PfSense Neuling - welche HW?
-
Hallo zusammen,
Ich mochte gerne in die "pfSense-Welt" einsteigen und gegen meinen Router ersetzen. Da ich jedoch noch keine Erfahrung damit habe, ersuche ich Euch um Eure Unterstützung. Aktuell sind meine Anforderungen nicht allzu groß.
1 WAN
4 GB LAN
1 DMZ
4 OpenVPN Verbindungen permanent
2 IPsec Verbindungen permanent
4 PPTP bzw. L2TP bei Bedarf zu mobilen GerätenIm Heim-Netz habe z. Z, ich 2 NAS, 4 PS's und 8 sonstige Endgeräte (Streamer, Receiver) laufen, ich verwende 3 WLAN-Netze - mal sehen was da noch dazu kommt. Ein eigener Mailserver ist eines der nächsten Projekte.
Der pfSense-Router sollte nicht zu klein dimensioniert sein (ich möchte schon ein wenig experimentieren), über zumindest 4 GB LAN Anschlüsse verfügen, die Möglichkeit haben eine SSD einzubauen und lüfterlos laufen. Ein integriertes Netzteil wäre toll, ist aber nicht Bedingung.
Beim Stöbern bin ich auf folgende Systeme gestossen:
ALIX-2D13 (erschein mir jedoch etwas zu klein dimensioniert, keine SSD möglich)
http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK/ref=sr_1_2?ie=UTF8&qid=1342727878&sr=8-2#productDescriptionwFlexRunner von Visons Systems
http://www.visionsystems.de/produkte/112.htmlIch danke Euch vorab für Eure Tipps.
LG aus Österreich.
esquire1968 -
Hallo Freund Esquire,
1 WAN
4 GB LAN
1 DMZ
4 OpenVPN Verbindungen permanent
2 IPsec Verbindungen permanent
4 PPTP bzw. L2TP bei Bedarf zu mobilen GerätenBeziehen sich die 4 GB LAN auf 4 einzelne Gigabit LAN Ports? Soll hier ein LACP Portchannel drauf oder sind die als einzelne LANs geplant?
PPTP bzw. L2TP würde ich dir nicht empfehlen. PPTP ist nicht mehr als sicher eingestuft und kann daher auch gleich weg gelassen werden. L2TP alleine ist auch nicht wirklich schön, da würde ich eher OpenVPN oder richtiges IPSEC einsetzen.Was kann man sich unter den 3 WLAN Netzen vorstellen? Möchtest du auf der pfSense auch selbst WLAN aufsetzen?
Die ALIX ist für deine Anforderung m.E. etwas zu schwach. Allerdings wäre es auch nützlich zu wissen, welchen Uplink du mit der pfSense bedienen willst. Bei bspw. 100MBit/s ist die ALIX definitiv zu schwach.
Die Flexrunner kommt auch "nur" mit einem Atom N270 daher, der auch recht schwach auf der Brust ist, aber schon etwas mehr Saft bietet. Wenn du allerdings schon mit 4 GB Anschlüssen am Überlegen bist und da auch entsprechend Traffic drüberschicken möchtest, würde ich ein Gerät mit bspw. einem D510 oder D525 vorschlagen. Das sind die etwas größeren Varianten des ATOMs und haben auch schon 2 Kerne, statt einen einzelnen. Noch schöner wäre natürlich ein Ivy-Bridge Atom (D2700 bspw.), der aber eher selten in embedded Devices verbaut wird.In welcher Größenordnung des Preises darf man denn vorschlagen?
Ansonsten kann ich bspw. die obere Soekris Serie:
-> http://soekris.eu/shop/net6501_en/
oder auch die Lanner FW-7535 hier empfehlen:
-> http://www.mini-tft.de/xtc-neu/advanced_search_result.php?keywords=Lanner+FW-7535&x=0&y=0Gerade die Lanner Devices finde ich sehr reizvoll in einer Testumgebung, da sie nicht nur mit passiver Kühlung und sechs(!) GB Ports daherkommen, sondern auch noch (je nach Modell) 2GB RAM von Haus aus tragen und mit dem D510 einen Dual-Core Atom inne haben. Zusätzlich bietet das Bypass Feature ein nettes Gimmick bei der Netzplanung: Die Ports, die auf Bypass konfiguriert sind, können im Falle des Triggers durch einen Watchdog, Systemausfall oder Powerdown auf Pass-Through geschaltet werden und agieren dann als "harte" Netzwerkbrücke damit bspw. der Zugriff zwischen 2 LANS weiter funktioniert auch wenn das Gerät selbst ausfällt und die WAN Seite wegbricht.
Vielleicht konnte ich dir da einige Ideen mitgeben.
Herzliche Grüße
Jens -
Hallo Jens,
vielen Dank für Deine prompten Tipps - schaut interessant aus.
Es sollten mindestens 4 GB LAN Ports sein, da ich auch getrennte Netze verwenden möchte. Der neue Router sollte auch den Switch ersetzen. Ich verwende z. Z. 3 WLAN AP's (Privat, Arbeit, Gäste), wobei ich den Zugriff auf die NW-Resourcen durch VLAN steuere - was nicht besonders einfach ist. Wenn das durch pfSense besser zu managen ist, wäre das toll. PPTP bzw. L2TP verwende ich derzeit nur für den Fernzugriff via iPhone/iPad, da mein Router kein OpenVPN kann. So bald der neue Router arbeitet werde ich nur mehr OpenVPN und IPsec verwenden.
WAN-seitig habe ich einen VDSL Anschluss mit 30 Mbit/s download, 4 Mbit/s upload. Vor allem die IPsec Verbindungen sollten die Bandbreite weitgehen nutzen können.
Mehr als 400 bis 500 Euro möchte ich nicht ausgeben, da die Anschaffung eher meinem "Forscherdrang" denn einer echten Notwendigkeit folgt.
LG
thomas -
Hallo Thomas,
ich zitiere dich mal der Einfachheit halber :)
Es sollten mindestens 4 GB LAN Ports sein, da ich auch getrennte Netze verwenden möchte.
Verständlich und sollte mit meinen beiden Vorschlägen realisierbar sein.
Der neue Router sollte auch den Switch ersetzen.
Das würde ich allerdings tunlichst sein lassen. Der Zweck ist einfach ein völlig anderer. Und hattest du nicht etwas von >8 Endgeräten in deiner Aufzählung? Das klappt dann nicht wirklich so ganz. Wenn du damit meinst, dass du dir an der Stelle den (VLAN-fähigen) Switch ersetzen möchtest und deshalb die getrennten 4-5 LAN Ports möchtest, alles klar. Dann steht dem bspw. mit dem Lanner Device nichts entgegen.
Ich verwende z. Z. 3 WLAN AP's (Privat, Arbeit, Gäste), wobei ich den Zugriff auf die NW-Resourcen durch VLAN steuere - was nicht besonders einfach ist. Wenn das durch pfSense besser zu managen ist, wäre das toll.
Ist es nach meinem letzten Stand leider nicht wirklich, es ist aber schon etwas her, dass ich das letzte Mal pfSense + WLAN erlebt habe, was eher daran liegt, dass die Treiberunterstützung auf FreeBSD gerade bei neuen WiFi Standards (802.11n oder ac) etwas beschränkt ist. Da würde ich dann lieber zu einem guten Access Point raten.
Da du 3 verschiedene "Zellen" hast - es kommt natürlich auf den Budget an - wäre bspw. ein Enterprise AP wir der HP MSM-460 nicht verkehrt. Dieser kann mehrere SSIDs auf mehrere Kanäle legen und diese jeweils über andere VLANs übers LAN jagen. Damit könntest du 3 Geräte durch eines ersetzen.WAN-seitig habe ich einen VDSL Anschluss mit 30 Mbit/s download, 4 Mbit/s upload. Vor allem die IPsec Verbindungen sollten die Bandbreite weitgehen nutzen können.
Gut, das sind moderate Anforderungen. Würde es um reines Routing und ein wenig VPN gehen, könnte selbst die ALIX die Verbindung relativ gut ausnutzen. Das heißt aber auch, dass du mit den (älteren) ATOMs keine Probleme haben dürftest, auf volle Bandbreite zu kommen. Ich würde trotzdem mindestens bei Pine-Trails bleiben (D410/510/E6xx), da es ja einige VPNs gibt.
Mehr als 400 bis 500 Euro möchte ich nicht ausgeben, da die Anschaffung eher meinem "Forscherdrang" denn einer echten Notwendigkeit folgt.
Oh, das kenne ich :) Für meinen eigenen Forscherdrang bin ich bei einer Lanner Inc. FW7535F hängen geblieben.
(http://www.mini-tft.de/xtc-neu/product_info.php/info/p63612_Lanner-FW-7535F-Fanless-Tabletop-Platform–Intel-8.html)
Sparen könntest du - je nachdem - beim RAM Ausbau und ggf. der CPU (wobei mir die 510er besser gefiel als der 410er bzgl. MultiCore), gerade wenn man als Spielkiste damit dann doch noch das ein oder andere Paket ausprobieren möchte. Dann ist es immer gut, noch Ressourcen in Hinterhand zu haben. Und wenn du mit dem ByPass Feature nichts anfangen willst/kannst, wäre ggf. das kleine Model-H (1GB ohne Bypass und Fanless) etwas für dich. Kann alternativ mit CF Karte (benutze ich) oder SSD betrieben werden (war mir zu viel). CF war mir an der Stelle lieber, da das System, sobald gebootet, eh kaum mehr Zugriffe benötigt und die NanoBSD Variante mit dem "Umbooten" den Vorteil bringt, dass ein Update auch mal schief gehen darf und man zurückswitchen kann - oder einfach schnell auch mal ein anderes Image auf einer anderen Karte ausprobieren kann :)Vielleicht findet man das Geräte auch bei einem Österreichischen Distri für dich billiger. Allerdings fand ich, dass es sein Geld wirklich wert war.
BTW: Disclaimer - ich bin nicht verwandt oder verschwägert mit Mini-ITX/-TFT, ich habe das Device dort lediglich eingekauft und bekomme keine Vermittlungsprovision :D
-
Danke für Deine umfassende Erklärung, Du hast mir wirklich geholfen!
Ich hoffe, ich kann Dich nochmals kontaktieren, wenns ums konfigurieren geht ;) …
Zum Thema Switch folgenden Konfigurationsansatz - so in etwa sollte das bei mir dann aussehen:
Port1: LAN1 - unmanaged Switch - Privates Netzwerk (WLAN AP1, Clients, Streamer, Receiver, NAS)
Port2: LAN2 - unmanaged Switch - Arbeitsnetzwerk (WLAN AP2, Clients)
Port3: DMZ1 - WLAN AP3 (für Gäste)
Port4: DMZ2 - NAS als Mail-Server
Port4: LAN3 - Drucker (von allen LAN's erreichbar?)
Port5: WAN (VDSL Modem)
Kennst Du noch andere Online-Shops? Das Teil ist aktuell nicht lieferbar.
LG
Thomas -
Aloha mein Freund,
erst einmal gern geschehen. Der Switch-Konfigurationsansatz sieht für mich erst einmal so wie er ist solide aus. Sofern man nicht darauf besteht, alles mit der gleichen IP-Range zu versorgen oder sonstige Verbiegungen zu erstellen, kann man das so wie es ist mit verschiedenen Subnetzen mit relativ einfachem Routing erschlagen. Über die ganzen IPs kann man dann ja wiederum eine schöne einheitliche Domain legen, die man per DHCP rausserviert :)
Einziges "Ding": Da der Drucker nichts kaputt machen sollte, kann man den auch relativ problemlos mit in die DMZ2 packen. Dort parken (von mir aus gesehen) eh nur Geräte wie NAS, die Dienste anbieten und Drucken ist eines davon. Ein kleiner 4-8 Port Switch dran und Drucker & NAS ran und gut. Das ist aber nur so ein Gedanke.
Ansonsten weiß ich noch gut von letztem Mal, dass die Lieferzeit etwas länger war, weil Lanner die Teile in Margen produziert und wartet, bis ein paar Bestellungen zusammengekommen sind. Ansonsten kenne ich aus dem Stehgreif nur die Jungs von http://linitx.com/ :)
Grüße
-
Hi Jens,
nochmals vielen Dank für Deine Hilfe. Wenns ans installieren geht, darf ich mich dann nochmals bei Dir melden?
Es wird jetzt voraussichtlich dieses Modell …
http://www.mini-tft.de/xtc-neu/product_info.php/info/p145829_Lanner-FW-7541D---Compact-Desktop-x86-Appliance-wi.html
... weil sofort lieferbar. Ich weiss allerdings noch nicht ob fanless.
Du hast geschrieben, dass Du keine HD sondern eine CF-Card verwendest, reichen da 4 GB aus? Weisst Du, ob die mitgeliefert wird, wenn nicht was muss ich dabei beachten? Eine kleine SSD kostet allerdings auch nicht viel mehr.
Gibts eine pfSense Installationsanleitung?
LG
Thomas -
Oh ein Nachfolger :) Der D-525 ist auch ein schönes Ding, läuft bspw. in einem NAS oder Homeserver sehr angenehm.
Ich hatte damals bei HRT mit einem Jörg Erkel zu tun, der - trotz eines kleinen anfänglichen Rants meinerseits - das ganze dann doch sehr souverän, flink und sehr fair abgewickelt hat (mein Problem war, dass die 7535H nicht lieferbar war und ewig verschoben wurde, er hat dann mit einem Asiatischen Distri ein Umbaukit für die 7535F organisiert - die einen Lüfter hat - und die Rückplatte getauscht, womit das Ganze hardwaretechnisch eine -H wurde).
Er war sogar so fair, die Gesamtsumme nach unten anzupassen und hat mir ein paar Euro rücküberwiesen, da die -F + Backplane dann ein paar Euro günstiger war als meine -H. Solche Fairness trotz Trouble-Kunden lob ich mir!(OK genug Werbung :P ;))
Sicher kannst du dich hier melden was die Konfiguration angeht, ich denke doch, dass nicht nur ich dann gerne in der Lage bin, dir beim weiteren Basteln zu helfen.
Herzliche Grüße aus Karlsruhe
Jens -
Etwas lästig muss ich doch noch sein - ein paar Fragen zur Konfiguration habe noch:
- Mit Lüfter oder fanless? Was wäre Deine Empfehlung?
- CFast oder SSD? Wie gross?
- Wieviel RAM sind sinnvoll? Es geht aus der Beschreibung nicht hervor ob schon was eingebaut ist.
- Ist das Netzteil extern?
Gibts eine Anleitung zur pfSense Installation? Welches Installationsfile ist das Richtige - da gibts ja einige? Hänge ich das Teil ins LAN und installiere ich dann pfSense oder läuft das bei solchen Geräten anders? Wie gesagt, das wird mein erster Trip in diese Materie - daher die vielen Fragen.
LG aus Wien (z. Z. alledings in Kroatien)
Thomas -
Relativ einfach und schnell zu beantworten:
- Ohne, der Atom lässt sich recht gut passiv kühlen in dem Gehäuse
- Ich würde mit CF Karte spielen, das macht es einfacher, auch mal 2 oder 3 verschiedene zur Hand zu haben.
- Normalerweise kommt das Device m.W. mit 1GB RAM. Meine hatte 2GB das war aber ein Spezialangebot zu der Zeit. Reicht beides dicke, im Zweifelsfall nachfragen wieviel drinsteckt
- Ja das Netzteil ist extern und relativ schmal. Kein Klotz :)
Bei einem CF Card Device läuft es etwas anders ab. Man richtet sich nach der CF Größe (meist so 2GB oder 4GB) und lädt das entsprechende Image herunter. Das wirft man dann mit "physdiskwrite" und einem CF-Kartenleser (egal was für einer, eingebaut, USB) auf die Karte, steckt sie ins Gerät und bootet. Anschließend bootet das Gerät und man geht mit der seriellen Console kurz dran, stellt definiert einmal kurz WAN/LAN Interface (re0/re5 bspw.) und den Rest kann man dann per Rechner am LAN Port erledigen (da auf LAN standardmäßig DHCP aktiv ist). Ansonsten verhält sich die Installation wie eine HD Installation, man kann also auch Pakete installieren etc.
Einziger Unterschied: Die CF Karte wird default in 2 Hälften (Slices) eingeteilt. Ein FW Update wird immer auf das gerade nicht aktive Slice gespielt und gebootet. Geht das schief, kann man ggf. mittels serieller Console (oder Boot Fallback) das andere Slice wieder booten ohne das Gerät und die CF Karte auseinander zu bauen. Sehr praktisches Prinzip.
Grüße
Jens -
Hallo Jens,
jetzt ist es soweit. Meine FW-7541D ist unterwegs und sollte übernächste Woche eintreffen! Daher komme ich auf Dein Angebot zurück und melde mich wieder.
Würde nun schon gerne mit der Vorbereitung beginnen. Es stellt sich nochmals die Frage CF oder SSD. Letzter kostet auch nur mehr ca. 35 Euro - z. B. http://geizhals.at/sandisk-readycache-ssd-32gb-sdssdrc-032g-g26-a852672.html - das ist kaum mehr als eine CF Card + Writer. Wie ist Deine Meinung dazu?
Wie läuft die Installation ab? Ich denke, egal oder CF oder SSD, ich spiele die Software auf das Medium und boote das Teil neu. Mit welchem Format muss die CF/SSD formatiert werden (ext3/ext4)?
Komme ich dann über LAN in die Konfiguration?
Wie komme ich in den Bios (so ferne das überhaupt notwendig ist)?
Benötige ich Zugriff über die serielle Schnittstelle? Dann muss ich mir noch einen Adapter besorgen.
Danke vorab und herzliche Grüße aus Wien.
Thomas