPFire exportieren kannst. Wenn das nicht geht oder es zu umständlich ist, würde ich einfach den Server einrichten und mit dem OpenVPN Client Exporter Package einfach neue Client-Pakete ausrollen. Das ist sehr komfortabel und kaum Aufwand.
Eventuell würde ich auch gerne in Zukunft eine zweite WAN Leitung da zunehmen und Load Balancing machen, ist aber momentan noch kein muss.
Sofern du an deiner APU nur LAN und WAN momentan nutzt, wäre auch das kein größeres Problem, je nachdem welche Geschwindigkeit/Leitung, wäre dann aber ggf. der Blick auf ein schnelleres Gerät interessant. Auch weil die APU1 leider EOL (end of life) ist. Andere interessante Alternativen sind ja oben genannt.
Viele Grüße
Jens -
Danke für deinen Antwort.
IDS/IPS hab ich noch nicht näher drüber nach gedacht.
Schön vll schon aber ob ich das Privat für Zuhause unbedingt brauche, keine Ahnung.Bind deshalb, weil ich ein paar Anfragen die an eine DynDns Adresse normal gehen einfach intern direkt an den Server weiterleiten möchte.
Habe momentan auf einem Raspi den DHCP und BIND am laufen.
Nun würde ich das gerne von pfSense erledigen lassen.Mit der APU ist es mit dem LoadBalancing so geplant wie du es schreibst.
Allerdings habe ich noch eine VLAN für die Gäste eingerichtet, was die APs versorgt.
Wegen VPN. An die Zertifikate komme ich noch ohne problem ran. Server wie auch Client.
Allerdings bin ich mir nicht sicher ob ich die Keys noch irgendwo habe.
Ansonsten gibt es halt neue Zertifikate.Captive Portal kann ich auch von den UniFi APs machen lassen.
Ich werde mir mal pfSense in eine VM installieren um ein wenig zu spielen.
Sobald ich in Richtung Produktivsystem gehe, werde ich glaub ich auf die APU2 mit 4GB setzten.
Denke damit komme ich erst mal locker klar.Danke für deine Hilfe
Gruß Robert
-
Bind deshalb, weil ich ein paar Anfragen die an eine DynDns Adresse normal gehen einfach intern direkt an den Server weiterleiten möchte.
Ist unnötig, das kannst du auch per Host Override im Resolver oder Forwarder problemlos machen.
Funktioniert problemlos auch auf der pfSense plus mit aktivem DHCP kann die pfSense dann auch automatisch die gewünschte interne Domain an die DHCP Namen anhängen und damit eine halbwegs dynamische interne Zone darstellen.Zum VPN: Wie gesagt, neu erstellen ist Dank Wizard und Client Export Package eigentlich keine große Sache :)
Grüße
-
Ich hab gerade mal ein paar Videos auf Youtube zum Thema namensauflösung geschaut.
@JeGr
Du hast recht, bind werde ich wohl nicht benötigen.Eine Frage habe ich noch, wie groß sollte denn die SSD sein?
Eher 30GB oder 60GB?Danke und Gruß Robert
-
Eher 30GB oder 60GB?
Das hängt ganz davon ab, was du alles machen möchtest. Wenn du nicht großartig Logging betreibst würde dir sogar weniger genügen. Die Test VMs - und das official pfSense vmWare Image - bspw. laufen auf 8GB großen virtuellen Festplatten und haben selbst mit ein paar installierten Paketen keine Probleme. Sprich mit 30GB wirst du locker hinkommen. Wir haben bei vielen Kunden auch 16 oder 32GB (m)SSDs laufen ohne dass die Speicherprobleme bekommen. Lediglich wenn du größere Proxy Logs o.ä. haben möchtest, würde ich größere SSDs nehmen - oder dann wieder die Logs auf einen externen Logserver ziehen.
Aber bei SSDs ist es ja auch nicht schlecht etwas mehr Platz zu haben um die Zellen etwas zu schonen :)
-
Ich glaube dann werde ich einfach auf die 60GB setzten.
Soviel kostet dass auch nicht mehr.Danke
-
Wir testen auch gerade die Übernahme von rund 150 VPN Verbindungen einer IPFire auf pfSense.
- IPFire OVPN CA importieren
- Server Zertifikat und Keyfile übernehmen
- Clientzertifikate importieren
- Clientkeys importieren
Letztere können einfach mit OpenSSL aus den exportierten pkcs12 Files extrahiert werden.
Ich würde aber erst mal mit einer Verbindung testen. Wenn die Konfig auf Clientseite manuell angepasst werden müsste,
wäre die Neuinstallation der Clients über die Sense und den Packagewizard wohl angenehmer.
