Konfiguration für Neuling



  • Hallo zusammen,

    Bin absoluter Neuling mit dem Thema Pfsense also habt bitte Nachsicht :). Ich erhoffe mir vlt. ein wenig mehr Sicherheit mit der Pfsense aber vor allem mehr Kontrolle.
    Hauptziel ist aber ein schnelleres stabiles Surfgefühl. Ich hatte zuvor 30 Mbit Download und 6 Upload aber die Seiten waren schnell da. Jetzt bin ich umgestiegen auf Cable, der Download ist zwar top aber die Seiten brauchen teilweise ewig bis sie mal öffnen. Meiner Meinung nach, liegt das am Nameserver, diese würde ich deshalb gerne selbst auswählen können.

    Bisher war mein Netzwerk folgendermaßen aufgebaut:

    Kabel Vodafone (200/50) was auch ankommt. Auffällig nur das beim Messen über Speedcheck häufig Werte mit 80 ms gemessen werden.

    *Fritzbox 6490 cable als“ Zentrale“ + Dect
    *LAN 1 <> Switch 1 (Repeater 1750e) <> Switch 2 (Repeater 1750e, Drucker, PC)
    *LAN 2 <> Nas
    *WLAN <> PS4 + 16 weitere Geräte

    Das WLAN der 6490 benötige ich nicht. Es wäre cool wenn ich mein Fritzfon behalten könnte. Die Nas soll nur in Ausnahmen vom Wan erreichbar sein. Diese würde ich dann händisch vornehmen wollen.

    Meine erste Idee war die 6490 im Bridge Modus zu betreiben was aber laut Provider nicht freigeschalten wird. Vorschlag Provider wäre ein Modem, dass sich dann wohl auch im Bridge-Mode schalten lässt (zudem 5€ günstiger pro Monat)

    Welcher Aufbau wäre sinnvoll. Die Pfsense hinter die Fritzbox oder hinter ein Modem?

    Wäre es Sinnvoll die Fritzbox zu behalten?

    Wie sieht es mit der Performance aus, reicht eine Apu2d4 dafür aus?

    Muss ich etwas bei der Konfiguration der Ps4 beachten?

    Wie verhält sich das mit Doppelten Nat, ist es eine spürbare einbusse?

    Wie konfiguriere ich dann den Wan-Port am besten?

    Gerne wäre ich auch für weitere Tipps, Tricks und links dankbar.

    Vielen Dank für eure Nachsicht und Antworten im voraus



  • Hi @Chriz91 ,

    ich versuche mal ein paar Antworten auf deine Fragen zu geben:

    • egal, ob du die Fritzbox im Bridge-Mode oder ein Modem betreibst, muisst du dir Gedanken über die Telefonie machen
    • ich würde zum Modem neigen und die pfSense im WAN über PPPoE einwählen lassen (was auch gleich bedeutet das es kein Double-NAT gibt)
    • für den reinen Router-Betrieb würde die Apu wohl ausreichen (ich betreibe die pfSense auf einem kleinen Celeron N3150)
    • du hast am Switch1 eine WLAN-Bridge für deinen PC und Drucker, das kann so bleiben. Das NAS könnte man ebenfals an den Switch1 hängen. Der Switch1 hinge dan am LAN-Port der pfSense.
    • als Ersatz für das WLAN der Fritzbox (an dem heute die PS4 hängt?) könnte dein Repeater am Switch1 fungieren oder aber ein weitwer Repeater im LAN-Mode der ein weiteres WLAN aufspannt
    • Telefon könnte man eine Dect-Basis nehmen, die per LAN angeschlossen werden kann (gibt da was von z.B. Gigaset). Da könnte man ggf. auch das Fritzfon dran integrieren (ohne Garantie)
    • für den Zugang von aussen könnte man über OpenVPN auf der pfSense nachdenken, aber über Portfreigaben ginge auch, wenn nur kurzfristig (dein NAS ist ja dann öffentlich erreichbar)

    Ich hoffe, das das ein paar Anregeungen für dich sind.

    Gruß
    fdi



  • Moin,

    machs Dir nicht schwerer als es ist:

    Fritte bleibt Router und macht Telefonie, funktioniert zuverlässig einfach so.
    Hinter die Fritte kommt pfSense, die managed dein LAN
    In der Fritte wird pfsense als exposed Host eingetragen.
    Bei Bedarf passt du unter System --> General Setup die Nameserver an.
    Läuft fluffig ohne Stress und das viel gefürchtete Double NAT tut garnicht weh.
    Ich hatte bisher noch keinen Anlass daran zu arbeiten, meine Zwerge können ihre Spiele spielen ... wenn sie nicht gerade offline sind weil der Böse wieder mal auf der leitung sitzt 👹

    VPN nimmst Du OpenVPN auf der pfSense, dank exposed Host auf der Fritte kein Problem. Wenn du es nicht brauchst einfach deaktivieren und schon ist die Kiste wieder dicht.
    Für einen 200Mbit Anschluss langt eine APU2 sofern Du kein allzu großen Spielereien installierst locker aus.

    -teddy



  • Exposed host auf der Kabelfritte funktioniert nicht immer. Hatte letztens auch das Problem, dass kein Zugriff über OpenVPN auf die Sense möglich war. Ports direkt auf der Fritte freigeschaltet und der Zugriff war sofort möglich. Bei einer Retail Fritte hatte ich die Probleme bisher nicht.

    Hohe Latenzen würde ich vorher mit der KD Hotline klären. Leider zeigt die KD Fritte keine Kabelfehler, wie es die Retailbox tut. Würde mir die MSE Werte anschauen und gucken, ob die vorgegebenen Bereich liegen.

    Die nächste Frage ist, DS-lite oder richtiges Dualstack? Mit ersterem hat man extreme Probleme, wenn die Leitung nicht 1a ist. Als Privatkunde bekommt man leider nur DS-lite bei Neuverträgen. Wer reines Dualstack will, sollte entweder einen Geschäftskundenvertrag abschließen oder sich eine Retailbox zulegen. Die Retailbox hat zudem den Vorteil, dass man die DNS-Server in der Box abändern kann und den IPv6 Traffic komplett deaktivieren kann.

    Wenn du diese Punkte abgearbeitet hast, wirst du mit der Sense glücklich. Aber schlechte Latenzen auf Grund schlechter Leitungen und einer verkonfigurierten Fritzbox kann auch die Sense nicht lösen.


  • LAYER 8 Moderator

    @bahsig said in Konfiguration für Neuling:

    Exposed host auf der Kabelfritte funktioniert nicht immer. Hatte letztens auch das Problem, dass kein Zugriff über OpenVPN auf die Sense möglich war. Ports direkt auf der Fritte freigeschaltet und der Zugriff war sofort möglich. Bei einer Retail Fritte hatte ich die Probleme bisher nicht.

    Dann war was falsch eingestellt. Exposed Host bei Fritzboxen ist wirklich fire&forget. Bei mehreren dutzend Kunden. Bei mir selbst. Ich habe noch keine erlebt, wo es ein großes Problem war, außer es wurde a) in der Konfig Murks gemacht oder b) die Kiste war nicht OK.

    @bahsig said in Konfiguration für Neuling:

    Wer reines Dualstack will, sollte entweder einen Geschäftskundenvertrag abschließen oder sich eine Retailbox zulegen. Die Retailbox hat zudem den Vorteil, dass man die DNS-Server in der Box abändern kann und den IPv6 Traffic komplett deaktivieren kann.

    Stimmt so leider auch nicht. Als Firmenkunde bekommt man teils keinen ordentlichen Dual Stack sondern dann nur v4 und v6 gar nicht (weil zu kompliziert -.-). Retailbox hin oder her - völlig wumpe - DNS und IPv6 regelt man dann immer noch auf der pfSense und nicht auf der Box davor. Somit kein Punkt der relevant ist.

    Schlechte Latenzen gebe ich aber den Vorrednern recht, die hängen auf der Leitung davor. Das muss man mit dem Kabelprovider klären.

    Für einen 200Mbit Anschluss langt eine APU2 sofern Du kein allzu großen Spielereien installierst locker aus.

    Ich bin da kein Fan von, die APU hat einfach zu wenig reserven. Ich würde ggf. einen Blick auf was größeres richten wenn es finanziell möglich ist.



  • Danke schon mal für eure Antworten,

    habe jetzt die Sense auf dem APU2 laufen. Die Fritzbox als Exposed Host konfiguriert.
    Bei der Konfiguration der Sense habe ich 3 DNS-Server eingetragen.
    Zusätzlich habe ich pfblockerng nach Anleitung installiert und ipv4 und dnsbl Listen eingetragen. Webaufrufe gehen gefühlt viel flüssiger.

    Nun sind noch ein paar Fragen aufgetaucht:

    • lohnt sich squid für mich oder macht das in der Konstellation keinen Sinn
    • wie sieht es mit Snort aus, lohnt sich der Aufwand sich da einzulesen für einen Privatanwender ?
    • Ich kam noch nicht zum Testen aber würde das WAN-Interface auf einen Ping antworten oder ist das im Standard deaktiviert ?
    • Gibt es weitere Einstellungen die ihr mir Empfehlen würdet ?

    Was ich aber nicht verstehe ist wenn ich folgendes teste tracert zu google :

    1 1 ms 1 ms 1 ms pfSense.localdomain [192.168.1.1]
    2 3 ms * 3 ms 192.168.2.1
    3 16 ms 12 ms 15 ms ipbcc261fe.dynamic.kabel-deutschland.de [188.194.97.254]
    4 13 ms 14 ms 13 ms ip5886df8e.static.kabel-deutschland.de [88.134.223.142]
    5 16 ms 21 ms 17 ms ip5886c1a0.static.kabel-deutschland.de [88.134.193.160]
    6 22 ms 18 ms 20 ms ip5886edea.static.kabel-deutschland.de [88.134.237.234]
    7 21 ms 20 ms 17 ms ip5886ed3f.static.kabel-deutschland.de [88.134.237.63]
    8 20 ms 21 ms 18 ms 209.85.172.232
    9 * * * Zeitüberschreitung der Anforderung.
    10 25 ms 24 ms 21 ms 108.170.235.252
    11 23 ms 25 ms 24 ms 108.170.251.209
    12 32 ms 22 ms 25 ms 108.170.229.168
    13 46 ms 22 ms 22 ms 72.14.239.166
    14 25 ms 24 ms 20 ms 108.170.251.129
    15 23 ms 24 ms 19 ms 66.249.94.245
    16 24 ms 23 ms 24 ms zrh04s06-in-f131.1e100.net [172.217.16.131]

    Hab ich paar mal wiederholt:
    1 1 ms 1 ms 1 ms pfSense.localdomain [192.168.1.1]
    2 3 ms 8 ms * 192.168.2.1
    1 1 ms 1 ms 1 ms pfSense.localdomain [192.168.1.1]
    2 4 ms * * 192.168.2.1

    Der * bedeutet doch keine Antwort oder ?

    Vielen dank für eure Antworten, habt mir bis jetzt schon sehr geholfen.


Log in to reply