Einsteigerfragen: pfSense + OpenVPN im Heimnetz hinter Fritzbox
-
Hallo zusammen,
ich möchte ein wenig mehr Sicherheit in meinem Heimnetz,
habe mir einige Testberichte und Vergleiche der verschiedenen Firewalllösungen angeschaut und mich nun wegen der Flexibilität und der aktiven Community für pfSense entschieden.Was ich vorhabe: Firewall mit Zugang über VPN-Anbieter für alle Geräte im Heimnetzwerk, kein weiterer Server- oder Fernwartungsschnickschnack
geplanter Aufbau: Internet (50 MBit, regionaler Kabelanbieter) -> Fritzbox als Modem, per Lan an -> kleine & stromsparende pfSense-Box mit VPN-Zugang, per WLan -> zwei Laptops, 2 Smartphones, Drucker
Mittelfristig geplant ist noch das Einbinden eines kleinen NAS / Mediabox mit Kodi (XBMC) für den TV + eines "Backupservers" (alte Kiste mit Festplattensammlung als Datengrab). Bei den beiden letzteren ist noch nicht klar ob diese per WLan oder Lan angebunden werden, vermutlich aber WLan da die Mediabox an den TV soll und die Backupkiste wegen des Krachs in den Keller.
Meine Fragen beziehen sich erstmal auf die Auswahl der Hardware.
1.) CPU:
Die VPN Verschlüsselung (laut VPN Anbieter RSA 2048 Bit key, AES 256 Bit channel) wird den Löwenanteil der benötigten Rechenleistung ausmachen und entsprechend den Stromverbrauch bestimmen. OpenVPN unterstützt ja CPU AES-Erweiterungen, weswegen ich auf die AMD Sockel AM1 Prozessoren gekommen bin. 25 Watt max. + AES. Jetzt weiss ich aber nicht, ob man evtl. den Truecrypt-Benchmark als Anhaltswert für eine VPN Verschlüsselung hernehmen kann, falls ja habe ich hier eine Übersicht gefunden:
Quelle: anandtech.comder kleine Sempron Dualcore schafft somit ~225 MB/s pro Kern.
Frage hierzu wäre: kann man das als Anhaltswert für Openvpn nehmen? Und: gehe ich richtig in der Annahme, dass bei meinem Vorhaben immer nur ein Kern für den VPN-Tunnel benutzt wird, oder wird pro verbundenem Gerät / pro Verbindung ein eigenständiger Thread gestartet? Daraus ergibts sich quasi die Entscheidung entweder für einen Dualcore mit höherem Takt oder einen Quadcore mit niedrigerem.
2.) WLan:
Da wie bereits geschrieben vermutlich alle Geräte über WLan laufen muss das dementsprechend schnell und signalstark sein. Das MSI AM1I Board hat einen Mini PCIe Port, hier würde sich sowas anbieten: Intel Ultimate N Wi-Fi Link 5300 (Dualband, je 450Mbps) + entsprechende Antennen an der Box. Wahrscheinlich werde ich dann trotzdem "vorsichtshalber" noch eine Dual-GBit NIC am normalen PCIe Steckplatz verbauen.
Fragen hierzu: taugt diese (oder andere) Mini PCIe WLankarte etwas und kann pfSense damit umgehen? Welche Antennen würdet ihr empfehlen?Vielen Dank im Vorraus für Antworten.
Stefan -
ich möchte ein wenig mehr Sicherheit in meinem Heimnetz,
Ok das ist noch verständlich.
habe mir einige Testberichte und Vergleiche der verschiedenen Firewalllösungen angeschaut und mich nun wegen der Flexibilität und der aktiven Community für pfSense entschieden.
Soll auch nicht Dein Schaden sein. Nur bloß weil pfSense kostenlos is, viel kann und
auch auf schmaler bzw. alter Hardware gut läuft heißt das noch lange nicht das eben
genau diese Kombination einen auch immer ans Ziel bringt.Was ich vorhabe: Firewall mit Zugang über VPN-Anbieter für alle Geräte im Heimnetzwerk,
kein weiterer Server- oder FernwartungsschnickschnackDie AVM FB unterstützt doch schon IPSec von Haus aus, aslo warum sollte das die pfSense machen?
Man kann auch eine Routerkaskade aufbauen und dann hinter der AVM FB die pfSense ganz normal
einsetzen. Wie heißt denn bitte der VPN Anbieter? Und was bietet der im einzelnen an?geplanter Aufbau: Internet (50 MBit, regionaler Kabelanbieter)
Können wir mal wissen wer das ist, denn einige Kabelanbieter bieten nur DSL_light_
an und damit kann man dann kein VPN aufbauen, rein gar keines!Fritzbox als Modem, per Lan an
Das geht aber schon seit einiger Zeit nicht mehr! Zumindest nicht mit den aktuellen Menüs.
per WLan -> zwei Laptops, 2 Smartphones, Drucker
Wenn das WLAN performant sein soll würde ich lieber zu einem externen WLAN AP raten wollen
und es nicht in der pfSense selber installieren.Die VPN Verschlüsselung (laut VPN Anbieter RSA 2048 Bit key, AES 256 Bit channel) wird den
Löwenanteil der benötigten Rechenleistung ausmachen und entsprechend den Stromverbrauch bestimmen. OpenVPN unterstützt ja CPU AES-Erweiterungen, weswegen ich auf die AMD Sockel AM1 Prozessoren
gekommen bin. 25 Watt max. + AES.Eine aktuelle Intel CPU mit AES-NI ist das Maß der Dinge für pfSense. Lass das mit dem AMD lieber.
Intel Atom C2x58 "Rangeley" SoC´s sollten das non plus ultra für Leistung & Strom sparen sein.Jetzt weiss ich aber nicht, ob man evtl. den Truecrypt-Benchmark als Anhaltswert für eine VPN Verschlüsselung hernehmen kann, falls ja habe ich hier eine Übersicht gefunden:
Das passt hinten und vorne nicht zusammen. Zumindest was die VPN Leistung angeht kann
man daraus rein gar nichts ableiten.der kleine Sempron Dualcore schafft somit ~225 MB/s pro Kern.
Theorie und Praxis sind aber auch immer ganz etwas anderes.
Nimm einen Intel Atom C2558 oder gleich den C2758 oder einfach einen intel Celeron G3260 @3,3GHz
der sollte das schaffen was Du brauchst. Allerdings wirst Du dann noch eine Dual oder Quad Port Karte
benötigen.Da wie bereits geschrieben vermutlich alle Geräte über WLan laufen muss das dementsprechend schnell und signalstark sein.
Kauf Dir am besten einen externen WLAN AP und lass den das alles machen!
hier mal einige grundlegende Tipps dazu:
- Intel Mehrkern statt AMD CPU oder Intel Atom C2x58 SoC "Rangeley"
- Am besten eine CPU mit AES-NI & Intel QuickAssist
- Wenn kein AES-NI dann wenigstens Dual Core und >3,0GHz
- mSATA oder SSD anstatt HDD
- kein WLAN intern
- Dual Port oder Quad Port Intel PT Server Adapter (gebraucht)
- On board Intel LAN ports wie, I210, I217 I350 oder I354
SG-2220 oder SG-2440 aus dem pfSense Shop
Supermicro C2x58 Board & Gehäuse
Intel Celeron G3260 & 8 GB RAM & mSATA oder SSD
Jetway Intel N2930 Network PC w/ 5X Intel LAN, 2GB, JBC200F9N-E4IN-B, ADE4INLANG
5 Intel GB LAN Ports & 2 x miniPCIe
Jetway NF9HG-2930 Intel Celeron Quad Core Fanless PC w/ 4X Intel LAN, 2GB, M350
5 x Intel GB LN Ports & 2 x miniPCIe + SIM slot -
Ich würde hier eher vom Preis (weil für daheim) zu einer fertigen Appliance mit Rangely raten. Da die offiziellen Kisten von pfSense - je nachdem - doch ein wenig teurer sein können, wären auch andere Hersteller zu nennen. Bspw. Lanner FW-7525 für einen C2358 oder in der neuen C2518er Variante.
Aber ansonsten hat Frank hier schon viel Wichtiges (zu beachten) geschrieben.
-
oder in der neuen C2518er Variante.
Ist das dann diese Variante hier (1:1) mit 2 x 10 GBit/s on Board?
RCC High-Performance Mini-ITX Platform for the Intel Atom Processor C2000 Family -
Also erstmal vielen Dank für die vielen Infos.
@BlueKobold:
Wie heißt denn bitte der VPN Anbieter? Und was bietet der im einzelnen an?
Privateinternetaccess. Bietet einen VPN Zugang für anonymisierten Internetzugang über deren Netzwerk an.
Können wir mal wissen wer das ist, denn einige Kabelanbieter bieten nur DSL_light_
an und damit kann man dann kein VPN aufbauen, rein gar keines!Schlau.com
Ist wie gesagt eine 50/2 MBit LeitungWenn das WLAN performant sein soll würde ich lieber zu einem externen WLAN AP raten wollen
und es nicht in der pfSense selber installieren.Hmm, der Punkt stört mich ein wenig, das würde dann bedeuten: Router als DSL Modem + pfSense + 2. WLan-Router / AP. Also 3 Geräte und dementsprechend mehr Stromverbrauch und auch mehr Kabel- und Gerätezeugs neben dem Telefon im Wohnzimmer. Da das Zeugs nicht irgendwo im Keller außerhalb des Blickfeldes ist möchte ich keinen riesigen (sichtbaren) Geräte-Stapel auftürmen.
Kann pfsense nicht auch die Modemfunktion bereitstellen? Dann würde diese Fritzbox ja schonmal wegfallen.An was liegts bei einer "internen" Lösung? Bekommt pfsense keinen gescheiten WLan AP hin? Oder ist der Knackpunkt die WLankarte selbst? Und woran haperts genau, Geschwindigkeit oder Reichweite?
Und wie sieht es damit aus?
gehe ich richtig in der Annahme, dass bei meinem Vorhaben immer nur ein Kern für den VPN-Tunnel benutzt wird, oder wird pro verbundenem Gerät / pro Verbindung ein eigenständiger Thread gestartet? Daraus ergibts sich quasi die Entscheidung entweder für einen Dualcore mit höherem Takt oder einen Quadcore mit niedrigerem.
hier mal einige grundlegende Tipps dazu:
- Intel Mehrkern statt AMD CPU oder Intel Atom C2x58 SoC "Rangeley"
- Am besten eine CPU mit AES-NI & Intel QuickAssist -> jepp, AES ist schonmal Pflicht
- Wenn kein AES-NI dann wenigstens Dual Core und >3,0GHz
- mSATA oder SSD anstatt HDD -> ich hab aus einem alten Supermicro-Server noch eine 2GB SSD aufgelötet auf einen internen USB-Header. Der USB 2.0 Port limitiert dann zwar, aber ich vermute mal dass das ausreichen wird
- kein WLAN intern
- Dual Port oder Quad Port Intel PT Server Adapter (gebraucht) -> check
- On board Intel LAN ports wie, I210, I217 I350 oder I354
SG-2220 oder SG-2440 aus dem pfSense Shop
Supermicro C2x58 Board & Gehäuse
Intel Celeron G3260 & 8 GB RAM & mSATA oder SSD
Jetway Intel N2930 Network PC w/ 5X Intel LAN, 2GB, JBC200F9N-E4IN-B, ADE4INLANG
5 Intel GB LAN Ports & 2 x miniPCIe
Jetway NF9HG-2930 Intel Celeron Quad Core Fanless PC w/ 4X Intel LAN, 2GB, M350
_5 x Intel GB LN Ports & 2 x miniPCIe + SIM slot_t-> das sprengt alles meine preisliche Vorstellung. Mit einfachem Consumer-ITX Board und extra Dual-GB Karte komme ich im Selbstbau auf grob die HälfteAlso die Frage, die im Moment zur Umsetzung des Projektes entscheidet ist:
bekommt man eine Box mit internem WLan gut hin oder nicht. -
Wenn bei Dir alles nur auf Grund des WLANs steht oder fällt, pfSense kann intern WLAN bereitstellen
nur würde ich es Dir eben nicht empfehlen wollen. und das ist nicht ein und das selbe.Ein Modem kann pfSense nicht zur Verfügung stellen.
gehe ich richtig in der Annahme, dass bei meinem Vorhaben immer nur ein Kern für den VPN-Tunnel benutzt wird, oder wird pro verbundenem Gerät / pro Verbindung ein eigenständiger Thread gestartet? Daraus ergibts sich quasi die Entscheidung entweder für einen Dualcore mit höherem Takt oder einen Quadcore mit niedrigerem.
Ja es wird zur Zeit für den WAN Bereich immer nur ein Core genutzt und von daher ist dort auch die GHz
ausschlaggebend. Für einen schnellen und flüssigen Ablauf des gesamten Systems also von pfSense wird
allerdings zu einem Mehrkern Prozessor geraten und das braucht auch nicht langsam sein, also mindestens
4 besser jedoch 8 Kerne sind da schon gut bemessen. Es kommt aber auch immer darauf an wer, will, was
und wo bzw. für wen und wie viele realisieren. Denn ein Xeon Kern ist nicht gleich ein Atom Kern. -
WLAN: Würde ich nicht in der pfSense machen, da die Treiber das Problem sind beim Eigenbau. Es gibt kaum vernünftige Treiber für -n oder -ac Standard APs zudem sind in den meisten WLAN APs inzwischen Krams wie Beamforming, Optimizing der Abdeckung, tralala und hoppsasa verbaut. Das wird dir alles pfSense nur begrenzt bieten, und das nur wegen all-in-1 Device.
Modem/WAN: pfSense hat erstmal gar nichts mit dem Modem zu tun. Es gäbe theoretisch die Möglichkeit, ein DSL(!) Modem zu integrieren (es gibt Steckkarten, die das machen), aber du redest hier von Kabelanbietern, die haben IMMER ein eigenes Modem, weil irgendwer den DOCSYS Kram sprechen muss. Und das ist im Normalfall auch noch auf den jeweiligen Provider zugeschnitten. Hat also nichts mit pfSense zu tun, sondern mit deinem Internet Provider.
Zu sonstigen Aussagen kurz was zwischen Tür und Angel:
Ja es wird zur Zeit für den WAN Bereich immer nur ein Core genutzt und von daher ist dort auch die GHz ausschlaggebend
Nicht ganz. Es wird für den Paketfilter pf bislang bis pfSense 2.1 nur eine CPU sinnvoll benutzt. Für andere Dienste wurden sehr wohl mehrere Kerne genutzt. Allerdings hat sich dies mit der Umstellung auf 2.2 geändert, so dass ich auf
https://doc.pfsense.org/index.php/Does_pfSense_support_SMP_(multi-processor_and/or_core)_systems
verweise:"On pfSense 2.2 and later, pf(4) is multi-threaded and can utilize multiple processors, as can the other system daemons, interrupt processing, and other tasks."
Man brauchts nun aber mit Kernen nicht übertreiben, für ein kleines Setup reicht auch ein 2-Kerner locker aus, für mittlere tuts dann der 4-Kerner auch.
An was liegts bei einer "internen" Lösung? Bekommt pfsense keinen gescheiten WLan AP hin? Oder ist der Knackpunkt die WLankarte selbst? Und woran haperts genau, Geschwindigkeit oder Reichweite?
Sollte mit obigem Statement gegessen sein. Es hapert hier weniger an pfSense, sondern an sinnvollen Treibern und Karten für FreeBSD. Optimierte Hardware APs werden immer bessere Leistung bieten können als ein nicht abgestimmter Eigenbau (schon allein von der Antennenharmonik).
RCC High-Performance Mini-ITX Platform for the Intel Atom Processor C2000 Family
Nein, dein Link geht zu einem C27xxer Mainboard. Ich rede von fertigen Appliances, nicht von Eigenbau, und dort gibt es von Lanner bspw. auch die FW7525 neu als Variante C mit C2518er Atom, statt dem C2358er von -A und -B.
ich hab aus einem alten Supermicro-Server noch eine 2GB SSD aufgelötet auf einen internen USB-Header. Der USB 2.0 Port limitiert dann zwar, aber ich vermute mal dass das ausreichen wird
Nein, das ist Krimskrams. 2GB ist zum Einen zu wenig, zum anderen ist so eine USB-SSD-Frickelei fehleranfällig wie der Teufel. Dann hol dir lieber eine Appliance und steck ne SD Karte Read/Only rein. Aber dem Ding würde ich nicht über den Weg trauen, dass es dauerhaft läuft. Gerade wenn man mit dem ein oder anderen Paket liebäugelt, sollte man zur SSD oder mSSD greifen (30-60GB je nach Bedarf) und eine volle Installation raufwerfen, davon hat man an der Stelle wesentlich mehr.
Ich denke immer noch, dass dir ein Device wie die SG-2220 oder vergleichbar (also bspw. Lanner FW-7525-B) locker genügen würde. Dazu mSATA SSD und gut. Ja ist teurer als was zusammengeschustertes, hält dafür aber lange und du hast ordentlich Garantie drauf wenns wegfliegt.
Grüße
-
Hallo ich bin selber neu hier und kann dir bei deinen Kernfragen (pfSense) nicht helfen, aber evtl. bei der Multimediageschichte. Ich habe seit Jahren folgendes Setup:
ein Fileserver zum darauf arbeiten und Medien ablegen (ein NAS geht auch bzw. ein NAS-selbstbau). ein NAS als Backup vom ersten, 1x in der Woche automatische Backup mit rsync. ein WindowsPC mit MediaPortal fürs TV und Filmvergügen, das MyFilms Plugin ist XBMC überlegen. drei XBMC/Kodi Clients für TV-Nebenstellen (als einfacher Kodi-Client reicht der neue RasPi2 vollkommen aus, der alte war etwas zu lahm. Alte PCs sind gut für OpenElec und auf dem Mac gibts auch eine Kodi-Version)
Wichtig für den Mischbetrieb ist das Anlegen von nfo-Files, damit kann Kodi, MediaPortal und diverse Katalogsoftware etwas anfangen.
Auf jeden Fall würde ich nicht versuchen die zentrale Medienablage auch zum Player zu machen. Dieser Server/NAS wird laufend nach mehr Festplatten schreien und muss 24h laufen um für alle Benutzer (falls du nicht alleine lebst) und TV-Aufnahmen Sinn zu machen. Das heißt er wird Krach machen, Staub verwirbeln und mag es nicht dauernd ein- und ausgeschaltet zu werden (dauert auch zu lange).