Mein erstes pfsense System Fragen
-
Danke für eure Antworten. Wo ist eigenltich ceofreaks Post?
Also der Anschluss sieht folgendermaßen aus. Die Telekom hat mir eine Glasfaserleitung direkt in die Wohnung gelegt. Dort am Glasfaster direkt angeschlossen ist ein Kästchen, welches die Telekom sogar "Glasfastermodem" nennt. Hier hat auch ein Techniker der Telekom irgendwelche Daten mit einem Laptop eingegeben und das Teil irgendwie konfiguriert. Ich fragte ihn zwar, was er dort eingibt, aber er gab mir nicht wirklich Auskunft darüber.
Nun an diesem kleinen "Glasfastermodem" hängt nun mein Speedport, und zwar nicht am eigenltich dafür vorgesehenen "DSL Anschluss", sondern am "Link Port".
Im Speedport habe ich dann meine Telekomdaten eingegeben. Soweit so gut. Nun läuft aber auch das Telefon über diesen Speedport. Wenn es also möglich ist, dass pfSense mit diesem "Telekom Glasfastermodem" direkt kommunizieren kann, könnte ich nicht mehr telefonieren. Ohne Speedport kein Telefon eigentlich. Außer mit sowas, wie einer Speedport Alternative, wie Fritzbox (mag ich aber nicht wirklich) oder DrayTek (kenne ich nicht wirklich) und ich habe auch noch nichts gefunden, dass eines der DrayTek Geräte Glasfaster unterstützt.
Ich finde eigentlich die Idee, bei der mir magicteddy beipflichtete, gut. Ich würde den Speedport weiter als Telefonzentrale nutzen und würde pfSense und damit natürlich mein ganzes restliches Netzwerk dort an einem LAN Port stöppseln.
Somit bekomme ich auch keinerlei Probleme mit der Telekom, wenn der Anschluss mal nicht richtig funktioniert. Das stimmt, dass die Telekom rumzickt und erstmal alles auf die eigenen Hardware schiebt, wenn man nicht die Telekom Hardware nutzt.
Dann würde ich einfach den Speedport bei IP 192.168.1.1 lassen und das pfSense System auf meinetwegen 192.168.2.1.
Sollte ich dann NAT vom pfSense System abschalten, weil ja der Speedport NAT macht? Oder sollte ich es sogar lieber eingeschaltet lassen in pfSense?
Vielen Dank nochmal.
Viele Grüße,
KHR -
Warum installierst du nicht PFSense auf deinem Server in einer VM?
Evtl. zusätzliche LAN-Karte rein und dann würde das auch eine Alternative darstellen.
Habe in meinen Gen8 auch eine QuadPort Karte eingebaut und lasse dort PFSense in einer VM laufen. Alles perfekt bis heute.
Sicherheitstechnisch haben wahrscheinlich einige Bedenken aufgrund der VM, aber ausschließlich im privaten Bereich ist dort glaube ich die Messlatte nicht so extrem hoch zu setzen?Lg
Teddy -
@KHR:
Wo ist eigenltich ceofreaks Post?
Wie CEOs so sind: rin inne Kartoffeln, raus ausse Kartoffeln. Den Post hat er wohl gelöscht.
@KHR:
Ohne Speedport kein Telefon eigentlich.
Ach was, die T- macht auch nur VOIP. Das geht auch mit jedem VOIP-Telefon ohne die Speed-Dinger. Aber der eingebaute ISDN- bzw. Analog-Wandler ist manchmal schon hilfreich.
@KHR:
…Speedport ... Telefonzentrale ... pfSense ... LAN Port
Sollte ich dann NAT vom pfSense System abschalten, weil ja der Speedport NAT macht?Argumente zum Aufbau sind nachvollziehbar, kann man auch ruhig so machen.
Ich würde die pfSense möglichst als "exposed host" oder "DMZ" im Speedport konfigurieren, so dass alle Ports (minus VOIP) ohne NAT oder mit 1:1 NAT dahin geleitet werden. Je nachdem, was im Speedport so angeboten wird.
NAT der pfSense eingeschaltet lassen. -
Warum installierst du nicht PFSense auf deinem Server in einer VM?
Das war ja gar nicht die Frage.
Sicherheitstechnisch haben wahrscheinlich einige Bedenken aufgrund der VM, aber…
Seit wann?
Es gibt für Virtualisierung sogar ein eigenes Sub-Forum: https://forum.pfsense.org/index.php?board=37.0 und virtuelle Instanzen werden auch von ganz vielen aktiv genutzt. Jeder Entwickler testet so neue Versionen, die pfSense Angebote auf AWS und Azure sind auch alle virtuell. Wie kommst Du darauf, dass das unsicher wäre?
Manche Funktionen möchte ich jedoch nicht auf einem Hypervisor laufen haben sondern davon getrennt - zB wegen Ausfallsicherheit oder so. Oder einfach, weil er voll ist :D -
Warum installierst du nicht PFSense auf deinem Server in einer VM?
Das war ja gar nicht die Frage.
Da hast du Recht. Aber da das Board noch nicht (mal) gekauft ist und nen Server mit VM's rumsteht, war das nur nen Vorschlag meinerseits.
Wenn der Server eh 24/7 läuft und noch Rechenkapazitäten frei hat / sich günstiger aufrüsten ließe, als ein Neubau, warum nicht diese Ressourcen nutzen?Hatte nur mal nebenbei aufgeschnappt, dass die meisten im Unternehmenseinsatz PFSense lieber auf einem separaten Server, als in einer VM laufen lassen, aus Sicherheitsgründen wie sie sagten, da herrschten aber auch geteilte Meinungen drüber.
-
Wäre das nicht genau ein Modem?
Nö.
Ein MoDem ist ein Modulator & Demodulator, das verpackt (moduliert) ein Signal auf einen Träger und entpackt es auf der anderen Seite wieder. Beim Fax zB digitale Signale in analoge Töne und zurück.
Ein Medienkonverter wandelt nur von einem Medium (Licht) auf ein anderes Medium (Strom) um. Das geschieht völlig transparent. Ob Du Deine Brotkiste nun zum Auto trägst oder sie darin durch die Gegend fährst ist egal, das Brot darin wird nicht veränder. Wäre ja auch zu blöd, wenn es am Schreibtisch angekommen dann angebissen oder vorgekaut wäre. :P
-
…dass die meisten im Unternehmenseinsatz ...
Wer sind denn diese "die Meisten"?
Ich zB mache das hier nicht, da ich im Fehlerfall der Hypervisoren gar kein Netzwerk mehr hätte und die Fehlersuche oder Reparatur erheblich erschwert wären.
So kann ich die komplette Domain abschalten und kann noch am/im Netzwerk arbeiten (inkl. TechNet lesen…). -
Vielen Dank wieder für die Antworten.
Das Board, sowie die komplette Hardware (RAM, Board mit OnBoard CPU, SSD, Netzteil, Gehäuse) habe ich bereits, außer die Intel NICs, wenn es denn Intel NICs sein sollen.
Den Gedanken, pfSense auf dem Server zu installieren hatte ich auch bereits. Habe mir darüber mehrere Gedanken gemacht, da er ja eh dauernd läuft. :-)
Das hatte ich aber wegen Sicherheitsbedenken wieder verworfen. Sollte nicht eine Firewall vor allem sein? Also, wenn ich nun pfSense in einer VM installiere, ist doch der VM Host nicht von der Firewall von pfSense geschützt. Das Host System kann ja eigenltich nicht durch pfSense geschützt sein, da diese ja erst in der VM läuft. So mein Gedanke.
Recourcen hat der Server massig, vor allem für pfSense. :-)
-
Wäre das nicht genau ein Modem?
Nö.
Ein MoDem ist ein Modulator & Demodulator, das verpackt (moduliert) ein Signal auf einen Träger und entpackt es auf der anderen Seite wieder. Beim Fax zB digitale Signale in analoge Töne und zurück.
Ist schon klar, was ein Modem ist. Aber das ist es doch genau, oder? Umsetzung optisch zu elektrisch und umgekehrt?
-
…Ist schon klar, was ein Modem ist. Aber das ist es doch genau, oder? Umsetzung optisch zu elektrisch und umgekehrt?
Nein eigentlich nicht, die Signalart bleibt ja gleich, beide Seiten sind digital. Es ändert sich ja nur das Trägermedium, deshalb Medienkonverter.
-teddy
-
In der Tat. Der übliche Sprachgebrauch ist keine korrekte Bezeichnung. Das Ding heißt "ONT" und ist technisch wohl tatsächlich "nur" ein Medienkonverter, eine Modulierung / Demodulierung im engeren Sinne findet auch m.W. nicht statt. Die Bezeichnung "Modem" ist aber offenbar sogar bei Telekom gebräuchlich, s.o.:
@KHR:
Dort am Glasfaster direkt angeschlossen ist ein Kästchen, welches die Telekom sogar "Glasfastermodem" nennt.
KHR müßte die pfSense direkt an das "Kästchen" anschließen können. Der Link Port des SpeedPort ist offenbar einfach ein WAN-Anschluß ohne DSL-Modem-Funktion.
-
Danke nochmal für die vielen Antworten.
Hab das System nun laufen. Folgende Konfiguration.
Telekom Speedport –> WAN pfSense
LAN pfSense --> Switch
Switch --> WLAN Router konfiguriert als Access PointDer WAN Port von pfSense bezieht seine IP über DHCP vom Speedport. Somit kann ich die Telefonfunktion des Speedport nutzen. Außerdem, wie ja schon erwähnt, kann die Telekom im Falle eines Fehlers nicht meckern, weil ich eigene Hardware verwende. :-)
Nun stellen sich mir ein paar weitere Fragen.
Sollte ich im Menü unter "Interfaces --> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren? Default ist aktiviert. Funktionieren tut auch alles, wenns aktiviert ist. Ich habe in einem YT Video gesehen, wo einer sagt, dass man das deaktivieren soll, wenn man am WAN Port eine IP Adresse aus dem privaten IP Bereich hat. Das habe ich ja. Sollte ich das dann deaktivieren? Oder ist das DMZ?
Was macht eigentlich unter "System --> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?
Vielen Dank nochmal.
Viele Grüße,
KHR -
Hat niemand Antworten auf meine Fragen?
-
Hallo!
@KHR:
#Sollte ich im Menü unter "Interfaces –> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren?
Wenn du eingehende Verbindungen erlauben möchtest, musst du das deaktivieren. Vermutlich möchtest du das aber nicht, denn sonst wäre die dynamische WAN-Adresse auch nicht vernünftig. Ist die Funktion aktiv werden alle eingehenden Verbindungen am WAN Interface von privaten Netzen (RFC 1918) blockiert.
Für ausgehende Verbindungen ist die Einstellung irrelevant.@KHR:
Was macht eigentlich unter "System –> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?
Da bin ich überfragt. Die Einstellung ist mir bislang nicht aufgefallen.
Ich vermute mal, dass pfSense die Host UUID standardmäßig mit Abfragen nach Updates und Packages mitsendet.
Host UUID ist das, was in der aktuellen Version als "Netgate Unique ID" bezeichnet wird und ist, soweit mir bekannt, für deren Support wichtig.