Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox



  • Hallo.

    Bevor ich die Stecker hier ziehe, möchte ich mich gerne darüber vergewissern alles soweit verstanden zu haben und noch Fragen loswerden.

    Ich habe eine FB über und möchte diese nur als PPPoE Zugriff von einer APU2C4 mit pfSense nutzen. Die pfSense soll den Zugriff mit den Breitband LogIn Daten bereitstellen. Sie soll weiterhin als Firewall fungieren und besonders als leistungsstarker VPN Client dienen. Eine weitere FB 7490 soll dann noch weitere Giganet Ethernet Ports zur Verfügung stellen und vor allem das gesamte WLAN bereitstellen.

    Die pfSense Box läuft bisher nur als Router, also ohne Einwahldaten mit der IP 192.168.180.1.

    1. Was genau muss ich auf der ersten FB7490 mit aktuellem OS 6.9... einstellen?
    2. Da ich bei Wilhelm.Tel bin läuft auch VoIP über meinen Anschluss. Was müsste ich beachten? Bisher steuert die FB die DECT Telefone.
    3. Wie sollte die 2. Fritzbox welcher als WLAN Router läuft eingestellt werden?
    4. Ist meine Vorgehensweise irrsinnig?

    Ich würde mich über Ratschläge freuen.

    MfG



  • Moin,
    nur mal so als Vorschlag, lass doch die erste Fritte ruhig Router sein und auch die Telefonie abfrühstücken,
    das sollte sie stressfrei geregelt bekommen. Dahinter hängst Du dann pfSense, die Du in der ersten Fritzbox als exposed Host eingestellt hast. Alles was die primäre Fritte nicht abfängt landet somit an der pfSense, Du bemerkst die Existenz der erste eigentlich gar nicht mehr. Das WLan würde ich auch nicht über eine Fritte bereitstellen wollen, sobald mehr als eine kleine Studentenbude versorgt werden soll. Häng einen echten Accesspoint und wenn die Anzahl der Ports nicht reicht einen kleinen Switch ins Netz. Wenn Deine Anforderungen wachsen könnten nimm gleich einen managbaren.

    insgesamt schreibst Du zu wenig über Deine Wünsche als das man wirklich zu was raten kann.

    -teddy



  • Hallo magicteddy.

    Danke für deine Info - das werde ich so angehen. Ich wollte aber die 1. FB gerne im Keller lassen, aber wenn es so sinnvoller ist muss ich mit den FBs im Wohnzimmer leben um Telefon stressfrei nutzen zu können.

    Ich habe ne Familie mit fünf Mitgliedern im EFH. Da passiert mehr und mehr übers Netzwerk. Ein ausgedienter RPi mit PiHole ist DNS auf 192.168.178.130. Ich hänge an einem 100/20MBIT Netz und sehe nur IPTV. Telefon über VoIP. Ich habe zwei 5 Port Giganet Switches. Die FB an sich reicht mir gut fürs WLAN, es hängt auch ein FB Repeater 310 per Ethernet im oberen Stockwerk.

    Was will ich?

    Ich will einzig einen leistungsstarke FW mit performantem VPN Client welcher LAN/WLAN versorgt, welchen ich nun mit der APU2C4 habe, nur klappte bisher die Einrichtung eines OpenVPN Clients über pfSense bei NordVPN nicht. Dahinter soll der gesamte Haushalt über LAN/WLAN versorgt werden. Auch Gäste sollen in den VPN Genuss kommen.

    Was meinst du bitte mit "echten Accesspoint"?

    VG



  • Hi,

    der Vorteil, wenn die Fritte vor der Firewall Telefonie erledigt: Es läuft stressfrei, auch wenn Du im Netz mal bastellst, somit hängt der Haussegen nicht gleich schief 😉

    Zu IPTV kann ich nichts schreiben da ich keine Erfahrungen dazu habe.

    Echter Acesspoint: Damit meine ich soetwas AP Lite
    Die können nur WLan, das aber besser als die Fritten. Was ich vorher mit bis zu 3 APs versorgen musste hat ein AP AC-Pro geschafft. Damit auch das Umfeld im Garten vernünftig versorgt wird habe ich 2 im Einsatz. Diese APs brauchen zur Konfiguration einen Controller, die Controllersoft könnte auf Deinem Raspi mit laufen. Der Vorteil, Du brauchst nur an einem Punkt zu managen, die Einstellungen werden dann an alle APs verteilt.

    -teddy



  • Cool. Danke! Wo stelle ich in der FB "Exposed Host" ein? Danke für den AP Lite Link, werde ich mir wohl antun.

    Ich würde ich gerne noch folgendes fragen, welche IP Einstellungen inkl. DHCP, Subnetzmask etc. empfiehlst du bei der aktuell empfohlenen Konfiguration?

    FB (Router als Exposed Hostund VoIP)-> pfSense (DHCP) -> FB (Client)

    VG aus SH



  • Moin

    Expertenansicht freischalten,

    Internet --> Freigaben --> Hinzufügen

    unter Gerät pfSense IP eintragen und etwas tiefer unter IPv4-Einstellungen:

    Haken bei "Dieses Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host)." rein.

    Achung, wenn Du hier Mist baust, z.B. eine any / any Regel auf dem WAN Interface dann stehst Du mit Deinem Netz mit nackten Hintern nach Seife gebückt im Internet. Sollte kein Zugriff von außen nötig sein lass es sein.

    -teddy



  • Danke. Das fand ich. Ich bekomme jetzt meine APU2C4 Box unter pfSense 2.4.4 einfach nicht zum laufen.

    Name: NordVPN DE235 TCP4
    Status: reconnecting; connection-reset
    Connected since: Tue Oct 2 12:52:43 2018
    Local Adress: (pending)
    Remote Host: (pending)

    Hast du eine Idee? Das NordVPN Tutorial online ist von 2.4.3, dort sind schon einige Einstellungen anders. Z.B wenn ich das Interface IPv4 Configuration auf DHCP stellen soll gibt es dafür hier keine Einstellung mehr.

    Quelle: Punkt 6 unter:

    https://support.nordvpn.com/#/Connectivity/Router/1089079142/pfSense-2-4-3-setup.htm



  • Sorry, muss ich morgen mal reinschauen. muss jetzt los.
    Hierfür brauchst Du aber keinen exposed Host weil die Verbindung ja von Dir ausgeht!!

    -teddy



  • Die FB wählt sich nach wie vor ein...nicht das APU2C4 Board.



  • @tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

    Z.B wenn ich das Interface IPv4 Configuration auf DHCP stellen soll gibt es dafür hier keine Einstellung mehr.

    Hallo,

    ich denke nicht, dass da in der Anleitung was von auf DHCP stellen steht.
    Das Interface nur aktivieren und, wenn gewünscht, einen hübschen Namen eintragen und speichern.

    Die IP-Konfiguration dafür macht OpenVPN.

    Grüße



  • "IPv4 Configuration Type: DHCP" -> Das geht in dem Interface (Reiter) nicht mehr. Egal. Ich bekam es zum laufen. Trotz AES-NI Beschleunigung nur bei 70MBIT, Suche geht weiter.



  • @tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

    Trotz AES-NI Beschleunigung nur bei 70MBIT

    Mit welchen OpenVPN-Parametern wird der Tunnel von pfSense zu NordVPN aufgebaut? Ist die Verbindung mit
    AES‑256‑CBC noch aktuell? Die Verschlüsselung mit AES‑256‑GCM könnte etwas mehr Durchsatz bringen.

    Allerdings gibt es in Bezug auf OpenVPN Durchsatz bessere Hardware als eine APU2. Das Teil ist zwar
    preiswert aber nicht mehr auf der Höhe der Zeit an schnellen Internetanschlüssen.

    LG



  • Hallo Gladius,

    1. UDP
    2. Encryption Algorithm AES 256-CBC
    3. NCP Algorithmus AES-256-GCM und CBC
    4. Auth digest algorithm SHA512
    5. Hardware Crypto No Hardware (keine andere Auswahl übrig)
    6. Compression Adaptive LZO

    Advanced Conf:

    1. Custom Options:
      tls-client;
      remote-random;
      tun-mtu 1500;
      tun-mtu-extra 32;
      mssfix 1450;
      persist-key;
      persist-tun;
      reneg-sec 0;
      remote-cert-tls server;

    2. Send/Receive Buffer Default

    3. Gateway creation Both



  • @tele_01

    Kann es sein, daß sich Client und Server bei der Aushandlung der Verschlüsselung auf AES-256-GCM einigen?
    Das OpenVPN Protokoll verschafft Klarheit, falls der Client "Verbosity level > 3" gesetzt hat.
    Wenn ja, ist das Ende der Fahnenstange bzgl. Durchsatz wohl erreicht.

    LG



  • Hallo.

    Ja das kann sein. Ich testete Verbosity level 2 und lande bei ca. 74Mbit/sec. Laut: https://teklager.se/en/knowledge-base/aputlsense-boards-spec-comparison/ sollten aber 100Mbit/sec drin sein, ohne VPN komme ich auf ca. ca. 102Mbit/sec. Bei meiner aktuellen Konfig komme ich nicht mal auf 40% Prozessorlast. Die AES-NI Einstellung bringt keine Änderung. Ich vermute da ist noch mehr drin. Es kommt mir auch so vor, als das man bei NordVPN nicht viel an der Höhe der Verschlüsselung drehen kann, eine 128er würde mir sicher reichen aber die Option gibt das nicht her, zumindest kommt keine Verbindung zu stande. Sollte ich mal opnSense statt pfSense probieren?



  • Hast Du unter: System --> Advanced --> Miscellaneous --> Power Savings -->

    PowerD aktiv gesetzt und Hiadaptive ausgewählt?

    -teddy



  • @tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

    Sollte ich mal opnSense statt pfSense probieren?

    Wenn es dir Spaß macht. Es wird aber nicht helfen.

    @tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

    Bei meiner aktuellen Konfig komme ich nicht mal auf 40% Prozessorlast.

    Diagnostics -> Command Prompt -> top

    zeigt dir die Auslastung der Kerne. Du wirst erstaunt sein.

    LG



  • Hallo teddy & gladius.

    Danke für eure Inputs.

    Hiadaptive probierte ich, bringt aber weniger Bandbreite als Adaptive. Über SSH ließ ich auch Top laufen - bei 72Mbit/sec hatte ich ca. 73% Last, zugegeben ein anderer Wert als in der Web-Gui.

    Ich werde damit erst einmal leben, ist ja jammern auf hohem Niveau. Ich las auch das pfSense 2.3 eine deutlich effektivere AES-NI Hardware-Unterstützung hatte für OpenVPN. Kommt Zeit kommt Rat.

    Es stellt sich aber eine weitere Frage. Ich war bisher immer sehr zufrieden mit meinem PiHole als AddBlocker auf einem RPi. Da die pfSense den DNS von NordVPN nutzt, kann ich PiHole in der Form nicht mehr nutzen.

    Kann mir jemand verraten wie ich meinen lokalen DNS und dem effektiven AddBlocker weiter nutzen kann ohne auf VPN zu verzichten? Die pfSense läuft auf 192.168.180.1 mit DHCP von .10 aufwärts.



  • @tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

    Ich las auch das pfSense 2.3 eine deutlich effektivere AES-NI Hardware-Unterstützung hatte für OpenVPN.

    Diese Behauptung beruht auf welchen Fakten? Ich bin auf die Antworten gespannt.

    LG



  • Guten Morgen. Reichen dir Messergebnisse unter sonst gleicher Hardwareumgebung?

    MfG



  • @tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

    Reichen dir Messergebnisse unter sonst gleicher Hardwareumgebung?

    Messen ist sicher gut wenn man alle die OpenVPN Leistung beinflussenden Faktoren unter Kontrolle hat.
    Ich habe seinerzeit auch gemessen und die Randbedingungen bei der Durchführung der Tests genannt.

    LG