pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung



  • Hallo zusammen,

    da mit in einem anderen Forum geraten wurde visualisiert pfsense zu nutzen und ich mich mit dem Thema weiter auseinandersetzten möchte bin ich nun hier gelandet.

    Ich heisse Simone bin 19 Jahre alt und habe am 01.09. eine Ausbildung zur Fachinformatikerin angefangen.

    Da ich mich jetzt hier im Forum schon ein wenig umgeschaut habe finde ich die Idee die pfsense auf meinem Fujitsu RX300 S7 unter einer VM laufen zu lassen nicht mehr wirklich prickelnd. Deshalb bin ich nun auf der Suche nach passender Hardware.

    Ich nutzte derzeit eine Kabel Leitung von Vodafone mit 500/50Mbit (Phone und Internet) und einer festen IP Adresse. Derzeit laufen alle Geräte auf der von Vodafone zur Verfügung gestellten Fritzbox 6490 (inkl IP Telefonie). So weit so gut.

    Nun hat mir mein Onkel bei dem ich lebe einen Fujitsu RX300 S7 Server mit 196GB RAM geschenkt und gleichzeitig die Aufgabe gestellt (das ist ein Spiel zwischen uns um mich anzuspornen) darauf per VMWare (damit arbeitet mein Ausbildungsbetrieb) einen DHCP laufen zu lassen. Zusätzlich soll ich unser WLAN verbessern was durch die Position der Fritzbox eher grottig ist. Und als Sahnehäubchen soll ich noch ein Gäste-WLAN aufbauen damit meine Freundinnen nicht immer über unseres online gehen.

    Nach einigen weiteren Recherchen in anderen Foren weiß ich jetzt das ich die Fritzbox und die pfsense als Router-Kaskade laufen lassen muss. Zu rumspielen mit pfsense ist klar eine Virtualisierung möglich aber ich mache Dinge lieber gleich beim ersten Mal richtig.

    Ich habe jetzt öfter gelesen das es bei der pfsense nicht ausschlaggebend ist wie viele Clients dahinter hängen sondern eher welche Geschwindigkeit vorliegt. Da in naher Zukunft wohl auch 1Gbit mit entsprechendem Upload zu Verfügung stehen wird sollte die Hardware genug "Reserven" haben.

    OpenVPN wird mit Sicherheit eine Rolle spielen und auch da sollte eine möglichst hohe Geschwindigkeit erreicht werden.

    Reicht eine "ausgediente" Watchguard aus? Oder könnte man auch einen Thin Client nehmen der einigermaßen "up to date" ist und ihn mit einer 2Port Gbit Intel NIC aufzurüsten ( 1,6Ghz Quadcore AMD 8GB RAM M-Sata). Oder muss ich mich schon in einer komplett anderen Liga umsehen.

    Natürlich könnte man eine fertige kaufen, aber ich bastle gerne und nur so kann ich es lernen.

    Gruß
    Simone

    P.S.: Sollte ich irgendwelche Angaben vergessen haben, bitte steinigt mich nicht gleich.



  • @antharis Hi, für den Heimbereich wäre eine APU2 eigentlich ausreichend. Die gibt es in mehreren Varianten die einfachste ist die APU2C0 (mit 2 GB Ethernet Anschlüssen). Einzig bei OpenVPN bin ich mir nicht sicher ob die Box ausreichend schnell ist. Ansonsten gibt es jede Menge enbedded Boxen (Fitlet zB) die dafür in Frage kämen.

    Grüßle,
    fireodo



  • @Antharis

    Mein Eindruck ist, daß man hier im Forum "Bastellösungen" mit Mißtrauen begegnet. Nun, ich habe mich
    vor Monaten auch für eine " Bastellösung" (siehe Signatur) entschieden als es darum ging eine APU1D
    in Rente zu schicken.

    Habe ich diese Entscheidung bereut? Nein, die Kiste läuft mit pfSense ohne Probleme und ich habe
    bzgl. OpenVPN an meinem Anschluß (VDSL100) noch genügend Reserven. Den Einsatz einer
    APU2xy habe ich wegen OpenVPN gar nicht erst in Betracht gezogen.

    Was soll denn der Spaß kosten? Meine "Bastellösung" kostete ca. 370 EUR.

    LG



  • @gladius

    Hmm das Board habe ich mir angeschaut, das ist eine Option. Aber zuerst werde ich mein Glück auf einer Watchguard XTM 545 versuchen, welche ich heute morgen für eine Tüte Gummibärchen bekommen haben.

    Ansonsten wäre das Preislimit bei ca. 300€.

    Gruß
    Simone



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Aber zuerst werde ich mein Glück auf einer Watchguard XTM 545 versuchen

    @Antharis

    Okay, bedenke aber die Problematik mit pfSense (Community Edition/AES-NI) ab Version 2.5
    wenn du bei pfSense bleiben willst.

    LG



  • @gladius

    Problematik? Hmmm davon hatte ich jetzt noch nichts gelesen.

    Simone



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Problematik?

    Nur noch Hardware mit AES-NI wird ab Version 2.5 unterstützt. Eine umstrittene Entscheidung aber
    zur Zeit Stand der Dinge.

    LG



  • Noch ein Hinweis zu Deinem Setup. Wenn Du die pfsense hinter der FritzBox betreibst, z.B. als Exposed Host hast Du immer die Probleme, dass sie Unterbrechungen auf der Leitung nicht mitbekommt. Das ist dann relevant, wenn davon z.B. DynDNS oder Fail-Over abhängen. Dann bekommt die pfsense davon erst mal nichts mit und Du musst das extra testen.
    Alternativ die pfsense direkt an die Leitung hängen - mit dem einfache KD Modem dazwischen im sog. Bridge-Mode. Dann bekommt sie alles mit, Du musst aber VoIP und WLAN dann anders lösen. Die KD FritzBox bietet keinen Bridge Mode (https://forum.vodafone.de/t5/Internet-Geräte/Bridge-Mode-Kabel-Fritzbox-6490/td-p/1667344).



  • Hallo,

    @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Da ich mich jetzt hier im Forum schon ein wenig umgeschaut habe finde ich die Idee die pfsense auf meinem Fujitsu RX300 S7 unter einer VM laufen zu lassen nicht mehr wirklich prickelnd.

    warum? Soll doch auf allen namhaften Hypervisor laufen.
    Doch würde ich die RX300 S7 nicht nur wegen der Firewall für den Heimbetrieb durchlaufen lassen.

    Den DHCP könnte natürlich auch die pfSense übernehmen, egal ob sie virtualisiert oder Bare-metal läuft.

    Das WLAN selbst sollte nicht Aufgabe der pfSense sein, lediglich die Anbindung ans übrige Netzwerk.
    Hier solltest du erheben, ob du mehrere APs für eine vernünfige Versorgung benötigst (vermutlich). Dann kostet das aber auch schnell zusätzliches Geld und die Anbindung der APs via Kabel wäre vorteilhaft. Ubiquiti bietet hier relativ preiswerte APs, die ein unterbrechungsfreies Roaming ermöglichen, falls das gefragt ist. Wenn nicht, könnte es ein Repeater auch tun.
    Das Gäste-WLAN könnte die pfSense gemeinsam mit den APs bereitstellen. Hier musst du darauf achten, dass die APs VLAN unterstützen. Auch Captive Portal wäre machbar.

    Von der Watchguard darfst du dir nicht allzu viel erwarten, speziell in Sachen VPN. Fürs normale Filtern und Routen aber natürlich ausreichend.

    Grüße



  • @roadrunner51

    Das war auch mein Gedanke...allerdings wird das TC4400 von Technicolor von Vodafone nicht mehr freigeschaltet und selbst wenn dann bleibt noch das Problem mit der Telefonie, es sollen auch weiterhin die Fritzphones verwendet werden.

    Gruß
    Simone



  • @viragomann

    Die Ubiquiti Unify PRO stehen schon auf dem Einkaufszettel, und es gibt von Ubiquiti auch eine Controller Software die ich wohl verwenden werde.

    Der Server wird eh dauern laufen weil darauf eine Schließanlagen-Software und deren Datenbank liegen wird, deshalb soll auch der DHCP darüber laufen da auch ein AD benötigt wird (Microsoft SCCM oder Baramundi Managementsuite ).

    Gruß
    Simone



  • @antharis
    Diese Controller-Software ist ohnehin nötig, um die Dinger zu konfigurieren. Falls du Roaming nutzen möchtest, muss sie als Server ständig laufen, anderenfalls kann sie auch auf einem Rechner installiert werden und braucht nur zur Konfiguration gestartet werden.

    Grüße



  • @Antharis
    Aktuell verbaut VF keine Technicolor mehr sondern nur noch CBN, daher sollte das kein Problem sein. Das Fritzfon kannst Du an jedem x-beliebigem Router mit DECT aus der Bucht betreiben.

    Und schau Dir mal die Auranet von TP-Link als Alternative zu den Ubiquiti an.



  • @roadrunner51

    Das Technicolor TC4400 wurde nie von Vodafone verbaut oder ausgegeben sondern war ein Aftermarket Kabel Modem das wohl sehr gute Dienste leistet wenn man es zu laufen bekommt. Dies geht aber nur ein einer CASA -Kopfstelle und nicht an einer Cisco. Für die Cisco gibt es derzeit auch laut inoffiziellem Vodafone Kabel Forum kein Kraut. Das bleibt einem derzeit nur die Fritzbox zumindest bis die 1Gbit Leitungen verbreitet sind.

    Gruß
    Simone



  • Hallo Simone,

    zum Thema Internet-Zugnag für Gäste: Ich nutze hierfür freifunk um keine Probleme mit der "Störerhaftung" (wie auch immer die aktuelle Rechtslage aussieht) zu haben bzw. zu bekommen.

    Infos auf wikipedia

    Grüsse

    Ralf



  • Das ist jetzt zwar etwas OT - aber ich habe in den lezten 2 Wochen einiges Unternommen um einen VF Kabel (400/50) an einer unserer PFSENSE zum laufen zu kriegen.

    Nach Tagelangem Fehlersuchen stellte ich irgendwann fest dass die PFSENSE "ne macke weg hat" und eine neu aufgesetzt sofort auf Anhieb mit Dual Wan (1x Telekom und 1x VF Kabel) läuft - das ganze im Bridge Mode sofern man keine Fritzbox bestellt hat....

    Zum Hardware Teil: Wir verwenden PFSENSE auf AMD APU Basis mit MiniITX uns 10GTech Quadro Lan Karten - das läuft einwandfrei und tut was es soll ...

    Zum OT - Teil:

    Ich bin von unserer Vodafone Leitung mehr als entsetzt.

    Am tag (wenn Otto Normal User arbeiten ist geht´s ja noch - da kommen im Schnitt 380/23 rein wobei bei gebuchter 50er Option max 24Up ja wirklich kein Burner sind. - Ping am Tag ca. 13ms -

    Wenn es Abends wird verschlimmert sich die Lage dramatisch:

    Down im Schnitt 110 Up noch gerade 11 - die Ping Zeite schießen dann schon mal auf 120-140ms hoch (kurzfristig) und pendel sich dann auf 50-70ms ein. dazu noch viele Ping Verluste ...

    Sowas als "Business Lösung" zu verkaufen ist schon dreist ...