PfSense hinter Modem vs. Gateway
-
Mit dem "wesentlich mehr Einstellmöglichkeiten" bezog ich mich vor allem auf die Portweiterleitungen.
Da gab es bei den Routern von KD in der Vergangenheit immer wieder Schwierigkeiten.
Ansonsten mache ich das wie Du. Meine pfsense ist der Hauptakteur im NW.Danke für den Hinweis mit dem DynDNS Dienst.
Gruß
Peter -
Vielen Dank für die vielen Antworten, das hilft mir schon weiter (obwohl ich das trotzdem für nicht ganz optimal halte).
Und bei Verfügbarkeit stellst du um auf reinen Modembetrieb.
Den Gedanken hatte ich auch. Nur wie lange das dauert…
Iirc hat JeGr vor einiger Zeit mal erwähnt das pfSense bei Detektion einer privaten IP auf dem WAN Interface auf Plan B umschaltet und mit einem anderen Algorithmus die externe IP detektiert
Heißt es also, dass DynDNS nun doch problemlos in der pfSense laufen kann?
Wie gesagt, mir ist halt wichtig OpenVPN ein- als auch ausgehend problemlos zu betreiben und dass sonst keine spürbaren Nachteile entstehen. So wie ich das nun verstanden habe, soll es laufen. Ich hoffe es und werde dann wohl in den nächsten Tagen das Upgrade wagen.
Btw. werden eigentlich auch die IPSec Verbindungen von der FB zur pfSense durchgeschleift? Ich frage, weil die FB ja einen eigenen IPSec Zugang bietet und evtl. dadurch die benötigten Ports für sich selbst blockiert?
-
Heißt es also, dass DynDNS nun doch problemlos in der pfSense laufen kann?
Zumindest bei mir klappt das stressfrei. Ich habe 3 Tunnel aktiv sowohl kommend als auch abgehend …
IPSec hatte ich nur kurz mal am laufen, das funktionierte auch hinter der Fritte.-teddy
-
Ok, danke!
-
Heißt es also, dass DynDNS nun doch problemlos in der pfSense laufen kann?
Ja tut es. Prüfung läuft dann via Aufruf von checkip.dyndns.org.
-
Ich hatte auch erst die 6490 (freie Version) im Doppel-NAT Betrieb vor der pfSense. Im Grunde hat soweit auch alles einigermaßen funktioniert (DynDns, OpenVPN, IPSEC, Port-Forwarding). Allerdings hatte ich ab und zu Probleme mit NAT-UPNP bei diversen Spielen.
Ich habe dann über KD den Bridge Mode aktiviert, was die Fritte erstmal herzlich wenig interessiert hat, weil sie selber kein Bridge Mode liefert. Man muss über den FBEditor das versteckte Menü(Bridge Mode) in der Fritzbox aktivieren.Seitdem ich nun direkt mit dem pfSense die WAN IP beziehe habe ich 2 Vorteile bemerkt. A) NAT UPNP läuft nun anstandslos! B) die IPSEC Verbindungen (habe 4 Stück) erreichen einen etwas höheren Durchsatz. Das kommt ggf. durch die minimal niedrigere Latenz und den wegfallenden Hop.
Ein etwas zu vernachlässigen Vorteil gibt es zusätzlich. Die Fritzbox bezieht sich zusätzlich zum pfSense eine eigene IPV4 & IPV6 Adresse. Das heißt aktuell, ich habe 2 WAN IPs. Auf der Fritte und auf der pfSense ;) Sicher nicht so gewollt von KD und ich habe aktuell keinen Anwendungsfall dafür, aber sehr interessant. -
Ja, wenn es so etwas bei Unitymedia geben würde, wäre ich auch glücklich. Aber leider ist UM da nicht so flexibel und kundenfreundlich, wie KD.
Du sprichst gerade einen interessanten Punkt an: Latenzen. Hast du noch im Kopf, wie es vor der Umstellung war? Also wie die Latenz nun im Vergleich zu FritzBox im Routermodus besser geworden ist?
-
Du sprichst gerade einen interessanten Punkt an: Latenzen. Hast du noch im Kopf, wie es vor der Umstellung war? Also wie die Latenz nun im Vergleich zu FritzBox im Routermodus besser geworden ist?
Ich habe gerade nochmal geschaut aber ich finde leider die Screenshots nicht mehr, die ich während des Tests gemacht hatte. Ich hatte eine IPSEC Verbindung in die Firma verglichen. Das sind nun 2-3ms weniger. Hatte vorher rund 18-20Mbit (von max. 25Mbit) im Upload. Nun ist es recht konstant bei 23,5-24,3Mbit. Bei der IPSEC Verbindung wird jetzt halt auch kein NAT Traversal mehr benutzt.
-
So, habe den Schritt gewagt und bei mir werkelt nun eine FB6490 vor der pfSense. DynDNS klappt wunderbar, ohne noch etwas extra einstellen zu müssen, wie hier bereits mehrfach erwähnt wurde. Exposed Host und die Portweiterleitungen an die nachgeschaltete Geräte gehen auch problemlos.
Habe mir mal die Pingzeiten zu google.de und heise.de vor- und nachher notiert. So sieht es aus (jeweils min/avg/max):
google.de
13.149/15.243/18.432 vs. 16.526/19.501/23.944heise.de
13.596/15.877/29.519 vs. 16.053/20.057/31.268 -
Hallo,
würde gerne nochmal kurz das Thema aufgreifen und eine Frage zur FB 6490 bzw. dem Online-Zähler stellen.
Ich habe jetzt mal über einen längeren Zeitraum (ca. 40 Tage) den täglichen Verbrauch verglichen und die FritzBox liefert konstant einen um ca. 5-9% größeren Wert als das pfSense-Package "Traffic Totals".
Weiß jemand woran das liegen könnte? An der FB ist nur die pfSense angeschlossen, sonst keine weiteren Geräte. Auch läuft dort keine Telefonie drüber.
Könnte evtl. nur an DOCSIS Overhead denken, aber so viel? Oder eben jemand von den beiden zählt nicht richtig.Mich verunsichert halt die Sache etwas, wo nun genauere Werte ermittelt werden. Ich bin mir fast sicher, dass die pfSense die "Zählerei" besser beherrscht, als die FB. Ich würde aber trotzdem gerne wissen, was die Ursache dafür ist. Hat das Phänomen schon mal jemand anders beobachten und evtl. auflösen können?
-
Hast Du die Werte auch umgerechnet? Die FritzBox zählt in MB und Traffic Totals in MiB.
-
Ok, einen Fehler gefunden ::)
Ich habe nicht aufgepasst, habe nur die MB von der FritzBox /1024 in GB umgerechnet, weil ich mir gedacht habe, dass die FB schon in "1024er"-Schritten rechnen sollte.Nun gut… jetzt ist der Unterschied zwar kleiner geworden , aber es gibt den trotzdem noch. Über denselben Zeitraum zeigt die FB zwischen 0,11 und 3,8% mehr an (wobei das eher Ausreißer sind, die meisten Werte liegen dazwischen).
Nehmen wir bspw. den gestrigen Tag: FB - 83000MB => wären also 79154,97MiB => 77,30GiB. Traffic Totals zeigt aber 75,30GiB an. -
Keiner eine Idee wodurch dieser Unterschied zustande kommen kann und wer von den beiden genauere Werte liefert?
Übrigens: das meiste wird durch den Upload verursacht, obwohl dieser selbstverständlich um ein Vielfaches kleiner ist. Unterschiede im DL sind sehr minimal.
-
Leider nicht. Ich kann nur beisteuern, dass die Zahlen die die pfSense liefert(e) bislang immer recht zuverlässig waren. Als es noch BandwithD gab, hatten wir die Zahlen meist als Verifikation zu den Zahlen des RZ Providers genutzt, was auch sehr gut hinkam. Mit Netflows ebenfalls recht solide. Könnte da bei der Fritzbox noch was dranhängen was Traffic erzeugt?
-
Ausser dass die pfSense unter Umständen beim Reboot bis zu knapp 5 Minuten verliert, wüsste ich jetzt auch nichts. Das liegt leider daran, dass hier nur alle 5 Minuten der Traffic weggeschrieben wird und nicht der vnStat Dienst benutzt wird. Copypasta vom ehemaligen vnStat Paket.
Ansonsten könnte es vielleicht am Runden liegen. Meine FB zeigt für Dezember umgerechnet 1.258 TiB RX an, die pfSense 1.26 TiB. Wenn mans rundet, passt es wieder. Upload habe ich allerdings auch wie Du mehr bei der FB, 108.04 GiB (pfSense) zu 110.09 GiB (FB).
Auf der FB läuft halt noch das VoIP von Unitymedia und zusätzliche Nummern von mir. Aber wenn dann sollte davon der Traffic ja eher symmetrisch mehr werden, Telefonieren geht immer in beide Richtungen.
-
@JeGr:
Ne, definitiv nicht. Es ist nur die pfSense über LAN angeschlossen und WLAN ist komplett ausgeschaltet. Telefonie wird nicht genutzt (wobei das wohl gar nicht in die Statistik der FB einfließen sollte). Ansonsten wüsste ich nicht, was sonst noch Traffic verursachen könnte.Ich habe zunächst gedacht, es könnte daran liegen, der Zähler der FB würde einfach spinnen und falsch "rechnen". Aber dann sollte die Differenz doch proportional zu den täglichen Werten variieren, was aber nicht der Fall ist und ich auch kein System (bspw. mehr UL => größerer Unterschied) erkennen kann.
@athurdent:
Meine pfSense läuft seit 28 Tagen durch und die FB ähnlich lange ohne Unterbrechungen.
Ich glaube auch nicht an einen Rundungsfehler, da ich die täglichen Daten auswerte und es bereits dort teilweise erhebliche Unterschiede gibt. Auch unterscheiden sich meine monatlichen Werte bereits deutlich, nicht so wie dein RX…PS. (Ist mir gerade beim schreiben dieser Antwort in den Sinn gekommen.)
Will hier jetzt keine Verschwörungstheorien anzetteln, aber kann das vllt. durch (Aus-)Benutzung des TR-069 zustandekommen? Es unterscheidet sich ja eh meist der TX-Wert, der RX-Wert nur sehr geringfügig. Glaube zwar nicht, dass sowas in die Statistik der FB mit einfließen würde, aber wer weiß…
