12
Hardware-Ausstattung pfSense
Wir haben hier einen 600/40 MBit-Anschluss mit einem Hitron-Modem, dahinter hängt (historisch bedingt) ein DrayTek 2860Vn-Router, der NAT und Firewall-Funktionen bereitstellt.
Bei meinen Messungen stellte sich nun heraus, dass der Draytek-Router im Upstream die vollen 40 MBit bereitstellt, im Downstream aber nicht mehr als 300 MBit. Der Draytek-Support hat derzeit keinen Ansatz, woran das liegen könnte - vielleicht schafft das Gerät einfach nicht mehr.
Das ist natürlich unbefriedigend und ich überlege nun, den Draytek durch eine leistungsfähige pfSense zu ersetzen. Damit stellt sich die Frage nach der Hardware-Ausstattung der pfSense.
Unsere Technik:
- 600/40 MBit-WAN
- Cisco SG220-Switch
- Cat7-Verkabelung
- 3-5 Mitarbeiter im Büro, drei weitere im HomeOffice
- Fast alle Clients im Büro haben einen GBit-Anschluss
Wir haben folgendes vor:
- VPN für 3 Anwender im HomeOffice
- RDP für 3 Anwender im HomeOffice, idealerweise über die VPN sofern die durch das VPN eingeschränkte Bandbreite ausreicht
- Bereitstellung eines WLAN Access-Points im Büro
- Anbindung einer Starface-Telefonanlage (Asterisk) im Büro und Bereitstellung für die HomeOffice-Anwender
Meine Fragen:
- Wie sollte die pfSense hinsichtlich Prozessoren, RAM, SSD etc. ausgestattet sein, damit keine technischen Bottlenecks (auch bei einem Upgrade auf eine schnellere Leitung) zu erwarten sind? Wir tendieren dazu, ein Fertiggerät einzusetzen.
- Wir würden den Zugang zur Starface-Telefonanlage für die HomeOffice-Anwender gerne auf bestimmte IPs (sofern statisch) oder MAC-Adressen (sofern dynamisch) eingrenzen. Ich nehme an, das lässt sich mit der pfSense einrichten und bietet hinreichenden Schutz?
Bei meinen Messungen stellte sich nun heraus, dass der Draytek-Router im Upstream die vollen 40 MBit bereitstellt, im Downstream aber nicht mehr als 300 MBit. Der Draytek-Support hat derzeit keinen Ansatz, woran das liegen könnte - vielleicht schafft das Gerät einfach nicht mehr.
Das ist natürlich unbefriedigend und ich überlege nun, den Draytek durch eine leistungsfähige pfSense zu ersetzen. Damit stellt sich die Frage nach der Hardware-Ausstattung der pfSense.
Unsere Technik:
- 600/40 MBit-WAN
- Cisco SG220-Switch
- Cat7-Verkabelung
- 3-5 Mitarbeiter im Büro, drei weitere im HomeOffice
- Fast alle Clients im Büro haben einen GBit-Anschluss
Wir haben folgendes vor:
- VPN für 3 Anwender im HomeOffice
- RDP für 3 Anwender im HomeOffice, idealerweise über die VPN sofern die durch das VPN eingeschränkte Bandbreite ausreicht
- Bereitstellung eines WLAN Access-Points im Büro
- Anbindung einer Starface-Telefonanlage (Asterisk) im Büro und Bereitstellung für die HomeOffice-Anwender
Meine Fragen:
- Wie sollte die pfSense hinsichtlich Prozessoren, RAM, SSD etc. ausgestattet sein, damit keine technischen Bottlenecks (auch bei einem Upgrade auf eine schnellere Leitung) zu erwarten sind? Wir tendieren dazu, ein Fertiggerät einzusetzen.
- Wir würden den Zugang zur Starface-Telefonanlage für die HomeOffice-Anwender gerne auf bestimmte IPs (sofern statisch) oder MAC-Adressen (sofern dynamisch) eingrenzen. Ich nehme an, das lässt sich mit der pfSense einrichten und bietet hinreichenden Schutz?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 596969
Url: https://administrator.de/contentid/596969
Printed on: April 20, 2024 at 03:04 o'clock
12 Comments
Latest comment
Für unserer Außenstandorte verwenden wir gerne die LES Network Plus. Die haben ausreichend Power für all das, was du vor hast und bieten genug Ressourcen für die nächsten Projekte. Von den Dingern haben wir insgesamt mittlerweile 40 Stück und wir sind sehr zufrieden damit. Einfach pfSense installieren und fertig.
1
APU4D4 reicht dafür aber auch völlig aus:
https://www.varia-store.com/de/produkt/100942-pc-engines-apu4d4-embedded ...
https://www.varia-store.com/de/produkt/100942-pc-engines-apu4d4-embedded ...
1
Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.
1
Hallo.
Die Variante mit den 4 GB RAM hat mit Gigabit Internet keine Probleme. Es geht hier ja auch nicht um eine allzu große Umgebung.
Ansonsten die IPU Systeme mal ins Auge fassen.
https://www.ipu-system.de/
Die haben gänzlich keine Probleme mit Gigabit und dutzenden, gleichzeitigen VPN Verbindungen.
Gruß
Radiogugu
Zitat von @it-fraggle:
Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.
Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.
Die Variante mit den 4 GB RAM hat mit Gigabit Internet keine Probleme. Es geht hier ja auch nicht um eine allzu große Umgebung.
Ansonsten die IPU Systeme mal ins Auge fassen.
https://www.ipu-system.de/
Die haben gänzlich keine Probleme mit Gigabit und dutzenden, gleichzeitigen VPN Verbindungen.
Gruß
Radiogugu
1
Stimmt, die IPU Systeme sind ebenso eine sehr gute Wahl !
Danke für den Tip! Der Preisunterschied der NRG IPU672 mit € 345,- netto zum Krennsystem LES network+ mit € 715,– netto ist heftig - dabei scheinen die Leistungsdaten praktisch identisch zu sein.
Ein Schelm ... 
Ich finde die IPU Systeme für größere Umgebungen klasse. Gibt es beispielsweise alte Server-Hardware (DELL PE 2950), würde ich diese vorziehen, weil nichts mehr angeschafft werden muss. Sind Neuanschaffungen notwendig, haben diese kleinen Kisten einfach die Nase vorn.
Es gibt auch noch die Geräte von PtoectLi (https://protectli.com/product-comparison/), welche denen sehr ähneln.
Preislich kaum ein Unterschied, aber am Ende sehr viel attraktiver als die Appliances von LES oder Netgate direkt.
Gruß
Radiogugu
Ich finde die IPU Systeme für größere Umgebungen klasse. Gibt es beispielsweise alte Server-Hardware (DELL PE 2950), würde ich diese vorziehen, weil nichts mehr angeschafft werden muss. Sind Neuanschaffungen notwendig, haben diese kleinen Kisten einfach die Nase vorn.
Es gibt auch noch die Geräte von PtoectLi (https://protectli.com/product-comparison/), welche denen sehr ähneln.
Preislich kaum ein Unterschied, aber am Ende sehr viel attraktiver als die Appliances von LES oder Netgate direkt.
Gruß
Radiogugu
1
Der Vollständigkeit halber:
Der IPU-Support hat mir auf meine Frage, welche WLAN-Karte und welche Antennen er empfiehlt, durch die Blume geraten, eher auf einen externen Access Point zu setzen. Hintergrund ist: Pro WLAN-Karte kann immer nur eine WLAN-Frequenz aktiv sein, d.h. zur Unterstützung von Clients im 2,4 sowie im 5 GHz Band benötigt man zwei WLAN-Karten, aber es ist leider nur Platz für eine interne Karte. Mit einem separaten Access Point ließen sich dann auch IEEE 802.11ac (Wi-Fi 5) oder sogar IEEE 802.11ax (Wi-Fi 6) unproblematisch realisieren.
Der IPU-Support hat mir auf meine Frage, welche WLAN-Karte und welche Antennen er empfiehlt, durch die Blume geraten, eher auf einen externen Access Point zu setzen. Hintergrund ist: Pro WLAN-Karte kann immer nur eine WLAN-Frequenz aktiv sein, d.h. zur Unterstützung von Clients im 2,4 sowie im 5 GHz Band benötigt man zwei WLAN-Karten, aber es ist leider nur Platz für eine interne Karte. Mit einem separaten Access Point ließen sich dann auch IEEE 802.11ac (Wi-Fi 5) oder sogar IEEE 802.11ax (Wi-Fi 6) unproblematisch realisieren.
Ein externer AP ist meistens auch sinnvoll, da die Firewall selten zentral steht, sodass die Abdeckung optimal ist.
Bei der Fritzbox ist es in jedem Fall eine Kernkompetenz, aber bei den meisten Firewall Geräten eben nicht.
Gruß
Radiogugu
Bei der Fritzbox ist es in jedem Fall eine Kernkompetenz, aber bei den meisten Firewall Geräten eben nicht.
Gruß
Radiogugu
Und ein externer AP kostet ja auch nicht die Welt: 
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Oder gleich den etwas größeren cAP ac für 2,4 und 5 GHz Bänder
https://www.varia-store.com/de/produkt/97849-mikrotik-cap-ac-rbcapgi-5ac ...
Ist ja jetzt auch nicht wirklich teuer mit knappen 62 € exkl. Versand.
Gruß
radiogugu
https://www.varia-store.com/de/produkt/97849-mikrotik-cap-ac-rbcapgi-5ac ...
Ist ja jetzt auch nicht wirklich teuer mit knappen 62 € exkl. Versand.
Gruß
radiogugu
Danke an alle, es wird ein IPU672, den wir dann eventuell später mit einem MikroTik cAP ac ausrüsten!
