Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Provider/ Anschlusswechsel - etwas ändern?

    Deutsch
    2
    7
    826
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Tobi
      last edited by

      Hallo,

      in den nächsten Tagen/ Wochen kommt der Wechsel von DSL/ Telekom zu Glasfaser/ Epcan.

      Seit einigen Jahren ist die Installation bei mir so, dass DSL an die FritzBox kommt (IPv4/ IPv&). LAN Anschluss der FritzBox geht an WAN meiner pfSense (PC Engines APU.2C4). (kurzfristig werde ich auf IPU660 wechseln)
      Die FritzBox macht dazu noch Telefon.

      Wenn ich diverse Dokumente im Netz richtig verstanden habe, könnte ich das alles so lassen (die Fritzbox um dann natürlich auf Modem umkonfiguriert werden) oder aber den Medien Converter an WAN Anschluss der pfSense anschließen und die Fritzbox in ein VLAN verfrachten.

      Ich nehme zumindest an, dass es nach wie vor keine Boards für pfSense gibt die auch Telefonie übernehmen können oder?

      Zumindest damals als ich das ganze eingerichtet hatte, war es "besser", weil einfacher es so zu machen wie ich es am laufen habe. Gibt es ggf. Gründe warum man es jetzt besser ändern soll? Also das die pfSense direkt mit dem MC verbunden wird?

      1 Reply Last reply Reply Quote 0
      • N
        NOCling
        last edited by NOCling

        Weil die Fritz sonst die Verbindungen pro Sekunden deutlich nach unten ziehen wird, hier sind keine 10k+ Verbindungen pro Sekunde möglich, mit deiner geplanten IPU660 fährst du dann mit angezogener Handbremse.

        Also packe die FuBox in ein VLAN und gut ist. Willst du vom VPN aus dran, dann am besten in zwei, denn ist LAN = WAN für die FuBox, kommst du nur aus dem gleichen Netz drauf.
        Da bei der Sense aber für VPN virtuelle IPs verwendet werden musst du die Box dann per source NAT verarschen.
        Das kann man aber recht leicht anstellen.

        Netgate 6100 & Netgate 2100

        T 1 Reply Last reply Reply Quote 0
        • T
          Tobi @NOCling
          last edited by

          @nocling said in Provider/ Anschlusswechsel - etwas ändern?:

          hier sind keine 10k+ Verbindungen pro Sekunde möglich, mit deiner geplanten IPU660 fährst du dann mit angezogener Handbremse.

          Ich muss zugeben, dieses Teil habe ich nicht ganz verstanden. In meinem jetzigen Konstrukt macht die Fritze Verbindung nach Draußen. Die wird doch auch die 1000/500 MBit (so die Verbindungsdaten auf Papier) auch schaffen oder etwa nicht? Bis jetzt ist mir nicht gelungen irgendwelche Angaben dazu zu finden. Nur, dass man eben 2 LAN Ports verbrauchen wird und der Traffic darüber läuft. Ich habe die 7530 - also ohne dedizierten WAN Port (was auch immer es bei der Fritzen bedeuten mag in Bezug auf Performance)
          Der angedachte Wechsel der APU auf IPU sind die vorhandene LAN Buchsen. Mir fehlt mindestens 1 LAN (besser 2) Anschluss.

          1 Reply Last reply Reply Quote 0
          • N
            NOCling
            last edited by

            Ich nutze an meiner 31er WAN und LAN 1 und LAN 4 für den Notfall OOB Management, weil ich auf dem LAN 1 alles Tagged raus gebe.
            Ich nutze hier das Default VLAN gar nicht mehr.

            Ports habe ich mit zwei 24er Switchen genug, das wird noch mal einem 48ter weichen, wenn die Zeit gekommen ist.

            Also die FBox kann, laut Support Daten um die 2k Sessions, das sind 4k States.
            Meine 31er hat, wenn ich an meiner Gaming Kiste mal die ganzen Updater anwerfe auch schon mal 12k+ States, also weit mehr als 2k Sessions die eine Fritz kann.

            Denn Programme, gerade Game Updater die auf Torrent als Unterbau setzen bauen massiv Verbindungen auf und ab.
            Und das sind dann x neue Sessions pro Sekunden, mit jeweils 2 States, für in und out.

            Das muss die Firewall können und deine neue IPU kann das dann jenseits der 10k neue Sessions pro Sekunde, scheitert dann aber an der Fritz die davor bei 2k die Ohren anlegt und sagt nee warte mal ich kann gerade nicht mehr...

            Es macht daher keinen Sinn ein High Performace Device hinter einem Low Performance Device zu klemmen.
            Ich habe meine Fritz hinter der Sense und nutze die als TK und DECT Station.

            Um den Durchsatz geht es auch gar nicht, der kommt aus der Fritz auch raus, wenn Hardware Offloading aktiv ist. Aber die Firewall muss halt jede Verbindung kontrollieren und macht das Statefull und da wird es dann schon Leistungsintensiver.

            Denn bei GBit gehen hier mit kleiner 1500er MTU schon einige pps (Pakete pro Sekunde) durch und jedes muss mit der Session Tabelle abgeglichen werden. Das schafft die Fritz zwar noch, aber dann kommen noch 10k neue Anfragen pro Sekunde dazu und 10k werden geschlossen, dann ist das für die Kiste zu viel Stress.

            Das wäre dann, wie ein F1 Rennen bei dem die ganze zeit das Safety Car vor fährt, die Renner dahinter gurken dann im 2-3 Gang hinterher und langweilen sich.
            Fährt die Kiste aber hinterher, kleben die F1 Teile schon nach 1-2 Minuten wieder dahinter, weil die mal eben 2-3 Runden fahren, wenn die Kiste eine schafft.

            Autovergleiche und IT, total bescheuert aber hier passt es sogar🙄

            Netgate 6100 & Netgate 2100

            1 Reply Last reply Reply Quote 1
            • T
              Tobi
              last edited by

              Ich habe doch noch eine Frage. Kann es ew. sein, dass diese Einschränkung/ Limitierung der Fritze von der Du sprichst - nur bei ipv4 und NAT zum Tragen kommt?
              Zumindest so wie ich es verstanden habe bei dem Glasfaser Anschluss von der Fa. Epcan spricht man nur von IPv6. Damit entfällt doch das NAT komplett weg, da ggf. die Fritze oder jedes andere Gerät als "dummes" Modem fungiert.

              1 Reply Last reply Reply Quote 0
              • N
                NOCling
                last edited by

                Ich denke nicht das hier IPv4 und IPv6 einen Unterschied machen was die States der Firewall angeht.
                Denn jede Verbindung muss ja hier durch und wenn die Antwort dann passt, darf diese durch.
                Dein ganzes IPv6 Segement wird ja zu deiner Fritz geroutet vom Provider aus und muss hier genauso verarbeitet werden wie der IPv4 Datenverkehr.

                Netgate 6100 & Netgate 2100

                T 1 Reply Last reply Reply Quote 0
                • T
                  Tobi @NOCling
                  last edited by

                  @nocling said in Provider/ Anschlusswechsel - etwas ändern?:

                  Ich denke nicht das hier IPv4 und IPv6 einen Unterschied machen was die States der Firewall angeht.

                  Das hängt davon ab, welche Funktion die Fritze wirklich macht. Ist sie die Komponente die die Verbindung aufbaut, so wird die FW der Fritze aktiv und dann kommt die von Dir genannte Einschränkung zum Tragen (war mir nicht so klar, da ich nicht auf die Idee kam, dass es in dieser Hinsicht so schnell als Bremse agieren kann). Ist die nicht die Komponenten die die Verbindung aufbaut - s.g IP Klient (ist wohl auch der Modus was Du favorisierst) wird die FW deaktiviert, weil nichts zu tun.
                  Gut das ich gefragt habe.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.