Mein erstes pfsense System Fragen



  • Hallo!

    Schon länger beschäftige ich mich mit pfsense. Habe viel gelesen und auch viele YT Videos geschaut. Nun möchte ich mir mein eigenes pfsense System aufsetzen. Mir stellen sich nur ein paar Fragen, die ihr mir hoffentlich beantworten könnt.

    Folgende Geräte sind in meinem Netzwerk:

    • zwei Fileserver
    • ein Server mit verschiedenen VMs
    • drei Mediacenter
    • Laptop
    • Smartphone
    • Tablet

    Ich möchte pfsense auf folgendem System installieren:

    • ASRock Q1900 (Intel Celeron 4x 2GHz onboard CPU)
    • 4 oder 8 GB RAM (der Rechner hat 2x4GB Riegel verbaut)
    • 32 GB SSD

    Ich möchte natürlich auch WLAN haben, was ich über einen externen Router machen möchte, den ich als AccessPoint konfiguriere. Außerdem möchte ich die LAN Ports per Switch erweitern.

    Nun zu meinen Fragen:

    • Das Mainboard mit der CPU sollte für pfsense ok sein. Ich denke eher oversized, aber das habe ich hier und müsste nicht erst eins kaufen.
    • Würdet ihr mir eher 4 oder 8GB RAM empfehlen?
    • Ist die Installation auf eine SSD ok, oder sollte ich lieber von USB Stick booten? Schreibt pfsense die SSD kaputt? Oder doch lieber eine HDD?
    • Ich habe immer wieder gelesen, dass INTEL NICs "bevorzugt" wären. Ist das ein Muss? Das Board hat einen NIC onboard und ich hätte noch einen TP Link PCIe NIC hier. Macht Intel wirklich mehr sinn? Läuft das System damit besser, stabiler oder schneller?
    • Ich möchte auch WLAN per AccessPoint nutzen. Ich hatte folgende Idee. Ich nutze im pfsense System zwei NICs (welche auch immer). Einen für WAN und einen für LAN. An den LAN Port kommt mein Switch. An den Switch würde ich dann den AccessPoint anschließen. Ich habe auch schon öfter gelesen, dass manche den WLAN AccessPoint direkt an das pfsense System über eine extra NIC anschließen. Macht das mehr Sinn? Welche Vorteile hat das?

    Soweit erst einmal meine Fragen. :-) Ich hoffe ihr könnt mir ein paar davon beantworten. :-)

    Vielen Dank und viele Grüße,
    KHR



  • Nun zu meinen Fragen:

    • Das Mainboard mit der CPU sollte für pfsense ok sein. Ich denke eher oversized, aber das habe ich hier und müsste nicht erst eins kaufen.

    Eher oversized für deine zwecks aber wenn dus da hast wieso nicht?

    • Würdet ihr mir eher 4 oder 8GB RAM empfehlen?

    4GB sind völlig ausreichend ausser du willst n haufen packages installieren (Squid,Snort,AV,etc) für den "Normalgebrauch" sind 4GB aber mehr als ausreichend.

    • Ist die Installation auf eine SSD ok, oder sollte ich lieber von USB Stick booten? Schreibt pfsense die SSD kaputt? Oder doch lieber eine HDD?

    SSD oder nen USB Stick mit SSD technologie, weiß nicht mehr genau wie die heissen. Mehr Speicher = mehr Cache größe für proxy. Habs selbst ne 16gb SSD und die reicht dicke.

    • Ich habe immer wieder gelesen, dass INTEL NICs "bevorzugt" wären. Ist das ein Muss? Das Board hat einen NIC onboard und ich hätte noch einen TP Link PCIe NIC hier. Macht Intel wirklich mehr sinn? Läuft das System damit besser, stabiler oder schneller?

    Hab das gleiche gelesen, hab selber ne APU1d4 (https://www.apu-board.de/produkte/apu1d4.html) und die benutzen Realtek NICs, also bezweifel ich, dass es da Probleme gibt mit anderen NICs als denen von Intel. Hab insgesamt 3 pfSense im Einsatz und keine davon hat ne Intel NIC.

    • Ich möchte auch WLAN per AccessPoint nutzen. Ich hatte folgende Idee. Ich nutze im pfsense System zwei NICs (welche auch immer). Einen für WAN und einen für LAN. An den LAN Port kommt mein Switch. An den Switch würde ich dann den AccessPoint anschließen. Ich habe auch schon öfter gelesen, dass manche den WLAN AccessPoint direkt an das pfsense System über eine extra NIC anschließen. Macht das mehr Sinn? Welche Vorteile hat das?

    Wozu? Hat keine vorteile mMn. Einfach den AP an den Switch. Nimm nen Unify AP wenn du noch keinen hast :)



  • @KHR:

    … den WLAN AccessPoint direkt an das pfsense System über eine extra NIC anschließen. Macht das mehr Sinn?

    Ob das nun ein extra NIC ist oder ein VLAN ist egal, der Sinn dahinter ist, die LAN und WLAN Hosts zu trennen und mit unterschiedlichen Firewall-Regeln belegen zu können.
    Geräte in einem Gast-WLAN würde ich nicht in mein LAN lassen, weder in der Firma noch daheim.
    Wenn der AP auf "dem einen" LAN-Switch steckt (angenommen, der sei nicht gemanaged), dann hat man ein Netzwerk und keine Trennung.

    @ceofreak:

    Hat keine vorteile mMn. Einfach den AP an den Switch. Nimm nen Unify AP wenn du noch keinen hast

    Vorteile siehe oben, aber in einer Freakshow kann man natürlich ungewöhnliche Sachen machen.  :P

    Falls Du wirklich gerade keinen AccessPoint hast, dann besorge Dir auf eBay oder so einen gebrauchten RuckusWireless, zB ZoneFlex 7372 oder ZoneFlex 7982. Dafür lasse ich die allermeisten anderen APs einfach stehen, sogar wenn sie kostenlos wären.



  • Hallo und erst mal vielen Dank für eure Antworten.

    Ich überdenke gerade mein "komplettes" Netzwerk bezugnehmend auf eurer Aussage zu Gast WLANs.

    Ich habe einen Telekom Anschluss. Zu diesem habe ich einen Speedport 724v gemietet. Den braucht man ja (leider), um telefonieren zu können. :-)

    In meinem Netzwerk gibt es noch weitere Nodes. Zum einen sind da noch zwei SmartTVs und eben ein "Gast WLAN".

    Bisher war meine Konfiguration immer so. Der Speedport hat WLAN eingeschaltet. Beide SmartTVs sind per WLAN am Speedport verbunden. Wenn ich Besuch habe, der Internet möchte, gebe ich das Passwort des Speedport weiter. Ebenso hängt am Speedport ein weiterer Router, der mein eigentliches Netzwerk ist. Also die Fileserver, MediaCenter, Laptops, VM Server, Smartphone, Tablet. Auch dieser hat WLAN. So habe ich bisher immer die SmartTVs und Gäste von meinem eigentlichen Netzwerk getrennt.

    Meine Überlegungen gehen nun in folgende Richtung.

    Der Speedport 724v soll nur als Modem und Telefonzentrale dienen. Direkt an den Speedport kommt pfSense über PPPoE. Ich denke PPPoE ist hier richtig, wenn der Speedport als Modem fungiert, oder? Im pfSense System installiere ich dann doch eine Intel PRO 1000 Quad-Karte.

    NIC 1 ist WAN.

    NIC 2 ist mein eigentliches LAN. An NIC2 schließe ich meinen gemanangten Layer 2 Switch an. An diesen kommen dann Fileserver, VM Server usw. und auch der WLAN Access Point für mein Netzwerk. Der Grund, warum ich den WLAN Access Point an den Switch anschließen möchte ist, dass ich der Einzige bin, der dieses Netzwerk nutzt. Somit will ich auch auf dieses Netzwerk per WLAN.

    NIC 3 ist mein Gast WLAN. Dieses Passwort bekommen eventuelle Besucher. Evtl. hänge ich dort auch die SmartTVs mit rein, oder aber in das WLAN von NIC 2.

    Die SmartTVs habe ich in einem gesonderten Netzwerk, weil sich diese nicht mehr supportet werden, es somit dafür keine Sicherheitsupdates mehr gibt. Und um mögliche Einfallstore erst garnicht zu haben, eben ein eigenes Netzwerk dafür. Oder ist der Gedanke absurd?

    Somit würde pfSense meine gesamtes Netzwerk managen. Finde ich besser, als den Speedport. :-)

    Denke ich richtig?

    Danke nochmal.

    KHR



  • @KHR:

    […]
    Ich habe einen Telekom Anschluss. Zu diesem habe ich einen Speedport 724v gemietet. Den braucht man ja (leider), um telefonieren zu können. :-)
    […]
    Der Speedport 724v soll nur als Modem und Telefonzentrale dienen.
    […]

    Kannst Du über den Speedport telefonieren, wenn der als Modem arbeitet??

    Für einen All-IP-Anschluß kann ein VoIP-Gerät auch im LAN angeschlossen werden. Das kann eine (uralte) FB oder ein VoIP-Telefon sein. (Ich hatte mal längere Zeit eine FB 5050 für 5 € von ebay dafür in Einsatz.)

    Falls Du Deine TVs separieren willst, können die auch in ein separates LAN an der pfSense angeschlossen werden. Dann kannst Du auch überwachen / steuern, was da rein und rausgeht. Wenn Dein Switch VLANs kann, dann braucht das auch keinen weiteren Netzwerkport in der pfSense. Solche Geräte kriegst Du ab ca. 30 € (Netgear, aber nicht laut sagen, daß Du sowas hast, das gibt Streß hier. ;)).

    Speedport mieten ist übrigens gut, dann kann man das zurückgeben, sobald man es nicht mehr braucht.



  • Das ist eine gute Frage. Ich dachte schon.

    Ich habe ein bisschen im Internet recherchiert. Der Speedport untertützt wohl seit einigen Firmware Versionen keinen reinen Modembetrieb und auch kein PPPoE.

    Gibt es eigentlich Anternativen? Also reine Modems, mit Telefonfunktion? Ich habe einen Telekom Fiber Anschluss. Daruf müsste man ja achten. Wie ich gelesen habe unterstützt nicht jeder Router/Modem Glasfaseranschlüsse. Könnt ihr mir hier Geräte empfehlen?

    Oder sollte ich doch einfach, wie bisher, den Speedport einfach Speedport sein lassen und dort an einen LAN Port mein pfSense System einstöppseln?

    Das mit dem VLAN ist ne gute Idee. Frage dazu: Kommts da nicht zu Datenstau?

    Mein Switch ist ein 24port TP Link TL SG irgendwas. Weiß die genaue Bezeichnung gerade nicht. Das Teil liegt zur Zeit im Keller, um während dem Umbau nicht hier im Weg rumzuliegen. :-) Es ist ein gemanagter Layer 2 Switch.



  • Moin,

    ich würde den Speedport ruhig behalten und pfSense dahinter hängen.
    Hast Du Stress mit dem Anschluss kannst Du immer noch direkt am Speedport testen und den Eigentümer treten er soll gefälligst seine Technik am laufen halten  ;). Keine Diskussion von wegen Deine Geräte sind Schuld. Ich handhabe das momentan noch genauso mit meiner KD Fritte.

    Datenstau: Dein Netzwerk muss ja nicht nennenswert mehr Datenaufkommen bewältigen, nur weil Du es in VLans segmentierst, das fällt in der Praxis nicht auf.

    -teddy



  • @KHR:

    Ich habe einen Telekom Fiber Anschluss.

    Kenne die Telekom Technik dahinter nicht (also gar nicht!). Könnte man das nicht mit einem Glasfaser - Ethernet Konverter in Kupfer wandeln und das dann mit einem regulären NIC der pfSense bedienen?

    @ceofreak:

    Hol dir nen Draytek Vigor 130, achte darauf das er Annex B hat,

    Dass er keinen VDSL und somit auch kein Annex B hat, das hast Du gelesen, oder?



  • @jahonix:

    @KHR:

    Ich habe einen Telekom Fiber Anschluss.

    […] Könnte man das nicht mit einem Glasfaser - Ethernet Konverter in Kupfer wandeln und das dann mit einem regulären NIC der pfSense bedienen?

    Wäre das nicht genau ein Modem? Kennt jemand hier Modems, die an einem Telekom-Anschluß laufen?



  • Danke für eure Antworten. Wo ist eigenltich ceofreaks Post?

    Also der Anschluss sieht folgendermaßen aus. Die Telekom hat mir eine Glasfaserleitung direkt in die Wohnung gelegt. Dort am Glasfaster direkt angeschlossen ist ein Kästchen, welches die Telekom sogar "Glasfastermodem" nennt. Hier hat auch ein Techniker der Telekom irgendwelche Daten mit einem Laptop eingegeben und das Teil irgendwie konfiguriert. Ich fragte ihn zwar, was er dort eingibt, aber er gab mir nicht wirklich Auskunft darüber.

    Nun an diesem kleinen "Glasfastermodem" hängt nun mein Speedport, und zwar nicht am eigenltich dafür vorgesehenen "DSL Anschluss", sondern am "Link Port".

    Im Speedport habe ich dann meine Telekomdaten eingegeben. Soweit so gut. Nun läuft aber auch das Telefon über diesen Speedport. Wenn es also möglich ist, dass pfSense mit diesem "Telekom Glasfastermodem" direkt kommunizieren kann, könnte ich nicht mehr telefonieren. Ohne Speedport kein Telefon eigentlich. Außer mit sowas, wie einer Speedport Alternative, wie Fritzbox (mag ich aber nicht wirklich) oder DrayTek (kenne ich nicht wirklich) und ich habe auch noch nichts gefunden, dass eines der DrayTek Geräte Glasfaster unterstützt.

    Ich finde eigentlich die Idee, bei der mir magicteddy beipflichtete, gut. Ich würde den Speedport weiter als Telefonzentrale nutzen und würde pfSense und damit natürlich mein ganzes restliches Netzwerk dort an einem LAN Port stöppseln.

    Somit bekomme ich auch keinerlei Probleme mit der Telekom, wenn der Anschluss mal nicht richtig funktioniert. Das stimmt, dass die Telekom rumzickt und erstmal alles auf die eigenen Hardware schiebt, wenn man nicht die Telekom Hardware nutzt.

    Dann würde ich einfach den Speedport bei IP 192.168.1.1 lassen und das pfSense System auf meinetwegen 192.168.2.1.

    Sollte ich dann NAT vom pfSense System abschalten, weil ja der Speedport NAT macht? Oder sollte ich es sogar lieber eingeschaltet lassen in pfSense?

    Vielen Dank nochmal.

    Viele Grüße,
    KHR



  • Warum installierst du nicht PFSense auf deinem Server in einer VM?

    Evtl. zusätzliche LAN-Karte rein und dann würde das auch eine Alternative darstellen.
    Habe in meinen Gen8 auch eine QuadPort Karte eingebaut und lasse dort PFSense in einer VM laufen. Alles perfekt bis heute.
    Sicherheitstechnisch haben wahrscheinlich einige Bedenken aufgrund der VM, aber ausschließlich im privaten Bereich ist dort glaube ich die Messlatte nicht so extrem hoch zu setzen?

    Lg
    Teddy



  • @KHR:

    Wo ist eigenltich ceofreaks Post?

    Wie CEOs so sind: rin inne Kartoffeln, raus ausse Kartoffeln. Den Post hat er wohl gelöscht.

    @KHR:

    Ohne Speedport kein Telefon eigentlich.

    Ach was, die T- macht auch nur VOIP. Das geht auch mit jedem VOIP-Telefon ohne die Speed-Dinger. Aber der eingebaute ISDN- bzw. Analog-Wandler ist manchmal schon hilfreich.

    @KHR:

    …Speedport ... Telefonzentrale ... pfSense ... LAN Port
    Sollte ich dann NAT vom pfSense System abschalten, weil ja der Speedport NAT macht?

    Argumente zum Aufbau sind nachvollziehbar, kann man auch ruhig so machen.
    Ich würde die pfSense möglichst als "exposed host" oder "DMZ" im Speedport konfigurieren, so dass alle Ports (minus VOIP) ohne NAT oder mit 1:1 NAT dahin geleitet werden. Je nachdem, was im Speedport so angeboten wird.
    NAT der pfSense eingeschaltet lassen.



  • @Teddy:

    Warum installierst du nicht PFSense auf deinem Server in einer VM?

    Das war ja gar nicht die Frage.

    @Teddy:

    Sicherheitstechnisch haben wahrscheinlich einige Bedenken aufgrund der VM, aber…

    Seit wann?
    Es gibt für Virtualisierung sogar ein eigenes Sub-Forum: https://forum.pfsense.org/index.php?board=37.0 und virtuelle Instanzen werden auch von ganz vielen aktiv genutzt. Jeder Entwickler testet so neue Versionen, die pfSense Angebote auf AWS und Azure sind auch alle virtuell. Wie kommst Du darauf, dass das unsicher wäre?
    Manche Funktionen möchte ich jedoch nicht auf einem Hypervisor laufen haben sondern davon getrennt - zB wegen Ausfallsicherheit oder so. Oder einfach, weil er voll ist  :D



  • @jahonix:

    @Teddy:

    Warum installierst du nicht PFSense auf deinem Server in einer VM?

    Das war ja gar nicht die Frage.

    Da hast du Recht. Aber da das Board noch nicht (mal) gekauft ist und nen Server mit VM's rumsteht, war das nur nen Vorschlag meinerseits.
    Wenn der Server eh 24/7 läuft und noch Rechenkapazitäten frei hat / sich günstiger aufrüsten ließe, als ein Neubau, warum nicht diese Ressourcen nutzen?

    Hatte nur mal nebenbei aufgeschnappt, dass die meisten im Unternehmenseinsatz PFSense lieber auf einem separaten Server, als in einer VM laufen lassen, aus Sicherheitsgründen wie sie sagten, da herrschten aber auch geteilte Meinungen drüber.



  • @-flo-:

    Wäre das nicht genau ein Modem?

    Nö.

    Ein MoDem ist ein Modulator & Demodulator, das verpackt (moduliert) ein Signal auf einen Träger und entpackt es auf der anderen Seite wieder. Beim Fax zB digitale Signale in analoge Töne und zurück.

    Ein Medienkonverter wandelt nur von einem Medium (Licht) auf ein anderes Medium (Strom) um. Das geschieht völlig transparent. Ob Du Deine Brotkiste nun zum Auto trägst oder sie darin durch die Gegend fährst ist egal, das Brot darin wird nicht veränder. Wäre ja auch zu blöd, wenn es am Schreibtisch angekommen dann angebissen oder vorgekaut wäre.  :P



  • @Teddy:

    …dass die meisten im Unternehmenseinsatz ...

    Wer sind denn diese "die Meisten"?
    Ich zB mache das hier nicht, da ich im Fehlerfall der Hypervisoren gar kein Netzwerk mehr hätte und die Fehlersuche oder Reparatur erheblich erschwert wären.
    So kann ich die komplette Domain abschalten und kann noch am/im Netzwerk arbeiten (inkl. TechNet lesen…).



  • Vielen Dank wieder für die Antworten.

    Das Board, sowie die komplette Hardware (RAM, Board mit OnBoard CPU, SSD, Netzteil, Gehäuse) habe ich bereits, außer die Intel NICs, wenn es denn Intel NICs sein sollen.

    Den Gedanken, pfSense auf dem Server zu installieren hatte ich auch bereits. Habe mir darüber mehrere Gedanken gemacht, da er ja eh dauernd läuft. :-)

    Das hatte ich aber wegen Sicherheitsbedenken wieder verworfen. Sollte nicht eine Firewall vor allem sein? Also, wenn ich nun pfSense in einer VM installiere, ist doch der VM Host nicht von der Firewall von pfSense geschützt. Das Host System kann ja eigenltich nicht durch pfSense geschützt sein, da diese ja erst in der VM läuft. So mein Gedanke.

    Recourcen hat der Server massig, vor allem für pfSense. :-)



  • @jahonix:

    @-flo-:

    Wäre das nicht genau ein Modem?

    Nö.

    Ein MoDem ist ein Modulator & Demodulator, das verpackt (moduliert) ein Signal auf einen Träger und entpackt es auf der anderen Seite wieder. Beim Fax zB digitale Signale in analoge Töne und zurück.

    Ist schon klar, was ein Modem ist. Aber das ist es doch genau, oder? Umsetzung optisch zu elektrisch und umgekehrt?



  • @-flo-:

    …Ist schon klar, was ein Modem ist. Aber das ist es doch genau, oder? Umsetzung optisch zu elektrisch und umgekehrt?

    Nein eigentlich nicht, die Signalart bleibt ja gleich, beide Seiten sind digital. Es ändert sich ja nur das Trägermedium, deshalb Medienkonverter.

    -teddy



  • In der Tat. Der übliche Sprachgebrauch ist keine korrekte Bezeichnung. Das Ding heißt "ONT" und ist technisch wohl tatsächlich "nur" ein Medienkonverter, eine Modulierung / Demodulierung im engeren Sinne findet auch m.W. nicht statt. Die Bezeichnung "Modem" ist aber offenbar sogar bei Telekom gebräuchlich, s.o.:

    @KHR:

    Dort am Glasfaster direkt angeschlossen ist ein Kästchen, welches die Telekom sogar "Glasfastermodem" nennt.

    KHR müßte die pfSense direkt an das "Kästchen" anschließen können. Der Link Port des SpeedPort ist offenbar einfach ein WAN-Anschluß ohne DSL-Modem-Funktion.



  • Danke nochmal für die vielen Antworten.

    Hab das System nun laufen. Folgende Konfiguration.

    Telekom Speedport –> WAN pfSense
    LAN pfSense --> Switch
    Switch --> WLAN Router konfiguriert als Access Point

    Der WAN Port von pfSense bezieht seine IP über DHCP vom Speedport. Somit kann ich die Telefonfunktion des Speedport nutzen. Außerdem, wie ja schon erwähnt, kann die Telekom im Falle eines Fehlers nicht meckern, weil ich eigene Hardware verwende. :-)

    Nun stellen sich mir ein paar weitere Fragen.

    Sollte ich im Menü unter "Interfaces --> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren? Default ist aktiviert. Funktionieren tut auch alles, wenns aktiviert ist. Ich habe in einem YT Video gesehen, wo einer sagt, dass man das deaktivieren soll, wenn man am WAN Port eine IP Adresse aus dem privaten IP Bereich hat. Das habe ich ja. Sollte ich das dann deaktivieren? Oder ist das DMZ?

    Was macht eigentlich unter "System --> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?

    Vielen Dank nochmal.

    Viele Grüße,
    KHR



  • Hat niemand Antworten auf meine Fragen?



  • Hallo!

    @KHR:

    #Sollte ich im Menü unter "Interfaces –> WAN" die Funktion "Block private networks and loopback addresses" deaktivieren oder aktivieren?

    Wenn du eingehende Verbindungen erlauben möchtest, musst du das deaktivieren. Vermutlich möchtest du das aber nicht, denn sonst wäre die dynamische WAN-Adresse auch nicht vernünftig. Ist die Funktion aktiv werden alle eingehenden Verbindungen am WAN Interface von privaten Netzen (RFC 1918) blockiert.
    Für ausgehende Verbindungen ist die Einstellung irrelevant.

    @KHR:

    Was macht eigentlich unter "System –> Advanced --> Miscellaneous" bei "Installation Feedback" die Funktion Host UUID "Do NOT send HOST UUID with user agend"? Sendet pfSense irgendwelche Nutzerdaten an sich selbst? Kann man das irgendwie unterbinden?

    Da bin ich überfragt. Die Einstellung ist mir bislang nicht aufgefallen.
    Ich vermute mal, dass pfSense die Host UUID standardmäßig mit Abfragen nach Updates und Packages mitsendet.
    Host UUID ist das, was in der aktuellen Version als "Netgate Unique ID" bezeichnet wird und ist, soweit mir bekannt, für deren Support wichtig.


Log in to reply