Installation von pfsense : Habe ich korrekt geplant / gedacht ?
-
Guten Morgen Forum,
ich möchte PfSense installieren und habe mir dazu einige Gedanken gemacht.
Aktuell habe ich alle Geräte im 192.168.2.0/24 Netz bei mir liegen. Zwei Router bauen die Internetverbindung über verschiedene Wege auf ( 1 x 7390 via DSL und 1 x Hybridrouter via LTE ).
Die Endgeräte haben entsprechende Gatewayeinträge, damit sie entweder über DSL oder aber LTE sich verbinden.
Eine zweite 7390 im Netz zieht sich über die Internetverbindung der ersten 7390 die erforderlichen Daten, um die Telefonie zur Verfügung zu stellen.Nun soll PfSense den Traffic der Endgeräte auch so verteilen, wie es nun ist und weiterhin den Traffic überwachen und für bestimmte Endgeräte nur spezielle Seiten zulassen ( die Geräte der Kinder ).
Das habe ich mir so vorgestellt, dass der "rote" Bereich im 192.168.2.0/24 liegt, wobei PfSense die .2.3 bekommen soll und die 7390 die 2.2 sowie der Hybride auf 2.1.
Der "grüne" Bereich soll im 192.168.4.0/24 IP Adressen vergeben ( DHCP oder alles fix, da bin ich mir noch nicht sicher ).
Meine Hardware wäre ein Intel D510MO Board Mini ITX mit 4GB RAM, 2 x Netzwerkkarte und 160 GB HDD.
Nun stelle ich mir aber die Frage, wie die zweite 7390 dann die Telefoniedaten bekommt und die Telefonate dann ausschließlich über die DSL Schiene geführt werden…. ?
Ich habe hier einmal zwei Bilder beigefügt, in der Hoffnung, dass ihr mein Vorhaben versteht....
Danke
Blitzsystem
-
Also wenn das SOLL Bild dein Wunsch für später ist, dann würde ich da ein paar Anmerkungen machen
- Ich würde die 7390 DSL und den Hybrid in unterschiedliche IP Ranges legen (192.168.1 und .2 z.B.)
- Beide Router dann an 2x WAN an die pfSense bringen, das lässt sich ggf. mit einem kleinen VLAN fähigen Switch vor dem WAN regeln, damit du für dein MiniBoard nicht mehr als 2 Netzwerkkarten/Interfaces brauchst. Ansonsten wäre es einfach auch mit 3 Interfaces zu machen.
- Das LAN der pfSense wäre OK, das Netz da darf nur nicht eines vom WAN sein, alles andere ist im Prinzip egal.
- Deine Fritte für VoIP und WLAN: Hängt davon ab ob dein WLAN einfach platt ins LAN gebridged sein soll, oder ob das eher Geräte sind, die nicht unbedingt ins LAN müssen/gehören. Wenn letzteres würde ich die einfach ganz platt mit ins WAN zur pfSense/DSL Kiste hängen und gut, dann kommen die WLAN Clients ins Internet und sonst nichts. Ansonsten müsste man die ins LAN hängen und in der pfSense entsprechend für Sie ein paar Regeln/NAT Regeln anlegen, damit das abgehende SIP Zeugs ordentlich wieder ankommt.
Allerdings:
Warum nicht einfach VoIP auf der 7390 DSL Kiste machen statt auf der extra 7390? Dann wäre zum einen dein VoIP problemlos auf der DSL Schiene und du hättest kein Problem mit NAT und Co und dein WLAN wäre damit völlig frei auf der zweiten Fritte die du positionieren kannst, wie es für dich passt (im LAN, in einem extra DMZ/VLAN, etc.)
Gruß
-
Hallo JeGr.
Danke für Deine Antwort.
Zu dem Punkt, wie ich da ne 2te 7390 drinnen habe : Die erste 7390 schafft es nicht, mit DECT soweit abzudecken, dass ich in meiner Wohnung auch vernünftig Empfang habe.
Es handelt sich hier um ein Zweifamilienhaus und ich habe doch schon größere Entfernungen abzudecken. Innerhalb des Hauses habe ich etliche Meter CAT6 verlegt, damit ich überhaupt im gesamten Haus WLAN habe um die Endgeräte ins Netz zu bekommen. Ich habe auch noch zwei Ubiquiti Nanostations am Laufen, um Internet in meinem Garten zu haben. Dazu muss ich ca. 50 Meter Luftlinie im Freien überbrücken. Ich lebe hier auf dem Land, daher etwas größere Entfernungen als in der Stadt :)
Soweit dazu.deine Antwort zu 1) verstehe ich nicht so ganz, weswegen ich den beiden Routern unterschiedliche Ranges geben soll(te) ?? hier fällt dann 2) ja auch mit rein.
3) verstehe ich soweit
zu 4) die Geräte, die über die 7390 gehen sind alles meine eigenen, also kein Gast WLAN oder so. Für Gäste habe ich hier zwei TP-Link TL-WR841N mit OPEN WRT, welche ein zweites WLAN intern in 192.168.3.0/24 aufspannen, welches durch die TP-Links dann ausschließlich auf die 192.168.2.1 ( Hybridrouter ) gelenkt wird. Die Geräte dadrin sehen nichts von meinem privaten LAN. Bekannte Endgeräte jedoch welche sich über die TP-Link verbinden, bekommen Ihre IP aus dem 2er LAN und können alles sehen….Hoffe habe nun nicht noch mehr Verwirrung gestiftet ... ??
Blitz
Dieses ganze Setup wird auch nur eine Übergangslösung sein, da in ca. 12 - 15 Monaten bei uns FTTH verfügbar sein soll. Aber
-
Hallo Blitz,
- und 2) deshalb, da dir ansonsten jede Möglichkeit fehlt, Dienste konkret einem WAN zuzuordnen. Da jedem WAN Interface ein Default GW zugeteilt ist, kannst du bei deiner Variante mit einem WAN und 2 Gateways darin keinen Service auf bspw. der Sense konfigurieren, der Default über WAN2 rausgeht, da dein WAN-gebundener Service stets das WAN Default GW nehmen würde. Das zu überschreiben wäre mit Floats etc. zwar theoretisch denkbar aber mühselig und unpraktisch, deshalb wird in jeder Doku bei MultiWAN auch zumindest von 2 Schnittstellen (egal ob phyisch oder VLANs) gesprochen. Ich würde 2 WAN GWs im gleichen WAN Subnetz vor der Sense als fehleranfällig betrachten bei der Umsetzung.
Darum würde ich das eher auf eigene Interfaces packen :)