[erledigt]pfsense 2.2 und viele Probleme


  • Mein erster Post hier dient zum Luft ablassen … und natürlich bin ich auch offen für berechtigte Kritik dann.

    Wir haben hier einen Rechner stehen , der von einer kleinen IT-Firma als Router konfiguriert wurde.

    Ein Phenom-II Prozessor, 4GB RAM und ein SSD als Basis. Dazu eine 4-Port Intel NIC.
    es gibt ein KABEL-Modem von Unitimedia, einen DSL-Anschluss von Versatel (als Fallback) und einen UMTS-Router für den Fall der Fälle. Auf LAN-Seite ist unser internes Netz mit SBS2008, der auch dverse Dienste bereit stellt.

    Das lief soweit ganz gut, aber weil das Mainboard nur einen 16x-PCIe-Port hat und ein paar 1x, aber KEINEN 4x, wurde die Grafigkarte entfernt um den NIC einbauen zu können.
    Also kein Bildschirm, konfig und so nur per WEB-interface oder Putty.

    Dann wurde das Update auf 2.2 angeboten (stable). Über die Web-Oberfläche gibt es keine Hinweise auf problematische Änderungen oder notwendige manuelle Anpassungen. Es sind auch keine zusätzlichen Pakete installiert, die nicht passen könnten... also LOS

    Aber dann wurde es leider zu einer 8 stündigen - wenig lustigen Angelegenheit!

    • das Update wurde herunter geladen (full backup war angehakt, man weiß ja nie) und installiert.
    • Das update lief ohne Fehlermeldungen durch und PFsense wollte neu starten (wenig verwunderlich)

    Leider startete aber pfsense nicht neu. keine Weboberfläche, kein Zugang über Putty und ohne Grafikkarte natürlich auch sonst keine Ausgabe. GANZ PRIMA!

    Da auf die Schnelle auch nirgendwo eine PCI-Grafikkarte zu bekommen war, musste also ein neues Board her (mit onboard-Grafik)
    2h nach dem Ausfall lief der Rechner und zeigte einen Mount-Error 19... nach entsprechender Suche fand ich dann, dass der Name der Partition nun anders lauten muss
    Statt ufs:/dev/ad6s1a muss das jetzt ufs:/dev/ada0s1a heißen ... also ok, dann lief er etwas weiter.

    • Trotz identisch eingesetzter NIC fand er aber einen "Interface missmatch" und ich musste die Zuordnung neu angeben.
    • Nach der Zuordnung kam zwar das Menü, aber die Weboberfläche blieb unerreichbar.
    • Die Adresse der Weboberfläche also noch mal eingetragen und neu booten
    • wieder im Menü hab ich dann erst mal in fstab die Partition richtig eingetragen, damit ich das beim Start nicht immer von Hand machen muss
    • Anmelden auf der Oberfläche ging aber nicht, bis ich merkte ... auch das Passwort war auf "default" ...

    Ja, also was soll ich sagen... ALLES war auf default! Von dem angeblich angelegten "Full backup" wollte pfsense nichts wissen. Er hat es einfach nicht gefunden! Alle Filterregeln, die openVPN-Certs, und Zgriffsregeln ... alles weg.  :o :o :o

    Also NICHT LUSTIG! ich hatte natürlich aber noch eine XML als backup. Die hab ich dann eingespielt, neu gestartet und das gleiche von Vorn. er hat sich dumm gestellt und schlicht NICHTS davon übernommen.

    Da inzwischen das Telefon dunkelrot glühte, weil keiner mehr seine Mails bekommt und auch sonst nichts geht hab ich dann schnell die wichtigstens Einträge von Hand gemacht und mich auf eine lange Nacht eingerichtet.

    Dann lief erst mal wieder Mail und FTP, ohne VPN ... aber das Telefon konnte nun etwas abkühlen und ich war erst mal NICHT AMÜSIERT!
    eine Stunde später war dann für die meisten Mitarbeiter Feierabend und ich hab mich wieder ans Werk gemacht.

    ich hab mir eine aktuelle XML gezogen und dort per Copy & paste die Zertifikate eingetragen und die entsprechenden verweise bei den Gatways verknüpft. Ist ja nicht zu kompliziert. Das XML hab ich dann importiert und neu gestartet. Sah gut aus und VPN ging bald wieder. Für ein paar Dinge wollte er noch mal neu starten dann und das ging ebenfalls.

    Zum Abschluss hab ich noch mal eine XML erzeugt und ein Widget (Gatway Durchsatz) zum dashboard hinzugefügt. Dann noch mal kurz testen ob es im Falle des falles nach einem neustart des Routers alles geht, also "reboot"

    :( >:( >:(

    Also dann stand auf dem Bildschirm nur noch:

    F1 pfsense

    F6 PXE
    Boot: F1
    |

    Das war alles … kein Fehler, nichts hat sich bewegt und damit war ich wieder bei NULL vorher hat ja der neustart ohne Probleme funktioniert ...

    • Also 2.2 runter geladen
    • CD rein und installiert ... bzw. erst mal console. Aber die Platte hatte keine Partitionen mehr...
    • Die Option (XML finden und damit neu installieren) fand logischerweise dann auch nichts zum wieder herstellen.

    Also hab ich PFsense 2.1.5 gezogen und dachte, da DAs ja gelaufen ist und ich davon auch ein XML-Backups habe ... also 2.2 scheint eher NICHT STABLE zu sein und dann mach ich DAS wieder drauf.

    • CD rein und installiert
    • erst mal grob das LAN zum Laufen gebracht und XML importiert ...
    • Tja, KEINE meiner XML-Dateien (alte, neue ... egal) konnte erfolgreich die Konfiguration wieder herstellen.

    Ich hab dann also WIEDER per Copy und Paste - basierend auf einer neuen XML - die Zertifikate und andere Sachen in einer neuen XML zusammengefügt und imprtiert...

    Nach 8h und erheblichen Verrenkungen geht es jetzt wieder ... aber das kann es doch eigentlich nicht sein! Was um Himmels Willen an den alten XML nicht okay sein soll konnte ich nicht erkennen. der XML-Editor hat mir keine Strukturfehler gezeigt.

    Jedenfalls hat das keinen Spaß gemacht und hat mich als eher Windows User an meine Grenzen gebracht. Also ein bisschen Konsole ist ja kein Problem, aber normal sollte das ja SO nicht sein ...
    eine 2.2 Stable kann in meinen Augen SO einen Mist auch nicht ernsthaft als normal verkaufen, oder? Bei einer Preview oder Beta muss man damit natürlich rechnen...

    Wie lege ich also ein Backup an, das danach auch schnell und sicher wieder zum Laufen zu bringen ist?
    Warum übernimt er die Konfiguration beim Update nicht, kann plötzlich keine Partitionen mehr finden (Platte ist eh fast neu, und hat keine Fehler)
    Warum kann man nach dem installieren einer vorher laufenden Version die vorhandenen XML-Dateien nicht benutzen ... beim imprtieren wurden ja keine Fehler nagezeigt, nur nach dem Neustart war NICHTS von der XML in der Konfiguration zu sehen?

    Also ich hab jetzt gleich mal eine zweite Kiste gebaut ... da kann ich mit spielen ohne die Firma lahm zu legen, allerdings finde ich es nicht so prickelnd, wenn ein simples Update von Stable 2.1.5 auf 2.2 so einen rattenschwanz an Ärger erzeugt.

    gruß


  • Hallo Bitboy!

    Keine gute Geschichte! Aber weil Du ja am Anfang von Kritik geschrieben hast….;)

    Wenn unser "Informatiker" bei einem solchen Update IM LAUFENDEN Betrieb so vorgegangen wäre wie Du........na ja.....da hätte ich wohl mal mit ihm reden müssen.

    In einer Produktivumgebung würde ich nie im Leben das funktionierende Originalmedium nutzen! Das gehört für den Fall der Fälle, den Du ja jetzt kennst, an die Seite gepackt.
    Also vorher System clonen - am besten auf einen USB-Stick. Denn genau dafür ist pfSense vorgesehen. Eine SSD bringt ja mal fast Nichts.

    Du hättest also im Schadensfall einfach die alte SSD wieder anstecken können und hättest auf einen besseren Zeitpunkt für Experimente warten können.

    Nur so für's nächste Update... ;)

    Gruß!


  • Ja, nun .. also …

    :-\

    Klar passiert mir das SO nicht mehr! Das ein Update den ganzen Router lahm legt und es dann 8h dauert und viel Handarbeit nötig ist, bis es wieder läuft ... nun, damit hatte ich einfach in keinem Fall gerechnet.

    Also ich bin wirklich offen für Verbesserungen an ALLEN Teilen des Systems. Ich hab das ja zunächst mal so vorgesetzt bekommen und habe mich da auch auf den Verlassen, der es so hingestellt hat. Also Egal was WAR... jetzt muss es richtig werden!

    Zunächst mal Hardware:
    Die Netzwerkkarte "Intel EXPI9404PTLBLK PRO1000PT" ist meines Erachtens wohl nicht so schlecht.
    Der Rechner darunter muss nicht so viel Leistung haben, Rechnen muss der nicht so viel.
    4GB sind ausreichen?
    statt SSD-HDD besser einen Stick?
    Welcher Stick ist da passend?
    Wie clone ich das System auf einen Stick?

    Sollte man einen zweiten Router bereit halten und mit dem ersten abgleichen? Wenn ja, wie soll das praktisch gehen?

    Ich kann zwar englisch, aber ich muss zugeben, es ist nicht was ich am liebsten lese. Gibt es da eher grundsätzliche Informationen in einer Übersicht in Deutsch?

    Auch das Thema "Failover" zwischen Internetleitungen hat bisher nicht zufriedenstellend funktioniert ... gibt es eine einfach Anleitung, die das an einem einfachen Beispiel zeigt, wie das zu konfigurieren ist?

    Die Dokumentation - die ich bisher gesehen habe - hat mir keinen Überblick geben können ... alles sehr detailiert und auf einen ganz kleinen Aspekt ausgrichtet, aber keine gute Möglichkeit sich einen Überblick zu schaffen.

    Also ich wäre wirklich bereit da auch Zeit rein zu investieren, damit ich weniger abhängig von "Experten" werde, die mir etwas hinstellen... von dem ich hier schon in der ersten Antwort eher den Eindruck habe: Das taugt so eigentlich nicht...

    gruß

  • LAYER 8 Moderator

    Ich möchte dazu gar keine näheren Kommentare geben, sondern nur ein paar nackte Tatsachen kommentieren. Da du das hier als großen Rant benutzt, möge es dir zum Luftablassen dienen, allerdings finde ich so etwas meist eher kontraproduktiv, denn das fängt schon in deinen ersten Sätzen an:

    Wir haben hier einen Rechner stehen , der von einer kleinen IT-Firma als Router konfiguriert wurde.

    Eine kleine IT Firma hat das Ding also aufgebaut und - übergeben an euch/dich? Oder betreuen die das? Warum hat dann nicht von denen jemand das Update gemacht, der sich ggf. damit auskennt? Nur eine Idee/Frage, denn das wundert mich schon.

    Leider startete aber pfsense nicht neu. keine Weboberfläche, kein Zugang über Putty und ohne Grafikkarte natürlich auch sonst keine Ausgabe. GANZ PRIMA!

    Das ist natürlich unschön, allerdings muss ich mich fragen:

    • warum baut jemand einen Rechner so auf und
    • wenn der nicht den Anforderungen entspricht (wegen fehlendem korrekten PCIe Slot), warum wird dann nicht von Anfang an andere Hardware verbaut und nicht auf "Bastelniveau" weitergefummelt?

    Wenn ich selbst oder meine Firma irgendwo Geräte installiert, dann passen die auf den Kunden oder kommen da gar nicht erst hin. Ein rumgefrickel wie "Oh Hardware passt nicht zu Karte X die aber benötigt wird, dann bauen wir halt die Grafikkarte aus…" gibt es nicht. Sowas ist hochgradig unprofessionell. Natürlich kann man sich berufen, dass pfSense auch ohne Grafik läuft - APUs funktionieren ja auch nicht anders - aber wenn ich schon eine selbstgebaute Kiste hinstelle, sollte die auch sauber funktionieren.

    Statt ufs:/dev/ad6s1a muss das jetzt ufs:/dev/ada0s1a heißen ... also ok, dann lief er etwas weiter.

    Diese Info war zwar etwas kleiner, aber durchaus in den Patch/Changelogs vorhanden und war (leider) Voraussetzung. Dafür gab es auch entsprechende Skripte die VOR einem Update ausgeführt werden sollten. Deshalb auch die Frage, warum die IT Firma das Update nicht durchgeführt hat. Evtl. hätten die das gewusst?

    • Trotz identisch eingesetzter NIC fand er aber einen "Interface missmatch" und ich musste die Zuordnung neu angeben.

    Das kann durchaus ein Problem von

    Da auf die Schnelle auch nirgendwo eine PCI-Grafikkarte zu bekommen war, musste also ein neues Board her (mit onboard-Grafik)

    sein. Da ein neues Board seine IRQs und Zuweisungen ggf. anders verwaltet, würde es mich nicht verwundern, wenn hier ggf. eben auch Schnittstellen anders belegt wurden. Zudem hatte das Ursprungsboard ja noch eine Onboard NIC(?) die sich nun sehr wahrscheinlich mit geändert hat. Ergo war der "Fehler" durchaus korrekt -> aber vermeidbar. Dass man Hardware im Fehlerfall umbauen muss, ist auch kein ordentlicher Zustand.

    Also dann stand auf dem Bildschirm nur noch: (...)

    Wie lange? Das das dort steht ist normal. Und ggf. auch 10s lang. Das ist der PreBoot Loader. Was brachte F1 oder F6? Enter?

    Jedenfalls hat das keinen Spaß gemacht und hat mich als eher Windows User an meine Grenzen gebracht.

    Verstehe ich voll und ganz, allerdings muss ich dann wieder fragen: Warum verwaltest du dann die Firewall bei solch einem Update und nicht ein Netzwerker oder die IT Firma die es installiert hat? Damit stelle ich gar nicht deine Kompetenz in Frage aber du sagst ja selbst, dass du im Fehlerfall ziemlich aufgeschmissen warst.

    Fehlerbeschreibungen...

    Die Fehler an sich kann ich persönlich leider gar nicht nachvollziehen und auch andere Kollegen hier im Forum werden sicher - trotz Problemen hie und da - bestätigen können, dass die Updates auf 2.2 im Großen und Ganzen recht einfach gelaufen sind. Auch XML Imports (der richtigen Version) sollten kein Problem darstellen. Was mich an der Stelle wieder zur Hardware bringt, die - wiederum subjektiv meine Sicht - ich untragbar finde. Solch ein Bastelgebilde für eine Firma im Produktiveinsatz zu nutzen, halte ich einfach für untragbar. Da kannst du persönlich vielleicht nichts dazu (hoffe ich ;)) aber sowas kann nicht angehen, dass man zusammengefrickelte Hardware für eine Firewall hinstellt, die so mission-critical sein soll.

    Zudem:

    Also ich hab jetzt gleich mal eine zweite Kiste gebaut ... da kann ich mit spielen ohne die Firma lahm zu legen, allerdings finde ich es nicht so prickelnd, wenn ein simples Update von Stable 2.1.5 auf 2.2 so einen rattenschwanz an Ärger erzeugt.

    DAS wäre ein MUSS gewesen von Anfang an. Und zwar nicht irgendeine doofe Kiste zum Zerspielen, sondern von Anfang an 2 identische Kisten ordentlich aufzubauen und als CARP Cluster zu betreiben. Die 3 vorhandenen Leitungen/Wege ins Netz hätte man mit entsprechenden Transfernetzen an beide Nodes anbinden können, so dass auch ein ordentlicher Failover möglich gewesen wäre. Somit hätte sich dein Ausfall auf 0min beschränkt, da du beim Update des Slaves ggf. schon bemerkt hättest, dass nichts mehr funktioniert und den dann hättest rausnehmen oder wieder auf 2.1.5 bringen können. Wenn die Firma wegen dem SBS/Mail/etc. so sehr auf Internet angewiesen ist, dass man 3 Leitungen/LTE zahlt, dann aber eine zusammengefriemelte Hardware-Krücke als FW nutzt, dazu fällt mir leider wenig ein ;)

    Trotzdem aber zu deiner Frage:

    Wie lege ich also ein Backup an, das danach auch schnell und sicher wieder zum Laufen zu bringen ist?

    Über Diagnostics/Backup&Restore. Die erzeugte XML lässt sich wieder einspielen. Warum das bei deiner verrückten Installation nicht tat - entzieht sich leider meiner Kenntnis, da du leider auch keinerlei Fehler posten kannst (musste ja alles schnell gehen und da kann man selten ordentlich diagnostizieren).

    Warum übernimt er die Konfiguration beim Update nicht, kann plötzlich keine Partitionen mehr finden (Platte ist eh fast neu, und hat keine Fehler)

    Das Verhalten von 2.1 >> 2.2 ist dokumentiert und beschrieben, dass VOR dem Update die Partitionen evtl zu konvertieren sind. Entsprechende Skripte stehen auch bereit. Das stand aber im Update-Log. Es war auch nicht bei jeder Installation der Fall, bei deiner anscheinend schon, da diese wohl ursprünglich von einer älteren Version aus geupdatet wurde(?). Meine Knoten mit SSD/Festplatten Installation sind bereits im ada0xxx-Format , obgleich ich noch keine Update Skripte laufen lies.

    Warum kann man nach dem installieren einer vorher laufenden Version die vorhandenen XML-Dateien nicht benutzen ... beim imprtieren wurden ja keine Fehler nagezeigt, nur nach dem Neustart war NICHTS von der XML in der Konfiguration zu sehen?

    Das spricht eher für ein Festplatten/Partitionsfehlverhalten, denn die Konfiguration ist auf einem Extra Slice (also einer extra Partition) untergebracht. Ich vermute, diese hat bei deiner händischen Umstellung einen Knacks davon getragen oder hatte diesen evtl. vorher schon. Da die Konfig im laufenden Betrieb im RAM gehalten wird, merkt man da recht wenig von.
    Eine neue Config für eine alte Version zu benutzen ist nie gut und kann eben manchmal nicht funktionieren. Wie sollen bspw. neue Parameter oder Änderungen an der Konfiguration dann vom alten System interpretiert und gelesen werden? Das wäre die gleiche Problematik als wenn ich eine Cisco IOS 7 Config in IOS 6 versuche zu laden, es funktioniert eben leider nicht. Von alt auf neu wird eben beim Import ggf konvertiert und ausgelesen.

    Warum wie gesagt bei dir generell jedes Mal der Import versagt hat, kann man schlecht jetzt aus der Glaskugel lesen, da man keinerlei Debugging mehr betreiben kann, es hört sich aber schon sehr nach eine Plattenproblem an (und das muss nicht Hardware heißen, sondern ggf. Partition o.ä.).

    Wie anfangs gesagt, bitte das als ganz neutralen Text betrachten, ich weiß selbst wie es ist unter Strom Dinge fixen zu müssen wenn wirklich alles brennt. Aber vielleicht kannst du den ein oder anderen Punkt (Hardware, Redundanz, Backup etc.) mal in Ruhe nochmals betrachten und dann das momentane Chaos verbessern. Ich würde auch überlegen, ob ich überhaupt einen "komischen" Eigenbau Rechner mit seltsamen Marotten haben will, oder ob mir nicht mit ordentlicher Hardware für meinen Zweck besser gedient ist. Bspw. 2 kleine Kisten mit 2-Kern Rangeley Atom Prozessor, 4-6 Interfaces und eine kleine SSD reingeschraubt und mit diesen 2 Kisten dann einen ordentlichen CARP Cluster gebaut. Ohne andere Teile die da drin rumfliegen und nicht passen oder nocht getauscht werden müssen. Und dabei vielleicht noch Platz, Strom und Nerven gespart :)

    Beste Grüße
    Jens


  • Also ich bin selbst ja auch kein Profi, es gibt sie aber hier ganz sicher!

    Ich würde Dir empfehlen die Probleme in einzelne Teilbereiche zu zerlegen und dann dazu Beiträge zu starten. So bleibt Alles übersichtlich und ist evtl. auch für Andere interessant die dann nicht alles lesen müssen.

    Ausfallsicherheit: Das Thema hatte ich selbst mit zwei VDSL-Leitungen. Dazu hat mir der User JeGR hervorragend geholfen. Einfach mal anschreiben oder auf eine Antwort warten. Von ihm kommt sicher Etwas dazu.

    Gruß, und nicht den Kopf hängen lassen! Stück für Stück einarbeiten und es wird klappen.

  • LAYER 8 Moderator

    Addendum wegen neuem Post:

    Klar passiert mir das SO nicht mehr! Das ein Update den ganzen Router lahm legt und es dann 8h dauert und viel Handarbeit nötig ist, bis es wieder läuft … nun, damit hatte ich einfach in keinem Fall gerechnet.

    Damit muss man bei jedem Teil des Equipments rechnen. Egal ob das Firewall, Switch oder sonstwas ist. Legt man Hand an, kann es sein, dass irgendwas nicht mehr läuft. Beim Switch die Firmware aktualisiert, Patch auf der Firewall, Windows Update auf dem SBS. Deshalb hat man für kritische Komponenten oft/immer Hochverfügbarkeit definiert - oder Ausfall einkalkuliert. Lief in keiner Firma bislang anders :)

    Sollte man einen zweiten Router bereit halten und mit dem ersten abgleichen? Wenn ja, wie soll das praktisch gehen?

    Anscheinend bist du mit dem Feature Set von pfSense nicht vertraut? CARP und Clustering sowie HA / Hochverfügbarkeit gehören gerade zu den Kernfunktionen, die man im Firmenumfeld haben will und deshalb gern pfSense nutzt (um nicht bei Cisco oder Juniper teuer HA kaufen zu müssen ;))

    Die Netzwerkkarte "Intel EXPI9404PTLBLK PRO1000PT" ist meines Erachtens wohl nicht so schlecht.

    Es geht weniger um schlecht als um "was muss es können" und "wird sie sauber unterstützt".

    Der Rechner darunter muss nicht so viel Leistung haben, Rechnen muss der nicht so viel.

    Das hängt von deinem Einsatzzweck ab. Wenn bspw. Squid oder Snort laufen, schon.

    4GB sind ausreichen?

    siehe oben.

    statt SSD-HDD besser einen Stick?

    Ist es jetzt eine SSD? SSHD? HDD? Aus der Bezeichnung geht das nicht ganz hervor ;) Einen Stick würde ich nicht vorziehen, nein.

    Welcher Stick ist da passend?

    siehe oben

    Wie clone ich das System auf einen Stick?

    Nein. Clonen würde ich das System DEFINITIV nicht. Es gibt wesentlich bessere Methoden! (siehe CARP Cluster / HA!) Vor allem muss bei diesen nicht händisch eingegriffen werden.

    Ich kann zwar englisch, aber ich muss zugeben, es ist nicht was ich am liebsten lese. Gibt es da eher grundsätzliche Informationen in einer Übersicht in Deutsch?

    Nein, deshalb versuchen wir das deutsche Forum auch gut zu führen ;) Ansonsten gibt es durchaus auch in DE Consultants und Firmen, die dir Support und Installation für pfSense anbieten.

    Auch das Thema "Failover" zwischen Internetleitungen hat bisher nicht zufriedenstellend funktioniert ... gibt es eine einfach Anleitung, die das an einem einfachen Beispiel zeigt, wie das zu konfigurieren ist?

    Anleitung ja, einfach "jein" - das hängt einfach von deinem Skill-Level im Thema Netzwerk, Infrastruktur und Firewalling ab.

    Die Dokumentation - die ich bisher gesehen habe - hat mir keinen Überblick geben können ... alles sehr detailiert und auf einen ganz kleinen Aspekt ausgrichtet, aber keine gute Möglichkeit sich einen Überblick zu schaffen.

    Welche war das? doc.pfsense.org?

    Also ich wäre wirklich bereit da auch Zeit rein zu investieren, damit ich weniger abhängig von "Experten" werde, die mir etwas hinstellen... von dem ich hier schon in der ersten Antwort eher den Eindruck habe: Das taugt so eigentlich nicht...

    "Experten" sind so ein Ding... Ich würde mich nicht als "Experte" bezeichnen, aber ich selbst biete im Kleinen, genauso wie meine Firma im Großen durchaus Installation, Konfiguration, Support und/oder Betreuung von Netzwerkkomponenten an. Solch ein Update hätte ich den Kunden sicher nicht allein machen lassen. Vor allem nicht an zusammengefrickelter Hardware. Wie gesagt - sowas gehört sich normalerweise nicht. Wenn ich daheim fürs Labor bastle vielleicht, aber nicht für 24/7 Einsatz beim Kunden.

    Die Frage ist: willst du dir alle notwendigen Skills anlernen oder holt man sich jemand mit ins Boot, der einen da ordentlich berät und weiterbringt, damit man auch selbst nicht dumm stirbt. Und als Firma ist letzteres meist nicht der schlechteste Fall :)

    Disclaimer: ich möchte hier jetzt nicht Werbung für Dienstleistung machen, nur weil ich sowas prinzipiell anbiete! ;) Ich möchte nur darauf hinweisen, dass es nicht verkehrt ist, sich bei spezifischen Problemen Spezialisten ins Boot zu holen, die einem was ordentlich aufbauen und zeigen, wie man damit umgeht. Und nicht nur Black-Boxen abliefern (die auseinanderfallen).

    @Bax2000: Kann mich zwar nicht an deinen spezifischen Einzelfall erinnern, aber es freut mich sehr, wenns dir geholfen und dich weitergebracht hat. Andere wie bspw. Rudi können das ja hoffentlich auch so sagen :) freu

    Grüße


  • Hallo,
    jeder Admin kennt wohl die geschilderten Probleme so oder in ähnlicher Form auch bei anderen IT-Systemen.
    Der wichtigste Ansatz wurde hier schon genannt und sollte wirklich in Fleisch und Blut übergehen.
    1. Niemals an einem Live System herum experimentieren und Migrationen durchführen!
    2. Immer - und zwar vorher - Redundanzen bereithalten.
    3. "Klarmachen der Aufgabe", d. h. Migrationsplanung!!! (Schritte, Zeitplan etc. festlegen)

    Der Ansatz ich migriere mal schnell ein System und es wird schon gut gehen, geht leider meistens in die Hose.

    Ich weiß, für viele klingt das irgendwie alles nach schlauen Sprüchen.
    Aber es  ist was Wahres dran ;-)

    Gruß
    Peter


  • Wie gesagt .. Luft ablassen schon, aber nicht im Sinne von sinnlosem Meckern!

    Das ZIEL ist es, es jetzt besser zu machen!

    ich bin kein "Admin", sondern habe hier in der Firma viele Aufgaben. Die Firma ist nicht so groß und ich bin "Die Technik". Das bedeutet, es wird von mir vieles aus sehr verschiedenen bereichen erwartet und ich kann auch vieles, aber ich kann mich nicht mit jemandem vergleichen, der NUR Admin ist und entsprechend spezialisiert ist. Das bedeutet: Ich bin als Admin eher nicht gut ausgebildet.

    Es gibt keine Möglichkeit das Problem durch einen dedizierten Admin zu lösen und mein Chef will auch keine Service-Verträge mit den ganzen Firmen abschließen. Also muss ich das irgendwie selber in den Griff bekommen. Externe kommen hin und wieder zum Einsatz, wenn ich mir die grundsätzliche Einrichtung nicht zutraue oder ich es einfach nicht mit den anderen Aufgaben vereinbaren kann, zeitlich.

    Also wird z.B. ein SBS2008 hier installiert, mir erklärt wie ich da die grundsätzlichen Aufgaben erledigen kann und dann ist das mein Problem. Für die HARDWARE gibt es in dem Fall einen Vertrag, also wenn der SBS2008 ausfällt wird uns innerhalb von 8h ein Ersatz hingestellt und das Backup - was wir hier auf LTO machen - wird wieder eingespielt. Die alltäglichen Sachen sind meine Aufgabe… also neue User anlegen, Rechte zuteilen oder ändern und den Leuten ihr Postfach einrichten. Rechner installieren, in die Domäne packen usw.

    Genau so ist es mit dem Router. Eine Fritzbox kann ich ;) aber die kann eben nicht alles was wir brauchen. Also habe ich einer Empfehlung folgend einen Externen beauftragt uns da was anzubieten. Der hat das gemacht und es lief. Der hat mir erklärt wie ich damit grundsätzlich umgehen kann und dann ist er gegangen.

    An dieser Situation wird sich eher nichts ändern, also nützt es leider auch nichts darüber zu schimpfen... ich muss damit klar kommen und lernen was ich brauche um besser damit klar zu kommen.
    Also der Router wurde offensichtlich NICHT optimal aufgebaut und nicht betreut. Das weiß ich jetzt und jetzt suche ich einen Weg es besser zu machen.

    Ich hoffe ich bekomme hier Hilfe zur Selbsthilfe...

    Liebr "JeGr" ... du hast mit vielen Fragen sicher recht, da kann ich nichts gegen sagen. Jetzt will ich aber keine zeit mehr damit vertrödeln über diese Fehler zu jammern, sondern nehme gerne deine Anregungen auf um es besser zu machen.

    Ein paar Punkte aber beantworte ich noch, weil du gezielt danach gefragt hast:

    Also dann stand auf dem Bildschirm nur noch: (...)

    Tja ... also nach 10 Minuten hab ich das langweilig gefunden. F1 brachte nur, das der "|" sofort erschien... ohne F1 hat er ein paar Sekunden gebraucht um den hin zu schreiben. Danach bewegte sich NICHTS mehr. normal dreht sich der Strich ja dann " | / \ " und es erfolgen die verschiedenen Meldungen, die eben beim hochfahren erfolgen. Da hat sich aber eben nichts mehr gedreht, es gab keine Meldungen.

    Zu den Problemen mit der Hardware .. nun, keine Frage! Das war wohl nix und der Umbau hat sicher zusätzlich Ärger gemacht. ich würde jetzt gerne wissen wie in deinen Augen so eine Kiste aussehen sollte. Dann mach ich das so und zwar mit ZWEI gleichen Kisten!

    Ich habe nicht versucht eine 2.1.5 XML unter 2.2 einzulesen oder umgekehrt ... es ging nicht... und sollte gehen wenn die Hardware vernünftig ist... also Schwam drüber... wenn ich das jetzt richtig aufbaue sollte es in Zukunft gehen!

    Transfernetze? Carb-Cluster? Da hab ich bisher nichts gehört davon...  CARB ist - so hab ich das jetzt verstanden - dafür geeignet zwei Router parallel zu betreiben und beim Ausfall einer Kiste nahtlos umzuschalten ... ja, das möchte ich! Den "Experten" frage ich aber lieber nicht mehr ... ich denke, wenn ich das jetzt selber lerne, ist das besser ;) Gibt es dazu eine Anleitung?

    Zu deinem Hardware-Vorschlag ... gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten? Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

    Die SSD ist eine EVO 840 120GB ...

    Das Ding muss einer Hand voll Leuten externen Zugriff über VPN bieten. Allerdings sind selten mehr als 2 oder drei User extern Aktiv. active-Sync/IMAP/FTP geht ohne VPN. In Zukunft sollen zwei externe einen eigenen Router bekommen (Netz zu Netz VPN) und darüber mit unserer Telefonanalge arbeiten können. Die hat eine VoIP-Karte drin und das hat früher mit zwei SonicWall auch schon mal funktioniert.

    Wir haben folgende Leitungen:

    • Kabel (150/10 feste IP)
    • DSL (6/1 feste IP)
    • UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM ... also normal ist das NICHT aktiv!)

    Wenn das Kabel ausfällt soll er DSL benutzen, sonst soll DSL nicht genutzt werden... also wirklich nur als Notlösung. Kabel und DSL haben feste IPs.

    Ja, "doc.pfsense.org" war das ...

    Ich denke, am Ende muss ich im Notfall eh alles machen, also jetzt gehts ja wieder und dann brenne ich das eben noch in mein Hirn, was ich brauche. Hält jung, oder? ;)

    gruß

    PS: Anleitungen auf Englisch gehen natürlich auch... auch wenn ich es gerne Deutsch mag


  • Hallo nochmal, Bitboy!

    Oh wie ich Dich verstehen kann…...ich bin hier auch "Die Technik" und kenne all Deine Probleme.

    Ein ernstgemeinter Tip von mir: Dokumentiere dir wirklich Alles! Und such dir unbedingt noch eine Person der Du zumindest grundlegende Dinge vermitteln kannst.

    Du wirst sonst nie einen ruhigen Urlaub haben - glaub mir - ich weiß leider sehr genau wovon ich hier spreche ;)


  • Ich bin seit 17 Jahren hier und kenne das problem mit dem urlaub sehr gut  ::)

    Ich habe vor zwei Jahren angefangen hier den Wildwuchs i nden griff zu bekommen und das ist anstrengend. Das führt aber eben auch zu neuen Problemen! Das unser Router jetzt ein sehr wichtiger Teil des Ganzen ist, und das er eben nicht schnell mal eben von irgendjemandem ersetzt werden kann ist mir wohl inzwischen aufgefallen. Aber da gibt es noch mehr so Sachen… also ich muss da dran bleiben.

    JETZT erst mal den Router richtig machen... dann das nächste Thema!

    Schon mal Danke auf jeden Fall für jeden konstruktiven und hilfreichen Ratschlag, der zu unserem Chaos hier passt! ;)


  • @bitboy0:

    Zu deinem Hardware-Vorschlag … gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten? Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

    Ist nicht die Hardware die Jens beschrieben hat, ist IMHO eine ausreichen starke Hardware

    http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-19-Komplettsystem-mit-2x-APU1D4-1GHZ-Dual-Core-4GB-R::3261.html

    ich bin hier übrigens auch "die Technik" (oder besser "Arschfüralles") und laufe halt als einäugiger unter den Blinden hier herum.  ::)

    Gruss Auric


  • Ja, allerdings brauche ich ja 4 Netwerkanschlüsse … 3 * WAN und einmal LAN ...

    Aber ich schau mal selber noch was es da so gibt draußen, in der weiten Welt ;)

    gruß

  • LAYER 8 Moderator

    @Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

    @Bitboy:

    Ich hatte eine ähnliche Diskussion schon mit Rudi bzgl. Einsatzes von Spezialisten und finde es schade, wenn sich Chefs heute tatsächlich noch die Meinung gönnen können, dass jemand, der neben anderen Arbeiten noch genug am Hals hat, dann auch noch Super-Admin, Super-Netzwerker und sonstwas sein soll. Das kann niemand leisten, der den Job nicht Vollzeit macht, sondern das nur "mit" betreuen muss. Und das sollte auch jedem Chef einleuchten. Dazu kommt, dass gerade Netzwerk und System Techniken so schnell kommen und gehen, dass man sich damit beschäftigen muss. Das kann man aber nur wenn man die Zeit hat. Das kannst du allein gar nicht leisten. Deshalb ist es auch schade, dass dann einfach erwartet wird, dass sich jemand durch so einen Dschungel einfach durchwurschtelt, anstatt man sich mit einem Systemhaus o.ä. unterhält und sich supporten lässt. Dann können die bspw. Hardware, Netzwerk, Software etc. aus einer Hand liefern und auch Support wenns brennt. Da das aber scheinbar nicht geht (SEUFZ) wird es auf deinem Rücken ausgetragen. Sehr sehr schade. Gerade in solchen Konstellationen kann IT oder Operations as a service durchaus Sinn machen.

    Tja … also nach 10 Minuten hab ich das langweilig gefunden. F1 brachte nur, das der "|" sofort erschien... ohne F1 hat er ein paar Sekunden gebraucht um den hin zu schreiben.
    Danach bewegte sich NICHTS mehr. normal dreht sich der Strich ja dann " | / \ " und es erfolgen die verschiedenen Meldungen, die eben beim hochfahren erfolgen.
    Da hat sich aber eben nichts mehr gedreht, es gab keine Meldungen.

    Autsch, spricht für Partitions/Bootmanager Versagen.

    Ich habe nicht versucht eine 2.1.5 XML unter 2.2 einzulesen oder umgekehrt ... es ging nicht... und sollte gehen wenn die Hardware vernünftig ist... also Schwam drüber... wenn ich das jetzt richtig aufbaue sollte es in Zukunft gehen!

    Das sollte es in der Tat, auch wenn es immer mal Probleme geben mag, mir ist ein Restore Fail bislang nur sehr selten begegnet.

    Transfernetze? Carb-Cluster? Da hab ich bisher nichts gehört davon...  CARB ist - so hab ich das jetzt verstanden - dafür geeignet zwei Router parallel zu betreiben und beim Ausfall einer Kiste nahtlos umzuschalten
    ... ja, das möchte ich! Den "Experten" frage ich aber lieber nicht mehr ... ich denke, wenn ich das jetzt selber lerne, ist das besser ;) Gibt es dazu eine Anleitung?

    CARP - Common Address Redundancy Protocol - nicht CARB ;) Low Carb musst du bei deinen neuen Kisten nicht fahren - die dürfen schon Bumms haben :)

    Zu deinem Hardware-Vorschlag ... gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten?
    Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

    Ja gibt es, allerdings ohne Speichermedium. Sprich SSD o.ä. muss man noch obendrauf packen. APUs wären eine Idee gewesen, aber das würde - wegen der Anzahl an Schnittstellen (3) - ausarten, da man dann davor noch nen VLAN fähigen Switch klemmen müsste um mit einem Interface statt dreien klar zu kommen.
    Die Rangeley Atom Kisten dürften für dich mehr als genug Power haben und kommen mit 4 oder 6 NICs. Allerdings sind die dann auch etwas teurer. Da liegt einer auch schonmal so bei ~400-450 Euro. Dafür aber ne Kiste ähnlich wie ein Switch, kein Hardware geamsel oder bewegliche Teile etc. Also ein Router / eine Firewall, wie man sie quasi auch von anderen "Größen" erwartet. Kein umgebauter/selbstgebauter PC.

    Die SSD ist eine EVO 840 120GB ...

    Hmpf. Solide Desktop SSD, aber sofern du keine Zusatzpakete à la Squid, Snort, etc. einsetzt, überdimensioniert.

    Das Ding muss einer Hand voll Leuten externen Zugriff über VPN bieten. Allerdings sind selten mehr als 2 oder drei User extern Aktiv. active-Sync/IMAP/FTP geht ohne VPN.

    Dafür ist alles von der APU aufwärts genug, was Power angeht.

    In Zukunft sollen zwei externe einen eigenen Router bekommen (Netz zu Netz VPN) und darüber mit unserer Telefonanlage arbeiten können. Die hat eine VoIP-Karte drin und das hat früher mit zwei SonicWall auch schon mal funktioniert.

    also jeder von den Nasen bekommt nen Router und ihr baut nen Tunnel auf (LAN2LAN Kopplung). Geht via OpenVPN oder IPSEC. Kein größeres Problem.

    Wir haben folgende Leitungen:

    • Kabel (150/10 feste IP)
    • DSL (6/1 feste IP)
    • UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM ... also normal ist das NICHT aktiv!)
      Wenn das Kabel ausfällt soll er DSL benutzen, sonst soll DSL nicht genutzt werden... also wirklich nur als Notlösung. Kabel und DSL haben feste IPs.

    Bis auf UMTS recht einfach zu konfigurieren, UMTS wäre aber machbar.

    Ich denke, am Ende muss ich im Notfall eh alles machen, also jetzt gehts ja wieder und dann brenne ich das eben noch in mein Hirn, was ich brauche. Hält jung, oder? ;)

    Jein, es geht weniger ums Einbrennen, sondern um das komplette Setup: Also Infrastruktur analysieren, evaluieren und dann einen ordentlichen Plan machen mit

    • wie baue ich die Infrastruktur (Netzplan, IP Netze, Masken, Kommunikationsbeziehungen)
    • was brauche ich an Geräten (Firewalls, Switche vllt noch.,)
    • wie sind die Voraussetzungen und wie kann ich das implementieren
    • etc etc.

    DAS ist der Job, den normalerweise jemand macht, der sich mit sowas auskennt. Sich das anschauen, planen, beschreiben, durchtesten und dann zusammen mit dir implementieren und ausführen. Dass du es später betreuen musst und das dann auch wissen musst (Stichwort Doku) ist ja klar. Aber du kannst dir schlecht jetzt mal eben ein paar Jahre Netzwerk Layout, Technik, Routing etc. ins Hirn brennen damit du das alles ordentlich aufsetzen kannst :) Das war auch der Punkt den ich mit Spezialist/Externem etc. meinte. Wenn schon keine Betreuung durch Hilfe von außen, dann wenigstens die Planung etc. richtig machen lassen. Und sowas erkennt man meist daran, dass jemand erstmal detailliert wissen will, was im LAN so los ist, was es an WANs gibt, wie die Verkabelung aussieht, wie die Verkehrswege aussehen etc. etc. und nicht ne Blackbox hinflanscht ;) Und macht ers richtig gut, gibts nen NetzPlan o.ä. dazu (zumindest den Teil den er umsetzt).

    Gruß
    Jens


  • Wir haben folgende Leitungen:

    • Kabel (150/10 feste IP)
    • DSL (6/1 feste IP)
    • UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM … also normal ist das NICHT aktiv!)

    @bitboy0:

    Ja, allerdings brauche ich ja 4 Netwerkanschlüsse … 3 * WAN und einmal LAN ...

    Aber ich schau mal selber noch was es da so gibt draußen, in der weiten Welt ;)

    gruß

    Zwei kleine VLAN fähige Switches sollten da Abhilfe verschaffen können.
    Wir setzen bei uns relativ viele von denen ein: http://support.netgear.com/product/GS108Ev3

  • LAYER 8 Moderator

    @Gruens
    Ja, VLANs wären ein Weg, allerdings ist das auch wieder Komplexität und für jemand, der damit noch nie gearbeitet hat nochmal eine Schicht mehr, mit der man im Fehlerfall klar kommen muss :)

    Just saying ;)


  • @JeGr:

    @Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

    Grundsätzlich stimmt das natürlich, ich könnte mir aber vorstellen das man gerade diese "langsamen" Datenkanäle problemlos über drei VLANs "getrunked" an einen Port der APU hängen könnte. (nur so eine Idee)  ???

    uups da hab ich wohl zu spät..


  • zu doof für die forensoftware.. sorry


  • Ja, also VLAN hört sich natürlich schon gut an … aber wie schon angemerkt wurde: Es wird dadurch noch komplexer und wenn ich mal im Urlaub bin kommt der einzige Kolle, der auch noch etwas Technik kann , damit dann spätestens nicht mehr klar... auch für mich würde es das nicht extrem einfach machen.

    Also ich tendiere zu zwei "normalen" PC's:

    • micro-ATX-Boards mit onboard VGA (MSI A78M-E35)
    • AMD-CPU FM2+ A4-4000
    • RAM 4GB (reicht das?)
    • INTEL NIC (4fach)  EXPI9404PTLBLK PRO1000PT
    • SAMSUNG EVO SSD (840/850) mit 120GB

    Einen davon habe ich ja hier schon. Der läuft nach dem Theater jetzt ohne Mucken und dann spare ich mir lieber das mit den VLAN.

    Wenn ich zwei davon habe brauche ich ja aber noch irgendwie etwas Zubehör, oder?

    • Wie verteile ich einen WAN auf Zwei Router?
    • Wie richte verbinde ich das LAN ein, damit der Ausgang beider Router da wieder zusammengeführt wird?
    • Wie verbinde ich die Router, damit es einen CARB-Cluster gibt.

    Also unser aktuelles Netz:

    • Es gibt einen Root-Server bei einem Hoster. Dort liegt das WWW und die email-Postfächer.
    • Lokal haben wir drei WAN-Möglichkeiten, wobei nur das KABEL wirklich ausreichend schnell ist. DSL kommt hier nur maximal mit 6000/500 an und reicht dann nur knapp. UMTS ist schneller als DSL, aber der Traffic ist zu hoch um damit länger als ein paar Tage zu überbrücken.
    • Es gibt einen Windows-Server und eine Telefonanlage mit VoIP-Karte
    • Zur Zeit sind lokal hier 8 PC's am Netz
    • Es gibt 10 Smartphones, die über Active-Sync ihre Daten bekommen
    • 4 Mitarbeiter sind endweder hier im Büro, ODER zuhause per VPN am arbeiten
    • einige externe rufen unregelmäßig Mails über IMAP ab

    Zur Zeit ist email einrichten umständlich:

    • email beim Hoster einrichten
    • Postfach/User im Windows Server einrichten
    • Pop3-Connector für den Abruf der Mails über POP einrichten (MapiLab)
      Die User rufen dann die Mails bei uns hier ab.

    Das machen wir, damit alle mails über den Virenscanner gehen und die Mails auch in der Datensicherung landen.

    Ziel wäre es die Mails nur noch direkt über den Windows-Server einzurichten und den MX direkt hier her zu leiten. Dann ist nur noch das Postfach/user hier anzulegen und der Rest erledigt sich.
    Aber dann wird es natürlich noch wichtige eine zuverlässige Lösung zu haben.

    gruß


  • ich hatte auch Respekt von der VLAN Geschichte bis ich es dann tatsächlich mal gemacht hab. Bei dem Cisco war es nicht supereasy aber machbar, mit dem Billigswitch wie einem TP-Link T-SG105E war das wirklich supereinfach, grob umrissen

    Der Port an dem du die pfSense Box hängst ist der Trunk Port, also da laufen alle VLANs drüber und die Daten behalten die Tags und die anderen Ports kannst du anhängen was du willst an Internetquellen du musst nur jedem Port über die PVID Funktion im Switch eine eigene VLAN Nummer verpassen, und dafür sorgen das die Daten die den Port verlassen die Tags wieder vom Switch entfernt bekommen.

    Und mit den VLAN Nummern kannst du an der pfSense Box supereinfach in Interfaces: Vlan an das reelle Interface (Port) der pfSense Box all die VLANs einrichten die du benötigst.

    Wenn du jetzt Schiss hast dass die Urlaubsvertretung in dem Fall das der Switch verreckt (nicht seeeehr wahrscheinlich) aufgeschmissen ist…

    dann hol einfach für 23€ den Switch noch einmal, richte ihn identisch ein (10 Sekunden weil du ein Backup der Settings einspielen kannst)  und beschrifte die 4 LAN kabel und die beiden Switche gleich. Wenn jetzt der Switch verreckt muss der Hausmeister nur den neuen an den Strom anhängen und die 4 LAN Kabel an den gleichen Port wie beim defekten Switch am neuen Switch einstecken (farblich gestaltet schafft das ein Analphabet)

    Gruss Auric


  • Ok …

    Also das kann man ja überlegen ... siehe unten...

    erst mal muss aber jetzt neue Hardware her, 2 identische Geräte und die sollen später redundant arbeiten.
    Es wäre toll wenn wir erst mal diesen Punkt angehen und ich dann bestellen kann.

    Diese Intel-NICs sind nicht billig, aber sind wohl für den Zweck gut und zuverlässig.
    Ich hab mir das jetzt noch mal angeschaut und tendiere zu mini-itx mit Intel Core3

    Das wäre klein, flexibel und preislich für den Chef ok. Dazu brauche ich dann noch switche?
    ich hab drei WAN und ein LAN und eigentlich brauche ich dann noch einen dedizierten Port für CARB, oder?

    Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
    Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense...

    aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?
    Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

    Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

    gruß


  • Schau dir mal von Supermicro die Atom-Boards an.

    ZB. http://www.supermicro.com/products/motherboard/Atom/X10/A1SAi-2750F.cfm.

    Alles incl. 4 * 1GB Nics und IPMI. Gerade IPMI ist recht praktisch.


  • @bitboy0:

    Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
    Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense…

    aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?

    Um die VLAN Geschichte zu machen brauchst du einen managebaren Switch der VLAN kann, der 23€ TP-Link Switch (und viele viele andere) können das.

    Um auf dem letzten freien Port des Switch die gleichen Daten raus zu lassen muss der nur mit den identischen Einstellungen versehen die auch der Port hat der an die erste pfSense box hat, wie die Daten rein kommen entscheidet die Box an dem anderen Ende des Netzwerkkabels

    Wenn du sowieso einen fetten VLAN fähigen Switch im Rack hast und noch 5 freie Ports, kann der das natürlich auch übernehmen.

    hast du einen redundanten Switch?? die wenigsten haben den, wenn der aber abkackt, geht im Netzwerk absolut nix mehr.

    @bitboy0:

    Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

    Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

    Zu dem CARP Kram kann ich nix sagen hab ich mich noch nie mit beschäftigt, hat aber mit den kleinen 5 Port Switch und der VLAN Geschichte nichts zu tun

    Gruss Auric

  • LAYER 8 Moderator

    @Auric: VLAN Switch hat schon was mit CARP zu tun, weil dann jeder CARP node einen entsprechenden VLAN Trunk braucht, aber siehe unten.

    @stack: Dann würde ich aber die Supermicro komplett-Appliance nutzen, bevor ich anfange den Kram selbst zusammenzufrickeln. Deshalb bin ich dagenen, das wie einen PC zu behandeln, es ist schlichtweg keiner. Das Einsatzgebiet ist m.E. kritischer als irgendeine selber-bastel-Lösung - es sei denn ich machs gleich für Große und kauf nen Server mit Wartungsvertrag :)
    -> http://www.supermicro.com/products/system/1U/5018/SYS-5018A-TN4.cfm
    -> http://www.supermicro.com/products/system/1U/5018/SYS-5018A-FTN4.cfm
    Dann sind wir wieder bei einem "embedded Device" oder eben dedizierter Hardware für den Job. Zudem sind das Boards mit dem Atom 2750/2758 - finde ich fast überdimensioniert, denn einen 8-Kerner braucht er glaube ich nicht. Aber siehe folgender Absatz (und meine Empfehlung des 2-Kerners):

    @bitboy:

    Bezüglich der Hardware die du zuerst abhandeln willst:

    Wie billig oder teuer sind denn deine MiniITX Kisten, dass du lieber "PCs" verbauen willst, statt kleineren Kisten die weniger Aufriß machen und dazu wesentlich weniger bewegliche Teile die Kaputt gehen könnten? Was ist bei einem Ausfall der Kisten? Bekommt man das SOHO-Zeug, dass da verbaut ist dann wieder oder ist das schon veraltet und man hat doch wieder zwei unterschiedliche Kisten? Wäre mir im Firmenumfeld zu unsicher und würde ich nicht empfehlen. Wenn du das weiter verfolgen möchtest, nichts dagegen, ich rate aber definitiv davon ab. Dann entweder Server Kram kaufen, der auch entsprechend länger lieferbar ist (oder besser gleich mit Service Vertrag wie dein Server) oder eben fertige Kisten wie eben bspw. http://www.landitec.com/Network-Appliance-Hardware/Desktop-Appliance/FW-7525::111.html

    Für das was du da betreibst finde ich die Hardware unnötig/ungünstig. Da würde ich lieber auf sowas setzen.

    Und was die Software angeht sehe ich da viel Unklarheiten von der Funktionsweise und vom Aufbau. Da würde ich mir schon überlegen jemand zu fragen, der sich damit auskennt, und nicht trial und error mit dem Forum zu machen bis alles halbwegs läuft. Aber auch das sei natürlich dir überlassen.

    Ich würde es momentan so umreißen:

    • Mit VLAN:
    • VLAN Switch kaufen, 2x identische Hardware beschaffen (Wartung beachten)
    • VLAN Switch mit mind. 8 Ports
    • Router/Gateways der WANs für Routerbetrieb umrüsten, IP-Ranges für Uplinks definieren (192.168.101.x, .102.x, .103.x bspw.)
    • VLAN Trunk auf 2 Ports konfigurieren und beide Firewalls dran anschließen.
    • 2x pfSense aufsetzen, GRUNDkonfigurieren
    • Firewall Verkabelung: 1x WAN-Trunk, 1x CARP Sync (Crossover zwischen den FWs), 1x LAN nach innen
    • CARP Setup und Synchronisation einrichten
    • WAN Loadbalancing konfigurieren (Prio auf Cable, dann DSL, dann LTE)
    • Interfaces korrekt konfigurieren / optimieren
    • Aliase, NAT und Regeln konfigurieren. Ggf. Zusatzdienste.

    Das wären so die groben Punkte, wenn man das neue Konstrukt als CARP Setup mit 3 WAN und einem LAN aufzieht.

    Grüße


  • Ne, der Switch ist nicht managbar.

    Für das VLAN Zeug brauche ich halt einen, kein Ding.

    Aber ich weiß immer noch nicht wie ich von EINEM WAN (z.B. Kabel-internet) auf ZWEI Router komme. Denn wenn die Redundant arbeiten sollen müssen ja beide das Netzwerk auch haben!
    Und wenn ZWEI Router das Signal haben und nur EINER grade zuständig ist, wie kommen die LAN-Netzwerke der beiden Kisten wieder zusammen auf EIN Netz an dem die Rechner hängen?

    Also da brauche ich noch hilfe!

    So ein Board mit IPMI brauche ich eher nicht. Die Sachen stehen 5 Meter hinter mir und da brauche ich keine Fernkonfiguration oder so.

    Der Chef will keine Wartungsverträge … also gibts die nicht. Nur für den Server haben wir so eine Garantie/Ersatz innerhalb eines Arbeitstages, aber OHNE Konfiguration. Das würde im Fall des Falles nach Stunden abgerechnet.

    Heute muss ich leider jetzt erst mal andere Sachen machen... morgen lese ich mir das alles mal in Ruhe durch und versuche zu verstehen was ihr geschrieben habt. Dann melde ich mich noch mal

  • LAYER 8 Moderator

    @bitboy: liest du eigentlich auch was ich schreibe? ;)

    JA du brauchst dringend Hilfe und solltest dir, wenn du das alles schon selbst machen willst, dringend mal die Doku zu CARP durchlesen, damit du verstehst wie das funktioniert. Dann erübrigen sich die Fragen nach "wie können 2 Maschinen über ein WAN raus". Kurzantwort: es geht (warum auch nicht), sinnvollerweise sollten dann eben DSL und Cabel nicht wie Modem, sondern via Router bereits die Verbindung aufgebaut haben bzw. aufbauen und geben das dann an die beiden pfSensen via Transfernetz rein.

    So ein Board mit IPMI brauche ich eher nicht. Die Sachen stehen 5 Meter hinter mir und da brauche ich keine Fernkonfiguration oder so.

    Es geht nicht nur um IPMI, das ist bei Supermicro eben freundlich gleich dabei. Es geht darum, dass die Kisten genau dafür gebaut worden sind und weniger Teile haben, die ausfallen können als bei einem StiNo PC

    Der Chef will keine Wartungsverträge … also gibts die nicht.

    Dein Chef will auch keinen Ausfall des Internets (oder?) - also gibts den nicht? Das war bisher scheinbar auch schon "egal". Aber für den (dann nutzlosen) SBS bezahlt er Wartung der Hardware ... warum genau? Denn wenn Internet ja egal ist (und dann auch keine Mails mehr gehen etc. etc.) wozu dann ein Problem mit dem Server sehen?
    Bemerkst du den Denkunterschied der da klar werden muss? Ein Server wie SBS wird als was wichtiges behandelt, Internet/Netzwerk aber solala als bisschen Kabelage. Dat muss halt wuppen und jut. Das Zeug ist aber genauso wichtig (wenn nicht wichtiger) als der Server, und sollte eben auch so im Kopf sein. Das ist nicht schön, das ist mitunter auch nicht einfach, aber manchmal muss man das halt mit dem Holzhammer den Leuten eintrichtern.
    (Kleine Anekdote: Einfach mal dem Chef das WLAN ausmachen oder das Netzwerk ziehen und fragen, ob er das jetzt immer noch so unwichtig findet wenn er seinen Server nicht erreichen kann... - oder mal das Internet kappen. Wirkt manchmal Wunder in der Denkarbeit ;) )

    Nur für den Server haben wir so eine Garantie/Ersatz innerhalb eines Arbeitstages, aber OHNE Konfiguration.

    Eure Firewall(s) sind AUCH Server. Genau das muss in den Kopf. Nur weil die Kisten anders aussehen oder was anderes machen sind sie nicht weniger wichtig.

    Das würde im Fall des Falles nach Stunden abgerechnet.

    Wie das ein guter Externer/Systemhaus eben auch machen würde, klar. Aber die nutzlose "künstliche" Unterscheidung zwischen "Server" und "anderem Kleinscheiß" ist das, was bei euch wirklich problematisch ist.
    Oder anders gefragt:

    Beantworte mir bitte einmal ganz neutral betrachtet: Wie sieht es mit eurer Produktivität oder eurem Verdienstausfall aus, wenn Internet nicht geht? Und zwar komplett gar nicht. Superwichtig? Sehr wichtig? Nicht so wichtig? Egal?

    Je nachdem was man darauf antwortet, kann man das Thema relaxt angehen oder nicht. Nach dem was du in deinem Eingangspost mit rotem Telefon, glühen und DRAMA erzählt hast, hätte ich auf "Sehr wichtig" oder höher getippt. Wenn dem so ist - gleiches Spiel mit dem Chef machen. Ganz neutral die Frage selbst beantworten lassen. Und dann mal im Kopf mit seinem Superduper-Server vergleichen lassen, was der an Wichtigkeit hat. In vielen Fällen (kann bei dir anders sein) kehrt sich die Wichtigkeit plötzlich um:

    • Email / Dateiablage etc. kann ich notfalls auf einem Zweitsystem / Windows Client / Linux Server o.ä. schnell aufsetzen, damit Leute wieder an Daten kommen und die untereinander austauschen können. E-Mail kann man auch notfalls auf ein Linux System, eine VM oder sonstwas umbiegen, um einen Notbetrieb zu haben (oder man ruft in seinem Outlook schnell die Postfächer beim Provider direkt ab, anstatt Sie in seinen Exchange abzuholen).
    • Ohne Internet? Keine Angebote rein/raus, kein Austausch mit anderen Firmen oder Dateiablage, kein Offsite Backup (ggf), kein Banking, etc. etc. -> lässt sich notfalls direkt an einem PC hinbasteln, ist aber dann nicht mal annähernd schön.

    Daran sieht man dann plötzlich, ob eine Komponente wichtig ist oder nicht. Und ob man dafür 5x30€ hinlegt und jedes Mal Ausfälle hat, oder einmal eben 150 oder mehr, damit das ne ordentlich Sache ist und ggf. noch Service mit bei ist.
    (Hint: bei vielen guten Router/Switch Herstellern bekommt man eine Basis Garantie schon mit, kann diese aber mit ein klein wenig Geld aufbohren und bekommt dann genau wie bei Servern auch 4-8h Reaktionszeit auf Hardwareschäden. Da müssen gar keine teuren monatlichen Verträge her.)

    Aber das nur als Denkanstoß :)

    Grüße


  • @JeGr

    Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
    Aber du hast auf jeden Fall recht. Die würde ich dann auch lieber als Komplettsystem vorziehen.
    Macht von Preis dann auch keinen großen Unterschied.

  • LAYER 8 Moderator

    Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
    Da hast du recht ;) Zumal die meist auch noch TN/FTN/BTN was weiß ich haben, nur um einmal Frontmount, Backmount, Sidemount oder sonstwo mit dem Kabel rein abzudecken - und dann versuch mal deine Favorisierte Version irgendwo zu finden ;)

    Macht von Preis dann auch keinen großen Unterschied.
    Absolut :)


  • @JeGr:

    @bitboy: liest du eigentlich auch was ich schreibe? ;)

    Beantworte mir bitte einmal ganz neutral betrachtet: Wie sieht es mit eurer Produktivität oder eurem Verdienstausfall aus, wenn Internet nicht geht? Und zwar komplett gar nicht. Superwichtig? Sehr wichtig? Nicht so wichtig? Egal?

    Aber das nur als Denkanstoß :)

    Nun, klar lese ich was du schreibst ;) Und wenn mein Chef sagt "Heute leuchtet der Mond rot", ja dann muss der das machen… also ich weiß das du recht hast, ändert aber nichts an den Umständen und was mein Chef muss oder sollte .. nun... also ich sag einfach nur wie es IST. Was das tatsächlich kostet wenn wir einen Tag nur über Telefon erreichbar wären? Also MICH kostet es erheblich Nerven, aber wir hatten das ja grade und von konkreten Kosten weiß ich nichts. Ist natürlich doof wenn die Leute keine Mails bekommen...

    Klar wäre es angemessen wenn das ein Systemhaus machen würde und ich damit nur am Rande zu tun hätte. Ist aber nicht so und wird so nicht werden.
    Irgendwann explodiert das alles mal richtig und DANN vielleicht. Bis dahin muss ich es machen.

    Ich hab ja gesagt, ich lese mir das durch .. nur bin ich eben nicht NUR Admin ... also ich versuche was geht und melde mich sobald ich so weit bin.

    • ich brauche zwei Router
    • Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
    • Die Router haben je drei LAN-Ports ...
      1. Externes Internet (über VLAN kommen da die drei WAN-Zugänge rein)
      2. Verbindung zwischen den zwei Routern für CARB
      3. Das interne LAN (die passende virtuelle IP dazu hat automatisch der aktive Router)

    Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann ... ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.

    Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen ... Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.

    Ich muss jetzt Montag erst mal nach Berlin und komme frühestens Mitwoch wieder. Dann werden die Sachen bestellt die ich genemigt bekomme und sobald ich das Zeug hier habe melde ich mich wieder. Außer es gibt noch Fehler in meiner Liste, dann bitte korigieren.

    gruß

  • LAYER 8 Moderator

    Ich hab ja gesagt, ich lese mir das durch .. nur bin ich eben nicht NUR Admin … also ich versuche was geht und melde mich sobald ich so weit bin.

    • ich brauche zwei Router
    • Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
    • Die Router haben je drei LAN-Ports ...

    Den Part durchsehe ich nicht ganz. Kannst du das erleuchten? Wie bekommt Ihr Kabel, DSL und LTE, auf was für Kisten und wie wird das weitergereicht.

    Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann ... ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.

    Das trifft in etwa das Problem recht gut. VLAN: spart dir die Einzelswitches. Keines: Dann muss entweder der Router/das Modem mehrere Anschlüsse haben oder du klemmst kleine Switche dazwischen.

    Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen ... Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.

    Nochmal: Warum musst du deinem Chef Rechner/PCs verkaufen, anstatt ordentliche Hardware? Das geht mir nicht in die Rübe, sorry. Jedem Sparfuchs ist bislang trotzdem klar gewesen, hey wenn ich spezialisierte Hardware da hinstelle, die das Gleiche oder etwas mehr kostet, spart mir das im Umkehrschluß wieder Geld ein weil weniger Ausfallwahrscheinlichkeit, weniger Strom, mehr Managebarkeit etc. pp.
    Warum müssen das irgendwelche zusammengestückelte MiniITX Kisten sein?

    Du sprachst davon, dass es jetzt explodiert ist und du es richtig machen willst. Warum dann nicht Richtig mit großem R, sondern wieder nur so ein bisschen richtiger? Kein Bastel-PC hat bspw. Garantie. Wenn du fertige Devices hast, schon. Dann zwar vielleicht keine Reaktionszeit, aber immerhin hast du dann zwei und es läuft alles erstmal weiter. Bei nem PC den du schraubst hast du höchstens auf die Einzelteile Garantie. Ich würde da nicht rumkaspern wollen, welches Teil da jetzt rumbockt (bei dubiosen Fehlern die bspw. Board, RAM oder CPU oder doch NIC sein könnten). Plus die kompletten Geräte sind erwiesenermaßen bereits mit pfSense kompatibel. Der Supermicro SuperServer C2758 bspw. ist nichts anderes als das, was pfSense selbst im eigenen Store mit eigenem Branding verkauft. Die APUs ebenfalls, werden von pfSense auch selbst im Store verkauft.

    Grüße


    • ich brauche zwei Router
    • Das Internet ist grundsätzlich am Router schon als normales Netzwerk vorhanden, also vor den PFSENSE-Kisten sind die Modems der Netzbetreiber und die haben die Zugangsdaten gespeichert und bauen die Verbindung auf.
    • Die Router haben je drei LAN-Ports …

    Den Part durchsehe ich nicht ganz. Kannst du das erleuchten? Wie bekommt Ihr Kabel, DSL und LTE, auf was für Kisten und wie wird das weitergereicht.

    Also ich hab
    Kabel (CISCO-Modem von Kabel-BW)
    Versatel-DSL mit Fritzbox
    UMTS mit 704 Router von Welotec

    Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.
    Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.
    Bei Versatel hat die Fritzbox eine Feste IP und ich hab ein privates Netz zwischen Fritzbox und PFSENSE. Dabei hat die PFSENSE eine IP und die ist in der Fritzbox als DMZ eingetragen.
    Bei UMTS habe ich keine feste oder private IP extern. Ansonsten wieder ein privates Netz zwischen diesem Router und PFSENSE.

    die drei WAN-Zugänge brauchen dann jeweils einen Port am Switch und dort ist für jedes Netz ein VLAN eingerichtet. Dann geht das gebündelt zum PFSENSE wo die drei VLANs wieder als einzelne Gateways behandelt werden .. richtig so?

    Also brauche ich noch einen managbaren Switch mit mindestens 5 Ports (3WAN und 2Ausgang zu den beiden Routern) ? Ohne VLAN vereinfacht sich zwar die Konfiguration etwas, aber ich brauche trotzdem ja für jede WAN-Leitung einen Switch damit das auf zwei Kisten verteilt werden kann … ? Und ich hätte das Problem, dass ich für jede WAN-Leitung am Router einen Port brauche, dann also 5 pro Router.

    Das trifft in etwa das Problem recht gut. VLAN: spart dir die Einzelswitches. Keines: Dann muss entweder der Router/das Modem mehrere Anschlüsse haben oder du klemmst kleine Switche dazwischen.

    OK! Dann ist es sinnvoll das per VLAN zu machen! Kisten mit 5 Ports sind viel teurer und bezahlbare fertige Sachen haben eh meist nur 3 Ports.

    Was die Rechner angeht, ich muss die halt auch meinem Chef verkaufen … Also ich versuche die von euch vorgeschlagenen Boards , sonst wird es was etwas günstigeres von Intel, aber gleicher Formfaktor.

    Nochmal: Warum musst du deinem Chef Rechner/PCs verkaufen, anstatt ordentliche Hardware? Das geht mir nicht in die Rübe, sorry. Jedem Sparfuchs ist bislang trotzdem klar gewesen, hey wenn ich spezialisierte Hardware da hinstelle, die das Gleiche oder etwas mehr kostet, spart mir das im Umkehrschluß wieder Geld ein weil weniger Ausfallwahrscheinlichkeit, weniger Strom, mehr Managebarkeit etc. pp.
    Warum müssen das irgendwelche zusammengestückelte MiniITX Kisten sein?

    Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!

    Du sprachst davon, dass es jetzt explodiert ist und du es richtig machen willst. Warum dann nicht Richtig mit großem R, sondern wieder nur so ein bisschen richtiger? Kein Bastel-PC hat bspw. Garantie. Wenn du fertige Devices hast, schon. Dann zwar vielleicht keine Reaktionszeit, aber immerhin hast du dann zwei und es läuft alles erstmal weiter. Bei nem PC den du schraubst hast du höchstens auf die Einzelteile Garantie. Ich würde da nicht rumkaspern wollen, welches Teil da jetzt rumbockt (bei dubiosen Fehlern die bspw. Board, RAM oder CPU oder doch NIC sein könnten). Plus die kompletten Geräte sind erwiesenermaßen bereits mit pfSense kompatibel. Der Supermicro SuperServer C2758 bspw. ist nichts anderes als das, was pfSense selbst im eigenen Store mit eigenem Branding verkauft. Die APUs ebenfalls, werden von pfSense auch selbst im Store verkauft.

    Bisher ist nichts explodiert, nur das Internet ist mal ausgefallen. Wenn hier wirklich der SBS die Augen zu macht und es zwei-drei Tage dauert bis mein Chef wieder seine Mails und Daten bekommt, wenn dann vielleicht das letzte LTO-Band (wir machen Backups nach Plan auf Tages, Wochen, Monatsbänder) nicht fehlerfrei eingelesen werden kann und ein wichtiges Dokument / Mail deshalb weg ist, DANN ist es explodiert. DANN kann ich vermutlich durchsetzen es richtiger zu machen. Solange es irgendwie dann doch nach ein paar Stunden wieder geht sieht er das nicht ein. Und ich werde sicher hier keine GAU erzeugen, absichtlich, damit ich ihn überzeugen kann.

    Wir haben halt einen teuren NIC (den INTEL4-Port für 450,-) und er will den unbedingt weiter benutzt sehen. Sinnvoll? Wohl nicht, aber siehe oben … du musst mich nicht überzeugen. Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.

    Grüße

  • LAYER 8 Moderator

    Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.

    Nö, machen Sie anscheinend nicht, denn:

    Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.

    Eine feste IP wird per DHCP - wem zugeteilt - dem Router dahinter / pfSense. Das ist aber nicht das, was ich meinte. Besser für den CARP Betrieb wäre hier aber, wenn du entweder eine Fritzbox hättest, die die Verbindung hält und selbst die IP bekommt (oder einen anderen Router). Der bekommt dann ein Transfernetz zur pfSense und darüber können die beiden Knoten sich dann auch ordentlich die Verbindung übergeben. Bei DHCP wird das schwer(er).

    Bei Versatel hat die Fritzbox eine Feste IP und ich hab ein privates Netz zwischen Fritzbox und PFSENSE. Dabei hat die PFSENSE eine IP und die ist in der Fritzbox als DMZ eingetragen.

    Genau der Zustand wäre auf dem Kabel-Bein auch schön. Allerdings ist die IP die du einträgst später nicht mehr die von "einer" pfSense, sondern die virtuelle IP, die zwischen den pfSensen hin und her geschwenkt wird. Dito für Cable.

    Bei UMTS habe ich keine feste oder private IP extern. Ansonsten wieder ein privates Netz zwischen diesem Router und PFSENSE.

    Dann ist auch hier der Betrieb kein großes Problem. Die jetzige pfSense IP wird beim 2-Knoten-CARP Cluster dann die VIP (virtuelle IP), die als CARP IP zwischen den Knoten geteilt ist, so dass nur der Master sie auch benutzt, im Falle des Ausfalls aber der Backup übernehmen kann.

    Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!

    Was hat der Chef mit Beschaffung zu tun? Die Beschaffung machst du und wenn du ihm 2 Büchsen auf den Tisch legst zum Abnicken, kann ihm doch herzlichst egal sein, was das für Hardware ist, wenn DU sagst, dass es damit läuft? Einzig ein Preis-Konter würde ich verstehen, aber - verzeihe mein "stressen" - WAS hat der Chef zu sagen, was DU für Hardware für die Firewall einkaufst, die DU administrieren sollst? Wenn du sagst, DAS ist supportet und läuft, dann ist es so. Warum sollte er das besser wissen? Wenn er sich hinstellt und dir nen Taschenrechner gibt und sagt da soll die pfSense drauf, kannst du das ja auch schlecht bringen?! Da verstehe ich deine Argumentationslogik eben nicht. Sorry. Zumal schon mehrfach festgestellt wurde, dass:

    • für dein Setup auch eine APU theoretisch ausreicht, wenn du mit VLANs arbeitest
    • alternativ eine kleine Rangeley Büchse es tun würde
    • eine APU ~180€ / Stück kostet, der Atom ca. 400€ / Stück. - Wenn du dir zwei Büchsen selbst schraubst sehe ich kaum, dass die billiger werden?!

    Sorry, ich sehe da keinen Showstopper außer dem, dass du deine Meinung vertrittst und dir nicht vom Chef - der eben noch weniger Ahnung davon hat - dir was diktieren lässt?

    Und ich werde sicher hier keine GAU erzeugen, absichtlich, damit ich ihn überzeugen kann.

    Das macht auch kein SysE der was auf sich hält. Mein Beispiel war den Stecker zu ziehen, was eben - beim ein oder anderen Sturschädel - schonmal ein Eye-Opener war (ein sehr amüsanter auch ;))

    Wir haben halt einen teuren NIC (den INTEL4-Port für 450,-) und er will den unbedingt weiter benutzt sehen.

    Kann ich irgendwo nachvollziehen, ABER:

    • wie gesagt kostet das Dingens 450€
    • du bräuchtest dann ja noch nen zweiten für den zweiten Knoten
    • ergo nochmal 450€ NIC + Board + Kleinteile wie SSD etc.
      -> allein der zweite Knoten kommt dich wesentlich teurer, als zwei kleinere Kisten zu kaufen die den Job richtig machen.

    Geld "einsparen" war bislang schon immer ein Punkt, den Chefs gesehen haben. Und für eine der NICs bekomme ich schon 2 komplette APUs... Notfalls sogar noch im 19" 1HE Case wo beide drin verbaut sind :)
    Den 4 Port NIC kann man entweder verkaufen/zurückgeben oder auf Lager legen für den SBS oder anderen Bedarf. Da sehe ich das Problem wie gesagt nicht.
    "Chef, Firewall Vendor bzw. Community empfiehlt für unseren Fall 2x Hardware XY, kostet Z, billiger als wenn ich jetzt 2x AB selbst baue und den Kram der da vergeigt wurde künstlich am Leben halte".
    Ich/wir versuchen niemand zu "bekehren" oder ähnliches, wir geben dir nur die Fakten an die Hand, dass du das ordentlich selbst vertreten kannst. Und nur weil man jetzt was (falsch) gekauft hat oder über hat, muss man den Kram nicht zwangsweise auch nutzen :)

    Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.

    Das ist keine Frage und auch die Option, dass du jemanden für ein zwei Stunden "professionell" mit einbeziehst steht dir/der Firma jederzeit offen (bspw. mal Support via Remote Hands o.ä.).

    Grüße


  • Alle drei Kisten stellen selber die Verbindung zum Internet her und haben in meine Richtung einen LAN-Port.

    Nö, machen Sie anscheinend nicht, denn:

    Bei KabelBW hab ich keinen Router , sondern ein CISCO-Modem und es gibt kein privates Netz zwischen dem Modem und PFSENSE. Eine feste IP wird per DHCP zugeteilt.

    Ok, ich meinte damit: es sein keine Zugangsdaten nötig, das Internet ist dann einfach da. Den Vorteil von dem privaten Netz hab ich verstanden, ist j auch kein Problem das so zu machen.

    Weil mein Chef stur ist wie Beton und ich nur die Option habe es so zu machen wie er es einsieht oder zu kündigen… also sei so gut und stresse mich nicht. Das du recht hast weiß ich, spielt aber für meinen Chef nicht die Rolle und der entscheidet, nicht ich!

    Was hat der Chef mit Beschaffung zu tun?

    Du kennst ihn nicht. Logik ist nicht so das was ihn auszeichnet. Alleine die IDEE, das die teure Karte NUTZLOS rum liegt wird ihn nicht schlafen lassen … aber ich tu mein bestes ihn über deine Argumente zu kriegen ... Da wir mit VLAN ja auch nur 3 Ports brauchen ist das mit den kleinen Kisten ja tatsächlich nicht schlecht.

    Also ich hoffe ich bekomme auch Unterstützung von euch wenn ich gezwungen bin eine weniger gute Lösung umzusetzen weil ich die bessere nicht genehmigt bekomme.

    Das ist keine Frage und auch die Option, dass du jemanden für ein zwei Stunden "professionell" mit einbeziehst steht dir/der Firma jederzeit offen (bspw. mal Support via Remote Hands o.ä.).

    Das ist gut! Danke und erst mal bis nächste Woche! ;)

    gruß


  • @JeGr:

    Geld "einsparen" war bislang schon immer ein Punkt, den Chefs gesehen haben. Und für eine der NICs bekomme ich schon 2 komplette APUs… Notfalls sogar noch im 19" 1HE Case wo beide drin verbaut sind :)

    Mhpf Hab noch mal nach den Superserver-Kisten geschaut… günstigstes Angebot 650 Euro pro Stück, aber ohne HDD/SSD und ohne RAM. Da bin ich dann leider nicht preislich niedriger als mit den "kisten", da ich einen NIC schon habe und eine SSD und was mir noch fehlt um dann zwei gleiche und vollständige Kisten zu bauen liegt preislich bei knapp 1200,- etwa ...

    Vorteil wäre natürlich der geringe Verbrauch (10W maximal) und 19" ... aber dafür wäre die Leistung besser weil die CPU mehr dampf hat als ein Atom...

    Die APU sind von der Leistung noch deutlich drunter, dafür aber zwei in einer Kiste und für unter 500 Euro zu haben.

    puh!

  • LAYER 8 Moderator

    Die APU sind von der Leistung noch deutlich drunter, dafür aber zwei in einer Kiste und für unter 500 Euro zu haben.

    Richtig, aber die Frage ist was du machst. Und da du keinen Linespeed >100MBit/s hast, sind die APUs eigentlich komplett ausreichend. Da du zudem kein VPN hast, was 100MBit/1GBit/s wuppen muss, ebenfalls vollkommen genügend. Selbst für die zwei drei einzelnen Roadwarrior zum VPN sind die mehr als ausreichend (man korrigiere mich gerne, aber selbst die ALIX hatte da noch genug Saft zu).

    Die kleinen Rangeleys liegen Stückpreis bei rund 400-420 Brutto und reichen von der Performance auch absolut aus (MEHR als das). Und mit denen solltest du trotzdem noch günstiger sein als dein Eigenbau.

    Grüße


  • Servus,
    gestattet mir ein paar Kommentare aus fast 10 Jahren pfS-Erfahrung:

    1. Möglichst immer weitverbreitete Standardhardware.
    2. Keinen abgefahrenen Scheiß basteln und wenns auf Anhieb nicht läuft, nicht rumfummeln und in Betrieb setzen!
    3. Verzichte auf USB-Sticks und investiere 30 Euro in eine kleine SSD oder nimm ne normale HDD. Die laufen bei mir seit Jahren stresslos.
    4. Laborkiste breithalten und testen, ob sich die Konfig der Quellmaschine im Labor wiederherstellen lässt. NICs auf passenden Treibernamen umbennen ist das A und O.
    5. Alle Shells aktivieren! SSH, Web, seriell und VGA muss einfach an sein, sonst bist Du der Fisch, wenn was streikt.

    Wenn bei einem meiner Kunden eine pfS hardwaretechnisch ausfällt, geh ich daheim in den Keller und hole meinen umgebauten Xeon mit Dual-Broadcom-Gigabit raus. Treibernamen in der Config anpassen und restoren. Innerhalb von längstens 20 Min ist wieder Internet da. Und wenn drei sterben, stell ich drei Desktopkisten hin. Notbetrieb muss immer laufen, eine Garantiefallabwicklung kann zig Wochen dauern.

    Ansonsten bin ich jetzt gespannt, hab noch drei pfS vor dem Update auf 2.2 stehen. Davon zwei mit VLAN und eine mit Squid. Ich hab etwas Bauchweh, die neu unter 2.2 installierten Maschinen laufen super.

    Grüße


  • So, das ist erst mal geklärt. ich hab die zwei APUs genommen und hier ist eigentlich alles gesagt. Für die Einrichtung mache ich ein neues Thema.

    Danke bis hier her schon mal!!!!

    gruß