Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFsense Eignung Heimnetzwerk

    Deutsch
    6
    19
    2.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fippox
      last edited by

      Erstmal danke für die Antwort. Warum WLAN nicht an dieser Stelle? Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

      Welche von den Routerboxen ist dann zu empfehlen für die pfsense Software? Würde trotzdem gerne physikalische Schnittstellen haben, da ich vorhabe das ganze in Szene zu setzen im Flur.
      Hatte mich übrigens vertan, https://www.ebay-kleinanzeigen.de/s-anzeige/pc-engines-bundle-alix2d13-alugehaeuse-router-firewall-pfsense/769679537-225-2155
      Das sollte 2. Generation sein.

      Liebe Grüße

      1 Reply Last reply Reply Quote 0
      • mike69M
        mike69 Rebel Alliance
        last edited by

        Mahlzeit.

        Die Alix sind noch älter.

        Aktuell wäre das hier:
        https://www.amazon.de/PC-Engines-APU2C4-Komplett-Alu-Geh%C3%A4use/dp/B01GEIEI7M/ref=sr_1_1?ie=UTF8&qid=1512654543&sr=8-1&keywords=apu2

        Zum Thema Gameserver, zufällig was für die PS4 am laufen oder nur PC.

        Gruß

        DG FTTH 400/200
        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

          Nein, damit war gemeint, dass die pfSense bzw. das darunterliegende FreeBSD vieles gut kann. WiFi eher nicht. Deshalb würde ich das eher mit einem separaten AP machen, den man zudem dann ordentlich positionieren kann zwecks Abdeckung etc.

          Das sollte 2. Generation sein.

          Nein, wie Mike korrekt sagt ist ALIX die Vorgängerin der APU. Bitte bitte - auch an alle die ein Problem haben und ihre Hardware schildern - schaut bei den PCEngines Sachen genau hin. Die Dinger heißen nicht ALIX APU oder sonstwas. Die Geräte von denen sind - dem Alter nach - WRAP (steinalt), ALIX (ganz alt), APU (alt), APU2 (aktuell) und APU3 (aktuell und PRIMÄR als Plattform für LTE/Telefonie gedacht). Irgendeine Kombination der Namen bringt alle nur durcheinander. Und alles was alt oder älter ist, solltest du tunlichst bei einer neuen Installation erstmal vergessen. Das macht IMHO absolut keinen Sinn damit anzufangen.

          BTW: bei Amazon sind es meist die Shops selbst, die inserieren, da findet man eigentlich kein wirklich "gutes" Angebot. Dann kann man auch direkt bei den Händlern wie Varia und Co kaufen, meist sind die da noch ein klein bisschen günstiger.

          Je nach Wunsch und später angestrebter Bandbreite und Pakete etc. würde ich entsprechende Hardware kaufen. Wenn du bspw. jetzt schon mit 400MBit Kabel oder >500Mbit FTTH planst, solltest du bspw. die APU2 ggf. im Schrank lassen und gleich etwas höher einsteigen. Genauso wenn du bspw. auf 2 Interfaces Gigabit brauchst und hier das Gigabit auch sauber ausnutzen willst oder die großen Pakete mit Snort und Co nutzen möchtest. Aber dann verlassen wir auch den Bereich "sehr günstig" :)

          Gruß

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • R
            rubinho
            last edited by

            Ich kann Jens nur Recht geben.

            Wlan gehört nicht in die Firewall, dafür gibts Spezialisten wie z.B. Ubiquiti Unifi.

            Was die Hardware angeht, ist die APU (2) so ziemlich die unterste Preiskategorie, was sich auch in der Leitsung bemerkbar macht. Wenn man einen Internet-Anschluss größer 200Mbit hat, sollte man auf eine leistungsfähigere Hardware setzen. Sieh dir mal das Board in meiner Signatur an, das wäre z.b. ein paar Leistungsstufen höher, jedoch halt nicht mehr ganz so günstig wie eine APU. Aber mit der entsprechenden Leistung, macht es richtig Spaß die Möglichkeiten von PFsense auszureizen.

            Zu guter Letzt fehlt dann noch ein managebarer Switch (z.B. Dlink DGS1100er Series), um die unterschiedlichen Netze des WLan APs an die PFsense zu bekommen.

            Gruß
            Rubinho

            [Pfsense 2.4] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
            [Pfsense 2.4] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

            1 Reply Last reply Reply Quote 0
            • F
              fippox
              last edited by

              Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht? Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

              Ich habe 50Mbit, vllt nächstes Jahr 100Mbit. Die Server sind rein für PC, keine Konsolen.

              Also die APU2 würde mir dann reichen.

              Wie gesagt, habe leider 0 Ahnung davon und müsste mich bei pfsense auch reinlesen und Tutorials gucken bei Sachen, die ich nicht durch mein eigenes Verständnis hinbekomme.
              Ich danke euch für eure Antworten, wenigstens mal ein Forum in dem man schnelle Hilfe bekommt..

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht?

                Natürlich. Wenn ich eine ordentliche Firewall HINTER den Provider-Murks klemme, dann macht die auch alle Jobs. Und nicht die Murkskiste vornedran, der ich nicht vertrauen kann, weil sie nicht in meine Zuständigkeit gehört. Da der Provider da die Finger drauf hat, sehe ich die Box als WAN/Internet/potentiell gefährdend an, weil ich nicht genau sagen kann, wer was wo wie warum mit ihr macht. Da genügt mal wieder ein ISP und/oder Hersteller FuckUp und Upsi wird da WLAN drauf angemacht, ist eine Hintertür via TR069 oder sonst irgendein Murks offen, weil der Provider mal wieder ein ganz wichtiges Update remote eingespielt hat. Wenn man für sein Netz Ordnung schaffen und es absichern möchte, dann zieht man ja nicht unbedingt Dienste VOR die Firewall, die eigentlich dahinter laufen sollten.

                Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

                Schön aber da oben irrelevant. Das einzige was ich auf der Box / mit dem WLAN des Provider-Routers abwickeln würde (wenn überhaupt), ist ein Gäste WLAN, die sind selbst für ihren Kram verantwortlich :) Aber meine Sachen haben schön hinter der pfSense zu spielen und nicht davor.

                Ansonsten ist der ganze Stunt ja ziemlich wiedersinnig. Du hast dann einen Netzbereich hinter deinem Providerrouter, in welchem irgendwelche WLAN Devices herumspuken, dann die pfSense, dahinter dann eine DMZ und ein LAN. Und wenn die WLAN Geräte dann in die DMZ bzw. ins LAN müssen, musst du dich erst von WAN Seite her durch die Firewall bohren. Eher nicht so schön. Sinnvoller ist alle Netze terminieren auf der pfSense und von da geht der Traffic dann über die Providerbox nach draußen und fein :) - zumal es eh ein Krampf wäre, die Netze hinter der pfSense dann via DHCP Relay nach vorne zur Providerbox zu geben.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • F
                  fippox
                  last edited by

                  Stabil.

                  Also auf der Wunschliste für Weihnachten stehen somit APU2, AP und ein NUC von Intel für den Rootserver. Von der Homebox verbinde ich mit dem WAN der APU2, von dort ein link zum NUC und eins zum Switch, an dem dann der AP und das restliche LAN hängt.

                  Dann fehlt mir jetzt nur noch das Wissen was ich denn später in pfsense einstellen muss. Falls ich was nicht hinbekomme melde ich mich nochmal wenn ihr gewillt seid, sowas zu beantworten, aber dafür sollte das Forum ja da sein oder gibts dafür schon ein vergleichbares Thema/ Anleitung niedergeschrieben?

                  Liebe Grüße

                  1 Reply Last reply Reply Quote 0
                  • F
                    fippox
                    last edited by

                    Moin!

                    Erstmal danke nochmal für die bisherige Hilfe.

                    PFSense und Rootserver sind aufgesetzt. Um so wenig Unterbrechung wie möglich zu haben bei den Servern die ich hoste möchte ich gleich alle WAN Einstellungen richtig machen.
                    Bisher habe ich dem Interface eine statische IPv4 gegeben, die nicht mit dem bisherigen Heimnetz interferriert. 192.168.0.1 ist die WAN IP. Der o2 Router muss dann so konfiguriert werden, dass er im 0er Bereich DHCP betreibt? Obwohl das könnte ja auch deaktiviert sein, da ja sowieso nur ein Gerät (nämlich der PFSense Router) sich dort befindet.

                    Muss sonst noch etwas getan werden am WAN Eingang?

                    Das LAN und DMZ Netzwerk habe ich schon voll konfiguriert.

                    lg Fippox

                    1 Reply Last reply Reply Quote 0
                    • M
                      mrsunfire
                      last edited by

                      Schau Dir mal die Mini PC von Qotom an. Die APU1 wird ab pfSense 2.5 nicht mehr unterstützt da kein AES-NI.
                      Eine APU2 sollte reichen, bietet aber kaum Leistungsreserven.

                      Netgate 6100 MAX

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        PFSense und Rootserver sind aufgesetzt | 192.168.0.1 ist die WAN IP.

                        @fippox Wenn du genauer sagen kannst, was du jetzt bauen möchtest nach dem Neu-Aufsetzen, geht das sicher. Aber im Prinzip muss auf der pfSense WAN Seite nicht viel gemacht werden. Da vornedran der O2 Router sitzt, muss der lediglich exposed Host / DMZ / whatever-it-is-called machen um quasi alles was reinkommt an die Sense weiterzuleiten. DHCP o.ä. brauchst du eigentlich nicht, nein. WAN statisch vergeben und die IP dann auf dem O2 Router eintragen, dass er alles dahin schickt.

                        Schau Dir mal die Mini PC von Qotom an. Die APU1 wird ab pfSense 2.5 nicht mehr unterstützt da kein AES-NI.

                        @mrsunfire: Er schreib ja schon APU2, APU1 sollte heute eh kein Thema mehr sein, da das Gerät schon lange EOL ist und keine Ersatzteile etc. mehr am Start sind. Ich würde zwar auch eher etwas mit mehr Leistung bevorzugen (bzw. besserer Verarbeitung) aber das ist subjektives Empfinden und die Geräte sind zum Einsteigen eben günstig.

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • F
                          fippox
                          last edited by

                          Moin moin,

                          habe jetzt soweit alles aufgebaut und eingerichtet. Internetzugang habe ich sowohl übers LAN als auch über die DMZ. Allerdings bekomme ich das Portforwarding noch nicht hin. Habe schon diverse Threads durchgelesen aber nichts davon hilft mir.

                          Zur Übersicht:

                          O2 Router mit IP 192.168.0.1
                          DHCP IPv4 ab 0.3 für eventuelle Gastbenutzer im O2 WLAN

                          pfsense Router mit IP 192.168.0.2 am WAN Port statisch vom O2 Router vergeben.
                          LAN Netzwerk mit IP 192.168.1.1 und DHCP ab 1.10, alle anderen PCs in meinem LAN habe ich statisch verteilt genauso wie den AP mit .1.254

                          DMZ mit IP 192.168.2.1
                          dahinter der NUC mit IP 192.168.2.2

                          Für einen TeamSpeak 3 Server habe ich beispielsweise am O2 Router den Port 8084 auf die pfsense weitergeleitet und von dort in der Firewall bei NAT Portforward eine Regel erstellt den Port 8084 auf die DMZ IP .2.2 umzuleiten.

                          Portcheck sagt der Port ist zu.

                          Bei Outbound im NAT habe ich in einem Thread gelesen, dass dort eine Regel von WAN zu dem LAN des ersten Routers eingerichtet werden muss - habe ich aber entweder misconfiguriert oder funktioniert nicht.

                          Ansonsten habe ich probiert alle Ports vom ersten Router auf den zweiten und dann an die DMZ weiterzuleiten, auch per Alias, aber beides ohne Erfolg. Nichteinmal wenn ich den Port 80 von dem ersten Router auf die WAN IP des pfsense umleite kann ich extern auf den pfsense zugreifen und der Port ist zu.

                          Portweiterleitungen in der O2 Box hatte ich bisher ja auch, aber irgendwie ist dort in der Weiterleitung der Wurm drin. Leider kann ich in der Kiste nur auf IPs mit dem gleichen Adressbereich umleiten, also in diesem Falle .0.X

                          Für euch ist das bestimmt ein Klacks und ich hab einfach irgendwas vergessen.

                          Zudem habe ich eine Regel bei den FW Rules gesetzt für die DMZ, dass sie nur ins WAN funken darf. Ich glaube die hat schon funktioniert, aber könnte mir die Regel trotzdem nochmal jemand verklickern was ich da einzustellen habe? Dann kann ich das ggf, abgleichen.

                          Beste Grüße
                          Felix

                          1 Reply Last reply Reply Quote 0
                          • JeGrJ
                            JeGr LAYER 8 Moderator
                            last edited by

                            LAN Netzwerk mit IP 192.168.1.1 und DHCP ab 1.10, alle anderen PCs in meinem LAN habe ich statisch verteilt genauso wie den AP mit .1.254

                            DHCP "ab .1.10"? Bis wohin? Hoffentlich hast du den Bereich abgegrenzt damit er nicht mit deinen statischen IPs kollidiert?

                            Für einen TeamSpeak 3 Server habe ich beispielsweise am O2 Router den Port 8084 auf die pfsense weitergeleitet und von dort in der Firewall bei NAT Portforward eine Regel erstellt den Port 8084 auf die DMZ IP .2.2 umzuleiten.

                            Und wie sieht die NAT Regel aus? In 90% der Fälle in denen es heißt "Das Forwarding geht nicht" ist schlicht die Forward Regel falsch.

                            Ansonsten habe ich probiert alle Ports vom ersten Router auf den zweiten und dann an die DMZ weiterzuleiten, auch per Alias, aber beides ohne Erfolg. Nichteinmal wenn ich den Port 80 von dem ersten Router auf die WAN IP des pfsense umleite kann ich extern auf den pfsense zugreifen und der Port ist zu.

                            Da die pfSense per default nicht auf 80 sondern 443/HTTPS hört, kann das gut sein, es sei denn du hast deine wieder auf 80 konfiguriert.
                            Dann würde ich mir mal den O2 Router genauer ansehen, ob der kein exposed Host Setting hat, manchmal falsch auch DMZ genannt oder sowas, womit du alle Ports UND Protokolle auf die pfSense auf der .2 weiterleiten kannst. Dann kannst du in den Firewall Logs der Sense sehen ob das erfolgreich war, denn dann müsste am WAN Port einiges Grundrauschen ankommen.

                            Leider kann ich in der Kiste nur auf IPs mit dem gleichen Adressbereich umleiten, also in diesem Falle .0.X

                            Das ist auch OK und völlig normal, ansonsten müsstest du ja direkte Routen eintragen können, was die meisten 08/15 SOHO Router gar nicht wollen, dass ein Kunde das kann :)

                            Grüße

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            1 Reply Last reply Reply Quote 0
                            • F
                              fippox
                              last edited by

                              Erstmal danke!

                              zu 1: die statischen IPs habe ich in der Sense von 1.2-1.9 verteilt, also vorm DHCP Bereich, bei sowas kenne ich mich aus. Der DHCP Bereich endet bei 250 und danch habe ich Platz für Netzwerkgeräte, die keine PCs darstellen, also zB den AP

                              zu 2: genau das ist meine Frage. Ich habe mehrere Varianten probiert und keine davon hat funktioniert. Quelle müsste ja das WAN sein, Ziel das DMZ net und dann als Umleitungsziel die NUC IP. So würde ich das verstehen. Vielleicht könnt ihr mir ein Beispiel nennen, die ich das Konfigurieren muss bzw was ich wo eintragen muss..

                              zu 3: das macht natürlich Sinn über HTTPS, garnicht drauf gekommen.. aber ein guter Weg, um meine Portregeln jetzt zu prüfen. Ist die Konfigurationsseite der PFSense denn per default erreichbar oder ist das deaktiviert für externe Zugriffe? Exposed Host hat der O2 Router nicht, deswegen habe ich ja mit der PFSense Sache angefangen. Keine halben Sachen.

                              zu 4: Das habe ich mir gedacht, aber wollte es dennoch erwähnen.

                              Grüße :)

                              1 Reply Last reply Reply Quote 0
                              • F
                                fippox
                                last edited by

                                Habe indessen ein anderes Thema hier im Forum gelesen und befolgt, nun scheint es zu klappen. Hatte irgendwie eine Regel doppelt bestimmt. 99% der Fehlergründe sitzen leider doch vorm Monitor. Melde mich falls ich nochmal Probleme habe :)

                                1 Reply Last reply Reply Quote 0
                                • GrimsonG
                                  Grimson Banned
                                  last edited by

                                  @fippox:

                                  Quelle müsste ja das WAN sein, Ziel das DMZ net und dann als Umleitungsziel die NUC IP.

                                  Nö. Die eingehende Verbindung kommt vom WAN (das ist soweit richtig) und erreicht die pfSense (das Ziel) über die WAN Adresse, und nicht über das DMZ net.

                                  1 Reply Last reply Reply Quote 0
                                  • JeGrJ
                                    JeGr LAYER 8 Moderator
                                    last edited by

                                    @OP & Grimson:

                                    Leider immer noch falsch ;)

                                    Die Regel für das Port Forwarding wäre korrekt:

                                    • Source: any (denn das Paket kommt egal was vornedran läuft AUS dem Internet, nicht vom WAN oder sonstwo her)
                                    • Destination: WAN address (denn das Paket kommt AN der Außenseite vom WAN an der pfSense an, das ist im Normalfall [außer bei MultiWAN] eben das WAN Interface und daher dessen Adresse)
                                    • Redirect: die IP des Hosts, auf den weitergeleitet werden soll, in diesem Fall die DMZ Adresse des TS Hosts.

                                    Dann den Haken bei assoziierte Filter Regel erstellen nicht vergessen, dann wird auch automatisch eine angepasste Filterregel erstellt. (Angepasst deshalb, da hier dann als Destination nicht WAN Address, sondern die DMZ IP drin steht, da das Paket umgeschrieben wird bevor es in den Filter Stack reingeht).

                                    Das dürfte es dann gewesen sein. :)

                                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                    1 Reply Last reply Reply Quote 0
                                    • GrimsonG
                                      Grimson Banned
                                      last edited by

                                      @JeGr:

                                      • Source: any (denn das Paket kommt egal was vornedran läuft AUS dem Internet, nicht vom WAN oder sonstwo her)

                                      Stimmt, ich sollte nach einer Kombi aus Spät- und Nachtdienst nicht mehr posten. :D

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.