VPN auf Basis von PFSense aufbauen, ohne Veränderung am vorhandenen Netzwerk.
-
Es sollen sich (zum Glück) nur Clients einloggen können, deine Punkte sind alle verständlich. Ja, es ist ein Anschluss mit Dynamischer IP Adresse.
Ich bekomme in Kürze alle notwendigen Daten des Netzwerks und kann evt. hier weiter darauf eingehen. Vielen Dank für den schnellen Post :D
2.) Default GW und DNS auf den Telekom Router zeigen lassen.
Thomas
-
Hi!
5.) dynDNS oder no-ip.net oder ähnliches, um einen eindeutigen Namen für den Zugriff zu haben (falls Du dynamische IP's vom Provider bekommst) - kann die pfsense machen.
Wie soll das die pfSense machen, wenn die im LAN hängt und von der dynamischen Public IP gar nichts weiß? Dazu müsste die pfSense einen exernen Dienst abfragen, der ihr die public IP zurück gibt. Solche Dienste gibt es zwar, wüsste aber nicht, dass pfSense mit einem dieser kompatibel wäre. Hab ich ein Wissensdefizit?
Besser ist wohl Aufgabe des Telekom Router.
-
Moin,
Wie soll das die pfSense machen, wenn die im LAN hängt und von der dynamischen Public IP gar nichts weiß? …
Sollte kein Problem sein, siehe https://forum.pfsense.org/index.php?topic=94858.msg528006#msg528006
Ich hatte es kurzzeitig am laufen mit dem kostenpflichtigen dyn DNS Angebot von Selfhost, einwandfrei.
War halt auf eine Fritzbox als DSL Modem angewiesen weil das reine Modem im Poststreik fest hing :(-teddy
-
Thx. Mit Cron Abfrage. Alles klar. Aber wie du schreibst, nur wenn es nicht anders geht.
Themen, die "FritzBox" beinhalten, beachte ich einfach nicht. Manchmal könnte ich davon aber doch auch was lernen. ;)
-
PFSense soll "nur" auf einem Raspberry PI installiert werden und an einen freien Port des Routers angeschlossen werden. Gibt es hier spezielle Fallstricke zu beachten?
Mal von allen anderen Antworten abgesehen, sticht doch das hier am meisten raus: Das wird nicht gehen. Ich wüsste nicht, dass der ARM Port von pfSense a) production ready ist und b) es überhaupt sauber auf einem RasPi läuft. Zudem wäre die Kiste nicht in der Lage den NIC ordentlich auszufüllen.
Daher -> Sorry.
-
Hi,
Standard Telekom Router mit DHCP auf On. Firewall etc. läuft ebenfalls über die Box.
Dann schalte DHCP ab und häng halbwegs vernünftige Hardware mit der pfSense dahinter.
Das geht bei einem ALIX2D13 los, besser APU….
Wie das @JeGr schon richtig gepostet hat, ich gehe da noch weiter, ist eher was für den Gartenanbau..... ;D
https://www.google.de/search?q=Raspberry&tbm=isch&tbo=u&source=univ&sa=X&ved=0CDkQsARqFQoTCImMx43hh8cCFQayFAodkuIAuA&biw=1390&bih=724
Wie das mit einem ALIX zu machen ist steht hier.....
http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
Wenn das hier ernst gemeint ist….Es ist ein Netzwerk mit Standardkonfiguration gegeben das NICHT ANGEPASST werden darf.
….dann lass einfach die Finger davon. ;)
Gruß orcape -
Hallo, mach doch einfach den Telekom Router zu einem "nur" Modem, (bridged mode) und lass
Ihn einfach vor der pfSense "stehen", fertig ist der Lack. Kein normaler Netzwerker hat solche
Vorgaben zu erfüllen.Sollte das aber wirklich nicht anders erlaubt sein kann man gerne auch einen kleinen VPN Server
hinter dem Telekom Router laufen lassen, mittels "port foward" sollte das möglich sein, ist aber immer
etwas dumm wenn man vorne am WAN Interface Ports öffnet. Dann lieber einen kleinen RaspBerry PI 2
mit Raspian Linux dahinter und OpenVPN Server drauf. Dazu braucht es dann auch nicht pfSense mit
dem ganzen Ballast dazu und der so oder so nicht auf dem RAPI läuft.Der RAPI2 kostet um die 50 €, dann spare leiber etwas und kaufe Dir wie schon angesprochen wurde
eine kleine Alix APU Kiste mit pfSense drauf oder sogar gleich eine SG-2220.Den Telekom Router als Modem nutzen wäre hier aber die einfachste Variante.
Es ist ein Netzwerk mit Standardkonfiguration gegeben das NICHT ANGEPASST werden darf.
Das hört sich ja auch an,…. Gut manchmal weiß man es eben nicht besser zu formulieren.
Das ist wie; "Die normale Straßenbahn zum Einheitspreis."
- Der Preis dafür ist in jedem Bundesland unterschiedlich
- Und die Bahn selber sieht auch immer unterschiedlich aus
-
@BlueKobold:
pfSense ist ja ein abgespecktes FreeBSD um gerade keinen unnötigen Balast zu haben. Aber seis drum, selbst wenn du mit einem Raspian auf den Raspi um die Ecke kommst, ist der Netzwerkport immer noch auf der gleichen Schiene wie USB2 etc. angebunden und packt schonmal keine 100MBit vollständig. Da ist allein schonmal ne Bremse drin. Gut, die braucht man vielleicht nicht wenn man ein paar Bit VPN haben will, aber da ist das erste Bottleneck. Das zweite ist der SOC. Das Ding ist nicht für Enc/Dec Power optimiert und gebaut, sondern mehr ein Allzweck und Günstig SOC.
Die letzten Tests die ich gesehen habe, rangieren einen Raspi 1 bei rund 5-10MBit MAX Durchsatz bei VPN und das bei 100% CPU Last, da es keinen Beschleuniger gibt, der genutzt werden kann. Und das hängt davon ab, welches Encoding genutzt wird (Default AES-128-CBC oder AES-256-CBC)
Raspi2 soll laut https://i.imgur.com/6Dk3QMk.png bei rund 30MBit/s liegen, das würde dann wohl aber auch Max sein und die CPU hängt am Anschlag.Wenn das in Ordnung ist, dann kann man das so gern nutzen, aber solche Installationen haben meiner Erfahrung nach die Tendenz zu wachsen (Hey da können wir noch X mit machen). Und beim Raspi ist der Ofen eben aus, da durch das geteilte Layout des Busses, nie auch nur 100MBit erreicht werden.
Grüße
-
@Blue: Ich habe jetzt erstmal keine Ahnung - vielleicht hab ich was in der Eile überlesen - was du mit einem USB Modem willst. Ich lese da nur was von Standard Telekom Router der ggf. als Modem funktioniert. Da ist nirgends was von USB Modem am Start?
Natürlich wäre es dann sinnvoller überhaupt Connect zu haben als keinen. Aber wie gesagt kann ich das, was du gerade schreibst nicht in Einklang bringen mit dem was der OP oben angefragt hat :) Ich habe mit meiner Aussage auch nicht bestritten, dass man mit Raspi + Linux ggf. (andere) Fälle abdecken kann, ich sehe nur nicht, was das im vorliegenden Fall bringt - vielleicht hast du ja hier was aus einem anderen Thread mit reininterpretiert? Geht mir mitunter auch so ;)
Ich wollte lediglich anmerken, dass zum einen der Raspi rausfällt, da pfSense nicht drauf läuft und zum anderen, er rein von der Leistung her die schlechteste Option ist, sowas zu basteln, wenn man keine Insellösung will die definitiv nicht wachsen kann. (Durchsatz/CPU)
Wenn das kein Problem ist - los gehts. Aber dann wirds wohl auch ein anderes Thema werden mit Linux auf Raspi, und das ist dann nicht mehr unbedingt Thema für dieses Forum hier :) -
Danke, war im falschen Beitrag!