12
Fragen zu pfSense + VPN Client
Hallo zusammen,
ich habe vor eine Hardwarefirewall + VPN-Client mit pfSense im Heimnetzwerk einzusetzen, mein aktuelles Netzwerk sieht wie folgt aus:
[ WAN / Internet ]
:
:
.-----+-----.
| Gateway | (DSL Modem - HITRON von Kabeldeutschland)
'-----+-----'
|
|
.-----+------.
| LAN-Switch | (FritzBox 7390)
'-----+------'
|
...-----+------... (Clients/Servers)
In diesem Beispiel nutze ich die FritzBox als Switch / Firewall, welches zusätzlich noch als WLAN AccessPoint dient und weiter nützliche Funktionen bietet wie Zeitbeschränkung
1) pfSense - VPN Client
Was ich nun gerne machen möchte, ich will das eine zentrale Komponente eine OpenVPN Verbindung zu einem externen OpenVPN Server erstellt, dabei müssen die Clients nicht mehr explizit eine Verbindung aufbauen, wie z.B. TVs, Smartphone usw. Der ISP soll nicht sehen können, auf welchen Seiten gesurft wird in Bezug auf die Vorratsdatenspeicherung (http://www.vorratsdatenspeicherung.de). Leider unterstützt die FritzBox kein OpenVPN, dabei würde ich gerne eine Box zwischenschalten, welches dann als VPN Client dient, in dem Fall pfSense.
2) pfSense - Firewall
Die FritzBox hat eine intergrierte Firewall, aber lässt sich diese mit pfSense vergleichen bzgl. der Konfiguration?
Ich hätte gerne alles selber konfiguriert, zudem möchte ich die Netzwerkkommunikation von Geräten wie TVs analysieren, welche nach Hause telefonieren, um diese dann ggfs. einzuschränken.
Konkrete Fragen:
1) Ist es möglich mit pfSense eine OpenVPN Verbindung herzustellen und diesen als VPN Client zu nutzen?
2) Wo müsste ich wenn ich eine pfSense Box (http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ..) in meinem Netzwerk aufbauen in Bezug auf VPN Client. Ich benötige WLAN deshalb müsste diese am besten zwischen dem Modem und der FritzBox verbaut werden, was meint Ihr?
ich habe vor eine Hardwarefirewall + VPN-Client mit pfSense im Heimnetzwerk einzusetzen, mein aktuelles Netzwerk sieht wie folgt aus:
[ WAN / Internet ]
:
:
.-----+-----.
| Gateway | (DSL Modem - HITRON von Kabeldeutschland)
'-----+-----'
|
|
.-----+------.
| LAN-Switch | (FritzBox 7390)
'-----+------'
|
...-----+------... (Clients/Servers)
In diesem Beispiel nutze ich die FritzBox als Switch / Firewall, welches zusätzlich noch als WLAN AccessPoint dient und weiter nützliche Funktionen bietet wie Zeitbeschränkung
1) pfSense - VPN Client
Was ich nun gerne machen möchte, ich will das eine zentrale Komponente eine OpenVPN Verbindung zu einem externen OpenVPN Server erstellt, dabei müssen die Clients nicht mehr explizit eine Verbindung aufbauen, wie z.B. TVs, Smartphone usw. Der ISP soll nicht sehen können, auf welchen Seiten gesurft wird in Bezug auf die Vorratsdatenspeicherung (http://www.vorratsdatenspeicherung.de). Leider unterstützt die FritzBox kein OpenVPN, dabei würde ich gerne eine Box zwischenschalten, welches dann als VPN Client dient, in dem Fall pfSense.
2) pfSense - Firewall
Die FritzBox hat eine intergrierte Firewall, aber lässt sich diese mit pfSense vergleichen bzgl. der Konfiguration?
Ich hätte gerne alles selber konfiguriert, zudem möchte ich die Netzwerkkommunikation von Geräten wie TVs analysieren, welche nach Hause telefonieren, um diese dann ggfs. einzuschränken.
Konkrete Fragen:
1) Ist es möglich mit pfSense eine OpenVPN Verbindung herzustellen und diesen als VPN Client zu nutzen?
2) Wo müsste ich wenn ich eine pfSense Box (http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ..) in meinem Netzwerk aufbauen in Bezug auf VPN Client. Ich benötige WLAN deshalb müsste diese am besten zwischen dem Modem und der FritzBox verbaut werden, was meint Ihr?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279435
Url: https://administrator.de/contentid/279435
Printed on: April 18, 2024 at 13:04 o'clock
12 Comments
Latest comment
Hallo,
zu 1
Der ISP kann immer "sehen" auf welchen Seiten man surft, es sei denn, man hat einen
VPN Anbieter und verbindet sich mit diesem dann. Das sollte funktionieren.
Es kommt auch etwas auf Deinen jetzigen ISP an.
zu 2.)
Sollte auch alles funktionieren so wie Du Dir das vorstellst.
Konkret:
zu 1.)
Ja ist es. Nur muss der eigentliche ISP das unterstützen oder aber ein VPN Provider muss her.
zu 2.)
Und noch einmal ja, die pfSense sollte zwischen das Modem und die Fritz!Box.
oder aber einfach eine miniPCIe WLAN Karte bei Varia-Shop mitbestellen und
einen kleinen Switch anschaffen, Netgear GS105Ev2 oder GS108Ev2 für 25 € - 50 €.
Gruß
Dobby
zu 1
Der ISP kann immer "sehen" auf welchen Seiten man surft, es sei denn, man hat einen
VPN Anbieter und verbindet sich mit diesem dann. Das sollte funktionieren.
Es kommt auch etwas auf Deinen jetzigen ISP an.
zu 2.)
Sollte auch alles funktionieren so wie Du Dir das vorstellst.
Konkret:
zu 1.)
Ja ist es. Nur muss der eigentliche ISP das unterstützen oder aber ein VPN Provider muss her.
zu 2.)
Und noch einmal ja, die pfSense sollte zwischen das Modem und die Fritz!Box.
oder aber einfach eine miniPCIe WLAN Karte bei Varia-Shop mitbestellen und
einen kleinen Switch anschaffen, Netgear GS105Ev2 oder GS108Ev2 für 25 € - 50 €.
Gruß
Dobby
Vielen Dank für die Info, jetzt möchte ich mir gerne so eine "Box" zulegen, welche Hardware kannst du empfehlen um pfSense darauf zu installieren, evtl. paar Vorschläge?
Hi!
Ich klinke mich auch nochmal ein...
Die PfSense läuft prinzipiell auf fast aller Hardware, ob x86 oder x64. oder VM's Je nachdem wieviel man damit machen will, sollte aber min 1-2 GB RAM und eine Festplatte verbaut sein. Die embedded Systeme sind schöne energiesparende kostengünstige Lösungen, haben aber ihre Einschränkungen, was Schreibvorgänge und die Installation von Packages angeht. Mir ist es z.B. einst nicht gelungen auf einer embedded Installation HAVP zu installieren, obwohl das seit einger Zeit möglich sein soll...
Meine Empfehlung geht ganz klar in Richtung "Full Install", also mit HD oder SSD, da man früher oder später doch mehr will. Auch bevorzuge ich es, eine Tastatur und einen Monitor anschliessen zu können, womit einige Hardware schon mal wegfällt...
Für deinen jetztigen Zweck reicht ein embedded Board allemal.
Weil mir damals alles nicht gefiel oder zu teuer war, habe ich vor Jahren nach einem passenden Thinclient gesucht und zuerst mit dem Futro S300, dann mit dem S400 sehr gute Erfahrungen gemacht. Die gibts für nen Appel und nen Ei in der Bucht. Dann 1GB Speicher rein , ne PCI-X Intel DUAL-LAN Serverkarte für 30 Euro aus der Bucht und ne Industrial CF Karte (wegen der Lebensdauer). Damit ist für unter 100 Euro eine zuverlässige, STROMSPARENDE und erweiterbare PfSense Firewall mit 3 LAN Ports am Start.
Die ist jetzt seit Jahren als Full Install mit Squid und HAVP Proxy und Snort auf der CF-Karte in meinem kleinen Office-Netz im Produktiveinsatz und läuft absolut stabil mit der 2.15.
Die 2.2x er Versionen scheinen etwas höhere Hardwareanforderungen (besonders bei den Packages zu stellen), der Test ob der S400 das stemmt, steht noch aus, der S300 ging mit seinen 512MB und Squid3 und Antivirus und Snort definitiv in die Knie.
Die PfSense ohne ressourcenfressende Packages packte der aber auch noch prima, mit dem Traffic, der zuhause entstand.
Für meine Kunden habe ich schliesslich auch eine eigene Box entwickelt, entsprechend teurer, da gute Hardware selten verschenkt wird...
Zur Konfiguration: Die Konfiguration der PfSense ist NICHT mit der Fritte vergleichbar. Nichts in der Welt ist mit AVM's kontraintuitiver pseudo-einfacher Oberfläche vergleichbar. da arbeiten Spezialisten am Verstecken der Einstellungen.
Auch sonst ist die PfSense wie alle Firewalls eine eigene Welt und hat ihre eigene Logik in der Benutzerführung, die ich aber ganz gelungen finde.
Du wirst etwas Geduld und Zeit mitbringen müssen um die PfSense zu steuern, es lohnt sich aber m.E.
Nicht zu vergessen: Ein Großteil der PfSense Ressourcen im Web ist wie das Webinterface auf Englisch. Gute Sprachkenntnisse helfen da ungemein.
Wenn Du's mal testen willst, bevor du investierst: Nimm ne alte Büchse mit 2 Netzwerkkarten, mach ne Testinstallation, lass die machen, was du willst und wenn alles so läuft, wie es soll: Konfiguration sichern und auf der Produktiv PfSense wieder einspielen. Das ist Hardwareunabhängig und sollte sogar zwischen "Full" und "embedded" funktionieren, wenn keine Packages betroffen sind.
Gruß
Buc
Ich klinke mich auch nochmal ein...
Die PfSense läuft prinzipiell auf fast aller Hardware, ob x86 oder x64. oder VM's Je nachdem wieviel man damit machen will, sollte aber min 1-2 GB RAM und eine Festplatte verbaut sein. Die embedded Systeme sind schöne energiesparende kostengünstige Lösungen, haben aber ihre Einschränkungen, was Schreibvorgänge und die Installation von Packages angeht. Mir ist es z.B. einst nicht gelungen auf einer embedded Installation HAVP zu installieren, obwohl das seit einger Zeit möglich sein soll...
Meine Empfehlung geht ganz klar in Richtung "Full Install", also mit HD oder SSD, da man früher oder später doch mehr will. Auch bevorzuge ich es, eine Tastatur und einen Monitor anschliessen zu können, womit einige Hardware schon mal wegfällt...
Für deinen jetztigen Zweck reicht ein embedded Board allemal.
Weil mir damals alles nicht gefiel oder zu teuer war, habe ich vor Jahren nach einem passenden Thinclient gesucht und zuerst mit dem Futro S300, dann mit dem S400 sehr gute Erfahrungen gemacht. Die gibts für nen Appel und nen Ei in der Bucht. Dann 1GB Speicher rein , ne PCI-X Intel DUAL-LAN Serverkarte für 30 Euro aus der Bucht und ne Industrial CF Karte (wegen der Lebensdauer). Damit ist für unter 100 Euro eine zuverlässige, STROMSPARENDE und erweiterbare PfSense Firewall mit 3 LAN Ports am Start.
Die ist jetzt seit Jahren als Full Install mit Squid und HAVP Proxy und Snort auf der CF-Karte in meinem kleinen Office-Netz im Produktiveinsatz und läuft absolut stabil mit der 2.15.
Die 2.2x er Versionen scheinen etwas höhere Hardwareanforderungen (besonders bei den Packages zu stellen), der Test ob der S400 das stemmt, steht noch aus, der S300 ging mit seinen 512MB und Squid3 und Antivirus und Snort definitiv in die Knie.
Die PfSense ohne ressourcenfressende Packages packte der aber auch noch prima, mit dem Traffic, der zuhause entstand.Für meine Kunden habe ich schliesslich auch eine eigene Box entwickelt, entsprechend teurer, da gute Hardware selten verschenkt wird...
Zur Konfiguration: Die Konfiguration der PfSense ist NICHT mit der Fritte vergleichbar. Nichts in der Welt ist mit AVM's kontraintuitiver pseudo-einfacher Oberfläche vergleichbar. da arbeiten Spezialisten am Verstecken der Einstellungen.
Auch sonst ist die PfSense wie alle Firewalls eine eigene Welt und hat ihre eigene Logik in der Benutzerführung, die ich aber ganz gelungen finde.
Du wirst etwas Geduld und Zeit mitbringen müssen um die PfSense zu steuern, es lohnt sich aber m.E.
Nicht zu vergessen: Ein Großteil der PfSense Ressourcen im Web ist wie das Webinterface auf Englisch. Gute Sprachkenntnisse helfen da ungemein.
Wenn Du's mal testen willst, bevor du investierst: Nimm ne alte Büchse mit 2 Netzwerkkarten, mach ne Testinstallation, lass die machen, was du willst und wenn alles so läuft, wie es soll: Konfiguration sichern und auf der Produktiv PfSense wieder einspielen. Das ist Hardwareunabhängig und sollte sogar zwischen "Full" und "embedded" funktionieren, wenn keine Packages betroffen sind.
Gruß
Buc
1
Hallo nochmal,
Das kommt meistens auf zwei Faktoren an, wie schnell ist Deine Internetverbindung
und was willst Du alles noch aktivieren bzw. installieren?
16 MBit/s , 50 MBit/s, 100 MBit/s oder 1GBit/s Internetzugang.
pf-ng, Snort oder Suricata, Squid & SquidGuard, usw...
- Also legen wir mal los:
Alix APU 1D4 Board von Varia-Store
Gibt es auch als Bundle fix und fertig mit pfSense drauf installiert
Das sollte die meisten Bedingungen erfüllen wenn es nicht gerade
ein 1 GBit/s Internetzugang ist
- Braucht man mehr LAN Ports und/oder CPU Cores oder RAM empfiehlt
es sich eines von den folgenden Artikeln mal mehr anzuschauen.
Eigenbau oder für 19" Gehäuse Jetway NF9HG-2930 Thin mini-ITX Network Motherboard
19" Gehäuse iStarUSA D Value D-118V2-ITX 1U Rackmount Mini-ITX Server Chassis
Fix und fertig mit 4 GB LAN Ports & bis 8 GB RAM & zwei miniPCIe Slots & SIM Slot
Jetway NF9HG-2930 Intel Celeron Quad Core Fanless PC w/ 4X Intel LAN, 2GB, M350
Fix und fertig mit 5 GB LAN Ports & bis 8 GB RAM & zwei miniPCIe Slots
Jetway Intel N2930 Network PC w/ 5X Intel LAN, 2GB, JBC200F9N-E4IN-B, ADE4INLANG
- Echter Eigenbau aus;
Intel Celeron G3260 @3,3GHz
mini ITX Board mit Intel I217 oder I218 GB LAN Ports
mini ITX Gehäuse
4 - 8 GB RAM
SSD/mSATA
Intel Dual oder Quad Port GB LAN NIC oder HP NC364T PCIe kann auch gebraucht sein
Das sollte eine 1 GBit/s Internetverbindung locker schaffen und es ist auch noch Platz
nach oben, für Snort und Squid.
Sollte das alles nichts nützen und man braucht noch mehr Power und weiß nicht wohin
mit seinem Geld aber es soll dennoch Strom sparend sei, kann man auch von Supermicro
Teile bestellen und zusammen bauen, die sind dann aber schon eher für mittlere bis hin zu
großen Firmen das Gelbe vom Ei.
- Supermicro A1SRM-LN7F-2358
2 Core Intel Atom & AES-NI & Intel QuickAssist & bis 16 ECC GB RAM & 1 PCIe Slot
& 7 Intel GB LAN Ports & miniPCIe mSATA Slot & Super-DOM or SATA-DOM
- Supermicro A1SRI-2558F-O
4 Core Intel Atom & AES-NI & Intel QuickAssist & bis 64 ECC GB RAM & 1 PCIe Slot
& 5 Intel GB LAN Ports
- Supermicro A1SRI-2758F
8 Core Intel Atom & AES-NI & Intel QuickAssist & bis 64 ECC GB RAM & 1 PCIe Slot
& 5 Intel GB LAN Ports
- Universal mini ITX Gehäuse M350
PicoPSU und externes Netzteil sind noch dazu erforderlich
- Supermicro SC101i mini ITX Gehäuse
- Supermicro 1U Barebone für das Supermicro A1SRM-LN7F-2358
Und wenn es nicht genug sein kann,
- Supermicro X10SDV-8C-TLN4F(D-1540)
8 Core & HT 8 Core & 2 GbE Ports & PCIe Slot & bis 64 ECC RAM
Alles was da drüber ist geht dann schon eher in die Richtung Xeon E3 oder Xeon E5 CPU
und sollte dann eventuell durch eine ASIC/FPGA basierende Firewall abgearbeitet werden.
Das ist so zur Zeit das was man auch im englischsprachigen pfSense Forum angeraten
bekommt, bleibt nur noch eines der Fairness halber zu erwähnen, das pfSense nun auch
einen eigenen Shop hat der Hardware verkauft und auch in der EU sowie Deutschland
Partner hat die diese Hardware verkaufen. Denn einige Leute sind eben der Meinung
gewesen das sich doch die drei miniPCIe Slots des APU Boards recht gut zusammen
mit den CPUs (AES-NI & QuickAssist) der Supermicro Boards machen würden und
von daher kann man so etwas jetzt auch im Varia-Store, bei Volatech, oder miniserver.it
kaufen. pfSense Store
Gruß
Dobby
Vielen Dank für die Info, jetzt möchte ich mir gerne so eine "Box" zulegen, welche Hardware
kannst du empfehlen um pfSense darauf zu installieren, evtl. paar Vorschläge?
kannst du empfehlen um pfSense darauf zu installieren, evtl. paar Vorschläge?
Das kommt meistens auf zwei Faktoren an, wie schnell ist Deine Internetverbindung
und was willst Du alles noch aktivieren bzw. installieren?
16 MBit/s , 50 MBit/s, 100 MBit/s oder 1GBit/s Internetzugang.
pf-ng, Snort oder Suricata, Squid & SquidGuard, usw...
- Also legen wir mal los:
Alix APU 1D4 Board von Varia-Store
Gibt es auch als Bundle fix und fertig mit pfSense drauf installiert
Das sollte die meisten Bedingungen erfüllen wenn es nicht gerade
ein 1 GBit/s Internetzugang ist
- Braucht man mehr LAN Ports und/oder CPU Cores oder RAM empfiehlt
es sich eines von den folgenden Artikeln mal mehr anzuschauen.
Eigenbau oder für 19" Gehäuse Jetway NF9HG-2930 Thin mini-ITX Network Motherboard
19" Gehäuse iStarUSA D Value D-118V2-ITX 1U Rackmount Mini-ITX Server Chassis
Fix und fertig mit 4 GB LAN Ports & bis 8 GB RAM & zwei miniPCIe Slots & SIM Slot
Jetway NF9HG-2930 Intel Celeron Quad Core Fanless PC w/ 4X Intel LAN, 2GB, M350
Fix und fertig mit 5 GB LAN Ports & bis 8 GB RAM & zwei miniPCIe Slots
Jetway Intel N2930 Network PC w/ 5X Intel LAN, 2GB, JBC200F9N-E4IN-B, ADE4INLANG
- Echter Eigenbau aus;
Intel Celeron G3260 @3,3GHz
mini ITX Board mit Intel I217 oder I218 GB LAN Ports
mini ITX Gehäuse
4 - 8 GB RAM
SSD/mSATA
Intel Dual oder Quad Port GB LAN NIC oder HP NC364T PCIe kann auch gebraucht sein
Das sollte eine 1 GBit/s Internetverbindung locker schaffen und es ist auch noch Platz
nach oben, für Snort und Squid.
Sollte das alles nichts nützen und man braucht noch mehr Power und weiß nicht wohin
mit seinem Geld aber es soll dennoch Strom sparend sei, kann man auch von Supermicro
Teile bestellen und zusammen bauen, die sind dann aber schon eher für mittlere bis hin zu
großen Firmen das Gelbe vom Ei.
- Supermicro A1SRM-LN7F-2358
2 Core Intel Atom & AES-NI & Intel QuickAssist & bis 16 ECC GB RAM & 1 PCIe Slot
& 7 Intel GB LAN Ports & miniPCIe mSATA Slot & Super-DOM or SATA-DOM
- Supermicro A1SRI-2558F-O
4 Core Intel Atom & AES-NI & Intel QuickAssist & bis 64 ECC GB RAM & 1 PCIe Slot
& 5 Intel GB LAN Ports
- Supermicro A1SRI-2758F
8 Core Intel Atom & AES-NI & Intel QuickAssist & bis 64 ECC GB RAM & 1 PCIe Slot
& 5 Intel GB LAN Ports
- Universal mini ITX Gehäuse M350
PicoPSU und externes Netzteil sind noch dazu erforderlich
- Supermicro SC101i mini ITX Gehäuse
- Supermicro 1U Barebone für das Supermicro A1SRM-LN7F-2358
Und wenn es nicht genug sein kann,
- Supermicro X10SDV-8C-TLN4F(D-1540)
8 Core & HT 8 Core & 2 GbE Ports & PCIe Slot & bis 64 ECC RAM
Alles was da drüber ist geht dann schon eher in die Richtung Xeon E3 oder Xeon E5 CPU
und sollte dann eventuell durch eine ASIC/FPGA basierende Firewall abgearbeitet werden.
Das ist so zur Zeit das was man auch im englischsprachigen pfSense Forum angeraten
bekommt, bleibt nur noch eines der Fairness halber zu erwähnen, das pfSense nun auch
einen eigenen Shop hat der Hardware verkauft und auch in der EU sowie Deutschland
Partner hat die diese Hardware verkaufen. Denn einige Leute sind eben der Meinung
gewesen das sich doch die drei miniPCIe Slots des APU Boards recht gut zusammen
mit den CPUs (AES-NI & QuickAssist) der Supermicro Boards machen würden und
von daher kann man so etwas jetzt auch im Varia-Store, bei Volatech, oder miniserver.it
kaufen. pfSense Store
Gruß
Dobby
Hi,
1)
dann würde die folgende Box ja ausreichen mit 4GB RAM, aber nur eine Dual Core CPU, ist das nicht zu schwach?
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
2)
Nochmal zu meinem Aufbau (siehe oben) wird die FritzBox als zentraler Switch mit WLAN verwendet. Das Modem stellt eine Verbindung zum ISP her und leitet den Traffic zur FritzBox über den ersten Netzwerkport (WAN). Wenn nun pfSense zwischengeschaltet wird, was muss dann konfiguriert werden, im Prinzip auch hier muss nur die WAN vom pfSense mit dem Modem verbunden werden. Ein ausgehender Port von pfSense wird dann zur WAN Schnittstelle in die Fritzbox eingesteckt, richtig?
3) Wenn die pfSense als letzte Komponente im Netzwerk steht, kann man den ganzen Traffic steuern, ich würde gerne z.b. alle Geräte ausschalten und nur eins aktivieren um zu schauen welche Daten z.B. vom TV nach außen gesendet werden. -> Datenschutz usw.
Das schöne dabei ist, wenn die Box als VPN Client mit einem VPN Anbieter sich verbindet, müssen alle vorgelagerten Clients (PC, Smartphones, usw) keine aktive Verbindung mehr aufbauen, sie nutzen das Internet wie vorher auch, mit dem Unterschied das nach außen eine andere öffentliche IP sichtbar ist. Ein Nachteil könnte sein, falls Infrastrukturprobleme existieren, z.b. VPN ausgefallen, können alle Clients nicht mehr ins Internet oder?
1)
dann würde die folgende Box ja ausreichen mit 4GB RAM, aber nur eine Dual Core CPU, ist das nicht zu schwach?
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
2)
Nochmal zu meinem Aufbau (siehe oben) wird die FritzBox als zentraler Switch mit WLAN verwendet. Das Modem stellt eine Verbindung zum ISP her und leitet den Traffic zur FritzBox über den ersten Netzwerkport (WAN). Wenn nun pfSense zwischengeschaltet wird, was muss dann konfiguriert werden, im Prinzip auch hier muss nur die WAN vom pfSense mit dem Modem verbunden werden. Ein ausgehender Port von pfSense wird dann zur WAN Schnittstelle in die Fritzbox eingesteckt, richtig?
3) Wenn die pfSense als letzte Komponente im Netzwerk steht, kann man den ganzen Traffic steuern, ich würde gerne z.b. alle Geräte ausschalten und nur eins aktivieren um zu schauen welche Daten z.B. vom TV nach außen gesendet werden. -> Datenschutz usw.
Das schöne dabei ist, wenn die Box als VPN Client mit einem VPN Anbieter sich verbindet, müssen alle vorgelagerten Clients (PC, Smartphones, usw) keine aktive Verbindung mehr aufbauen, sie nutzen das Internet wie vorher auch, mit dem Unterschied das nach außen eine andere öffentliche IP sichtbar ist. Ein Nachteil könnte sein, falls Infrastrukturprobleme existieren, z.b. VPN ausgefallen, können alle Clients nicht mehr ins Internet oder?
Hallo nochmal,
explizit tun? nur SPI/NAT und Firewallregeln? Dafür reicht das APU Board locker
aus!
besser wäre jedoch
Internet --- Hitron Modem --- pfSense WAN Port --- Switch --- PCs, WLAN APs, usw....
oder noch besser wäre noch
Internet --- Hitron Modem --- pfSense (mit WLAN) WAN Port --- Switch --- PCs, TV, usw....
nur ob es eben immer Sinn voll ist wie es einem gerade in den Sinn kommt ist meist
fraglich.
Monitor Port (mirrored Port) am Switch mitlesen. Dann weiß man ganz genau
wohin der Fernseher telefoniert.
Gruß
Dobby
dann würde die folgende Box ja ausreichen mit 4GB RAM, aber nur eine Dual Core CPU,
ist das nicht zu schwach?
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
Wofür brauchst Du denn die pfSense nun wirklich? Ich meine damit was soll dieist das nicht zu schwach?
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
explizit tun? nur SPI/NAT und Firewallregeln? Dafür reicht das APU Board locker
aus!
2)
Internet --- Hitron Modem --- pfSense WAN Port --- AVM FB LAN Port 1 ---- PCbesser wäre jedoch
Internet --- Hitron Modem --- pfSense WAN Port --- Switch --- PCs, WLAN APs, usw....
oder noch besser wäre noch
Internet --- Hitron Modem --- pfSense (mit WLAN) WAN Port --- Switch --- PCs, TV, usw....
3)
Machen kann man vieles und sicher auch auf die ein oder andere Variante machennur ob es eben immer Sinn voll ist wie es einem gerade in den Sinn kommt ist meist
fraglich.
z.b. alle Geräte ausschalten und nur eins aktivieren um zu schauen welche Daten z.B.
vom TV nach außen gesendet werden. -> Datenschutz usw.
Dann einfach alle Gräte ausschalten und nur mit dem PC und WireShark amvom TV nach außen gesendet werden. -> Datenschutz usw.
Monitor Port (mirrored Port) am Switch mitlesen. Dann weiß man ganz genau
wohin der Fernseher telefoniert.
Das schöne dabei ist, wenn die Box als VPN Client mit einem VPN Anbieter sich verbindet,
müssen alle vorgelagerten Clients (PC, Smartphones, usw) keine aktive Verbindung mehr
aufbauen,
Richtig!müssen alle vorgelagerten Clients (PC, Smartphones, usw) keine aktive Verbindung mehr
aufbauen,
sie nutzen das Internet wie vorher auch, mit dem Unterschied das nach außen eine andere
öffentliche IP sichtbar ist.
Richtig.öffentliche IP sichtbar ist.
Ein Nachteil könnte sein, falls Infrastrukturprobleme existieren, z.b. VPN ausgefallen,
können alle Clients nicht mehr ins Internet oder?
Richtig das ist aber auch der Fall wenn das Modem kaputt geht!können alle Clients nicht mehr ins Internet oder?
Gruß
Dobby
Mann Dobby, Urlaub oder was?
@amsteldwa: Ich würde z.B. eher zu dieser von Dobyy vorgeschlagenen Lösung tendieren, wenn du nicht selbst bauen willst:
http://www.amazon.com/Jetway-Intel-Network-JBC200F9N-E4IN-B-ADE4INLANG/ ...
Das ist ne schöne Lösung.
Erfahrungsgemäss will man irgendwann doch immer mehr mit den Packages rumprobieren.
Die Installation der PfSense ist kinderleicht, man lässt einen Wizard in den default Einstellungen durchlaufen und hat ein prima System.
Alle Dual-Core Lösungen mit 2Gb+ sind für dich im grünen Bereich. Meines Wissens bieten die Intel LAN Komponenten deutlich bessere Performance als die Realteks. Ist ein interessantes Kriterium, hier aber eher theoretisch.
Aufbau: Modem --> WAN Port PfSense <--> LAN Port PfSense --> LAN Port FB. (Wofür wird die FB nochmal gebraucht) (siehe Dobby)
Damit darf die FB noch Switch und WLAN AP sein. Router ist die PfSense.
Also: WAN-IP per DHCP an WAN PfSense, feste IP an LAN PfSense feste IP an FB und das rennt.
Wenn du noch irgendwelche Features der FB brauchst, musst du natürlich das WAN der FB mit dem LAN der PfSense verbinden und in dein internes Netz auf der FB nochmal routen. Ich mag diese Routerkaskaden nicht und vermeide sie, wenn irgendmöglich.
"Hau rein" und poste ruhig deine Konfig für die PfSense als Client mit deinem VPN Anbieter. Das ist ein wenig tricky und ich habe auf die Schnelle nur engl. Anleitungen gefunden und im Forum ist wohl auch noch nichts. Gehen tuts definitiv.
Gruß
Buc
@amsteldwa: Ich würde z.B. eher zu dieser von Dobyy vorgeschlagenen Lösung tendieren, wenn du nicht selbst bauen willst:
http://www.amazon.com/Jetway-Intel-Network-JBC200F9N-E4IN-B-ADE4INLANG/ ...
Das ist ne schöne Lösung.
Erfahrungsgemäss will man irgendwann doch immer mehr mit den Packages rumprobieren.
Die Installation der PfSense ist kinderleicht, man lässt einen Wizard in den default Einstellungen durchlaufen und hat ein prima System.
Alle Dual-Core Lösungen mit 2Gb+ sind für dich im grünen Bereich. Meines Wissens bieten die Intel LAN Komponenten deutlich bessere Performance als die Realteks. Ist ein interessantes Kriterium, hier aber eher theoretisch.
Aufbau: Modem --> WAN Port PfSense <--> LAN Port PfSense --> LAN Port FB. (Wofür wird die FB nochmal gebraucht) (siehe Dobby)
Damit darf die FB noch Switch und WLAN AP sein. Router ist die PfSense.
Also: WAN-IP per DHCP an WAN PfSense, feste IP an LAN PfSense feste IP an FB und das rennt.
Wenn du noch irgendwelche Features der FB brauchst, musst du natürlich das WAN der FB mit dem LAN der PfSense verbinden und in dein internes Netz auf der FB nochmal routen. Ich mag diese Routerkaskaden nicht und vermeide sie, wenn irgendmöglich.
"Hau rein" und poste ruhig deine Konfig für die PfSense als Client mit deinem VPN Anbieter. Das ist ein wenig tricky und ich habe auf die Schnelle nur engl. Anleitungen gefunden und im Forum ist wohl auch noch nichts. Gehen tuts definitiv.
Gruß
Buc
Hallo nochmal,
ich hab auf dem Hauseigenen Shop von pfSense geschaut und folgendes Produkt gefunden, welches für mein Vorhaben oben mit zwei LAN Ports ausreichen müsste:
http://store.pfsense.org/SG-2220/
Da ich es nur als Zwischenstation hinter der FritzBox und dem KabelModel installieren will, sollte es ausreichen, mehr Ports brauche ich ja nicht.
[EDIT] Das pfSense Produkt kostet hier in DE zuviel, das lohnt sich nicht, hab nun folgendes Produkt gefunden:
http://www.amazon.com/Jetway-Intel-Celeron-N2930-Fanless/dp/B00OY8Q0QC/ ...
Was meint Ihr?
ich hab auf dem Hauseigenen Shop von pfSense geschaut und folgendes Produkt gefunden, welches für mein Vorhaben oben mit zwei LAN Ports ausreichen müsste:
http://store.pfsense.org/SG-2220/
Da ich es nur als Zwischenstation hinter der FritzBox und dem KabelModel installieren will, sollte es ausreichen, mehr Ports brauche ich ja nicht.
[EDIT] Das pfSense Produkt kostet hier in DE zuviel, das lohnt sich nicht, hab nun folgendes Produkt gefunden:
http://www.amazon.com/Jetway-Intel-Celeron-N2930-Fanless/dp/B00OY8Q0QC/ ...
Was meint Ihr?
Da ich es nur als Zwischenstation hinter der FritzBox und dem KabelModel installieren will,
sollte es ausreichen, mehr Ports brauche ich ja nicht.
Spare lieber Dein Geld und dann kaufe für ~50 € mehr etwas vernünftiges!sollte es ausreichen, mehr Ports brauche ich ja nicht.
Was meint Ihr?
Wenn es Dir reicht dann kannst Du auch einfach ein Alix APU 1D4 Board kaufen
und es damit umsetzen. Man muss eben nur wissen;
- Welche Internetverbindung und ISP hast Du?
- Welche Pakete möchtest Du installieren?
- Welchen VPN Provider hast Du?
Gruß
Dobby
Hi Dobby,
zu deinen Fragen:
1) Ich habe eine 100MBit Verbindung bei KabelDE
3) Es wird ein eigener VServer als OpenVPN Server aufgebaut, noch nicht fertig. Auf der Box soll analog der OpenVPN Client laufen.
2) Welche Pakete ich installieren will, weiß ich noch nicht, weil ich das System noch nie gesehen habe, für den Anfang will ich versuchen eine Whitelist aufzubauen, der Rest wird dann geblockt. Aktuell habe ich keine weiteren Anforderungen, als den Traffic zentral über die Firewall zu verwalten UND den Traffic über den OpenVPN Client zum OpenVPN Server durchzuleiten.
Ich bin immer noch unschlüssig, weil das Model von Jetways mit 2 Ports hat eine Intel Celeron N2930, welches kein AES-NI unterstützt:
http://www.amazon.com/Jetway-Intel-Celeron-N2930-Fanless/dp/B00OY8Q0QC/ ...
http://ark.intel.com/de/products/81073/Intel-Celeron-Processor-N2930-2M ...
Die Box wäre schon ausreichend, ich brauche nur 2 Ports, wenn die Box mit aktueller CPU mit AES-NI gibt, wäre ich sehr glücklich
Welches Produkt kannst du empfehlen?
zu deinen Fragen:
1) Ich habe eine 100MBit Verbindung bei KabelDE
3) Es wird ein eigener VServer als OpenVPN Server aufgebaut, noch nicht fertig. Auf der Box soll analog der OpenVPN Client laufen.
2) Welche Pakete ich installieren will, weiß ich noch nicht, weil ich das System noch nie gesehen habe, für den Anfang will ich versuchen eine Whitelist aufzubauen, der Rest wird dann geblockt. Aktuell habe ich keine weiteren Anforderungen, als den Traffic zentral über die Firewall zu verwalten UND den Traffic über den OpenVPN Client zum OpenVPN Server durchzuleiten.
Ich bin immer noch unschlüssig, weil das Model von Jetways mit 2 Ports hat eine Intel Celeron N2930, welches kein AES-NI unterstützt:
http://www.amazon.com/Jetway-Intel-Celeron-N2930-Fanless/dp/B00OY8Q0QC/ ...
http://ark.intel.com/de/products/81073/Intel-Celeron-Processor-N2930-2M ...
Die Box wäre schon ausreichend, ich brauche nur 2 Ports, wenn die Box mit aktueller CPU mit AES-NI gibt, wäre ich sehr glücklich
Welches Produkt kannst du empfehlen?
Wenn du nicht als VPN-Provider deine Brötchen verdienen willst, sollte das Jetway Board nun dicke ausreichen. Irgendwas dürfen die 4 Kerne doch auch zu tun haben, oder?
Ich habe im Vergleich Dual-Core Atom Boards ohne Hardwarekryptographie, die mit Site2Site VPN und einzelnen Clients ein sehr ruhiges Dasein fristen...
Also nochmal: "Hau rein!"
Buc
Ich habe im Vergleich Dual-Core Atom Boards ohne Hardwarekryptographie, die mit Site2Site VPN und einzelnen Clients ein sehr ruhiges Dasein fristen...
Also nochmal: "Hau rein!"
Buc
Hallo,
- 1 GBit/s WAN Durchsatz
- Snort, Squid & SquidGuard
- 100 MBit/s VON Durchsatz sollte damit ein Kinderspiel sein.
das kann dann alles und bringt auch AES-NI mit! Die kleine SG-2220 Firewall kann sicherlich 100 MBit/s
am WAN Port versorgen und auch das mit dem OpenVPN sollte laufen nur wenn dann noch andere Pakete
dazu installiert werden ist auch schnell Ende mit der SG-2220 Firewall.
Du Snort, Squid & SquidGuard, SARG, pfBlocker-NG, Apinger, usw. nicht installieren kannst weil der
Durchsatz dann in den Boden geht.
für Heimanwender zu beziehen so das es auch noch zu bezahlen ist.
Supermicro C2558 Mainboard und ein M350 mini-ITX Gehäuse dazu kann man auch selber
zusammen bauen. Oder Du wartest einfach noch eine Weile und es gibt dann ein neues APU2B4
Board was mit AES-NI daher kommt und auch 4 CPU Kerne hat und drei Ports mit bringt.
APU2B4
Kommt bestimmt zu einem moderaten Preis und ist völlig leise und ohne drehende Teile wie
Ventilatoren. Das sollte schon dicke reichen. Klar bei 100 MBit/s möchte man schon das Maximum
heraus holen aber die SG-2220 finde ich zu teuer und dann auch noch mit zu wenig "Wumms" solltest
Du aber wirklich nicht mehr brauchen wäre das schon dicke für nur Firewall und OpenVPN.
Axiomtek NA-342
Ist bereits zu haben und auch von hier und in Deutschland zu bestellen, reicht völlig aus und hat
alles was man braucht um mit pfSense glücklich zu werden.
Gruß
Dobby
1) Ich habe eine 100MBit Verbindung bei KabelDE
Ok das macht das Jetway Produkt mit Links! Und das auch noch zu einem anderen Preis.- 1 GBit/s WAN Durchsatz
- Snort, Squid & SquidGuard
- 100 MBit/s VON Durchsatz sollte damit ein Kinderspiel sein.
3) Es wird ein eigener VServer als OpenVPN Server aufgebaut, noch nicht fertig.
Auf der Box soll analog der OpenVPN Client laufen.
Ich würde bei Dir wirklich sagen das Du Dir ein kleines Intel Core i3 oder Core i5 System aufbaustAuf der Box soll analog der OpenVPN Client laufen.
das kann dann alles und bringt auch AES-NI mit! Die kleine SG-2220 Firewall kann sicherlich 100 MBit/s
am WAN Port versorgen und auch das mit dem OpenVPN sollte laufen nur wenn dann noch andere Pakete
dazu installiert werden ist auch schnell Ende mit der SG-2220 Firewall.
2) Welche Pakete ich installieren will, weiß ich noch nicht, weil ich das System noch nie gesehen habe,
für den Anfang will ich versuchen eine Whitelist aufzubauen, der Rest wird dann geblockt. Aktuell habe ich
keine weiteren Anforderungen, als den Traffic zentral über die Firewall zu verwalten UND den Traffic über
den OpenVPN Client zum OpenVPN Server durchzuleiten.
Ok dann kauf Dir die SG-2220 Firewall, das sollte alles kein Problem sein, nur heule dann nicht wennfür den Anfang will ich versuchen eine Whitelist aufzubauen, der Rest wird dann geblockt. Aktuell habe ich
keine weiteren Anforderungen, als den Traffic zentral über die Firewall zu verwalten UND den Traffic über
den OpenVPN Client zum OpenVPN Server durchzuleiten.
Du Snort, Squid & SquidGuard, SARG, pfBlocker-NG, Apinger, usw. nicht installieren kannst weil der
Durchsatz dann in den Boden geht.
Ich bin immer noch unschlüssig, weil das Model von Jetways mit 2 Ports hat eine Intel Celeron N2930,
welches kein AES-NI unterstützt:
AES-NI und Intel QuickAssist sind momentan nur durch die Intel Atom C2x58 "Rangeley" Plattformwelches kein AES-NI unterstützt:
für Heimanwender zu beziehen so das es auch noch zu bezahlen ist.
Die Box wäre schon ausreichend, ich brauche nur 2 Ports, wenn die Box mit aktueller
CPU mit AES-NI gibt, wäre ich sehr glücklich
Das wären sehr viele Leute, nur dem ist eben nicht so.CPU mit AES-NI gibt, wäre ich sehr glücklich
Supermicro C2558 Mainboard und ein M350 mini-ITX Gehäuse dazu kann man auch selber
zusammen bauen. Oder Du wartest einfach noch eine Weile und es gibt dann ein neues APU2B4
Board was mit AES-NI daher kommt und auch 4 CPU Kerne hat und drei Ports mit bringt.
APU2B4
Kommt bestimmt zu einem moderaten Preis und ist völlig leise und ohne drehende Teile wie
Ventilatoren. Das sollte schon dicke reichen. Klar bei 100 MBit/s möchte man schon das Maximum
heraus holen aber die SG-2220 finde ich zu teuer und dann auch noch mit zu wenig "Wumms" solltest
Du aber wirklich nicht mehr brauchen wäre das schon dicke für nur Firewall und OpenVPN.
Axiomtek NA-342
Ist bereits zu haben und auch von hier und in Deutschland zu bestellen, reicht völlig aus und hat
alles was man braucht um mit pfSense glücklich zu werden.
Gruß
Dobby
