[erledigt]pfsense 2.2 und viele Probleme

bitboy0

Wie gesagt .. Luft ablassen schon, aber nicht im Sinne von sinnlosem Meckern!

Das ZIEL ist es, es jetzt besser zu machen!

ich bin kein "Admin", sondern habe hier in der Firma viele Aufgaben. Die Firma ist nicht so groß und ich bin "Die Technik". Das bedeutet, es wird von mir vieles aus sehr verschiedenen bereichen erwartet und ich kann auch vieles, aber ich kann mich nicht mit jemandem vergleichen, der NUR Admin ist und entsprechend spezialisiert ist. Das bedeutet: Ich bin als Admin eher nicht gut ausgebildet.

Es gibt keine Möglichkeit das Problem durch einen dedizierten Admin zu lösen und mein Chef will auch keine Service-Verträge mit den ganzen Firmen abschließen. Also muss ich das irgendwie selber in den Griff bekommen. Externe kommen hin und wieder zum Einsatz, wenn ich mir die grundsätzliche Einrichtung nicht zutraue oder ich es einfach nicht mit den anderen Aufgaben vereinbaren kann, zeitlich.

Also wird z.B. ein SBS2008 hier installiert, mir erklärt wie ich da die grundsätzlichen Aufgaben erledigen kann und dann ist das mein Problem. Für die HARDWARE gibt es in dem Fall einen Vertrag, also wenn der SBS2008 ausfällt wird uns innerhalb von 8h ein Ersatz hingestellt und das Backup - was wir hier auf LTO machen - wird wieder eingespielt. Die alltäglichen Sachen sind meine Aufgabe… also neue User anlegen, Rechte zuteilen oder ändern und den Leuten ihr Postfach einrichten. Rechner installieren, in die Domäne packen usw.

Genau so ist es mit dem Router. Eine Fritzbox kann ich ;) aber die kann eben nicht alles was wir brauchen. Also habe ich einer Empfehlung folgend einen Externen beauftragt uns da was anzubieten. Der hat das gemacht und es lief. Der hat mir erklärt wie ich damit grundsätzlich umgehen kann und dann ist er gegangen.

An dieser Situation wird sich eher nichts ändern, also nützt es leider auch nichts darüber zu schimpfen... ich muss damit klar kommen und lernen was ich brauche um besser damit klar zu kommen.
Also der Router wurde offensichtlich NICHT optimal aufgebaut und nicht betreut. Das weiß ich jetzt und jetzt suche ich einen Weg es besser zu machen.

Ich hoffe ich bekomme hier Hilfe zur Selbsthilfe...

Liebr "JeGr" ... du hast mit vielen Fragen sicher recht, da kann ich nichts gegen sagen. Jetzt will ich aber keine zeit mehr damit vertrödeln über diese Fehler zu jammern, sondern nehme gerne deine Anregungen auf um es besser zu machen.

Ein paar Punkte aber beantworte ich noch, weil du gezielt danach gefragt hast:

Also dann stand auf dem Bildschirm nur noch: (...)

Tja ... also nach 10 Minuten hab ich das langweilig gefunden. F1 brachte nur, das der "|" sofort erschien... ohne F1 hat er ein paar Sekunden gebraucht um den hin zu schreiben. Danach bewegte sich NICHTS mehr. normal dreht sich der Strich ja dann " | / \ " und es erfolgen die verschiedenen Meldungen, die eben beim hochfahren erfolgen. Da hat sich aber eben nichts mehr gedreht, es gab keine Meldungen.

Zu den Problemen mit der Hardware .. nun, keine Frage! Das war wohl nix und der Umbau hat sicher zusätzlich Ärger gemacht. ich würde jetzt gerne wissen wie in deinen Augen so eine Kiste aussehen sollte. Dann mach ich das so und zwar mit ZWEI gleichen Kisten!

Ich habe nicht versucht eine 2.1.5 XML unter 2.2 einzulesen oder umgekehrt ... es ging nicht... und sollte gehen wenn die Hardware vernünftig ist... also Schwam drüber... wenn ich das jetzt richtig aufbaue sollte es in Zukunft gehen!

Transfernetze? Carb-Cluster? Da hab ich bisher nichts gehört davon...  CARB ist - so hab ich das jetzt verstanden - dafür geeignet zwei Router parallel zu betreiben und beim Ausfall einer Kiste nahtlos umzuschalten ... ja, das möchte ich! Den "Experten" frage ich aber lieber nicht mehr ... ich denke, wenn ich das jetzt selber lerne, ist das besser ;) Gibt es dazu eine Anleitung?

Zu deinem Hardware-Vorschlag ... gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten? Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

Die SSD ist eine EVO 840 120GB ...

Das Ding muss einer Hand voll Leuten externen Zugriff über VPN bieten. Allerdings sind selten mehr als 2 oder drei User extern Aktiv. active-Sync/IMAP/FTP geht ohne VPN. In Zukunft sollen zwei externe einen eigenen Router bekommen (Netz zu Netz VPN) und darüber mit unserer Telefonanalge arbeiten können. Die hat eine VoIP-Karte drin und das hat früher mit zwei SonicWall auch schon mal funktioniert.

Wir haben folgende Leitungen:

• Kabel (150/10 feste IP)
• DSL (6/1 feste IP)
• UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM ... also normal ist das NICHT aktiv!)

Wenn das Kabel ausfällt soll er DSL benutzen, sonst soll DSL nicht genutzt werden... also wirklich nur als Notlösung. Kabel und DSL haben feste IPs.

Ja, "doc.pfsense.org" war das ...

Ich denke, am Ende muss ich im Notfall eh alles machen, also jetzt gehts ja wieder und dann brenne ich das eben noch in mein Hirn, was ich brauche. Hält jung, oder? ;)

gruß

PS: Anleitungen auf Englisch gehen natürlich auch... auch wenn ich es gerne Deutsch mag

bax2000

Hallo nochmal, Bitboy!

Oh wie ich Dich verstehen kann…...ich bin hier auch "Die Technik" und kenne all Deine Probleme.

Ein ernstgemeinter Tip von mir: Dokumentiere dir wirklich Alles! Und such dir unbedingt noch eine Person der Du zumindest grundlegende Dinge vermitteln kannst.

Du wirst sonst nie einen ruhigen Urlaub haben - glaub mir - ich weiß leider sehr genau wovon ich hier spreche ;)

bitboy0

Ich bin seit 17 Jahren hier und kenne das problem mit dem urlaub sehr gut  ::)

Ich habe vor zwei Jahren angefangen hier den Wildwuchs i nden griff zu bekommen und das ist anstrengend. Das führt aber eben auch zu neuen Problemen! Das unser Router jetzt ein sehr wichtiger Teil des Ganzen ist, und das er eben nicht schnell mal eben von irgendjemandem ersetzt werden kann ist mir wohl inzwischen aufgefallen. Aber da gibt es noch mehr so Sachen… also ich muss da dran bleiben.

JETZT erst mal den Router richtig machen... dann das nächste Thema!

Schon mal Danke auf jeden Fall für jeden konstruktiven und hilfreichen Ratschlag, der zu unserem Chaos hier passt! ;)

Auric

@bitboy0:

Zu deinem Hardware-Vorschlag … gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten? Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

Ist nicht die Hardware die Jens beschrieben hat, ist IMHO eine ausreichen starke Hardware

http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-19-Komplettsystem-mit-2x-APU1D4-1GHZ-Dual-Core-4GB-R::3261.html

ich bin hier übrigens auch "die Technik" (oder besser "Arschfüralles") und laufe halt als einäugiger unter den Blinden hier herum.  ::)

Gruss Auric

bitboy0

Ja, allerdings brauche ich ja 4 Netwerkanschlüsse … 3 * WAN und einmal LAN ...

Aber ich schau mal selber noch was es da so gibt draußen, in der weiten Welt ;)

gruß

JeGr

@Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

@Bitboy:

Ich hatte eine ähnliche Diskussion schon mit Rudi bzgl. Einsatzes von Spezialisten und finde es schade, wenn sich Chefs heute tatsächlich noch die Meinung gönnen können, dass jemand, der neben anderen Arbeiten noch genug am Hals hat, dann auch noch Super-Admin, Super-Netzwerker und sonstwas sein soll. Das kann niemand leisten, der den Job nicht Vollzeit macht, sondern das nur "mit" betreuen muss. Und das sollte auch jedem Chef einleuchten. Dazu kommt, dass gerade Netzwerk und System Techniken so schnell kommen und gehen, dass man sich damit beschäftigen muss. Das kann man aber nur wenn man die Zeit hat. Das kannst du allein gar nicht leisten. Deshalb ist es auch schade, dass dann einfach erwartet wird, dass sich jemand durch so einen Dschungel einfach durchwurschtelt, anstatt man sich mit einem Systemhaus o.ä. unterhält und sich supporten lässt. Dann können die bspw. Hardware, Netzwerk, Software etc. aus einer Hand liefern und auch Support wenns brennt. Da das aber scheinbar nicht geht (SEUFZ) wird es auf deinem Rücken ausgetragen. Sehr sehr schade. Gerade in solchen Konstellationen kann IT oder Operations as a service durchaus Sinn machen.

Tja … also nach 10 Minuten hab ich das langweilig gefunden. F1 brachte nur, das der "|" sofort erschien... ohne F1 hat er ein paar Sekunden gebraucht um den hin zu schreiben.
Danach bewegte sich NICHTS mehr. normal dreht sich der Strich ja dann " | / \ " und es erfolgen die verschiedenen Meldungen, die eben beim hochfahren erfolgen.
Da hat sich aber eben nichts mehr gedreht, es gab keine Meldungen.

Autsch, spricht für Partitions/Bootmanager Versagen.

Ich habe nicht versucht eine 2.1.5 XML unter 2.2 einzulesen oder umgekehrt ... es ging nicht... und sollte gehen wenn die Hardware vernünftig ist... also Schwam drüber... wenn ich das jetzt richtig aufbaue sollte es in Zukunft gehen!

Das sollte es in der Tat, auch wenn es immer mal Probleme geben mag, mir ist ein Restore Fail bislang nur sehr selten begegnet.

Transfernetze? Carb-Cluster? Da hab ich bisher nichts gehört davon...  CARB ist - so hab ich das jetzt verstanden - dafür geeignet zwei Router parallel zu betreiben und beim Ausfall einer Kiste nahtlos umzuschalten
... ja, das möchte ich! Den "Experten" frage ich aber lieber nicht mehr ... ich denke, wenn ich das jetzt selber lerne, ist das besser ;) Gibt es dazu eine Anleitung?

CARP - Common Address Redundancy Protocol - nicht CARB ;) Low Carb musst du bei deinen neuen Kisten nicht fahren - die dürfen schon Bumms haben :)

Zu deinem Hardware-Vorschlag ... gibt es solche Kisten fertig zu kaufen? oder gibt es Teilelisten für solche Kisten?
Dann mach ich das. Auf basteln im negativen Sinne hab ich echt keine Lust mehr ... also wenn es da was vernünftiges gibt, für nicht zu dickes Geld, dann mach ich das gern!

Ja gibt es, allerdings ohne Speichermedium. Sprich SSD o.ä. muss man noch obendrauf packen. APUs wären eine Idee gewesen, aber das würde - wegen der Anzahl an Schnittstellen (3) - ausarten, da man dann davor noch nen VLAN fähigen Switch klemmen müsste um mit einem Interface statt dreien klar zu kommen.
Die Rangeley Atom Kisten dürften für dich mehr als genug Power haben und kommen mit 4 oder 6 NICs. Allerdings sind die dann auch etwas teurer. Da liegt einer auch schonmal so bei ~400-450 Euro. Dafür aber ne Kiste ähnlich wie ein Switch, kein Hardware geamsel oder bewegliche Teile etc. Also ein Router / eine Firewall, wie man sie quasi auch von anderen "Größen" erwartet. Kein umgebauter/selbstgebauter PC.

Die SSD ist eine EVO 840 120GB ...

Hmpf. Solide Desktop SSD, aber sofern du keine Zusatzpakete à la Squid, Snort, etc. einsetzt, überdimensioniert.

Das Ding muss einer Hand voll Leuten externen Zugriff über VPN bieten. Allerdings sind selten mehr als 2 oder drei User extern Aktiv. active-Sync/IMAP/FTP geht ohne VPN.

Dafür ist alles von der APU aufwärts genug, was Power angeht.

In Zukunft sollen zwei externe einen eigenen Router bekommen (Netz zu Netz VPN) und darüber mit unserer Telefonanlage arbeiten können. Die hat eine VoIP-Karte drin und das hat früher mit zwei SonicWall auch schon mal funktioniert.

also jeder von den Nasen bekommt nen Router und ihr baut nen Tunnel auf (LAN2LAN Kopplung). Geht via OpenVPN oder IPSEC. Kein größeres Problem.

Wir haben folgende Leitungen:

• Kabel (150/10 feste IP)
• DSL (6/1 feste IP)
• UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM ... also normal ist das NICHT aktiv!)
  Wenn das Kabel ausfällt soll er DSL benutzen, sonst soll DSL nicht genutzt werden... also wirklich nur als Notlösung. Kabel und DSL haben feste IPs.

Bis auf UMTS recht einfach zu konfigurieren, UMTS wäre aber machbar.

Ich denke, am Ende muss ich im Notfall eh alles machen, also jetzt gehts ja wieder und dann brenne ich das eben noch in mein Hirn, was ich brauche. Hält jung, oder? ;)

Jein, es geht weniger ums Einbrennen, sondern um das komplette Setup: Also Infrastruktur analysieren, evaluieren und dann einen ordentlichen Plan machen mit

• wie baue ich die Infrastruktur (Netzplan, IP Netze, Masken, Kommunikationsbeziehungen)
• was brauche ich an Geräten (Firewalls, Switche vllt noch.,)
• wie sind die Voraussetzungen und wie kann ich das implementieren
• etc etc.

DAS ist der Job, den normalerweise jemand macht, der sich mit sowas auskennt. Sich das anschauen, planen, beschreiben, durchtesten und dann zusammen mit dir implementieren und ausführen. Dass du es später betreuen musst und das dann auch wissen musst (Stichwort Doku) ist ja klar. Aber du kannst dir schlecht jetzt mal eben ein paar Jahre Netzwerk Layout, Technik, Routing etc. ins Hirn brennen damit du das alles ordentlich aufsetzen kannst :) Das war auch der Punkt den ich mit Spezialist/Externem etc. meinte. Wenn schon keine Betreuung durch Hilfe von außen, dann wenigstens die Planung etc. richtig machen lassen. Und sowas erkennt man meist daran, dass jemand erstmal detailliert wissen will, was im LAN so los ist, was es an WANs gibt, wie die Verkabelung aussieht, wie die Verkehrswege aussehen etc. etc. und nicht ne Blackbox hinflanscht ;) Und macht ers richtig gut, gibts nen NetzPlan o.ä. dazu (zumindest den Teil den er umsetzt).

Gruß
Jens

GruensFroeschli

Wir haben folgende Leitungen:

• Kabel (150/10 feste IP)
• DSL (6/1 feste IP)
• UMTS (nur wenn wirklich alles tot sein sollte und dann auch nur eine eplus-SIM … also normal ist das NICHT aktiv!)

@bitboy0:

Ja, allerdings brauche ich ja 4 Netwerkanschlüsse … 3 * WAN und einmal LAN ...

Aber ich schau mal selber noch was es da so gibt draußen, in der weiten Welt ;)

gruß

Zwei kleine VLAN fähige Switches sollten da Abhilfe verschaffen können.
Wir setzen bei uns relativ viele von denen ein: http://support.netgear.com/product/GS108Ev3

JeGr

@Gruens
Ja, VLANs wären ein Weg, allerdings ist das auch wieder Komplexität und für jemand, der damit noch nie gearbeitet hat nochmal eine Schicht mehr, mit der man im Fehlerfall klar kommen muss :)

Just saying ;)

Auric

@JeGr:

@Auric: Ich hatte an eine APU gedacht, kommt aber nicht in Frage (m.M.n.), da wir hier von mind. 3 WAN Quellen ausgehen (Cable, DSL, LTE) und mind. einem LAN (wenn wir den SBS nicht noch in eine DMZ packen wollen). Somit gehen der APU schlicht die Ports aus.

Grundsätzlich stimmt das natürlich, ich könnte mir aber vorstellen das man gerade diese "langsamen" Datenkanäle problemlos über drei VLANs "getrunked" an einen Port der APU hängen könnte. (nur so eine Idee)  ???

uups da hab ich wohl zu spät..

Auric

zu doof für die forensoftware.. sorry

bitboy0

Ja, also VLAN hört sich natürlich schon gut an … aber wie schon angemerkt wurde: Es wird dadurch noch komplexer und wenn ich mal im Urlaub bin kommt der einzige Kolle, der auch noch etwas Technik kann , damit dann spätestens nicht mehr klar... auch für mich würde es das nicht extrem einfach machen.

Also ich tendiere zu zwei "normalen" PC's:

• micro-ATX-Boards mit onboard VGA (MSI A78M-E35)
• AMD-CPU FM2+ A4-4000
• RAM 4GB (reicht das?)
• INTEL NIC (4fach)  EXPI9404PTLBLK PRO1000PT
• SAMSUNG EVO SSD (840/850) mit 120GB

Einen davon habe ich ja hier schon. Der läuft nach dem Theater jetzt ohne Mucken und dann spare ich mir lieber das mit den VLAN.

Wenn ich zwei davon habe brauche ich ja aber noch irgendwie etwas Zubehör, oder?

• Wie verteile ich einen WAN auf Zwei Router?
• Wie richte verbinde ich das LAN ein, damit der Ausgang beider Router da wieder zusammengeführt wird?
• Wie verbinde ich die Router, damit es einen CARB-Cluster gibt.

Also unser aktuelles Netz:

• Es gibt einen Root-Server bei einem Hoster. Dort liegt das WWW und die email-Postfächer.
• Lokal haben wir drei WAN-Möglichkeiten, wobei nur das KABEL wirklich ausreichend schnell ist. DSL kommt hier nur maximal mit 6000/500 an und reicht dann nur knapp. UMTS ist schneller als DSL, aber der Traffic ist zu hoch um damit länger als ein paar Tage zu überbrücken.
• Es gibt einen Windows-Server und eine Telefonanlage mit VoIP-Karte
• Zur Zeit sind lokal hier 8 PC's am Netz
• Es gibt 10 Smartphones, die über Active-Sync ihre Daten bekommen
• 4 Mitarbeiter sind endweder hier im Büro, ODER zuhause per VPN am arbeiten
• einige externe rufen unregelmäßig Mails über IMAP ab

Zur Zeit ist email einrichten umständlich:

• email beim Hoster einrichten
• Postfach/User im Windows Server einrichten
• Pop3-Connector für den Abruf der Mails über POP einrichten (MapiLab)
  Die User rufen dann die Mails bei uns hier ab.

Das machen wir, damit alle mails über den Virenscanner gehen und die Mails auch in der Datensicherung landen.

Ziel wäre es die Mails nur noch direkt über den Windows-Server einzurichten und den MX direkt hier her zu leiten. Dann ist nur noch das Postfach/user hier anzulegen und der Rest erledigt sich.
Aber dann wird es natürlich noch wichtige eine zuverlässige Lösung zu haben.

gruß

Auric

ich hatte auch Respekt von der VLAN Geschichte bis ich es dann tatsächlich mal gemacht hab. Bei dem Cisco war es nicht supereasy aber machbar, mit dem Billigswitch wie einem TP-Link T-SG105E war das wirklich supereinfach, grob umrissen

Der Port an dem du die pfSense Box hängst ist der Trunk Port, also da laufen alle VLANs drüber und die Daten behalten die Tags und die anderen Ports kannst du anhängen was du willst an Internetquellen du musst nur jedem Port über die PVID Funktion im Switch eine eigene VLAN Nummer verpassen, und dafür sorgen das die Daten die den Port verlassen die Tags wieder vom Switch entfernt bekommen.

Und mit den VLAN Nummern kannst du an der pfSense Box supereinfach in Interfaces: Vlan an das reelle Interface (Port) der pfSense Box all die VLANs einrichten die du benötigst.

Wenn du jetzt Schiss hast dass die Urlaubsvertretung in dem Fall das der Switch verreckt (nicht seeeehr wahrscheinlich) aufgeschmissen ist…

dann hol einfach für 23€ den Switch noch einmal, richte ihn identisch ein (10 Sekunden weil du ein Backup der Settings einspielen kannst)  und beschrifte die 4 LAN kabel und die beiden Switche gleich. Wenn jetzt der Switch verreckt muss der Hausmeister nur den neuen an den Strom anhängen und die 4 LAN Kabel an den gleichen Port wie beim defekten Switch am neuen Switch einstecken (farblich gestaltet schafft das ein Analphabet)

Gruss Auric

bitboy0

Ok …

Also das kann man ja überlegen ... siehe unten...

erst mal muss aber jetzt neue Hardware her, 2 identische Geräte und die sollen später redundant arbeiten.
Es wäre toll wenn wir erst mal diesen Punkt angehen und ich dann bestellen kann.

Diese Intel-NICs sind nicht billig, aber sind wohl für den Zweck gut und zuverlässig.
Ich hab mir das jetzt noch mal angeschaut und tendiere zu mini-itx mit Intel Core3

Das wäre klein, flexibel und preislich für den Chef ok. Dazu brauche ich dann noch switche?
ich hab drei WAN und ein LAN und eigentlich brauche ich dann noch einen dedizierten Port für CARB, oder?

Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense...

aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?
Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

gruß

stack

Schau dir mal von Supermicro die Atom-Boards an.

ZB. http://www.supermicro.com/products/motherboard/Atom/X10/A1SAi-2750F.cfm.

Alles incl. 4 * 1GB Nics und IPMI. Gerade IPMI ist recht praktisch.

Auric

@bitboy0:

Also wenn ich die drei WAN über VLAN auf einen Port zusammenfasse brauche ich erst mal einen switch der VLAN kann.
Da schließe ich dann die drei WAN an, konfiguriere die Ports jeweils in ein eigenes VLAN und dann hab ich EIN Kabel von dem Switch zum pfsense…

aber wie bekommt der zweite pfsense dieses Signal? Auch von dem switch?

Um die VLAN Geschichte zu machen brauchst du einen managebaren Switch der VLAN kann, der 23€ TP-Link Switch (und viele viele andere) können das.

Um auf dem letzten freien Port des Switch die gleichen Daten raus zu lassen muss der nur mit den identischen Einstellungen versehen die auch der Port hat der an die erste pfSense box hat, wie die Daten rein kommen entscheidet die Box an dem anderen Ende des Netzwerkkabels

Wenn du sowieso einen fetten VLAN fähigen Switch im Rack hast und noch 5 freie Ports, kann der das natürlich auch übernehmen.

hast du einen redundanten Switch?? die wenigsten haben den, wenn der aber abkackt, geht im Netzwerk absolut nix mehr.

@bitboy0:

Und wie fasse ich das LAN (also das interne Netz) der beiden Router zusammen, so das es dann an unseren normalen Switch gehen kann?

Das CARB-zeug braucht einen eigenen Port und einen eigenen kleinen Switch, oder? Da verteile ich von Hand ein paar Adressen aus einem privaten Netwerk und die beiden Kisten schicken sich dann über den Weg Daten zu und handeln aus wer das Sagen hat, oder?

Zu dem CARP Kram kann ich nix sagen hab ich mich noch nie mit beschäftigt, hat aber mit den kleinen 5 Port Switch und der VLAN Geschichte nichts zu tun

Gruss Auric

JeGr

@Auric: VLAN Switch hat schon was mit CARP zu tun, weil dann jeder CARP node einen entsprechenden VLAN Trunk braucht, aber siehe unten.

@stack: Dann würde ich aber die Supermicro komplett-Appliance nutzen, bevor ich anfange den Kram selbst zusammenzufrickeln. Deshalb bin ich dagenen, das wie einen PC zu behandeln, es ist schlichtweg keiner. Das Einsatzgebiet ist m.E. kritischer als irgendeine selber-bastel-Lösung - es sei denn ich machs gleich für Große und kauf nen Server mit Wartungsvertrag :)
-> http://www.supermicro.com/products/system/1U/5018/SYS-5018A-TN4.cfm
-> http://www.supermicro.com/products/system/1U/5018/SYS-5018A-FTN4.cfm
Dann sind wir wieder bei einem "embedded Device" oder eben dedizierter Hardware für den Job. Zudem sind das Boards mit dem Atom 2750/2758 - finde ich fast überdimensioniert, denn einen 8-Kerner braucht er glaube ich nicht. Aber siehe folgender Absatz (und meine Empfehlung des 2-Kerners):

@bitboy:

Bezüglich der Hardware die du zuerst abhandeln willst:

Wie billig oder teuer sind denn deine MiniITX Kisten, dass du lieber "PCs" verbauen willst, statt kleineren Kisten die weniger Aufriß machen und dazu wesentlich weniger bewegliche Teile die Kaputt gehen könnten? Was ist bei einem Ausfall der Kisten? Bekommt man das SOHO-Zeug, dass da verbaut ist dann wieder oder ist das schon veraltet und man hat doch wieder zwei unterschiedliche Kisten? Wäre mir im Firmenumfeld zu unsicher und würde ich nicht empfehlen. Wenn du das weiter verfolgen möchtest, nichts dagegen, ich rate aber definitiv davon ab. Dann entweder Server Kram kaufen, der auch entsprechend länger lieferbar ist (oder besser gleich mit Service Vertrag wie dein Server) oder eben fertige Kisten wie eben bspw. http://www.landitec.com/Network-Appliance-Hardware/Desktop-Appliance/FW-7525::111.html

Für das was du da betreibst finde ich die Hardware unnötig/ungünstig. Da würde ich lieber auf sowas setzen.

Und was die Software angeht sehe ich da viel Unklarheiten von der Funktionsweise und vom Aufbau. Da würde ich mir schon überlegen jemand zu fragen, der sich damit auskennt, und nicht trial und error mit dem Forum zu machen bis alles halbwegs läuft. Aber auch das sei natürlich dir überlassen.

Ich würde es momentan so umreißen:

• Mit VLAN:

• VLAN Switch kaufen, 2x identische Hardware beschaffen (Wartung beachten)
• VLAN Switch mit mind. 8 Ports
• Router/Gateways der WANs für Routerbetrieb umrüsten, IP-Ranges für Uplinks definieren (192.168.101.x, .102.x, .103.x bspw.)
• VLAN Trunk auf 2 Ports konfigurieren und beide Firewalls dran anschließen.
• 2x pfSense aufsetzen, GRUNDkonfigurieren
• Firewall Verkabelung: 1x WAN-Trunk, 1x CARP Sync (Crossover zwischen den FWs), 1x LAN nach innen
• CARP Setup und Synchronisation einrichten
• WAN Loadbalancing konfigurieren (Prio auf Cable, dann DSL, dann LTE)
• Interfaces korrekt konfigurieren / optimieren
• Aliase, NAT und Regeln konfigurieren. Ggf. Zusatzdienste.

Das wären so die groben Punkte, wenn man das neue Konstrukt als CARP Setup mit 3 WAN und einem LAN aufzieht.

Grüße

bitboy0

Ne, der Switch ist nicht managbar.

Für das VLAN Zeug brauche ich halt einen, kein Ding.

Aber ich weiß immer noch nicht wie ich von EINEM WAN (z.B. Kabel-internet) auf ZWEI Router komme. Denn wenn die Redundant arbeiten sollen müssen ja beide das Netzwerk auch haben!
Und wenn ZWEI Router das Signal haben und nur EINER grade zuständig ist, wie kommen die LAN-Netzwerke der beiden Kisten wieder zusammen auf EIN Netz an dem die Rechner hängen?

Also da brauche ich noch hilfe!

So ein Board mit IPMI brauche ich eher nicht. Die Sachen stehen 5 Meter hinter mir und da brauche ich keine Fernkonfiguration oder so.

Der Chef will keine Wartungsverträge … also gibts die nicht. Nur für den Server haben wir so eine Garantie/Ersatz innerhalb eines Arbeitstages, aber OHNE Konfiguration. Das würde im Fall des Falles nach Stunden abgerechnet.

Heute muss ich leider jetzt erst mal andere Sachen machen... morgen lese ich mir das alles mal in Ruhe durch und versuche zu verstehen was ihr geschrieben habt. Dann melde ich mich noch mal

JeGr

@bitboy: liest du eigentlich auch was ich schreibe? ;)

JA du brauchst dringend Hilfe und solltest dir, wenn du das alles schon selbst machen willst, dringend mal die Doku zu CARP durchlesen, damit du verstehst wie das funktioniert. Dann erübrigen sich die Fragen nach "wie können 2 Maschinen über ein WAN raus". Kurzantwort: es geht (warum auch nicht), sinnvollerweise sollten dann eben DSL und Cabel nicht wie Modem, sondern via Router bereits die Verbindung aufgebaut haben bzw. aufbauen und geben das dann an die beiden pfSensen via Transfernetz rein.

So ein Board mit IPMI brauche ich eher nicht. Die Sachen stehen 5 Meter hinter mir und da brauche ich keine Fernkonfiguration oder so.

Es geht nicht nur um IPMI, das ist bei Supermicro eben freundlich gleich dabei. Es geht darum, dass die Kisten genau dafür gebaut worden sind und weniger Teile haben, die ausfallen können als bei einem StiNo PC

Der Chef will keine Wartungsverträge … also gibts die nicht.

Dein Chef will auch keinen Ausfall des Internets (oder?) - also gibts den nicht? Das war bisher scheinbar auch schon "egal". Aber für den (dann nutzlosen) SBS bezahlt er Wartung der Hardware ... warum genau? Denn wenn Internet ja egal ist (und dann auch keine Mails mehr gehen etc. etc.) wozu dann ein Problem mit dem Server sehen?
Bemerkst du den Denkunterschied der da klar werden muss? Ein Server wie SBS wird als was wichtiges behandelt, Internet/Netzwerk aber solala als bisschen Kabelage. Dat muss halt wuppen und jut. Das Zeug ist aber genauso wichtig (wenn nicht wichtiger) als der Server, und sollte eben auch so im Kopf sein. Das ist nicht schön, das ist mitunter auch nicht einfach, aber manchmal muss man das halt mit dem Holzhammer den Leuten eintrichtern.
(Kleine Anekdote: Einfach mal dem Chef das WLAN ausmachen oder das Netzwerk ziehen und fragen, ob er das jetzt immer noch so unwichtig findet wenn er seinen Server nicht erreichen kann... - oder mal das Internet kappen. Wirkt manchmal Wunder in der Denkarbeit ;) )

Nur für den Server haben wir so eine Garantie/Ersatz innerhalb eines Arbeitstages, aber OHNE Konfiguration.

Eure Firewall(s) sind AUCH Server. Genau das muss in den Kopf. Nur weil die Kisten anders aussehen oder was anderes machen sind sie nicht weniger wichtig.

Das würde im Fall des Falles nach Stunden abgerechnet.

Wie das ein guter Externer/Systemhaus eben auch machen würde, klar. Aber die nutzlose "künstliche" Unterscheidung zwischen "Server" und "anderem Kleinscheiß" ist das, was bei euch wirklich problematisch ist.
Oder anders gefragt:

Beantworte mir bitte einmal ganz neutral betrachtet: Wie sieht es mit eurer Produktivität oder eurem Verdienstausfall aus, wenn Internet nicht geht? Und zwar komplett gar nicht. Superwichtig? Sehr wichtig? Nicht so wichtig? Egal?

Je nachdem was man darauf antwortet, kann man das Thema relaxt angehen oder nicht. Nach dem was du in deinem Eingangspost mit rotem Telefon, glühen und DRAMA erzählt hast, hätte ich auf "Sehr wichtig" oder höher getippt. Wenn dem so ist - gleiches Spiel mit dem Chef machen. Ganz neutral die Frage selbst beantworten lassen. Und dann mal im Kopf mit seinem Superduper-Server vergleichen lassen, was der an Wichtigkeit hat. In vielen Fällen (kann bei dir anders sein) kehrt sich die Wichtigkeit plötzlich um:

• Email / Dateiablage etc. kann ich notfalls auf einem Zweitsystem / Windows Client / Linux Server o.ä. schnell aufsetzen, damit Leute wieder an Daten kommen und die untereinander austauschen können. E-Mail kann man auch notfalls auf ein Linux System, eine VM oder sonstwas umbiegen, um einen Notbetrieb zu haben (oder man ruft in seinem Outlook schnell die Postfächer beim Provider direkt ab, anstatt Sie in seinen Exchange abzuholen).
• Ohne Internet? Keine Angebote rein/raus, kein Austausch mit anderen Firmen oder Dateiablage, kein Offsite Backup (ggf), kein Banking, etc. etc. -> lässt sich notfalls direkt an einem PC hinbasteln, ist aber dann nicht mal annähernd schön.

Daran sieht man dann plötzlich, ob eine Komponente wichtig ist oder nicht. Und ob man dafür 5x30€ hinlegt und jedes Mal Ausfälle hat, oder einmal eben 150 oder mehr, damit das ne ordentlich Sache ist und ggf. noch Service mit bei ist.
(Hint: bei vielen guten Router/Switch Herstellern bekommt man eine Basis Garantie schon mit, kann diese aber mit ein klein wenig Geld aufbohren und bekommt dann genau wie bei Servern auch 4-8h Reaktionszeit auf Hardwareschäden. Da müssen gar keine teuren monatlichen Verträge her.)

Aber das nur als Denkanstoß :)

Grüße

stack

@JeGr

Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
Aber du hast auf jeden Fall recht. Die würde ich dann auch lieber als Komplettsystem vorziehen.
Macht von Preis dann auch keinen großen Unterschied.

JeGr

Die SuperServer 5018A-FTN4 kannte ich noch nicht. SuperMicro hat einfach zu viel Zeug;)
Da hast du recht ;) Zumal die meist auch noch TN/FTN/BTN was weiß ich haben, nur um einmal Frontmount, Backmount, Sidemount oder sonstwo mit dem Kabel rein abzudecken - und dann versuch mal deine Favorisierte Version irgendwo zu finden ;)

Macht von Preis dann auch keinen großen Unterschied.
Absolut :)