pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung



  • Hallo zusammen,

    da mit in einem anderen Forum geraten wurde visualisiert pfsense zu nutzen und ich mich mit dem Thema weiter auseinandersetzten möchte bin ich nun hier gelandet.

    Ich heisse Simone bin 19 Jahre alt und habe am 01.09. eine Ausbildung zur Fachinformatikerin angefangen.

    Da ich mich jetzt hier im Forum schon ein wenig umgeschaut habe finde ich die Idee die pfsense auf meinem Fujitsu RX300 S7 unter einer VM laufen zu lassen nicht mehr wirklich prickelnd. Deshalb bin ich nun auf der Suche nach passender Hardware.

    Ich nutzte derzeit eine Kabel Leitung von Vodafone mit 500/50Mbit (Phone und Internet) und einer festen IP Adresse. Derzeit laufen alle Geräte auf der von Vodafone zur Verfügung gestellten Fritzbox 6490 (inkl IP Telefonie). So weit so gut.

    Nun hat mir mein Onkel bei dem ich lebe einen Fujitsu RX300 S7 Server mit 196GB RAM geschenkt und gleichzeitig die Aufgabe gestellt (das ist ein Spiel zwischen uns um mich anzuspornen) darauf per VMWare (damit arbeitet mein Ausbildungsbetrieb) einen DHCP laufen zu lassen. Zusätzlich soll ich unser WLAN verbessern was durch die Position der Fritzbox eher grottig ist. Und als Sahnehäubchen soll ich noch ein Gäste-WLAN aufbauen damit meine Freundinnen nicht immer über unseres online gehen.

    Nach einigen weiteren Recherchen in anderen Foren weiß ich jetzt das ich die Fritzbox und die pfsense als Router-Kaskade laufen lassen muss. Zu rumspielen mit pfsense ist klar eine Virtualisierung möglich aber ich mache Dinge lieber gleich beim ersten Mal richtig.

    Ich habe jetzt öfter gelesen das es bei der pfsense nicht ausschlaggebend ist wie viele Clients dahinter hängen sondern eher welche Geschwindigkeit vorliegt. Da in naher Zukunft wohl auch 1Gbit mit entsprechendem Upload zu Verfügung stehen wird sollte die Hardware genug "Reserven" haben.

    OpenVPN wird mit Sicherheit eine Rolle spielen und auch da sollte eine möglichst hohe Geschwindigkeit erreicht werden.

    Reicht eine "ausgediente" Watchguard aus? Oder könnte man auch einen Thin Client nehmen der einigermaßen "up to date" ist und ihn mit einer 2Port Gbit Intel NIC aufzurüsten ( 1,6Ghz Quadcore AMD 8GB RAM M-Sata). Oder muss ich mich schon in einer komplett anderen Liga umsehen.

    Natürlich könnte man eine fertige kaufen, aber ich bastle gerne und nur so kann ich es lernen.

    Gruß
    Simone

    P.S.: Sollte ich irgendwelche Angaben vergessen haben, bitte steinigt mich nicht gleich.



  • @antharis Hi, für den Heimbereich wäre eine APU2 eigentlich ausreichend. Die gibt es in mehreren Varianten die einfachste ist die APU2C0 (mit 2 GB Ethernet Anschlüssen). Einzig bei OpenVPN bin ich mir nicht sicher ob die Box ausreichend schnell ist. Ansonsten gibt es jede Menge enbedded Boxen (Fitlet zB) die dafür in Frage kämen.

    Grüßle,
    fireodo



  • @Antharis

    Mein Eindruck ist, daß man hier im Forum "Bastellösungen" mit Mißtrauen begegnet. Nun, ich habe mich
    vor Monaten auch für eine " Bastellösung" (siehe Signatur) entschieden als es darum ging eine APU1D
    in Rente zu schicken.

    Habe ich diese Entscheidung bereut? Nein, die Kiste läuft mit pfSense ohne Probleme und ich habe
    bzgl. OpenVPN an meinem Anschluß (VDSL100) noch genügend Reserven. Den Einsatz einer
    APU2xy habe ich wegen OpenVPN gar nicht erst in Betracht gezogen.

    Was soll denn der Spaß kosten? Meine "Bastellösung" kostete ca. 370 EUR.

    LG



  • @gladius

    Hmm das Board habe ich mir angeschaut, das ist eine Option. Aber zuerst werde ich mein Glück auf einer Watchguard XTM 545 versuchen, welche ich heute morgen für eine Tüte Gummibärchen bekommen haben.

    Ansonsten wäre das Preislimit bei ca. 300€.

    Gruß
    Simone



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Aber zuerst werde ich mein Glück auf einer Watchguard XTM 545 versuchen

    @Antharis

    Okay, bedenke aber die Problematik mit pfSense (Community Edition/AES-NI) ab Version 2.5
    wenn du bei pfSense bleiben willst.

    LG



  • @gladius

    Problematik? Hmmm davon hatte ich jetzt noch nichts gelesen.

    Simone



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Problematik?

    Nur noch Hardware mit AES-NI wird ab Version 2.5 unterstützt. Eine umstrittene Entscheidung aber
    zur Zeit Stand der Dinge.

    LG



  • Noch ein Hinweis zu Deinem Setup. Wenn Du die pfsense hinter der FritzBox betreibst, z.B. als Exposed Host hast Du immer die Probleme, dass sie Unterbrechungen auf der Leitung nicht mitbekommt. Das ist dann relevant, wenn davon z.B. DynDNS oder Fail-Over abhängen. Dann bekommt die pfsense davon erst mal nichts mit und Du musst das extra testen.
    Alternativ die pfsense direkt an die Leitung hängen - mit dem einfache KD Modem dazwischen im sog. Bridge-Mode. Dann bekommt sie alles mit, Du musst aber VoIP und WLAN dann anders lösen. Die KD FritzBox bietet keinen Bridge Mode (https://forum.vodafone.de/t5/Internet-Geräte/Bridge-Mode-Kabel-Fritzbox-6490/td-p/1667344).



  • Hallo,

    @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Da ich mich jetzt hier im Forum schon ein wenig umgeschaut habe finde ich die Idee die pfsense auf meinem Fujitsu RX300 S7 unter einer VM laufen zu lassen nicht mehr wirklich prickelnd.

    warum? Soll doch auf allen namhaften Hypervisor laufen.
    Doch würde ich die RX300 S7 nicht nur wegen der Firewall für den Heimbetrieb durchlaufen lassen.

    Den DHCP könnte natürlich auch die pfSense übernehmen, egal ob sie virtualisiert oder Bare-metal läuft.

    Das WLAN selbst sollte nicht Aufgabe der pfSense sein, lediglich die Anbindung ans übrige Netzwerk.
    Hier solltest du erheben, ob du mehrere APs für eine vernünfige Versorgung benötigst (vermutlich). Dann kostet das aber auch schnell zusätzliches Geld und die Anbindung der APs via Kabel wäre vorteilhaft. Ubiquiti bietet hier relativ preiswerte APs, die ein unterbrechungsfreies Roaming ermöglichen, falls das gefragt ist. Wenn nicht, könnte es ein Repeater auch tun.
    Das Gäste-WLAN könnte die pfSense gemeinsam mit den APs bereitstellen. Hier musst du darauf achten, dass die APs VLAN unterstützen. Auch Captive Portal wäre machbar.

    Von der Watchguard darfst du dir nicht allzu viel erwarten, speziell in Sachen VPN. Fürs normale Filtern und Routen aber natürlich ausreichend.

    Grüße



  • @roadrunner51

    Das war auch mein Gedanke...allerdings wird das TC4400 von Technicolor von Vodafone nicht mehr freigeschaltet und selbst wenn dann bleibt noch das Problem mit der Telefonie, es sollen auch weiterhin die Fritzphones verwendet werden.

    Gruß
    Simone



  • @viragomann

    Die Ubiquiti Unify PRO stehen schon auf dem Einkaufszettel, und es gibt von Ubiquiti auch eine Controller Software die ich wohl verwenden werde.

    Der Server wird eh dauern laufen weil darauf eine Schließanlagen-Software und deren Datenbank liegen wird, deshalb soll auch der DHCP darüber laufen da auch ein AD benötigt wird (Microsoft SCCM oder Baramundi Managementsuite ).

    Gruß
    Simone



  • @antharis
    Diese Controller-Software ist ohnehin nötig, um die Dinger zu konfigurieren. Falls du Roaming nutzen möchtest, muss sie als Server ständig laufen, anderenfalls kann sie auch auf einem Rechner installiert werden und braucht nur zur Konfiguration gestartet werden.

    Grüße



  • @Antharis
    Aktuell verbaut VF keine Technicolor mehr sondern nur noch CBN, daher sollte das kein Problem sein. Das Fritzfon kannst Du an jedem x-beliebigem Router mit DECT aus der Bucht betreiben.

    Und schau Dir mal die Auranet von TP-Link als Alternative zu den Ubiquiti an.



  • @roadrunner51

    Das Technicolor TC4400 wurde nie von Vodafone verbaut oder ausgegeben sondern war ein Aftermarket Kabel Modem das wohl sehr gute Dienste leistet wenn man es zu laufen bekommt. Dies geht aber nur ein einer CASA -Kopfstelle und nicht an einer Cisco. Für die Cisco gibt es derzeit auch laut inoffiziellem Vodafone Kabel Forum kein Kraut. Das bleibt einem derzeit nur die Fritzbox zumindest bis die 1Gbit Leitungen verbreitet sind.

    Gruß
    Simone



  • Hallo Simone,

    zum Thema Internet-Zugnag für Gäste: Ich nutze hierfür freifunk um keine Probleme mit der "Störerhaftung" (wie auch immer die aktuelle Rechtslage aussieht) zu haben bzw. zu bekommen.

    Infos auf wikipedia

    Grüsse

    Ralf



  • Das ist jetzt zwar etwas OT - aber ich habe in den lezten 2 Wochen einiges Unternommen um einen VF Kabel (400/50) an einer unserer PFSENSE zum laufen zu kriegen.

    Nach Tagelangem Fehlersuchen stellte ich irgendwann fest dass die PFSENSE "ne macke weg hat" und eine neu aufgesetzt sofort auf Anhieb mit Dual Wan (1x Telekom und 1x VF Kabel) läuft - das ganze im Bridge Mode sofern man keine Fritzbox bestellt hat....

    Zum Hardware Teil: Wir verwenden PFSENSE auf AMD APU Basis mit MiniITX uns 10GTech Quadro Lan Karten - das läuft einwandfrei und tut was es soll ...

    Zum OT - Teil:

    Ich bin von unserer Vodafone Leitung mehr als entsetzt.

    Am tag (wenn Otto Normal User arbeiten ist geht´s ja noch - da kommen im Schnitt 380/23 rein wobei bei gebuchter 50er Option max 24Up ja wirklich kein Burner sind. - Ping am Tag ca. 13ms -

    Wenn es Abends wird verschlimmert sich die Lage dramatisch:

    Down im Schnitt 110 Up noch gerade 11 - die Ping Zeite schießen dann schon mal auf 120-140ms hoch (kurzfristig) und pendel sich dann auf 50-70ms ein. dazu noch viele Ping Verluste ...

    Sowas als "Business Lösung" zu verkaufen ist schon dreist ...



  • Zum OT - Teil:

    Ich bin von unserer Vodafone Leitung mehr als entsetzt.

    Am tag (wenn Otto Normal User arbeiten ist geht´s ja noch - da kommen im Schnitt 380/23 rein wobei bei gebuchter 50er Option max 24Up ja wirklich kein Burner sind. - Ping am Tag ca. 13ms -

    Wenn es Abends wird verschlimmert sich die Lage dramatisch:

    Down im Schnitt 110 Up noch gerade 11 - die Ping Zeite schießen dann schon mal auf 120-140ms hoch (kurzfristig) und pendel sich dann auf 50-70ms ein. dazu noch viele Ping Verluste ...

    Sowas als "Business Lösung" zu verkaufen ist schon dreist ...

    Hallo gtrdriver,

    hmm also ich bin mit der Vodafone Leitung wirklich zufrieden, von 500/50 kommen 505/52-53 auch an, egal ob am Abend oder am Tag. Das mag daran liegen das wir auf dem "Dorf" wohnen und nicht wirklich viele Leute hier Kabel nutzen. Somit kann ich nicht klagen.

    Simone aka Antharis



  • Hallo zusammen,

    ich hätte jetzt noch eine Frage zur Hardware. Ich bin von der Watchguard weg und habe hier nun ein Intel SK1200KR Board (Mini ITX 2 Intel NIC´s) mit einem Intel XEON E31230 V2 und 16GB UDIMM liegen. Wäre das evtl geeignet?

    Gruß
    Simone aka Antharis



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    also ich bin mit der Vodafone Leitung wirklich zufrieden

    @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Somit kann ich nicht klagen.

    Okay, aber @gtrdriver z. B. steht immer noch im Regen.

    In meinem Umfeld gibt es auch seit Jahren die Problematik des Zusammenbruches der Transferleistung
    beim Kabelanschluß (Vodafone).

    Nun, die proklamierte "Digitalisierung" wird es schon richten.

    LG



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Wäre das evtl geeignet?

    Für den Hausgebrauch oder für eine Firma?

    Bei Hardware für eine Firma sollte man den Experten hier im Forum vertrauen. Ich habe da zu wenig
    Erfahrungen um Hinweise geben zu können.

    LG



  • @gtrdriver
    Ich habe das Gefühl bei VF ist das Marketing der Technik immer ein Schritt voraus, besonders bei den KD Produkten. Aber das heißt nicht, dass sie nicht bemüht wären.
    Wir haben die Erfahrung gemacht, wenn man lange genug insistiert und reklamiert bekommen sie es dann auch hin. Dauert halt manchmal ein paar Monate bis sie ein Segment geteilt haben und die Performance wieder stimmt.
    Wenn Sie aber dann mal läuft, ist sie um Klassen stabiler als DSL. Auch wenn es manchmal, wie bei Dir, anstrengend ist.



  • Das kann ich leider nicht bestätigen.

    1. Bestellung telefonisch mit Beratung - wir benötigen unbedingt den Bridge Mode - verkauft wurde uns ein Tarif mit Telefonie 50mbit Upload und Fritzbox.

    Nach Erhalt und gefühlt 200 Anrufen dann irgendwann die Aussage - Bridgemode geht nicht mit Fritzbox

    Bitte um änderung nicht Möglich - Vertrag stornieren

    1. Bestellung per Telefon GeschäftskundenHotline - explizit ohne Telefonie und mit KabelRouter - + 50mbit Upload (nach prüfung)

    Nach Erhalt - Bridgemode lässt sich aktivieren - aber Upload (egal zu welcher Tages oder Nachtzeit max 22Mbit)

    Bitte um entnahme des 50Upload - geht nicht Vertrag stornieren.

    1. Bestellung per Websystem - ohne 50er Upload sonst gleich - läuft...

    In den Typischen Geschäftszeiten (7-18 Uhr) läuft das ganz gut - ab 18 Uhr schießen die Ping Werte hoch auf 80-200ms - dazu kommen Package Losts und damit verbunden VPN Reconnects - ganz prima bei RDP Sitzungen ....

    Alles in allem muss ich seit dieser Erfahrung immer schmunzeln wenn ich irgendo was von Docsis 3.1 und "Gigabit City" lese - denn theoretisch geht das schon - in der Praxis scheint das alles doch mehr als fragwürdig ...



  • @gladius said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Wäre das evtl geeignet?

    Für den Hausgebrauch oder für eine Firma?

    Bei Hardware für eine Firma sollte man den Experten hier im Forum vertrauen. Ich habe da zu wenig
    Erfahrungen um Hinweise geben zu können.

    LG

    Für Privat. Ich denke die Konfiguration hat mehr "Power" als ein APU2 System auch wenn etwas mehr Strom verbaucht.

    Simone aka Antharis



  • @gtrdriver
    Auch wenn es jetzt nicht hilft, dass kenne ich. Eine von 10 Leitungen ist bei uns auch so ein Albtraum. Wir machen tagsüber normalen Betrieb und nachts Backup über die Leitungen via VPN. RDP/VNC nur für Support und im Notfall.
    Hast Du einen Geschäftskundenbetreuer? Versuch es mal über den Weg. Die Hotline ist meistens nicht hilfreich.
    Alternativ das KD Forum. Die Admins sind in der Regel bemüht und bekommen viel hin.
    Hast Du schon eine Beschwerde eingereicht - sieht von außen so aus, als würden die priorisiert, je mehr eintreffen.

    P.S. Nur so am Rand aus der Rosa Welt, hab hier gerade eine Anfrage für Wegerecht von einem Subunternehmer (Baufirma) für einen Hausanschluß, der vor fünf Jahren gebaut wurde :o)



  • @antharis said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Für Privat. Ich denke die Konfiguration hat mehr "Power" als ein APU2 System auch wenn etwas mehr Strom verbaucht.

    Okay, probier das Teil aus und laß uns an deinen Erfahrungen teilhaben. Es ist doch hoffentlich
    passiv gekühlt?

    Viel Glück.

    LG


  • Rebel Alliance Moderator

    @gladius said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Nur noch Hardware mit AES-NI wird ab Version 2.5 unterstützt. Eine umstrittene Entscheidung aber
    zur Zeit Stand der Dinge.
    LG

    Nur kurz dazu:

    • Die Entscheidung ist nicht umstritten, nur leider von vielen schlicht nicht verstanden
    • Die Entscheidung ist keinesfalls(!) wie angegeben bislang endgültig, sondern bezieht/bezog sich auf die Aussage, dass - sollte eine API auf 2.5 zurückportiert bzw. schon eingeführt werden - dies dann mit dem AES-NI Requirement einhergehen wird bzw. werde könnte
    • Momentan 2.5 nicht mal angekündigt ist und definitiv nicht VOR einem Rebase auf FreeBSD 12 kommen wird

    Heute Hardware ohne AES-NI einzusetzen ist da einfach generell unpraktisch. Bei pfSense wurde das Thema aber IMHO von einigen viel zu groß aufgebauscht und zu einem unnötigen Elefanten statt einer kleinen Mücke.

    Kurzes offizielles Zitat:

    It's not currently a requirement. As announced, 2.5 CE will require a CPU with AES-NI, and we've discussed 'why' (see the link). That said, development on 2.5 has just started, and I don't know if we're going to put RESTCONF in at this point. If we don't, then there won't be an AES-NI requirement!
    We do know we're going to base 2.5 on FreeBSD 12

    Gruß



  • Hallo

    ich stimme dir hier prinzpipiell zu wobei ein Blick auf die aktuellen Prozessoren (auch budget) ja zeigt dass das inzwischen stark verbreitet ist (z.B: AMD APU)

    m.E. hängt das auch stark vom Einsatzzweck und den genauen Anforderungen ab.

    Ich hatte aktuell die Anforderung dass ich >6 LAN Ports brauche

    Damit fallen bis auf Netgate Profi Hardware alle APU Lösungen oder China Embended Importe weg - hier bleibt (lassen wir jetzt mal VLAN aussen vor) nur Mainboard + Quad NIC´s



  • @gtrdriver
    Schau Dir mal so was an - vielleicht ist das ja was für Dich: JETWAY JBC153F592-Q170-G4



  • Hallo

    @gtrdriver said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Ich hatte aktuell die Anforderung dass ich >6 LAN Ports brauche
    Damit fallen bis auf Netgate Profi Hardware alle APU Lösungen oder China Embended Importe weg

    Nicht richtig. Hier wäre ein derartiges China-Teil:
    https://www.aliexpress.com/item/QOTOM-Mini-PC-Q555G6-Q575G6-with-7th-Core-i5-7200U-i7-7500U-6-Gigabit-NICs-COM/32920921042.html

    Gruß



  • Hi

    OK das ist ein Argument aber mit Zoll und einfuhr Steuer sind das dann auch ca. 350 Euro

    Als gegen Rechnung

    APU AMD board 65 Euro
    4 GB RAM 35 Euro
    Itx Cass 45 Euro
    PSU. 50 Euro
    128gb SSD. 35 Euro
    2x Server Intel nicht quad aus der Bucht a 30 Euro

    Kommt sich preislich also sehr nahe
    Bei dee Qualität die ich von den China mini PCs kenne würde ich der Eigenbau Lösung wohl den Vorzug geben auch wenn das China ding von der Größe her schon gut ist



  • Das Für und Wider musst du für dich selbst abwägen.
    Ich würde bei gleichen Preis und Aufwand auch eher zur Marke greifen. Wenn der Selbstbau für dich kein Problem ist, dann mach es doch.

    Die Qualität von China-Hardware kann man pauschal nicht schlecht reden. Viele Marken-Produkte werden heute von chinesischen Herstellern produziert und dieselben Hersteller produzieren auch unter ihrem eigenen Label.
    Ich selbst habe solch ein Qotom seit einem Jahr in Betrieb. Wenn das Ding morgen das Zeitliche segnet, war es Mist, es kann aber noch 10 Jahre laufen bis es ohnehin abgelöst wird, dann war es toll. Lässt sich aber erst hinterher sagen.



  • @gtrdriver said in pfsense selber bauen...Vodafone Kabel 500/50MBit Leitung:

    Ich hatte aktuell die Anforderung dass ich >6 LAN Ports brauche

    Moin,
    da die pfsense sehr gut mit VLAN klarkommt, wäre auch ein entsprechender Switch eine Möglichkeit.
    Weil irgendwann hat es immer einen LAN Port zu wenig auf der Hardware.

    Gruß
    Dirk



  • Hi Dirk

    ja - VLAN ist immer ne Option aus einem Port 10 zu machen...

    3 Anmerkungen:

    1: In dem aktuellen Projekt brauche ich zwischen 4 der Ports hohe Durchsatzraten (>600Mbit/s) - da scheidet VLAN aus.
    2: Ich habe VLAN noch nie mit 10GBE Hardware probiert - die kriegt man inzwischen aus dem Gebraucht Server Bereich für ein Appel und ein Ei - zumindest die Karten - was VLAN fähige 10GBE Switches Kosten weiß ich jetzt so auf die schnelle nicht ...
    3: mit einem VLAN Switch führt man in eine Infrastruktur eine weitere Aktive Komponente ein die "falsch konfiguert sein kann oder ausfallen kann



  • @gtrdriver
    Ja, spezielle Anforderungen bedingen auch spezielle Hardware.😀
    Ob so eine Qotom Box > 600 Mbit auf allen Ports schafft!? Wenn mehrere NIC auf einer pci-x lane hängen könnte es damit schwierig werden. Da fehlen mir die Erfahrungen.
    Ja, VLAN ist eine zusätzliche Fehlerquelle. Aber irgendwann fehlt Dir sowieso immer ein pysikalischer LAN Port 😉.

    Gruß
    Dirk

    PS: Bei uns haben auch 8 LAN Ports irgendwann nicht mehr gereicht.


Log in to reply