Fb mit pfSense (welche Hardware)?
-
das klingt schlüssig, aber dann hau doch richtig auf die Ka… und nimm eine mSata als Speichermedium.
Ja, ich glaube, dass es darauf hinauslaufen wird. Darauf wird außer pfSense gar nicht installiert sein, insofern reicht ja die kleinstmögliche mSata vermutlich aus.
Mit WiFi? Bist du dir da sicher? Möchte nur vorher Fragen bevor du dich da reinstürzt und dann denkst "na hätte ich doch besser…". Wenn du da nicht nur die Microkontroller mit bespaßen willst, sondern bisschen mehr Power für WLAN mit Notebook und NAS o.ä. brauchst, gibt es bessere Alternativen, als die pfSense selbst zum WLAN AP zu machen. Da fehlt es einfach noch zu sehr an Karten und Durchsatz, als dass ein "normaler" WLAN AP mit AC-Standard nicht schneller/besser wäre. Aber das nur am Rand.
Was schlägst Du vor? Ich habe das gesamte Setup noch nicht genau durchgeplant, aber ungefähr so wird es aussehen:
LAN
-
VLAN 1
Arbeitsrechner (2x), Heimserver, Raspberry Pis (2x) -
VLAN 2
Heimserver, Backup Server
WIFI
-
VLAN 1
Arbeitslaptops (2x), Raspberry Pi (1x), Streamer (Chromecast etc.) -
VLAN 3 -> kein Internetzugriff, nur Kommunikation untereinander
"Knechte" (ESP8266 etc.), 1 Raspberry Pi zur Steuerung der Geräte, welcher auch in VLAN 1 ist (…oder gibt es da bessere Lösungen?) -
VLAN 4
Gäste
Aufgaben von pfSense: VLANs, DHCP, DNS (selektiv), LAN & WIFI Router (dachte ich), Adblocker (via Squid oder Dnsmasq?), VPN-Server, Firewall, ggf. DDNS für VPN, außer es gibt da bessere Lösungen.
VPN, um von unterwegs vollständig auf den Heimserver zugreifen zu können. Ggf. auch per SSH, allerdings möchte ich den Zugang von außen so gering wie möglich halten (nach der Verbindung per VPN kann ich ja sowieso per SSH netzwerkintern weitermachen).
Welche Hardware sollte ich in diesem Fall kombinieren? Was ich auch nicht ganz verstehe ist, ob ich mich nun direkt mit dem APU ins Internet (IP-basierter Anschluss bei der Telekom) einwählen kann, oder nicht.
Wenn ja, würde ich das gerne tun und die FB 7490 ablösen; wenn nein würde ich die FB trotzdem gerne ablösen und gegen das günstigste Gerät der Telekom tauschen, da die FB ja sonst sowieso ausschließlich für die Verbindung ins Internet da wäre und entsprechend die ganzen Funktionen gar nicht benötigt würden....dass langfristig auch Sniffers und Packet Captures auf pfSense laufen sollen, ist nicht auszuschließen.
-
-
Moin,
wenn Du W-Lan günstig realisieren willst nimm den TL-WR841ND als Accesspoint, mit OpenWRT kann er Multi SSID und VLan, für 15€ ist er zumindest keine Großinvestition. Ich habe ihn nur ersetzt weil ich einen Dualband Accesspoint brauchte, jetzt läuft hier der Archer C7 mit gleichem Setup und OpenWRT. Anscheinend ist der alte C5 von der Hardware gleich, siehe https://blog.thesen.eu/wie-aus-einem-tp-link-archer-c5-ac1200-ein-archer-c7-ac1750-wurde/ ;) beim Archer C5 V2 hat der Hersteller wohl dazu gelernt.
-teddy
-
Hm, eine Möglichkeit, alles über pfSense laufen zu lassen (ohne Abstriche bei der Geschwindigkeit machen zu müssen) gibt es nicht? OpenWRT ist eine gute Sache, ich würde aber am liebsten alles über ein Interface konfigurieren können.
-
Hm, eine Möglichkeit, alles über pfSense laufen zu lassen (ohne Abstriche bei der Geschwindigkeit machen zu müssen) gibt es nicht?
Nicht wenn du aktuelle WiFi Standards und entsprechenden Durchsatz erwartest oder wünschst. Mir wäre momentan keine Karte mit -ac Standard und hoher Transferrate bekannt, die ohne Probleme mit pfSense funktioniert (was oft den Treibern geschuldet ist).Grüße
-
-ac wäre schon gut, mindestens -n sollte auf jedem Fall drin sein. Also noch bin ich nicht fest auf den APU eingestellt. Falls es mit Hardware anderer Hersteller funktionieren würde, wäre auch das eine Lösung.
Oder reicht bei diesen Anforderungen sogar ein TL mit OpenWRT, ggf. in Verbindung mit einem Gigabit Switch für LAN, um hierüber alle Geräte laufen zu lassen?
-
Moin,
…Oder reicht bei diesen Anforderungen sogar ein TL mit OpenWRT, ggf. in Verbindung mit einem Gigabit Switch für LAN, um hierüber alle Geräte laufen zu lassen?
Ich weiß nicht welche Datenmengen Du gleichzeitig transportieren willst, aber ich denke es reicht.
Ich habe hier 5 SSID @ 2,4GHZ und 1 @ 5 GHZ auf einer Kiste, angebunden über 5 V-Lan und bisher war kein Neustart nötig.
Leider kann ich die Uptime nicht mehr auslesen, habe heute morgen ein wenig gebastelt und den C7 neu gestartet aber es sind schon einige Wochen. Meine Zwerge schauen Streams, teilweise jeder 2 gleichzeitig (Handy & Tablett) Internetradio im Bad, 2 Notebooks, insgesamt 5 Handys und 3 Tabletts, es passt.-teddy
-
Ich habe mich noch mal mit pfSense vs. OpenWRT auseinandergesetzt. pfSense scheint mir einfach vielseitiger zu sein.
Was haltet Ihr von dieser Konstellation:
[WAN] -> APU1D4
APU1D4 -> TL-WR814N (oder ND?)
APU1D4 -> TL-SG1008D
(beides per LAN)TL-SG1008D -> Hauptrechner, Heimserver, Backupserver, Pis (LAN)
TL-WR814N -> Laptops, Smartphones, andere Pis, Chromecasts, Spielkram (WIFI)APU1D4 mit pfSense
WR814 mit OpenWRTKann man den WR814 so einrichten, dass er einfach nur an den APU weiterleitet, ich dort aber alle Einstellungen vornehme (Standalone?)? Quasi das Gerät unter pfSense einfach als Interface nutzen? Ich fände es einfach praktischer, alle Einstellungen über ein Interface vornehmen zu können; zudem habe ich gerade noch mal in der VM verglichen und finde pfSense im Vergleich zu OpenWRT einfach vielseitiger.
Es werden schon ziemlich viele Wifi-Geräte verbunden sein; 10 ESP8266 (ggf. später mehr), später kommen noch 5 Digistump Oaks dazu, mind. 1 Pi, 2 Smartphones, 2 Laptops. Plus ggf. GästeWifi. Zwei HD-Streams gleichzeitig plus Softwareupdates sollten gleichzeitig drin sein.
Ihr meint, eine entsprechende Karte im APU (z.B. Bigfoot Networks KillerN-1202, Dualband -n) würde nicht ausreichen, um das Netzwerk zu bespaßen?
-
Moin,
im Accesspoint habe ich die Basics eingerichtet, das ist einmal ein wenig Arbeit aber ich denke überschaubar.
Vlan anlegen, virtuelle Interfaces und Wifi Interfaces, jeweils mit der passenden Brücke ins richtige V-Lan, und die Verschlüsselung für jedes Wifi Interface. Der Rest passiert kompl. in meiner Apu, routing, IP nailing, filter usw.
Ich fürchte aber eher um die Performance im Wifi, da kommt doch einiges mit Gleichzeitigkeitsfaktor zusammen. Wie sieht Deine Wifi Umgebung aus? Musst Du mit vielen Nachbarnetzen leben?
Macht Dualband nicht mehr Sinn für Notebooks & Handys, einfach ins 5GHZ Band legen, sofern unterstützt, dann hättest Du die schon mal aus dem engen 2,4G Band raus?Wieso einen unmanaged Switch? Wenn da nur Clients aus dem selben Netzsegment (V-Lan) reinkommen ist das ok, ansonsten wäre der TL-SG3210 für unter 100€ eine nette Ergänzung bzw. Zyxel GS1910 für 115€ laufen hier beide sauber, wobei ich den 1910 nicht mehr kaufen würde sondern den "großen" Bruder 1920. Der 1910 hat keine Freitextfelder um die Switchports beschriften zu können, der TL-SG3210 kann das. Ganz nett finde ich inzwischen Mac basierte VLan, egal wo Junior seine Spielkonsole steckt, sie landet ich richtigen Netz und hat keinen Zugang zum Lan :P
Der 841N & 841ND unterscheiden sich nur durch abnehmbare Antennen sonst sind sie gleich.
-
Also als Kurzinfo zum WLAN:
Ich würde hier strikt trennen nach Geräten die
a) überhaupt kein 5GHz können
b) 5GHz können aber deren Datentransferrate gering ist
c) WLAN Power brauchen (Laptop/Arbeitsplatz/Streaming Endgeräte)Dann Kurzausflug zu WiFi: Das tollste WLAN Setup nutzt nichts, wenn es einem die Geräte kaputt machen.
Beispiel: Toller AP mit Multichannel 2,4 bzw 5GHz. Kann 450 bzw. 1300MHz im Optimalfall.
Aber: Wenn man Geräte dazwischen hat, die bspw. nur ein Single-Band WLAN Einheit eingebaut haben - und dazu gehören die meisten Smartphones bspw., denn dort wird selten mehrere Antennen verbaut - dann bremsen diese die anderen Geräte aus dem Band aus. Da sich der AP an der Stelle runterhandelt, ist somit dann der Speed-Vorteil meistens dahin. Deshalb wird oft empfohlen, bei Geräten die das unterstützen, gleich 2 oder 3 verschiedene Setups anzulegen: 1x 2,4GHz mit SingleWave (max 150MBit/s), wo man die ganzen langsamen Geräte reinpackt die eh keine große Bandbreite brauchen. Telefone, Raspi Controller o.ä.
Als zweites packt man sich in das (oftmals - hoffentlich noch leerere) 5GHz Netz dann ein Multichannel Setup rein, und konfiguriert sich hier nur die Geräte mit Bumms rein. Laptop, Streaming etc. Über die Separierung bekommt man dann hoffentlich mehr Performance raus weil kein Gerät für Downgrading sorgt.Das Problem mit überlappenden Bereichen bekommt man leider nicht weg, vor allem wenn es immer noch Leute gibt, die es "gut meinen" und dann schräge Kanäle wie 2/3 oder 8 nutzen, weil die anderen ja schon alle auf 1/6/7/11 liegen seufz
Wenn bei euch dazu noch viele SSIDs vorhanden sind, nutzt am Besten den Kanal eines WLANs das sehr stark ist. Nicht eines das mal da ist und mal nicht. Grund dazu: Ein starkes Konkurrenzsignal kann von allen Geräten erkannt werden und man teilt sich die Bandbreite sauber auf. Ein "störendes" da ständig auf und abtauchendes Signal sorgt eher dafür, dass Geräte ständig neu verhandeln und gestört werden, weil sie zwar denken, den kompletten Kanalraum zur Verfügung zu haben, aber dann doch jemand anders dazwischenfunkt. Somit auch weit weg von Kanalinterferenzen halten (wenn bspw. Kanal 1/6/11 genutzt werden und zwischendrin jemand auf 2/3 funkt weil ers nicht besser weiß, weicht auf 11 aus um keine Störstrahlung abzubekommen).Kleiner Exkurs Ende ;)
-
Mac basierte VLan…
Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.
-
Mac basierte VLan…
Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.
Ob das sauber & komplett ist kann ich nicht beurteilen aber hier ist Lesestoff: http://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=002768&lang=EN und für den TP-Link http://www.tp-link.com/at/products/details/?model=TL-SG3210
Ich wollte eigentlich nur statische VLan, aber so langsam nutze ich immer mehr 8)
Echte Kritikpunkte beim Zyxel sind halt keine Freitextfelder und eine kastrierte Konsole, beim TP-Link habe ich mir die Konsole nur sehr flüchtig angesehen.Stromverbrauch beim TP-L ~8W bei 7/10 Ports aktiv, beim Zyxel 6,5W bei 8/24 Ports mit allen Stromsparmaßnahmen aktiv und 8,5 ohne.
Finde ich eigentlich in Ordnung-teddy
-
Erstmal riesen Dank Euch beiden für die ganzen Infos. Der Thread hier hat mich schon gut vorangebracht und wir nähern uns der fertigen Konfiguration :)
Vlan anlegen, virtuelle Interfaces und Wifi Interfaces, jeweils mit der passenden Brücke ins richtige V-Lan, und die Verschlüsselung für jedes Wifi Interface. Der Rest passiert kompl. in meiner Apu, routing, IP nailing, filter usw.
Das klingt gut. Ich glaube, so werde ich es machen. Dann wohl doch lieber in Verbindung mit dem TL-WR841ND, da man hier ggf. noch mal eine Antenne austauschen kann.
Ich fürchte aber eher um die Performance im Wifi, da kommt doch einiges mit Gleichzeitigkeitsfaktor zusammen. Wie sieht Deine Wifi Umgebung aus? Musst Du mit vielen Nachbarnetzen leben?
Kann ich nicht sagen. Das geplante Setup ist für nach meinem Umzug gedacht; aktuell in HH habe ich aktuell ca. 30 Nachbarnetze, demnächst in der Kleinstadt dann hoffentlich entsprechend weniger…
Macht Dualband nicht mehr Sinn für Notebooks & Handys, einfach ins 5GHZ Band legen, sofern unterstützt, dann hättest Du die schon mal aus dem engen 2,4G Band raus?
Stimmt. Da war bei mir wohl gerade der Kaffee alle ::) ;)
Wieso einen unmanaged Switch?
In diesem Fall einfach deshalb, weil das Gerät bei mir neu vorhanden ist ^^ Daran hängen dann die im Büro ansässigen (LAN-)Pis, der Hauptrechner und die Server. Die sollen/können/dürfen sowieso alle im selben VLAN sein. Bzw. die Pis nicht unbedingt, aber das führe ich weiter unten fort*. Der ZYXEL GS1920 reizt mich ja schon etwas. Aber den kann ich immer noch nachrüsten, wenn überhaupt genug Geräte dafür vorhanden sind (in der 28-Switch-Variante drewls :D)
Ich würde hier strikt trennen nach Geräten die a) überhaupt kein 5GHz können b) 5GHz können aber deren Datentransferrate gering ist c) WLAN Power brauchen (Laptop/Arbeitsplatz/Streaming Endgeräte)
Super. So werde ich es machen. Gerade für den kleinen Spielkram ist das ja wohl sinnvoll, damit ich nicht den schnellen Geräten die Möglichkeiten nehme.
Danke auch für den kleinen Exkurs, die Infos haben mir alle sehr weitergeholfen. :)
Ganz nett finde ich inzwischen Mac basierte VLan, egal wo Junior seine Spielkonsole steckt, sie landet ich richtigen Netz und hat keinen Zugang zum Lan :P
Klingt nach einer schönen Lösung. Apropos Mac basiert… kann ich grundsätzlich (also das gesamte Netzwerk, sowohl Wifi als auch LAN, vom Gästenetz mal abgesehen) so einrichten, dass den Geräten nur mit vorgegebener Mac-Adresse Zugang gewährt wird?
Also z.B. die FB7490 hat eine Funktion, nur bekannte Geräte ins Netzwerk zu lassen. Funktioniert soweit bestens, mal angenommen, niemand spooft irgendwelche Mac Adressen und meldet sich per WLAN an... Steckt allerdings jemand sich direkt per LAN an die Box, ist er trotzdem in meinem Heimnetz und kommt von da auch direkt weiter ins Internet, obwohl die Mac Adresse nicht extra freigeschaltet wurde.
*Was mich bezüglich den VLANs noch brennend interessiert: ich wollte ja wie gesagt bestimmten Geräten, die ausschließlich lokal und untereinander kommunizieren sollen, ein extra VLAN einrichten. So weit, so gut. Aber mindestens derjenige "Server-Pi", der diese Geräte steuern soll, müsste eigentlich sowohl in deren VLAN sein (um sie zu steuern), als auch in meinem privaten VLAN, damit ich ihn anweisen kann, die Geräte entsprechend zu steuern?
Aktuell sieht meine Konfiguration so aus:
APU1D4, pfSense, mit 16GB mSATA SSD+, Embedded Box; brauche ich das Mounting Kit dazu auch, oder kriege ich die mSATA auch so gut dran?
TL-WR841ND, OpenWRT
TL-SG1008D (weil eh schon vorhanden) -
Moin,
die mSata wird im Sockel arretiert und fertig kein Zubehör nötig.
Der TL-WR841ND kann kein DualBand, nur falls Du out of coffee bist ;)
müsste eigentlich sowohl in deren VLAN sein (um sie zu steuern), als auch in meinem privaten VLAN, damit ich ihn anweisen kann, die Geräte entsprechend zu steuern?
Dafür hast Du ja dann pfSense am Start, da legst Du dann fest wer wohin darf.
Du erlaubst Deinem Rechner einfach den Zugriff auf den "Master-Pi" im anderen Netz, dann darf der Rechner und kein anderer.kann ich grundsätzlich (also das gesamte Netzwerk, sowohl Wifi als auch LAN, vom Gästenetz mal abgesehen) so einrichten, dass den Geräten nur mit vorgegebener Mac-Adresse Zugang gewährt wird?
Deny unknown clients If this is checked, only the clients defined below will get DHCP leases from this server.-teddy
Nachtrag: Zum 841: Wenn Du da anfängst Deine V-Lans zu konfigurieren mach öfter mal ein Backup vom laufenden Setup auf Deinem PC.
Ich habe mich einige male ausgesperrt und war dankbar, das ich nicht ganz von vorne anfangen musste sondern einfach Factory Reset und Backup einspielen, nächster Versuch 8) -
Der TL-WR841ND kann kein DualBand, nur falls Du out of coffee bist ;)
D'oh! Kannst Du eine Alternative empfehlen, die preislich ungefähr auf demselben Niveau liegt?
Du erlaubst Deinem Rechner einfach den Zugriff auf den "Master-Pi" im anderen Netz, dann darf der Rechner und kein anderer.
Bingo! Genau so soll das sein :)
Wenn Du da anfängst Deine V-Lans zu konfigurieren mach öfter mal ein Backup vom laufenden Setup auf Deinem PC. Ich habe mich einige male ausgesperrt und war dankbar, das ich nicht ganz von vorne anfangen musste sondern einfach Factory Reset und Backup einspielen, nächster Versuch 8)
Danke!! Ich wette, dass ich mir Anfangs auch mehrmals die Config zerschießen werde, sehr wertvoller Tipp!
-
D'oh! Kannst Du eine Alternative empfehlen, die preislich ungefähr auf demselben Niveau liegt?
Was ist denn preislich das Niveau? ~30€? oder 50? 70? Was darf es denn maximal sein?Die Archer C5/C7 sollen ja nach OpenWRT Sicht nicht schlecht sein, allerdings scheints da mehrere Hardware Versionen zu geben, manche weniger manche mehr geeignet für OpenWRT (bei einigen wird wohl 5GHz nicht sauber unterstützt zumindest beim C7).
Ich habe gerade selbst nach langem Hadern mein Netgear Ufo (ein R7500) mit QuadBand blabla wieder zum Rückversand eingepackt. Das Ding kann zwar viel, aber als reiner Access Point nicht mal VLANs, das 5GHz WLAN bricht manchmal einfach weg etc. das ist enttäuschend für ein Gerät im 200€ Segment (zumindest als er raus kam). Und da ich bemerkt habe, dass ich kaum WLAN Leistung wirklich abrufe, aber statt dessen sowas wie VLANs etc. gebrauchen könnte, lasse ich es jetzt mal auf einen Versuch ankommen und habe einen C7 bestellt und hoffe ich bekomme eine V2 Kiste auf die ich ordentlich OpenWRT draufschippern kann.
Grüße
-
Wenn es für ~30 EUR schon etwas gibt, was die Anforderungen erfüllt, würde ich sehr gerne erst einmal damit arbeiten. Der Archer ist mir ein bisschen zu teuer… Meine 7490 und 3270 können Dualband, aber kein VLAN :/
-
Mein persönlicher Favorit für solche Anlässe ist ein RuckusWireless ZoneFlex 7363 aus der eBucht.
Offiziell ist das Gerät ausgelaufen, was mich nicht wirklich stört. Technisch ist das feinste Machart und kämpft in der Region von Aruba und den großen Cisco APs.
Dagegen kann jeder LinkSys/Belkin/Netgedöns/TP-Link einfach einpacken (wenngleich ich TP-Link [Switche] schätze und seit der Cebit in diesem Jahr sogar noch mehr…). -
@jahonix: was macht in deiner Erfahrung die ZoneFlex so besonders? Ich wäre ja dem neuen WRT1900AC nicht abgeneigt gewesen aber a) zu teuer und b) erst viel zu späte Unterstützung von den -WRT Geschichten schreckt mich da ab. Ich grüble immer noch, ob nicht ein Ubiquiti AP Sinn machen würde, da der Controller mit seiner ganzen Logik ja frei ist und damit auch VLAN, 802.1X und Co möglich sein sollten…
-
Zu den Ubiquiti Geräten kann ich gar nix sagen, ich habe außer mit einer miserabel funktionierenden NanoStation Loco M5 keinerlei Erfahrungen.
Die ZoneFlex Geräte verwenden ein sehr gut funktionierendes Beam-Steering, haben mächtig Durchsatz und sind eben so gebaut (Hardware, Firmware, Support) wie ich mir das von "Enterprise Grade Hardware" vorstelle. Das ist kein Vergleich zu Consumer-Produkten.
Da es an den Geräten keine Abnutzung gib, finden ich Preise um 100,- € in der eBucht sehr angemessen.Und dann gibt es neuerdings wohl noch XClaim als günstigere Schwesterfirma zu Ruckus mit kostenlosem Cloud-Manager. D.h., den Controller von Ubiquiti bekommt man als Managed Service mit dazu.
-
Ich werde nun einfach mal den APU bestellen.
Wifitechnisch bin ich immer noch unsicher. Die genannten Möglichkeiten sind mir ehrlich gesagt zu teuer, zumal wenn alles gleichzeitig gekauft werden soll. Muss ich ggf. nachrüsten. Oder kennt Ihr noch ein Gerät mit Dualband, VLAN und OpenWRT, das man relativ günstig bekommen kann?