Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox
-
Hallo magicteddy.
Danke für deine Info - das werde ich so angehen. Ich wollte aber die 1. FB gerne im Keller lassen, aber wenn es so sinnvoller ist muss ich mit den FBs im Wohnzimmer leben um Telefon stressfrei nutzen zu können.
Ich habe ne Familie mit fünf Mitgliedern im EFH. Da passiert mehr und mehr übers Netzwerk. Ein ausgedienter RPi mit PiHole ist DNS auf 192.168.178.130. Ich hänge an einem 100/20MBIT Netz und sehe nur IPTV. Telefon über VoIP. Ich habe zwei 5 Port Giganet Switches. Die FB an sich reicht mir gut fürs WLAN, es hängt auch ein FB Repeater 310 per Ethernet im oberen Stockwerk.
Was will ich?
Ich will einzig einen leistungsstarke FW mit performantem VPN Client welcher LAN/WLAN versorgt, welchen ich nun mit der APU2C4 habe, nur klappte bisher die Einrichtung eines OpenVPN Clients über pfSense bei NordVPN nicht. Dahinter soll der gesamte Haushalt über LAN/WLAN versorgt werden. Auch Gäste sollen in den VPN Genuss kommen.
Was meinst du bitte mit "echten Accesspoint"?
VG
-
Hi,
der Vorteil, wenn die Fritte vor der Firewall Telefonie erledigt: Es läuft stressfrei, auch wenn Du im Netz mal bastellst, somit hängt der Haussegen nicht gleich schief
Zu IPTV kann ich nichts schreiben da ich keine Erfahrungen dazu habe.
Echter Acesspoint: Damit meine ich soetwas AP Lite
Die können nur WLan, das aber besser als die Fritten. Was ich vorher mit bis zu 3 APs versorgen musste hat ein AP AC-Pro geschafft. Damit auch das Umfeld im Garten vernünftig versorgt wird habe ich 2 im Einsatz. Diese APs brauchen zur Konfiguration einen Controller, die Controllersoft könnte auf Deinem Raspi mit laufen. Der Vorteil, Du brauchst nur an einem Punkt zu managen, die Einstellungen werden dann an alle APs verteilt.-teddy
-
Cool. Danke! Wo stelle ich in der FB "Exposed Host" ein? Danke für den AP Lite Link, werde ich mir wohl antun.
Ich würde ich gerne noch folgendes fragen, welche IP Einstellungen inkl. DHCP, Subnetzmask etc. empfiehlst du bei der aktuell empfohlenen Konfiguration?
FB (Router als Exposed Hostund VoIP)-> pfSense (DHCP) -> FB (Client)
VG aus SH
-
Moin
Expertenansicht freischalten,
Internet --> Freigaben --> Hinzufügen
unter Gerät pfSense IP eintragen und etwas tiefer unter IPv4-Einstellungen:
Haken bei "Dieses Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host)." rein.
Achung, wenn Du hier Mist baust, z.B. eine any / any Regel auf dem WAN Interface dann stehst Du mit Deinem Netz mit nackten Hintern nach Seife gebückt im Internet. Sollte kein Zugriff von außen nötig sein lass es sein.
-teddy
-
Danke. Das fand ich. Ich bekomme jetzt meine APU2C4 Box unter pfSense 2.4.4 einfach nicht zum laufen.
Name: NordVPN DE235 TCP4
Status: reconnecting; connection-reset
Connected since: Tue Oct 2 12:52:43 2018
Local Adress: (pending)
Remote Host: (pending)Hast du eine Idee? Das NordVPN Tutorial online ist von 2.4.3, dort sind schon einige Einstellungen anders. Z.B wenn ich das Interface IPv4 Configuration auf DHCP stellen soll gibt es dafür hier keine Einstellung mehr.
Quelle: Punkt 6 unter:
https://support.nordvpn.com/#/Connectivity/Router/1089079142/pfSense-2-4-3-setup.htm
-
Sorry, muss ich morgen mal reinschauen. muss jetzt los.
Hierfür brauchst Du aber keinen exposed Host weil die Verbindung ja von Dir ausgeht!!-teddy
-
Die FB wählt sich nach wie vor ein...nicht das APU2C4 Board.
-
@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:
Z.B wenn ich das Interface IPv4 Configuration auf DHCP stellen soll gibt es dafür hier keine Einstellung mehr.
Hallo,
ich denke nicht, dass da in der Anleitung was von auf DHCP stellen steht.
Das Interface nur aktivieren und, wenn gewünscht, einen hübschen Namen eintragen und speichern.Die IP-Konfiguration dafür macht OpenVPN.
Grüße
-
"IPv4 Configuration Type: DHCP" -> Das geht in dem Interface (Reiter) nicht mehr. Egal. Ich bekam es zum laufen. Trotz AES-NI Beschleunigung nur bei 70MBIT, Suche geht weiter.
-
@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:
Trotz AES-NI Beschleunigung nur bei 70MBIT
Mit welchen OpenVPN-Parametern wird der Tunnel von pfSense zu NordVPN aufgebaut? Ist die Verbindung mit
AES‑256‑CBC noch aktuell? Die Verschlüsselung mit AES‑256‑GCM könnte etwas mehr Durchsatz bringen.Allerdings gibt es in Bezug auf OpenVPN Durchsatz bessere Hardware als eine APU2. Das Teil ist zwar
preiswert aber nicht mehr auf der Höhe der Zeit an schnellen Internetanschlüssen.LG
-
Hallo Gladius,
- UDP
- Encryption Algorithm AES 256-CBC
- NCP Algorithmus AES-256-GCM und CBC
- Auth digest algorithm SHA512
- Hardware Crypto No Hardware (keine andere Auswahl übrig)
- Compression Adaptive LZO
Advanced Conf:
7. Custom Options:
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;- Send/Receive Buffer Default
- Gateway creation Both
-
Kann es sein, daß sich Client und Server bei der Aushandlung der Verschlüsselung auf AES-256-GCM einigen?
Das OpenVPN Protokoll verschafft Klarheit, falls der Client "Verbosity level > 3" gesetzt hat.
Wenn ja, ist das Ende der Fahnenstange bzgl. Durchsatz wohl erreicht.LG
-
Hallo.
Ja das kann sein. Ich testete Verbosity level 2 und lande bei ca. 74Mbit/sec. Laut: https://teklager.se/en/knowledge-base/aputlsense-boards-spec-comparison/ sollten aber 100Mbit/sec drin sein, ohne VPN komme ich auf ca. ca. 102Mbit/sec. Bei meiner aktuellen Konfig komme ich nicht mal auf 40% Prozessorlast. Die AES-NI Einstellung bringt keine Änderung. Ich vermute da ist noch mehr drin. Es kommt mir auch so vor, als das man bei NordVPN nicht viel an der Höhe der Verschlüsselung drehen kann, eine 128er würde mir sicher reichen aber die Option gibt das nicht her, zumindest kommt keine Verbindung zu stande. Sollte ich mal opnSense statt pfSense probieren?
-
Hast Du unter: System --> Advanced --> Miscellaneous --> Power Savings -->
PowerD aktiv gesetzt und Hiadaptive ausgewählt?
-teddy
-
@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:
Sollte ich mal opnSense statt pfSense probieren?
Wenn es dir Spaß macht. Es wird aber nicht helfen.
@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:
Bei meiner aktuellen Konfig komme ich nicht mal auf 40% Prozessorlast.
Diagnostics -> Command Prompt -> top
zeigt dir die Auslastung der Kerne. Du wirst erstaunt sein.
LG
-
Hallo teddy & gladius.
Danke für eure Inputs.
Hiadaptive probierte ich, bringt aber weniger Bandbreite als Adaptive. Über SSH ließ ich auch Top laufen - bei 72Mbit/sec hatte ich ca. 73% Last, zugegeben ein anderer Wert als in der Web-Gui.
Ich werde damit erst einmal leben, ist ja jammern auf hohem Niveau. Ich las auch das pfSense 2.3 eine deutlich effektivere AES-NI Hardware-Unterstützung hatte für OpenVPN. Kommt Zeit kommt Rat.
Es stellt sich aber eine weitere Frage. Ich war bisher immer sehr zufrieden mit meinem PiHole als AddBlocker auf einem RPi. Da die pfSense den DNS von NordVPN nutzt, kann ich PiHole in der Form nicht mehr nutzen.
Kann mir jemand verraten wie ich meinen lokalen DNS und dem effektiven AddBlocker weiter nutzen kann ohne auf VPN zu verzichten? Die pfSense läuft auf 192.168.180.1 mit DHCP von .10 aufwärts.
-
@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:
Ich las auch das pfSense 2.3 eine deutlich effektivere AES-NI Hardware-Unterstützung hatte für OpenVPN.
Diese Behauptung beruht auf welchen Fakten? Ich bin auf die Antworten gespannt.
LG
-
Guten Morgen. Reichen dir Messergebnisse unter sonst gleicher Hardwareumgebung?
MfG
-
@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:
Reichen dir Messergebnisse unter sonst gleicher Hardwareumgebung?
Messen ist sicher gut wenn man alle die OpenVPN Leistung beinflussenden Faktoren unter Kontrolle hat.
Ich habe seinerzeit auch gemessen und die Randbedingungen bei der Durchführung der Tests genannt.LG
