Anfänger will Netzwerk mit Pfsense absichern
-
Warum kein IPsec zu IOS?
Geht super mit IPsec.
-
von deinen Anforderungen her würde ich ebenfalls sagen, dass die die APU2 mehr als genügen wird. In jedem Stockwerk einen UniFi AC Pro reingestellt und ans LAN - da hast du schon Luxus - dann solltest du mit WLAN kein Problem haben. Damit hast du dann auch schon als Infrastruktur so viel am Start, dass du locker ohne Probleme recht komplexe Setups abwickeln können wirst (bspw. WLAN Clients in andere VLANs etc. etc.) Die UniFy Ufos sind übrigens problemlos PoE fähig und können an die Decke montiert werden (ergo eigentlich auch Wand). Mit irgendwelchen ASUS WLAN Routern würde ich nicht anfangen. Lieber reine APs nehmen oder zumindest Router mit AP Modus, damit du keine Probleme mit irgendwelchem komischen Routing/Konfigurations-Quark bekommst. Und der Vorteil bei den Ubiquity Teilen ist eben, dass es keine 2 getrennten Router/APs sind wie bei Asus o.ä., sondern dass du die beiden über einen kleinen Controller zusammenschalten kannst und sie dir ein großes Netz aufspannen eben über 2 Etagen. Inkl. Handover etc.
VPN ist auch kein großes Hexenwerk mehr ;) sollte sich also ebenfalls abwickeln lassen, ganz egal ob OpenVPN oder Mobile IPsec.
Grüße
-
Ja ich denke ich werde mir jetzt erst mal einen APU besorgen und mich dann damit erst mal beschäftigen.
Mit den AP werde ich erst mal warten,aber wenn dann würde ich auch UniFi AC Pro nehmen.
Mit den AP s ist halt das Problem das ich sie an die Wand montieren muss.
Habe aber bedanken das wegen der Abstrahlung das ich dadurch nicht die volle Leistung der AP s nutze.
In der Denke ist nicht möglich da kein Netzwerkkabel dort ist.
Meine Decke ist nicht abgehängt sondern Beton…habe nur vorgeplant für LED spots.
In meinen Wohn und Esszimmer sind in jeder ecke Doppelte Netzwerkdosen. -
Versuche es doch erst einmal einen AP von UniFi.
Du wirst staunen was die LR Reihe für "Bums" hat.Ich habe ein Haus dass auf Grund der großen Räume und der dazu notwendigen Statik einiges an Stahl enthält.
Im ganzen Hause habe ich kaum Handy Empfang, obwohl vor der Tür volles LTE anliegt.Die FritzBox und Repeater konnte ich durch einen AP LR ersetzen und komme sogar durch die Dreifachverglasung bis in die letzte Ecke im Garten.
Wichtig ist, dass du den LR nimmst und LR auch aktivierst.Wenn die Abdeckung dann nicht reicht, kannst du immer noch einen zweiten dazu nehmen.
-
Der Vollständigkeit halber ist zu erwähnen, dass die LR-Variante außerhalb der Zulassung arbeitet, wenn man LR benutzt. Auch im 5GHz Band können die Profigeräte meist mehr, als der gemeine Anwender tun darf (Kanalwahl/Leistung). Der Anwender/Errichter ist für die Einhaltung der Vorgaben der BNetzAG verantwortlich!
Natürlich mußt du das Antennenpattern berücksichtigen, evtl ist deshalb der UAP-AC-M eher was für dein Wallmount. Oder einfach einen Winkel nehmen, WAF beachten!
Gruß
pfadminPS: Ich habe extra nicht geschrieben, dass du es nicht so tun sollst 8). Was nicht nach draußen dringt, wird den Nachbarn kaum stören…
-
Mit den AP s ist halt das Problem das ich sie an die Wand montieren muss.
Habe aber bedanken das wegen der Abstrahlung das ich dadurch nicht die volle Leistung der AP s nutze.Hmm,
ob Decke oder Wand ist dem AP vollkommen egal. Da brauchst Du dir um die 'Abstrahlung' (was bitteschön soll das eigentlich sein :o ) keine Gedanken machen. Oder muss ich mich zukünftig darum kümmern, wie bzw. in welchem Winkel ich mein Smartphone zu Hause halten muss, damit ich WLAN-Empfang habe? ;D
Ich würde mich viel mehr darum sorgen die Leistung der AP zu minimieren! Thema Elektrosmog. Außerdem muss man ja nicht die gesamte umliegende Nachbarschaft mit seinem WLAN 'beglücken'. ;)
Also so wenig Sendeleistung wie nötig ist um den gewünschten Bereich mit WLAN zu versorgen. Im Zweifelsfall würde ich lieber einen zusätzlichen (evtl. gerichteten) AP für den Garten wählen als dass ich einen vorhandenen AP im Kinderzimmer mit voller Leistung senden lasse, nur damit ich beim rasenmähen Streamen kann.Ach ja, die Unifi AP sind eine feine Sache. Vor allem für den Preis! Nutzen wir in der Firma. Bei mehreren AP sollte man aber die Unifi-Controller-Software nutzen. Erleichtert die zentrale Verwaltung der AP ungemein (z.B. Firmware-Updates).
Der Betrieb der LR (Long Range) ist m.W. nach in Deutschland eigentlich nicht erlaubt, da die Ausgangsleistung über dem erlaubten Wert liegt.
Also Vorsicht, so etwas könnte teuer werden, wenn man damit z.B. irgendwelche Firmennetze in der Nachbarschaft stört!
Im Zweifel würde ich wenn technisch möglich lieber einen zusätzlichen AP nutzen. Gerade wenn ohnehin überall sowieso LAN-Kabel liegen.Gruß
Dirk -
Hallo
Erst mal vielen dank für die vielen tips
Also wenn dann würde ich erst mal nur einen AP kaufen zum testen,ob ich einen zweiten benötige ist fraglich.
Wlan benötige ich hauptsächlich im Wohnzimmer,der zweite Stock sind ja nur schlaf und Kinderzimmer.
Also der Unterschied zwischen LR und LITE Version ist dann nur die Signal stärke?
Ich habe mir da Gerät nochmal genauer angeschaut,weil ich ihn ja an die Wand montieren möchte neben der Netzwerkdose.
Steckdose ist auch in der nähe aber wäre es auch möglich das Netzteil in mein Rack im Keller zu setzen und dann das signal(Strom) über mein Patchpanel–>Kabel-->Netzwerkdose-->AP zu leiten? -
Hi,
umgehe das doppelte "natting". Du solltest in deinem LAN nur einen Adressen-"Übersetzer/Verbieger" haben (nämlich das letzte Glied = Fritzbix).
Insbesondere mit SIP kann das zu Problemen führen.Wie das geht?
Einfach das NAT in pfsense ausschalten. Eine statische Route in der Fritzbox einstellen.
Ohne eine statische Route, würden die Pakete zurück vom Internet in der Fritzbox hängen bleiben, da die Fritzbox zwar die Adresse von deiner pfSense kennt, aber alles
andere dahinter nicht.e.g.
pfsense LAN Bereich: 10.0.0.1 bis 10.0.0.254
pfsense WAN IP: 192.168.178.200Fritzbox IP: 192.168.178.1
Einstellungen für statisches Routing in der Fritzbox: 10.0.0.0/24 auf GW 192.168.178.200
-
@logo78: Das "Problem" mit doppeltem NATting wird immer wieder aus dem Hut gezogen, ist aber relativ egal. Und einige Nutzer machen das absichtlich und willentlich ohne Beeinträchtigung. Richtig, mit VoIP wird es unschön, allerdings ist bei vorgestellter FritzBox vom Provider eh meist der VoIP Part dort aufgehoben und nicht zusätzlich noch hinter der pfSense. Davon abgesehen möchte ich persönlich bspw. nicht, dass mein Provider mein Netz sieht. Das hat nicht einmal was mit Paranoia zu tun, es geht ihn einfach nichts an. Wird der Traffic aber lediglich geroutet, ist an der Fritzbox und deren NAT problemlos ersichtlich, wie viele und ggf. welche Geräte sich in dem Netz tummeln und das hat meinen ISP nicht zu interessieren. Ist der Router vom Provider nicht für mich vollständig konfigurierbar ohne dass dieser vom Provider selbst bestückt wird (remote update o.ä.), dann muss ich ihn als "WAN" bzw. öffentlich ansehen und entsprechend behandeln und dann sollte er so wenig von mir sehen wie nötig. :)
Ansonsten sind deine Ausführungen natürlich nicht falsch, das möchte ich damit nicht ausdrücken.
Grüße
-
Mein Patchpanel und die Netzwerkdosen sind nach dem POE standart IEEE 802.3at
Denn AP kann ich darüber anschließen und da Netzteil ins Rack tun oder gibts da probleme?
Ich mein in bezug auf Strom über Netzwerkkabel. -
@nemo12,
habe mehrere AP's, Camera's, eine Gigaset N510 und sogar einen Raspberry (per POE splitter) an einem POE-Switch. Keine Probleme.@JeGr,
Letztes Jahr bin ich genau über dieses Nat-Problem mit meinen SIP-Telefonen gestolpert.
An meinem beschissenen Fritzbox-Kastrat aka WAN-Modem (Unitymedia) hängt eben nur die PFsense. Mit Doppel-Nat geht da nicht viel. I am just sayin' ;)Ich finde es schon pervers, ein Doppel-Nat als IP-obfuscator zu missbrauchen 8)
99% der Kundschaft der ISPs haben doch nur einen Router Zuhause und somit auch nur ein NAT?!
Was soll denn der Provider mit dieser Info anfangen - mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre.
Warum zweimal Adressen übersetzen lassen, wenn es nur einmal erledigt werden muss :) -
Ok danke :)
-
An meinem beschissenen Fritzbox-Kastrat aka WAN-Modem (Unitymedia) hängt eben nur die PFsense. Mit Doppel-Nat geht da nicht viel. I am just sayin' ;)
Jup, same here. Aber ich lasse die Fritte von UM dann auch brav ihren VoIP Job machen. Warum sollte ich den hinter die pfSense verlagern, wenn UM das eh mit der Kiste machen will? Zudem macht UM Zicken mit Support wenn es nicht über deren Fritte läuft.
Ich finde es schon pervers, ein Doppel-Nat als IP-obfuscator zu missbrauchen 8)
Hat überhaupt nichts mit pervers zu tun, sondern mit Notwendigkeiten. Ich werde die FB vornedran nicht los, ich kann sie zwar konfigurieren, aber UM kann mir jederzeit reinspucken. Deshalb muss ich die als externes Gerät außerhalb meiner Zuständigkeit betrachten. Und da UM es nichts angeht, welches oder welche Netze ich intern nutze und wie ich diese Route, ist das eine Notwendigkeit. Und mehrere NATs sind überhaupt nichts übles. Weißt du BTW wie oft dein Zugriff innerhalb des UM Netzes genattet wird? Die nutzen dort sehr SEHR viel private Adressen. Just sayin' :D
99% der Kundschaft der ISPs haben doch nur einen Router Zuhause und somit auch nur ein NAT?!
Und weiter? Ob ich nun ein oder zwei NAT Steps habe ist doch völlig unerheblich. Es ist nicht wie bei einem IP Tunnel, dass die Pakete immer wieder eingepackt und damit die Payload kleiner wird. Sie werden nur umadressiert. Das passiert auf Empfängerseite teils auch mehrfach - interessiert aber keinen (Proxys, Loadbalancer etc. etc.)
Was soll denn der Provider mit dieser Info anfangen - mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre.
Es geht nicht drum, was er mit dieser Info anfangen will - es geht ihn schlicht nichts an. Und mehr als ein ISP haben schon per Durchgriff auf ihren Router andere Firmware, andere Konfigs etc. auf das Gerät gespusht und damit bewiesen, dass sie auch im "LAN" ihre Finger haben können. Das geht schlicht nicht. Die haben da nichts zu suchen. Wenn mir ein Hotliner sagt "ach das ist ihr Rechner mit der x.y.a.b" dann weiß ich, dass die da Schmu machen. Und das kam schon vor. Ich habe mir mein Setup so gebaut, dass UM jederzeit eine neue Fritte bringen und anschließen kann. Alles was ich mache ist dann deren Konfiguration minimal zu ergänzen. Der exposed Host kommt wieder rein, ein zwei kleine Einstellungen zu IP, DHCP und Co. und WLAN aus - fertig. Keine Routen, keine sonstigen Einstellungen. Und selbst ohne die Einstellungen hab ich nach Anklemmen meiner Sense sofort wieder Internet, nur kommt der Rücktraffic noch nicht 100% an (IP6 Tunnel, Forwards/VPNs etc.) - die brauchen dann das kleine Feintuning. Alles andere ist Voice Kram für die Telefone. Und damit kann ich auch brav beim Support sagen "nix verändert" wenn die mal was testen wollen.
mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre
Ich sage nichts und mache es wie Skipper: Stur lächeln und winken :D
Warum zweimal Adressen übersetzen lassen, wenn es nur einmal erledigt werden muss :)
Warum nicht? Es ist wie gesagt unerheblich, fügt keinen Overhead ins IP Paket ein etc. etc. - alles was es kostet ist ein Minimum an Rechenzeit auf der Kiste, die ich kontrolliere. Die sollte es - wenn alles optimal wäre - eh machen, ergo unerheblich. Das einzige "Problem" was sich daraus ergeben kann ist bei den Profizockern, dass mehrere Spieler hinter so einem Konstrukt - evtl! - Verbindungsprobleme haben können. Haben wir aber hier mit Kids und uns selbst auch und ich hab kaum ein Spiel, wo das wirklich passiert. Inzwischen sind die alle robust genug dass es egal ist. Lediglich die Konsolen meckern evtl noch wegen NAT Typ 3 rum, die haben mit static Port NAT aber dann auch sofort 2 und sind zufrieden.
-
Hey,
mag Diskussionen mit Leuten, die sich auskennen. :)Zu der SIP Problematik:
Wenn man ein einziges, unschuldiges Telefon in seiner Wohnung betreiben will - gebe ich dir recht.
Wenn du allerdings mehrere IP-Telefone im Haus/Firma verteilst, dann wirst du nicht herumkommen
diese über das gleiche LAN zu switchen. Ist eh IP und bist auch viel flexibler, weil du jedes
Telefon überall einstecken kannst. Das ist heute Standard - behaupte ich mal.
Dieses LAN führst du dann irgendwann auf die Pfsense.
Du kannst es nicht einfach auf dein Provider-Modem (Fritzbox) klemmen - es sei denn, du patchst es um im Serverschrank (wenn es geht).
Und genau dort wird das zweifache NAT zum Problem.
Im forum@Ip-Phone oder hier gibt es mehrere Threads dazu.
Ich habe selbst mehrere Tage gebraucht, bis ich das herausgefunden habe.
Wollte nur darauf aufmerksam machen.Deine Argumente sind stichhaltig.
Die friß-oder-stirb-Provider-Modems sind wirklich eine Unsitte geworden.
Das inkompetente Haufen hat letztes Jahr bei mir während eines Vertragsupdates
einfach mein altes Modems auf Werkseinstellungen rückgestellt - incl meinen Einstellungen und vor dem vereinbarten Umstellungstermin.
Für 400/20Mbit ist man aber gerne bereit, diesen Wehrmutstropfen anzunehmen.Zudem können die meisten der noch beschisseneren Hybrid-Speedports der Telekom, nicht mal statisches Routing.
-
ich habe nur 16MBit :'(
-
Installiere dein WLAN Equipment ordentlich, dann hast du mehr davon! Zu behaupten, dass es völlig egal ist, wie du den AP anbaust, ohne Kenntnis der Örtlichkeiten ist schon mutig!
Der UPA-AC-Lite ist ein 2x2 Gerät mit 20dBm bei 2,4 und 5GHz und 3dBi Antennen
Der UPA-AC-LR ist ein 3x3 mit 24dBm bei 2,4GHz und 3dBi Antenne bzw. 2x2 mit 22dBm und 6dBi bei 5GHz
Der UAP-AC ist ein 3x3 mit 23dBm bei 2,4GHz und 5dBi Antenne bzw. 3x3 mit 23dBm und 5dBi bei 5GHz
Der UAP-AC-Pro ist ein 3x3 mit 22dBm bei 2,4GHz und 3dBi antenne bzw. 3x3 mit 22dBm und 6dBi bei 5GHzDie Geräte unterscheiden sich für dich bei Einhaltung der Norm also in den möglichen Streams und den Antennengewinnen sowie in der Leistung im 5GHz Band (bis 1000mW statt 100mW). Die Antennen wirken sich im Winkel der abgestrahlten Leistung aus, ebenso die Empfangsrichtung. Hier kannst du also den Nachbarn einfangen oder eher nicht. 6dBi mehr oder weniger bedeuten bei dir vielleicht Empfang oder auch nicht mehr. Plane vorher! Zum E-Smog: benutzt du ein Handy am Ohr? Da sind bis zu 2Watt erlaubt…
Zur Nat Geschicht. Ich habe hier in meinem Netz sogar dreimal NAT hintereinander. Ist so gewachsen und funktioniert tadellos (ohne SIP, mit Skype, ohne IPTV). Schön ist es trotzdem nicht und ich hoffe es eitert bald raus!
Grüße
pfadmin