Cisco c4700 ersetzen durch PFsense

NicholasRush

Hallo liebes Forum,

ich habe im Firmen Netzwerk meines Chefs bisher um zwischen VLANs zu Routen einen Cisco 4700 Router eingesetzt, da dieser allerdings mittlerweile lahmt und ich die ganzen Switche durch Gigabit Switche ersetzt habe möchte ich den C4700 gerne durch PFsense mit Gigabit Ethernet Schnittstellen ersetzen.

Mein Netzwerkdiagramm sieht bisher so aus:

WAN –--> (Kabelmodem) ---> Monowall -- Fa 0  -> Cisco c4700 ---- VLAN Trunk Fa 1 ----> etc.
WAN ----> (ADSL Modem) ---> |                                        | ---- VLAN Trunk Fa 2 ----> etc.

Monowall macht hier NAT und Loadbalancing zwischen den Internet Leitungen und sollte diese Aufgabe auch weiterhin erledigen.
Der Cisco 4700 macht hier kein NAT sondern nur Routing zwischen den VLANs und stellt das Gateway (aus Sicht der VLANs) zum Internet und in die anderen Subnetze dar.

Ich habe mir Pfsense schon angesehen, ich weiß nur noch nicht ob das genau damit funktioniert was ich da möchte.
Momentan macht PFsense ja mit der WAN Schnittstelle automatisch NAT, wie kann ich das abstellen?

Vielen Dank für eure Antworten im Voraus

JeGr

Hallo Freund Nicholas,

Momentan macht PFsense ja mit der WAN Schnittstelle automatisch NAT, wie kann ich das abstellen?

Mit einem Klick ;)
Nein im Ernst, standardmäßig macht die pfSense gar nichts außer zu filtern. NAT etc. stellt man alles in der GUI ein. Sollte in deinem Fall aber wirklich nur platt der Verkehr zwischen den VLAN Trunks geroutet werden, finde ich eine pfSense an der Stelle ein wenig Overkill. Denn für VLANs und eine Routingtabelle setzt man nicht wirklich eine Firewall auf.

Interessanter wäre hier eher der Ansatz wirklich alles in der pfSense zu vereinen. Sprich die Funktionen der Monowall noch mit reinzunehmen. Dann würde das ganze Konstrukt auch Sinn machen. Die beiden WAN Verbindungen zu halten und dort den Verkehr zu kontrollieren plus ein wenig LAN-LAN Traffic, dafür würde sich die Sense dann schon eher lohnen.

Die einzige Strecke die ich nicht ganz verstehe ist "Fa 0". Hängt da hinter der Monowall noch ein Netz und dann kommt erst FA1/2?
Könntest du das vielleicht noch ausführen?

Grüße
Jens

NicholasRush

Ich hatte damals das Glück einen Cisco c4700 mit 3 Fast Ethernet Schnittstellen zu bekommen, daher

Fa 0 (FastEthernet 0) nur Traffic ins WAN
Fa 1 (FastEthernet 1) VLAN Traffic
Fa 2 (FastEthernet 2) VLAN Traffic

Die Einteilung war damals meine Idee um den Router optimal auszulasten, wäre es damals nach einem meiner Kollegen gegangen wären alle VLANs über eine Fast Ethernet Schnittstelle gelaufen, was zu einer Miserablen Auslastung des Routers geführt hätte.

Ich bin sowiso schon Froh das ich den 4700 jetzt rausnehmen kann, da der momentan schon ganz schön schnell an seine Leistungsgrenze stößt.
Die Monowall läuft auf einem Intel Atom PC mit 1 GB RAM. Und verwaltet eine Bandbreite von 166 Mbit ins Internet.

Die Trennung alles auf einem Router habe ich schon einmal probiert, ist allerdings wenig sinnvoll, damals lief alles noch auf einem AliX Board, da ist die Monowall immer regelmäßig abgestürzt wenn der VLAN Traffic zu viel wurde.

Daher diese Trennung.

JeGr

Wie gesagt ist die Trennung gar kein Problem. Ich sehe nur kein Potential für eine Sense hinter einer Monowall. Nur für das Routing genug (in der Theorie) ein VLAN fähgier 4-8 Port Switch. Kann er VLANs kann er mit an Sicherheit grenzender Wahrscheinlichkeit auch Gateway und Routing übernehmen. Regeln etc. muss er ja eh nicht können, alles andere macht der Router vornedran.

Auf einem Atom Board sollte das eigentlich auch problemlos mit einer Sense laufen. Gibt es denn viel Intra-VLAN-Traffic (von VLAN1 nach 2?) oder gehts nur um hauptsächlich Internet Zugang?

NicholasRush

@JeGr:

Nur für das Routing genug (in der Theorie) ein VLAN fähgier 4-8 Port Switch. Kann er VLANs kann er mit an Sicherheit grenzender Wahrscheinlichkeit auch Gateway und Routing übernehmen. Regeln etc. muss er ja eh nicht können, alles andere macht der Router vornedran.

Das Problem ist, ja von der Theorie ginge das, nur in der Praxis kann die Hardware das nicht. Alle Gigabit Switche die ich als ersatz für die 10/100 Bestellt habe können leider Ausnahmslos nur L2. -> HP 2510-48G Switch

Cisco Switche sind mir einfach zu teuer gewesen.

@JeGr:

Auf einem Atom Board sollte das eigentlich auch problemlos mit einer Sense laufen. Gibt es denn viel Intra-VLAN-Traffic (von VLAN1 nach 2?) oder gehts nur um hauptsächlich Internet Zugang?

Das mit VLAN 1 und 2 waren nur Beispiele, in Wirklichkeit sind es 16 VLANs mit steigender Tendenz, die Monowall wollte ich deshalb drinnen lassen, da sich unsere Firma den Internet Anschluss mit noch 2 Firmen teilt. Das ist alles mit dem Provider geregelt, daher treten wir nicht als Internet Anbieter auf.

Ich dachte mir das ich das nicht in die Topologie Skizze einzeichnen brauche, denn um die Monowall geht es sich ja nicht hauptsächlich.

JeGr

Hmm, soweit so gut, aber auch wenn ich die Sense gerne einsetze, finde ich den Einsatzzweck hier als Router eigentlich überflüssig.

Die HP2510er können kein L2,5 VLAN? Ich dachte schon, dass sie das können. Es könnte aber sein, dass ich das mit den 2810ern verwechsle. Die sollten das aber auf jeden Fall können. Ich hatte schon einen Switch/Routing/Spanning-Tree Ring aus 3x2510 und 3x2810, insofern verblüfft mich das etwas, dass sie das nicht können sollen?

Grüße

NicholasRush

Also ich habe eben nochmal beim HP Support angerufen, einfach weil ich jetzt zu Faul war die Beschreibung von den Switchen zu finden, die haben mir gesagt die können wirklich nur L2. Das heißt keine Basis Routing Funktionalität.

Hätte mich jetzt auch gewundert denn Gigabit L3 Switche kosten normal auch mehr als die 250 €/ Stück die wir da bezahlt haben.

Die Routing funktionalität von Pfsense finde ich beeindruckend auch wegen der stabilität in meinem Fall brauche ich halt nur NAT nicht.

JeGr

OK dann ;)
Funktionieren würde es auf jeden Fall, denn was du vorhast sind Grundfunktionen :)