Fb mit pfSense (welche Hardware)?



  • Hallo,

    ich habe aktuell eine Fritzbox 7490 als Router. Könnt Ihr bestimmte Hardware empfehlen, auf der ich pfSense installieren und Router/Firewall im Netzwerk nutzen kann?

    Meinen Recherchen zufolge muss ich die fb behalten, da sie ein integriertes Modem für meinen Internetanbieter (in diesem Fall ein IP-basierter Anschluss von der Telekom) hat. Oder gibt es alternative, offene Hardware, die ich mit pfSense ausrüsten könnte, die aber gleichzeitig auch die FB ablösen kann?

    Alle anderen Geräte im Haushalt sollen dann aber direkt über den Router mit pfSense laufen; Soweit möglich über LAN, wenn nötig (Chromecast o.Ä.) auch über Wifi. Ist das empfehlenswert oder habt Ihr andere Lösungen?

    Da ich mir zudem einen Homeserver auf linuxbasis einrichten wollte, hatte ich mit dem Gedanken gespielt, diesen mit einigen NICs auszustatten und pfSense darauf in einer VM laufen zu lassen; grundsätzlich soll der Homeserver sowieso 24/4 laufen, aber mir wurde von der Lösung eines Routers in der VM abgeraten.

    Anfangs möchte ich nur folgendes mit pfSense umsetzen:
    Selective DNS
    Verschiedene IP Ranges
    Bestimmten Geräten den Zugang zum Internet verweigern, aber sie sollen untereinander kommunizieren dürfen
    Zugang zum Netzwerk (LAN und Wifi auf Mac-Adressen der Geräte beschränken)
    VPN-Server

    Wenn ich mich dann ein bisschen mehr in die Materie eingefunden habe, fallen mir bestimmt noch weitere Dinge ein.

    Danke & beste Grüße



  • Hi benjsing,

    Da ich mir zudem einen Homeserver auf linuxbasis einrichten wollte, hatte ich mit dem Gedanken gespielt, diesen mit einigen NICs auszustatten und pfSense darauf in einer VM laufen zu lassen; grundsätzlich soll der Homeserver sowieso 24/4 laufen, aber mir wurde von der Lösung eines Routers in der VM abgeraten.

    Ein Server hat andere Aufgaben wie eine Firewall und ich würde Dir ebenfalls abraten, das zu kombinieren.
    Für die pfSense würde ich Dir ein ALIX empfehlen oder dessen Nachfolger APU, wenn es denn alles etwas flotter gehen soll.
    Kannst Du fertig kaufen oder auch etwas basteln und hier wäre die Anleitung..
    http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.html
    Gruß orcape



  • Vielen Dank für die Info.

    Das Bundle http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-ALIX-2D13-Embedded-Box-Bundle::1225.html sieht für mich ganz gut aus :)


  • Rebel Alliance Moderator

    Hallo Ben,

    ich würde von der ALIX abraten, wenn du zukunftssicher zu Hause arbeiten möchtest. Du hast uns zwar nicht gesagt wie groß deine jetzige Bandbreite ist, aber die ALIX ist eine alte/ältere x86 Generation und mit Streamgrößen von 20-30MBit/s ausgelastet. Wenn du dann noch mit VPN arbeiten möchtest, wird es schnell sehr eng. Auch mit RAM ist sie leider nicht sehr üppig bestückt.
    Die APU Generation kostet dich als Bundle nicht sehr viel mehr wenn du auf 2GB RAM verzichten kannst (statt der APU1D4 mit 4GB die APU1D mit 2GB) und ist in der Leistung aber gleich ein richtiger Schritt nach vorne. Selbst Kabelleitungen mit 100MBit und mehr sind dann kaum ein Hindernis.

    Für neue Anschaffungen würde ich deshalb keine ALIX mehr empfehlen, sondern direkt den Schritt zur APU machen.

    Grüße Jens



  • Moin,

    @benjsing:

    Meinen Recherchen zufolge muss ich die fb behalten, da sie ein integriertes Modem für meinen Internetanbieter (in diesem Fall ein IP-basierter Anschluss von der Telekom) hat. Oder gibt es alternative, offene Hardware, die ich mit pfSense ausrüsten könnte, die aber gleichzeitig auch die FB ablösen kann?

    Kann man machen, muss man aber nicht ;D
    Wie hast Du dir das Thema Telefonie vorgestellt? Hast Du IP Telefone?
    Ich habe hier eine ähnliche Situation mit Kabel Deutschland, die rücken die notwendigen Infos für Telefonie (noch) nicht raus, wobei es Wege gäbe. Aber ich habe die Box gemietet weil ich dann jederzeit KD auf die Füße treten kann wenn die Box am Ausgang kein Internetzugang bzw. Kein Freizeichen fürs Telefon bietet  :). Anders als mit die Box könnte ich meine 9 Rufnummern nicht vernünftig routen & nutzen. pfSense sitzt hinter der KD Box als exposed Host, somit quasi nackig im Netz und ich brauche mich nicht mit doppelten Portforwards rumschlagen. Ich habe bei der Fritte einfach alles was unnötig ist abgeschaltet, Dect, Wlan, somit sind die Verbrauchswerte ok. Natürlich gibt es noch DSL-Modem siehe http://www.draytek.de/vigor130.html aber bringt das wirklich noch einen spürbaren Vorteil außer das Du dir doppeltes NAT sparst?
    Mein Hauptgrund war ursprünglich nur TR-069, ich mag es nicht, wenn Irgendjemand meine Grenze zum WAN nach belieben manipulieren und Updates verschlafen kann, die mein Netz öffentlich machen können. Das inzwischen ein "wenig mehr daraus geworden muss ich zum Teil JeGr anlasten  8). Meine Zwerge habe eigene VLans, ihre Konsolen sind in eigene VLans gekapselt und haben keinen Zugriff aufs restliche Lan, TV und BlueRayPlayer sind gekapselt und dürfen die NAS als Quelle benutzen aber nicht nach Hause telefonieren, die Kinder haben zeitliche Grenzen für den Zugriff auf die NAS usw.

    Zur APU http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1D-Bundle-Board-Netzteil-Speicher-Gehaeuse::3112.html, ich denke das 2GB Ram locker reichen, meine 4GB Variante liegt unter 15% Auslastung trotz snort & squid aktiv.

    -teddy



  • Danke, Jens. Ich hatte mich im Eifer des Gefechts verklickt… Meinte eigentlich dieses Gerät hier http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1D4-Bundle-mit-Embedded-Box::3274.html (mit 2.4 Ghz WiFi Kit und 8GB industrial SD card (wobei ich letztere woanders vermutlich günstiger schießen kann)).

    @teddy
    Ich nutze momentan meine von der Telekom zur Verfügung gestellten Telefonnummern zu 0%. Wenn Telefonie, dann mobil. Wenn ich meine FB loswerden könnte und direkt mit dem APU ins Internet gehen könnte, würde ich das tun. Denn die 7490 nur für die Verbindung zu nutzen, wäre rausgeschmissenes Geld. Da könnte ich ggf. auch den günstigsten Telekom-Router nutzen (Speedport Entry 2 für einmalig 80 EUR). Ich kann scheinbar nur eine sehr begrenze Anzahl von Geräten nutzen, da ich einen IP-basierten Anschluss habe (Mangenta Home M).

    Für das APU1D4 zahle ich in meiner benötigten Konstillation (WiFi, Gehäuse, Strom, ggf. Speicherkarte) knapp 265 EUR. Beim APU1D würde ich mit demselben Zubehör 40 EUR sparen. Da nehme ich lieber die bessere Variante, man weiß ja nie, was noch kommt ^^

    Nochmal zur Telefonie... wenn ich einen SIP-Anschluss zum Angerufenwerden und ggf. noch einen zweiten Account (Festznetznummer für Nervdienste und Spammer) anlegen kann, reicht das vollkommen.

    VLANs sollen auch angelegt werden; ich habe mir zum Rumprobieren ein paar ESP8266 bestellt, die zwar gerne untereinander kommunizieren dürfen, aber nicht mit den anderen Geräten oder ins Internet (wobei, mit einem der Geräte im "HauptVLAN" müssen sie ja kommunizieren können, damit ich sie steuern kann...). Entsprechend müssen mindestens die ein eigenes VLAN haben.



  • Moin,

    das klingt schlüssig, aber dann hau doch richtig auf die Ka… und nimm eine mSata als Speichermedium. Installation vom USB-Stick lief wie geschmiert. Ist meines Erachtens das zuverlässigere Speichermedium. Alleine schon wenn ich an diese fipsigen Kontakte im Kartenslot denke  :-[ zumal die SD "nur" via USB eingebunden ist, siehe http://www.apu-board.de/produkte/apu1d4.html

    -teddy


  • Rebel Alliance Moderator

    Das inzwischen ein "wenig mehr daraus geworden muss ich zum Teil JeGr anlasten  8).

    Oy, ich geb hier nur Ideenvorschläge  :P :D

    unter 15% Auslastung trotz snort & squid aktiv.

    Unter 15% Last bei CPU oder in der RAM Auslastung? Hast du Snort Listen etc. aktiv? RAM reicht? :)

    (mit 2.4 Ghz WiFi Kit und 8GB industrial SD card (wobei ich letztere woanders vermutlich günstiger schießen kann)).

    Mit WiFi? Bist du dir da sicher? Möchte nur vorher Fragen bevor du dich da reinstürzt und dann denkst "na hätte ich doch besser…". Wenn du da nicht nur die Microkontroller mit bespaßen willst, sondern bisschen mehr Power für WLAN mit Notebook und NAS o.ä. brauchst, gibt es bessere Alternativen, als die pfSense selbst zum WLAN AP zu machen. Da fehlt es einfach noch zu sehr an Karten und Durchsatz, als dass ein "normaler" WLAN AP mit AC-Standard nicht schneller/besser wäre. Aber das nur am Rand.

    Ansonsten - wenn du eh schon ein wenig teurer greifst - würde ich auch überlegen, ob ich nicht mSATA SSD oder eine echte SSD einbaue. Irgendwas kleines genügt, aber dann kannst du auch besser Pakete nutzen, die bisschen größere Logs o.ä. produzieren.

    Alleine schon wenn ich an diese fipsigen Kontakte im Kartenslot denke  :-[

    Ansonsten hab ich davon schon mehr als zwei Dutzend im Einsatz ohne dass die SD Karte da ein Problem ist ;) Aber es kommt auch immer auf den Einsatzzweck an :)

    Grüße



  • Moin,

    mit den 15% war RAM gemeint es ging ja gerade um 2 oder 4 GB.
    Snort: Listen sind aktiv CPU Last habe ich noch nicht weiter beobachtet, habe immer ein responsives System somit reicht die Leistung @ home aus. Auf der Arbeit sieht es etwas träger aus  aber hier hoffe ich ja auf baldige Abhilfe  ;D

    Von wegen

    … Oy, ich geb hier nur Ideenvorschläge...

    ich würde das manchmal als kleine Kopfwäsche betrachten  ;), aber es weckt aus diesem bekloppten " das haben wir schon immer so gemacht" Trott, schließlich bin ich von der Ausbildung weder IT noch Dünndrähter, habe aber beides an den Backen und bin dankbar für jede Lehrstunde.
    Kollege im Bereich Haustechnik, gelernter Schlosser und Dummschwätzer hat eine Fortbildung mit kompletter Kostenübernahme in Sachen Elektro angeboten bekommen, er hat abgelehnt mit den Worten "…ich bin jetzt über 50, da muss ich nichts mehr dazulernen!"

    -teddy



  • das klingt schlüssig, aber dann hau doch richtig auf die Ka… und nimm eine mSata als Speichermedium.

    Ja, ich glaube, dass es darauf hinauslaufen wird. Darauf wird außer pfSense gar nicht installiert sein, insofern reicht ja die kleinstmögliche mSata vermutlich aus.

    Mit WiFi? Bist du dir da sicher? Möchte nur vorher Fragen bevor du dich da reinstürzt und dann denkst "na hätte ich doch besser…". Wenn du da nicht nur die Microkontroller mit bespaßen willst, sondern bisschen mehr Power für WLAN mit Notebook und NAS o.ä. brauchst, gibt es bessere Alternativen, als die pfSense selbst zum WLAN AP zu machen. Da fehlt es einfach noch zu sehr an Karten und Durchsatz, als dass ein "normaler" WLAN AP mit AC-Standard nicht schneller/besser wäre. Aber das nur am Rand.

    Was schlägst Du vor? Ich habe das gesamte Setup noch nicht genau durchgeplant, aber ungefähr so wird es aussehen:

    LAN

    • VLAN 1
      Arbeitsrechner (2x), Heimserver, Raspberry Pis (2x)

    • VLAN 2
      Heimserver, Backup Server

    WIFI

    • VLAN 1
      Arbeitslaptops (2x), Raspberry Pi (1x), Streamer (Chromecast etc.)

    • VLAN 3 -> kein Internetzugriff, nur Kommunikation untereinander
      "Knechte" (ESP8266 etc.), 1 Raspberry Pi zur Steuerung der Geräte, welcher auch in VLAN 1 ist (…oder gibt es da bessere Lösungen?)

    • VLAN 4
      Gäste

    Aufgaben von pfSense: VLANs, DHCP, DNS (selektiv), LAN & WIFI Router (dachte ich), Adblocker (via Squid oder Dnsmasq?), VPN-Server, Firewall, ggf. DDNS für VPN, außer es gibt da bessere Lösungen.

    VPN, um von unterwegs vollständig auf den Heimserver zugreifen zu können. Ggf. auch per SSH, allerdings möchte ich den Zugang von außen so gering wie möglich halten (nach der Verbindung per VPN kann ich ja sowieso per SSH netzwerkintern weitermachen).

    Welche Hardware sollte ich in diesem Fall kombinieren? Was ich auch nicht ganz verstehe ist, ob ich mich nun direkt mit dem APU ins Internet (IP-basierter Anschluss bei der Telekom) einwählen kann, oder nicht.
    Wenn ja, würde ich das gerne tun und die FB 7490 ablösen; wenn nein würde ich die FB trotzdem gerne ablösen und gegen das günstigste Gerät der Telekom tauschen, da die FB ja sonst sowieso ausschließlich für die Verbindung ins Internet da wäre und entsprechend die ganzen Funktionen gar nicht benötigt würden.

    ...dass langfristig auch Sniffers und Packet Captures auf pfSense laufen sollen, ist nicht auszuschließen.



  • Moin,

    wenn Du W-Lan günstig realisieren willst nimm den TL-WR841ND als Accesspoint, mit OpenWRT kann er Multi SSID und VLan, für 15€ ist er zumindest keine Großinvestition. Ich habe ihn nur ersetzt weil ich einen Dualband Accesspoint brauchte, jetzt läuft hier der Archer C7 mit gleichem Setup und OpenWRT. Anscheinend ist der alte C5 von der Hardware gleich, siehe https://blog.thesen.eu/wie-aus-einem-tp-link-archer-c5-ac1200-ein-archer-c7-ac1750-wurde/  ;) beim Archer C5 V2 hat der Hersteller wohl dazu gelernt.

    -teddy



  • Hm, eine Möglichkeit, alles über pfSense laufen zu lassen (ohne Abstriche bei der Geschwindigkeit machen zu müssen) gibt es nicht? OpenWRT ist eine gute Sache, ich würde aber am liebsten alles über ein Interface konfigurieren können.


  • Rebel Alliance Moderator

    Hm, eine Möglichkeit, alles über pfSense laufen zu lassen (ohne Abstriche bei der Geschwindigkeit machen zu müssen) gibt es nicht?
    Nicht wenn du aktuelle WiFi Standards und entsprechenden Durchsatz erwartest oder wünschst. Mir wäre momentan keine Karte mit -ac Standard und hoher Transferrate bekannt, die ohne Probleme mit pfSense funktioniert (was oft den Treibern geschuldet ist).

    Grüße



  • -ac wäre schon gut, mindestens -n sollte auf jedem Fall drin sein. Also noch bin ich nicht fest auf den APU eingestellt. Falls es mit Hardware anderer Hersteller funktionieren würde, wäre auch das eine Lösung.

    Oder reicht bei diesen Anforderungen sogar ein TL mit OpenWRT, ggf. in Verbindung mit einem Gigabit Switch für LAN, um hierüber alle Geräte laufen zu lassen?



  • Moin,

    @benjsing:

    …Oder reicht bei diesen Anforderungen sogar ein TL mit OpenWRT, ggf. in Verbindung mit einem Gigabit Switch für LAN, um hierüber alle Geräte laufen zu lassen?

    Ich weiß nicht welche Datenmengen Du gleichzeitig transportieren willst, aber ich denke es reicht.
    Ich habe hier 5 SSID  @ 2,4GHZ und 1 @ 5 GHZ auf einer Kiste, angebunden über 5 V-Lan und bisher war kein Neustart nötig.
    Leider kann ich die Uptime nicht mehr auslesen, habe heute morgen ein wenig gebastelt und den C7 neu gestartet aber es sind schon einige Wochen. Meine Zwerge schauen Streams, teilweise jeder 2 gleichzeitig (Handy & Tablett) Internetradio im Bad, 2 Notebooks, insgesamt 5 Handys und 3 Tabletts, es passt.

    -teddy



  • Ich habe mich noch mal mit pfSense vs. OpenWRT auseinandergesetzt. pfSense scheint mir einfach vielseitiger zu sein.

    Was haltet Ihr von dieser Konstellation:

    [WAN] -> APU1D4

    APU1D4 -> TL-WR814N (oder ND?)
    APU1D4 -> TL-SG1008D
    (beides per LAN)

    TL-SG1008D -> Hauptrechner, Heimserver, Backupserver, Pis (LAN)
    TL-WR814N -> Laptops, Smartphones, andere Pis, Chromecasts, Spielkram (WIFI)

    APU1D4 mit pfSense
    WR814 mit OpenWRT

    Kann man den WR814 so einrichten, dass er einfach nur an den APU weiterleitet, ich dort aber alle Einstellungen vornehme (Standalone?)? Quasi das Gerät unter pfSense einfach als Interface nutzen? Ich fände es einfach praktischer, alle Einstellungen über ein Interface vornehmen zu können; zudem habe ich gerade noch mal in der VM verglichen und finde pfSense im Vergleich zu OpenWRT einfach vielseitiger.

    Es werden schon ziemlich viele Wifi-Geräte verbunden sein; 10 ESP8266 (ggf. später mehr), später kommen noch 5 Digistump Oaks dazu, mind. 1 Pi, 2 Smartphones, 2 Laptops. Plus ggf. GästeWifi. Zwei HD-Streams gleichzeitig plus Softwareupdates sollten gleichzeitig drin sein.

    Ihr meint, eine entsprechende Karte im APU (z.B. Bigfoot Networks KillerN-1202, Dualband -n) würde nicht ausreichen, um das Netzwerk zu bespaßen?



  • Moin,

    im Accesspoint habe ich die Basics eingerichtet, das ist einmal ein wenig Arbeit aber ich denke überschaubar.
    Vlan anlegen, virtuelle Interfaces und Wifi Interfaces, jeweils mit der passenden Brücke ins richtige V-Lan, und die Verschlüsselung für jedes Wifi Interface. Der Rest passiert kompl. in meiner Apu, routing, IP nailing, filter usw.
    Ich fürchte aber eher um die Performance im Wifi, da kommt doch einiges mit Gleichzeitigkeitsfaktor zusammen. Wie sieht Deine Wifi Umgebung aus? Musst Du mit vielen Nachbarnetzen leben?
    Macht Dualband nicht mehr Sinn für Notebooks & Handys, einfach ins 5GHZ Band legen, sofern unterstützt, dann hättest Du die schon mal aus dem engen 2,4G Band raus?

    Wieso einen unmanaged Switch? Wenn da nur Clients aus dem selben Netzsegment (V-Lan) reinkommen ist das ok, ansonsten wäre der TL-SG3210 für unter 100€ eine nette Ergänzung bzw. Zyxel GS1910 für 115€ laufen hier beide sauber, wobei ich den 1910 nicht mehr kaufen würde sondern den "großen" Bruder 1920. Der 1910 hat keine Freitextfelder um die Switchports beschriften zu können, der TL-SG3210 kann das. Ganz nett finde ich inzwischen Mac basierte VLan, egal wo Junior seine Spielkonsole steckt, sie landet ich richtigen Netz und hat keinen Zugang zum Lan  :P

    Der 841N & 841ND unterscheiden sich nur durch abnehmbare Antennen sonst sind sie gleich.


  • Rebel Alliance Moderator

    Also als Kurzinfo zum WLAN:

    Ich würde hier strikt trennen nach Geräten die

    a) überhaupt kein 5GHz können
    b) 5GHz können aber deren Datentransferrate gering ist
    c) WLAN Power brauchen (Laptop/Arbeitsplatz/Streaming Endgeräte)

    Dann Kurzausflug zu WiFi: Das tollste WLAN Setup nutzt nichts, wenn es einem die Geräte kaputt machen.
    Beispiel: Toller AP mit Multichannel 2,4 bzw 5GHz. Kann 450 bzw. 1300MHz im Optimalfall.
    Aber: Wenn man Geräte dazwischen hat, die bspw. nur ein Single-Band WLAN Einheit eingebaut haben - und dazu gehören die meisten Smartphones bspw., denn dort wird selten mehrere Antennen verbaut - dann bremsen diese die anderen Geräte aus dem Band aus. Da sich der AP an der Stelle runterhandelt, ist somit dann der Speed-Vorteil meistens dahin. Deshalb wird oft empfohlen, bei Geräten die das unterstützen, gleich 2 oder 3 verschiedene Setups anzulegen: 1x 2,4GHz mit SingleWave (max 150MBit/s), wo man die ganzen langsamen Geräte reinpackt die eh keine große Bandbreite brauchen. Telefone, Raspi Controller o.ä.
    Als zweites packt man sich in das (oftmals - hoffentlich noch leerere) 5GHz Netz dann ein Multichannel Setup rein, und konfiguriert sich hier nur die Geräte mit Bumms rein. Laptop, Streaming etc. Über die Separierung bekommt man dann hoffentlich mehr Performance raus weil kein Gerät für Downgrading sorgt.

    Das Problem mit überlappenden Bereichen bekommt man leider nicht weg, vor allem wenn es immer noch Leute gibt, die es "gut meinen" und dann schräge Kanäle wie 2/3 oder 8 nutzen, weil die anderen ja schon alle auf 1/6/7/11 liegen seufz
    Wenn bei euch dazu noch viele SSIDs vorhanden sind, nutzt am Besten den Kanal eines WLANs das sehr stark ist. Nicht eines das mal da ist und mal nicht. Grund dazu: Ein starkes Konkurrenzsignal kann von allen Geräten erkannt werden und man teilt sich die Bandbreite sauber auf. Ein "störendes" da ständig auf und abtauchendes Signal sorgt eher dafür, dass Geräte ständig neu verhandeln und gestört werden, weil sie zwar denken, den kompletten Kanalraum zur Verfügung zu haben, aber dann doch jemand anders dazwischenfunkt. Somit auch weit weg von Kanalinterferenzen halten (wenn bspw. Kanal 1/6/11 genutzt werden und zwischendrin jemand auf 2/3 funkt weil ers nicht besser weiß, weicht auf 11 aus um keine Störstrahlung abzubekommen).

    Kleiner Exkurs Ende ;)


  • Rebel Alliance Moderator

    Mac basierte VLan…

    Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.



  • @JeGr:

    Mac basierte VLan…

    Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.

    Ob das sauber & komplett ist kann ich nicht beurteilen aber hier ist Lesestoff: http://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=002768&lang=EN und für den TP-Link http://www.tp-link.com/at/products/details/?model=TL-SG3210

    Ich wollte eigentlich nur statische VLan, aber so langsam nutze ich immer mehr  8)
    Echte Kritikpunkte beim Zyxel sind halt keine Freitextfelder und eine kastrierte Konsole, beim TP-Link habe ich mir die Konsole nur sehr flüchtig angesehen.

    Stromverbrauch beim TP-L  ~8W bei 7/10 Ports aktiv, beim Zyxel  6,5W bei 8/24 Ports mit allen Stromsparmaßnahmen aktiv und 8,5 ohne.
    Finde ich eigentlich in Ordnung

    -teddy



  • Erstmal riesen Dank Euch beiden für die ganzen Infos. Der Thread hier hat mich schon gut vorangebracht und wir nähern uns der fertigen Konfiguration :)

    Vlan anlegen, virtuelle Interfaces und Wifi Interfaces, jeweils mit der passenden Brücke ins richtige V-Lan, und die Verschlüsselung für jedes Wifi Interface. Der Rest passiert kompl. in meiner Apu, routing, IP nailing, filter usw.
    

    Das klingt gut. Ich glaube, so werde ich es machen. Dann wohl doch lieber in Verbindung mit dem TL-WR841ND, da man hier ggf. noch mal eine Antenne austauschen kann.

    Ich fürchte aber eher um die Performance im Wifi, da kommt doch einiges mit Gleichzeitigkeitsfaktor zusammen. Wie sieht Deine Wifi Umgebung aus? Musst Du mit vielen Nachbarnetzen leben?
    

    Kann ich nicht sagen. Das geplante Setup ist für nach meinem Umzug gedacht; aktuell in HH habe ich aktuell ca. 30 Nachbarnetze, demnächst in der Kleinstadt dann hoffentlich entsprechend weniger…

    Macht Dualband nicht mehr Sinn für Notebooks & Handys, einfach ins 5GHZ Band legen, sofern unterstützt, dann hättest Du die schon mal aus dem engen 2,4G Band raus?
    

    Stimmt. Da war bei mir wohl gerade der Kaffee alle  ::) ;)

    Wieso einen unmanaged Switch?
    

    In diesem Fall einfach deshalb, weil das Gerät bei mir neu vorhanden ist ^^ Daran hängen dann die im Büro ansässigen (LAN-)Pis, der Hauptrechner und die Server. Die sollen/können/dürfen sowieso alle im selben VLAN sein. Bzw. die Pis nicht unbedingt, aber das führe ich weiter unten fort*. Der ZYXEL GS1920 reizt mich ja schon etwas. Aber den kann ich immer noch nachrüsten, wenn überhaupt genug Geräte dafür vorhanden sind (in der 28-Switch-Variante drewls :D)

    Ich würde hier strikt trennen nach Geräten die
    
    a) überhaupt kein 5GHz können
    b) 5GHz können aber deren Datentransferrate gering ist
    c) WLAN Power brauchen (Laptop/Arbeitsplatz/Streaming Endgeräte)
    

    Super. So werde ich es machen. Gerade für den kleinen Spielkram ist das ja wohl sinnvoll, damit ich nicht den schnellen Geräten die Möglichkeiten nehme.

    Danke auch für den kleinen Exkurs, die Infos haben mir alle sehr weitergeholfen. :)

    Ganz nett finde ich inzwischen Mac basierte VLan, egal wo Junior seine Spielkonsole steckt, sie landet ich richtigen Netz und hat keinen Zugang zum Lan  :P
    

    Klingt nach einer schönen Lösung. Apropos Mac basiert… kann ich grundsätzlich (also das gesamte Netzwerk, sowohl Wifi als auch LAN, vom Gästenetz mal abgesehen) so einrichten, dass den Geräten nur mit vorgegebener Mac-Adresse Zugang gewährt wird?

    Also z.B. die FB7490 hat eine Funktion, nur bekannte Geräte ins Netzwerk zu lassen. Funktioniert soweit bestens, mal angenommen, niemand spooft irgendwelche Mac Adressen und meldet sich per WLAN an... Steckt allerdings jemand sich direkt per LAN an die Box, ist er trotzdem in meinem Heimnetz und kommt von da auch direkt weiter ins Internet, obwohl die Mac Adresse nicht extra freigeschaltet wurde.

    *Was mich bezüglich den VLANs noch brennend interessiert: ich wollte ja wie gesagt bestimmten Geräten, die ausschließlich lokal und untereinander kommunizieren sollen, ein extra VLAN einrichten. So weit, so gut. Aber mindestens derjenige "Server-Pi", der diese Geräte steuern soll, müsste eigentlich sowohl in deren VLAN sein (um sie zu steuern), als auch in meinem privaten VLAN, damit ich ihn anweisen kann, die Geräte entsprechend zu steuern?

    Aktuell sieht meine Konfiguration so aus:

    APU1D4, pfSense, mit 16GB mSATA SSD+, Embedded Box; brauche ich das Mounting Kit dazu auch, oder kriege ich die mSATA auch so gut dran?
    TL-WR841ND, OpenWRT
    TL-SG1008D (weil eh schon vorhanden)



  • Moin,

    die mSata wird im Sockel arretiert und fertig kein Zubehör nötig.

    Der TL-WR841ND kann kein DualBand, nur falls Du out of coffee bist ;)

    müsste eigentlich sowohl in deren VLAN sein (um sie zu steuern), als auch in meinem privaten VLAN, damit ich ihn anweisen kann, die Geräte entsprechend zu steuern?

    Dafür hast Du ja dann pfSense am Start, da legst Du dann fest wer wohin darf.
    Du erlaubst Deinem Rechner einfach den Zugriff auf den "Master-Pi" im anderen Netz, dann darf der Rechner und kein anderer.

    kann ich grundsätzlich (also das gesamte Netzwerk, sowohl Wifi als auch LAN, vom Gästenetz mal abgesehen) so einrichten, dass den Geräten nur mit vorgegebener Mac-Adresse Zugang gewährt wird?

    -teddy

    Nachtrag: Zum 841: Wenn Du da anfängst Deine V-Lans zu konfigurieren mach öfter mal ein Backup vom laufenden Setup auf Deinem PC.
    Ich habe mich einige male ausgesperrt und war dankbar, das ich nicht ganz von vorne anfangen musste sondern einfach Factory Reset und Backup einspielen, nächster Versuch 8)



  • Der TL-WR841ND kann kein DualBand, nur falls Du out of coffee bist ;)
    
    

    D'oh! Kannst Du eine Alternative empfehlen, die preislich ungefähr auf demselben Niveau liegt?

    Du erlaubst Deinem Rechner einfach den Zugriff auf den "Master-Pi" im anderen Netz, dann darf der Rechner und kein anderer.
    
    

    Bingo! Genau so soll das sein :)

    Wenn Du da anfängst Deine V-Lans zu konfigurieren mach öfter mal ein Backup vom laufenden Setup auf Deinem PC.
    Ich habe mich einige male ausgesperrt und war dankbar, das ich nicht ganz von vorne anfangen musste sondern einfach Factory Reset und Backup einspielen, nächster Versuch 8)
    

    Danke!! Ich wette, dass ich mir Anfangs auch mehrmals die Config zerschießen werde, sehr wertvoller Tipp!


  • Rebel Alliance Moderator

    D'oh! Kannst Du eine Alternative empfehlen, die preislich ungefähr auf demselben Niveau liegt?
    Was ist denn preislich das Niveau? ~30€? oder 50? 70? Was darf es denn maximal sein?

    Die Archer C5/C7 sollen ja nach OpenWRT Sicht nicht schlecht sein, allerdings scheints da mehrere Hardware Versionen zu geben, manche weniger manche mehr geeignet für OpenWRT (bei einigen wird wohl 5GHz nicht sauber unterstützt zumindest beim C7).

    Ich habe gerade selbst nach langem Hadern mein Netgear Ufo (ein R7500) mit QuadBand blabla wieder zum Rückversand eingepackt. Das Ding kann zwar viel, aber als reiner Access Point nicht mal VLANs, das 5GHz WLAN bricht manchmal einfach weg etc. das ist enttäuschend für ein Gerät im 200€ Segment (zumindest als er raus kam). Und da ich bemerkt habe, dass ich kaum WLAN Leistung wirklich abrufe, aber statt dessen sowas wie VLANs etc. gebrauchen könnte, lasse ich es jetzt mal auf einen Versuch ankommen und habe einen C7 bestellt und hoffe ich bekomme eine V2 Kiste auf die ich ordentlich OpenWRT draufschippern kann.

    Grüße



  • Wenn es für ~30 EUR schon etwas gibt, was die Anforderungen erfüllt, würde ich sehr gerne erst einmal damit arbeiten. Der Archer ist mir ein bisschen zu teuer… Meine 7490 und 3270 können Dualband, aber kein VLAN :/



  • Mein persönlicher Favorit für solche Anlässe ist ein RuckusWireless ZoneFlex 7363 aus der eBucht.
    Offiziell ist das Gerät ausgelaufen, was mich nicht wirklich stört. Technisch ist das feinste Machart und kämpft in der Region von Aruba und den großen Cisco APs.
    Dagegen kann jeder LinkSys/Belkin/Netgedöns/TP-Link einfach einpacken (wenngleich ich TP-Link [Switche] schätze und seit der Cebit in diesem Jahr sogar noch mehr…).


  • Rebel Alliance Moderator

    @jahonix: was macht in deiner Erfahrung die ZoneFlex so besonders? Ich wäre ja dem neuen WRT1900AC nicht abgeneigt gewesen aber a) zu teuer und b) erst viel zu späte Unterstützung von den -WRT Geschichten schreckt mich da ab. Ich grüble immer noch, ob nicht ein Ubiquiti AP Sinn machen würde, da der Controller mit seiner ganzen Logik ja frei ist und damit auch VLAN, 802.1X und Co möglich sein sollten…



  • Zu den Ubiquiti Geräten kann ich gar nix sagen, ich habe außer mit einer miserabel funktionierenden NanoStation Loco M5 keinerlei Erfahrungen.

    Die ZoneFlex Geräte verwenden ein sehr gut funktionierendes Beam-Steering, haben mächtig Durchsatz und sind eben so gebaut (Hardware, Firmware, Support) wie ich mir das von "Enterprise Grade Hardware" vorstelle. Das ist kein Vergleich zu Consumer-Produkten.
    Da es an den Geräten keine Abnutzung gib, finden ich Preise um 100,- € in der eBucht sehr angemessen.

    Und dann gibt es neuerdings wohl noch XClaim als günstigere Schwesterfirma zu Ruckus mit kostenlosem Cloud-Manager. D.h., den Controller von Ubiquiti bekommt man als Managed Service mit dazu.



  • Ich werde nun einfach mal den APU bestellen.

    Wifitechnisch bin ich immer noch unsicher. Die genannten Möglichkeiten sind mir ehrlich gesagt zu teuer, zumal wenn alles gleichzeitig gekauft werden soll. Muss ich ggf. nachrüsten. Oder kennt Ihr noch ein Gerät mit Dualband, VLAN und OpenWRT, das man relativ günstig bekommen kann?



  • Servus,
    mir ist Flexibilität und Standarthardware sehr wichtig. Daher verbaue ich sehr oft ein Gigabyte GA-J1900N-D3V (4x2GHz Celeron) in einem Gehäuse mit Pico-PSU. Dazu 4 GB S0-DIMM und eine 2,5Zoll SSD. Kostet alles in allem keine 200 Euro und braucht ca. 15W.  Die Kiste hat zwei LAN-Anschlüsse und - je nach Gehäuse - noch einen PCI + miniPCIe. Völlig ausreichend. LAN-VLANs tagge ich immer schön und lass den Rest die Switches machen. Preislich unschlagbar ist der Netgear GS108e. Ich würde nur noch v3 kaufen, die anderen nerven etwas. v3 hat endlich auch ein Webinterface und nicht nur diese blöde Software von Netgear.

    WLAN-AP: Solange man DD-WRT aufspielt ist TP-Link ok. Asus macht mir bisher auch recht viel Freude. Ansonsten selbstverständlich Linksys / Cisco. Jedenfalls habe ich auf meinen APs auch SSIDs für jedes gewünschte VLAN. Etwaige Probleme lassen sich locker durch einen gelegentlichen Neustart der Router lösen. Nicht schön, manchmal aber notwendig.DD-WRT läuft nicht immer so geil wie erhofft.

    Von diesen Mini-Alix und APU halte aus folgendem Grund nichts: Sie sind nicht wartungsfreundlich bzw. konfigurierbar und haben oft nur eine SD-Karte.

    Grüße

    EDIT: Was ich die DD-WRT immer noch nicht ganz verstanden habe: Manche APs lassen sich über die GUI die VLANs konfigurieren, andere wiederum nur über ein Bootscript. Die Abweichung zu dieser Liste hier dürfte recht groß sein: http://www.dd-wrt.com/wiki/index.php/VLAN_Support


  • Rebel Alliance Moderator

    Zu @tpf nur meinen eigenen Senf aus der Erfahrung (wirklich subjektiv):

    der J1900 Celeron: ist leider m.W. eine Desktop CPU und hat keinerlei AES-NI oder Quickassist, weswegen zwar seine Leistungsaufnahme toll (gering) ist, aber er an der Stelle (für pfSense) auch keinen wirklichen Mehrwert bietet. Klar, höherer Takt, mehr Kerne sind schön, aber wenn man mit größeren Crypto Vorhaben / VPN anfängt, ist er da ähnlich im Nachteil wie die APU ggü. den neuen Rangeley Atom CPUs (2x58 oder 2x50er). Muss man an der Stelle abwägen was man möchte. :)

    Was Wartungsfreundlichkeit einer ALIX/APU angeht: halte ich für ein Gerücht ;) Ich habe Kunden, die die Dinger im Dutzend einsetzen gerade weil sie die fertig bespielt und mit Software bestückt ausliefern können und alles was der Kunde ggf. machen darf ist im Notfall die SD Karte tauschen (neue hinschicken - reinschieben - fertig). Das halte ich für je nach Einsatzzweck sehr wartungsfreundlich. Und da die Dinger recht günstig sind, halten solche Firmen auch gleich ein zwei Kisten inkl. Netzteile auf Lager. Funktioniert toll. :D Und das gerade WEIL sie nur die SD Karte haben, der Endkunde kann ggf. gar nichts falsch machen und braucht auch nichts zu tun. Dem kann man dann auch ne SD Karte schicken, austauschen, reboot, go.

    Netgear Switch: in der Ordnung GS108e oder 116e o.ä. halte ich die Dinger leider für Schrott. Ja sind grün, brauchen wenig Strom, kein Lüfter etc. etc., aber dafür sind mir schon zu viele von den Dingern abgeraucht, machen komische Seiteneffekte, haben seltsame Wackelkontakte (gerade erst wieder einen GS105e zurückbekommen - Cat6 Kabel rein und etwas Wackeln -> Switch Reset). Danke, aber nein danke. Natürlich ist das subjektiv, aber es geht wohl nicht nur mir so ;)

    WiFi AP: Bei den custom Firmwares stehe ich leidgeprüft auf dem Stand: wenn du wählen kannst, und eine Wahl OpenWRT ist, willst du OpenWRT. Punkt :D Dazu bin ich durch zu viele DDWRT Bugversionen gegangen. Und ich hab auch mit Linksys (by Belkin inzwischen, Cisco hat nichts mehr mit Endkundengeschäft zu tun) geliebäugelt, aber wenn ich ne Kiste bewerbe mit "WRT fähig" ab Werk und dann etliche Monate brauche, bis ich endlich die Treiber der Community öffne, damit die überhaupt mal ne Version bauen können, bin ich da nicht ganz so erbaut von. Entweder ist das Ding offen oder nicht. Dann hätte man aber auch gleich andere NICs verbauen können (bspw. ath statt den Broadcom) aber nunja. Gab ja genug Kritik dazu. :)

    Aber wie immer - jeder hat sein eigenes Steckenpferd :)



  • Servus,
    die eingesetzte Hardware schwankt mit dem Einsatzzweck und der war hier ausdrücklich nicht Enterprise. Klar, in einer Enterpriseumgebung fang ich mit dem Zeug nicht an, zahle aber auch entsprechend. Ebenfalls klar ist das C-Atom-Produkt wesentlich besser, oft aber auch überdimensioniert und dadurch auch zu teuer. Mir sind die Einschränkungen ohne SSD einfach viel zu groß, als das sich das preislich irgendwie rechtfertigen würde.

    300MBit OpenVPN habe ich schon hinbekommen. Einen Anschluss, Glas mal ausgenommen, was aber auch wieder Enterprise ist(komm mir jetzt bitte keiner mit den paar T-COM-Glas für Endkunden  ;D), gibts in D so nicht. Somit wären wir wieder bei der Anforderung  ;)


  • Rebel Alliance Moderator

    @tpf: Kabel Kunden haben im Downstream mitunter problemlos schon 200MBit, es wird weiter ausgebaut - wir kommen da also schon an die Schmerzgrenze ;) Und bei mir ist das auch durchaus etwas, was ich aus dem Berufsumfeld mit nach Hause nehme, denn da ist es mir erst recht wichtig, dass ich nach Arbeit abschalten kann und nicht weiterbasteln muss ;) Deshalb darf dann eben gern die Komponente (wie Switch) statt 50 mal 100€ kosten, wenn sie dafür Ruhe gibt, macht was sie soll und nebenbei noch VLAN und Krams kann, womit man das "Zuhause" wieder etwas besser absichern kann. Da bin ich durchaus auch im privaten nicht gern an "günstigen" Lösungen interessiert, sondern will dass es läuft.
    Ob ich da jetzt SSD brauche oder SD Karte reicht - nuja das hängt von den Paketen ab. Mir würds reichen. :)



  • aber wenn man mit größeren Crypto Vorhaben / VPN anfängt

    Für den privaten Bereich sollte es aber langen, oder? D.h., von unterwegs aus wären ggf. ab und zu mal zwei Smartphones und zwei Laptops per VPN verbunden, ggf. auch nur je eins der Geräte. Das sollte der APU problemlos bewältigen…?

    Wifitechnisch schwanke ich nun zwischen dem TL-WR1043ND (45 EUR) und TL-WDR3600 (55 EUR). Beide können OpenWRT und Dualband; andererseits bin ich mit dem Archer C7 mit knapp dem doppelten Betrag dabei, was langfristig gesehen auch okay wäre (bei letzterem müsste ich dann aber Glück haben und die richtige Hardwareversion erwischen, damit trotz OpenWRT auch 5GHz problemlos laufen).


  • Rebel Alliance Moderator

    Für den privaten Bereich sollte es aber langen, oder? D.h., von unterwegs aus wären ggf. ab und zu mal zwei Smartphones und zwei Laptops per VPN verbunden, ggf. auch nur je eins der Geräte. Das sollte der APU problemlos bewältigen…?
    Jup

    Wifitechnisch schwanke ich nun zwischen dem TL-WR1043ND (45 EUR) und TL-WDR3600 (55 EUR). Beide können OpenWRT und Dualband;
    Öhm, woher nimmst du die Erkenntnis, dass die DualBand haben? Beim 1043 sehe ich das nirgends. Der 3600 - ja. Da stehts auch explizit bei, allerdings eben bis Standard-n also 300 da nur 2 Bänder (anstatt 450 mit 3 Bändern).
    Aber der 1043 hat Standard-n im 2,4er Band und gut. Da lese ich nichts von gleichzeitigem 5GHz Betrieb.

    Gruß



  • Moin,

    @JeGr:

    Da bin ich durchaus auch im privaten nicht gern an "günstigen" Lösungen interessiert, sondern will dass es läuft.

    Ich hingegen mag günstige Lösungen, hasse aber billige Lösungen  8)
    Das ganze hat mir mal einen 50€ Gutschein von einem großen Brillenladen beschert, weil ich mich darüber beschwert hatte das das der Verkäufer günstig mit billig gleichgesetzt hat.

    -teddy



  • @JeGr:

    …Deshalb darf dann eben gern die Komponente (wie Switch) statt 50 mal 100€ kosten, wenn sie dafür Ruhe gibt...

    Noch so einer, Du wirst mir immer sympathischer.  ;D
    Das ist mir persönlich (inzwischen) auch viel lieber, wenn die Geräte bei mir daheim einfach nur stressfrei laufen, als dass ich ein paar Euro spare.
    Die Familie ist glücklich, und ich habe Zeit für sie. Das ist mit Geld nicht zu bezahlen.

    @JeGr:

    Netgear Switch: in der Ordnung GS108e oder 116e o.ä. halte ich die Dinger leider für Schrott. Ja sind grün, brauchen wenig Strom, kein Lüfter etc. etc., aber dafür sind mir schon zu viele von den Dingern abgeraucht, machen komische Seiteneffekte, haben seltsame Wackelkontakte (gerade erst wieder einen GS105e zurückbekommen - Cat6 Kabel rein und etwas Wackeln -> Switch Reset). Danke, aber nein danke. Natürlich ist das subjektiv, aber es geht wohl nicht nur mir so ;)

    Nope, das ist nicht subjektiv.
    Um Netgedöns mache ich seit Langem einen weiten Bogen und zwar aus genau diesem Grund.
    Von 6 Netgedöns Geräten, die ich je in den Fingern hatte, hat genau einer überlebt. Und das war ein 16-port Gibt unmanaged IIRC.
    Der Rest ging sofort oder innerhalb von 2 Tagen zurück, da defekt.
    Und da trifft dann wieder obiger Punkt zu: dafür ist mir meine Zeit zu schade.
    Lieber gleich richtig kaufen und Ruhe haben. Selbst das Einrichten komplizierterer Setups geht schneller von der Hand, da ich die Geräte bereits kenne und mich nicht erst in die Eigenheiten einarbeiten muss.

    Kürzlich habe ich eine nette Aussage gehört, die sich viel zu oft als richtig herausgestellt hat:
    Wer (dem Kunden) beim Sparen hilft, der kann selbst nichts gewinnen.
    Das lässt sich auch 1:1 auf meine Zeit anwenden.



  • @magicteddy:

    Ich hingegen mag günstige Lösungen, hasse aber billige Lösungen  8)

    Da die Zeit für Engineering, Produkt-Recherche etc. dazuzurechnen ist, erachte ich eine bestehende Lösung für mehr monetäre Gegenmittel als günstiger.
    Meine Freizeit kann ich mir mit keinem Geld der Welt wieder kaufen. Und von Freizeit habe ich definitiv zu wenig, aber das ist eine andere Geschichte.


  • Rebel Alliance Moderator

    Da gehts mir wie Chris, mir ist inzwischen einfach meine Freizeit mehr wert als ständig überall Feuerwehr spielen zu müssen ;) Deshalb auch die "" um günstig. Ich wollte da nicht billig sagen, denn nicht immer sind die Lösungen im Vergleich tatsächlich billig aber funktionieren dann einfach wie "Ramsch". So steh ich eben bspw. mit Netgear ziemlich auf Kriegsfuß und nachdem ich jetzt sogar deren WLAN UFO (R7000 Nighthawk) habe zurückgehen lassen, weil das Ding für ~200€ ständig sein 5GHz Band verliert (und das geht wohl nicht nur mir so), bin ich da einfach von geheilt.
    Früher hätte ich wahrscheinlich auch lieber noch mehr gebastelt. :) So wird man alt :D

    Beim WLAN bin ich jetzt aber den Schritt zu "günstig" gegangen. Das sauteure schlechte Ufo kam weg, dafür jetzt der Archer C7, da weiß ich wenigstens, dass ich notfalls OpenWRT drauf flashen kann und hab noch nen zweiten Versuch und so wichtig ist mir WLAN als Haupt Medium nicht. Deshalb momentan noch Werksfirmware, sobald OpenWRT CC rauskommt, dann ggf. die rauf und dann mal mit VLANs und so integrieren. Aber hauptsache erstmal es läuft 2/5GHz Band WLAN und die Geräte gehen. Ständig nen 200€ Router rebooten zu müssen ist einfach nicht OK. Deshalb leider Netgear auf die schwarze Liste ;)



  • Wenn 200€ für einen AP für Dich iO sind, dann schau Dir wirklich einmal die Ruckus Geräte an.
    Meinen Chanalyser packe ich nur noch aus, wenn ich sehen will, warum andere Probleme haben…


Log in to reply