Fb mit pfSense (welche Hardware)?

benjsing

Hallo,

ich habe aktuell eine Fritzbox 7490 als Router. Könnt Ihr bestimmte Hardware empfehlen, auf der ich pfSense installieren und Router/Firewall im Netzwerk nutzen kann?

Meinen Recherchen zufolge muss ich die fb behalten, da sie ein integriertes Modem für meinen Internetanbieter (in diesem Fall ein IP-basierter Anschluss von der Telekom) hat. Oder gibt es alternative, offene Hardware, die ich mit pfSense ausrüsten könnte, die aber gleichzeitig auch die FB ablösen kann?

Alle anderen Geräte im Haushalt sollen dann aber direkt über den Router mit pfSense laufen; Soweit möglich über LAN, wenn nötig (Chromecast o.Ä.) auch über Wifi. Ist das empfehlenswert oder habt Ihr andere Lösungen?

Da ich mir zudem einen Homeserver auf linuxbasis einrichten wollte, hatte ich mit dem Gedanken gespielt, diesen mit einigen NICs auszustatten und pfSense darauf in einer VM laufen zu lassen; grundsätzlich soll der Homeserver sowieso 24/4 laufen, aber mir wurde von der Lösung eines Routers in der VM abgeraten.

Anfangs möchte ich nur folgendes mit pfSense umsetzen:
Selective DNS
Verschiedene IP Ranges
Bestimmten Geräten den Zugang zum Internet verweigern, aber sie sollen untereinander kommunizieren dürfen
Zugang zum Netzwerk (LAN und Wifi auf Mac-Adressen der Geräte beschränken)
VPN-Server

Wenn ich mich dann ein bisschen mehr in die Materie eingefunden habe, fallen mir bestimmt noch weitere Dinge ein.

Danke & beste Grüße

orcape

Hi benjsing,

Da ich mir zudem einen Homeserver auf linuxbasis einrichten wollte, hatte ich mit dem Gedanken gespielt, diesen mit einigen NICs auszustatten und pfSense darauf in einer VM laufen zu lassen; grundsätzlich soll der Homeserver sowieso 24/4 laufen, aber mir wurde von der Lösung eines Routers in der VM abgeraten.

Ein Server hat andere Aufgaben wie eine Firewall und ich würde Dir ebenfalls abraten, das zu kombinieren.
Für die pfSense würde ich Dir ein ALIX empfehlen oder dessen Nachfolger APU, wenn es denn alles etwas flotter gehen soll.
Kannst Du fertig kaufen oder auch etwas basteln und hier wäre die Anleitung..
http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
Gruß orcape

benjsing

Vielen Dank für die Info.

Das Bundle http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-ALIX-2D13-Embedded-Box-Bundle::1225.html sieht für mich ganz gut aus :)

JeGr

Hallo Ben,

ich würde von der ALIX abraten, wenn du zukunftssicher zu Hause arbeiten möchtest. Du hast uns zwar nicht gesagt wie groß deine jetzige Bandbreite ist, aber die ALIX ist eine alte/ältere x86 Generation und mit Streamgrößen von 20-30MBit/s ausgelastet. Wenn du dann noch mit VPN arbeiten möchtest, wird es schnell sehr eng. Auch mit RAM ist sie leider nicht sehr üppig bestückt.
Die APU Generation kostet dich als Bundle nicht sehr viel mehr wenn du auf 2GB RAM verzichten kannst (statt der APU1D4 mit 4GB die APU1D mit 2GB) und ist in der Leistung aber gleich ein richtiger Schritt nach vorne. Selbst Kabelleitungen mit 100MBit und mehr sind dann kaum ein Hindernis.

Für neue Anschaffungen würde ich deshalb keine ALIX mehr empfehlen, sondern direkt den Schritt zur APU machen.

Grüße Jens

magicteddy

Moin,

@benjsing:

Meinen Recherchen zufolge muss ich die fb behalten, da sie ein integriertes Modem für meinen Internetanbieter (in diesem Fall ein IP-basierter Anschluss von der Telekom) hat. Oder gibt es alternative, offene Hardware, die ich mit pfSense ausrüsten könnte, die aber gleichzeitig auch die FB ablösen kann?

Kann man machen, muss man aber nicht ;D
Wie hast Du dir das Thema Telefonie vorgestellt? Hast Du IP Telefone?
Ich habe hier eine ähnliche Situation mit Kabel Deutschland, die rücken die notwendigen Infos für Telefonie (noch) nicht raus, wobei es Wege gäbe. Aber ich habe die Box gemietet weil ich dann jederzeit KD auf die Füße treten kann wenn die Box am Ausgang kein Internetzugang bzw. Kein Freizeichen fürs Telefon bietet  :). Anders als mit die Box könnte ich meine 9 Rufnummern nicht vernünftig routen & nutzen. pfSense sitzt hinter der KD Box als exposed Host, somit quasi nackig im Netz und ich brauche mich nicht mit doppelten Portforwards rumschlagen. Ich habe bei der Fritte einfach alles was unnötig ist abgeschaltet, Dect, Wlan, somit sind die Verbrauchswerte ok. Natürlich gibt es noch DSL-Modem siehe http://www.draytek.de/vigor130.html aber bringt das wirklich noch einen spürbaren Vorteil außer das Du dir doppeltes NAT sparst?
Mein Hauptgrund war ursprünglich nur TR-069, ich mag es nicht, wenn Irgendjemand meine Grenze zum WAN nach belieben manipulieren und Updates verschlafen kann, die mein Netz öffentlich machen können. Das inzwischen ein "wenig mehr daraus geworden muss ich zum Teil JeGr anlasten  8). Meine Zwerge habe eigene VLans, ihre Konsolen sind in eigene VLans gekapselt und haben keinen Zugriff aufs restliche Lan, TV und BlueRayPlayer sind gekapselt und dürfen die NAS als Quelle benutzen aber nicht nach Hause telefonieren, die Kinder haben zeitliche Grenzen für den Zugriff auf die NAS usw.

Zur APU http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1D-Bundle-Board-Netzteil-Speicher-Gehaeuse::3112.html, ich denke das 2GB Ram locker reichen, meine 4GB Variante liegt unter 15% Auslastung trotz snort & squid aktiv.

-teddy

benjsing

Danke, Jens. Ich hatte mich im Eifer des Gefechts verklickt… Meinte eigentlich dieses Gerät hier http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1D4-Bundle-mit-Embedded-Box::3274.html (mit 2.4 Ghz WiFi Kit und 8GB industrial SD card (wobei ich letztere woanders vermutlich günstiger schießen kann)).

@teddy
Ich nutze momentan meine von der Telekom zur Verfügung gestellten Telefonnummern zu 0%. Wenn Telefonie, dann mobil. Wenn ich meine FB loswerden könnte und direkt mit dem APU ins Internet gehen könnte, würde ich das tun. Denn die 7490 nur für die Verbindung zu nutzen, wäre rausgeschmissenes Geld. Da könnte ich ggf. auch den günstigsten Telekom-Router nutzen (Speedport Entry 2 für einmalig 80 EUR). Ich kann scheinbar nur eine sehr begrenze Anzahl von Geräten nutzen, da ich einen IP-basierten Anschluss habe (Mangenta Home M).

Für das APU1D4 zahle ich in meiner benötigten Konstillation (WiFi, Gehäuse, Strom, ggf. Speicherkarte) knapp 265 EUR. Beim APU1D würde ich mit demselben Zubehör 40 EUR sparen. Da nehme ich lieber die bessere Variante, man weiß ja nie, was noch kommt ^^

Nochmal zur Telefonie... wenn ich einen SIP-Anschluss zum Angerufenwerden und ggf. noch einen zweiten Account (Festznetznummer für Nervdienste und Spammer) anlegen kann, reicht das vollkommen.

VLANs sollen auch angelegt werden; ich habe mir zum Rumprobieren ein paar ESP8266 bestellt, die zwar gerne untereinander kommunizieren dürfen, aber nicht mit den anderen Geräten oder ins Internet (wobei, mit einem der Geräte im "HauptVLAN" müssen sie ja kommunizieren können, damit ich sie steuern kann...). Entsprechend müssen mindestens die ein eigenes VLAN haben.

magicteddy

Moin,

das klingt schlüssig, aber dann hau doch richtig auf die Ka… und nimm eine mSata als Speichermedium. Installation vom USB-Stick lief wie geschmiert. Ist meines Erachtens das zuverlässigere Speichermedium. Alleine schon wenn ich an diese fipsigen Kontakte im Kartenslot denke  :-[ zumal die SD "nur" via USB eingebunden ist, siehe http://www.apu-board.de/produkte/apu1d4.html

-teddy

JeGr

Das inzwischen ein "wenig mehr daraus geworden muss ich zum Teil JeGr anlasten  8).

Oy, ich geb hier nur Ideenvorschläge  :P :D

unter 15% Auslastung trotz snort & squid aktiv.

Unter 15% Last bei CPU oder in der RAM Auslastung? Hast du Snort Listen etc. aktiv? RAM reicht? :)

(mit 2.4 Ghz WiFi Kit und 8GB industrial SD card (wobei ich letztere woanders vermutlich günstiger schießen kann)).

Mit WiFi? Bist du dir da sicher? Möchte nur vorher Fragen bevor du dich da reinstürzt und dann denkst "na hätte ich doch besser…". Wenn du da nicht nur die Microkontroller mit bespaßen willst, sondern bisschen mehr Power für WLAN mit Notebook und NAS o.ä. brauchst, gibt es bessere Alternativen, als die pfSense selbst zum WLAN AP zu machen. Da fehlt es einfach noch zu sehr an Karten und Durchsatz, als dass ein "normaler" WLAN AP mit AC-Standard nicht schneller/besser wäre. Aber das nur am Rand.

Ansonsten - wenn du eh schon ein wenig teurer greifst - würde ich auch überlegen, ob ich nicht mSATA SSD oder eine echte SSD einbaue. Irgendwas kleines genügt, aber dann kannst du auch besser Pakete nutzen, die bisschen größere Logs o.ä. produzieren.

Alleine schon wenn ich an diese fipsigen Kontakte im Kartenslot denke  :-[

Ansonsten hab ich davon schon mehr als zwei Dutzend im Einsatz ohne dass die SD Karte da ein Problem ist ;) Aber es kommt auch immer auf den Einsatzzweck an :)

Grüße

magicteddy

Moin,

mit den 15% war RAM gemeint es ging ja gerade um 2 oder 4 GB.
Snort: Listen sind aktiv CPU Last habe ich noch nicht weiter beobachtet, habe immer ein responsives System somit reicht die Leistung @ home aus. Auf der Arbeit sieht es etwas träger aus  aber hier hoffe ich ja auf baldige Abhilfe  ;D

Von wegen

… Oy, ich geb hier nur Ideenvorschläge...

ich würde das manchmal als kleine Kopfwäsche betrachten  ;), aber es weckt aus diesem bekloppten " das haben wir schon immer so gemacht" Trott, schließlich bin ich von der Ausbildung weder IT noch Dünndrähter, habe aber beides an den Backen und bin dankbar für jede Lehrstunde.
Kollege im Bereich Haustechnik, gelernter Schlosser und Dummschwätzer hat eine Fortbildung mit kompletter Kostenübernahme in Sachen Elektro angeboten bekommen, er hat abgelehnt mit den Worten "…ich bin jetzt über 50, da muss ich nichts mehr dazulernen!"

-teddy

benjsing

das klingt schlüssig, aber dann hau doch richtig auf die Ka… und nimm eine mSata als Speichermedium.

Ja, ich glaube, dass es darauf hinauslaufen wird. Darauf wird außer pfSense gar nicht installiert sein, insofern reicht ja die kleinstmögliche mSata vermutlich aus.

Mit WiFi? Bist du dir da sicher? Möchte nur vorher Fragen bevor du dich da reinstürzt und dann denkst "na hätte ich doch besser…". Wenn du da nicht nur die Microkontroller mit bespaßen willst, sondern bisschen mehr Power für WLAN mit Notebook und NAS o.ä. brauchst, gibt es bessere Alternativen, als die pfSense selbst zum WLAN AP zu machen. Da fehlt es einfach noch zu sehr an Karten und Durchsatz, als dass ein "normaler" WLAN AP mit AC-Standard nicht schneller/besser wäre. Aber das nur am Rand.

Was schlägst Du vor? Ich habe das gesamte Setup noch nicht genau durchgeplant, aber ungefähr so wird es aussehen:

LAN

• VLAN 1
  Arbeitsrechner (2x), Heimserver, Raspberry Pis (2x)

• VLAN 2
  Heimserver, Backup Server

WIFI

• VLAN 1
  Arbeitslaptops (2x), Raspberry Pi (1x), Streamer (Chromecast etc.)

• VLAN 3 -> kein Internetzugriff, nur Kommunikation untereinander
  "Knechte" (ESP8266 etc.), 1 Raspberry Pi zur Steuerung der Geräte, welcher auch in VLAN 1 ist (…oder gibt es da bessere Lösungen?)

• VLAN 4
  Gäste

Aufgaben von pfSense: VLANs, DHCP, DNS (selektiv), LAN & WIFI Router (dachte ich), Adblocker (via Squid oder Dnsmasq?), VPN-Server, Firewall, ggf. DDNS für VPN, außer es gibt da bessere Lösungen.

VPN, um von unterwegs vollständig auf den Heimserver zugreifen zu können. Ggf. auch per SSH, allerdings möchte ich den Zugang von außen so gering wie möglich halten (nach der Verbindung per VPN kann ich ja sowieso per SSH netzwerkintern weitermachen).

Welche Hardware sollte ich in diesem Fall kombinieren? Was ich auch nicht ganz verstehe ist, ob ich mich nun direkt mit dem APU ins Internet (IP-basierter Anschluss bei der Telekom) einwählen kann, oder nicht.
Wenn ja, würde ich das gerne tun und die FB 7490 ablösen; wenn nein würde ich die FB trotzdem gerne ablösen und gegen das günstigste Gerät der Telekom tauschen, da die FB ja sonst sowieso ausschließlich für die Verbindung ins Internet da wäre und entsprechend die ganzen Funktionen gar nicht benötigt würden.

...dass langfristig auch Sniffers und Packet Captures auf pfSense laufen sollen, ist nicht auszuschließen.

magicteddy

Moin,

wenn Du W-Lan günstig realisieren willst nimm den TL-WR841ND als Accesspoint, mit OpenWRT kann er Multi SSID und VLan, für 15€ ist er zumindest keine Großinvestition. Ich habe ihn nur ersetzt weil ich einen Dualband Accesspoint brauchte, jetzt läuft hier der Archer C7 mit gleichem Setup und OpenWRT. Anscheinend ist der alte C5 von der Hardware gleich, siehe https://blog.thesen.eu/wie-aus-einem-tp-link-archer-c5-ac1200-ein-archer-c7-ac1750-wurde/  ;) beim Archer C5 V2 hat der Hersteller wohl dazu gelernt.

-teddy

benjsing

Hm, eine Möglichkeit, alles über pfSense laufen zu lassen (ohne Abstriche bei der Geschwindigkeit machen zu müssen) gibt es nicht? OpenWRT ist eine gute Sache, ich würde aber am liebsten alles über ein Interface konfigurieren können.

JeGr

Hm, eine Möglichkeit, alles über pfSense laufen zu lassen (ohne Abstriche bei der Geschwindigkeit machen zu müssen) gibt es nicht?
Nicht wenn du aktuelle WiFi Standards und entsprechenden Durchsatz erwartest oder wünschst. Mir wäre momentan keine Karte mit -ac Standard und hoher Transferrate bekannt, die ohne Probleme mit pfSense funktioniert (was oft den Treibern geschuldet ist).

Grüße

benjsing

-ac wäre schon gut, mindestens -n sollte auf jedem Fall drin sein. Also noch bin ich nicht fest auf den APU eingestellt. Falls es mit Hardware anderer Hersteller funktionieren würde, wäre auch das eine Lösung.

Oder reicht bei diesen Anforderungen sogar ein TL mit OpenWRT, ggf. in Verbindung mit einem Gigabit Switch für LAN, um hierüber alle Geräte laufen zu lassen?

magicteddy

Moin,

@benjsing:

…Oder reicht bei diesen Anforderungen sogar ein TL mit OpenWRT, ggf. in Verbindung mit einem Gigabit Switch für LAN, um hierüber alle Geräte laufen zu lassen?

Ich weiß nicht welche Datenmengen Du gleichzeitig transportieren willst, aber ich denke es reicht.
Ich habe hier 5 SSID  @ 2,4GHZ und 1 @ 5 GHZ auf einer Kiste, angebunden über 5 V-Lan und bisher war kein Neustart nötig.
Leider kann ich die Uptime nicht mehr auslesen, habe heute morgen ein wenig gebastelt und den C7 neu gestartet aber es sind schon einige Wochen. Meine Zwerge schauen Streams, teilweise jeder 2 gleichzeitig (Handy & Tablett) Internetradio im Bad, 2 Notebooks, insgesamt 5 Handys und 3 Tabletts, es passt.

-teddy

benjsing

Ich habe mich noch mal mit pfSense vs. OpenWRT auseinandergesetzt. pfSense scheint mir einfach vielseitiger zu sein.

Was haltet Ihr von dieser Konstellation:

[WAN] -> APU1D4

APU1D4 -> TL-WR814N (oder ND?)
APU1D4 -> TL-SG1008D
(beides per LAN)

TL-SG1008D -> Hauptrechner, Heimserver, Backupserver, Pis (LAN)
TL-WR814N -> Laptops, Smartphones, andere Pis, Chromecasts, Spielkram (WIFI)

APU1D4 mit pfSense
WR814 mit OpenWRT

Kann man den WR814 so einrichten, dass er einfach nur an den APU weiterleitet, ich dort aber alle Einstellungen vornehme (Standalone?)? Quasi das Gerät unter pfSense einfach als Interface nutzen? Ich fände es einfach praktischer, alle Einstellungen über ein Interface vornehmen zu können; zudem habe ich gerade noch mal in der VM verglichen und finde pfSense im Vergleich zu OpenWRT einfach vielseitiger.

Es werden schon ziemlich viele Wifi-Geräte verbunden sein; 10 ESP8266 (ggf. später mehr), später kommen noch 5 Digistump Oaks dazu, mind. 1 Pi, 2 Smartphones, 2 Laptops. Plus ggf. GästeWifi. Zwei HD-Streams gleichzeitig plus Softwareupdates sollten gleichzeitig drin sein.

Ihr meint, eine entsprechende Karte im APU (z.B. Bigfoot Networks KillerN-1202, Dualband -n) würde nicht ausreichen, um das Netzwerk zu bespaßen?

magicteddy

Moin,

im Accesspoint habe ich die Basics eingerichtet, das ist einmal ein wenig Arbeit aber ich denke überschaubar.
Vlan anlegen, virtuelle Interfaces und Wifi Interfaces, jeweils mit der passenden Brücke ins richtige V-Lan, und die Verschlüsselung für jedes Wifi Interface. Der Rest passiert kompl. in meiner Apu, routing, IP nailing, filter usw.
Ich fürchte aber eher um die Performance im Wifi, da kommt doch einiges mit Gleichzeitigkeitsfaktor zusammen. Wie sieht Deine Wifi Umgebung aus? Musst Du mit vielen Nachbarnetzen leben?
Macht Dualband nicht mehr Sinn für Notebooks & Handys, einfach ins 5GHZ Band legen, sofern unterstützt, dann hättest Du die schon mal aus dem engen 2,4G Band raus?

Wieso einen unmanaged Switch? Wenn da nur Clients aus dem selben Netzsegment (V-Lan) reinkommen ist das ok, ansonsten wäre der TL-SG3210 für unter 100€ eine nette Ergänzung bzw. Zyxel GS1910 für 115€ laufen hier beide sauber, wobei ich den 1910 nicht mehr kaufen würde sondern den "großen" Bruder 1920. Der 1910 hat keine Freitextfelder um die Switchports beschriften zu können, der TL-SG3210 kann das. Ganz nett finde ich inzwischen Mac basierte VLan, egal wo Junior seine Spielkonsole steckt, sie landet ich richtigen Netz und hat keinen Zugang zum Lan  :P

Der 841N & 841ND unterscheiden sich nur durch abnehmbare Antennen sonst sind sie gleich.

JeGr

Also als Kurzinfo zum WLAN:

Ich würde hier strikt trennen nach Geräten die

a) überhaupt kein 5GHz können
b) 5GHz können aber deren Datentransferrate gering ist
c) WLAN Power brauchen (Laptop/Arbeitsplatz/Streaming Endgeräte)

Dann Kurzausflug zu WiFi: Das tollste WLAN Setup nutzt nichts, wenn es einem die Geräte kaputt machen.
Beispiel: Toller AP mit Multichannel 2,4 bzw 5GHz. Kann 450 bzw. 1300MHz im Optimalfall.
Aber: Wenn man Geräte dazwischen hat, die bspw. nur ein Single-Band WLAN Einheit eingebaut haben - und dazu gehören die meisten Smartphones bspw., denn dort wird selten mehrere Antennen verbaut - dann bremsen diese die anderen Geräte aus dem Band aus. Da sich der AP an der Stelle runterhandelt, ist somit dann der Speed-Vorteil meistens dahin. Deshalb wird oft empfohlen, bei Geräten die das unterstützen, gleich 2 oder 3 verschiedene Setups anzulegen: 1x 2,4GHz mit SingleWave (max 150MBit/s), wo man die ganzen langsamen Geräte reinpackt die eh keine große Bandbreite brauchen. Telefone, Raspi Controller o.ä.
Als zweites packt man sich in das (oftmals - hoffentlich noch leerere) 5GHz Netz dann ein Multichannel Setup rein, und konfiguriert sich hier nur die Geräte mit Bumms rein. Laptop, Streaming etc. Über die Separierung bekommt man dann hoffentlich mehr Performance raus weil kein Gerät für Downgrading sorgt.

Das Problem mit überlappenden Bereichen bekommt man leider nicht weg, vor allem wenn es immer noch Leute gibt, die es "gut meinen" und dann schräge Kanäle wie 2/3 oder 8 nutzen, weil die anderen ja schon alle auf 1/6/7/11 liegen seufz
Wenn bei euch dazu noch viele SSIDs vorhanden sind, nutzt am Besten den Kanal eines WLANs das sehr stark ist. Nicht eines das mal da ist und mal nicht. Grund dazu: Ein starkes Konkurrenzsignal kann von allen Geräten erkannt werden und man teilt sich die Bandbreite sauber auf. Ein "störendes" da ständig auf und abtauchendes Signal sorgt eher dafür, dass Geräte ständig neu verhandeln und gestört werden, weil sie zwar denken, den kompletten Kanalraum zur Verfügung zu haben, aber dann doch jemand anders dazwischenfunkt. Somit auch weit weg von Kanalinterferenzen halten (wenn bspw. Kanal 1/6/11 genutzt werden und zwischendrin jemand auf 2/3 funkt weil ers nicht besser weiß, weicht auf 11 aus um keine Störstrahlung abzubekommen).

Kleiner Exkurs Ende ;)

JeGr

Mac basierte VLan…

Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.

magicteddy

@JeGr:

Mac basierte VLan…

Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.

Ob das sauber & komplett ist kann ich nicht beurteilen aber hier ist Lesestoff: http://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=002768&lang=EN und für den TP-Link http://www.tp-link.com/at/products/details/?model=TL-SG3210

Ich wollte eigentlich nur statische VLan, aber so langsam nutze ich immer mehr  8)
Echte Kritikpunkte beim Zyxel sind halt keine Freitextfelder und eine kastrierte Konsole, beim TP-Link habe ich mir die Konsole nur sehr flüchtig angesehen.

Stromverbrauch beim TP-L  ~8W bei 7/10 Ports aktiv, beim Zyxel  6,5W bei 8/24 Ports mit allen Stromsparmaßnahmen aktiv und 8,5 ohne.
Finde ich eigentlich in Ordnung

-teddy