Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ganz viele verschiedene Fragen (Hardware und Aufbau)

    Deutsch
    4
    12
    1.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Nur mal ein paar kurze Antworten weils schon spät ist :)

      dass es irgendwie Vorteilhaft sein sollte/ könnte wenn der WAN Adapter von pfSense über öffentliche Adresse verfügt.

      Ist es für verschiedene Dinge, da man sich ggf. ein zweites NATting und damit einhergehend Problemstellen sparen kann. In manchen Setups ist es aber nicht anders machbar und m.E. halten sich die Dinge die Waage. Wenn es geht würde ich aber präferieren dass die pfSense die IP hält. Für VDSL kannst du der Fritzbox normalerweise problemlos sagen sie soll nur Modem spielen, dann sollte aber auch kein WLAN o.ä. darauf genutzt werden.

      Ich wusste ehrlich gesagt nicht wie ich die Fritzbox dazu bringen könnte nur als Modem zu fungieren, damit pfSense die öffentliche Adresse bekommt?

      Einstellung des Verbindungsaufbaus ändern, dass sie nur Modem spielt und keinen Router.

      Ist das wirklich möglich und bringt das in reellen Situationen wirklich Vorteile?

      Ja und siehe oben. Welchen Vorteil es konkret bringt müsste man bei dir sehen.

      sollte ich nach Hardware die AES-NI kann schauen. Wenn ich es nicht ganz falsch verstanden habe, handelt es sich hier um eine Befehlssatz den Intel in einigen CPU's integriert hat.

      Ja solltest du, nein nicht nur Intel. Auch AMD hat AES-NI in ihren Chips verbaut. Es geht vereinfacht darum crypto Sachen abseits der CPU in einem speziellen Befehlssatz beschleunigt abzuarbeiten um die CPU nicht unnötig mit Rechnen zu beschäftigen.

      Lässt sich der Unterschied bei der Performance irgendwie greifbar beschreiben?

      Ja definitiv. Unterschied kann da schon essentiell sein. Bspw. APU1 ohne AES-NI bringt bei diversen VPN Arten nicht mehr als 30MBit, max ~70-80MBit gestemmt, dann aber mit sehr hoher CPU Load. APU2 bringt die gleichen Werte problemlos mit weitaus weniger CPU Last zustande und kann dementsprechend auch höhere Werte erreichen. Erste Benchmarks unter FreeBSD11 sehen ~200-300MBit/s als möglich vor dem Ausmaxen. Werte von ~4-5x Bandbreite mit AES-NI sind so das, was ich bei den kleinen Geräten erwarten würde.

      J1900…

      Genau so eine Kiste willst du nicht. Ja die ist etwas schneller etc. als vielleicht eine APU, aber hat kein AES-NI. Bevor ich die nehmen würde, würde ich zu was anderem greifen. Demnächst kommen die ersten Braswell Boxen mit N3010 und Co. die wiederum dann auch AES-NI mit an Bord haben. Diese ebay Boxen die angeblich so supertolle Router sind, beäuge ich eher etwas skeptisch.
      Aber ja, Hardware mit 4-5 NICs zu finden ist schwierig, leider. Die sind meist erst wieder bei teureren Builds zu finden. Es gibt einige Eigenbauten, die auf der APU noch 2 weitere Interfaces im Custom Gehäuse einbasteln, aber da ist kreatives Basteln angesagt. Ansonsten gibt es unterhalb der 500€ Grenze meist nur 2-3 NICs zu finden.

      Bind

      Warum will alle Welt immer nen Koloss von DNS Server mit sich rumschleppen!? Und AD macht normalerweise eh der Windows Server selbst am Besten mit den ganzen guffeligen Schemaerweiterungen. Und wenns ne interne Domain "light" auch tut, dann reicht normalerweise die Interaktion mit DHCP + Resolver/Forwarder und ein paar custom Host Overwrites o.ä. - aber ggf. hast du da einen triftigen Grund. Einen echten Bind mit internen Zonen würde ich aber eher hinter die Firewall als auf die FW packen.

      müde Grüße

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • M
        Morpher
        last edited by

        Da ich da es bei mir genauso bzw. nur mit anderen Subnetzen habe, kurz hier eingeklinkt. Wo genau ist denn das für die 7490 zu finden?
        Internet-> Zugangsdaten-> Internetanbieter-> Vorhandener Zugang über LAN ?
            -"-              -"-                        -"-          -> Verbindungseinstellungen ändern -> PPOE Passthrough aktivieren?

        Und wie genau müssen die Zugangsdaten dann eingetragen werden auf der pfSense?

        1 Reply Last reply Reply Quote 0
        • T
          Tobi
          last edited by

          Danke JeGr für die Ausführliche Antwort.

          Ist es für verschiedene Dinge, da man sich ggf. ein zweites NATting und damit einhergehend Problemstellen sparen kann. In manchen Setups ist es aber nicht anders machbar und m.E. halten sich die Dinge die Waage. Wenn es geht würde ich aber präferieren dass die pfSense die IP hält. Für VDSL kannst du der Fritzbox normalerweise problemlos sagen sie soll nur Modem spielen, dann sollte aber auch kein WLAN o.ä. darauf genutzt werden.

          OK, könnte ich zumindest probieren. Was mir dann aber noch nicht klar ist - im jetzigen Setup also wo die Fritzbox die Verbindung aufbaut und als Router dient (WiFi macht sie nicht), werden wohl auch die Telefonnummern bei T-Com registriert (VoIP). Funktioniert das wenn sie nur als Modem fungiert?

          Werte von ~4-5x Bandbreite mit AES-NI sind so das, was ich bei den kleinen Geräten erwarten würde.

          Das verstehe ich nicht wenn ich ehrlich sein soll. Bei meinem 40MBit Upload ist das doch erst die Grenze die ich erreichen kann. Zumindest theoretisch. Wie soll ich denn auf das 4 oder 5-fache kommen?

          Genau so eine Kiste willst du nicht.

          Jo mal schauen. Ich habe jetzt noch etwas gesucht und vielleicht auch gefunden. Supermicro MBD-A1SRI-2558F-O.

          Tobi

          1 Reply Last reply Reply Quote 0
          • magicteddyM
            magicteddy
            last edited by

            @Tobi:

            Das verstehe ich nicht wenn ich ehrlich sein soll. Bei meinem 40MBit Upload ist das doch erst die Grenze die ich erreichen kann. Zumindest theoretisch. Wie soll ich denn auf das 4 oder 5-fache kommen?

            Vergiss Deinen Downstream nicht, der kann bis 100Mbit fix sein, oder willst Du nur einen Tunnel für Dich?
            Abgesehen davon zeigt die Erfahrung das die Ansprüche steigen, wenn Du später noch Squid oder Suricata / Snort laufen lassen willst hast Du die CPU nicht schon durch das VPN am Limit. Dank AES-NI macht sie das VPN fast mal eben so nebenbei mit.

            -teddy

            @Work Lanner FW-7525B pfSense 2.7.2
            @Home APU.2C4 pfSense 2.7.2
            @CH APU.1D4 pfSense 2.7.2

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Jo mal schauen. Ich habe jetzt noch etwas gesucht und vielleicht auch gefunden. Supermicro MBD-A1SRI-2558F-O.

              Womit du zumindest preislich ähnlich hoch wie eine vergleichbare Appliance kommen wirst (SG-4860, Lanner 7525 etc.). Hatten wir auch schon angefragt, aber bis du Board, Bestückung, RAM, SSD, Gehäuse etc. dabei hast bist du auch schon wieder in der Region der 650€ und kannst dir auch gleich den Eigenbau sparen und die ne fertige Kiste hinstellen mit Komplettsupport :)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • T
                Tobi
                last edited by

                Ehm,

                Womit du zumindest preislich ähnlich hoch wie eine vergleichbare Appliance kommen wirst (SG-4860, Lanner 7525 etc.). Hatten wir auch schon angefragt, aber bis du Board, Bestückung, RAM, SSD, Gehäuse etc. dabei hast bist du auch schon wieder in der Region der 650€ und kannst dir auch gleich den Eigenbau sparen und die ne fertige Kiste hinstellen mit Komplettsupport :)

                Also Board, Gehäuse und RAM komme ich auf ca. 500 EUR (SSD liegt hier immer eine rum) und für die SG-4860 musste ich 850 EUR hinlegen, zumindest habe ich so in DE nichts anderes gefunden als https://www.voleatech.de/de/produkt/sg-4860/

                Das ich mich wiederhole - die Frage ging unter - wenn ich die FritzBox nur als Modem nutze, wird sie ja die Rufnummern der Telefone noch registrieren können bei T-Com?

                Dann gleich noch 2 weitere Fragen -

                1.

                Ist es für verschiedene Dinge, da man sich ggf. ein zweites NATting und damit einhergehend Problemstellen sparen kann.

                Wieso 2-tes NATing? Nating macht doch nur die FritzBox - von T-Com bekomme ich 1 öffentliche IPV4 und 1 IPV6 Adresse

                Kriegt die pfSense das mit den 2 Adressen auch dann hin? (Nicht das ich jetzt unbedingt IPV6 brauche aber….... was man hat, hat man

                Vergiss Deinen Downstream nicht, der kann bis 100Mbit fix sein

                Nein vergessen habe ich es nicht. Vielleicht ist es in der Realität es später auch ganz anders. Jetzt wurde ich sagen - wenn man irgendwo Unterwegs ist, möchte man vielleicht Daten  von dem Server zu Hause/ Büro haben und nicht umgekehrt. Damit wären die max. 40MBit und nicht 100MBit Downstream wichtig(er)

                Für Squid habe ich keine Verwendung aber IDS könnte ja ein Thema werden.

                Tobi

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Also Board, Gehäuse und RAM komme ich auf ca. 500 EUR (SSD liegt hier immer eine rum) und für die SG-4860 musste ich 850 EUR hinlegen, zumindest habe ich so in DE nichts anderes gefunden als https://www.voleatech.de/de/produkt/sg-4860/

                  Die SG-4860 ist auch teuer für ihre Ausstattung. Die 7525 ist von der Hardware annähernd identisch und kostet schon weniger. Was Supermicro angeht: Board+Gehäuse bin ich schon bei über 400. Dann fehlt noch RAM (sinnvollerweise wenn möglich ECC) und ne SSD - OK wenn du die hast ;) - aber dann brauchst du noch ein Netzteil. Auf 500 komm ich da nicht, aber wenn dus schaffst -> echt gut :) Wir haben uns sowas anbieten lassen als BTO (buy to order) System, da Supermicro leider kein kleines Atom System von der Stange hat. Nur eines mit N3700 oder dann wieder mit Xeon D. Hat sich aber leider nicht rentiert - zu teuer.

                  Das ich mich wiederhole - die Frage ging unter - wenn ich die FritzBox nur als Modem nutze, wird sie ja die Rufnummern der Telefone noch registrieren können bei T-Com?

                  Bin ich ehrlich gesagt unsicher, könnte aber sein dass es NICHT geht.

                  Wieso 2-tes NATing? Nating macht doch nur die FritzBox - von T-Com bekomme ich 1 öffentliche IPV4 und 1 IPV6 Adresse

                  Weil die pfSense HINTER deiner Fritzbox dann nochmal NAT macht. Du kannst das FB Netz nicht hinter der pfSense nutzen (außer du würdest sie nur als transparenten Filter nutzen aber das will man nicht), ergo ist dein eigentliches Netz hinter der pfSense. Ohne NAT würde dann bei der FB nochmal ein anderes Netz ankommen als ihr eigenes etc. Zudem: Ich persönlich betrachte bspw. die Kabel-FB vom Provider, die ich nicht ändern kann, nicht als mein Gerät, sondern als Fremdgerät/Internet. Ergo will ich dort nichts zeigen, was es nichts angeht. Auch meinen internen Netzaufbau etc. geht die FB m.E. nichts an - deshalb 2x NAT.

                  Kriegt die pfSense das mit den 2 Adressen auch dann hin? (Nicht das ich jetzt unbedingt IPV6 brauche aber….... was man hat, hat man

                  Das sind keine 2 Adressen, das ist 1 Adresse pro Protokoll. Mag kleinlich klingen, aber die Leute vergessen gern, dass IPv6 nichts ist wie TCP vs UDP. IPv6 ist ein komplett eigenständiger Layer der auf dem Interface liegt. Und du bekommst keine IPv6 Adresse, sondern ein Prefix. Meistens entweder was in der Region /60, /56 oder /52. Und ja die pfSense könnte damit umgehen, die T-Com Prefixe werden aber dank angeblicher Privacy Idiotie brav wie die externe IPv4 Adresse rotiert und gewechselt. Sprich dein v6 Prefix ändert sich alle Nase lang :/

                  Das verstehe ich nicht wenn ich ehrlich sein soll. Bei meinem 40MBit Upload ist das doch erst die Grenze die ich erreichen kann. Zumindest theoretisch. Wie soll ich denn auf das 4 oder 5-fache kommen?

                  Bei 40MBit/s würdest du im Ungünstigsten Fall mit einer APU1 bspw. schon am Limit hängen und die CPU ausmaxen. Die APU2 hätte da dank AES-NI mehr Reserven, wäre dann aber bei ~100-150MBit/s erschöpft. Man muss auch realisieren dass das heißt, dass das Gerät dann bei dem Wert am Ende hängt und CPU Last auf max. Sprich man möchte mehr können, damit alles darunter recht entspannt weggewuppert werden kann :)

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • T
                    Tobi
                    last edited by

                    Alles klar.

                    1 Reply Last reply Reply Quote 0
                    • T
                      Tobi
                      last edited by

                      Ich hätte wahrscheinlich einfach kaufen sollen, dann könnte ich mich ggf. über rausgeschmissenes Geld ärgern so je länger ich mir die ganze Sachen anschaue ….. kriege ich langsam Kopfschmerzen.

                      Also noch mal - von so einem Board mit J1900 habe ich ein Datenblatt mit Durchsatz bekommen. Spontan wurde ich meinen, sieht nicht unbedingt zu sehr frisiert.

                      Ich habe mir auch noch mal über mein Setup Gedanken gemacht und wurde ggf. auf 1 NIC verzichten und eben 2 Netze über separate VLANS trennen.
                      Damit könnte ich z.B APU.2C4 von PC Engines nehmen. Hier werkelt aber auch nur ein AMD der mit gerade 1GHz getaktet wird. Durch die AES Unterstützung wird es ggf. besser bei VPN sein, dafür hat das Teil nur 4GB RAM was die Ausbaumöglichkeiten (IDS) wohl auch einschränkt und ob man damit im LAN zwischen den Interfacen gescheiten Durchsatz kriegt?

                      Wenn das auch nichts ist - was wäre denn zu empfehlen? Also wenn ich was kaufen soll, dann muss ich im Moment einfach unter 500 bleiben (am besten deutlich) oder aber das Projekt wird sich eben gedulden müssen.

                      Tobi

                      J1900.png
                      J1900.png_thumb

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Wenn du mit 3 NICs leben kannst würde ich noch warten. Die ersten Boards, Appliances und Co. mit neuerem Braswell Chipsatz kommen schon raus und liegen preislich ähnlich. Den J1900 würde ich einfach in einem Netzwerk Gerät nicht haben wollen, denn ohne AES-NI mag zwar noch verschmerzbar sein, aber später beißt es sinnlos zurück. Alleine der Durchsatz von gerade mal knapp 100 Mbps bei hoher CPU wäre mir zu heikel. Das schafft die schwächere APU2 mit AES ja schon, warum soll ich dann nen J1900 kaufen.

                        Ich würde auf Braswells mit N3010 aufwärts warten wenn es warten kann.

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • T
                          Tobi
                          last edited by

                          Wenn du mit 3 NICs leben kannst würde ich noch warten.

                          Ja denn 2 Netze sind quasi nur WiFi und das wird dann 1 NIC schaffen

                          Ich würde auf Braswells mit N3010 aufwärts warten wenn es warten kann.

                          Na ja mal sehen ob mit den jetzigen Problemen "leben" kann oder eines Tages einfach bestelle und fertig.

                          [EDIT]

                          Die ersten Boards, Appliances und Co. mit neuerem Braswell Chipsatz kommen schon raus und liegen preislich ähnlich.

                          Hast Du irgendein Link oder so? Ich finde im besten Fall Boards mit 2 NICs
                          [/EDIT

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.