Anfänger will Netzwerk mit Pfsense absichern
-
Aber leider ist bei mir nur Wandmontage möglich.
Kein Schrank/ Bett Schreibtisch wo man das Teil einfach auf dem Boden werfen kann?
-
Also zunächst läuft pfSense nicht mit Linux sondern mit FreeBSD :D
Magst Du den Satz "und VPN zu meinen anderen Rechnern nutzen." etwas genauer beschreiben? Also was soll da wie verbunden werden?
Repeater & Co. - waren Mist, sind Mist und werden immer Mist bleiben. Fritze & Co. verbretzeln schon großen Teil an Bandbreite nur weil die seit Jahren nicht mehr genutzte Frequenzen sich nicht abschalten lassen. Ich habe mich selbst einige Jahre damit geärgert. Vor einiger Zeit habe ich mir 2x Ubiquiti UAP AC PRO geholt und jetzt läuft es so wie es muss inkl. etwas Luft für die kommende Jahre.
Auch nach langen hin und her (in erster Linie wegen im Moment fehlenden Geld begründet) habe ich mir APU2C4 geholt. Bis jetzt bin ich wirklich positiv überrascht. Bei meiner T-Kom 100/40 läuft so weit alles super, wie ich es haben will. Ich habe allerdings die Fritze "vor" pfSense stehen und mache auf dem APU kein NAT da ich dafür kein Grund sehe.
Bei der APU habe ich noch keine abschließende Tests mit VPN durchführen können. Alles andere was ich so haben wollte läuft.
Ich will von einem anderem Rechner auf meinem Rechner oder Server zugreifen per VPN
Will meine Fritzbox auch vor der pfsense setzen wegen telefon -
-
Ich glaube er hat keine Lust zu malern 8)
Wand auf, Kabel rein Wand zu, malern :)
Aber stimmt, man kann den einfach an einer guten Stelle fallen lassen.
Komme durch das ganze Haus (habe viel Stahl!) und sogar in den Garten. -
Ich will von einem anderem Rechner auf meinem Rechner oder Server zugreifen per VPN
Will meine Fritzbox auch vor der pfsense setzen wegen telefonDas liest sich in etwa so wie bei mir.
Fritze als erste wegen Telefon. Und VPN um von Unterwegs auf mein Netz zugreifen zu können. Bei Deiner 50 Leitung wirst die APU an der Stelle nicht wohl nicht beeindrucken können :DDoch wäre vorhanden kann man den auch an die Wand montieren
Ja damit ist die Abstrahlung aber schlechter als auf dem Boden/ Decke
-
Ok dann muss ich mal schauen wo ich ihn montiere Netzwerkdosen sind genug vorhanden.
Das mit dem wlan hat noch Zeit will nach und nach kaufen.
Werde mir jetzt erst mal den APU zulegen. -
mit bridging meine ich die Verbindung von LAN und WLAN zu einem Anschluss.
So wie man es von einem normalen Router kennt,bei dem meisten (wie bei der FritzBox) sind alle WLANs und LAN Ports zusammen geschaltet zu einem Netzwerk.
ICh hab es so gemacht, dass ich einen Port und eine WLAN Karte zusammen geschaltet habe. So habe ich getrennte Netze und kann mich entscheiden über Kabel oder WLAN an das Netz zu gehen .VPN läuft im übrigen richtig gut und ist super bequem einzurichten!
Hab IPSEC und OpenVPN getestet! Setzte (wegen IOS) OpenVPN ein. -
Warum kein IPsec zu IOS?
Geht super mit IPsec.
-
von deinen Anforderungen her würde ich ebenfalls sagen, dass die die APU2 mehr als genügen wird. In jedem Stockwerk einen UniFi AC Pro reingestellt und ans LAN - da hast du schon Luxus - dann solltest du mit WLAN kein Problem haben. Damit hast du dann auch schon als Infrastruktur so viel am Start, dass du locker ohne Probleme recht komplexe Setups abwickeln können wirst (bspw. WLAN Clients in andere VLANs etc. etc.) Die UniFy Ufos sind übrigens problemlos PoE fähig und können an die Decke montiert werden (ergo eigentlich auch Wand). Mit irgendwelchen ASUS WLAN Routern würde ich nicht anfangen. Lieber reine APs nehmen oder zumindest Router mit AP Modus, damit du keine Probleme mit irgendwelchem komischen Routing/Konfigurations-Quark bekommst. Und der Vorteil bei den Ubiquity Teilen ist eben, dass es keine 2 getrennten Router/APs sind wie bei Asus o.ä., sondern dass du die beiden über einen kleinen Controller zusammenschalten kannst und sie dir ein großes Netz aufspannen eben über 2 Etagen. Inkl. Handover etc.
VPN ist auch kein großes Hexenwerk mehr ;) sollte sich also ebenfalls abwickeln lassen, ganz egal ob OpenVPN oder Mobile IPsec.
Grüße
-
Ja ich denke ich werde mir jetzt erst mal einen APU besorgen und mich dann damit erst mal beschäftigen.
Mit den AP werde ich erst mal warten,aber wenn dann würde ich auch UniFi AC Pro nehmen.
Mit den AP s ist halt das Problem das ich sie an die Wand montieren muss.
Habe aber bedanken das wegen der Abstrahlung das ich dadurch nicht die volle Leistung der AP s nutze.
In der Denke ist nicht möglich da kein Netzwerkkabel dort ist.
Meine Decke ist nicht abgehängt sondern Beton…habe nur vorgeplant für LED spots.
In meinen Wohn und Esszimmer sind in jeder ecke Doppelte Netzwerkdosen. -
Versuche es doch erst einmal einen AP von UniFi.
Du wirst staunen was die LR Reihe für "Bums" hat.Ich habe ein Haus dass auf Grund der großen Räume und der dazu notwendigen Statik einiges an Stahl enthält.
Im ganzen Hause habe ich kaum Handy Empfang, obwohl vor der Tür volles LTE anliegt.Die FritzBox und Repeater konnte ich durch einen AP LR ersetzen und komme sogar durch die Dreifachverglasung bis in die letzte Ecke im Garten.
Wichtig ist, dass du den LR nimmst und LR auch aktivierst.Wenn die Abdeckung dann nicht reicht, kannst du immer noch einen zweiten dazu nehmen.
-
Der Vollständigkeit halber ist zu erwähnen, dass die LR-Variante außerhalb der Zulassung arbeitet, wenn man LR benutzt. Auch im 5GHz Band können die Profigeräte meist mehr, als der gemeine Anwender tun darf (Kanalwahl/Leistung). Der Anwender/Errichter ist für die Einhaltung der Vorgaben der BNetzAG verantwortlich!
Natürlich mußt du das Antennenpattern berücksichtigen, evtl ist deshalb der UAP-AC-M eher was für dein Wallmount. Oder einfach einen Winkel nehmen, WAF beachten!
Gruß
pfadminPS: Ich habe extra nicht geschrieben, dass du es nicht so tun sollst 8). Was nicht nach draußen dringt, wird den Nachbarn kaum stören…
-
Mit den AP s ist halt das Problem das ich sie an die Wand montieren muss.
Habe aber bedanken das wegen der Abstrahlung das ich dadurch nicht die volle Leistung der AP s nutze.Hmm,
ob Decke oder Wand ist dem AP vollkommen egal. Da brauchst Du dir um die 'Abstrahlung' (was bitteschön soll das eigentlich sein :o ) keine Gedanken machen. Oder muss ich mich zukünftig darum kümmern, wie bzw. in welchem Winkel ich mein Smartphone zu Hause halten muss, damit ich WLAN-Empfang habe? ;D
Ich würde mich viel mehr darum sorgen die Leistung der AP zu minimieren! Thema Elektrosmog. Außerdem muss man ja nicht die gesamte umliegende Nachbarschaft mit seinem WLAN 'beglücken'. ;)
Also so wenig Sendeleistung wie nötig ist um den gewünschten Bereich mit WLAN zu versorgen. Im Zweifelsfall würde ich lieber einen zusätzlichen (evtl. gerichteten) AP für den Garten wählen als dass ich einen vorhandenen AP im Kinderzimmer mit voller Leistung senden lasse, nur damit ich beim rasenmähen Streamen kann.Ach ja, die Unifi AP sind eine feine Sache. Vor allem für den Preis! Nutzen wir in der Firma. Bei mehreren AP sollte man aber die Unifi-Controller-Software nutzen. Erleichtert die zentrale Verwaltung der AP ungemein (z.B. Firmware-Updates).
Der Betrieb der LR (Long Range) ist m.W. nach in Deutschland eigentlich nicht erlaubt, da die Ausgangsleistung über dem erlaubten Wert liegt.
Also Vorsicht, so etwas könnte teuer werden, wenn man damit z.B. irgendwelche Firmennetze in der Nachbarschaft stört!
Im Zweifel würde ich wenn technisch möglich lieber einen zusätzlichen AP nutzen. Gerade wenn ohnehin überall sowieso LAN-Kabel liegen.Gruß
Dirk -
Hallo
Erst mal vielen dank für die vielen tips
Also wenn dann würde ich erst mal nur einen AP kaufen zum testen,ob ich einen zweiten benötige ist fraglich.
Wlan benötige ich hauptsächlich im Wohnzimmer,der zweite Stock sind ja nur schlaf und Kinderzimmer.
Also der Unterschied zwischen LR und LITE Version ist dann nur die Signal stärke?
Ich habe mir da Gerät nochmal genauer angeschaut,weil ich ihn ja an die Wand montieren möchte neben der Netzwerkdose.
Steckdose ist auch in der nähe aber wäre es auch möglich das Netzteil in mein Rack im Keller zu setzen und dann das signal(Strom) über mein Patchpanel–>Kabel-->Netzwerkdose-->AP zu leiten? -
Hi,
umgehe das doppelte "natting". Du solltest in deinem LAN nur einen Adressen-"Übersetzer/Verbieger" haben (nämlich das letzte Glied = Fritzbix).
Insbesondere mit SIP kann das zu Problemen führen.Wie das geht?
Einfach das NAT in pfsense ausschalten. Eine statische Route in der Fritzbox einstellen.
Ohne eine statische Route, würden die Pakete zurück vom Internet in der Fritzbox hängen bleiben, da die Fritzbox zwar die Adresse von deiner pfSense kennt, aber alles
andere dahinter nicht.e.g.
pfsense LAN Bereich: 10.0.0.1 bis 10.0.0.254
pfsense WAN IP: 192.168.178.200Fritzbox IP: 192.168.178.1
Einstellungen für statisches Routing in der Fritzbox: 10.0.0.0/24 auf GW 192.168.178.200
-
@logo78: Das "Problem" mit doppeltem NATting wird immer wieder aus dem Hut gezogen, ist aber relativ egal. Und einige Nutzer machen das absichtlich und willentlich ohne Beeinträchtigung. Richtig, mit VoIP wird es unschön, allerdings ist bei vorgestellter FritzBox vom Provider eh meist der VoIP Part dort aufgehoben und nicht zusätzlich noch hinter der pfSense. Davon abgesehen möchte ich persönlich bspw. nicht, dass mein Provider mein Netz sieht. Das hat nicht einmal was mit Paranoia zu tun, es geht ihn einfach nichts an. Wird der Traffic aber lediglich geroutet, ist an der Fritzbox und deren NAT problemlos ersichtlich, wie viele und ggf. welche Geräte sich in dem Netz tummeln und das hat meinen ISP nicht zu interessieren. Ist der Router vom Provider nicht für mich vollständig konfigurierbar ohne dass dieser vom Provider selbst bestückt wird (remote update o.ä.), dann muss ich ihn als "WAN" bzw. öffentlich ansehen und entsprechend behandeln und dann sollte er so wenig von mir sehen wie nötig. :)
Ansonsten sind deine Ausführungen natürlich nicht falsch, das möchte ich damit nicht ausdrücken.
Grüße
-
Mein Patchpanel und die Netzwerkdosen sind nach dem POE standart IEEE 802.3at
Denn AP kann ich darüber anschließen und da Netzteil ins Rack tun oder gibts da probleme?
Ich mein in bezug auf Strom über Netzwerkkabel. -
@nemo12,
habe mehrere AP's, Camera's, eine Gigaset N510 und sogar einen Raspberry (per POE splitter) an einem POE-Switch. Keine Probleme.@JeGr,
Letztes Jahr bin ich genau über dieses Nat-Problem mit meinen SIP-Telefonen gestolpert.
An meinem beschissenen Fritzbox-Kastrat aka WAN-Modem (Unitymedia) hängt eben nur die PFsense. Mit Doppel-Nat geht da nicht viel. I am just sayin' ;)Ich finde es schon pervers, ein Doppel-Nat als IP-obfuscator zu missbrauchen 8)
99% der Kundschaft der ISPs haben doch nur einen Router Zuhause und somit auch nur ein NAT?!
Was soll denn der Provider mit dieser Info anfangen - mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre.
Warum zweimal Adressen übersetzen lassen, wenn es nur einmal erledigt werden muss :) -
Ok danke :)
-
An meinem beschissenen Fritzbox-Kastrat aka WAN-Modem (Unitymedia) hängt eben nur die PFsense. Mit Doppel-Nat geht da nicht viel. I am just sayin' ;)
Jup, same here. Aber ich lasse die Fritte von UM dann auch brav ihren VoIP Job machen. Warum sollte ich den hinter die pfSense verlagern, wenn UM das eh mit der Kiste machen will? Zudem macht UM Zicken mit Support wenn es nicht über deren Fritte läuft.
Ich finde es schon pervers, ein Doppel-Nat als IP-obfuscator zu missbrauchen 8)
Hat überhaupt nichts mit pervers zu tun, sondern mit Notwendigkeiten. Ich werde die FB vornedran nicht los, ich kann sie zwar konfigurieren, aber UM kann mir jederzeit reinspucken. Deshalb muss ich die als externes Gerät außerhalb meiner Zuständigkeit betrachten. Und da UM es nichts angeht, welches oder welche Netze ich intern nutze und wie ich diese Route, ist das eine Notwendigkeit. Und mehrere NATs sind überhaupt nichts übles. Weißt du BTW wie oft dein Zugriff innerhalb des UM Netzes genattet wird? Die nutzen dort sehr SEHR viel private Adressen. Just sayin' :D
99% der Kundschaft der ISPs haben doch nur einen Router Zuhause und somit auch nur ein NAT?!
Und weiter? Ob ich nun ein oder zwei NAT Steps habe ist doch völlig unerheblich. Es ist nicht wie bei einem IP Tunnel, dass die Pakete immer wieder eingepackt und damit die Payload kleiner wird. Sie werden nur umadressiert. Das passiert auf Empfängerseite teils auch mehrfach - interessiert aber keinen (Proxys, Loadbalancer etc. etc.)
Was soll denn der Provider mit dieser Info anfangen - mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre.
Es geht nicht drum, was er mit dieser Info anfangen will - es geht ihn schlicht nichts an. Und mehr als ein ISP haben schon per Durchgriff auf ihren Router andere Firmware, andere Konfigs etc. auf das Gerät gespusht und damit bewiesen, dass sie auch im "LAN" ihre Finger haben können. Das geht schlicht nicht. Die haben da nichts zu suchen. Wenn mir ein Hotliner sagt "ach das ist ihr Rechner mit der x.y.a.b" dann weiß ich, dass die da Schmu machen. Und das kam schon vor. Ich habe mir mein Setup so gebaut, dass UM jederzeit eine neue Fritte bringen und anschließen kann. Alles was ich mache ist dann deren Konfiguration minimal zu ergänzen. Der exposed Host kommt wieder rein, ein zwei kleine Einstellungen zu IP, DHCP und Co. und WLAN aus - fertig. Keine Routen, keine sonstigen Einstellungen. Und selbst ohne die Einstellungen hab ich nach Anklemmen meiner Sense sofort wieder Internet, nur kommt der Rücktraffic noch nicht 100% an (IP6 Tunnel, Forwards/VPNs etc.) - die brauchen dann das kleine Feintuning. Alles andere ist Voice Kram für die Telefone. Und damit kann ich auch brav beim Support sagen "nix verändert" wenn die mal was testen wollen.
mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre
Ich sage nichts und mache es wie Skipper: Stur lächeln und winken :D
Warum zweimal Adressen übersetzen lassen, wenn es nur einmal erledigt werden muss :)
Warum nicht? Es ist wie gesagt unerheblich, fügt keinen Overhead ins IP Paket ein etc. etc. - alles was es kostet ist ein Minimum an Rechenzeit auf der Kiste, die ich kontrolliere. Die sollte es - wenn alles optimal wäre - eh machen, ergo unerheblich. Das einzige "Problem" was sich daraus ergeben kann ist bei den Profizockern, dass mehrere Spieler hinter so einem Konstrukt - evtl! - Verbindungsprobleme haben können. Haben wir aber hier mit Kids und uns selbst auch und ich hab kaum ein Spiel, wo das wirklich passiert. Inzwischen sind die alle robust genug dass es egal ist. Lediglich die Konsolen meckern evtl noch wegen NAT Typ 3 rum, die haben mit static Port NAT aber dann auch sofort 2 und sind zufrieden.