Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss
-
Hallo zusammen!
Wir haben uns dazu entschieden, zum Kabelangebot von Vodafone zu wechseln, da in unser Straße darüber nur schnelles Internet möglich ist.
Da ich von der Arbeit aus selber pfSense nutze und daher immer wieder über die Möglichkeiten überrascht bin, bin ich am überlegen, mir zu Hause auch ein Setup mit pfSense aufzusetzen.
Nun habe ich hierzu noch einige Fragen:
-
Was für Hardware wird benötigt, um über die pfSense-Appliance ein oder
mehrere VPNs zu realisieren (zur Firma hin, sowie zum VPN-Gateway von
IPA z.B.) -
Ich muss den Router von Vondafone doch in den Bridged-Mode schalten,
oder? Sodass dann die pfSense als Router fungiert!? -
Kann ich mit der pfSense auch ein Wlan inkl. Gast-Wlan und Repeater
aufbauen und gibt es dafür auch schon eine "All-in-One-Lösung", sodass
ich nicht für alles eigene Geräte anschaffen muss? -
Kann ich DynDNS-Dienste in der pfSense konfigurieren?
Ich glaub, das wären erstmal alle Fragen :)... Über sinnvolle Anregungen bin ich euch sehr dankbar:)....
VG fluffy-bunny
-
-
Hi Bunny,
-
Grundsätzlich tut es auch ein ausrangierter PC mit mindestens zwei LAN-Ports, die ggf. auch per PCI(e)-Karte nachgerüstet werden können. Praktischer und kompakter sind Geräte, wie die APU-Boards. Etwas leistungs fähiger sind die Geräte von Qotom/NRG. Beides findest du hier: APU-Board. Wenn du VPN nutzen möchtest, ist eine CPU mit AES-NI empfehlenswert. Beide Geräte-Varianten haben AES-NI bereits an Board.
-
Sinnvoll ist auf jeden Fall, den Router des Provider in den Bridge-Modus zu schalten, sofern man kein Modem vom Provider erhalten kann, was bei privaten Anschlüssen leider meistens der Fall ist. Lässt der Provider den Bridge-Modus nicht zu, kann man sich auch eine eigene FritzBox anschaffen und diese beim Provider registrieren lassen. Noch besteht Router-Freiheit.
-
Sowohl in den APUs, als auch in den Qotoms/NRGs können WLAN-Karten (Mini-PCIe, wie in Notebooks) eingesetzt werden. Allerdings läuft die aktuelle Version der pfSense auf FeeBSD 11. Hier wird gegenwärtig nur 2,5 GHz (b/g/n) unterstützt. pfSense 2.5 wird wird auf FreeBSD 12 laufen. Wie weit und wie gut dann zukünftig 5GHz-WLAN unterstützt wird, bleibt abzuwarten. Ich nutzte selbst eine WLAN-Karte und das b/g/n-WLAN läuft gut, auch wenn meine Karte theoretisch auch "ac" könnte.
-
Ja, Dynamic DNS wird unterstützt. Die gängigen Dienste lassen sich gut konfigurieren.
Ich hoffe ich konnte dir helfen.
-
-
Als Kabelmodem würde ich Dir zum einem Technicolor TC4400 raten. Es ist ein reines Kabelmodem und bindet die pfSense optimal an das IP Netz des Kabelnetzes an. Ich habe diese Konstellation an mehreren Standorten laufen. Vorteil bei diesem Gerät, Du bekommst im Kabelnetz einen nativen Dual Stack.
-
@inciter said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Sowohl in den APUs, als auch in den Qotoms/NRGs können WLAN-Karten (Mini-PCIe, wie in Notebooks) eingesetzt werden. Allerdings läuft die aktuelle Version der pfSense auf FeeBSD 11. Hier wird gegenwärtig nur 2,5 GHz (b/g/n) unterstützt. pfSense 2.5 wird wird auf FreeBSD 12 laufen. Wie weit und wie gut dann zukünftig 5GHz-WLAN unterstützt wird, bleibt abzuwarten. Ich nutzte selbst eine WLAN-Karte und das b/g/n-WLAN läuft gut, auch wenn meine Karte theoretisch auch "ac" könnte.
Einfache Antwort: minimal bis gar nicht. Von -ac oder höheren Standards muss in FreeBSD momentan nicht ausgegangen werden, da es hier schlicht an den Treibern scheitert, die die Hersteller nicht öffnen wollen. Es hat seinen Grund, dass sich Netgate und pfSense selbst aus dem WiFi Geschäft komplett zurückgezogen haben und es auch für offizielle Hardware keine WiFi Sets mehr (wie früher) gibt. Es ist noch möglich, aber nicht mehr empfohlen. Aktuelle Standards sind hier nicht zu finden, da nicht unterstützt. Zudem bietet sich immer eine Trennung von WiFi und Firewall an, da Router/Firewalls meistens nie dort positioniert sind, wo sinnvoll eine WiFi Zelle anzusiedeln wäre. Ergänzend ist das Feature Set, was bereits günstige Lösungen von Ubiquiti und Co bieten einfach nicht nachstellbar.
-
@JeGr
Danke für die Info. Ich hatte da langfristig noch die Hoffnung, dass sich bzgl. Wifi doch noch etwas tun wird. Etwas enttäuschend, aber was soll man machen... -
@inciter said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
bzgl. Wifi doch noch etwas tun wird. Etwas enttäuschend, aber was soll man machen...
Das Problem ist leider auch stark hausgemacht bei den Herstellern. Die bieten sehr oft nur ihre Hardware/Firmware Blobs als irgendwelchen Binärsalat an, der von Linux bspw. dann einfach nachgeladen wird. Bei BSD klappt das eben nicht bzw. da bieten die Hersteller teils auch gar keine Treiber oder kompatible Teile dazu an. Vielleicht spielt da zusätzlich auch Lizenz Krams mit rein, aber wer weiß das schon.
-
@inciter said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Hi Bunny,
-
Grundsätzlich tut es auch ein ausrangierter PC mit mindestens zwei LAN-Ports, die ggf. auch per PCI(e)-Karte nachgerüstet werden können. Praktischer und kompakter sind Geräte, wie die APU-Boards. Etwas leistungs fähiger sind die Geräte von Qotom/NRG. Beides findest du hier: APU-Board. Wenn du VPN nutzen möchtest, ist eine CPU mit AES-NI empfehlenswert. Beide Geräte-Varianten haben AES-NI bereits an Board.
-
Sinnvoll ist auf jeden Fall, den Router des Provider in den Bridge-Modus zu schalten, sofern man kein Modem vom Provider erhalten kann, was bei privaten Anschlüssen leider meistens der Fall ist. Lässt der Provider den Bridge-Modus nicht zu, kann man sich auch eine eigene FritzBox anschaffen und diese beim Provider registrieren lassen. Noch besteht Router-Freiheit.
-
Sowohl in den APUs, als auch in den Qotoms/NRGs können WLAN-Karten (Mini-PCIe, wie in Notebooks) eingesetzt werden. Allerdings läuft die aktuelle Version der pfSense auf FeeBSD 11. Hier wird gegenwärtig nur 2,5 GHz (b/g/n) unterstützt. pfSense 2.5 wird wird auf FreeBSD 12 laufen. Wie weit und wie gut dann zukünftig 5GHz-WLAN unterstützt wird, bleibt abzuwarten. Ich nutzte selbst eine WLAN-Karte und das b/g/n-WLAN läuft gut, auch wenn meine Karte theoretisch auch "ac" könnte.
-
Ja, Dynamic DNS wird unterstützt. Die gängigen Dienste lassen sich gut konfigurieren.
Ich hoffe ich konnte dir helfen.
Hallo zusammen! Entschuldigt bitte die späte Antwort, ich hoffe ihr könnt mir abermals helfen.
@inciter : Deine Antwort hat mir am meisten geholfen und ich habe mir überlegt, mir ein PC Engines APU.4D4 Board zuzulegen, jedoch weiß ich nicht, ob ich darauf dann auch ein IDS / IPS betreiben kann und wie es mit einem OpenVPN-Server ausschaut...
Mit AES-NI Unterstützung ist's bei dem Board ja schwierig und die fest verlöteten 4GB RAM sind natürlich auch nicht sooo viel...
Ein Arbeitskollege hat mir zudem noch den folgenden Mini-PC empfohlen, welcher 6GB RAM hat:
https://www.amazon.de/AWOW-Windows-Desktop-Computer-Celeron/dp/B07X92KDXP/ref=sr_1_9?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&dchild=1&keywords=mini+pc&qid=1606146088&sr=8-9
Aber da weiß ich auch nicht so wirklich, was ich davon halten soll.
Problem wird sein, dass meine 'magische Schallgrenze' für die Ausgabe bei 200€ liegt. Da bekommt man wahrscheinlich noch nichts vernünftiges für mein Vorhaben, oder?
-
-
Moinsen,
vorab: bin nur Hobykelleradmin, also nix mit Profi oder Gewerbe...Hier läuft ebenfalls ein APU Board, allerdings die Vorversion zu dem o.g. Board.
AES-NI geht hier völlig problemlos...
openVPN ebenso (sind aber maximal 3 Clients zeitgleich im Tunnel, je nach deiner benötigten Anzahl könnte ein kräftigeres Board tatsächlich sinnig sein)
Ich hab damals ziemlich genau 200 Euro gezahlt für Board und Gehäuse, sollte also auch passen...Du kannst den Router (wenn das Modell es denn kann) in den Modus versetzen, so dass es nur als Modem läuft. Dann eben DynDNS auf den jeweiligen Router legen...ich habe hier sogar bei der Fritzbox den Router Modus belassen, entgegen der allermeisten Erfahrungen im Netz habe ich aber keine spürbaren Probleme mit doppelt NAT (muss eben eine PWL im Fritzboxrouter anlegen).
Da die meiste Technik im Keller steht, war die wifi-Option des Apu eh egal...einen guten und günstigen AP anschaffen, gerne mit Möglichkeit verschiedene ssids zu bedienen, dann geht es auch mit VLANs und dementsprechender Trennung von zB Gästen und "Einheimischen"...
Viel Spass!
Th30ther -
Na die APU ist halt in die Jahre geommen und für die Watts gibts deutlich mehr Power, wenn man was anderes einsetzt.
Ich habe hier ein TC-4400 und dann mein SG-3100, Switch und dann UniFi APs.
Das ist eine sehr schicke Kombination, jedoch nicht in dem Preisrahmen zu stemmen, alleine das Modem ist mit über 100€ dabei.Da ich die Power der Sense ausfahren wollte, kam für ich eine Fbox davor mit einem Intel Puma nicht in Frage, bin von der 6490 genug geschädigt.
Eine 7430 diehnt hier dann als DECT Station und SIP TK. -
@the-other said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Moinsen,
vorab: bin nur Hobykelleradmin, also nix mit Profi oder Gewerbe...Hier läuft ebenfalls ein APU Board, allerdings die Vorversion zu dem o.g. Board.
AES-NI geht hier völlig problemlos...
openVPN ebenso (sind aber maximal 3 Clients zeitgleich im Tunnel, je nach deiner benötigten Anzahl könnte ein kräftigeres Board tatsächlich sinnig sein)
Ich hab damals ziemlich genau 200 Euro gezahlt für Board und Gehäuse, sollte also auch passen...Du kannst den Router (wenn das Modell es denn kann) in den Modus versetzen, so dass es nur als Modem läuft. Dann eben DynDNS auf den jeweiligen Router legen...ich habe hier sogar bei der Fritzbox den Router Modus belassen, entgegen der allermeisten Erfahrungen im Netz habe ich aber keine spürbaren Probleme mit doppelt NAT (muss eben eine PWL im Fritzboxrouter anlegen).
Da die meiste Technik im Keller steht, war die wifi-Option des Apu eh egal...einen guten und günstigen AP anschaffen, gerne mit Möglichkeit verschiedene ssids zu bedienen, dann geht es auch mit VLANs und dementsprechender Trennung von zB Gästen und "Einheimischen"...
Viel Spass!
Th30therVielen Vielen Dank dir für deine Einschätzung @the-other :).
Hast du bei dir auch ein IDS / IPS eingerichtet oder nutzt du die pfSense "nur" für VPN?
Ich liebäugel ja immernoch mit einem Ubiquiti UniFi Switch 8, 60W, 8 Gbit Ports, 4 * PoE out und einem kleinen USW Flex Mini, an welchem ich dann zwei PCs + einen AP (ebenfalls Ubiquiti) betreiben würde.
Am großen Switch würden dann die pfSense, der kleinen Switch und zwei APs (ebenfalls Ubiquiti) im Keller hängen.
Aber wahrscheinlich wird das schon recht kostspielig :(...
-
@NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Na die APU ist halt in die Jahre geommen und für die Watts gibts deutlich mehr Power, wenn man was anderes einsetzt.
Danke auch dir @NOCling!
Was kannst du denn stattdessen empfehlen, was gut als Alternative zum APU-Board herhält und doch ziemlich stromsparend ist?Ich habe hier ein TC-4400 und dann mein SG-3100, Switch und dann UniFi APs.
Das ist eine sehr schicke Kombination, jedoch nicht in dem Preisrahmen zu stemmen, alleine das Modem ist mit über 100€ dabei.Habe mal bezüglich der SG-3100 geschaut und die schlägt ja doch auch mit ca. 460€ zu Buche, was dann doch ein wenig teuer ist :O :O
Da ich die Power der Sense ausfahren wollte, kam für ich eine Fbox davor mit einem Intel Puma nicht in Frage, bin von der 6490 genug geschädigt.
Eine 7430 diehnt hier dann als DECT Station und SIP TK.Ich habe überlegt, die Vodafone Station bei mir dann noch als DECT Station zu nutzen. Das sollte doch problemlos möglich sein, oder?
-
Ja wenn die das kann, ist das eine Möglichkeit, aber in meinem Bunkerkeller, ist die völlig falsch platziert.
Hier musste ja auch ein AP in den Keller, sonst ist da teilweise nix mit WLAN, vom Handynetz ganz zu schweigen, da musst das schon ins Kellerfenster stellen.Jetzt gibts ja auch das SG-2100, das war als ich die größere brauchte aber noch nicht raus.
Das schön an der Netgate Appliance ist halt, die läuft mit der Sense total Sorgenfrei.Ich hatte nur mit dem pfBlockerNG ein paar Differenzen was dessen max Ram Nutzung beim Cron angeht.
Das musste ich in der ini hoch stellen.
Aber es ist halt schon irre, was diese Teil alles für einen Müll vom eigenem Client fern hällt.Die ist ja noch nicht EOS und damit noch einige Jahre nutzbar. Sprich hält die 5 Jahre, sind das keine 10€ im Monat inkl. Strom.
Aktuell würde ich aber auch auf das SG-2100 zurück greifen, bis es hier mal 10GBit gibt, wird noch einiges an Zeit vergehen.
Und bis dahin wird ARM auch in die größeren Appliances Einzug halten.IDS/IPS brauche ich @home nur zum spielen, genauso wie ein Proxy inkl. https encryption, das ist mir dann doch zu stressig.
-
Hallo Bunny
vielleicht kann ich ein zwei Sachen einwerfen:
Was für Hardware wird benötigt, um über die pfSense-Appliance ein oder
mehrere VPNs zu realisieren (zur Firma hin, sowie zum VPN-Gateway von
IPA z.B.)
Das Problem ist: du hast nicht geschrieben, wieviel Bandbreite du überhaupt bedienen möchtest. Damit steht und fällt das Ganze so ziemlich, denn eine per/user o.ä. Regel gibt es ja nicht. Somit ist allein Bandbreite und Paketwünsche der entscheidende Faktor. Wenn wir bis 100Mbps reden ist die APU2/3/4 (alles das gleiche Gerät) sicher kein Problem. Wenn wir über 250+ reden, wärst du sicher mit was anderem besser dran.
Ich muss den Router von Vondafone doch in den Bridged-Mode schalten,
oder? Sodass dann die pfSense als Router fungiert!?
Kannst du, musst du aber nicht. Wenn es geht - auf jeden Fall besser, sofern du keine wichtige Funktion davon brauchst. Inwiefern er als "Bridge/Modem" dann aber noch DECT spricht ist z.B. nicht zu klären, könnte sein, dass er den Port einfach an die pfSense durchreicht und selbst aber noch eine Verbindung hat, kann aber auch sein dass er dann alles abklemmt.
Kann ich mit der pfSense auch ein Wlan inkl. Gast-Wlan und Repeater
aufbauen und gibt es dafür auch schon eine "All-in-One-Lösung", sodass
ich nicht für alles eigene Geräte anschaffen muss?
Leider eher nicht. Es gab/gibt zwar (immer noch) Antennen und Karten zum Verbauen, aber diese sind schon lange nicht mehr auf dem Stand der Technik was WiFi angeht. Karten, welche unterstützt werden und die 802.11ac (Wifi5) oder ganz neu WiFi6 können gibt es nicht und wird es wohl auch nicht geben. Da klemmt es stark an den Treibern der Hersteller, die sich da ganz auf Linux und embedded fokussieren.
Da bist du bspw. mit Ubiquiti APs glücklicher, auch wenn die extra kosten.Kann ich DynDNS-Dienste in der pfSense konfigurieren?
Aber selbstredend :)
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Ich habe überlegt, die Vodafone Station bei mir dann noch als DECT Station zu nutzen. Das sollte doch problemlos möglich sein, oder?
Siehe oben, das müsste man mal klären, ob im Bridge Modus noch VoIP gemacht und Telefonie unterstützt wird. Das weiß ich gerade leider auch nicht.
Was kannst du denn stattdessen empfehlen, was gut als Alternative zum APU-Board herhält und doch ziemlich stromsparend ist?
NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Jetzt gibts ja auch das SG-2100, das war als ich die größere brauchte aber noch nicht raus.Da würde ich tatsächlich auch in die Richtung tendieren. Die SG-2100 ist schon ein kleines Kraftpaket. Liegt zwar bei ca. 299€ und damit auch etwas drüber, aber dafür kann sie mit 4GB RAM daher, also doppelt so viel wie der SG-3100. Der WAN Port ist doppelt nutzbar (einmal als SFP, einmal als RJ45 normaler Anschluß) und es gibt sogar 4 zusätzliche Ports, die default sogar geswitcht sind. Man kann diese zwar wie bei SG-1100/3100/7100 auch einzeln konfigurieren und nutzen aber wenn man die Box für kleine Zwecke braucht, kann so ein integrierter Switch schon sehr praktisch sein. Ich sehe da die SG2100 quasi in direkter Konkurrenz zu einer Fritzbox (ohne WLAN). Wirklich tolles Ding geworden und bei dem Preispunkt fast unangefochten. Mit ein wenig mehr Zuzahlung ~40€ gibts auch 32GB M2 SSD intern statt den 8GB eMMC (die aber für Standardnutzung völlig reichen).
Da ich deine Anforderungen bzgl. Bandbreite leider nicht kenne, gehts nicht genauer, aber ich denke - auch wenns teurer wird/ist - dass du mit einer Kombination aus SG-2100 und bspw. einem Unifi AP von Ubiquiti langfristig wesentlich besser und glücklicher fährst als mit einer APU und dort WiFi mit reingequetscht - zumal es nur langsames WiFi3/4 sein wird.
Cheers
\jens -
@NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Jetzt gibts ja auch das SG-2100, das war als ich die größere brauchte aber noch nicht raus.
Das schön an der Netgate Appliance ist halt, die läuft mit der Sense total Sorgenfrei.Okay, das liest sich wirklich so, als wäre die SG-2100 schon eine Inverstition ins 'längerfristige' und man hat auf jedenfall was davon :)....
Ich hatte nur mit dem pfBlockerNG ein paar Differenzen was dessen max Ram Nutzung beim Cron angeht.
Das musste ich in der ini hoch stellen.
Aber es ist halt schon irre, was diese Teil alles für einen Müll vom eigenem Client fern hällt.Reichen denn dann bei der SG-2100 auch die 4GB RAM aus? Oder wird das auf Dauer dann doch dünn?
IDS/IPS brauche ich @home nur zum spielen, genauso wie ein Proxy inkl. https encryption, das ist mir dann doch zu stressig.
Weißt du denn, ob ich mit der SG-2100 auch gut nen IDS/IPS betreiben kann?
-
@JeGr said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Hallo @JeGr ,zunächst erstmal vielen vielen Dank dir für deine wirklich sehr ausführliche Erklärung. Das hat bei mir schon ein wenig mehr ''Licht ins Dunkel" gebracht und ich kann mir doch schon besser vorstellen, was ich bei meinem Setup berücksichtigen sollte / müsste....
Das Problem ist: du hast nicht geschrieben, wieviel Bandbreite du überhaupt bedienen möchtest. Damit steht und fällt das Ganze so ziemlich, denn eine per/user o.ä. Regel gibt es ja nicht. Somit ist allein Bandbreite und Paketwünsche der entscheidende Faktor. Wenn wir bis 100Mbps reden ist die APU2/3/4 (alles das gleiche Gerät) sicher kein Problem. Wenn wir über 250+ reden, wärst du sicher mit was anderem besser dran.
Also zur Zeit haben wir einen Vodafone Kabelanschluss mit ner Datenrate von 200Mbit/s.
Da ich aber auf lange Frist gesehen gerne auch Glasfaser hätte und hier in unserer Kleinstadt der Ausbau doch vorangetrieben wird, werde ich da laut deiner Aussage mit nem APU2/3/4 ja dann doch schnell an Grenzen stoßen, oder hab ich dich missverstanden?Ich muss den Router von Vondafone doch in den Bridged-Mode schalten,
oder? Sodass dann die pfSense als Router fungiert!?
Kannst du, musst du aber nicht. Wenn es geht - auf jeden Fall besser, sofern du keine wichtige Funktion davon brauchst. Inwiefern er als "Bridge/Modem" dann aber noch DECT spricht ist z.B. nicht zu klären, könnte sein, dass er den Port einfach an die pfSense durchreicht und selbst aber noch eine Verbindung hat, kann aber auch sein dass er dann alles abklemmt.
Hmm, das sollte ich dann wahrscheinlich bei Vodafone in Erfahrung bringen, oder wer kann mir das sagen?
Kann ich mit der pfSense auch ein Wlan inkl. Gast-Wlan und Repeater
aufbauen und gibt es dafür auch schon eine "All-in-One-Lösung", sodass
ich nicht für alles eigene Geräte anschaffen muss?
Leider eher nicht. Es gab/gibt zwar (immer noch) Antennen und Karten zum Verbauen, aber diese sind schon lange nicht mehr auf dem Stand der Technik was WiFi angeht. Karten, welche unterstützt werden und die 802.11ac (Wifi5) oder ganz neu WiFi6 können gibt es nicht und wird es wohl auch nicht geben. Da klemmt es stark an den Treibern der Hersteller, die sich da ganz auf Linux und embedded fokussieren.
Da bist du bspw. mit Ubiquiti APs glücklicher, auch wenn die extra kosten.Okay, damit hab ich mich gedanklich ehrlich gesagt mittlerweile auch schon abgefunden und mir nen AC-LR in die Wohnung gehangen. Wir würden nur gerne die "Wlan-Strahlung" so gering wie möglich halten und daher bin ich am überlegen, den AC-LR nur im Keller zu betreiben. Jedoch weiß ich nicht, inwiefern dieser dann mit dem Empfang dann durch die Stahlbetondecke kommt, aber mal schauen...
Kann ich DynDNS-Dienste in der pfSense konfigurieren?
Aber selbstredend :)
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Ich habe überlegt, die Vodafone Station bei mir dann noch als DECT Station zu nutzen. Das sollte doch problemlos möglich sein, oder?
Siehe oben, das müsste man mal klären, ob im Bridge Modus noch VoIP gemacht und Telefonie unterstützt wird. Das weiß ich gerade leider auch nicht.
Was kannst du denn stattdessen empfehlen, was gut als Alternative zum APU-Board herhält und doch ziemlich stromsparend ist?
NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Jetzt gibts ja auch das SG-2100, das war als ich die größere brauchte aber noch nicht raus.Da würde ich tatsächlich auch in die Richtung tendieren. Die SG-2100 ist schon ein kleines Kraftpaket. Liegt zwar bei ca. 299€ und damit auch etwas drüber, aber dafür kann sie mit 4GB RAM daher, also doppelt so viel wie der SG-3100. Der WAN Port ist doppelt nutzbar (einmal als SFP, einmal als RJ45 normaler Anschluß) und es gibt sogar 4 zusätzliche Ports, die default sogar geswitcht sind. Man kann diese zwar wie bei SG-1100/3100/7100 auch einzeln konfigurieren und nutzen aber wenn man die Box für kleine Zwecke braucht, kann so ein integrierter Switch schon sehr praktisch sein. Ich sehe da die SG2100 quasi in direkter Konkurrenz zu einer Fritzbox (ohne WLAN). Wirklich tolles Ding geworden und bei dem Preispunkt fast unangefochten. Mit ein wenig mehr Zuzahlung ~40€ gibts auch 32GB M2 SSD intern statt den 8GB eMMC (die aber für Standardnutzung völlig reichen).
Blöde Frage, aber wo bekomme ich die SG-2100 denn her? Ich habe zwar einen französischen Shop gefunden, aber ansonsten leider nicht wirklich viel :(... Und bezüglich des intgrierten Switches... Das heißt, ich bräuchte mir dann eigentlich auch kein Ubiquiti UniFi Switch 8, 60W, 8 Gbit Ports zulegen, sondern könnte meine Rechner + APs dann auch direkt an die pfSense anstöpseln, oder?
Da ich deine Anforderungen bzgl. Bandbreite leider nicht kenne, gehts nicht genauer, aber ich denke - auch wenns teurer wird/ist - dass du mit einer Kombination aus SG-2100 und bspw. einem Unifi AP von Ubiquiti langfristig wesentlich besser und glücklicher fährst als mit einer APU und dort WiFi mit reingequetscht - zumal es nur langsames WiFi3/4 sein wird.
Nee, das mit dem WiFI + pfSense hab ich eigentlich schon lange durch ;).
Wie gesagt, Bandbreite ist momentan 200 Mbit/s mit hoffentlich bald noch einiger Luft nach oben. Die Appliance sollte das auch schon einige Jahre mit machen ;)...VG Bunny
-
Beim IDS/IPS wird das SG-2100 dann kein GBit mehr schaffen, die SG-3100 laut Lawrance schon.
Ich fahren bei meinen Eltern das SG-1100 und der pfBlockerNG hat hier einiges in den Listen und das läuft damit sehr gut, bei gerade aktuell 43% Ram Nutzung. Beim nächtlichem List Update, gehts dann mit dem Ram 12% hoch, bis 3h später das nicht mehr benötigte wieder als inaktiv und damit verfügbar geführt wird.
Du muss bei sehr großen Listen, wie in meinem Fall halt die Max Ramnutzung hoch setzen und die Firewall Maximum Table Entries.
Wenn du dir sorgen um die WLAN Strahlung machst, dann verwende besser keine Mikrowelle, werfe dein Handy mit LTE weg und setze nen Aluhut auf.
Im Ernst, da sollst du dir um DECT mehr sorgen machen.
Und mit gescheiten Blocklisten, brauchst du ein IDS mehr, da die bösen Seiten gar nicht mehr erreichbar sind.
-
@NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Beim IDS/IPS wird das SG-2100 dann kein GBit mehr schaffen, die SG-3100 laut Lawrance schon.
Hat er das schon getestet? Wäre mir da ehrlich gesagt nicht ganz so sicher, weil CPU neuer, mehr RAM etc. aber kann gut sein. Darum die Nachfrage :)
Wenn du dir sorgen um die WLAN Strahlung machst, dann verwende besser keine Mikrowelle, werfe dein Handy mit LTE weg und setze nen Aluhut auf.
Da fehlt ein Smiley, aber es stimmt schon. WiFi ist da nicht so schlimm wie manch anderes, aber wird irgendwie gern als Sündenbock genommen.
Und mit gescheiten Blocklisten, brauchst du ein IDS mehr, da die bösen Seiten gar nicht mehr erreichbar sind.
Da bin ich dabei. Der Punkt ist: warum will man IDS/IPS. Und überwacht man das auch ständig. IDS ist nichts, was "one click, fire&forget" ist, sondern etwas was man ständig nachjustiert und überwacht. Will man das? Für zu Hause? Das ist dann eher die Frage. Und wie tief will man ggf. Verkehr abgehend kontrollieren, denn eingehend - zu Hause - ist da eher nichts, was man jetzt mit IDS schützen müsste. Es sei denn man hat Glasfaser und hostet selbst Services vom Internet aus zugänglich. Dann ist das aber eh ein anderes Kaliber!
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Also zur Zeit haben wir einen Vodafone Kabelanschluss mit ner Datenrate von 200Mbit/s.
Dafür reicht die 2100 garantiert.
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Da ich aber auf lange Frist gesehen gerne auch Glasfaser hätte und hier in unserer Kleinstadt der Ausbau doch vorangetrieben wird, werde ich da laut deiner Aussage mit nem APU2/3/4 ja dann doch schnell an Grenzen stoßen, oder hab ich dich missverstanden?
Bei 200er Leitung würde ich die APU schon eher vergessen wollen - kann man aber sicherlich noch weiter nutzen wenn man nicht viel damit macht. Wenn man über Glasfaser und/oder 500Mbps aufwärts nachdenkt - nope. Weg damit.
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Hmm, das sollte ich dann wahrscheinlich bei Vodafone in Erfahrung bringen, oder wer kann mir das sagen?
Kann ich mit der pfSense auch ein Wlan inkl. Gast-Wlan und Repeater
aufbauen und gibt es dafür auch schon eine "All-in-One-Lösung", sodass
ich nicht für alles eigene Geräte anschaffen muss?Leider nicht, würde ich gern. Vielleicht weiß es jemand anderes aber ich habe leider die Vodafone Box nicht und kann es nicht testen, wie sich DECT verhält, wenn man Bridge Mode anmacht.
Bei der Fritte ist es tatsächlich so - bei den Boxen wo es noch geht(!) - dass bei Aktivierung der Bridge der entsprechende Port (2,3,4) dann durchgeschaltet wird und sich direkt bei Kabel anmeldet, während die Fritte selbst aber auch(!) zusätzlich angemeldet ist/bleibt. Man hat da dann tatsächlich 2 IPs, die Sense via DHCP/DHCP6 direkt am Kabelanschluß sowie die FB ebenfalls. Daher funktioniert deren WLAN und DECT/VoIP Modul natürlich weiter aber über die "andere virtuelle Leitung".@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Okay, damit hab ich mich gedanklich ehrlich gesagt mittlerweile auch schon abgefunden und mir nen AC-LR in die Wohnung gehangen. Wir würden nur gerne die "Wlan-Strahlung" so gering wie möglich halten und daher bin ich am überlegen, den AC-LR nur im Keller zu betreiben. Jedoch weiß ich nicht, inwiefern dieser dann mit dem Empfang dann durch die Stahlbetondecke kommt, aber mal schauen...
Um das nochmal aufzugreifen: wenn man die Strahlung reduzieren möchte, ist es sogar sinnvoller, mehr Geräte zu kaufen. Warum? Weil man dann die APs in den Zimmern oder Zimmergruppen taktisch positionieren kann und dort dann von der Strahlung runterschraubt, damit sie eine kleinere Blase abdecken und nicht "volle-lotte-XXL" auf Max Anschlag haut, wie das irgendwie gefühlt jeder tut. Das Problem: WLAN ist wie Radio/Funk ein geteiltes Medium. Je mehr Brüll-Heinze es gibt umso weniger versteht man sich generell auf dem Medium. Wohnt man also in nem Block mit viel 2,4er WLAN wo jeder noch mehr und noch mehr aufdreht damit er der stärkste ist (und damit beweist dass er keine Ahnung hat), dann hat man ein völlig übersteuertes 2,4er Band mit Strahlung. Ob du dann selbst noch welche hast oder nicht - völlig egal. Die Funkwellen hören ja nicht auf bei dir in der Wohnung ;)
Sinnvoller: Blasen dort erzeugen wo sie wirklich gebraucht werden und den Rest dann "nur" mit abdecken. Dort hat man dann vielleicht kein Vollausschlag mit x00-Mbps aber das brauch ich aufm Klo bspw. auch nicht
Also ganz klassisch bspw. da Spots postieren wo gute Abdeckung sein muss, dann dort Ausleuchten und ggf. reduzieren, dass man keinen Brüll-Heinz hat und dann eben noch 1-2 andere Punkte schaffen. DAS reduziert dann tatsächlich die Strahlung weil ich dann bspw. im Wohnzimmer oder Arbeitszimmer Spots habe die stark sind (aber nicht zu stark) und im Zimmer selbst völlig für max Speed reichen, wenn ich davon weggehe wirds aber gerade bei 5GHz schneller weniger. Dann hab ich ggf. (wenn nötig) Zwischenbereiche wo es nur noch langsamer mit 2,4er Netz erreichbar ist oder wo eben dann die nächste Blase vom AP greift. Aber man hat dann nicht einen LR AP der auf 100% volle Lotte schreit, damit man den Winkel im Schlafzimmer noch mit erwischt und da WLAN hat, dafür aber im WoZi bspw. den Mega Ausschlag hat der fast übersteuert. Das sind dann die Momente à la "ich sitz direkt neben dem AP mit dem Laptop und bekomme keine volle Geschwindigkeit mimimi" - jap, ich würde mich auch nicht gern so anbrüllen lassen ^^WiFi ist da ein komplexes Thema was einfach gern mißverstanden wird. Zudem würde ich warten, im Dezember kommen die neuen WiFi 6 APs, teuer aber bringen dann wesentlich mehr als alte WiFi4/WiFi5
Blöde Frage, aber wo bekomme ich die SG-2100 denn her?
Ich habe zwar einen französischen Shop gefunden, aber ansonsten leider nicht wirklich viel :(Einfach auf der Netgate Seite den Partner Locator anwerfen. Da sind sämtliche Netgate Partner in DE gelistet und ob sie HW verkaufen oder nicht. Es gibt aber genug die das tun, kein Grund in FR oder sonstwo zu bestellen :)
Das heißt, ich bräuchte mir dann eigentlich auch kein Ubiquiti UniFi Switch 8, 60W, 8 Gbit Ports zulegen, sondern könnte meine Rechner + APs dann auch direkt an die pfSense anstöpseln, oder?
Die 2100 hat "nur" 4 Ports. Wenn du aber eh schon einen AP (oder ggf. mehrere) von Unifi anpeilst, würde ich ggf. auch einen Switch davon nehmen, da du dann alles Netzwerk-ige via Unifi Controller steuern kannst und ansonsten nur noch die pfSense hast und sonst nix mehr. :) Gerade wenn man Netzwerk/VLAN nur an einer Stelle regeln muss (wenn die VLAN Settings auf der pfSense mal durch sind), ist das sehr angenehm. Wenn du nur 3-4 Geräte hast ist es also OK'ish, ansonsten würde ich nen Switch von Unifi nehmen.
Wobei du da schauen solltest was du brauchst. Wenn dir 4-5 Ports genügen, gibt es auch andere Switche wie den Flex mit 5 Ports die noch günstiger sind als der kleine 8er mit nur einem PoE Port. Da müsstest du dann aber sagen, was du brauchst :) Zumal: wenn du einen Switch mit wenigstens einem PoE Port hast (der US-8 hat ja einen) kannst du dir Strom zum Access Point sparen und ihn mit PoE betreiben ohne zusätzlich irgendwo den PoE Injector zu brauchen.
Nee, das mit dem WiFI + pfSense hab ich eigentlich schon lange durch ;).
Puh
LG
\jens -
@JeGr
Da das SG-2100 mit 880MBit FW Durchsatz angegeben ist, wir auch mit Suricata da nicht mehr durch passen, eher im Gegenteil.Und wenn ich das richtig sehe, ist der SOC der gleiche wie beim SG-1100, ggf. mir mehr Anbauten, aber der taktet weiterhin mit 1,2GHz und ist ein ARM v8, damit ist hier die Rechenleistung recht gut abschätzbar.
-
@NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Und wenn ich das richtig sehe, ist der SOC der gleiche wie beim SG-1100, ggf. mir mehr Anbauten, aber der taktet weiterhin mit 1,2GHz und ist ein ARM v8, damit ist hier die Rechenleistung recht gut abschätzbar.
Ah stimmt, das hatte ich im Hinterkopf vergessen. Noch nicht dazu gekommen damit rumzuspielen :)
-
@JeGr Zunächst einmal vielen vielen Dank dir abermals für deine wirklich sehr ausführliche und gute Erklärung :).
Das hilft mir schon ungemein ;)@JeGr said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
@NOCling said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Beim IDS/IPS wird das SG-2100 dann kein GBit mehr schaffen, die SG-3100 laut Lawrance schon.
Hat er das schon getestet? Wäre mir da ehrlich gesagt nicht ganz so sicher, weil CPU neuer, mehr RAM etc. aber kann gut sein. Darum die Nachfrage :)
Wenn du dir sorgen um die WLAN Strahlung machst, dann verwende besser keine Mikrowelle, werfe dein Handy mit LTE weg und setze nen Aluhut auf.
Da fehlt ein Smiley, aber es stimmt schon. WiFi ist da nicht so schlimm wie manch anderes, aber wird irgendwie gern als Sündenbock genommen.
Ja, ich muss gestehen, dass sich in Bezug auf WiFi meine Frau und ich uns so gar nicht einig sind :(...
Ich kann's sehr gut verstehen was du meinst, dass es sinnvoller ist, sogar mehr APs anzubringen, um so die Reichweite zu entzerren und die Antennen der Geräte nicht so "hoch drehen zu lassen".
Nur leider hält meine Frau so gar nichts von WIFI und ich weiß auch noch nicht, wie ich ihr das beibringen soll :(....Und mit gescheiten Blocklisten, brauchst du ein IDS mehr, da die bösen Seiten gar nicht mehr erreichbar sind.
Da bin ich dabei. Der Punkt ist: warum will man IDS/IPS. Und überwacht man das auch ständig. IDS ist nichts, was "one click, fire&forget" ist, sondern etwas was man ständig nachjustiert und überwacht. Will man das? Für zu Hause? Das ist dann eher die Frage. Und wie tief will man ggf. Verkehr abgehend kontrollieren, denn eingehend - zu Hause - ist da eher nichts, was man jetzt mit IDS schützen müsste. Es sei denn man hat Glasfaser und hostet selbst Services vom Internet aus zugänglich. Dann ist das aber eh ein anderes Kaliber!
Und ja, auch hier bin ich bei dir. Wenn die Pflege eines IDS doch soo aufwändig ist, dann belasse ich es doch lieber bei einem IPS, um nur Blacklisten einzupflegen und dies dann nicht andauernd "nachjustieren" zu müssen, oder hab ich dich da falsch verstanden!?
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Also zur Zeit haben wir einen Vodafone Kabelanschluss mit ner Datenrate von 200Mbit/s.
Dafür reicht die 2100 garantiert.
Okay, reicht die 2100 aber auch für einen Gigabit Glasfaser-Anschluss z.B.?
Ich bin ansonsten am überlegen, mir sowas stattdessen zu holen?
---> https://protectli.com/product/fw4a/@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Da ich aber auf lange Frist gesehen gerne auch Glasfaser hätte und hier in unserer Kleinstadt der Ausbau doch vorangetrieben wird, werde ich da laut deiner Aussage mit nem APU2/3/4 ja dann doch schnell an Grenzen stoßen, oder hab ich dich missverstanden?
Bei 200er Leitung würde ich die APU schon eher vergessen wollen - kann man aber sicherlich noch weiter nutzen wenn man nicht viel damit macht. Wenn man über Glasfaser und/oder 500Mbps aufwärts nachdenkt - nope. Weg damit.
@fluffy-bunny said in Tipps für Hardware für pfSense-Aufbau bei Vodafone-Anschluss:
Hmm, das sollte ich dann wahrscheinlich bei Vodafone in Erfahrung bringen, oder wer kann mir das sagen?
Kann ich mit der pfSense auch ein Wlan inkl. Gast-Wlan und Repeater
aufbauen und gibt es dafür auch schon eine "All-in-One-Lösung", sodass
ich nicht für alles eigene Geräte anschaffen muss?Leider nicht, würde ich gern. Vielleicht weiß es jemand anderes aber ich habe leider die Vodafone Box nicht und kann es nicht testen, wie sich DECT verhält, wenn man Bridge Mode anmacht.
Bei der Fritte ist es tatsächlich so - bei den Boxen wo es noch geht(!) - dass bei Aktivierung der Bridge der entsprechende Port (2,3,4) dann durchgeschaltet wird und sich direkt bei Kabel anmeldet, während die Fritte selbst aber auch(!) zusätzlich angemeldet ist/bleibt. Man hat da dann tatsächlich 2 IPs, die Sense via DHCP/DHCP6 direkt am Kabelanschluß sowie die FB ebenfalls. Daher funktioniert deren WLAN und DECT/VoIP Modul natürlich weiter aber über die "andere virtuelle Leitung".Okay, sonst muss ich mich hier vielleicht nochmal bei meinem Provider oder im Forum von Vodafone erkundigen ;)...
Das heißt, ich bräuchte mir dann eigentlich auch kein Ubiquiti UniFi Switch 8, 60W, 8 Gbit Ports zulegen, sondern könnte meine Rechner + APs dann auch direkt an die pfSense anstöpseln, oder?
Die 2100 hat "nur" 4 Ports. Wenn du aber eh schon einen AP (oder ggf. mehrere) von Unifi anpeilst, würde ich ggf. auch einen Switch davon nehmen, da du dann alles Netzwerk-ige via Unifi Controller steuern kannst und ansonsten nur noch die pfSense hast und sonst nix mehr. :) Gerade wenn man Netzwerk/VLAN nur an einer Stelle regeln muss (wenn die VLAN Settings auf der pfSense mal durch sind), ist das sehr angenehm. Wenn du nur 3-4 Geräte hast ist es also OK'ish, ansonsten würde ich nen Switch von Unifi nehmen.
Wobei du da schauen solltest was du brauchst. Wenn dir 4-5 Ports genügen, gibt es auch andere Switche wie den Flex mit 5 Ports die noch günstiger sind als der kleine 8er mit nur einem PoE Port. Da müsstest du dann aber sagen, was du brauchst :) Zumal: wenn du einen Switch mit wenigstens einem PoE Port hast (der US-8 hat ja einen) kannst du dir Strom zum Access Point sparen und ihn mit PoE betreiben ohne zusätzlich irgendwo den PoE Injector zu brauchen.
Hmm, da könnte ich - wenn ich dich da richtig verstanden habe - j auch einfach zwei Flex mit je 5 Ports nehmen, um mein Vorhaben zu realisieren. VLANs kann ich doch wahrscheinlich darüber auch machen, oder?