Umstellung von Heimnetzwerk auf pfsense (Anfänger, OpenVPN, VoIP, Entertain)



  • Guten Abend zusammen,

    ich möchte mir einmal die Meinung von Profis abholen, da ich mir einen Plan gesetzt habe, wobei ich nicht sicher bin, ob dieser überhaupt umsetzbar ist. Ich habe schon viel im Netz gelesen, jedoch scheint man einige Dinge nur sehr schwer in Erfahrung zu bringen.

    Folgende Situation habe ich derzeit vorliegen:

    • Internet VDSL 50 von der deutschen Telekom (komplett IP-basierter Anschluss)

    • Von Telekom gemieteter Router W724V

    • Fernsehn kommt über Entertain

    • Telefon ist per TAE F Stecker am Router angeschlossen

    • Mehrere Geräte gehen per Ethernet oder WLAN ins Netz

    • "Wohnzimmer-Hardware" ist per Powerline angebunden

    Wieso etwas verändern?

    • Firewall im Router lässt sich wieder konfigurieren noch deaktivieren

    • Es wird nun auch der Einsatz von OpenVPN gewünscht

    Bislang habe ich von Netzwerk-Technik nur sehr wenig mitgekriegt und muss mich nun mühsam in die Sache einarbeiten. Unabhängig ob es sinnvoll ist oder nicht, habe ich mir einmal folgenden Plan überlegt:

    Entertain
    Wie ich inzwischen schon per Google finden konnte, kann man Entertain mit pfsense wohl zum laufen bekommen. Hier muss wohl mit eigenen besonderen VLANs gearbeitet werden und dann soll das angeblich funktionieren

    VoIP
    Wie und wo ich das Telefon nun integrieren soll ist für mich noch total unverständlich. Leider finde ich keine Informationen bzw. nur unglaublich schwer Informationen dazu im Netz. Meist wird eine Fritzbox hinter pfsense gehangen, was ich eigentlich nicht möchte (weil nicht vorhanden). Hier habe ich derzeit noch die meisten Fragezeigen.

    OpenVPN Client
    Es soll über ein Plugin in pfsense wohl ohne Probleme möglich sein ein OpenVPN Client zu betreiben. Soweit bin ich schon. Ich möchte dies gerne tun, damit ich nicht auf diversen Geräten immer einen VPN-Client installieren, konfigurieren und warten muss. Zusätzlich soll pfsense mich auch vor Leaks schützen.

    Wünschenswert wäre hier, dass ich je nach lokaler IP eine andere VPN-Verbindung zu einem anderen Server wählen kann. Ob dies überhaupt geht muss ich noch klären/checken. Ziel ist es durch die Wahl der Client-IP seinen Ausgangspunkt wählen zu können, z.B. Deutschland, Niederlande oder ggf. sogar ganz ohne VPN (Entertain sollte z.B. nicht über VPN gehen)

    Ob ich für diesen Wunsch "VPN und ohne VPN" bei pfsense einen dritten Ethernet-Port benötige weiß ich noch nicht.

    Modem
    Ich hatte überlegt, ob ich den W724V Router der Telekom nicht ggf. als echten Router und Modem betreiben soll. Dann könnte ich dort Telefon und Entertain an den Telekom-Router klemmen und pfsense dann an den Router und "dahinter" die Computer, welche darüber gehen sollen.

    Das Problem ist jedoch leider die schlimme Firewall des Routers. Hier gibt es immer wieder Probleme mit Verbindungen (z.B. im Spielebereich ist dies CS:GO, wo nach jedem Spiel praktisch der Router resettet werden muss).

    Daher werde ich dieses Gerät wohl nicht nutzen können.

    WLAN im Arbeitszimmer
    Hier muss ich schauen wie ich dies lösen kann. Je nach Hardware für pfsense könnte ich es direkt darüber abwickeln, ansonsten muss ich mir hier noch einen externen Access-Point holen. Ob dieser direkt per eigenem Ethernet-Port an pfsense kommt oder auch an den Switch hängt etwas von den Möglichkeiten unter dem Punkt "OpenVPN Client" ab.

    Benötigte Hardware
    Letztendlich werde ich viel kaufen müssen. Modem, pfsense Hardware, Switch, ggf. sogar ein neues Telefon. Dieser Punkt kann für mich das ganze Projekt noch zum scheitern verurteilen.

    Ein passendes Modem kostet wohl so ca. 120 Euro. Die passende Hardware bei pfsense wird wohl kein ALIX-Board werden können, da die Performance zu schlecht ist. Hier muss ich wohl auf stärkere CPUs ausweichen müssen.

    Letztendlich kann ich das dann aber nur mit Kosten benennen, wenn ich eine mögliche Konfiguration für mein Wunschszenario habe.

    Ich brauche nun eure Hilfe!
    So, soweit zu meiner Situation. Wenn ihr mir Tipps, Erfahrungen oder sonstige Hilfen zukommen lassen könntet, dann wäre ich darüber echt froh. Das Projekt juckt mich sehr unter den Fingern aber ich weiß leider nicht, ob das am Ende alles so klappt wie ich möchte  ;D

    Danke!


  • Rebel Alliance Moderator

    Nur in Kürze da gerade krank ein paar Dinge die mir auffallen - wie immer nur mit guten Intentionen und nicht als Bashing gemeint :)

    Wie und wo ich das Telefon nun integrieren soll ist für mich noch total unverständlich.

    Das hat primär erstmal gar nichts mit pfSense zu tun, sondern wo du es hinpacken willst, wie es funktionieren soll etc.
    Wenn es ein "dummes" Telefon mit TAE Stecker ist, wird zudem nichts an einem Gerät zum Anschluß herumführen. Ob das der Telekom Router selbst oder was anderes ist - sei mal dahingestellt.

    OpenVPN Client…
    In dem Absatz stehen so viel obskure Dinge, dass ich die zerpflücken musste ;)

    Es soll über ein Plugin in pfsense wohl ohne Probleme möglich sein ein OpenVPN Client zu betreiben. Soweit bin ich schon.
    Dann bist du falsch, da wird nichts benötigt. pfSense kann OpenVPN genauso wie IPSec. That's it, kein Plugin, Addon oder sonst irgendwas. Ob du hier Client oder Serverbetrieb machst, ist unerheblich.

    Ich möchte dies gerne tun, damit ich nicht auf diversen Geräten immer einen VPN-Client installieren, konfigurieren und warten muss.
    Da wird dir aber nichts anderes übrig bleiben, zumindest wenn du (s.u.) das so obskur nutzen willst.

    Zusätzlich soll pfsense mich auch vor Leaks schützen.
    Was zur Hölle ;) Wie soll dich pfs denn vor Leaks schützen? Und warum?

    Wünschenswert wäre hier, dass ich je nach lokaler IP eine andere VPN-Verbindung zu einem anderen Server wählen kann.
    Was denn für eine lokale IP? Pro Rechner andere VPN Strecke? Warum? Dann macht doch der Client auf den Rechnern mehr Sinn als das alles zu bündeln?
    Ziel ist es durch die Wahl der Client-IP seinen Ausgangspunkt wählen zu können, z.B. Deutschland, Niederlande oder ggf. sogar ganz ohne VPN (Entertain sollte z.B. nicht über VPN gehen)

    Wahl der Client-IP -> wessen? Deine dir zugewiesene der Telekom? Deine lokalen PCs? Das ist alles extrem konfus.

    Ob ich für diesen Wunsch "VPN und ohne VPN" bei pfsense einen dritten Ethernet-Port benötige weiß ich noch nicht.
    Jetzt hast du mich völlig verloren. Warum das denn? Ich finde grad keinen Sinn ;)

    Ich hatte überlegt, ob ich den W724V Router der Telekom nicht ggf. als echten Router und Modem betreiben soll. Dann könnte ich dort Telefon und Entertain an den Telekom-Router klemmen und pfsense dann an den Router und "dahinter" die Computer, welche darüber gehen sollen.

    Das würde gerade für dein großes ? (Telefon) durchaus Sinn machen, deshalb wickeln das auch viele mit einer FB ab, weil man sich dann mit pfSense, VoIP und seltsamen Forwardings oder SIP Proxies rumschlagen muss.

    Das Problem ist jedoch leider die schlimme Firewall des Routers. Hier gibt es immer wieder Probleme mit Verbindungen (z.B. im Spielebereich ist dies CS:GO, wo nach jedem Spiel praktisch der Router resettet werden muss).

    Ist das ein offiziell bekanntes Problem oder nur eines was du hast und dass sich ggf. abschalten lässt wenn man den Router anders konfiguriert?
    Ich habe zumindest schon mehrere Leute gelesen, die hinter der Kiste arbeiten ohne Resets.

    Hier muss ich schauen wie ich dies lösen kann. Je nach Hardware für pfsense könnte ich es direkt darüber abwickeln, ansonsten muss ich mir hier noch einen externen Access-Point holen. Ob dieser direkt per eigenem Ethernet-Port an pfsense kommt oder auch an den Switch hängt etwas von den Möglichkeiten unter dem Punkt "OpenVPN Client" ab.

    Ich (persönlich und nur halb verstehend) glaube du übertreibst bei dem OpenVPN Client Punkt gewaltig oder stellst dir das zumindest zu einfach vor. Aber vllt. verstehe ich auch nicht, was das alles soll, dann lasse ich mich gerne erhellen :) Aber der WLAN AP hat da m.E. herzlich wenig mit zu tun. Es sei denn du kaufst halbwegs ordentliche Switche und APs, die VLAN und Späßchens können, die man dann ordentlich separieren und zuweisen kann. Dann kann man da sicher einiges sinnvolles treiben.

    Ein passendes Modem kostet wohl so ca. 120 Euro. Die passende Hardware bei pfsense wird wohl kein ALIX-Board werden können, da die Performance zu schlecht ist. Hier muss ich wohl auf stärkere CPUs ausweichen müssen.

    Ernsthaft? Für 120€ bekomm ich ne kleine FB ohne Probleme. Ein reines dummes VDSL Modem ist m.E. billiger (man korrigiere mich bitte). Und wenn du schon 120€ in die Hand nimmst für den Zweck wäre ggf. ne Fritzbox nicht mal das Dümmste. Dann kannst du VDSL Verbindung und Telefonie darüber abfackeln und hängst als exposed Host die pfSense dahinter und hast keinen Ärger mit Telefon.

    Eine ALIX kostet nur unmerklich weniger wie eine APU (OK trotz starker CHF Kurse), also kann man da auch 25-40€ mehr reinhauen und eine APU kaufen und die reicht für VDSL allemal. Zumindest hab ich noch kein Requirement gelesen, was die APU überfordern würde. Und damit bist du beim kompletten Paket auch noch bei <200€.

    Und wenn du vornedran ne Fritte hast, kannst du sogar noch ganz schick hingehen und die DECT Funken von AVM als Telefon nutzen. Finde ich (subjektiv) nicht schlecht, die DECT Abdeckung ist ganz schick und notfalls gibts Repeater für die Steckdose. Und wenn du zwischen den 2 Switchen noch Powerlan brauchst, könntest du da auch die AVM Beulen nehmen, damit hätte man dann auch in der FB eine Überwachung von Strom und Speed der Stecker drin. Und wenn das Ding noch billiges WLAN hat, kann man darüber (und vor dem eigenen Netz) noch ein "einfaches schnelles" Gäste WLAN basteln, das man dann auch per Telefon mal schnell an/abschalten kann wenns gebraucht wird. Und nen AP für das eigene "gute" WLAN mit Bumms irgendwo dahinter stellen.

    Aber das ist nur mal mein Gedankenspiel :)

    Grüße



  • Danke für deine riesige Antwort. Erst einmal gute Besserung! Das ich hier diverse Begriffe ggf. falsch verwendet habe mag an meinem Unwissen liegen. Ich versuche es mal genauer zu beschreiben.

    @JeGr:

    Nur in Kürze da gerade krank ein paar Dinge die mir auffallen - wie immer nur mit guten Intentionen und nicht als Bashing gemeint :)

    Wie und wo ich das Telefon nun integrieren soll ist für mich noch total unverständlich.

    Das hat primär erstmal gar nichts mit pfSense zu tun, sondern wo du es hinpacken willst, wie es funktionieren soll etc.
    Wenn es ein "dummes" Telefon mit TAE Stecker ist, wird zudem nichts an einem Gerät zum Anschluß herumführen. Ob das der Telekom Router selbst oder was anderes ist - sei mal dahingestellt.

    Korrekt. Die Frage hat auch nur bedingt etwas mit pfsense zutun. Die erste Frage für mich war halt, wie ich dieses Telefon überhaupt anschließen kann. Ob es irgendwelche Adapter auf dem Markt gibt oder ob man z.B. eine Fritzbox nimmt.

    Mit pfsense hat dies, in meinen Augen dann zutun, wenn ich die VoIP Verbindung irgendwie ja in pfsense konfigurieren muss, so dass Ports, etc. geroutet (nicht sicher, ob korrektes Wort) werden.

    @JeGr:

    OpenVPN Client…
    In dem Absatz stehen so viel obskure Dinge, dass ich die zerpflücken musste ;)

    Es soll über ein Plugin in pfsense wohl ohne Probleme möglich sein ein OpenVPN Client zu betreiben. Soweit bin ich schon.
    Dann bist du falsch, da wird nichts benötigt. pfSense kann OpenVPN genauso wie IPSec. That's it, kein Plugin, Addon oder sonst irgendwas. Ob du hier Client oder Serverbetrieb machst, ist unerheblich.

    Okay, hatte ich dann wohl falsch in Erinnerung. Ich hab noch einmal nachgesehen: Ich hatte eine Quelle, wo die diversen "Packages" kurz gezeigt wurden. Hier kam ich dann im Kopf einfach darauf, dass mit Plugins gleich zu setzen.

    @JeGr:

    Zusätzlich soll pfsense mich auch vor Leaks schützen.
    Was zur Hölle ;) Wie soll dich pfs denn vor Leaks schützen? Und warum?

    Indem ich z.B. alle anderen Verbindungen außer zu den VPN-Servern sperre. Natürlich muss dies noch mit anderen benötigen Dingen wie VoIP, etc. abgestimmt werden, weswegen "alle anderen Verbindungen" nicht ganz korrekt ist.

    Local mache ich dies bei Linux z.B. über diverse Regeln, welche ich in iptables einspiele sobald eine OpenVPN Verbindung aufbaue. Sollte diese Verbindung dann mal getrennt werden (oder was auch immer) kommt durch die Regeln nichts so ins Netz.

    @JeGr:

    Wünschenswert wäre hier, dass ich je nach lokaler IP eine andere VPN-Verbindung zu einem anderen Server wählen kann.
    Was denn für eine lokale IP? Pro Rechner andere VPN Strecke? Warum? Dann macht doch der Client auf den Rechnern mehr Sinn als das alles zu bündeln?
    Ziel ist es durch die Wahl der Client-IP seinen Ausgangspunkt wählen zu können, z.B. Deutschland, Niederlande oder ggf. sogar ganz ohne VPN (Entertain sollte z.B. nicht über VPN gehen)

    Wahl der Client-IP -> wessen? Deine dir zugewiesene der Telekom? Deine lokalen PCs? Das ist alles extrem konfus.

    Mein Wunsch war folgendes: Mein VPN-Anbieter stellt diverse Server. Ich wollte lokal über pfsense dann gewisse Ranges abstecken, z.B.

    192.168.100.10-19 -> Server in der Schweiz
    192.168.100.20-29 -> Server in den Niederlanden
    192.168.100.30-39 -> Server in den USA

    Mit Client meine ich dann letztendlich den PC, an welchem ich dann z.B. surfe. Per DHCP könnte dann eine IP aus dem Bereich 10-19 (Schweiz) vergeben werden. Möchte ich dann aber mal in den USA raus kommen wechsel ich lokal bei meinem PC die IP auf z.B. 192.168.100.33 und gehe über eine VPN-Verbindung zum Server in den USA.

    Damit möchte ich jedem PC/Gerät die Möglichkeit geben durch eine Änderung der IP seinen "Standort" zu wechseln.

    Natürlich kann ich dies auch auf den PCs selbst mit OpenVPN direkt machen - dann muss ich aber die Konfigurationen für OpenVPN auf allen Geräten immer mehrfach aktuell halten.

    Ich hatte es mir (ohne genaues Wissen und daher einfach ganz naiv) gedacht, dass ich mehrere OpenVPN Clients in pfsense definiere und dafür dann eine Art "virtuelles Interface" erhalte. Dieses Interface würde ich dann eine gewissen Range an IP-Adressen zuweisen.

    @JeGr:

    Ob ich für diesen Wunsch "VPN und ohne VPN" bei pfsense einen dritten Ethernet-Port benötige weiß ich noch nicht.
    Jetzt hast du mich völlig verloren. Warum das denn? Ich finde grad keinen Sinn ;)

    Damit meinte ich folgendes: Gewissen Traffic will ich nicht über das VPN raus schicken, Entertain und VoIP zum Beispiel. Auch möchte ich mir die Möglichkeit offen halten, dass ich mit meinem PC irgendwann dann auch mal ohne VPN ins Internet möchte.

    Da ich nicht weiß, wie pfsense hier arbeitet könnte ich mir zwei Möglichkeiten vorstellen:

    1. VPN kann nur auf einen Ethernet-Anschluss gelegt werden, d.h. wenn ich einmal Internet über VPN und einmal ohne haben möchte, benötige ich einen dritten Ethernet-Port am Gerät von pfsense (neben WAN und VPN-Verbindung) für den normalen Internet-Verkehr

    2. Man kann, wie oben gesponnen, auf IP-(Range) zwischen VPN und nicht VPN unterscheiden.

    @JeGr:

    Das Problem ist jedoch leider die schlimme Firewall des Routers. Hier gibt es immer wieder Probleme mit Verbindungen (z.B. im Spielebereich ist dies CS:GO, wo nach jedem Spiel praktisch der Router resettet werden muss).

    Ist das ein offiziell bekanntes Problem oder nur eines was du hast und dass sich ggf. abschalten lässt wenn man den Router anders konfiguriert?
    Ich habe zumindest schon mehrere Leute gelesen, die hinter der Kiste arbeiten ohne Resets.

    Das Problem ist von der Telekom nicht bestätigt, man findet im Internet jedoch diverse Leute mit dem Problem und gemein ist immer der Router. Der Wechsel des Gerätes zu z.B. einer Fritzbox löst dieses Problem dann auch immer restlos.

    @JeGr:

    Hier muss ich schauen wie ich dies lösen kann. Je nach Hardware für pfsense könnte ich es direkt darüber abwickeln, ansonsten muss ich mir hier noch einen externen Access-Point holen. Ob dieser direkt per eigenem Ethernet-Port an pfsense kommt oder auch an den Switch hängt etwas von den Möglichkeiten unter dem Punkt "OpenVPN Client" ab.

    Ich (persönlich und nur halb verstehend) glaube du übertreibst bei dem OpenVPN Client Punkt gewaltig oder stellst dir das zumindest zu einfach vor. Aber vllt. verstehe ich auch nicht, was das alles soll, dann lasse ich mich gerne erhellen :) Aber der WLAN AP hat da m.E. herzlich wenig mit zu tun. Es sei denn du kaufst halbwegs ordentliche Switche und APs, die VLAN und Späßchens können, die man dann ordentlich separieren und zuweisen kann. Dann kann man da sicher einiges sinnvolles treiben.

    Okay, vermutlich zu kompliziert ausgedrückt: Ich habe mich noch nicht entschlossen, ob ich einen AP direkt in die Hardware der pfsense integriere oder extern hole und dann z.B. an einen Switch klemme.

    @JeGr:

    Ein passendes Modem kostet wohl so ca. 120 Euro. Die passende Hardware bei pfsense wird wohl kein ALIX-Board werden können, da die Performance zu schlecht ist. Hier muss ich wohl auf stärkere CPUs ausweichen müssen.

    Ernsthaft? Für 120€ bekomm ich ne kleine FB ohne Probleme. Ein reines dummes VDSL Modem ist m.E. billiger (man korrigiere mich bitte). Und wenn du schon 120€ in die Hand nimmst für den Zweck wäre ggf. ne Fritzbox nicht mal das Dümmste. Dann kannst du VDSL Verbindung und Telefonie darüber abfackeln und hängst als exposed Host die pfSense dahinter und hast keinen Ärger mit Telefon.

    Eine ALIX kostet nur unmerklich weniger wie eine APU (OK trotz starker CHF Kurse), also kann man da auch 25-40€ mehr reinhauen und eine APU kaufen und die reicht für VDSL allemal. Zumindest hab ich noch kein Requirement gelesen, was die APU überfordern würde. Und damit bist du beim kompletten Paket auch noch bei <200€.

    Und wenn du vornedran ne Fritte hast, kannst du sogar noch ganz schick hingehen und die DECT Funken von AVM als Telefon nutzen. Finde ich (subjektiv) nicht schlecht, die DECT Abdeckung ist ganz schick und notfalls gibts Repeater für die Steckdose. Und wenn du zwischen den 2 Switchen noch Powerlan brauchst, könntest du da auch die AVM Beulen nehmen, damit hätte man dann auch in der FB eine Überwachung von Strom und Speed der Stecker drin. Und wenn das Ding noch billiges WLAN hat, kann man darüber (und vor dem eigenen Netz) noch ein "einfaches schnelles" Gäste WLAN basteln, das man dann auch per Telefon mal schnell an/abschalten kann wenns gebraucht wird. Und nen AP für das eigene "gute" WLAN mit Bumms irgendwo dahinter stellen.

    Aber das ist nur mal mein Gedankenspiel :)

    Grüße

    Die VDSL-Modems, welche ich gefunden habe und nachweislich mit der Telekom funktionieren, liegen leider in dem Preisbereich und sind letztendlich eigentlich auch komplette Router, welche man als Modem betreiben kann. Echte, reine Modems, habe ich bislang nicht gefunden.

    Aber es stimmt schon: Für 120 Euro kann ich eigentlich auch direkt eine Fritzbox holen und Telefon und Entertain da dran klemmen. Bislang hatte es für mich aber immer so geklungen, dass AVM zwar besser als Telekomdreck ist, jedoch auch nicht unbedingt das Gelbe vom Ei. Fehlinformation?

    Wenn eine Fritzbox mit der Exposed-Host-Variante problemlos nutzbar ist, wäre das natürlich eine Option. Ich möchte jedoch nicht, dass mir hier irgendeine scheiß Firmware wieder einen Strich durch die Rechnung macht.

    Danke dir für deine Zeit

    Nachtrag: Dies scheint das einzige reine Modem zu sein, welches ich bislang gefunden habe: http://www.amazon.de/DrayTek-Vigor-130-VDSL2-ADSL2/dp/B00F9E5LQA/ Preis liegt bei ca. 100 Euro.


  • Rebel Alliance Moderator

    Hi :)

    @please:

    Okay, hatte ich dann wohl falsch in Erinnerung. Ich hab noch einmal nachgesehen: Ich hatte eine Quelle, wo die diversen "Packages" kurz gezeigt wurden. Hier kam ich dann im Kopf einfach darauf, dass mit Plugins gleich zu setzen.

    Es ging mir da nicht darum, dass der falsche Name genutzt wurde, sondern die Tatsache, dass alles was zu VPNs gehört Grundfunktion ist. Es gibt lediglich ein Export-Tool für Client Configs als extra Package :)

    @please:

    Indem ich z.B. alle anderen Verbindungen außer zu den VPN-Servern sperre. Natürlich muss dies noch mit anderen benötigen Dingen wie VoIP, etc. abgestimmt werden, weswegen "alle anderen Verbindungen" nicht ganz korrekt ist.

    Local mache ich dies bei Linux z.B. über diverse Regeln, welche ich in iptables einspiele sobald eine OpenVPN Verbindung aufbaue. Sollte diese Verbindung dann mal getrennt werden (oder was auch immer) kommt durch die Regeln nichts so ins Netz.

    Also überhaupt kein Internet wenn VPN getrennt? Na dann hoffe ich du hast ein gutes VPN mit ordentlich Durchsatz, mir wäre das zu viel, alles durch einen Tunnel zu schieben. Noch dazu wird es unsinnig, da man einen Client/Clients einfacher zuordnen kann, je mehr Daten dazu kommen. Sprich Cookies, hidden Images etc. sind derart viele Server basierende Möglichkeiten, seine Clients zu identifizieren, dass der Aufwand alles über VPN zu schieben sich kaum rentiert.

    Dazu kommt: wenn ich nicht will dass was mit extern redet, klemm ichs entweder ab (also keine allow Regel in der Firewall) oder erlaube eben nur sehr eng, was er darf und was nicht -> oder machs über einen Proxy. Dazu muss ich aber nicht die Clients verbiegen um irgendwelche "Leaks" zu vermeiden. Zumal diese Leaks eh passieren eben über die Tunnels und damit (rein von der Security Ecke gesehen) werden deine Tunnel eh kompromittiert.

    @please:

    Mein Wunsch war folgendes: Mein VPN-Anbieter stellt diverse Server. Ich wollte lokal über pfsense dann gewisse Ranges abstecken, z.B.

    192.168.100.10-19 -> Server in der Schweiz
    192.168.100.20-29 -> Server in den Niederlanden
    192.168.100.30-39 -> Server in den USA

    Mit Client meine ich dann letztendlich den PC, an welchem ich dann z.B. surfe. Per DHCP könnte dann eine IP aus dem Bereich 10-19 (Schweiz) vergeben werden. Möchte ich dann aber mal in den USA raus kommen wechsel ich lokal bei meinem PC die IP auf z.B. 192.168.100.33 und gehe über eine VPN-Verbindung zum Server in den USA.

    Damit möchte ich jedem PC/Gerät die Möglichkeit geben durch eine Änderung der IP seinen "Standort" zu wechseln.

    Im Ernst: Das ist meiner bescheidenen Ansicht nach total Banane. Da muss viel zu viel gefummelt werden. Nicht nur, dass du multiple Tunnel aufbauen und offenhalten musst (weniger dramatisch), du musst auch noch Bereiche vergeben, die dann darüber routen (was wieder eher unschön zu machen ist). Nicht nur das, wenn du deine outgoing IP ändern willst von CH auf US bspw. musst du an deinem Client rumfummeln und ne andere IP forcen -> doof wenn die grad in Beschlag ist. Und jedes Mal einloggen in den DHCP, Zuweisung der MAC ändern, IP rücksetzen, etc. etc. ist vollkommen gaga. Da bist du mit einem Tool wie Cyberghost oder wie auch immer die alle heißen wo du eh schon Länder/Server direkt auswählen kannst, 3x schneller. Das ist in der Praxis einfach zu schlecht handelbar.

    @please:

    Natürlich kann ich dies auch auf den PCs selbst mit OpenVPN direkt machen - dann muss ich aber die Konfigurationen für OpenVPN auf allen Geräten immer mehrfach aktuell halten.

    Ich hatte es mir (ohne genaues Wissen und daher einfach ganz naiv) gedacht, dass ich mehrere OpenVPN Clients in pfsense definiere und dafür dann eine Art "virtuelles Interface" erhalte. Dieses Interface würde ich dann eine gewissen Range an IP-Adressen zuweisen.

    So einfach ist es wie gesagt nicht und im Praxiseinsatz kannst du das vergessen. Das ist ein einziger Krampf und mit ständigem rumgebastel verbunden. Zudem bezweifle ich ernsthaft, dass du ein tatsächliches Sicherheitsbedürfnis hast (im Gegensatz zu einem Sicherheits/Anonymitäts-Wunsch). Denn solltest du den haben, würdest du allein von den Clients her schon komplett anders agieren müssen. Dann gibts keine vermeintlichen/unabsichtlichen Leaks, denn die könnten bei einem echten Sich.Bed. dann tatsächlich Schaden an Mann und Maschine nach sich ziehen.

    @please:

    Damit meinte ich folgendes: Gewissen Traffic will ich nicht über das VPN raus schicken, Entertain und VoIP zum Beispiel. Auch möchte ich mir die Möglichkeit offen halten, dass ich mit meinem PC irgendwann dann auch mal ohne VPN ins Internet möchte.

    Das erklärt immer noch nicht, was dann mit einem physikalischen 3. Port erreicht werden soll!?

    @please:

    Da ich nicht weiß, wie pfsense hier arbeitet könnte ich mir zwei Möglichkeiten vorstellen:

    1. VPN kann nur auf einen Ethernet-Anschluss gelegt werden, d.h. wenn ich einmal Internet über VPN und einmal ohne haben möchte, benötige ich einen dritten Ethernet-Port am Gerät von pfsense (neben WAN und VPN-Verbindung) für den normalen Internet-Verkehr

    Das hättest du relativ schnell erlesen/nachschlagen können: das VPN baut im Client Mode lediglich seine Verbindung über das Default GW auf. Das isses dann auch. Es erscheint dann lediglich als virt. tun-Interface und dort können Regeln raufgepackt werden.

    @please:

    Das Problem ist von der Telekom nicht bestätigt, man findet im Internet jedoch diverse Leute mit dem Problem und gemein ist immer der Router. Der Wechsel des Gerätes zu z.B. einer Fritzbox löst dieses Problem dann auch immer restlos.

    Das meinte ich damit - ob eben andere das Problem ebenfalls erleben und andere Router das nicht haben.

    @please:

    Okay, vermutlich zu kompliziert ausgedrückt: Ich habe mich noch nicht entschlossen, ob ich einen AP direkt in die Hardware der pfsense integriere oder extern hole und dann z.B. an einen Switch klemme.

    Extern. Man kann es in der pfSense machen, aber nicht, wenn man bspw. WLAN ac mit mehreren Antennen etc. haben will, einfach weil es momentan noch zu wenig Karten gibt, die kompatibel sind (ist zumindest mein Eindruck). Da ist es einfacher, für 50-150€ je nach Wunsch ne Kiste zu kaufen und ggf. mit OpenWRT o.ä. umzuflashen (oder auch nicht).

    @please:

    Die VDSL-Modems, welche ich gefunden habe und nachweislich mit der Telekom funktionieren, liegen leider in dem Preisbereich und sind letztendlich eigentlich auch komplette Router, welche man als Modem betreiben kann. Echte, reine Modems, habe ich bislang nicht gefunden.

    Schau in den VDSL Threads nach, da wurden ein zwei erwähnt, Preise hab ich nu grad nicht parat :)

    @please:

    Aber es stimmt schon: Für 120 Euro kann ich eigentlich auch direkt eine Fritzbox holen und Telefon und Entertain da dran klemmen. Bislang hatte es für mich aber immer so geklungen, dass AVM zwar besser als Telekomdreck ist, jedoch auch nicht unbedingt das Gelbe vom Ei. Fehlinformation?

    Nein, hängt immer vom Szenario ab. Und wenn die Boxen nicht als All-in-wonder-Megarouter verwendet werden, sind die meist auch wesentlich angenehmer. (Meine 7390 bspw. hat immer überhitzt weil das Ding einfach zu viel machen wollte. Als reiner AP und Telefonbox war das gar kein Problem.

    @please:

    Wenn eine Fritzbox mit der Exposed-Host-Variante problemlos nutzbar ist, wäre das natürlich eine Option. Ich möchte jedoch nicht, dass mir hier irgendeine scheiß Firmware wieder einen Strich durch die Rechnung macht.

    Danke dir für deine Zeit

    Könnte höchstens mit IPv6 ein Problemchen sein, wobei die neuen Boxen jetzt ordentlich Netze delegieren können sollten. Aber so "paranoid", wie du mit VPNs um dich wirfst, wäre v6 wahrscheinlich eh nichts für dich ;)

    Viele Grüße
    Jens

    PS: Nicht alles ist bierernst zu lesen :)



  • @JeGr:

    @please:

    Indem ich z.B. alle anderen Verbindungen außer zu den VPN-Servern sperre. Natürlich muss dies noch mit anderen benötigen Dingen wie VoIP, etc. abgestimmt werden, weswegen "alle anderen Verbindungen" nicht ganz korrekt ist.

    Local mache ich dies bei Linux z.B. über diverse Regeln, welche ich in iptables einspiele sobald eine OpenVPN Verbindung aufbaue. Sollte diese Verbindung dann mal getrennt werden (oder was auch immer) kommt durch die Regeln nichts so ins Netz.

    Also überhaupt kein Internet wenn VPN getrennt? Na dann hoffe ich du hast ein gutes VPN mit ordentlich Durchsatz, mir wäre das zu viel, alles durch einen Tunnel zu schieben. Noch dazu wird es unsinnig, da man einen Client/Clients einfacher zuordnen kann, je mehr Daten dazu kommen. Sprich Cookies, hidden Images etc. sind derart viele Server basierende Möglichkeiten, seine Clients zu identifizieren, dass der Aufwand alles über VPN zu schieben sich kaum rentiert.

    Dazu kommt: wenn ich nicht will dass was mit extern redet, klemm ichs entweder ab (also keine allow Regel in der Firewall) oder erlaube eben nur sehr eng, was er darf und was nicht -> oder machs über einen Proxy. Dazu muss ich aber nicht die Clients verbiegen um irgendwelche "Leaks" zu vermeiden. Zumal diese Leaks eh passieren eben über die Tunnels und damit (rein von der Security Ecke gesehen) werden deine Tunnel eh kompromittiert.

    Exakt. Ich möchte, wenn ich mich für den VPN-Weg entscheide tatsächlich alles über das VPN schicken. Der Durchsatz des VPNs sieht derzeit ausreichend aus, ich habe es bislang aber nur kurz getestet. Die ganze Sache befindet sich bei mir noch im Aufbau/Planung.

    Bezüglich des Identifizieren: Dafür will ich nun keine grundlegende Diskussion über den Zaun brechen weil damit könnte man ganze Seiten füllen. Nur so viel am Rande: Ich bin mir über die Möglichkeiten des Fingerprintings leider bewusst und ergreife zumindest im HTTP/HTTPS-Bereich durch diverse Plugins im Browser hier Gegenmaßnahmen, wodurch ich viele Fingerprint-Möglichkeiten schon einmal beschneide (in maximaler Ausprägung kein JavaScript, kein Cache, kein WebRTC, kein Cache, nur Session-Cookies, etc.)

    Das VPN hat für mich auch nur den Zweck meinen "öffentlichen Standort" in ein anderes Land zu legen (Erhöhung der Anonymität) und meine eigentliche IP zu verschleiern. Das ich nicht wirklich verhindern kann, dass man mich als die gleiche Person erkennt, das kann ich verstehen. Dann jedoch bitte nicht mit meiner echten IP in meinem echten Land ;)

    Im Endeffekt will ich über die Firewall dann ja das "verbiegen der Clients" unnötig machen. Ob man hier nun explizit störende Sachen blockiert oder alles was nicht über das VPN geht ist in meinen Augen Geschmackssache.

    @JeGr:

    @please:

    Mein Wunsch war folgendes: Mein VPN-Anbieter stellt diverse Server. Ich wollte lokal über pfsense dann gewisse Ranges abstecken, z.B.

    192.168.100.10-19 -> Server in der Schweiz
    192.168.100.20-29 -> Server in den Niederlanden
    192.168.100.30-39 -> Server in den USA

    Mit Client meine ich dann letztendlich den PC, an welchem ich dann z.B. surfe. Per DHCP könnte dann eine IP aus dem Bereich 10-19 (Schweiz) vergeben werden. Möchte ich dann aber mal in den USA raus kommen wechsel ich lokal bei meinem PC die IP auf z.B. 192.168.100.33 und gehe über eine VPN-Verbindung zum Server in den USA.

    Damit möchte ich jedem PC/Gerät die Möglichkeit geben durch eine Änderung der IP seinen "Standort" zu wechseln.

    Im Ernst: Das ist meiner bescheidenen Ansicht nach total Banane. Da muss viel zu viel gefummelt werden. Nicht nur, dass du multiple Tunnel aufbauen und offenhalten musst (weniger dramatisch), du musst auch noch Bereiche vergeben, die dann darüber routen (was wieder eher unschön zu machen ist). Nicht nur das, wenn du deine outgoing IP ändern willst von CH auf US bspw. musst du an deinem Client rumfummeln und ne andere IP forcen -> doof wenn die grad in Beschlag ist. Und jedes Mal einloggen in den DHCP, Zuweisung der MAC ändern, IP rücksetzen, etc. etc. ist vollkommen gaga. Da bist du mit einem Tool wie Cyberghost oder wie auch immer die alle heißen wo du eh schon Länder/Server direkt auswählen kannst, 3x schneller. Das ist in der Praxis einfach zu schlecht handelbar.

    Persönliche Meinungen und Ansichten sind dafür da, dass jeder eine haben kann ;) Grundsätzlich entnehme ich deiner Aussage, dass mein oben angedachtes Spiel grundsätzlich (!) machbar wäre. Auch wenn es natürlich einige Probleme/nerviges Gefummel mit sich bringt.

    Und zum Thema Cyberghost: Damit ziehe ich das Thema ja wieder auf die PCs und habe es nicht zentralisiert auf der Firewall. Dann muss jeder Client sich wieder um Leaks, Aktualisierungen der OpenVPN-Konfigurationen, etc. kümmern.

    Genau dies möchte ich ja nicht. Außerdem bietet mein Anbieter solch ein Tool nicht an ;)

    @JeGr:

    @please:

    Natürlich kann ich dies auch auf den PCs selbst mit OpenVPN direkt machen - dann muss ich aber die Konfigurationen für OpenVPN auf allen Geräten immer mehrfach aktuell halten.

    Ich hatte es mir (ohne genaues Wissen und daher einfach ganz naiv) gedacht, dass ich mehrere OpenVPN Clients in pfsense definiere und dafür dann eine Art "virtuelles Interface" erhalte. Dieses Interface würde ich dann eine gewissen Range an IP-Adressen zuweisen.

    So einfach ist es wie gesagt nicht und im Praxiseinsatz kannst du das vergessen. Das ist ein einziger Krampf und mit ständigem rumgebastel verbunden. Zudem bezweifle ich ernsthaft, dass du ein tatsächliches Sicherheitsbedürfnis hast (im Gegensatz zu einem Sicherheits/Anonymitäts-Wunsch). Denn solltest du den haben, würdest du allein von den Clients her schon komplett anders agieren müssen. Dann gibts keine vermeintlichen/unabsichtlichen Leaks, denn die könnten bei einem echten Sich.Bed. dann tatsächlich Schaden an Mann und Maschine nach sich ziehen.

    Primär geht es mir auch erst einmal nur um Anonymität - im Bezug auf VPN.

    Nur aus Interesse/Lerngedanken: Wie würde ich es den anders aufziehen wenn ich ein echtes Sicherheitsbedürfnis hätte? Interessiert mich nun :)

    @JeGr:

    @please:

    Damit meinte ich folgendes: Gewissen Traffic will ich nicht über das VPN raus schicken, Entertain und VoIP zum Beispiel. Auch möchte ich mir die Möglichkeit offen halten, dass ich mit meinem PC irgendwann dann auch mal ohne VPN ins Internet möchte.

    Das erklärt immer noch nicht, was dann mit einem physikalischen 3. Port erreicht werden soll!?

    Glaube ich spreche eine andere Sprache :( Inzwischen hat sich die Frage auch wohl erledigt durch dein unten gesagtes.

    @JeGr:

    @please:

    Da ich nicht weiß, wie pfsense hier arbeitet könnte ich mir zwei Möglichkeiten vorstellen:

    1. VPN kann nur auf einen Ethernet-Anschluss gelegt werden, d.h. wenn ich einmal Internet über VPN und einmal ohne haben möchte, benötige ich einen dritten Ethernet-Port am Gerät von pfsense (neben WAN und VPN-Verbindung) für den normalen Internet-Verkehr

    Das hättest du relativ schnell erlesen/nachschlagen können: das VPN baut im Client Mode lediglich seine Verbindung über das Default GW auf. Das isses dann auch. Es erscheint dann lediglich als virt. tun-Interface und dort können Regeln raufgepackt werden.

    Ich habe so etwas davon schon gelesen. Ich versuche hier gerade noch massive Wissenslöcher aufzufüllen, jedoch habe ich oft nur Vermutungen ob dieses weiterführende Thema für mich nun relevant ist. Das lese ich dann an, muss wegen fehlendem Wissen dann wieder was anderes querlesen, etc. Ich möchte nicht ausschließen, dass mir dabei etwas durch die Lappen geht, leider.

    @JeGr:

    @please:

    Die VDSL-Modems, welche ich gefunden habe und nachweislich mit der Telekom funktionieren, liegen leider in dem Preisbereich und sind letztendlich eigentlich auch komplette Router, welche man als Modem betreiben kann. Echte, reine Modems, habe ich bislang nicht gefunden.

    Schau in den VDSL Threads nach, da wurden ein zwei erwähnt, Preise hab ich nu grad nicht parat :)

    Bislang habe ich hier in Beiträgen das Gerät von ZyXEL (ca. 120€) und ALLNET (ca. 150€) gesehen, beides ganze Router mit Bridge-Mode. Einzig Draytek bietet offenbar das einzig alleinstehende Modem an (ca. 100€).

    @JeGr:

    @please:

    Aber es stimmt schon: Für 120 Euro kann ich eigentlich auch direkt eine Fritzbox holen und Telefon und Entertain da dran klemmen. Bislang hatte es für mich aber immer so geklungen, dass AVM zwar besser als Telekomdreck ist, jedoch auch nicht unbedingt das Gelbe vom Ei. Fehlinformation?

    Nein, hängt immer vom Szenario ab. Und wenn die Boxen nicht als All-in-wonder-Megarouter verwendet werden, sind die meist auch wesentlich angenehmer. (Meine 7390 bspw. hat immer überhitzt weil das Ding einfach zu viel machen wollte. Als reiner AP und Telefonbox war das gar kein Problem.

    Ah okay. Gut zu wissen.

    @JeGr:

    @please:

    Wenn eine Fritzbox mit der Exposed-Host-Variante problemlos nutzbar ist, wäre das natürlich eine Option. Ich möchte jedoch nicht, dass mir hier irgendeine scheiß Firmware wieder einen Strich durch die Rechnung macht.

    Danke dir für deine Zeit

    Könnte höchstens mit IPv6 ein Problemchen sein, wobei die neuen Boxen jetzt ordentlich Netze delegieren können sollten. Aber so "paranoid", wie du mit VPNs um dich wirfst, wäre v6 wahrscheinlich eh nichts für dich ;)

    Och wieso kein IPv6? Solang ich nur mit der Adresse des Servers am "VPN-Ende" auftrete ist doch alles in Ordnung ;)

    @JeGr:

    PS: Nicht alles ist bierernst zu lesen :)

    Versuche es. Komme mir bei diesem Thema echt wie der "Ochs vorm Berg" vor, was mich persönlich echt nervt ;)



  • Zur VPN kann ich nichts sagen, aber zu Entertain und VoIP, s.u..

    Bzgl. VPN nur ein Punkt, falls Du auf eine Lösung mit einer FB gehen möchtest: Die Fritzboxen scheinen bei VPN-Betrieb CPU-mäßig nicht ausreichend dimensioniert zu sein, so daß es dann zu Abbrüchen beim Telefonieren kommen kann. Dazu habe ich eine sehr ausführliche und gut fundierte Rezension auf amazon gelesen, weiß aber nicht, wie aktuell das noch ist. Das würde ich aber vorher prüfen / recherchieren.

    Entertain geht mit pfSense. Wenn Du HW einkaufen gehst, solltest Du auf folgendes achten: Switches sollten IGMP-fähig sein. Eine VLAN-Fähigkeit schadet auch nicht. (Das hat aber mit den erwähnten VLANs bzgl. Entertain nichts zu tun.)

    Powerline kann mit Multicast-Traffic des Entertain wohl zickig sein. Hier habe ich aber selbst keine Erfahrung, nur etwas Respekt aufgrund etlicher Foreneinträge, über die ich mal gestolpert bin. Kommt auf einen Versuch an. Evtl. hast Du das aber ja schon mit Entertain über eine Powerline-Srtrecke am Laufen?

    Telefonie: Mit einer Uralt FB kannst Du VoIP machen. Ich selbst habe dazu eine FB Fon 5050 von ebay geholt, hat ca 5 Euro gekostet. Da hast Du mehrere Anschlüsse für "alte" Telefone, das Teil macht in meine Netz nichts anderes. Bei Neuanschaffung ist dann ein IP-Telefon sinnvoll, da kannst Du auch von deutlich besserer Sprachqualität profitieren.

    -flo-



  • @-flo-:

    Wenn Du HW einkaufen gehst, solltest Du auf folgendes achten: Switches sollten IGMP-fähig sein. Eine VLAN-Fähigkeit schadet auch nicht.

    Wenn es besser sein soll, dann schau Dir die SG300er Serie von Cisco an.
    Wenn Du preisbewusst kaufst, dann evtl. TL-SG3210 oder TL-SG3216 oder 3424 von TP-Link.
    Netgear würde ich persönlich komplett vergessen, speziell dann, wenn Du Dich um andere Dinge als Problemlösungen vom Netgedöns kümmern willst.


  • Rebel Alliance Moderator

    @please

    Im Endeffekt will ich über die Firewall dann ja das "verbiegen der Clients" unnötig machen. Ob man hier nun explizit störende Sachen blockiert oder alles was nicht über das VPN geht ist in meinen Augen Geschmackssache.

    Das schon, allerdings wirst du in der Praxis sehr wahrscheinlich nicht um das Verbiegen herumkommen. Denn wenn du eine andere VPN IP haben willst, musst du ja am Client eingreifen oder aufstehen und zum Schweizer Computer wechseln und danach wieder zum US Rechner. Wenn ich jetzt mal sowas wie Steam einwerfe, bei dem es durchaus drauf ankommen kann, in welchem Land man eingewählt ist ob man diverse Software angezeigt bekommt und kaufen kann, wäre mir das einfach zu viel herumgeknote jedes Mal Software beenden; Netzwerk auf, andere IP rein, Netzwerk zu, IP prüfen, OK ist jetzt US->CH, Software starten, kaufen, runterladen, und alles wieder CH->US zurückdrehen damit man weitermachen kann mit dem, was man vorher vorhatte. Mehr Komfort bringt das aus meiner Sicht nicht.

    Persönliche Meinungen und Ansichten sind dafür da, dass jeder eine haben kann ;) Grundsätzlich entnehme ich deiner Aussage, dass mein oben angedachtes Spiel grundsätzlich (!) machbar wäre. Auch wenn es natürlich einige Probleme/nerviges Gefummel mit sich bringt.

    Jein. Es könnte möglich sein, allerdings bin ich mir unschlüssig ob man die VPN Gateways in den Filterregeln direkt adressieren kann. Ich vermute ja, weiß es aber nicht, da ich so einen Fall noch nicht hatte.

    Genau dies möchte ich ja nicht. Außerdem bietet mein Anbieter solch ein Tool nicht an ;)

    Worin unterscheidet sich aber bspw. eine Softwarelösung (mal vom Aufwand der Pflege) gegenüber dem zentralen Gedanken? Die Rechner können ohne VPN gar nicht ins Netz (wg Leaks)? Kein Problem -> Einfach via Regel nur Einwahlverbindung von den Clients erlauben zum VPN. Sehr einfach abzubilden und ohne VPN geht dann auch nichts raus. Mit ner Software kann man das aber m.E. nach besser abdecken. Bspw. OpenVPN GUI raufwerfen, 4 Tunnel einrichten (machst du einmal, dann verteilst du die ovpn configs einfach auf alle Rechner oder lädst sie auf ein NAS o.ä. damit alle ran kommen). Und dann hat jeder am Rechner:

    1. ohne VPN gar kein Internet
    2. VPN GUI wo er sein Ziel auswählt

    Und wenn mans wechseln muss geht das simpel über nen rechtsklick und disconnect/connect. Keine IP umstellen, keine Mac verbiegen, kein DHCP o.ä.

    Primär geht es mir auch erst einmal nur um Anonymität - im Bezug auf VPN.  Nur aus Interesse/Lerngedanken: Wie würde ich es den anders aufziehen wenn ich ein echtes Sicherheitsbedürfnis hätte?
    Interessiert mich nun :)

    DAS würde durchaus lange dauern zu diskutieren, nur soviel: Hier unterscheidet sich dann das Bedürfnis zwischen Datenschutz und Security. Was du möchtest ist Datenschutz bzw. Schutz deiner Privatsphäre. Kein obskurer Wunsch. Aber sehr zu unterscheiden von Security oder OPSEC. Einfach zu verstehen: Bei Datenschutz willst du keinen Telefonbucheintrag, weil du nicht von wildfremden Leuten oder Dialern angerufen werden willst. Ruft trotzdem einer unbekannt an, kannst du es ignorieren, gehst nicht mehr ran wenn keine Nummer im Display steht, holst dir nen neuen Anschluß/Nummer/SIM oder stellst Telefon komplett ab und nimmst nur noch VoIP/Skype und andere neue Medien sowie Blocklisten und Whitelisten.
    Stellt ein Telco deine Nummer dann versehentlich doch in ne Rückwärtssuche oder Telefonbuch ist das ärgerlich.
    Bei OPSEC willst du keine Nummer haben, weil dein Leben davon abhängen könnte, musst aber ggf. erreichbar sein für einen fix definierten Personenkreis. Erscheint diese Nummer dann im Telefonbuch, heißt das Panik, Notanrufe und Evakuierung im dümmsten Fall. Beispiel hier Zeugenschutz oder andere Schutzprogramme (wie das ausgehen kann, siehe: http://www.heise.de/tp/artikel/13/13211/1.html)

    Deshalb würdest du bei OPSEC schon ganz anders an deine Sicherheitsbedürfnisse herangehen. Da holst du dir kein "public Internet", sondern würdest alleine der Sicherheit schon über Scheinfirmen, -identitäten oder Strohmänner deinen Anschluß besorgen und diesen ungeschützt nie nutzen. Dazu dann höchstens ein zwei Rechner, mit denen das Nötigste gemacht wird, aber dein tatsächlich persönlicher Rechner an dem du arbeitest wäre ein Rechner, der evtl. sogar Tempest Shielded ist (https://en.wikipedia.org/wiki/Tempest_(codename)). Wenn es dann um Sicherheit geht, ist Komfort hintenan, da überlegst du ob du überhaupt Internet brauchst und wie du das so hinbekommst, dass keiner rausfindet wer, was, wo und warum du überhaupt bist.

    Zitat zu Security/OPSEC von Kristian Köhntopp: Security hat dann meist ein besonderes Problem. Nämlich die Tatsache, daß Leute, die glauben, daß sie Security brauchen, irgendwann feststellen, daß Security nervt in der Umsetzung, also im täglichen Leben. Die Dinge, die man tun muß, um am Leben zu bleiben (weil man real bedroht ist), sind aufwendig, unbequem, lassen keine Spontanität zu oder trennen einen von Leuten, die man gerne hat oder mit denen man gerne Kontakt halten möchte. Diesen Aufwand, den man treiben muß, damit die Security trotzdem aufrecht erhalten wird, der fällt dann gerne in die Kategorie http://en.wikipedia.org/wiki/OPSEC

    Den ganzen Post auf G+ (bezieht sich ursprünglich auf Secure E-Mail ist aber sehr interessant zu lesen):
    https://plus.google.com/117024231055768477646/posts/5bEeVo8DZP1

    Och wieso kein IPv6? Solang ich nur mit der Adresse des Servers am "VPN-Ende" auftrete ist doch alles in Ordnung ;)

    Weil IPv6 von den Telcos momentan wieder derart gefickt und vergewaltigt eingesetzt wird (man vergebe mir die Wortwahl, aber es ist so), dass man den Schrott lieber wegwirft und sich - wenn man wirklich was damit machen will - lieber einen v6 Tunnel holt mit dem man arbeiten kann. Damit ist dann aber nicht mehr unbedingt "Privacy" zu erreichen, denn das v6 Subnetz des Tunnels wird dann wieder auf einen registriert.
    Warum die Implementation Mist ist: Beispielsweise weil alte PPP(oE) und IPv4 Mechanismen bei v6 eingesetzt werden und das dann als tolle Innovation verkauft wird (weil Datenschutz!!11elf) so wie bspw. die Zwangstrennung und Vergabe eines neuen Prefixes. Nur dann nutzt mir das ganze v6 nichts mehr, wenn sich alle 24h alle meine Geräte in ihrer IP ändern. Am besten, wenn ich gerade gemütlich am Fernsehen bin, mir einen Stream anschaue und sich dann die IPv6 der Box ändert, weil die Telekom gerade das Prefix getauscht hat. Oder ich den Stream von einem SAN/NAS schaue und das plötzlich ne andere IPv6 hat. Und statisch konfigurieren ist nicht, denn das Prefix ändert sich ja ständig. Das ist komplett am Sinn vorbei.

    @flo: Ich finde subjektiv auch, dass die FBs (gerade die neueren) viel zu überlastet sind mit VPN. Zudem gibt es manchmal Probleme in Verbindung mit VoIP (gab einige Firmwares, bei denen VoIP bei aufgebautem VPN nicht mehr lief da falsche Route intern). Das würde ich auch wie du eher nicht empfehlen, VPN auf dem Fritzen zu machen. Geht eh nicht, sonst kann er die Routen nicht wählen :)

    @jahonix: Das Gesagte zum Thema Netgear unterschreibe ich sofort :)



  • @jahonix:

    @-flo-:

    Wenn Du HW einkaufen gehst, solltest Du auf folgendes achten: Switches sollten IGMP-fähig sein. Eine VLAN-Fähigkeit schadet auch nicht.

    Wenn es besser sein soll, dann schau Dir die […]
    Netgear würde ich persönlich komplett vergessen, speziell dann, wenn Du Dich um andere Dinge als Problemlösungen vom Netgedöns kümmern willst.

    Ich habe mir diese Empfehlungen auch mal abgespeichert. Sieht vielversprechend aus.

    Wenn es sehr günstig sein soll, dann würde ich trotz der deutlich ablehnenden Expertenmeinung bzgl. Netgear mal ganz vorsichtig den GS108E (http://www.amazon.de/NETGEAR-ProSafe-Plus-Unmanaged-Switch/dp/B00MYYTP3S) von Netgear ins Spiel bringen. Ich habe das Vorgängermodell und das kommt mit VLANs und IGMP gut klar. Allerdings ist die Administration nervig (evtl. inzwischen browsergestützt, beim Vorgänger jedenfalls nur mit einer speziellen Windows-Software) und er hat aufgrund Sicherheitslücken in einem professionellen Umfeld nichts verloren.

    -flo-



  • @-flo-:

    Powerline kann mit Multicast-Traffic des Entertain wohl zickig sein. Hier habe ich aber selbst keine Erfahrung, nur etwas Respekt aufgrund etlicher Foreneinträge, über die ich mal gestolpert bin. Kommt auf einen Versuch an. Evtl. hast Du das aber ja schon mit Entertain über eine Powerline-Srtrecke am Laufen?

    Telefonie: Mit einer Uralt FB kannst Du VoIP machen. Ich selbst habe dazu eine FB Fon 5050 von ebay geholt, hat ca 5 Euro gekostet. Da hast Du mehrere Anschlüsse für "alte" Telefone, das Teil macht in meine Netz nichts anderes. Bei Neuanschaffung ist dann ein IP-Telefon sinnvoll, da kannst Du auch von deutlich besserer Sprachqualität profitieren.

    Ich nutze seit einigen Monaten Entertain in Verbindung mit den Telekom-eigenen Powerline-Adaptern. Funktioniert bislang vollkommen problemlos.

    Ich würde erst einmal eine alte FB einem neuen IP-Telefon vorziehen denke ich, alleine aus Kostengründen.

    @jahonix:

    Wenn Du preisbewusst kaufst…

    Wenn es so weit kommt, dass ich das Ganze hier wirklich so umsetze, welche ich wohl bei TP landen. Über 100 Euro für einen Switch ist mir dann im privaten Bereich doch etwas happig.

    @JeGr:

    Worin unterscheidet sich aber bspw. eine Softwarelösung (mal vom Aufwand der Pflege) gegenüber dem zentralen Gedanken? Die Rechner können ohne VPN gar nicht ins Netz (wg Leaks)? Kein Problem -> Einfach via Regel nur Einwahlverbindung von den Clients erlauben zum VPN. Sehr einfach abzubilden und ohne VPN geht dann auch nichts raus. Mit ner Software kann man das aber m.E. nach besser abdecken. Bspw. OpenVPN GUI raufwerfen, 4 Tunnel einrichten (machst du einmal, dann verteilst du die ovpn configs einfach auf alle Rechner oder lädst sie auf ein NAS o.ä. damit alle ran kommen). Und dann hat jeder am Rechner:

    1. ohne VPN gar kein Internet
    2. VPN GUI wo er sein Ziel auswählt

    Und wenn mans wechseln muss geht das simpel über nen rechtsklick und disconnect/connect. Keine IP umstellen, keine Mac verbiegen, kein DHCP o.ä.

    Okay, werde mich auf kurz oder lang dann wohl von meiner ursprünglichen Idee verabschieden müssen. Sah in meiner Welt alles so super aus ;) Damit wackelt für mich das pfsense-Projekt aber irgendwie auch etwas.

    Ich habe hier zwar ein Kack-Router mit nicht deaktivier- und konfigurierbarer Firewall, welcher hin und wieder Probleme macht aber auf der anderen Seite müsste ich für ein "pfsense"-Setup einiges an Geld in die Hand nehmen. Router, pfsense-Hardware, Switch - mal von der ganzen Zeit abgesehen.

    Inzwischen macht sich bei mir etwas die Ernüchterung breit, dass wenn ich die VPN-Clients am Ende dann doch auf Desktop-PCs abbilde, ich keine so wirkliche Verwendung für die pfsense habe. Einzig, dass ich darüber eine zentrale Möglichkeit hätte gewisse Dinge bewusst zu blocken/kontrollieren.

    @JeGr:

    Primär geht es mir auch erst einmal nur um Anonymität - im Bezug auf VPN.  Nur aus Interesse/Lerngedanken: Wie würde ich es den anders aufziehen wenn ich ein echtes Sicherheitsbedürfnis hätte?
    Interessiert mich nun :)

    DAS würde durchaus lange dauern zu diskutieren, nur soviel: Hier unterscheidet sich dann das Bedürfnis zwischen Datenschutz und Security. Was du möchtest ist Datenschutz bzw. Schutz deiner Privatsphäre. Kein obskurer Wunsch. Aber sehr zu unterscheiden von Security oder OPSEC. Einfach zu verstehen: Bei Datenschutz willst du keinen Telefonbucheintrag, weil du nicht von wildfremden Leuten oder Dialern angerufen werden willst. Ruft trotzdem einer unbekannt an, kannst du es ignorieren, gehst nicht mehr ran wenn keine Nummer im Display steht, holst dir nen neuen Anschluß/Nummer/SIM oder stellst Telefon komplett ab und nimmst nur noch VoIP/Skype und andere neue Medien sowie Blocklisten und Whitelisten.
    Stellt ein Telco deine Nummer dann versehentlich doch in ne Rückwärtssuche oder Telefonbuch ist das ärgerlich.
    Bei OPSEC willst du keine Nummer haben, weil dein Leben davon abhängen könnte, musst aber ggf. erreichbar sein für einen fix definierten Personenkreis. Erscheint diese Nummer dann im Telefonbuch, heißt das Panik, Notanrufe und Evakuierung im dümmsten Fall. Beispiel hier Zeugenschutz oder andere Schutzprogramme (wie das ausgehen kann, siehe: http://www.heise.de/tp/artikel/13/13211/1.html)

    Deshalb würdest du bei OPSEC schon ganz anders an deine Sicherheitsbedürfnisse herangehen. Da holst du dir kein "public Internet", sondern würdest alleine der Sicherheit schon über Scheinfirmen, -identitäten oder Strohmänner deinen Anschluß besorgen und diesen ungeschützt nie nutzen. Dazu dann höchstens ein zwei Rechner, mit denen das Nötigste gemacht wird, aber dein tatsächlich persönlicher Rechner an dem du arbeitest wäre ein Rechner, der evtl. sogar Tempest Shielded ist (https://en.wikipedia.org/wiki/Tempest_(codename)). Wenn es dann um Sicherheit geht, ist Komfort hintenan, da überlegst du ob du überhaupt Internet brauchst und wie du das so hinbekommst, dass keiner rausfindet wer, was, wo und warum du überhaupt bist.

    Zitat zu Security/OPSEC von Kristian Köhntopp: Security hat dann meist ein besonderes Problem. Nämlich die Tatsache, daß Leute, die glauben, daß sie Security brauchen, irgendwann feststellen, daß Security nervt in der Umsetzung, also im täglichen Leben. Die Dinge, die man tun muß, um am Leben zu bleiben (weil man real bedroht ist), sind aufwendig, unbequem, lassen keine Spontanität zu oder trennen einen von Leuten, die man gerne hat oder mit denen man gerne Kontakt halten möchte. Diesen Aufwand, den man treiben muß, damit die Security trotzdem aufrecht erhalten wird, der fällt dann gerne in die Kategorie http://en.wikipedia.org/wiki/OPSEC

    Den ganzen Post auf G+ (bezieht sich ursprünglich auf Secure E-Mail ist aber sehr interessant zu lesen):
    https://plus.google.com/117024231055768477646/posts/5bEeVo8DZP1

    Danke für die Infos… im Nachhinein eigentlich logisch. Dann müssten wirklich ganz andere Kaliber ausgefahren werden.



  • @-flo-:

    Wenn es sehr günstig sein soll, dann würde ich trotz …

    Es waren auch die GS108T, von denen ich 3 Stück in den Händen hatte.
    Einer war DOA, der zweite hat ein (fast zwangsweise benötigtes) Firmware-Update nicht überlebt und der dritte ist nach wenigen Tagen verraucht.
    Das waren leider nicht die einzigen Geräte von Netgedöns, die unter meinen Fingern den Dienst quittiert haben.
    Für weitere Experimente damit ist mir meine Zeit echt zu schade.


  • Rebel Alliance Moderator

    Inzwischen macht sich bei mir etwas die Ernüchterung breit, dass wenn ich die VPN-Clients am Ende dann doch auf Desktop-PCs abbilde, ich keine so wirkliche Verwendung für die pfsense habe.
    Einzig, dass ich darüber eine zentrale Möglichkeit hätte gewisse Dinge bewusst zu blocken/kontrollieren.

    Wenn du auf dem Stadium bist, ist es vielleicht gar nicht schlecht. Es ist richtig, dass du für das ein oder andere Szenario Geld in die Hand nehmen musst, aber das ist eben leider so, wenn man was gut machen will. Und wenn du andererseits schon schreibst, dass du einen "schlechten Router hast den du nicht kontrollieren kannst", dann wäre mir, wenn ich schon sicherheitsbewusst mit VPN Tunneln etc. arbeite, es schon wichtig, den zu ersetzen oder um den drumherum zu arbeiten. Ich mag mir in mein Netz eben nicht reinschauen lassen von meinem ISP, ganz egal warum. Mein interner Traffic soll auch intern bleiben. :)

    Grüße



  • @JeGr:

    Wenn du auf dem Stadium bist, ist es vielleicht gar nicht schlecht. Es ist richtig, dass du für das ein oder andere Szenario Geld in die Hand nehmen musst, aber das ist eben leider so, wenn man was gut machen will. Und wenn du andererseits schon schreibst, dass du einen "schlechten Router hast den du nicht kontrollieren kannst", dann wäre mir, wenn ich schon sicherheitsbewusst mit VPN Tunneln etc. arbeite, es schon wichtig, den zu ersetzen oder um den drumherum zu arbeiten. Ich mag mir in mein Netz eben nicht reinschauen lassen von meinem ISP, ganz egal warum. Mein interner Traffic soll auch intern bleiben. :)

    Das der Spaß auch was kostet ist mir klar. Heißt nicht umsonst: "Wer billig kauft, kauft zweimal". Jedoch ist es dann irgendwo dennoch eine Kosten-Nutzen-Rechnung, welche bei mir halt eher fragwürdig aussieht.

    Entweder ich wähle die Hintereinanderschaltung "FB (direkt mit Telefon und Entertain dran) -> pfsense -> Switch -> Rest" oder "Modem -> pfsense -> Switch -> Rest". Beides kostet unterm Strich mindestens 250 Euro, eigentlich sogar 300 Euro nach erstem überschlagen.

    Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.



  • Ich hab aufgrund ähnlicher Gedanken mich damals hier angemeldet (weil ipFire anscheinend nur OPENVPN Server aber keine Clients hat)

    Ich weiss jetzt nicht ob ich es falsch Verstanden hab oder andere es evtl. falsch Verstanden haben…

    Ich lese das hier

    192.168.100.10-19 -> Server in der Schweiz
    192.168.100.20-29 -> Server in den Niederlanden
    192.168.100.30-39 -> Server in den USA

    so:

    Alle internen Geräte mit den letzten Oktett zwischen 10 und 19 (also der PC der Frau, das Notebook vom Nachwuchs etc..) werden über eine VPN Verbindung auf einen Server in der Schweiz geroutet, und gehen von da aus ins Internet eben auch auf z.B. die Youtubevideos die die GEMA in Deutschland gesperrt hat (z.B. russische Dashcam Crashvideos die ab und zu den Ton vom russischen Radio drauf haben)

    Alle internen Geräte mit dem letzten Oktett zwischen 20 und 29 (also das NAS im Keller und bla bla…) werden über eine VPN Verbindung auf einen Server ...

    Alle internen Geräte zwischen 30 und 39 (also der Fire-TV Box, der Roku für Hulu und Netflix) gehen über eine VPN Verbindung in die USA um den Kram zu glotzen den man trotz 8 Milliarden TV Gebühren in Deutschland nicht sehen kann.

    so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.

    Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.

    http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn

    Gruss Auric



  • @Auric:

    so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.

    Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.

    So war es gemeint, vielen Dank :)

    Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.

    Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.



  • @please:

    Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.

    Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.

    Das Fitlet -i und -X http://www.golem.de/news/compulab-fitlet-und-mintbox-mini-passive-mini-pcs-mit-amds-mullins-chip-1501-111716.html haben wohl was wir wollen, wenn es nur um die Anzahl der NICs ginge wäre ein Gigabit-Ethernet Port  den man als Router on a Stick über einen VLAN fähigen Switch anschliessen könnte ausreichend (das mit dem Router on a Stick schreib ich hier ganz leise, weil das natürlich bei Heavy-Traffic im Gigabit Bereich ein Flaschenhals wäre)

    Gruss Auric



  • Danke für den Hinweis!

    Ein Quad-Core mit AES sollte ausreichend Power haben. Lockt ziemlich das Gerät.

    Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?

    Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/


  • Rebel Alliance Moderator

    Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.

    Ich hab das gemacht und habe das Gefühl, dass es sich gelohnt hat, denn jetzt habe ich Remote Management Möglichkeiten, denen ich vertrauen kann (SSH, OpenVPN sowie IPv6 und mehr).

    Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.

    Ich weiß nicht was ihr sucht oder wo ihr das Problem habt. Die APU kann sicher kein Gigabit VPN machen. Das muss sie aber auch gar nicht, denn du hast vorne raus nur 50MBit DSL. Und das sollte sie spielend schaffen. Wenn das zu wenig ist, kann man auch in die Ecke Rangeley Atom gehen, da gibt es die kleineren Kisten mit 4-5 NICs auch schon für 200-300€.

    Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.

    Grüße



  • @please:

    Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?

    Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/

    Ich hab das mal angegangen, mir eine APU besorgt, einige Wochen mit ihr gekämpft, ipFire rauf und wieder runter (siehe oben) an pfSense 2.15 verzweifelt und 2.2 RC problemlos zum laufen gebracht, und auf 2.2 Final upgedated.

    Die APU ist jetzt hier in der Firma, weil wir da ganz schnell eine ordentliche VPN Verbindung gebraucht haben und macht hier ihre Sache mit 3 VLANs bisher absolut problemlos.

    Jetzt muss ich mir für daheim halt wieder eine neue Hardware suchen…

    Ja die Preise sind natürlich prohibitiv, mein Wissensstand waren die 130 $ laut Golem, + Aufpreis für die bessere Hardware. Das der Aufpreis 90% beträgt wusste ich nicht, hätte ich es gewusst hätte ich das Ding nicht verlinkt.

    @Jens: Die Frage nach AES-NI kam auf weil das selektive Routing theoretisch auch mit einem ASUS Router möglich ist, der ist aber oft selbst für langsamere Verbindungen schlicht zu schwach, kommt evtl. daher das gewisse VPN Anbieter solche Verschlüsselungen Version:

    OpenVPN-2.3.6
    TLS+Cipher: TLSv1.2 + AES-256-CBC
    HMAC-Auth: SHA-512
    RSA-Keys: 4096 bit

    anbieten und dazu ist eine AES Hardware evtl. von Nöten (was ich nicht beurteilen kann, ich hab nur so einiges gelesen....)  :-[



  • @Auric:

    OpenVPN-2.3.6
    TLS+Cipher: TLSv1.2 + AES-256-CBC
    HMAC-Auth: SHA-512
    RSA-Keys: 4096 bit

    Würde auf genau meinen Anbieter zutreffen.

    Nicht sicher, ob du das nicht sogar von deren Seite hast ;)



  • Ich hab mich ein wenig in die Zotac Zbox PA330  http://techreleasedate.com/zotac-zbox-ci321-nano-en860-pa330-review/verguggt, leider hab ich für die noch keinen Preis oder Lieferdatum gefunden.


  • Rebel Alliance Moderator

    @Auric: Dat Dingens hat aber nur eine Gigabit Schnittstelle soweit ich sehe? Fiele damit bei mir komplett durch :) Zumal der SOC ja auch ein APU ist (obwohl ein anderer) und beim WLAN nicht klar ist welches Modul, wüsste ich nicht ob das überhaupt sauber mit pfSense läuft.



  • Die Eckwerte kenne ich  ;)

    Mir gefällt die APU die im Gegensatz zu PC-Engines APU auch AES kann, die Gigabit Ethernet Schnittstelle der Formfaktor und hoffentlich der Preis

    Der einzelne Netzwerkport stört erst einmal nicht, als Router on a Stick am VLAN fähigem Switch im Keller brauche ich nicht mehr.

    Gruss Auric


  • Rebel Alliance Moderator

    OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)



  • @JeGr:

    OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)

    OT: so eine GE Schnittstelle macht das ja im Duplex, da kann man ganz ordentliche Datenmengen gleichzeitig rein und raus schaufeln sofern die innen Verarbeitet werden können, es müssen ja "nur" die Datenmengen eines VDSL Anschlusses durch, ich will damit keine Bürogebäude miteinander koppeln.

    On Topic: hast du ein Link zu so einem Rangeley 2 Kerner? ist natürlich interessant.

    Gruss Auric


  • Rebel Alliance Moderator

    Jup, ein Link zu Rangeley 2-Kerner, coming right up!

    http://j.mp/rangeley2

    Gibbet in Ausführung mit 4 oder 6 NICs. Liegen dafür aber etwa beim Doppelten von einer APU also im Preissegment ~350-400€, allerdings damit günstiger als die C2758er Angebote, die da schon im Segment 450-550€ rumschwirren.

    Grüße
    Jens



  • Danke  :D

    Ach ja und die Intel Version von der kleinen Zotac Box die Zotac pico PI330 hat die gleichen Schnittstellen (ausser AC-WLAN) und einen Intel Z3775 drin der wie alle Prozessoren der Z Serie AES-NI kann  ;) die Box ist also auch denkbar und sicher im gleichen Leistungsbereich.



  • Hab da ein nettes Mainboard gefunden, leider noch nicht verfügbar aber anscheinend schon für 200 bis 230$ gelistet..

    http://www.jetwaycomputer.com/NF3A.html

    mit dem E3827 bestens ausgestattet, einzig die beiden Realtek RTL8111G Gigabit LAN Ports sind anscheinend nicht ideal

    Gruss Auric

    Edit: nur damit ich es nicht vergesse, von Shuttle den DS57U
    http://www.shuttle.eu/de/produkte/slim/ds57u/uebersicht/

    gibt es demnächst einen lüfterlosen Slim-PC der sowohl einen brandneuen Broadwell Intel Celeron 3205U (mit AES-NI)
    http://ark.intel.com/de/products/84809/Intel-Celeron-Processor-3205U-2M-Cache-1_50-GHz

    und zwei Gigabit Ethernet Ports von Intel

    Dual Gigabit Netzwerk
    Mit zwei RJ45 Netzwerkanschlüssen
    Verwendete Netzwerkchips:

    1. Intel i211 Ethernet Controller mit MAC, PHY und PCIe-Schnittstelle
    2. Intel i218LM PHY verbunden mit dem MAC des Prozessors
      Unterstützt 10 / 100 / 1.000 MBit/s Datentransferrate
      Unterstützt WAKE ON LAN (WOL)
      Unterstützt das Booten vom Netzwork via Preboot eXecution Environment (PXE)


  • @JeGr:

    Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.

    Einen wunderschönen. Leider musste ich das Thema etwas parken, derzeit beruflich viel um die Ohren und daher nicht so viel Zeit mich mit dem Thema zu beschäftigen.

    Was suche ich? Ganz ehrlich: Die perfekte Lösung, die es vermutlich nicht geben wird ;)

    Daher noch einmal kurz zusammengefasst was ich erreichen möchte:

    • Betrieb von VDSL50 (später 100) mit deutscher Telekom
    • VoIP derzeit noch mit altem Telefon (kein VoIP-Gerät)
    • Telekom Entertain
    • OpenVPN Client von pfsense nutzen, so dass ich je nach eingestellter IP-Adresse der lokalen PCs direkt ins Netz gehe oder über einen VPN-Tunnel
      –> siehe dazu: Use PFSense to selectively route through a VPN
      –> Telekom Entertain, VoIP, PC 1 und 2 z.B. nicht über VPN, PC 3 bis X über VPN
    • Gedanklich spiele ich noch mit einem Virenfilter auf pfsense, wobei ich dann bei SSL-Verbindungen ja mit einem eigenem Zertifikat rumspielen muss was mich etwas stört

    Ich hoffe in diesem Zusammenhang, dass VPN, VLAN für Telekon Entertain, etc. alles so glatt gehen wird.

    Da ich im "schlimmsten" Fall bis zu 50 Mbit (später 100 Mbit) über VPN jage (Anbieter schafft so viel, auch wenn ich das natürlich nicht permanent am Stück auslaste sondern eher als Spitze ansehe) und dabei TLS+Cipher TLSv1.2 + AES-256-CBC, HMAC-Auth: SHA-512, RSA-Keys: 4096 bit nutzen möchte, denke ich, dass eine CPU mit AES-Befehlssatz einfach sinnvoll wäre.

    Für mich steht also derzeit als Planung auf dem Zettel:

    Wenn man mir nun aber definitiv klar sagen kann, dass ich auf AES als CPU-Befehlssatz verzichten kann, dann sieht die Sache easy aus. Ansonsten tendiere ich langsam jedoch schon fast zu einem selbstgebautem PC mit einer AMD CPU (AMD Athlon 5150 oder AMD A4-5000). Dazu eine gebrauchte zusätzliche Gigabit-Netzwerk-Karte und "fertig".

    Mit zusätzlicher Hardware bzw. vorhandenen Komponenten liege ich dann bei ca. 200-300 Euro, also ähnlich den fertigen Lösungen. Nur flexibler, dafür natürlich auch größer.

    Für mich hängt das nun praktisch an zwei Dingen:

    1. Klappt das mit dem Modem und Switch so wie ich es mir vorgestellt habe?
    2. Welche CPU benötige ich wirklich?

    Edith sagt: Ach ja, für den Betrieb des Telefons würde ich dann noch ne olle billige Fitzbox für VoIP bei ebay schießen



  • Hallo,

    ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.

    Eckdaten:

    • pfSense auf ZBOX ID89 mit 2x LAN (nicht optimal was den Stromverbrauch angeht, hatte ich aber noch übrig - aktuell würde ich wohl eher zum Shuttle DS57U greifen)

    • T-Entertain über eigenes VLAN

    • VDSL50

    • eigener VPS-Server in USA zu dem ich einen dauerhaften OpenVPN Tunnel stehen habe und so bei Bedarf bestimmten Geräten (über die IP) einen US-Standort verpassen kann

    Was ich zunächst wollte war eine Lösung mit "selective Routing", so dass ich die IP-Adressen der Clients nicht ändern muss. Das scheitert aber daran dass gerade die großen Anbieter wie Netflix, Amazon Prime Video, Youtube, Maxdome, usw. nicht so einfach über eine IP-Adresse oder ein Subnet zu erfassen sind. Wenn mir die richtigen Daten vorliegen würden, müsste ich diese nur eintragen - denn vom Setup ist alles so vorbereitet und mit einfacheren Gegenstellen (wieistmeineip, etc.) erfolgreich gestestet.

    Daher schicke ich jetzt einfach komplette Geräte (selektiert über deren eigene IP Adresse) durch den OpenVPN-Tunnel. Mein Fire-TV läuft so z.B. problemlos mit US-Netflix, ohne dass ich dafür irgendwas machen muss. Auch die 24stündige Zwangstrennung übersteht die Lösung ohne manuelle Eingriffe.

    Am PC habe ich mir das Tool NetSetMan installiert, mit dem man mit 2-3 Clicks IP-Konfigurationen wechseln kann. Dadurch kann ich am PC innerhalb weniger Sekunden zwischen deutscher und US-IP wechseln, einfach indem ich die IP-Adresse des PCs umschalte.

    T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.

    Alles was Du willst ist also mit pfsense umsetzbar, sofern Du ein Gerät mit mind. 2 LAN-Anschlüssen + VLAN-fähigem Switch oder ein Gerät mit 3 LAN-Anschlüssen (dann kannst Du den T-Entertain Receiver auf einem eigenen Anschluss laufen lassen) hast. Außerdem brauchst Du ein VDSL Modem (z.B. DrayTek Vigor130 - angeblich auch für VDSL100 geeignet) - die Telekom Geräte lassen keinen reinen Modembetrieb zu!



  • @please:

    Der ist auch völlig iO, davon werkeln bei mir 3 oder 4 daheim. Kann halt kein L3, brauche ich zuhause aber auch nicht.
    Die CLI ist zu der von Cisco nur ähnlich, daher tue ich mich mit dem hin- und herswitchen immer wieder schwer und werde langfristig wohl komplett auf die Ciscos setzen. Denn beruflich verwende ich die viel öfter.



  • @JPS.pfsense:

    Hallo,

    ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.

    Danke für die Info. Deckt sich recht gut mit meinen Anforderungen. Das mit diesem 30-40 Sekunden-Delay beim Umschalten find ich schade, switche gerne immer mal wieder hin und her wenn ich Werbung überbrücken will und nicht den Anfang verpassen möchte.

    Umgeht man das Problem damit, wenn ich von Sender 1 auf 2 und anstatt von 2 zu 1 dann erst du 3 und dann zu 1 springe? Vermutlich nicht oder?

    @jahonix:

    @please:

    Der ist auch völlig iO, davon werkeln bei mir 3 oder 4 daheim. Kann halt kein L3, brauche ich zuhause aber auch nicht.
    Die CLI ist zu der von Cisco nur ähnlich, daher tue ich mich mit dem hin- und herswitchen immer wieder schwer und werde langfristig wohl komplett auf die Ciscos setzen. Denn beruflich verwende ich die viel öfter.

    Wegen dem Namen würde ich eigentlich auch gerne zu Cisco tendieren (hab hier schon so nen billigen SD2005 Switch von denen und der rennt seit Jahren problemlos) aber die Dinger sind leider echt nicht billig.



  • Naja, also die SG300-er Serie ist inzwischen in einem wirklich bezahlbaren Bereich angekommen.
    Schau Dir mal den Preis für einen SG300-10 ohne PoE an. Kostet bei A-Z 177,- Euro, in der Bucht so 120-140 gebraucht. Für einen voll gemanagten 10-Port L2/L3 Switch ist das ein Brüller!



  • @jahonix:

    Naja, also die SG300-er Serie ist inzwischen in einem wirklich bezahlbaren Bereich angekommen.
    Schau Dir mal den Preis für einen SG300-10 ohne PoE an. Kostet bei A-Z 177,- Euro, in der Bucht so 120-140 gebraucht. Für einen voll gemanagten 10-Port L2/L3 Switch ist das ein Brüller!

    Persönlich kenne ich nicht den Vorzug eines L3-Switches muss ich zugeben. Ich kann mir derzeit auch noch keinen wirklichen Nutzen für mich ausrechnen, hier bin ich noch zu neu in der Materie.

    Routing wäre in meinen Augen teil von pfsense. Einziger Vorteil wäre hier (bitte korrigiere mich) bei einem L3-Switch vermutlich die Entlastung von pfsense und Trennung dieser beiden Einheiten oder?


  • Rebel Alliance Moderator

    Routing wäre in meinen Augen teil von pfsense. Einziger Vorteil wäre hier (bitte korrigiere mich) bei einem L3-Switch vermutlich die Entlastung von pfsense und Trennung dieser beiden Einheiten oder?

    Und VLAN… und Trunking... und Portchannel... OK das kann ein guter L2 managed auch, aber der kostet auch nicht nur 20€ ;)



  • @JPS.pfsense:

    Hallo,

    ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.

    Eckdaten:

    • pfSense auf ZBOX ID89 mit 2x LAN (nicht optimal was den Stromverbrauch angeht, hatte ich aber noch übrig - aktuell würde ich wohl eher zum Shuttle DS57U greifen)

    • T-Entertain über eigenes VLAN

    • VDSL50

    • eigener VPS-Server in USA zu dem ich einen dauerhaften OpenVPN Tunnel stehen habe und so bei Bedarf bestimmten Geräten (über die IP) einen US-Standort verpassen kann

    Was ich zunächst wollte war eine Lösung mit "selective Routing", so dass ich die IP-Adressen der Clients nicht ändern muss. Das scheitert aber daran dass gerade die großen Anbieter wie Netflix, Amazon Prime Video, Youtube, Maxdome, usw. nicht so einfach über eine IP-Adresse oder ein Subnet zu erfassen sind. Wenn mir die richtigen Daten vorliegen würden, müsste ich diese nur eintragen - denn vom Setup ist alles so vorbereitet und mit einfacheren Gegenstellen (wieistmeineip, etc.) erfolgreich gestestet.

    Daher schicke ich jetzt einfach komplette Geräte (selektiert über deren eigene IP Adresse) durch den OpenVPN-Tunnel. Mein Fire-TV läuft so z.B. problemlos mit US-Netflix, ohne dass ich dafür irgendwas machen muss. Auch die 24stündige Zwangstrennung übersteht die Lösung ohne manuelle Eingriffe.

    Am PC habe ich mir das Tool NetSetMan installiert, mit dem man mit 2-3 Clicks IP-Konfigurationen wechseln kann. Dadurch kann ich am PC innerhalb weniger Sekunden zwischen deutscher und US-IP wechseln, einfach indem ich die IP-Adresse des PCs umschalte.

    T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.

    Alles was Du willst ist also mit pfsense umsetzbar, sofern Du ein Gerät mit mind. 2 LAN-Anschlüssen + VLAN-fähigem Switch oder ein Gerät mit 3 LAN-Anschlüssen (dann kannst Du den T-Entertain Receiver auf einem eigenen Anschluss laufen lassen) hast. Außerdem brauchst Du ein VDSL Modem (z.B. DrayTek Vigor130 - angeblich auch für VDSL100 geeignet) - die Telekom Geräte lassen keinen reinen Modembetrieb zu!

    Sorry für die Full-Quote, aber genau diese Funktionalität ist der Grund warum ich auf pfSense gestossen bin und so wie ich gesehen hab ist genau das selektive Routing auch das was andere hier schon machen wollten.
    Wenn du deine Konfiguration (in einen extra Thread) etwas genauer beschreiben könntest, evtl. mit Screenshots wären dir viele Newbees sicher ewig dankbar  ;)

    Gruss Auric

    Gruss Auric



  • @JeGr:

    Routing wäre in meinen Augen teil von pfsense. Einziger Vorteil wäre hier (bitte korrigiere mich) bei einem L3-Switch vermutlich die Entlastung von pfsense und Trennung dieser beiden Einheiten oder?

    Und VLAN… und Trunking... und Portchannel... OK das kann ein guter L2 managed auch, aber der kostet auch nicht nur 20€ ;)

    Schon wahr. Dennoch kriegt man so einen Switch inzwischen für 80 Euro, ein Cisco Switch für das doppelte der 80 ;)



  • @please:

    Danke für die Info. Deckt sich recht gut mit meinen Anforderungen. Das mit diesem 30-40 Sekunden-Delay beim Umschalten find ich schade, switche gerne immer mal wieder hin und her wenn ich Werbung überbrücken will und nicht den Anfang verpassen möchte.

    Umgeht man das Problem damit, wenn ich von Sender 1 auf 2 und anstatt von 2 zu 1 dann erst du 3 und dann zu 1 springe? Vermutlich nicht oder?

    Leider nicht. Nur Abwarten hilft. Irgendwie scheint der alte Stream beim Umschalten nicht sauber getrennt zu werden und wenn man dann zurück schaltet kommt er mit dem Umschalten von UDP auf Multicast nicht klar, da dieser Stream noch irgendwo von vorher "offen" ist. Geht aber wie gesagt nur um das Zurückschalten auf den alten Sender - auf neue Sender (die man in der letzten Minute nicht geschaut hat) kann man beliebig schnell umschalten.

    Evtl. lässt sich das auch noch irgendwie lösen - ich habe aber leider keine Lösung gefunden. Meine Regeln sind schon durchgehend auf "any"-Basis (da ich durch das verwendete VLAN nicht wirklich genau filtern muss), so dass weitere Regeln vermutlich nichts bringen. Möglicherweise kann man irgendwo Timeout-Werte für die Multicast-Pakete anpassen und das Problem so reduzieren.

    Ein Trick für die Werbung ist sich über die kleine Vorschau über den Stand zu informieren und zu prüfen ob die Werbung schon vorbei ist. Das Vorschau-Fenster wird anscheinend nicht als Multicast sondern per UDP übertragen und zählt somit nicht als Umschaltvorgang. Wenn es dann tatsächlich soweit ist, sind die 30-40 Sekunden vorbei (da Werbung ja meist mehrere Minuten dauert) und man kann wieder problemlos zurückschalten.



  • @please:

    Schon wahr. Dennoch kriegt man so einen Switch inzwischen für 80 Euro, ein Cisco Switch für das doppelte der 80 ;)

    Ich benutze hier einen ZyXEL GS1900-24E - nicht gerade das HighEnd-Gerät aber für private Zwecke reicht er. 24 Ports, VLAN-Support und passiv gekühlt für 100 Euro - da kann man nicht klagen.

    IGMP Proxy und Snooping ist auch vorhanden, hat aber bei mir nie sauber funktioniert. Da das Gerät aber auch VLAN kann ist das für die Zwecke aus diesem Thread kein Problem. Ich habe einfach ein eigenes VLAN für den T-Entertain Receiver eingerichtet und kann so den TV-Traffic vom restlichen Netz trennen.



  • @JPS.pfsense:

    Irgendwie scheint der alte Stream beim Umschalten nicht sauber getrennt zu werden

    Was für einen Switch nutzt Du denn?

    Wenn der gemanaged ist, dann kannst Du sicherlich auch IGMP und Snooping beeinflussen. Oder zuerst einmal konfigurieren, wer weiß  ;-)
    Bei IGMP gibt es dann noch die Option "Immediate Leave" mit der man herumspielen kann.

    Multicast ist sicherlich auch noch ein Punkt für einen besseren managed Switch.
    Bei Cisco weiß ich dass es geht und TP-Link TL-SG5412F nutze ich in einer größeren IP-TV Installation zusammen mit Cisco Catalyst 2960-ern problemlos. Geht also auch.

    Nachtrag:
    Wenn Dir die Cisco SG300 Serie zu teuer ist (und Du kein L3 brauchst), dann schau halt zu den TP-Link L2-Managed.
    Die sind denen aus San Fran schon von der Bezeichnung her ziemlich ähnlich, und das sicherlich nicht nur zufällig. Aber: rein L2.


Log in to reply