Blutiger Anfänger benötigt Hilfe



  • Hallo zusammen,

    wie im Titel schon zu lesen ist bin ich blutiger Anfänger was das Thema Software Firewall/Router betrifft, nun habe ich die Aufgabe unsere alte Fritzbox durch etwas vernünftiges zu ersetzen und nach ein bisschen Recherche kamen nur "pfsense" und "m0n0wall" in betracht. Habe mich nun für "pfsense" entschieden, da ich gelesen habe das es mit vDSL hier besser klappt.

    Nun stehe ich aber ganz am Anfang und wollte hier mal nachfragen ob ihr mir ein Paar Tipps zum Aufbau, Hardware und Machbarkeit geben könnt.

    Also mal zum Aufbau wie schon erwähnt habe ich vor die "pfsense" mit einem vDSL50 zu betreiben, inklusive einer DMZ für Guest-WLAN in der eine alte Fritzbox stehen soll und eine DMZ für Webserver.

    Würde gerne auf der "pfsense" pptp oder openVPN (für ca. 20 leute) sowie Proxy laufen lassen.

    Das ganze würde dann irgendwie so aussehen…

    WAN / Internet
                 :
                 : vDSL50 Telekom
                 :
         .-----+-----.
         |  Gateway  |  (Fritzbox 7390)
         '-----+-----'
               |
        WAN | IP
               |
         .-----+-----.  Guest. DMZ .-----------------------.
         |  pfSense  +-------------+ Guest WLAN Fritzbox   |
         |               |  10.10.0.1    '-----------------------'
         |               |  
         |               |                  .----------.
         |               +------------+ Inet DMZ |
         |               |                  '----------'                
         '-----+-----'                           |
               |                                     |
               |                               LAN | 10.10.1.1  (betroffene Systeme bekommen händisch die IP zuweisung)
               |                                     |
               |                                     |
         LAN | 192.168.0.1/24                |
               |                                     |
         .---+---------------------------+---.
         |          LAN-Switch                        |
         '-----+------------------------------'
                 |
       ...-----+------... (Clients/Servers)

    Nun meine Fragen ^^

    Ist das ganze so  umzusetzen wie ich mir das vorstelle und welche Hardware wäre für uns geeignet?

    Ich hoffe ihr könnt mir hier weiterhelfen und ein Vorab-DANKE! Danke auch an "Grey" für das ASCII-Diagramm.

    Grüße
    Sebastian



  • Kann mir keiner helfen?



  • Viel zu helfen gibts da ja auch nicht  ;D

    Mit pfSense kannst du dein Vorhaben umsetzen. Entweder per VLAN (würd ich empfehlen, VLAN-Switch nötig 8-Port ~40 Euro von Netgear) oder halt NICs für die DMZs einbauen.

    Die FB als Gateway würd ich mir sparen. Doppelt NAT ist nur nervig. Modem dran und gut. Für 20 OpenVPN-Verbindungen und Proxy brauchst du natürlich etwas Dampf. Hier sollte es mindestens ein AMD E350 sein, eher was Dickeres…

    Gruß

    EDIT: Wenn Du in der FB das WAN auf ein LAN brücken kannst und eine weitere, öffentliche IP zugewiesen bekommst, kannst Du die FB natürlich auch so nutzen. Fungiert dann quasi als Modem. Keine Ahnung ob die T-Com das so macht, bei KabelBW geht das  ;D



  • @Knilch

    Dein Vorhaben ist so eigentlich ohne Probleme umzusetzen.

    Die Fritzbox kannst du als Gateway zum ISP einsetzen. Das erspart dir vermutlich die etwas knifflige Einrichtung von VDSL bzgl. der VLAN Einstellungen. (VLAN 6 Internet, VLAN7 IPTV oderso ähnlich).

    Die drei Netze "Guest, I-Net, LAN" kannst du, wie bereits von tpf gesagt, über separate Netzwerkkarten realisieren oder aber über VLANs. Dann benötigst du aber den passenden Switch dafür.

    Wenn du SQUID nutzen möchtest, empfiehlt es sich, auch etwas RAM zur Verfügung zu haben, zum Cachen.
    OpenVPN benötigt etwas CPU Leistung, da der Traffic natürlich verschlüsselt werden muss. Also keinen zu schwachen Rechner dafür benutzen.



  • Fällt mir grad noch ein:

    Wenn du die FB fürs Gäste-Wlan mit ihren LAN-Ports an das LAN der pfSense anklemmst, ersparst du dir weitere Knackpunkte bzgl. NAT und Co. Hierfür muss auf der FB der DHCP abgeschaltet werden. Zwischen den LAN-Ports und dem WLAN auf der FB besteht eine Brücke. Was du also ins LAN der FB rein feuerst, kommt hinten im WLAN auch wieder raus.

    Den DHCP konfigurierst du dann für die DMZ auf der pfSense. Wenn du Spaß am Basteln hast, kannst du nun das CaptivePortal der pfSense nutzen.

    Mit diesem Board bist du, auch was Steckplätze betrifft, gut versorgt. http://geizhals.at/de/615033

    Immer wieder gibts bei eBay Broadcom NetExtreme GBit-Karten für 10 Euro. Da würde ich zuschlagen. FreeBSD und somit auch pfSense ist etwas anstrengend mit Treibern für Netzwerkkarten. Hier gilt es die HCL von FreeBSD zu beachten.



  • Hey Dank euch!

    Werden dann jetzt erstmal mit dem VM-Image rumspielen und dann mal gucken wie es mit der Hardware weiter geht!

    Gruß
    Sebastian



  • Eine dumme frage habe ich noch… gibt es die Möglichkeit im pfSense ein vDSL-Modem zu emulieren? Oder muss man zwingend Hardware davor schalten?



  • @knlich:

    Eine dumme frage habe ich noch… gibt es die Möglichkeit im pfSense ein vDSL-Modem zu emulieren? Oder muss man zwingend Hardware davor schalten?

    pfSense ist eine Router-Lösung, keine Testumgebung ;-)
    Du kannst die verschiedenen Modis wählen, also PPPoE, Statisch, DHCP, etc. pp. Aber die Hardware wie Modem brauchst du trotzdem.



  • Hi again,

    hab nochmal ne kleine Frage, ich hab noch eine "Juniper SRX210" oder besser "DELL PowerConnect J-SRX210-POE" leider kennt sich keiner bei uns damit aus -.- jetzt war meine Überlegenung dort die pfSense drauf zu flashen. Leider finde ich nicht viel dazu im Netz. Hat jemand Erfahrung mit Juniper oder ist es genberell überhaupt möglich auf die SRX210 pfSense zu flashen?


Log in to reply