Mehrere VPNs clients mit load balancer werwalten
-
Hallo zusammen,
ich bin gerade dabei die Möglichkeiten die einem Pfsense bietet zu begreifen, deshalb habe ich ein paar Fragen.
Ich habe einen Kabel 200Mbit Anschluss (mit Fritzbox 6490) und später kommt VDSL 50/100mbit dazu. bedient werden sollten ca. 25 clients im LAN/W-Lan.
Als Mainboard würde ich ein mini-ITX MB mit einem i3 3250 und 4GB Ram nehmen. Als Erweiterung kommt eine Intel Server 2Port Karte zum Einsatz. Ich habe noch nicht alles notwendige zusammen, deshalb habe ich erstmal Fragen, ohne mir pfsense genauer angesehen zu haben.
Ich fange wohl mit der einfachsten Frage an:
- Ich forwarde von meiner Fritzbox die gewünschten Ports auf die Wan IP von pfsense und forwarde von dort auf die clients weiter? Das Gast LAN wird erstmal auch von der Fritzbox verwaltet.
-das Telefon(e) mit 3 Rufnummern wird erstmal von der Fritzbox verwaltet, da ändere ich erstmal nichts, später könnte ich das hinter die pfsense setzen?
-ich sollte einen DHCP Server (LAN) aktivieren, damit die Clients erstmal problemlos dahinter die IP erhalten?
-ich könnte mehrere onenVPN Clients in pfsense anlegen und diese mit load balancing bündeln? geht das? Ich will den kompl. Traffic über VPN abwickeln.
- wie verhindere ich das der Provider mit dem Protokol Tr069 nicht hinter die pfsense schauen kann?
Reicht meine angedachte Hardware (Leistung) um dies bewältigen zu können oder sollte ein 4-Kerner lieber diese Aufgabe übernehmen? ich hoffe das dies bis ca. 600Mbit ausreichen würde? Eventuell kommt später noch ein VDSL 50/100Mbit zusätzlich dazu.
Kritik und Anregungen sind willkommen und vielen Dank für die Antworten.
gruß worldoak
-
Welchen Kabelanbieter hast du?
Ich würde empfehlen, die Fritzbox durch ein Kabelmodem auszutauschen, dadurch hast du nich die probleme mit dem doppelten NAT.
Wenn du die PFSense direkt am Kabelmodem anschließt hast du dann direkt den WAN Interface an der Pfsense. Bei Kabeldeutschland kann man auch noch tricksen, so dass du mehrere öffentliche IP's auf einen Anschluss bekommst ^-^.
Du kannst gerne versuchen die Fritzbox hinter der PFSense zu stellen, dass habe ich noch nicht getestet. Ich habe mich für eine eigene PBX entschieden.
Schwierig hierbei ist wenn du z.B. Kabeldeutschland als Anbieter hast, dass du an die Zugangsdaten für die Telefonie ran kommst. Kabeldeutschland hat in dem bereich leider keinen guten Support und auch kein interesse dir die Zugangsdaten auszuhändigen. Es ist aber möglich. Ich habe meine Zugangsdaten über viel arbeit und eine Menge umwege dann auslesen können.
DHCP ist soweit legitim.Was genau meinst du mit VPN-Clients bündeln oder ein loadbalancing?
PFSense bietet die als große VPN Lösung sowohl ein aktuelles OpenVPN als auch mit Strongswan ein sehr aktuelles IPSEC an.
Bei OpenVPN kannst du mehrere Clients anlegen und auch mehrere Sever erstellen.
Was die Hardware angeht würde ich Hardware mit Hardware encrytion empfehlen, wenn du alles verschlüsselt abwickeln möchtest.
600 Mbit für was? routing innerhalb deiner Netze? Da würde es sicher eher auf dein Switch ankommen.
-
Ich bin bei KabelBW. Leider musste ich mich entscheiden und in diesem Fall eben die Fritzbox, das TC7200 wollte ich auf gar keinem Fall haben.
Somit kann ich leider kein Modem nutzen, eventuell wird das ja mal was mit dem Router Zwang, aber bei der jetzigen Regierung ist das in den nächsten 2 Jahren wohl nicht zu erwarten.
Somit habe ich die Fritzbox 6490 und muss entsprechend das beste drauß machen.
Ich habe hier mal gelesen, dass pfsense mehrere gleichzeitige VPN Verbindungen aufbauen und halten kann. Somit kam mir die idee diese als Loadbalancing zu nutzen. Einzeln hat man max. 50-70Mbit aber bei 2-3 gleichzeitiger Verbindungen könnte man die 200mbit Bandbreite ausnutzen? Derzeit gehen die wichtigsten PCs mit openVPN entsprechend raus (USA etc.)
Natürlich brauche ich dann noch mindestens ein VPNserver um andere CLients außerhalb einbinden zu können.
AES-NI CPU kann ich ja jederzeit nachrüsten, das wird nicht das Problem sein. Erstmal habe ich den i3 3250 eingeplant da ich den noch über habe.
Bezüglich der Bandbreite ist natürlich WAN gemeint. Kabel wird immer schneller und in greifbarere nähe werden wohl 400mbit kommen + VDSL 50/100, da bin ich bei knapp 600mbit.
Im Lan befindet sich ein Cisco mit den man dann VLANs (IPCams etc.) umsetzen kann, das muss pfsense nicht unbedingt machen. Bandbreitenhunger besteht, weil hier mehrere Generationen gleichzeitig das Internet nutzen sollen, das wird dann später VLAN für VLAN umgesetzt so das die Privatsphäre bestehen bleibt.Mir geht es hier erstmal um die Machbarkeit meiner Ideen und Einkauf von Hardware.
Wie würde man es am besten in meiner Situation machen? möglichst alle Ports auf PFSense forwarden und dann dort jeweils routen oder nur die benötigen Ports auf die PFsense und dann diese weiterrouten?
-
Hm schade, dass KabelBW keine Modems anbieten, auf den Standard Verkaufsseiten werden die auch meist nicht angeboten, einfach mal beim Support nachfragen, vielleicht haben die fähige Mitarbeiter ^^
Wenn du an kein Kabelmodem kommst, müsste man ein source nat einrichten. Unter linux firewalls habe ich das schon mehrfach durchgeführt. Wie eine Fritzbox da zu konfigurieren gilt kann ich leider nicht sagen, da diese ja auch eine Hardwarefirewall besitzt, zumindest die 7490(laut meines Wissens). Ein reines "dummes" Modem wäre deutlich angenehmer zu konfigurieren und macht nicht so viele Probleme.
Was die PC Hardware angeht würde ich dir noch empfehlen zu gucken ob die Netzwerkkarten FreeBSD kompatibel sind.
Mit der Bandbreite sprichst du dann auf MultiPath TCP an oder?
Mehrere VPN Verbindungen gleichzeitig sind definitiv kein Problem.
Allerdings ist jedes VPN ja in einem eigenen Netzsegment aufgeteilt, was dann nur mit Multipath Routing gelöst werden könnte.Leider habe ich auch in dieser Richtung noch kein laufendes setup für Pfsense gesehen.
Ich kenne von der Pfsense hauptsächlich das Failover Szenario.
Es sollte auch möglich sein in einer Gatwaygruppe mit Gleichberechtigung ein loadbalancing deiner Gateway's zu konfigurieren.Now the Routers can be grouped in "System > Routing > Groups". Both Routers are added to a group called "WANGroup" and both as "Tier 1". This makes the both the same priority for fail over and balancing.
Wie du dass dann mit deinen VPNs umsetzt habe ich allerdings noch keine Idee.
-
Nein der support bei KabelBW ist leider absolut unfähig. Das haben schon viele probiert und sind gescheitert.
Ich habe eine Intel PRO/1000 PT, 2x 1000Base-T, somit wird es wie ich gesehen habe keine Probleme geben.
Ich habe mir vor 2h ein Mainboard (GIGABYTE GA-B75N) bestellt und ich denke für den Anfang werden auch 1x4GB Ram ausreichen?
Sollte es mir einer pfsense nicht gehen, könnte man mit Server 2008r mehrere pfsense virtualisieren und diese dann loadbalancen können? In der Theorie ja oder?
Das Thema mit mehreren VPN Clients und loadbalance ist erstmal nur theretisch und wäre fine aber nicht unbedingt notwendig, sofern man einen weg erkennen kann, wird das sicher später step by step irgendwie umgesetzt.
-
Als Hardware kann ich auch immer die Boards von PC-Engine empfehlen. Sowohl die APU als auch die ALIX Boards.
Bei der APU hast du mehr Leistung und Gigabit Interfaces, dafür hat die ALIX einen crypto chip.
Beides sehr gute embedded Geräte.
Falls es nicht auf der Hardware laufen sollte, dann würde ich persönlich eher ein Linux mit OpenvSwitch empfehlen.
Linux ist nicht so leistungshungrig und naja bin selber Linux admin, damit eher opensource fixiert ^^
Aber ja, Virtualisierung sollte funktionieren. Dann kannst du ja auch die CARP Funktionen von der PFSense testen.
-
Virtualisierung ist nur eine Option die mir eingefallen ist, sollte es mit einer pfsense nicht laufen.
Wieviel Power muss ich da einplanen reicht da noch die i3 3250 cpu?Ich erhalte das Mainboard im Laufe dieser Woche und werde dann wohl gleich starten können/wollen.
Könnte ich sobald alles läuft die laufende pfsense nachträglich clonen? bzw. die Einstellungen exportieren und später importieren?
-
Der CPU hat leider kein VT, wodurch zwar Virtualisierung funktioniert aber sehr langsam sein wird.
Was das Backup geht, kann ich pfsense nur in höchsten tönen loben.
Wenn du eine Backup Konfiguration wieder in ein neues System einspielst, dann wird alles genau so konfiguriert wie das System vorher war, inklusive der Pakete die nachinstalliert wurde. Wirklich ein traumhaftes Desaster Recovery
-
Wie gesagt die Virtualisierung ist nur ein Grundgedanke für spätere Spielereien. Sofern es läuft ist ein Wechsel der CPU kein Problem.
Das mit dem Backup klingt schon mal super. Sobald ich alles habe, werde ich mich nochmals melden um die eine oder andere Hürde nehmen zu können.
Vielen Dank und bis bald.
-
Viel Spaß und viel Erfolg ;) ;D
-
Also ich hatte gestern meinen Spaß mit dem System.
Das System habe ich zusammengebaut und pfsense instaliert.
Leider werden wohl die 2 Ports auf dem Mainboard (GIGABYTE GA-B75N) zwar erkannt und angezeigt, aber up setzen konnte ich keinen der beiden. Musste die beiden Intel Ports nehmen, die gingen problemlos.
So jetzt habe ich aber folgendes Problem: der WAN wird als Online angezeigt aber über LAN erhalte ich kein Internet. Wieso, fehlt noch etwas?
Werden die beiden Netzwerkschnitstellen auf dem Mainboard treibertechnisch nicht unterstützt?
Und muss ich etwas einrichten um über das WAN Internet beziehen zu können?
Da ich eine Fritzbox habe, muss ich die Ports dort weiterleiten um Pfsense vom internet aus erreichen zu können. Welche sind das und ist es ratsam? Ich möchte mich step by step vorarbeiten, und VPNs etc. erstmal außen vor lassen. Erst wenn pfsense ein paar Wochen ohne Probleme läuft kommt der nächste Step dran.
gruß worldoak
-
Update:
OK pfsense läuft so weit.
Ich nutze die beiden Ports der Intel Karte. -
Neues Problem:
bandwidthdIch habe das gleiche Problem wie bereits mehrere user gepostet haben. Bandwidthd sorgt dafür das das webgui nach einer Weile nicht mehr erreichbar ist.
Warscheinlich ist das auch das Problem weshalb ich pfsense nicht über Webgui restarten kann. Sofort nach dem anklicken vom reboot oder deinstalation von bandwidthd schließt sich das Webgui und ich kann es nicht mehr benutzen. Eine andere IP ist da nutzlos, einzig der Hardwarerestart hilft.
Das ist natürlich ein Bug der mich extrem nervt. Wie kann ich das Bandwidthd anderweitig deinstalieren ohne Webgui benutzen zu müßen?
-
kommst du noch per ssh drauf?
Wenn ja, dann kannst du im Welcome interface die 8) Shell benutzen um per "pkg remove bandwidthd" zu deinstallieren -
Jo mit SSH hat geklappt.
Danke für die Info.
-
Neues Problem: snort
Also ich bin mir nicht sicher ob es an snort liegt aber das ist wohl naheliegend. Gestern lief noch rdp, ssh und ftp ohne Probleme. Danach habe ich Snort nach Anleitung instaliert Einstellungen gesichert und bin ins Bett.
Jetzt von der Arbeit versuchte ich mich per rdp auf den Server einzuloggen. Der Start lief problemlos, ich wurde aufgefordert die Daten einzugeben. Nach Eingabe der Daten wurde die Leitung gekappt und alle Ports zur PFsense geblockt. Es wurden ssh, ftp, rdp usw. gekappt. Auch der Versuch von anderen IPs zeigte das die Ports dicht sind.
Ist das ein Fehler meinerseits, habe ich bei Snort etwas nicht verstanden? Order muss ich noch ne whitelist für Ports etc. erstellen? Eigentlich habe ich auf dem Server schon eine Software die genau das gleiche bei ausgewählten Ports wie Snort macht. Ist dann snort dann noch notwendig oder kann ich drauf verzichten?
Update:
Nach Neustart von pfsense ging der FTP, leider habe ich den Fehler gemacht das ich wieder versucht habe mit rdp auf den Server zu kommen. Und wieder das gleiche Muster, nach Eingabe der Anmeldedaten, sind sofort wieder alle Ports dicht.