Fb mit pfSense (welche Hardware)?
-
Mac basierte VLan…
Ist das in dem Switch als Teil von 802.1x implementiert (Neugier)? :) Für so ein günstiges Gerät wär das wirklich fein.
Ob das sauber & komplett ist kann ich nicht beurteilen aber hier ist Lesestoff: http://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=002768&lang=EN und für den TP-Link http://www.tp-link.com/at/products/details/?model=TL-SG3210
Ich wollte eigentlich nur statische VLan, aber so langsam nutze ich immer mehr 8)
Echte Kritikpunkte beim Zyxel sind halt keine Freitextfelder und eine kastrierte Konsole, beim TP-Link habe ich mir die Konsole nur sehr flüchtig angesehen.Stromverbrauch beim TP-L ~8W bei 7/10 Ports aktiv, beim Zyxel 6,5W bei 8/24 Ports mit allen Stromsparmaßnahmen aktiv und 8,5 ohne.
Finde ich eigentlich in Ordnung-teddy
-
Erstmal riesen Dank Euch beiden für die ganzen Infos. Der Thread hier hat mich schon gut vorangebracht und wir nähern uns der fertigen Konfiguration :)
Vlan anlegen, virtuelle Interfaces und Wifi Interfaces, jeweils mit der passenden Brücke ins richtige V-Lan, und die Verschlüsselung für jedes Wifi Interface. Der Rest passiert kompl. in meiner Apu, routing, IP nailing, filter usw.
Das klingt gut. Ich glaube, so werde ich es machen. Dann wohl doch lieber in Verbindung mit dem TL-WR841ND, da man hier ggf. noch mal eine Antenne austauschen kann.
Ich fürchte aber eher um die Performance im Wifi, da kommt doch einiges mit Gleichzeitigkeitsfaktor zusammen. Wie sieht Deine Wifi Umgebung aus? Musst Du mit vielen Nachbarnetzen leben?
Kann ich nicht sagen. Das geplante Setup ist für nach meinem Umzug gedacht; aktuell in HH habe ich aktuell ca. 30 Nachbarnetze, demnächst in der Kleinstadt dann hoffentlich entsprechend weniger…
Macht Dualband nicht mehr Sinn für Notebooks & Handys, einfach ins 5GHZ Band legen, sofern unterstützt, dann hättest Du die schon mal aus dem engen 2,4G Band raus?
Stimmt. Da war bei mir wohl gerade der Kaffee alle ::) ;)
Wieso einen unmanaged Switch?
In diesem Fall einfach deshalb, weil das Gerät bei mir neu vorhanden ist ^^ Daran hängen dann die im Büro ansässigen (LAN-)Pis, der Hauptrechner und die Server. Die sollen/können/dürfen sowieso alle im selben VLAN sein. Bzw. die Pis nicht unbedingt, aber das führe ich weiter unten fort*. Der ZYXEL GS1920 reizt mich ja schon etwas. Aber den kann ich immer noch nachrüsten, wenn überhaupt genug Geräte dafür vorhanden sind (in der 28-Switch-Variante drewls :D)
Ich würde hier strikt trennen nach Geräten die a) überhaupt kein 5GHz können b) 5GHz können aber deren Datentransferrate gering ist c) WLAN Power brauchen (Laptop/Arbeitsplatz/Streaming Endgeräte)
Super. So werde ich es machen. Gerade für den kleinen Spielkram ist das ja wohl sinnvoll, damit ich nicht den schnellen Geräten die Möglichkeiten nehme.
Danke auch für den kleinen Exkurs, die Infos haben mir alle sehr weitergeholfen. :)
Ganz nett finde ich inzwischen Mac basierte VLan, egal wo Junior seine Spielkonsole steckt, sie landet ich richtigen Netz und hat keinen Zugang zum Lan :P
Klingt nach einer schönen Lösung. Apropos Mac basiert… kann ich grundsätzlich (also das gesamte Netzwerk, sowohl Wifi als auch LAN, vom Gästenetz mal abgesehen) so einrichten, dass den Geräten nur mit vorgegebener Mac-Adresse Zugang gewährt wird?
Also z.B. die FB7490 hat eine Funktion, nur bekannte Geräte ins Netzwerk zu lassen. Funktioniert soweit bestens, mal angenommen, niemand spooft irgendwelche Mac Adressen und meldet sich per WLAN an... Steckt allerdings jemand sich direkt per LAN an die Box, ist er trotzdem in meinem Heimnetz und kommt von da auch direkt weiter ins Internet, obwohl die Mac Adresse nicht extra freigeschaltet wurde.
*Was mich bezüglich den VLANs noch brennend interessiert: ich wollte ja wie gesagt bestimmten Geräten, die ausschließlich lokal und untereinander kommunizieren sollen, ein extra VLAN einrichten. So weit, so gut. Aber mindestens derjenige "Server-Pi", der diese Geräte steuern soll, müsste eigentlich sowohl in deren VLAN sein (um sie zu steuern), als auch in meinem privaten VLAN, damit ich ihn anweisen kann, die Geräte entsprechend zu steuern?
Aktuell sieht meine Konfiguration so aus:
APU1D4, pfSense, mit 16GB mSATA SSD+, Embedded Box; brauche ich das Mounting Kit dazu auch, oder kriege ich die mSATA auch so gut dran?
TL-WR841ND, OpenWRT
TL-SG1008D (weil eh schon vorhanden) -
Moin,
die mSata wird im Sockel arretiert und fertig kein Zubehör nötig.
Der TL-WR841ND kann kein DualBand, nur falls Du out of coffee bist ;)
müsste eigentlich sowohl in deren VLAN sein (um sie zu steuern), als auch in meinem privaten VLAN, damit ich ihn anweisen kann, die Geräte entsprechend zu steuern?
Dafür hast Du ja dann pfSense am Start, da legst Du dann fest wer wohin darf.
Du erlaubst Deinem Rechner einfach den Zugriff auf den "Master-Pi" im anderen Netz, dann darf der Rechner und kein anderer.kann ich grundsätzlich (also das gesamte Netzwerk, sowohl Wifi als auch LAN, vom Gästenetz mal abgesehen) so einrichten, dass den Geräten nur mit vorgegebener Mac-Adresse Zugang gewährt wird?
Deny unknown clients If this is checked, only the clients defined below will get DHCP leases from this server.-teddy
Nachtrag: Zum 841: Wenn Du da anfängst Deine V-Lans zu konfigurieren mach öfter mal ein Backup vom laufenden Setup auf Deinem PC.
Ich habe mich einige male ausgesperrt und war dankbar, das ich nicht ganz von vorne anfangen musste sondern einfach Factory Reset und Backup einspielen, nächster Versuch 8) -
Der TL-WR841ND kann kein DualBand, nur falls Du out of coffee bist ;)
D'oh! Kannst Du eine Alternative empfehlen, die preislich ungefähr auf demselben Niveau liegt?
Du erlaubst Deinem Rechner einfach den Zugriff auf den "Master-Pi" im anderen Netz, dann darf der Rechner und kein anderer.
Bingo! Genau so soll das sein :)
Wenn Du da anfängst Deine V-Lans zu konfigurieren mach öfter mal ein Backup vom laufenden Setup auf Deinem PC. Ich habe mich einige male ausgesperrt und war dankbar, das ich nicht ganz von vorne anfangen musste sondern einfach Factory Reset und Backup einspielen, nächster Versuch 8)
Danke!! Ich wette, dass ich mir Anfangs auch mehrmals die Config zerschießen werde, sehr wertvoller Tipp!
-
D'oh! Kannst Du eine Alternative empfehlen, die preislich ungefähr auf demselben Niveau liegt?
Was ist denn preislich das Niveau? ~30€? oder 50? 70? Was darf es denn maximal sein?Die Archer C5/C7 sollen ja nach OpenWRT Sicht nicht schlecht sein, allerdings scheints da mehrere Hardware Versionen zu geben, manche weniger manche mehr geeignet für OpenWRT (bei einigen wird wohl 5GHz nicht sauber unterstützt zumindest beim C7).
Ich habe gerade selbst nach langem Hadern mein Netgear Ufo (ein R7500) mit QuadBand blabla wieder zum Rückversand eingepackt. Das Ding kann zwar viel, aber als reiner Access Point nicht mal VLANs, das 5GHz WLAN bricht manchmal einfach weg etc. das ist enttäuschend für ein Gerät im 200€ Segment (zumindest als er raus kam). Und da ich bemerkt habe, dass ich kaum WLAN Leistung wirklich abrufe, aber statt dessen sowas wie VLANs etc. gebrauchen könnte, lasse ich es jetzt mal auf einen Versuch ankommen und habe einen C7 bestellt und hoffe ich bekomme eine V2 Kiste auf die ich ordentlich OpenWRT draufschippern kann.
Grüße
-
Wenn es für ~30 EUR schon etwas gibt, was die Anforderungen erfüllt, würde ich sehr gerne erst einmal damit arbeiten. Der Archer ist mir ein bisschen zu teuer… Meine 7490 und 3270 können Dualband, aber kein VLAN :/
-
Mein persönlicher Favorit für solche Anlässe ist ein RuckusWireless ZoneFlex 7363 aus der eBucht.
Offiziell ist das Gerät ausgelaufen, was mich nicht wirklich stört. Technisch ist das feinste Machart und kämpft in der Region von Aruba und den großen Cisco APs.
Dagegen kann jeder LinkSys/Belkin/Netgedöns/TP-Link einfach einpacken (wenngleich ich TP-Link [Switche] schätze und seit der Cebit in diesem Jahr sogar noch mehr…). -
@jahonix: was macht in deiner Erfahrung die ZoneFlex so besonders? Ich wäre ja dem neuen WRT1900AC nicht abgeneigt gewesen aber a) zu teuer und b) erst viel zu späte Unterstützung von den -WRT Geschichten schreckt mich da ab. Ich grüble immer noch, ob nicht ein Ubiquiti AP Sinn machen würde, da der Controller mit seiner ganzen Logik ja frei ist und damit auch VLAN, 802.1X und Co möglich sein sollten…
-
Zu den Ubiquiti Geräten kann ich gar nix sagen, ich habe außer mit einer miserabel funktionierenden NanoStation Loco M5 keinerlei Erfahrungen.
Die ZoneFlex Geräte verwenden ein sehr gut funktionierendes Beam-Steering, haben mächtig Durchsatz und sind eben so gebaut (Hardware, Firmware, Support) wie ich mir das von "Enterprise Grade Hardware" vorstelle. Das ist kein Vergleich zu Consumer-Produkten.
Da es an den Geräten keine Abnutzung gib, finden ich Preise um 100,- € in der eBucht sehr angemessen.Und dann gibt es neuerdings wohl noch XClaim als günstigere Schwesterfirma zu Ruckus mit kostenlosem Cloud-Manager. D.h., den Controller von Ubiquiti bekommt man als Managed Service mit dazu.
-
Ich werde nun einfach mal den APU bestellen.
Wifitechnisch bin ich immer noch unsicher. Die genannten Möglichkeiten sind mir ehrlich gesagt zu teuer, zumal wenn alles gleichzeitig gekauft werden soll. Muss ich ggf. nachrüsten. Oder kennt Ihr noch ein Gerät mit Dualband, VLAN und OpenWRT, das man relativ günstig bekommen kann?
-
Servus,
mir ist Flexibilität und Standarthardware sehr wichtig. Daher verbaue ich sehr oft ein Gigabyte GA-J1900N-D3V (4x2GHz Celeron) in einem Gehäuse mit Pico-PSU. Dazu 4 GB S0-DIMM und eine 2,5Zoll SSD. Kostet alles in allem keine 200 Euro und braucht ca. 15W. Die Kiste hat zwei LAN-Anschlüsse und - je nach Gehäuse - noch einen PCI + miniPCIe. Völlig ausreichend. LAN-VLANs tagge ich immer schön und lass den Rest die Switches machen. Preislich unschlagbar ist der Netgear GS108e. Ich würde nur noch v3 kaufen, die anderen nerven etwas. v3 hat endlich auch ein Webinterface und nicht nur diese blöde Software von Netgear.WLAN-AP: Solange man DD-WRT aufspielt ist TP-Link ok. Asus macht mir bisher auch recht viel Freude. Ansonsten selbstverständlich Linksys / Cisco. Jedenfalls habe ich auf meinen APs auch SSIDs für jedes gewünschte VLAN. Etwaige Probleme lassen sich locker durch einen gelegentlichen Neustart der Router lösen. Nicht schön, manchmal aber notwendig.DD-WRT läuft nicht immer so geil wie erhofft.
Von diesen Mini-Alix und APU halte aus folgendem Grund nichts: Sie sind nicht wartungsfreundlich bzw. konfigurierbar und haben oft nur eine SD-Karte.
Grüße
EDIT: Was ich die DD-WRT immer noch nicht ganz verstanden habe: Manche APs lassen sich über die GUI die VLANs konfigurieren, andere wiederum nur über ein Bootscript. Die Abweichung zu dieser Liste hier dürfte recht groß sein: http://www.dd-wrt.com/wiki/index.php/VLAN_Support
-
Zu @tpf nur meinen eigenen Senf aus der Erfahrung (wirklich subjektiv):
der J1900 Celeron: ist leider m.W. eine Desktop CPU und hat keinerlei AES-NI oder Quickassist, weswegen zwar seine Leistungsaufnahme toll (gering) ist, aber er an der Stelle (für pfSense) auch keinen wirklichen Mehrwert bietet. Klar, höherer Takt, mehr Kerne sind schön, aber wenn man mit größeren Crypto Vorhaben / VPN anfängt, ist er da ähnlich im Nachteil wie die APU ggü. den neuen Rangeley Atom CPUs (2x58 oder 2x50er). Muss man an der Stelle abwägen was man möchte. :)
Was Wartungsfreundlichkeit einer ALIX/APU angeht: halte ich für ein Gerücht ;) Ich habe Kunden, die die Dinger im Dutzend einsetzen gerade weil sie die fertig bespielt und mit Software bestückt ausliefern können und alles was der Kunde ggf. machen darf ist im Notfall die SD Karte tauschen (neue hinschicken - reinschieben - fertig). Das halte ich für je nach Einsatzzweck sehr wartungsfreundlich. Und da die Dinger recht günstig sind, halten solche Firmen auch gleich ein zwei Kisten inkl. Netzteile auf Lager. Funktioniert toll. :D Und das gerade WEIL sie nur die SD Karte haben, der Endkunde kann ggf. gar nichts falsch machen und braucht auch nichts zu tun. Dem kann man dann auch ne SD Karte schicken, austauschen, reboot, go.
Netgear Switch: in der Ordnung GS108e oder 116e o.ä. halte ich die Dinger leider für Schrott. Ja sind grün, brauchen wenig Strom, kein Lüfter etc. etc., aber dafür sind mir schon zu viele von den Dingern abgeraucht, machen komische Seiteneffekte, haben seltsame Wackelkontakte (gerade erst wieder einen GS105e zurückbekommen - Cat6 Kabel rein und etwas Wackeln -> Switch Reset). Danke, aber nein danke. Natürlich ist das subjektiv, aber es geht wohl nicht nur mir so ;)
WiFi AP: Bei den custom Firmwares stehe ich leidgeprüft auf dem Stand: wenn du wählen kannst, und eine Wahl OpenWRT ist, willst du OpenWRT. Punkt :D Dazu bin ich durch zu viele DDWRT Bugversionen gegangen. Und ich hab auch mit Linksys (by Belkin inzwischen, Cisco hat nichts mehr mit Endkundengeschäft zu tun) geliebäugelt, aber wenn ich ne Kiste bewerbe mit "WRT fähig" ab Werk und dann etliche Monate brauche, bis ich endlich die Treiber der Community öffne, damit die überhaupt mal ne Version bauen können, bin ich da nicht ganz so erbaut von. Entweder ist das Ding offen oder nicht. Dann hätte man aber auch gleich andere NICs verbauen können (bspw. ath statt den Broadcom) aber nunja. Gab ja genug Kritik dazu. :)
Aber wie immer - jeder hat sein eigenes Steckenpferd :)
-
Servus,
die eingesetzte Hardware schwankt mit dem Einsatzzweck und der war hier ausdrücklich nicht Enterprise. Klar, in einer Enterpriseumgebung fang ich mit dem Zeug nicht an, zahle aber auch entsprechend. Ebenfalls klar ist das C-Atom-Produkt wesentlich besser, oft aber auch überdimensioniert und dadurch auch zu teuer. Mir sind die Einschränkungen ohne SSD einfach viel zu groß, als das sich das preislich irgendwie rechtfertigen würde.300MBit OpenVPN habe ich schon hinbekommen. Einen Anschluss, Glas mal ausgenommen, was aber auch wieder Enterprise ist(komm mir jetzt bitte keiner mit den paar T-COM-Glas für Endkunden ;D), gibts in D so nicht. Somit wären wir wieder bei der Anforderung ;)
-
@tpf: Kabel Kunden haben im Downstream mitunter problemlos schon 200MBit, es wird weiter ausgebaut - wir kommen da also schon an die Schmerzgrenze ;) Und bei mir ist das auch durchaus etwas, was ich aus dem Berufsumfeld mit nach Hause nehme, denn da ist es mir erst recht wichtig, dass ich nach Arbeit abschalten kann und nicht weiterbasteln muss ;) Deshalb darf dann eben gern die Komponente (wie Switch) statt 50 mal 100€ kosten, wenn sie dafür Ruhe gibt, macht was sie soll und nebenbei noch VLAN und Krams kann, womit man das "Zuhause" wieder etwas besser absichern kann. Da bin ich durchaus auch im privaten nicht gern an "günstigen" Lösungen interessiert, sondern will dass es läuft.
Ob ich da jetzt SSD brauche oder SD Karte reicht - nuja das hängt von den Paketen ab. Mir würds reichen. :) -
aber wenn man mit größeren Crypto Vorhaben / VPN anfängt
Für den privaten Bereich sollte es aber langen, oder? D.h., von unterwegs aus wären ggf. ab und zu mal zwei Smartphones und zwei Laptops per VPN verbunden, ggf. auch nur je eins der Geräte. Das sollte der APU problemlos bewältigen…?
Wifitechnisch schwanke ich nun zwischen dem TL-WR1043ND (45 EUR) und TL-WDR3600 (55 EUR). Beide können OpenWRT und Dualband; andererseits bin ich mit dem Archer C7 mit knapp dem doppelten Betrag dabei, was langfristig gesehen auch okay wäre (bei letzterem müsste ich dann aber Glück haben und die richtige Hardwareversion erwischen, damit trotz OpenWRT auch 5GHz problemlos laufen).
-
Für den privaten Bereich sollte es aber langen, oder? D.h., von unterwegs aus wären ggf. ab und zu mal zwei Smartphones und zwei Laptops per VPN verbunden, ggf. auch nur je eins der Geräte. Das sollte der APU problemlos bewältigen…?
JupWifitechnisch schwanke ich nun zwischen dem TL-WR1043ND (45 EUR) und TL-WDR3600 (55 EUR). Beide können OpenWRT und Dualband;
Öhm, woher nimmst du die Erkenntnis, dass die DualBand haben? Beim 1043 sehe ich das nirgends. Der 3600 - ja. Da stehts auch explizit bei, allerdings eben bis Standard-n also 300 da nur 2 Bänder (anstatt 450 mit 3 Bändern).
Aber der 1043 hat Standard-n im 2,4er Band und gut. Da lese ich nichts von gleichzeitigem 5GHz Betrieb.Gruß
-
Moin,
Da bin ich durchaus auch im privaten nicht gern an "günstigen" Lösungen interessiert, sondern will dass es läuft.
Ich hingegen mag günstige Lösungen, hasse aber billige Lösungen 8)
Das ganze hat mir mal einen 50€ Gutschein von einem großen Brillenladen beschert, weil ich mich darüber beschwert hatte das das der Verkäufer günstig mit billig gleichgesetzt hat.-teddy
-
…Deshalb darf dann eben gern die Komponente (wie Switch) statt 50 mal 100€ kosten, wenn sie dafür Ruhe gibt...
Noch so einer, Du wirst mir immer sympathischer. ;D
Das ist mir persönlich (inzwischen) auch viel lieber, wenn die Geräte bei mir daheim einfach nur stressfrei laufen, als dass ich ein paar Euro spare.
Die Familie ist glücklich, und ich habe Zeit für sie. Das ist mit Geld nicht zu bezahlen.Netgear Switch: in der Ordnung GS108e oder 116e o.ä. halte ich die Dinger leider für Schrott. Ja sind grün, brauchen wenig Strom, kein Lüfter etc. etc., aber dafür sind mir schon zu viele von den Dingern abgeraucht, machen komische Seiteneffekte, haben seltsame Wackelkontakte (gerade erst wieder einen GS105e zurückbekommen - Cat6 Kabel rein und etwas Wackeln -> Switch Reset). Danke, aber nein danke. Natürlich ist das subjektiv, aber es geht wohl nicht nur mir so ;)
Nope, das ist nicht subjektiv.
Um Netgedöns mache ich seit Langem einen weiten Bogen und zwar aus genau diesem Grund.
Von 6 Netgedöns Geräten, die ich je in den Fingern hatte, hat genau einer überlebt. Und das war ein 16-port Gibt unmanaged IIRC.
Der Rest ging sofort oder innerhalb von 2 Tagen zurück, da defekt.
Und da trifft dann wieder obiger Punkt zu: dafür ist mir meine Zeit zu schade.
Lieber gleich richtig kaufen und Ruhe haben. Selbst das Einrichten komplizierterer Setups geht schneller von der Hand, da ich die Geräte bereits kenne und mich nicht erst in die Eigenheiten einarbeiten muss.Kürzlich habe ich eine nette Aussage gehört, die sich viel zu oft als richtig herausgestellt hat:
Wer (dem Kunden) beim Sparen hilft, der kann selbst nichts gewinnen.
Das lässt sich auch 1:1 auf meine Zeit anwenden. -
Ich hingegen mag günstige Lösungen, hasse aber billige Lösungen 8)
Da die Zeit für Engineering, Produkt-Recherche etc. dazuzurechnen ist, erachte ich eine bestehende Lösung für mehr monetäre Gegenmittel als günstiger.
Meine Freizeit kann ich mir mit keinem Geld der Welt wieder kaufen. Und von Freizeit habe ich definitiv zu wenig, aber das ist eine andere Geschichte. -
Da gehts mir wie Chris, mir ist inzwischen einfach meine Freizeit mehr wert als ständig überall Feuerwehr spielen zu müssen ;) Deshalb auch die "" um günstig. Ich wollte da nicht billig sagen, denn nicht immer sind die Lösungen im Vergleich tatsächlich billig aber funktionieren dann einfach wie "Ramsch". So steh ich eben bspw. mit Netgear ziemlich auf Kriegsfuß und nachdem ich jetzt sogar deren WLAN UFO (R7000 Nighthawk) habe zurückgehen lassen, weil das Ding für ~200€ ständig sein 5GHz Band verliert (und das geht wohl nicht nur mir so), bin ich da einfach von geheilt.
Früher hätte ich wahrscheinlich auch lieber noch mehr gebastelt. :) So wird man alt :DBeim WLAN bin ich jetzt aber den Schritt zu "günstig" gegangen. Das sauteure schlechte Ufo kam weg, dafür jetzt der Archer C7, da weiß ich wenigstens, dass ich notfalls OpenWRT drauf flashen kann und hab noch nen zweiten Versuch und so wichtig ist mir WLAN als Haupt Medium nicht. Deshalb momentan noch Werksfirmware, sobald OpenWRT CC rauskommt, dann ggf. die rauf und dann mal mit VLANs und so integrieren. Aber hauptsache erstmal es läuft 2/5GHz Band WLAN und die Geräte gehen. Ständig nen 200€ Router rebooten zu müssen ist einfach nicht OK. Deshalb leider Netgear auf die schwarze Liste ;)