Anfänger will Netzwerk mit Pfsense absichern



  • Hallo

    War die ganze Zeit stiller leser hier Forum
    Ich möchte gerne meine Geräte absichern und VPN zu meinen anderen Rechnern nutzen.

    Mein Haushalt
    Ich habe eine 50 000 Leitung bei der Telekom
    2 Qnap servern
    Im ganzen Haus mit Netzwerkkabel ausgestattet.

    Meine Englisch und Linux Kenntnisse sind nur mittelmäßig aber ich möchte mich gerne in das Thema einlesen.
    Im Forum habe ich immer von einem APU gelesen und dann gleich mal nachgeschaut.
    Würde mir gern so einen zulegen weiß aber nicht genau welchen ich nehmen soll da ich noch ein bischen Leistungsreserven haben will.
    Ich hatte mir jetzt mal den APU2C4 angeschaut oder ist dieser zu Overkill?

    Ich benutze im moment als Telefon und Modem ein AVM 7412 (Ich habe 1 Telefon das direkt am modem angeschlossen ist)
    Da ich einen Voice IP Anschluss habe habe ich öfters gelesen das Modem (fritzbox) vor der Pfsense gesetzt wird.
    Ich meine ich habe im moment keinerlei Probleme mit meinen Geräten läuft soweit alles stabil,bin aber immer für Verbessrungsvorschläge offen.
    Wie müsste ich dann meine 7412 Einrichten da man ja die Geräte nicht mehr als reines modem nutzen kann?
    Oder wäre es sinnvoller eine eigene Telefonanlage und eigenes modem zu nutzen?

    Bedanke mich schonmal im vorraus



  • Du must der Fritzbox als erstes sagen, dass zur PFSense alles durchgelassen wird( wenn du freie Hand an der pfsense haben möchtest!
    Dann suchst du dir einen port an der apu kiste und fängst an die apu mit pfsense zu betanken! Ab da solltest du schauen, was du damit machen möchtest!

    Hast du auch wlan dabei oder gehts um kabel?
    Ich hab fast die gleiche konfig wie Du und je nach gewünschter config kann ich dir sicher helfen!
    Bin aber auch recht frisch dabei! 👍😄

    Also zuerst fritz dann pfsense! Dann kannst du auch erstmal allles weiter laufen lassen und strickst nicht mit der heißen Nadel!

    Die apu 2c4 reicht für den Hausgebrauch und kleine offices! Man muss halt schauen was du so machen möchtest!



  • Hallo

    Erst mal danke für deine Antwort.
    Es geht um Kabel…Im moment habe ich einen Avm 450 Repeater als Bridge im 1 Stockwerk (ist aber nur notlösung)
    Will dann auf beide Stockwerke ein Access Point.
    Welche Apu hast du?
    Welche Config hast du gewählt?
    Gibt es gute (deutsche) Anleitungen bzw Handbücher?



  • Hallo,

    ich habe zwei APU2C4 mit einmal 3 und auf der anderen 5 VPNs.
    Es läuft jeweils pfBloger.

    Ich habe keine Probleme mit der Leistung.

    Eine der beiden APUs läuft bei mir zu Hause vor einer Fritzbox.
    Habe damit keine Probleme bis auf die Telefonie (Anrufe von Außen gehen, wenn sie von intern aufgebaut werden höre ich nichts).
    Bekomme ich aber auch noch gelöst.

    Meiner Meinung nach sind das tolle Boxen.

    Viel Spaß!

    EDIT: ich nutze eine mSATA SSD von Kingston. Die SD Card war mir zu langsam.



  • zum Thema WLAN.
    Ich habe im Haus vorher auch mit Fritz!Repeatern gearbeitet.
    Dann haben mir Kollegen den Ubiquiti AP LR ampfohlen.
    Jetzt habe ich überall Empfang!



  • HI,

    ich hab ne apu 2c4. Ich nutze sie derzeit als FIrewall mit zwei WLAN Karten (also als greenzone hinter der Fritzbox).
    So hab ich ein sicheres Netz von dem ich alles machen kann.

    WAr nicht einfach, aber es läuft seit prima.
    Ich bin allerdings erstaunt gewesen, dass es doch hier und da ein paar Sachen gibt, die ich als Funktion erwartet hätte.

    so gibt es nicht viele Möglichkeiten sich über Events benachrichtigen zu lassen. Es geht zwar irgendwie, aber halt nicht schön.
    Das es soooo schwer würde eine 201.11 n für die PFsense zu bekommen… hätte ich auch nicht gedacht! Deswegen hab ich momentan zwei 54 Mbit karten drin.

    Du hast geschrieben, dass du dann zwei APs haben möchtest .. sind die dann per WLAN verbunden oder gibts nen Kabel dazwischen ?
    Ich muss dazu sagen, ich bin kein Freund von den WLAN Repeatern ! Also von AVM oder so .. Der einzige Repeater der mir ins Haus kommen würde ist ein DLAN zu WLAN repeater. Die find ich am Besten und man muss keine Löcher bohren.
    Ich hab zwei Stockwerke die ich über DLAN verbunden habe.. läuft super zuverlässig!



  • Ja wollte auf jeden stockwerk einen und die wären dann per Kabel verbunden.
    Ja bin auch nicht so überzeugt von den AVM repeatern.
    Aber erst mal als Notlösung tut es gut :-)
    Das wissen so über der Einrichtung hast du hier aus dem Forum oder?

    Werde mir dann erst mal nächste Woche den APU2C4 holen.



  • das hört sich doch gut an!
    ich denke das wirst du gut hin bekommen.

    ich recht viel aus dem Forum, aber (was du ganz sicher brauchen wirst) das Bridging zwischen LAN und WLAN hab ich im Forum nicht verstanden. Ich hab mir das dann auch erklären lassen.
    beim VPN Tunnel hab ich aber hier viele gute Hilfe bekommen !

    Ich finde die APU echt gut und leider gehen die Meinungen hier, über die Leistung, auseinander. Für deine Zwecke wird es sicher ausreichen und sicher auch noch ein bisschen mehr!



  • @hilfi2000:

    zum Thema WLAN.
    Ich habe im Haus vorher auch mit Fritz!Repeatern gearbeitet.
    Dann haben mir Kollegen den Ubiquiti AP LR ampfohlen.
    Jetzt habe ich überall Empfang!

    Hallo

    Den Ubiquiti AP kenne ich wurde mir auch von einem bekanntem empfohlen.
    Aber leider ist bei mir nur Wandmontage möglich.
    Ich hatte schonmal an einem Asus RT-AC87U gedacht,da dieser auch eine gute Reichweite hat.



  • Also zunächst läuft pfSense nicht mit Linux sondern mit FreeBSD :D

    Magst Du den Satz "und VPN zu meinen anderen Rechnern nutzen." etwas genauer beschreiben? Also was soll da wie verbunden werden?

    Repeater & Co. - waren Mist, sind Mist und werden immer Mist bleiben. Fritze & Co. verbretzeln schon großen Teil an Bandbreite nur weil die seit Jahren nicht mehr genutzte Frequenzen sich nicht abschalten lassen. Ich habe mich selbst einige Jahre damit geärgert. Vor einiger Zeit habe ich mir 2x Ubiquiti UAP AC PRO geholt und jetzt läuft es so wie es muss inkl. etwas Luft für die kommende Jahre.

    Auch nach langen hin und her (in erster Linie wegen im Moment fehlenden Geld begründet) habe ich mir APU2C4 geholt. Bis jetzt bin ich wirklich positiv überrascht. Bei meiner T-Kom 100/40 läuft so weit alles super, wie ich es haben will. Ich habe allerdings die Fritze "vor" pfSense stehen und mache auf dem APU kein NAT da ich dafür kein Grund sehe.

    Bei der APU habe ich noch keine abschließende Tests mit VPN durchführen können. Alles andere was ich so haben wollte läuft.



  • @lordnicon79:

    das hört sich doch gut an!
    ich denke das wirst du gut hin bekommen.

    ich recht viel aus dem Forum, aber (was du ganz sicher brauchen wirst) das Bridging zwischen LAN und WLAN hab ich im Forum nicht verstanden. Ich hab mir das dann auch erklären lassen.
    beim VPN Tunnel hab ich aber hier viele gute Hilfe bekommen !

    Ich finde die APU echt gut und leider gehen die Meinungen hier, über die Leistung, auseinander. Für deine Zwecke wird es sicher ausreichen und sicher auch noch ein bisschen mehr!

    Ja mit der Leistung habe ich auch schon unterschiedliche Meinungen gehört,aber denke auch für meine zwecke wird der APU ausreichen
    Wie meinst du da mit "Bridging zwischen LAN und WLAN"



  • @nemo12:

    Aber leider ist bei mir nur Wandmontage möglich.

    Kein Schrank/ Bett Schreibtisch wo man das Teil einfach auf dem Boden werfen kann?



  • @Tobi:

    Also zunächst läuft pfSense nicht mit Linux sondern mit FreeBSD :D

    Magst Du den Satz "und VPN zu meinen anderen Rechnern nutzen." etwas genauer beschreiben? Also was soll da wie verbunden werden?

    Repeater & Co. - waren Mist, sind Mist und werden immer Mist bleiben. Fritze & Co. verbretzeln schon großen Teil an Bandbreite nur weil die seit Jahren nicht mehr genutzte Frequenzen sich nicht abschalten lassen. Ich habe mich selbst einige Jahre damit geärgert. Vor einiger Zeit habe ich mir 2x Ubiquiti UAP AC PRO geholt und jetzt läuft es so wie es muss inkl. etwas Luft für die kommende Jahre.

    Auch nach langen hin und her (in erster Linie wegen im Moment fehlenden Geld begründet) habe ich mir APU2C4 geholt. Bis jetzt bin ich wirklich positiv überrascht. Bei meiner T-Kom 100/40 läuft so weit alles super, wie ich es haben will. Ich habe allerdings die Fritze "vor" pfSense stehen und mache auf dem APU kein NAT da ich dafür kein Grund sehe.

    Bei der APU habe ich noch keine abschließende Tests mit VPN durchführen können. Alles andere was ich so haben wollte läuft.

    Ich will von einem anderem Rechner auf meinem Rechner oder Server zugreifen per VPN
    Will meine Fritzbox auch vor der pfsense setzen wegen telefon



  • @Tobi:

    @nemo12:

    Aber leider ist bei mir nur Wandmontage möglich.

    Kein Schrank/ Bett Schreibtisch wo man das Teil einfach auf dem Boden werfen kann?

    Doch wäre vorhanden kann man den auch an die Wand montieren



  • Ich glaube er hat keine Lust zu malern  8)

    Wand auf, Kabel rein Wand zu, malern :)

    Aber stimmt, man kann den einfach an einer guten Stelle fallen lassen.
    Komme durch das ganze Haus (habe viel Stahl!) und sogar in den Garten.



  • @nemo12:

    Ich will von einem anderem Rechner auf meinem Rechner oder Server zugreifen per VPN
    Will meine Fritzbox auch vor der pfsense setzen wegen telefon

    Das liest sich in etwa so wie bei mir.
    Fritze als erste wegen Telefon. Und VPN um von Unterwegs auf mein Netz zugreifen zu können. Bei Deiner 50 Leitung wirst die APU an der Stelle nicht wohl nicht beeindrucken können :D

    @nemo12:

    Doch wäre vorhanden kann man den auch an die Wand montieren

    Ja damit ist die Abstrahlung aber schlechter als auf dem Boden/ Decke



  • Ok dann muss ich mal schauen wo ich ihn montiere Netzwerkdosen sind genug vorhanden.
    Das mit dem wlan hat noch Zeit will nach und nach kaufen.
    Werde mir jetzt erst mal den APU zulegen.



  • @nemo

    mit bridging meine ich die Verbindung von LAN und WLAN zu einem Anschluss.
    So wie man es von einem normalen Router kennt,bei dem meisten (wie bei der FritzBox) sind alle WLANs und LAN Ports zusammen geschaltet zu einem Netzwerk.
    ICh hab es so gemacht, dass ich einen Port und eine WLAN Karte zusammen geschaltet habe. So habe ich getrennte Netze und kann mich entscheiden über Kabel oder WLAN an das Netz zu gehen .

    VPN läuft im übrigen richtig gut und ist super bequem einzurichten!
    Hab IPSEC und OpenVPN getestet! Setzte (wegen IOS) OpenVPN ein.



  • Warum kein IPsec zu IOS?

    Geht super mit IPsec.


  • Moderator

    @nemo:

    von deinen Anforderungen her würde ich ebenfalls sagen, dass die die APU2 mehr als genügen wird. In jedem Stockwerk einen UniFi AC Pro reingestellt und ans LAN - da hast du schon Luxus - dann solltest du mit WLAN kein Problem haben. Damit hast du dann auch schon als Infrastruktur so viel am Start, dass du locker ohne Probleme recht komplexe Setups abwickeln können wirst (bspw. WLAN Clients in andere VLANs etc. etc.) Die UniFy Ufos sind übrigens problemlos PoE fähig und können an die Decke montiert werden (ergo eigentlich auch Wand). Mit irgendwelchen ASUS WLAN Routern würde ich nicht anfangen. Lieber reine APs nehmen oder zumindest Router mit AP Modus, damit du keine Probleme mit irgendwelchem komischen Routing/Konfigurations-Quark bekommst. Und der Vorteil bei den Ubiquity Teilen ist eben, dass es keine 2 getrennten Router/APs sind wie bei Asus o.ä., sondern dass du die beiden über einen kleinen Controller zusammenschalten kannst und sie dir ein großes Netz aufspannen eben über 2 Etagen. Inkl. Handover etc.

    VPN ist auch kein großes Hexenwerk mehr ;) sollte sich also ebenfalls abwickeln lassen, ganz egal ob OpenVPN oder Mobile IPsec.

    Grüße



  • @JeGr:

    Ja ich denke ich werde mir jetzt erst mal einen APU besorgen und mich dann damit erst mal beschäftigen.
    Mit den AP werde ich erst mal warten,aber wenn dann würde ich auch UniFi AC Pro nehmen.
    Mit den AP s ist halt das Problem das ich sie an die Wand montieren muss.
    Habe aber bedanken das wegen der Abstrahlung das ich dadurch nicht die volle Leistung der AP s nutze.
    In der Denke ist nicht möglich da kein Netzwerkkabel dort ist.
    Meine Decke ist nicht abgehängt sondern Beton…habe nur vorgeplant für LED spots.
    In meinen Wohn und Esszimmer sind in jeder ecke Doppelte Netzwerkdosen.



  • Versuche es doch erst einmal einen AP von UniFi.
    Du wirst staunen was die LR Reihe für "Bums" hat.

    Ich habe ein Haus dass auf Grund der großen Räume und der dazu notwendigen Statik einiges an Stahl enthält.
    Im ganzen Hause habe ich kaum Handy Empfang, obwohl vor der Tür volles LTE anliegt.

    Die FritzBox und Repeater konnte ich durch einen AP LR ersetzen und komme sogar durch die Dreifachverglasung bis in die letzte Ecke im Garten.
    Wichtig ist, dass du den LR nimmst und LR auch aktivierst.

    Wenn die Abdeckung dann nicht reicht, kannst du immer noch einen zweiten dazu nehmen.



  • Der Vollständigkeit halber ist zu erwähnen, dass die LR-Variante außerhalb der Zulassung arbeitet, wenn man LR benutzt. Auch im 5GHz Band können die Profigeräte meist mehr, als der gemeine Anwender tun darf (Kanalwahl/Leistung). Der Anwender/Errichter ist für die Einhaltung der Vorgaben der BNetzAG verantwortlich!

    https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/Allgemeinzuteilungen/allgemeinzuteilungen-node.html

    Natürlich mußt du das Antennenpattern berücksichtigen, evtl ist deshalb der UAP-AC-M eher was für dein Wallmount. Oder einfach einen Winkel nehmen, WAF beachten!

    Gruß
    pfadmin

    PS: Ich habe extra nicht geschrieben, dass du es nicht so tun sollst 8). Was nicht nach draußen dringt, wird den Nachbarn kaum stören…



  • @nemo12:

    Mit den AP s ist halt das Problem das ich sie an die Wand montieren muss.
    Habe aber bedanken das wegen der Abstrahlung das ich dadurch nicht die volle Leistung der AP s nutze.

    Hmm,
    ob Decke oder Wand ist dem AP vollkommen egal. Da brauchst Du dir um die 'Abstrahlung' (was bitteschön soll das eigentlich sein :o ) keine Gedanken machen. Oder muss ich mich zukünftig darum kümmern, wie bzw. in welchem Winkel ich mein Smartphone zu Hause halten muss, damit ich WLAN-Empfang habe?  ;D
    Ich würde mich viel mehr darum sorgen die Leistung der AP zu minimieren! Thema Elektrosmog. Außerdem muss man ja nicht die gesamte umliegende Nachbarschaft mit seinem WLAN 'beglücken'.  ;)
    Also so wenig Sendeleistung wie nötig ist um den gewünschten Bereich mit WLAN zu versorgen. Im Zweifelsfall würde ich lieber einen zusätzlichen (evtl. gerichteten) AP für den Garten wählen als dass ich einen vorhandenen AP im Kinderzimmer mit voller Leistung senden lasse, nur damit ich beim rasenmähen Streamen kann.

    Ach ja, die Unifi AP sind eine feine Sache. Vor allem für den Preis! Nutzen wir in der Firma. Bei mehreren AP sollte man aber die Unifi-Controller-Software nutzen. Erleichtert die zentrale Verwaltung der AP ungemein (z.B. Firmware-Updates).
    Der Betrieb der LR (Long Range) ist m.W. nach in Deutschland eigentlich nicht erlaubt, da die Ausgangsleistung über dem erlaubten Wert liegt.
    Also Vorsicht, so etwas könnte teuer werden, wenn man damit z.B. irgendwelche Firmennetze in der Nachbarschaft stört!
    Im Zweifel würde ich wenn technisch möglich lieber einen zusätzlichen AP nutzen. Gerade wenn ohnehin überall sowieso LAN-Kabel liegen.

    Gruß
    Dirk



  • Hallo

    Erst mal vielen dank für die vielen tips
    Also wenn dann würde ich erst mal nur einen AP kaufen zum testen,ob ich einen zweiten benötige ist fraglich.
    Wlan benötige ich hauptsächlich im Wohnzimmer,der zweite Stock sind ja nur schlaf und Kinderzimmer.
    Also der Unterschied zwischen LR und LITE Version ist dann nur die Signal stärke?
    Ich habe mir da Gerät nochmal genauer angeschaut,weil ich ihn ja an die Wand montieren möchte neben der Netzwerkdose.
    Steckdose ist auch in der nähe aber wäre es auch möglich das Netzteil in mein Rack im Keller zu setzen und dann das signal(Strom) über mein Patchpanel–>Kabel-->Netzwerkdose-->AP zu leiten?



  • Hi,

    umgehe das doppelte "natting". Du solltest in deinem LAN nur einen Adressen-"Übersetzer/Verbieger" haben (nämlich das letzte Glied = Fritzbix).
    Insbesondere mit SIP kann das zu Problemen führen.

    Wie das geht?
    Einfach das NAT in pfsense ausschalten. Eine statische Route in der Fritzbox einstellen.
    Ohne eine statische Route, würden die Pakete zurück vom Internet in der Fritzbox hängen bleiben, da die Fritzbox zwar die Adresse von deiner pfSense kennt, aber alles
    andere dahinter nicht.

    e.g.
    pfsense LAN Bereich: 10.0.0.1 bis 10.0.0.254
    pfsense WAN IP: 192.168.178.200

    Fritzbox IP: 192.168.178.1

    Einstellungen für statisches Routing in der Fritzbox: 10.0.0.0/24 auf GW 192.168.178.200


  • Moderator

    @logo78: Das "Problem" mit doppeltem NATting wird immer wieder aus dem Hut gezogen, ist aber relativ egal. Und einige Nutzer machen das absichtlich und willentlich ohne Beeinträchtigung. Richtig, mit VoIP wird es unschön, allerdings ist bei vorgestellter FritzBox vom Provider eh meist der VoIP Part dort aufgehoben und nicht zusätzlich noch hinter der pfSense. Davon abgesehen möchte ich persönlich bspw. nicht, dass mein Provider mein Netz sieht. Das hat nicht einmal was mit Paranoia zu tun, es geht ihn einfach nichts an. Wird der Traffic aber lediglich geroutet, ist an der Fritzbox und deren NAT problemlos ersichtlich, wie viele und ggf. welche Geräte sich in dem Netz tummeln und das hat meinen ISP nicht zu interessieren. Ist der Router vom Provider nicht für mich vollständig konfigurierbar ohne dass dieser vom Provider selbst bestückt wird (remote update o.ä.), dann muss ich ihn als "WAN" bzw. öffentlich ansehen und entsprechend behandeln und dann sollte er so wenig von mir sehen wie nötig. :)

    Ansonsten sind deine Ausführungen natürlich nicht falsch, das möchte ich damit nicht ausdrücken.

    Grüße



  • Mein Patchpanel und die Netzwerkdosen sind nach dem POE standart  IEEE 802.3at
    Denn AP kann ich darüber anschließen und da Netzteil ins Rack tun oder gibts da probleme?
    Ich mein in bezug auf Strom über Netzwerkkabel.



  • @nemo12,
    habe mehrere AP's, Camera's, eine Gigaset N510 und sogar einen Raspberry (per POE splitter) an einem POE-Switch. Keine Probleme.

    @JeGr,
    Letztes Jahr bin ich genau über dieses Nat-Problem mit meinen SIP-Telefonen gestolpert.
    An meinem beschissenen Fritzbox-Kastrat aka WAN-Modem (Unitymedia) hängt eben nur die PFsense. Mit Doppel-Nat geht da nicht viel. I am just sayin'  ;)

    Ich finde es schon pervers, ein Doppel-Nat als IP-obfuscator zu missbrauchen  8)
    99% der Kundschaft der ISPs haben doch nur einen Router Zuhause und somit auch nur ein NAT?!
    Was soll denn der Provider mit dieser Info anfangen - mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre.
    Warum zweimal Adressen übersetzen lassen, wenn es nur einmal erledigt werden muss :)



  • @logo78

    Ok danke  :)


  • Moderator

    An meinem beschissenen Fritzbox-Kastrat aka WAN-Modem (Unitymedia) hängt eben nur die PFsense. Mit Doppel-Nat geht da nicht viel. I am just sayin'  ;)

    Jup, same here. Aber ich lasse die Fritte von UM dann auch brav ihren VoIP Job machen. Warum sollte ich den hinter die pfSense verlagern, wenn UM das eh mit der Kiste machen will? Zudem macht UM Zicken mit Support wenn es nicht über deren Fritte läuft.

    Ich finde es schon pervers, ein Doppel-Nat als IP-obfuscator zu missbrauchen  8)

    Hat überhaupt nichts mit pervers zu tun, sondern mit Notwendigkeiten. Ich werde die FB vornedran nicht los, ich kann sie zwar konfigurieren, aber UM kann mir jederzeit reinspucken. Deshalb muss ich die als externes Gerät außerhalb meiner Zuständigkeit betrachten. Und da UM es nichts angeht, welches oder welche Netze ich intern nutze und wie ich diese Route, ist das eine Notwendigkeit. Und mehrere NATs sind überhaupt nichts übles. Weißt du BTW wie oft dein Zugriff innerhalb des UM Netzes genattet wird? Die nutzen dort sehr SEHR viel private Adressen. Just sayin' :D

    99% der Kundschaft der ISPs haben doch nur einen Router Zuhause und somit auch nur ein NAT?!

    Und weiter? Ob ich nun ein oder zwei NAT Steps habe ist doch völlig unerheblich. Es ist nicht wie bei einem IP Tunnel, dass die Pakete immer wieder eingepackt und damit die Payload kleiner wird. Sie werden nur umadressiert. Das passiert auf Empfängerseite teils auch mehrfach - interessiert aber keinen (Proxys, Loadbalancer etc. etc.)

    Was soll denn der Provider mit dieser Info anfangen - mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre.

    Es geht nicht drum, was er mit dieser Info anfangen will - es geht ihn schlicht nichts an. Und mehr als ein ISP haben schon per Durchgriff auf ihren Router andere Firmware, andere Konfigs etc. auf das Gerät gespusht und damit bewiesen, dass sie auch im "LAN" ihre Finger haben können. Das geht schlicht nicht. Die haben da nichts zu suchen. Wenn mir ein Hotliner sagt "ach das ist ihr Rechner mit der x.y.a.b" dann weiß ich, dass die da Schmu machen. Und das kam schon vor. Ich habe mir mein Setup so gebaut, dass UM jederzeit eine neue Fritte bringen und anschließen kann. Alles was ich mache ist dann deren Konfiguration minimal zu ergänzen. Der exposed Host kommt wieder rein, ein zwei kleine Einstellungen zu IP, DHCP und Co. und WLAN aus - fertig. Keine Routen, keine sonstigen Einstellungen. Und selbst ohne die Einstellungen hab ich nach Anklemmen meiner Sense sofort wieder Internet, nur kommt der Rücktraffic noch nicht 100% an (IP6 Tunnel, Forwards/VPNs etc.) - die brauchen dann das kleine Feintuning. Alles andere ist Voice Kram für die Telefone. Und damit kann ich auch brav beim Support sagen "nix verändert" wenn die mal was testen wollen.

    mal davon abgesehen, das dies rechtlich ziemlich bedenklich wäre

    Ich sage nichts und mache es wie Skipper: Stur lächeln und winken :D

    Warum zweimal Adressen übersetzen lassen, wenn es nur einmal erledigt werden muss :)

    Warum nicht? Es ist wie gesagt unerheblich, fügt keinen Overhead ins IP Paket ein etc. etc. - alles was es kostet ist ein Minimum an Rechenzeit auf der Kiste, die ich kontrolliere. Die sollte es  - wenn alles optimal wäre - eh machen, ergo unerheblich. Das einzige "Problem" was sich daraus ergeben kann ist bei den Profizockern, dass mehrere Spieler hinter so einem Konstrukt - evtl! - Verbindungsprobleme haben können. Haben wir aber hier mit Kids und uns selbst auch und ich hab kaum ein Spiel, wo das wirklich passiert. Inzwischen sind die alle robust genug dass es egal ist. Lediglich die Konsolen meckern evtl noch wegen NAT Typ 3 rum, die haben mit static Port NAT aber dann auch sofort 2 und sind zufrieden.



  • Hey,
    mag Diskussionen mit Leuten, die sich auskennen.  :)

    Zu der SIP Problematik:
    Wenn man ein einziges, unschuldiges Telefon in seiner Wohnung betreiben will - gebe ich dir recht.
    Wenn du allerdings mehrere IP-Telefone im Haus/Firma verteilst, dann wirst du nicht herumkommen
    diese über das gleiche LAN zu switchen. Ist eh IP und bist auch viel flexibler, weil du jedes
    Telefon überall einstecken kannst. Das ist heute Standard - behaupte ich mal.
    Dieses LAN führst du dann irgendwann auf die Pfsense.
    Du kannst es nicht einfach auf dein Provider-Modem (Fritzbox) klemmen - es sei denn, du patchst es um im Serverschrank (wenn es geht).
    Und genau dort wird das zweifache NAT zum Problem.
    Im forum@Ip-Phone oder hier gibt es mehrere Threads dazu.
    Ich habe selbst mehrere Tage gebraucht, bis ich das herausgefunden habe.
    Wollte nur darauf aufmerksam machen.

    Deine Argumente sind stichhaltig.
    Die friß-oder-stirb-Provider-Modems sind wirklich eine Unsitte geworden.
    Das inkompetente Haufen hat letztes Jahr bei mir während eines Vertragsupdates
    einfach mein altes Modems auf Werkseinstellungen rückgestellt - incl meinen Einstellungen und vor dem vereinbarten Umstellungstermin.
    Für 400/20Mbit ist man aber gerne bereit, diesen Wehrmutstropfen anzunehmen.

    Zudem können die meisten der noch beschisseneren Hybrid-Speedports der Telekom, nicht mal statisches Routing.



  • ich habe nur 16MBit  :'(



  • Installiere dein WLAN Equipment ordentlich, dann hast du mehr davon! Zu behaupten, dass es völlig egal ist, wie du den AP anbaust, ohne Kenntnis der Örtlichkeiten ist schon mutig!

    Der UPA-AC-Lite ist ein 2x2 Gerät mit 20dBm bei 2,4 und 5GHz und 3dBi Antennen
    Der UPA-AC-LR ist ein 3x3 mit 24dBm bei 2,4GHz und 3dBi Antenne bzw. 2x2 mit 22dBm und 6dBi bei 5GHz
    Der UAP-AC ist ein 3x3 mit 23dBm bei 2,4GHz und 5dBi Antenne bzw. 3x3 mit 23dBm und 5dBi bei 5GHz
    Der UAP-AC-Pro ist ein 3x3 mit 22dBm bei 2,4GHz und 3dBi antenne bzw. 3x3 mit 22dBm und 6dBi bei 5GHz

    Die Geräte unterscheiden sich für dich bei Einhaltung der Norm also in den möglichen Streams und den Antennengewinnen sowie in der Leistung im 5GHz Band (bis 1000mW statt 100mW). Die Antennen wirken sich im Winkel der abgestrahlten Leistung aus, ebenso die Empfangsrichtung. Hier kannst du also den Nachbarn einfangen oder eher nicht. 6dBi mehr oder weniger bedeuten bei dir vielleicht Empfang oder auch nicht mehr. Plane vorher! Zum E-Smog: benutzt du ein Handy am Ohr? Da sind bis zu 2Watt erlaubt…

    Zur Nat Geschicht. Ich habe hier in meinem Netz sogar dreimal NAT hintereinander. Ist so gewachsen und funktioniert tadellos (ohne SIP, mit Skype, ohne IPTV). Schön ist es trotzdem nicht und ich hoffe es eitert bald raus!

    Grüße
    pfadmin