17
Umbau Heimnetz auf pfsense mit VDSL, Telekom Entertain und VoIP so sinnvoll?
Moin moin,
ich stehe derzeit vor folgender Situation: Seit dem letzten Umzug verfügen wir über VDSL mit einem neuen Router W724V, welcher von der Telekom gemietet ist. Leider ist dieses Gerät wirklich sehr beschnitten, so dass ich zu meinem eigenem Schutz nicht einmal die Firewall konfigurieren oder deaktivieren kann.
Da dies schon zu Problemen geführt hat, habe ich mich einmal etwas schlau gemacht und wäge derzeit die Umstellung auf eine eigene Lösung mit pfsense ab.
Folgende Teilnehmer hängen derzeit hinter dem/am Router:
- Mehrere Desktop-PCs
- Ein Telekom Entertain Receiver
- Ein Telefon mit altem TAE-Stecker (hängt direkt am Router, da Anschluss von all reiner IP-Anschluss ist)
- WLAN-Zugang über Router
Nun habe ich mich schon einmal etwas schlau gemacht und mir folgende Lösung grob skizziert:
- Ich benötige ein neues Modem
- Dahinter schalte ich einen Rechner mit pfsense
- An pfsense hänge ich einen Switch und bediene die ganzen Rechner und den Entertain Receiver
pfsense fungiert in dieser Konfiguration dann als Router und Firewall, ggf. integriere ich WLAN auch direkt in diese Maschine oder verwende einen extra AP (dies soll nun nicht so wichtig sein).
Was mir nun ein bisschen Kopfschmerzen macht ist das Telefon. Wie kriege ich dies in das System integriert? Ich hatte schon überlegt ein neues VoIP-Telefon zu kaufen, dann benötige ich jedoch noch eine VoIP-Telefonanlage (wenns auch nur ein Raspberry Pi ist), wenn ich das richtig gesehen habe. Alternativ könnte ich überlegen, dass ich bei ebay z.B. eine alte Fritzbox hole, welche ich dann an den Switch hänge und dort das Telefon dran packe. Dann dient die Fritzbox als TK-Anlage und hat ggf. sogar noch ein WLAN-AP.
Jedoch geht dies überhaupt? Leider bin ich in der Netzwerk-Ebene sehr neu.
Bislang tendiere ich zu folgender Hardware:
- Draytek Vigor 130 als VDSL Modem (http://www.draytek.de/vigor130.html)
- Als Switch den TP-Link TL-SG3210 (http://www.amazon.de/dp/B005KTM2M0/), da ich VLAN und IGMP benötige, ggf. lasse ich den Switch auf das QoS machen und nicht pfsense oder ist dieser Switch überhaupt nicht passend?
- Als pfsense-Maschine ggf. ein J1900 SoB mit einer zusätzlichen Gigabit-Netzwerkkarte für WAN-LAN-Verbindung
Eine alternative Idee wäre auch noch gewesen, dass ich einen Router (z.B. ne Fritzbox) vor die pfsense hänge und dort Telefon und Entertain dran hänge. Dann spare ich mir die Konfiguration erst einmal und kann es später (wenn ich mich eingearbeitet habe) hinter die Firewall legen - der Router kostet dann aber auch mehr Geld.
Abschließend: Auf pfsense möchte ich später einen VPN-Client (openvpn) installieren und mich dann zu einem kommerziellen VPN-Anbieter verbinden. Per pfsense kann man gewisse IPs dann über diesen VPN-Tunnel schicken und den Rest z.B. regulär ins Internet gehen lassen. Dadurch könnte ich einen PC abstellen, welcher immer durch ein VPN in den USA raus kommt ohne das ich den Client selbst konfigurieren muss - dies erfolgt dann alles in der Firewall
Sieht hier irgendwer einen groben Schnitzer in meiner Idee oder hat Verbesserungswünsche? Bin für jede Meinung dankbar!
ich stehe derzeit vor folgender Situation: Seit dem letzten Umzug verfügen wir über VDSL mit einem neuen Router W724V, welcher von der Telekom gemietet ist. Leider ist dieses Gerät wirklich sehr beschnitten, so dass ich zu meinem eigenem Schutz nicht einmal die Firewall konfigurieren oder deaktivieren kann.
Da dies schon zu Problemen geführt hat, habe ich mich einmal etwas schlau gemacht und wäge derzeit die Umstellung auf eine eigene Lösung mit pfsense ab.
Folgende Teilnehmer hängen derzeit hinter dem/am Router:
- Mehrere Desktop-PCs
- Ein Telekom Entertain Receiver
- Ein Telefon mit altem TAE-Stecker (hängt direkt am Router, da Anschluss von all reiner IP-Anschluss ist)
- WLAN-Zugang über Router
Nun habe ich mich schon einmal etwas schlau gemacht und mir folgende Lösung grob skizziert:
- Ich benötige ein neues Modem
- Dahinter schalte ich einen Rechner mit pfsense
- An pfsense hänge ich einen Switch und bediene die ganzen Rechner und den Entertain Receiver
pfsense fungiert in dieser Konfiguration dann als Router und Firewall, ggf. integriere ich WLAN auch direkt in diese Maschine oder verwende einen extra AP (dies soll nun nicht so wichtig sein).
Was mir nun ein bisschen Kopfschmerzen macht ist das Telefon. Wie kriege ich dies in das System integriert? Ich hatte schon überlegt ein neues VoIP-Telefon zu kaufen, dann benötige ich jedoch noch eine VoIP-Telefonanlage (wenns auch nur ein Raspberry Pi ist), wenn ich das richtig gesehen habe. Alternativ könnte ich überlegen, dass ich bei ebay z.B. eine alte Fritzbox hole, welche ich dann an den Switch hänge und dort das Telefon dran packe. Dann dient die Fritzbox als TK-Anlage und hat ggf. sogar noch ein WLAN-AP.
Jedoch geht dies überhaupt? Leider bin ich in der Netzwerk-Ebene sehr neu.
Bislang tendiere ich zu folgender Hardware:
- Draytek Vigor 130 als VDSL Modem (http://www.draytek.de/vigor130.html)
- Als Switch den TP-Link TL-SG3210 (http://www.amazon.de/dp/B005KTM2M0/), da ich VLAN und IGMP benötige, ggf. lasse ich den Switch auf das QoS machen und nicht pfsense oder ist dieser Switch überhaupt nicht passend?
- Als pfsense-Maschine ggf. ein J1900 SoB mit einer zusätzlichen Gigabit-Netzwerkkarte für WAN-LAN-Verbindung
Eine alternative Idee wäre auch noch gewesen, dass ich einen Router (z.B. ne Fritzbox) vor die pfsense hänge und dort Telefon und Entertain dran hänge. Dann spare ich mir die Konfiguration erst einmal und kann es später (wenn ich mich eingearbeitet habe) hinter die Firewall legen - der Router kostet dann aber auch mehr Geld.
Abschließend: Auf pfsense möchte ich später einen VPN-Client (openvpn) installieren und mich dann zu einem kommerziellen VPN-Anbieter verbinden. Per pfsense kann man gewisse IPs dann über diesen VPN-Tunnel schicken und den Rest z.B. regulär ins Internet gehen lassen. Dadurch könnte ich einen PC abstellen, welcher immer durch ein VPN in den USA raus kommt ohne das ich den Client selbst konfigurieren muss - dies erfolgt dann alles in der Firewall
Sieht hier irgendwer einen groben Schnitzer in meiner Idee oder hat Verbesserungswünsche? Bin für jede Meinung dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 264764
Url: https://administrator.de/contentid/264764
Printed on: April 25, 2024 at 09:04 o'clock
17 Comments
Latest comment
Hi,
Am VDSL ein O²-Zwangsrouter Fritzbox7490, nach erfolgreichem Austausch eines Chinaböllers O²-Box 6431.
In deren Netz alles was in die Kategorie Ententrainer passt, sowie WLAN-Gastnetz, Telefon, AB etc....
Dahinter eine pfSense im privaten LAN, mit DMZ für den Server/NAS und bei Bedarf ein weiteres WLAN für die privaten Zwecke auf.....
http://www.apu-board.de/produkte/apu1d4-bundle.html
..und von @aqui das Tutorial gratis.....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kosten, wenn der "Zwangsrouter" geliefert wird ca. 200 €uronen.
Gruß orcape
....VoIP so sinnvoll?
Wenn bei "diesem" Provider ausser VoIP nichts anders mehr geht...Bislang tendiere ich zu folgender Hardware
...ich tendiere zu folgender Hardware..Am VDSL ein O²-Zwangsrouter Fritzbox7490, nach erfolgreichem Austausch eines Chinaböllers O²-Box 6431.
In deren Netz alles was in die Kategorie Ententrainer passt, sowie WLAN-Gastnetz, Telefon, AB etc....
Dahinter eine pfSense im privaten LAN, mit DMZ für den Server/NAS und bei Bedarf ein weiteres WLAN für die privaten Zwecke auf.....
http://www.apu-board.de/produkte/apu1d4-bundle.html
..und von @aqui das Tutorial gratis.....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kosten, wenn der "Zwangsrouter" geliefert wird ca. 200 €uronen.
Gruß orcape
Hallo,
danke für deine Antwort. Dein Vorschlag entspricht also dem alternativen Ansatz von meiner Seite aus.
Den von der Telekom gelieferten Router kann ich jedoch wegen der schlechten/nicht konfigurierbaren Firewall nicht nutzen. Diesen muss ich also eh wechseln und dafür Geld in die Hand nehmen.
Wenn ich dann den Router vor pfsense als Router und nicht nur als Modem benutzen will, muss ich dann bei der Beschaffung auf gewisse Produkt-Merkmale achten?
In meinen Augen sicherlich die einfachere Variante. Ich muss jedoch auch zugeben, dass ich diese Variante nicht als die bessere empfinde.
danke für deine Antwort. Dein Vorschlag entspricht also dem alternativen Ansatz von meiner Seite aus.
Den von der Telekom gelieferten Router kann ich jedoch wegen der schlechten/nicht konfigurierbaren Firewall nicht nutzen. Diesen muss ich also eh wechseln und dafür Geld in die Hand nehmen.
Wenn ich dann den Router vor pfsense als Router und nicht nur als Modem benutzen will, muss ich dann bei der Beschaffung auf gewisse Produkt-Merkmale achten?
In meinen Augen sicherlich die einfachere Variante. Ich muss jedoch auch zugeben, dass ich diese Variante nicht als die bessere empfinde.
Wenn ich dann den Router vor pfsense als Router und nicht nur als Modem benutzen will, muss ich dann bei der Beschaffung auf gewisse Produkt-Merkmale achten?
Der Nachteil bei meinem Ist Zustand, das sich eine 7490 nicht mehr so problemlos per pppoE-Passthrough in den Modemzustand versetzen lässt. Wäre auch fast etwas zu schade..Der Vorteil, als Router und gleichzeitige Telefonanlage, incl . Anrufbeantworter und vieler weiterer "Spielereien" eigentlich für to Home nicht so ganz schlecht.
In deren Netz sind dann auch sehr plauderanfällige TV´s besser aufgehoben.
Routermodus, 2 x NAT, was aber wieder bei einem VDSL-Anschluss nur geringe Performance Verluste bedeutet.
Auf der pfSense, 2. Netz, laufen dann z.B. VPN-Server, NAS und dann ist Dein privates LAN einfach etwas besser nach vorn abgeschirmt, vorausgestzt, Du hast alles ordentlich konfiguriert.
Gruß orcape
Diesen muss ich also eh wechseln und dafür Geld in die Hand nehmen.
Das kommt darauf an... Oft lassen sie die billigen Speedports als reine Modems konfigurieren. PPPoE Passthrough !Hast du mal ausgelotet ob der SP diese Option hat ?
Andererseits kannst du ihn auch in einer Kaskade laufen lassen. Technisch nicht optimal wegen doppeltem NAT aber machbar. Auf besondere merkmale musst du nicht achten in so einem Konstrukt.
Und ja, du hast Recht. Technisch gesehen ist es die schlechtere Variante...
Dann dient die Fritzbox als TK-Anlage und hat ggf. sogar noch ein WLAN-AP.
Kann man so machen allerdings wenn du nur 1 oder 2 Telefone benutzt ist es sinnvoller einen VoIP Adapter zu verwenden wie z.B. diesen hier:http://www.reichelt.de/?ACTION=3&ARTICLE=136473&GROUPID=2860&am ...
Den hängst du schlicht ins Netz und kannst alle beliebigen Analogtelefone dort anklemmen.
Das J1900 SoB ist in der Tat keine glückliche Wahl. Nimm da lieber ein ALIX 2D13 oder APU1D, da fährst du allemal besser mit zudem es das als fertigen_Set gibt.
Sieht hier irgendwer einen groben Schnitzer in meiner Idee
Nein, das ist alles plausibel und macht Sinn.Oft lassen sie die billigen Speedports als reine Modems konfigurieren. PPPoE Passthrough !
...hast Du Recht, zumindest die älteren Semester.Da wirst Du bei EBay für ´n Appel und ´n Ei fündig....
Natürlich kann man die Teile nicht mit einer 7490 vergleichen, da fallen dann natürlich schon einige "Spielereien" weg, dafür sind Sie aber eben wieder Spottbillig.
Der Speedport W724V lässt sich auch als reines xDSL Modem mit Passthrough verwenden:
https://telekomhilft.telekom.de/t5/Speedport-700er-Serie/Speedport-W724V ...
und
https://telekomhilft.telekom.de/t5/Frage-stellen/VDSL-mit-Speedport-W-72 ...
Ist aber wohl nicht rrivial ob Typ A oder B beim 724.
Aber es gibt ja Alternativen...
https://telekomhilft.telekom.de/t5/Speedport-700er-Serie/Speedport-W724V ...
und
https://telekomhilft.telekom.de/t5/Frage-stellen/VDSL-mit-Speedport-W-72 ...
Ist aber wohl nicht rrivial ob Typ A oder B beim 724.
Aber es gibt ja Alternativen...
Man könnte das Leihgerät ja auch etwas auf Vordermann bringen....
http://www.pc-magazin.de/ratgeber/speedport-fritzbox-hack-firmware-modd ...
Ich überlege auch schon, ob ich meiner 7490 was gutes tue und ein Freetz-Image aufspiele.
Gebastelt habe ich es schon, nur trau ich mich noch nicht so richtig wirklich...
Ist eben noch ´ne Laborversion.
http://www.pc-magazin.de/ratgeber/speedport-fritzbox-hack-firmware-modd ...
Ich überlege auch schon, ob ich meiner 7490 was gutes tue und ein Freetz-Image aufspiele.
Gebastelt habe ich es schon, nur trau ich mich noch nicht so richtig wirklich...
Ist eben noch ´ne Laborversion.
Dies ist beim Speedport W 724V leider nicht mehr möglich. Dieser wird nicht mehr von AVM hergestellt sondern enthält je nach Version Hardware von Huawei (Typ A), Arcadyan (Typ B) oder SerComm Corp. (Typ C). Siehe hier: http://de.wikipedia.org/wiki/Speedport#Modelle
Zitat von @aqui:
> Dann dient die Fritzbox als TK-Anlage und hat ggf. sogar noch ein WLAN-AP.
Kann man so machen allerdings wenn du nur 1 oder 2 Telefone benutzt ist es sinnvoller einen VoIP Adapter zu verwenden wie z.B.
diesen hier:
http://www.reichelt.de/?ACTION=3&ARTICLE=136473&GROUPID=2860&am ...
Den hängst du schlicht ins Netz und kannst alle beliebigen Analogtelefone dort anklemmen.
> Dann dient die Fritzbox als TK-Anlage und hat ggf. sogar noch ein WLAN-AP.
Kann man so machen allerdings wenn du nur 1 oder 2 Telefone benutzt ist es sinnvoller einen VoIP Adapter zu verwenden wie z.B.
diesen hier:
http://www.reichelt.de/?ACTION=3&ARTICLE=136473&GROUPID=2860&am ...
Den hängst du schlicht ins Netz und kannst alle beliebigen Analogtelefone dort anklemmen.
Für mich ist nur ein Telefon derzeit relevant.
Das J1900 SoB ist in der Tat keine glückliche Wahl. Nimm da lieber ein ALIX 2D13 oder APU1D, da fährst du allemal besser
mit zudem es das als
[http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-ALIX-2D13-Bundle-Board-Netzteil-4GB-CF-Gehaeuse::1224.html
fertigen_Set] gibt.
mit zudem es das als
[http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-ALIX-2D13-Bundle-Board-Netzteil-4GB-CF-Gehaeuse::1224.html
fertigen_Set] gibt.
Das APU kenne ich. Jedoch wird dies für meine Ansprüche nicht ausreichend Performance bieten denke ich. Ziel ist es in Spitze mindestens 50 Mbit über VPN (AES-256-CBC) und dafür ist dieses Board leider einfach zu schwach (Konnte ich im pfsense-Forum schon entsprechend nachlesen).
Tendiere hier daher deswegen eher zu einer stärkeren CPU.
Tendiere hier daher deswegen eher zu einer stärkeren CPU.
Worauf z.B. eine pfSense läuft, kommt natürlich auf die Einsatzzwecke an.Ich kauf mir doch auch keinen FIAT- 500, wenn ich vor habe 5 x die Woche 900 km auf der Autobahn zurück zu legen..
Das ist korrekt ;) Wollte nur begründen wieso ich leider mit dem APU1D nicht hin kommen werde.
Dann nimm einen preiswerten Blade Server von eBay mit entsprechender CPU:
http://www.ebay.de/itm/1HE-1U-19-Supermicro-Rack-Server-P4-3-06GHz-RAM- ...
Steck ne 4er Intel Netzwerkkarte rein wenn du mehr als 2 Ports brauchst...fertisch.
http://www.ebay.de/itm/1HE-1U-19-Supermicro-Rack-Server-P4-3-06GHz-RAM- ...
Steck ne 4er Intel Netzwerkkarte rein wenn du mehr als 2 Ports brauchst...fertisch.
An alte Racks habe ich auch schon einmal gedacht, jedoch schrecken mich dort zwei Dinge ab: Der Lärm und der Verbrauch.
Ich kenne unsere Server von der Arbeit und die sind leider echt nicht leise. Diese kleinen Lüfter machen teilweise schon bei niedrigen Drehzahlen echten radau und der Server müsste bei uns in den Wohnräumen sein - denke nicht, dass meine Freundin da glücklich mit ist ;) Abgesehen von der "Lagerung".
Was mich dann aber noch eher stört ist der Verbrauch der alten CPUs. Die haben zwar meist genug power aber die CPUs verbrennen meist unglaublich viel Strom im Idle-Prozess (von Last mal gar nicht zu sprechen). Für mich als Privat-Person eigentlich heutzutage ein K.O. Kriterium. Da müsste das Teil in seinen Anschaffungskosten mit allem drum und dran schon sehr günstig sein, damit die Amortisation gute Zahlen liefert.
Ich kenne unsere Server von der Arbeit und die sind leider echt nicht leise. Diese kleinen Lüfter machen teilweise schon bei niedrigen Drehzahlen echten radau und der Server müsste bei uns in den Wohnräumen sein - denke nicht, dass meine Freundin da glücklich mit ist ;) Abgesehen von der "Lagerung".
Was mich dann aber noch eher stört ist der Verbrauch der alten CPUs. Die haben zwar meist genug power aber die CPUs verbrennen meist unglaublich viel Strom im Idle-Prozess (von Last mal gar nicht zu sprechen). Für mich als Privat-Person eigentlich heutzutage ein K.O. Kriterium. Da müsste das Teil in seinen Anschaffungskosten mit allem drum und dran schon sehr günstig sein, damit die Amortisation gute Zahlen liefert.
Dann nimm das APU1D ! Wenn das 50 Mbit VPN Durchsatz macht (und das schafft es allemal mit der Crypto HW die die Geode CPU an Bord hat) raicht das doch....) Verbrauch sind dann 25 Euro Strom im Jahr.
Der beste Kompromiss den man machen kann !!
Sonst musst du einen Intel NUC mit Haswell nehmen aber dann musst du dort mit USB zu Gig Ethernet Adaptern arbeiten für weitere Ethernet Ports. 500 Mbit ist damit absolut drin.
Der beste Kompromiss den man machen kann !!
Sonst musst du einen Intel NUC mit Haswell nehmen aber dann musst du dort mit USB zu Gig Ethernet Adaptern arbeiten für weitere Ethernet Ports. 500 Mbit ist damit absolut drin.
Grundsätzlich habe ich gar nichts gegen den APU1D - wäre auch meine favorisierte Wahl. Hab jedoch in ersten Recherchen gesehen, dass Leute für 50 Mbit davon abgeraten hatten, da er openvpn mit starker Verschlüsslung nicht schaffen wurde.
Leider finde ich jetzt auf die schnelle die entsprechenden Einträge im pfsense-Forum nicht mehr. Wenn die Information falsch war, umso besser.
Leider finde ich jetzt auf die schnelle die entsprechenden Einträge im pfsense-Forum nicht mehr. Wenn die Information falsch war, umso besser.
Grundsätzlich habe ich gar nichts gegen den APU1D - wäre auch meine favorisierte Wahl.
...die Frage ist doch eigentlich nur, was Du so über den Tunnel abwickeln willst.Für eine remote Videobearbeitung per VPN, ist das APU sicher nicht die richtige Wahl.
Für "Otto Normal" Home, sicher allemal ausreichend.
Muss aber jeder selbst entscheiden, wie sehr er seinen Geldbeutel damit belasten will, auch wenn er das nicht unbedingt muss.
Gruß orcape
Der Verwendungszweck ist hauptsächlich auf Web einzugrenzen, wobei der eigentliche Verwendungszweck ja nicht unbedingt relevant ist. Möchte halt nur gerne nicht die Hardware als limitierenden Faktor direkt zu Anfang platzieren.
Hier wird eine Atom CPU, welche grundsätzlich ähnlich zum APU1D ist, getestet und kommt auf max. 50 Mbit unter AES-256: https://forum.pfsense.org/index.php/topic,27780.0.html
Derzeit besitzen wir nur VDSL50, womit das noch reichen würde. Jedoch benötigt meine Freundin bald wohl mehr Upload (beruflich bedingt) und daher sollte ich schon für 100 up, 40 down planen. Ich möchte ja nicht mir jetzt etwas anschaffen was in Zukunft keine Sicherheit bzw. Luft nach oben bietet.
Daher tendiere ich derzeit auch eher zu einer A4-5000er CPU von AMD, da diese eine ähnliche Single Core Performance wie der J1900 hat aber zusätzlich noch über AES-NI verfügt
Vergleich zwischen dem Atom aus dem Test oben und eine J1900:
http://cpuboss.com/cpus/Intel-Celeron-J1900-vs-Intel-Atom-D510
Und dann ein Vergleich zwischen J1900 und einem A4-5050:
http://cpuboss.com/cpus/Intel-Celeron-J1900-vs-AMD-A4-5050
Für 50 Mbit wäre der APU1D sicherlich dann ausreichend, jedoch auch schon sehr ausgelastet.
Hier wird eine Atom CPU, welche grundsätzlich ähnlich zum APU1D ist, getestet und kommt auf max. 50 Mbit unter AES-256: https://forum.pfsense.org/index.php/topic,27780.0.html
Derzeit besitzen wir nur VDSL50, womit das noch reichen würde. Jedoch benötigt meine Freundin bald wohl mehr Upload (beruflich bedingt) und daher sollte ich schon für 100 up, 40 down planen. Ich möchte ja nicht mir jetzt etwas anschaffen was in Zukunft keine Sicherheit bzw. Luft nach oben bietet.
Daher tendiere ich derzeit auch eher zu einer A4-5000er CPU von AMD, da diese eine ähnliche Single Core Performance wie der J1900 hat aber zusätzlich noch über AES-NI verfügt
Vergleich zwischen dem Atom aus dem Test oben und eine J1900:
http://cpuboss.com/cpus/Intel-Celeron-J1900-vs-Intel-Atom-D510
Und dann ein Vergleich zwischen J1900 und einem A4-5050:
http://cpuboss.com/cpus/Intel-Celeron-J1900-vs-AMD-A4-5050
Für 50 Mbit wäre der APU1D sicherlich dann ausreichend, jedoch auch schon sehr ausgelastet.
