Kaufempfehlung Firewall/Router- deutsche Literatur
-
Hallo @alle,
ich bin neu bei pfsense. Ich betreue ein Schule für Erwachsene mit 60 Clients und 2 Servern in 2 Subnetzen, die über eine Fritzbox mit VDSL ins Internet gehen. Die Subnetze existieren physisch (kein VLAN) und sind über einen 2. Router gekoppelt. Telefon läuft getrennt über eine ISDN- Telefonanlage. Als Firewall wird bis jetzt nur die "stateful" Funktion der Fritzbox genutzt. Das ist mir zuwenig.
Ich habe 2 pfsense-Hardware-Modelle gefunden: APU.14D (180,-) und SG2220 von Voleatech (380,-) und habe folgende Fragen:
-
sind die auch als VDSL-Router zu benutzen, damit ich auf die Fritzbox verzichten kann? PPPoE kann pfsense ja. Die Fritzbox läßt das Ausschalten der SPI nicht zu und ich sehe nicht, wie eine gut konfigurierte pfsense-Hardwarefirewall und eine Fritzbox konstruktiv zusammen funktionieren?
-
hat jemand Erfahrungen mit den Modellen (s.o.) oder einem anderen Modell in dieser Preisklasse und kann was dazu sagen?
-
gibts deutsche Literatur zu pfsense? Bücher ja anscheinend nicht. Hab nur http://www.nwlab.net und https://www.lanis-system.de gefunden.
Danke für's Lesen.
-
-
Moin,
Du brauchst ein passendes VDSL Modem z.B. ZyXEL VMG1312-B30A oder ein DrayTek Vigor130.
Das Zyxel habe ich unauffällig auf der Arbeit am Laufen.pfSense tut es auch stressfrei hinter einer Fritte, Du hast 2 Möglichkeiten:
1.) Du reduzierst die Konfiguration der Fritte auf ein Minimum (Zugangsdaten) und hängst pfSense dahinter.
Nachteil: Wenn Du irgendwelche Dienste von außen erreichbar machen musst Du Portweiterleitungen auf beiden Geräten einrichten, Fritte auf pfSense und pfSense auf das eigentliche Ziel. Vorteil: Bei Fehlern hast Du nicht gleich alles offen, aber diese Fehler muss man selber machen, per default ist erstmal alles safe!2.) Du reduzierst die Konfiguration der Fritte auf ein Minimum (Zugangsdaten) und hängst pfSense dahinter. Dann konfigurierst Du die Fritte als exposed Host.
Alles was nicht für die Fritte bestimmt ist landet automatisch auf dem WAN Interface der pfSense. Komplette Konfiguration erfolgt auf der Seite von pfSense.In beiden Fällen hast Du doppeltes NAT aber darin sehe ich kein Problem. Ich habe das zweite Beispiel hinter einer KD Fritte am Laufe und kann mich absolut nicht beklagen.
Hardware: Die APU 1D4 kann man imho im privatem Umfeld noch einsetzen, aber Du schreibst 60 Clients, 2 Server da würde ich nicht unter der APU 2D4 einsteigen, die hat ein bisschen mehr Dampf und bessere NICs (Intel). Installation auf einer kleinen mSata SSD und die Kiste flutscht. Kommt halt darauf an was Du so planst.
Auf der Arbeit habe ich eine Lanner im Einsatz, siehe Signatur, kann ich nur empfehlen. Enthält genau wie die APU keine bewegten Teile.-teddy
-
Moin @teddy,
danke für die Tipps. Dies hier gefällt mir am besten:
2.) Du reduzierst die Konfiguration der Fritte auf ein Minimum (Zugangsdaten) und hängst pfSense dahinter. Dann konfigurierst Du die Fritte als exposed Host.
Alles was nicht für die Fritte bestimmt ist landet automatisch auf dem WAN Interface der pfSense. Komplette Konfiguration erfolgt auf der Seite von pfSense.Ich muß mir erst nochmal den Netzwerkaufbau vor Ort angucken - wieviele Interfaces ich brauche - und editiere diesen Post dann.
Erstmal.