Bestehende Infrastruktur in VLANs aufteilen, VPN Server und Firewall einrichten
Moin, moin.
Ich habe eine kleine Netzwerkinstallation geerbt und würde die nun gerne ein wenig auf Vordermann bringen.
Aktuell hängen in einem LAN (keine Segmentierung/VLANs) folgende Geräte:
- 15 PCs
- 2 XenServer (HA-Cluster)
- WLAN (Mitarbeiter, Gäste, Barcodescanner)
- IP Telefone
- Backup NAS
- ...
VPN (PPTP), DNS, DHCP, Exchange etc. laufen auf einem SBS.
Diesen "Zustand" würde ich gerne beenden, bekomme aber kein hinreichend großes Budget dafür. ("Läuft doch! Warum etwas ändern?")
Aufgrund des akuten Geldmangels würde ich gerne auf pfSense in Verbindung mit einem ALIX.2D13 Board setzen.
Es gibt ja schon für ca. 120€ entsprechende Komplettpakete zu kaufen.
Grundsätzlich wäre es ja mit pfSense möglich zwischen VLANs zu routen (VLAN fähige Switche sind vorhanden), die Zugriffe mit einer Firewall einzuschränken, VPN (IPSec) bereitzustellen und via DHCP IPs zu verteilen.
Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein wenig unterdimensioniert ist. Sehe ich das richtig?
Leider ist man bei größeren pfSense Konfigurationen (2GB, 4 GB...) ganz schnell bei 200-300€, was mein Budget deutlich sprengen würde.
Wäre es eine Alternative zu einer größeren pfSense Firewall, Funktionen, wie z.B. das Bereitstellen von VPN, auf einen kleinen MikroTik 750 auszulagern?
Wäre es unter dem Strich vielleicht sinnvoller den DHCP für alle VLANs auf dem SBS zu belassen?
Auf Friggeleien mit OpenWRT oder Ähnlichem habe ich eigentlich keine große Lust. Darum die Suche nach günstigen Appliances. Sollte es keine brauchbare Komplettlösung geben, sticke ich natürlich auch gerne selbst etwas zusammen.
Hauptsache ETWAS passiert.
Vielen Dank schon einmal für eure Unterstützung.
Ich habe eine kleine Netzwerkinstallation geerbt und würde die nun gerne ein wenig auf Vordermann bringen.
Aktuell hängen in einem LAN (keine Segmentierung/VLANs) folgende Geräte:
- 15 PCs
- 2 XenServer (HA-Cluster)
- WLAN (Mitarbeiter, Gäste, Barcodescanner)
- IP Telefone
- Backup NAS
- ...
VPN (PPTP), DNS, DHCP, Exchange etc. laufen auf einem SBS.
Diesen "Zustand" würde ich gerne beenden, bekomme aber kein hinreichend großes Budget dafür. ("Läuft doch! Warum etwas ändern?")
Aufgrund des akuten Geldmangels würde ich gerne auf pfSense in Verbindung mit einem ALIX.2D13 Board setzen.
Es gibt ja schon für ca. 120€ entsprechende Komplettpakete zu kaufen.
Grundsätzlich wäre es ja mit pfSense möglich zwischen VLANs zu routen (VLAN fähige Switche sind vorhanden), die Zugriffe mit einer Firewall einzuschränken, VPN (IPSec) bereitzustellen und via DHCP IPs zu verteilen.
Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein wenig unterdimensioniert ist. Sehe ich das richtig?
Leider ist man bei größeren pfSense Konfigurationen (2GB, 4 GB...) ganz schnell bei 200-300€, was mein Budget deutlich sprengen würde.
Wäre es eine Alternative zu einer größeren pfSense Firewall, Funktionen, wie z.B. das Bereitstellen von VPN, auf einen kleinen MikroTik 750 auszulagern?
Wäre es unter dem Strich vielleicht sinnvoller den DHCP für alle VLANs auf dem SBS zu belassen?
Auf Friggeleien mit OpenWRT oder Ähnlichem habe ich eigentlich keine große Lust. Darum die Suche nach günstigen Appliances. Sollte es keine brauchbare Komplettlösung geben, sticke ich natürlich auch gerne selbst etwas zusammen.
Hauptsache ETWAS passiert.Vielen Dank schon einmal für eure Unterstützung.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 249434
Url: https://administrator.de/forum/bestehende-infrastruktur-in-vlans-aufteilen-vpn-server-und-firewall-einrichten-249434.html
Ausgedruckt am: 30.04.2025 um 14:04 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
SSD kann man ja je nach dem dazu kaufen, aber sicherlich sollte es dann auch richtig flott
zur Sache gehen. Und wenn keine 200 € bis 300 € mehr vorhanden sind kann man sicherlich
auch etwas zusammen sparen und dann kommt es eben etwas später dazu, aber dann auch
richtig passend.
Gefrickel und auch wieder recht nah an 200 € dran! Also dann lieber für ~209 € ein
Komplettpaket mit allem drum und dran!
Geld sollte man eben noch einmal überlegen, denn wenn es an ~90 € scheitern sollte
weiß ich auch nicht richtig was da bei Euch los ist.
Dann lieber warten und schon einmal vorab das Netzwerk planen und sich über die eine
oder andere Sache gut informieren, dann funktioniert es nachher etwas schneller mit
der Umsetzung und man kann auch mit dem Material richtig was wuppen.
Gruß
Dobby
Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein
wenig unterdimensioniert ist. Sehe ich das richtig?
Naja das ALIX.APU1C gibt es für 140 € ein Gehäuse dazu für ~50 € und eine mSATA oderwenig unterdimensioniert ist. Sehe ich das richtig?
SSD kann man ja je nach dem dazu kaufen, aber sicherlich sollte es dann auch richtig flott
zur Sache gehen. Und wenn keine 200 € bis 300 € mehr vorhanden sind kann man sicherlich
auch etwas zusammen sparen und dann kommt es eben etwas später dazu, aber dann auch
richtig passend.
Wäre es eine Alternative zu einer größeren pfSense Firewall, Funktionen, wie z.B. das
Bereitstellen von VPN, auf einen kleinen MikroTik 750 auszulagern?
Das sind dann ~120 € & ~35 € für beides zusammen und auch irgend wie wiederBereitstellen von VPN, auf einen kleinen MikroTik 750 auszulagern?
Gefrickel und auch wieder recht nah an 200 € dran! Also dann lieber für ~209 € ein
Komplettpaket mit allem drum und dran!
Wäre es unter dem Strich vielleicht sinnvoller den DHCP für alle VLANs auf dem SBS zu belassen?
Ich würde an dem SBS nichts ändern wollen.Auf Friggeleien mit OpenWRT oder Ähnlichem habe ich eigentlich keine große Lust.
Naja ein MikroTik RB450G mit OpenWRT ist auch recht flott am werkeln, nur das mit demGeld sollte man eben noch einmal überlegen, denn wenn es an ~90 € scheitern sollte
weiß ich auch nicht richtig was da bei Euch los ist.
Darum die Suche nach günstigen Appliances. Sollte es keine brauchbare Komplettlösung
geben, sticke ich natürlich auch gerne selbst etwas zusammen.
Dann warte mal lieber bis ende diesen Monats und schau Dir mal das neue MikroTik RB850Gx2 an.geben, sticke ich natürlich auch gerne selbst etwas zusammen.
face-wink Hauptsache ETWAS
passiert.
Und das nennt man dann blinden Aktionismus!passiert.
Dann lieber warten und schon einmal vorab das Netzwerk planen und sich über die eine
oder andere Sache gut informieren, dann funktioniert es nachher etwas schneller mit
der Umsetzung und man kann auch mit dem Material richtig was wuppen.
Gruß
Dobby
Das heißt:
Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
oder ein wenig warten und den MikroTik RB850Gx2 erstehen?
Würden beide Systeme den entsprechenden Durchsatz bringen?
Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
oder ein wenig warten und den MikroTik RB850Gx2 erstehen?
Würden beide Systeme den entsprechenden Durchsatz bringen?
Hallo nochmal,
sollte auf jeden Fall abgehen wie die Post, nur leider würde ich persönlich
auch immer erst das Feedback der "Community" abwarten denn manchmal
hat MikroTik auch etwas "verschlimmbessert" oder aber die Kunden sind für die
neuen Router die "Betatester" und bei pfSense kann man sich sicher sein das es
stabil läuft!
Und mit welcher Verschlüsselung denn? (AES128 oder AES256)
Welchen Durchsatz brauchst Du denn?
Und die ganze teile einzeln kaufen ist auch genau so teuer!
Einzig und alleine ein Buch zu pfSense sollte man auch kaufen um damit besser
klar zu kommen, und für ca. 30 € ist das auch etwas was man bei der Lohnsteuer
absetzen kann.
Gruß
Dobby
Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
Würde ich dieses mal auf jeden Fall vorziehen wollen!oder ein wenig warten und den MikroTik RB850Gx2 erstehen?
Sicher ist das die Budgetempfehlung, aber PPC mit Dual Core CPUsollte auf jeden Fall abgehen wie die Post, nur leider würde ich persönlich
auch immer erst das Feedback der "Community" abwarten denn manchmal
hat MikroTik auch etwas "verschlimmbessert" oder aber die Kunden sind für die
neuen Router die "Betatester" und bei pfSense kann man sich sicher sein das es
stabil läuft!
Würden beide Systeme den entsprechenden Durchsatz bringen?
Welche VPN Methode benutzt Du denn?Und mit welcher Verschlüsselung denn? (AES128 oder AES256)
Welchen Durchsatz brauchst Du denn?
Und die ganze teile einzeln kaufen ist auch genau so teuer!
Einzig und alleine ein Buch zu pfSense sollte man auch kaufen um damit besser
klar zu kommen, und für ca. 30 € ist das auch etwas was man bei der Lohnsteuer
absetzen kann.
Gruß
Dobby
Zitat von @108012:
> Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
Würde ich dieses mal auf jeden Fall vorziehen wollen!
Genau auf so einen konkreten Hinweis von jemandem mit dem entsprechenden Background habe ich gehofft. Vielen dank!> Entweder jetzt ein pfSense auf einem ALIX.APU1C Board kaufen
Würde ich dieses mal auf jeden Fall vorziehen wollen!
> Würden beide Systeme den entsprechenden Durchsatz bringen?
Welche VPN Methode benutzt Du denn?
Und mit welcher Verschlüsselung denn? (AES128 oder AES256)
Es wird wohl IPSec mit AES128 werden.Welche VPN Methode benutzt Du denn?
Und mit welcher Verschlüsselung denn? (AES128 oder AES256)
Welchen Durchsatz brauchst Du denn?
Im schlimmsten Fall sind es 10 Personen die parallel den Exchange Server quälen und eine Software nutzen die SQL Statements über das Netz feuert.Ich dachte da eher an das lokal zwischen den VLANs stattfindende Routing bzw. die Firewall-Tätigkeiten.
Man liest ja häufig etwas von "Wirespeed" oder Ähnlichem.
Ich habe allerdings das ungute Gefühl, dass ein ALIX 2D13 für diese Aufgabenfülle ein wenig unterdimensioniert ist. Sehe ich das richtig?
Jein ! Die Frage kann man so nicht beantworten, denn es hängt in entscheidendem Masse davon ab WIEVIEL Traffic du hast zwischen deinen VLANs bzw. was dort geroutet werden muss.Dein Voice VLAN bist du allein schon aus rechlichen Gründen gezwungen zu segmentieren will man hier juristsich auf Numemr sicher gehen. Bei 64 kBit/s pro aktiver Voice Session ist der Traffic dann aber eher lächerlich für ein ALIX Board 2D13
Segmentierst du GiG angeschlossene Server von den Clients sieht die Welt schon anders aus.
Du erkennst vermutlich selber an welchen Faktoren es hängt. Vom Durchsatz her schaffen die Bords Wirespeed aber das 2D13 eben nur 100 Mbit pro Port.
Sicherer ist es du setzt auf die neue ALIX Hardware apu1c die hat 1 GiG Ports und ist bei nahzu gleichem Preis erheblich leistungsfähiger, was hier ja auch schon mehrfach genannt wurde.
Alternativ kannst du ach für kleines Geld bei eBay einen 1 HE Server erstehen setzt noch eine gig oder 2 Port GiG Karte da ein und hast so auch ein leistungsfähiges System. Es gibt viele Wege nach Rom aber 1 GiG im LAN Umfeld sollte es in einem Firmennetzwerk schon sein !
Was das VPN anbetrifft hat die CPU einen Hardware Crypto Beschleuniger an Bord den du im pfSense Setup aktivieren musst. Auch dann rennen die VPN Tunnel mit nahezu Wirespeed.
Vom Durchsatz her schaffen die Bords Wirespeed aber das 2D13 eben nur 100 Mbit pro Port.
Manchmal sieht man den Wald vor lauter Bäumen nicht.
Mir ist das mit den 100 Mbit Ports tatsächlich noch nicht aufgefallen.
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.
Wie dämlich von mir, dass ich an diese nicht unwesentliche Restriktion nicht vorher gedacht habe. Bin davon ausgegangen, dass heutzutage eh alles Gbit Ports hat.
Manchmal sieht man den Wald vor lauter Bäumen nicht.
Mir ist das mit den 100 Mbit Ports tatsächlich noch nicht aufgefallen.
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.
Wie dämlich von mir, dass ich an diese nicht unwesentliche Restriktion nicht vorher gedacht habe. Bin davon ausgegangen, dass heutzutage eh alles Gbit Ports hat.
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.
Naja wenn der Schuh drückt und Geld knapp ist soll das mal so durchgehen, aber zukunftssichererwäre in meinen Augen die APU Serie von PC Engines und man kann ja auch 3 Monate etwas Geld
an die Seite legen wenn man "mang" ist!
Gruß
Dobby
Da dort ausschließlich Gbit verbaut ist, wäre es in der Tat nicht sinnvoll ein 2D13 zu verbauen.
So platt kann man es aber auch nicht sagen. Wenn dein VLAN übergreifender Traffic in Summe z.B. nur 10 Mbit ist, dann kommst du mit 100 Mbit Ports wunderbar aus.Fazit: Nimm das neue Board:
http://varia-store.com/Hardware/PC-Engines-Boards/PC-Engines-AMD-APU1C- ...
Das ist preislich identisch und du bist auf der sicheren Seite mit 1 Gig.
