Mein erstes pfsense System Fragen
-
@KHR:
[…]
Ich habe einen Telekom Anschluss. Zu diesem habe ich einen Speedport 724v gemietet. Den braucht man ja (leider), um telefonieren zu können. :-)
[…]
Der Speedport 724v soll nur als Modem und Telefonzentrale dienen.
[…]Kannst Du über den Speedport telefonieren, wenn der als Modem arbeitet??
Für einen All-IP-Anschluß kann ein VoIP-Gerät auch im LAN angeschlossen werden. Das kann eine (uralte) FB oder ein VoIP-Telefon sein. (Ich hatte mal längere Zeit eine FB 5050 für 5 € von ebay dafür in Einsatz.)
Falls Du Deine TVs separieren willst, können die auch in ein separates LAN an der pfSense angeschlossen werden. Dann kannst Du auch überwachen / steuern, was da rein und rausgeht. Wenn Dein Switch VLANs kann, dann braucht das auch keinen weiteren Netzwerkport in der pfSense. Solche Geräte kriegst Du ab ca. 30 € (Netgear, aber nicht laut sagen, daß Du sowas hast, das gibt Streß hier. ;)).
Speedport mieten ist übrigens gut, dann kann man das zurückgeben, sobald man es nicht mehr braucht.
-
Das ist eine gute Frage. Ich dachte schon.
Ich habe ein bisschen im Internet recherchiert. Der Speedport untertützt wohl seit einigen Firmware Versionen keinen reinen Modembetrieb und auch kein PPPoE.
Gibt es eigentlich Anternativen? Also reine Modems, mit Telefonfunktion? Ich habe einen Telekom Fiber Anschluss. Daruf müsste man ja achten. Wie ich gelesen habe unterstützt nicht jeder Router/Modem Glasfaseranschlüsse. Könnt ihr mir hier Geräte empfehlen?
Oder sollte ich doch einfach, wie bisher, den Speedport einfach Speedport sein lassen und dort an einen LAN Port mein pfSense System einstöppseln?
Das mit dem VLAN ist ne gute Idee. Frage dazu: Kommts da nicht zu Datenstau?
Mein Switch ist ein 24port TP Link TL SG irgendwas. Weiß die genaue Bezeichnung gerade nicht. Das Teil liegt zur Zeit im Keller, um während dem Umbau nicht hier im Weg rumzuliegen. :-) Es ist ein gemanagter Layer 2 Switch.
-
Moin,
ich würde den Speedport ruhig behalten und pfSense dahinter hängen.
Hast Du Stress mit dem Anschluss kannst Du immer noch direkt am Speedport testen und den Eigentümer treten er soll gefälligst seine Technik am laufen halten ;). Keine Diskussion von wegen Deine Geräte sind Schuld. Ich handhabe das momentan noch genauso mit meiner KD Fritte.Datenstau: Dein Netzwerk muss ja nicht nennenswert mehr Datenaufkommen bewältigen, nur weil Du es in VLans segmentierst, das fällt in der Praxis nicht auf.
-teddy
-
@KHR:
Ich habe einen Telekom Fiber Anschluss.
Kenne die Telekom Technik dahinter nicht (also gar nicht!). Könnte man das nicht mit einem Glasfaser - Ethernet Konverter in Kupfer wandeln und das dann mit einem regulären NIC der pfSense bedienen?
Hol dir nen Draytek Vigor 130, achte darauf das er Annex B hat,
Dass er keinen VDSL und somit auch kein Annex B hat, das hast Du gelesen, oder?
-
-
Danke für eure Antworten. Wo ist eigenltich ceofreaks Post?
Also der Anschluss sieht folgendermaßen aus. Die Telekom hat mir eine Glasfaserleitung direkt in die Wohnung gelegt. Dort am Glasfaster direkt angeschlossen ist ein Kästchen, welches die Telekom sogar "Glasfastermodem" nennt. Hier hat auch ein Techniker der Telekom irgendwelche Daten mit einem Laptop eingegeben und das Teil irgendwie konfiguriert. Ich fragte ihn zwar, was er dort eingibt, aber er gab mir nicht wirklich Auskunft darüber.
Nun an diesem kleinen "Glasfastermodem" hängt nun mein Speedport, und zwar nicht am eigenltich dafür vorgesehenen "DSL Anschluss", sondern am "Link Port".
Im Speedport habe ich dann meine Telekomdaten eingegeben. Soweit so gut. Nun läuft aber auch das Telefon über diesen Speedport. Wenn es also möglich ist, dass pfSense mit diesem "Telekom Glasfastermodem" direkt kommunizieren kann, könnte ich nicht mehr telefonieren. Ohne Speedport kein Telefon eigentlich. Außer mit sowas, wie einer Speedport Alternative, wie Fritzbox (mag ich aber nicht wirklich) oder DrayTek (kenne ich nicht wirklich) und ich habe auch noch nichts gefunden, dass eines der DrayTek Geräte Glasfaster unterstützt.
Ich finde eigentlich die Idee, bei der mir magicteddy beipflichtete, gut. Ich würde den Speedport weiter als Telefonzentrale nutzen und würde pfSense und damit natürlich mein ganzes restliches Netzwerk dort an einem LAN Port stöppseln.
Somit bekomme ich auch keinerlei Probleme mit der Telekom, wenn der Anschluss mal nicht richtig funktioniert. Das stimmt, dass die Telekom rumzickt und erstmal alles auf die eigenen Hardware schiebt, wenn man nicht die Telekom Hardware nutzt.
Dann würde ich einfach den Speedport bei IP 192.168.1.1 lassen und das pfSense System auf meinetwegen 192.168.2.1.
Sollte ich dann NAT vom pfSense System abschalten, weil ja der Speedport NAT macht? Oder sollte ich es sogar lieber eingeschaltet lassen in pfSense?
Vielen Dank nochmal.
Viele Grüße,
KHR -
Warum installierst du nicht PFSense auf deinem Server in einer VM?
Evtl. zusätzliche LAN-Karte rein und dann würde das auch eine Alternative darstellen.
Habe in meinen Gen8 auch eine QuadPort Karte eingebaut und lasse dort PFSense in einer VM laufen. Alles perfekt bis heute.
Sicherheitstechnisch haben wahrscheinlich einige Bedenken aufgrund der VM, aber ausschließlich im privaten Bereich ist dort glaube ich die Messlatte nicht so extrem hoch zu setzen?Lg
Teddy -
@KHR:
Wo ist eigenltich ceofreaks Post?
Wie CEOs so sind: rin inne Kartoffeln, raus ausse Kartoffeln. Den Post hat er wohl gelöscht.
@KHR:
Ohne Speedport kein Telefon eigentlich.
Ach was, die T- macht auch nur VOIP. Das geht auch mit jedem VOIP-Telefon ohne die Speed-Dinger. Aber der eingebaute ISDN- bzw. Analog-Wandler ist manchmal schon hilfreich.
@KHR:
…Speedport ... Telefonzentrale ... pfSense ... LAN Port
Sollte ich dann NAT vom pfSense System abschalten, weil ja der Speedport NAT macht?Argumente zum Aufbau sind nachvollziehbar, kann man auch ruhig so machen.
Ich würde die pfSense möglichst als "exposed host" oder "DMZ" im Speedport konfigurieren, so dass alle Ports (minus VOIP) ohne NAT oder mit 1:1 NAT dahin geleitet werden. Je nachdem, was im Speedport so angeboten wird.
NAT der pfSense eingeschaltet lassen. -
Warum installierst du nicht PFSense auf deinem Server in einer VM?
Das war ja gar nicht die Frage.
Sicherheitstechnisch haben wahrscheinlich einige Bedenken aufgrund der VM, aber…
Seit wann?
Es gibt für Virtualisierung sogar ein eigenes Sub-Forum: https://forum.pfsense.org/index.php?board=37.0 und virtuelle Instanzen werden auch von ganz vielen aktiv genutzt. Jeder Entwickler testet so neue Versionen, die pfSense Angebote auf AWS und Azure sind auch alle virtuell. Wie kommst Du darauf, dass das unsicher wäre?
Manche Funktionen möchte ich jedoch nicht auf einem Hypervisor laufen haben sondern davon getrennt - zB wegen Ausfallsicherheit oder so. Oder einfach, weil er voll ist :D -
Warum installierst du nicht PFSense auf deinem Server in einer VM?
Das war ja gar nicht die Frage.
Da hast du Recht. Aber da das Board noch nicht (mal) gekauft ist und nen Server mit VM's rumsteht, war das nur nen Vorschlag meinerseits.
Wenn der Server eh 24/7 läuft und noch Rechenkapazitäten frei hat / sich günstiger aufrüsten ließe, als ein Neubau, warum nicht diese Ressourcen nutzen?Hatte nur mal nebenbei aufgeschnappt, dass die meisten im Unternehmenseinsatz PFSense lieber auf einem separaten Server, als in einer VM laufen lassen, aus Sicherheitsgründen wie sie sagten, da herrschten aber auch geteilte Meinungen drüber.
-
Wäre das nicht genau ein Modem?
Nö.
Ein MoDem ist ein Modulator & Demodulator, das verpackt (moduliert) ein Signal auf einen Träger und entpackt es auf der anderen Seite wieder. Beim Fax zB digitale Signale in analoge Töne und zurück.
Ein Medienkonverter wandelt nur von einem Medium (Licht) auf ein anderes Medium (Strom) um. Das geschieht völlig transparent. Ob Du Deine Brotkiste nun zum Auto trägst oder sie darin durch die Gegend fährst ist egal, das Brot darin wird nicht veränder. Wäre ja auch zu blöd, wenn es am Schreibtisch angekommen dann angebissen oder vorgekaut wäre. :P
-
…dass die meisten im Unternehmenseinsatz ...
Wer sind denn diese "die Meisten"?
Ich zB mache das hier nicht, da ich im Fehlerfall der Hypervisoren gar kein Netzwerk mehr hätte und die Fehlersuche oder Reparatur erheblich erschwert wären.
So kann ich die komplette Domain abschalten und kann noch am/im Netzwerk arbeiten (inkl. TechNet lesen…). -
Vielen Dank wieder für die Antworten.
Das Board, sowie die komplette Hardware (RAM, Board mit OnBoard CPU, SSD, Netzteil, Gehäuse) habe ich bereits, außer die Intel NICs, wenn es denn Intel NICs sein sollen.
Den Gedanken, pfSense auf dem Server zu installieren hatte ich auch bereits. Habe mir darüber mehrere Gedanken gemacht, da er ja eh dauernd läuft. :-)
Das hatte ich aber wegen Sicherheitsbedenken wieder verworfen. Sollte nicht eine Firewall vor allem sein? Also, wenn ich nun pfSense in einer VM installiere, ist doch der VM Host nicht von der Firewall von pfSense geschützt. Das Host System kann ja eigenltich nicht durch pfSense geschützt sein, da diese ja erst in der VM läuft. So mein Gedanke.
Recourcen hat der Server massig, vor allem für pfSense. :-)
-
Wäre das nicht genau ein Modem?
Nö.
Ein MoDem ist ein Modulator & Demodulator, das verpackt (moduliert) ein Signal auf einen Träger und entpackt es auf der anderen Seite wieder. Beim Fax zB digitale Signale in analoge Töne und zurück.
Ist schon klar, was ein Modem ist. Aber das ist es doch genau, oder? Umsetzung optisch zu elektrisch und umgekehrt?
-
…Ist schon klar, was ein Modem ist. Aber das ist es doch genau, oder? Umsetzung optisch zu elektrisch und umgekehrt?
Nein eigentlich nicht, die Signalart bleibt ja gleich, beide Seiten sind digital. Es ändert sich ja nur das Trägermedium, deshalb Medienkonverter.
-teddy
-
In der Tat. Der übliche Sprachgebrauch ist keine korrekte Bezeichnung. Das Ding heißt "ONT" und ist technisch wohl tatsächlich "nur" ein Medienkonverter, eine Modulierung / Demodulierung im engeren Sinne findet auch m.W. nicht statt. Die Bezeichnung "Modem" ist aber offenbar sogar bei Telekom gebräuchlich, s.o.:
@KHR:
Dort am Glasfaster direkt angeschlossen ist ein Kästchen, welches die Telekom sogar "Glasfastermodem" nennt.
KHR müßte die pfSense direkt an das "Kästchen" anschließen können. Der Link Port des SpeedPort ist offenbar einfach ein WAN-Anschluß ohne DSL-Modem-Funktion.
-
Danke nochmal für die vielen Antworten.
Hab das System nun laufen. Folgende Konfiguration.
Telekom Speedport –> WAN pfSense
LAN pfSense --> Switch
Switch --> WLAN Router konfiguriert als Access PointDer WAN Port von pfSense bezieht seine IP über DHCP vom Speedport. Somit kann ich die Telefonfunktion des Speedport nutzen. Außerdem, wie ja schon erwähnt, kann die Telekom im Falle eines Fehlers nicht meckern, weil ich eigene Hardware verwende. :-)
Nun stellen sich mir ein paar weitere Fragen.
Sollte ich im Menü unter "Interfaces --> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren? Default ist aktiviert. Funktionieren tut auch alles, wenns aktiviert ist. Ich habe in einem YT Video gesehen, wo einer sagt, dass man das deaktivieren soll, wenn man am WAN Port eine IP Adresse aus dem privaten IP Bereich hat. Das habe ich ja. Sollte ich das dann deaktivieren? Oder ist das DMZ?
Was macht eigentlich unter "System --> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?
Vielen Dank nochmal.
Viele Grüße,
KHR -
Hat niemand Antworten auf meine Fragen?
-
Hallo!
@KHR:
#Sollte ich im Menü unter "Interfaces –> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren?
Wenn du eingehende Verbindungen erlauben möchtest, musst du das deaktivieren. Vermutlich möchtest du das aber nicht, denn sonst wäre die dynamische WAN-Adresse auch nicht vernünftig. Ist die Funktion aktiv werden alle eingehenden Verbindungen am WAN Interface von privaten Netzen (RFC 1918) blockiert.
Für ausgehende Verbindungen ist die Einstellung irrelevant.@KHR:
Was macht eigentlich unter "System –> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?
Da bin ich überfragt. Die Einstellung ist mir bislang nicht aufgefallen.
Ich vermute mal, dass pfSense die Host UUID standardmäßig mit Abfragen nach Updates und Packages mitsendet.
Host UUID ist das, was in der aktuellen Version als "Netgate Unique ID" bezeichnet wird und ist, soweit mir bekannt, für deren Support wichtig.