handoku
Goto Top

Hardware-Ausstattung pfSense

Wir haben hier einen 600/40 MBit-Anschluss mit einem Hitron-Modem, dahinter hängt (historisch bedingt) ein DrayTek 2860Vn-Router, der NAT und Firewall-Funktionen bereitstellt.

Bei meinen Messungen stellte sich nun heraus, dass der Draytek-Router im Upstream die vollen 40 MBit bereitstellt, im Downstream aber nicht mehr als 300 MBit. Der Draytek-Support hat derzeit keinen Ansatz, woran das liegen könnte - vielleicht schafft das Gerät einfach nicht mehr.

Das ist natürlich unbefriedigend und ich überlege nun, den Draytek durch eine leistungsfähige pfSense zu ersetzen. Damit stellt sich die Frage nach der Hardware-Ausstattung der pfSense.

Unsere Technik:

- 600/40 MBit-WAN
- Cisco SG220-Switch
- Cat7-Verkabelung
- 3-5 Mitarbeiter im Büro, drei weitere im HomeOffice
- Fast alle Clients im Büro haben einen GBit-Anschluss

Wir haben folgendes vor:

- VPN für 3 Anwender im HomeOffice
- RDP für 3 Anwender im HomeOffice, idealerweise über die VPN sofern die durch das VPN eingeschränkte Bandbreite ausreicht
- Bereitstellung eines WLAN Access-Points im Büro
- Anbindung einer Starface-Telefonanlage (Asterisk) im Büro und Bereitstellung für die HomeOffice-Anwender

Meine Fragen:

- Wie sollte die pfSense hinsichtlich Prozessoren, RAM, SSD etc. ausgestattet sein, damit keine technischen Bottlenecks (auch bei einem Upgrade auf eine schnellere Leitung) zu erwarten sind? Wir tendieren dazu, ein Fertiggerät einzusetzen.

- Wir würden den Zugang zur Starface-Telefonanlage für die HomeOffice-Anwender gerne auf bestimmte IPs (sofern statisch) oder MAC-Adressen (sofern dynamisch) eingrenzen. Ich nehme an, das lässt sich mit der pfSense einrichten und bietet hinreichenden Schutz?

Content-ID: 596969

Url: https://administrator.de/contentid/596969

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

it-fraggle
Lösung it-fraggle 16.08.2020 aktualisiert um 14:20:55 Uhr
Goto Top
Für unserer Außenstandorte verwenden wir gerne die LES Network Plus. Die haben ausreichend Power für all das, was du vor hast und bieten genug Ressourcen für die nächsten Projekte. Von den Dingern haben wir insgesamt mittlerweile 40 Stück und wir sind sehr zufrieden damit. Einfach pfSense installieren und fertig.
aqui
Lösung aqui 16.08.2020 um 17:41:50 Uhr
Goto Top
it-fraggle
it-fraggle 16.08.2020 um 18:11:10 Uhr
Goto Top
Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.
radiogugu
Lösung radiogugu 17.08.2020 um 08:25:07 Uhr
Goto Top
Hallo.

Zitat von @it-fraggle:

Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.

Die Variante mit den 4 GB RAM hat mit Gigabit Internet keine Probleme. Es geht hier ja auch nicht um eine allzu große Umgebung.

Ansonsten die IPU Systeme mal ins Auge fassen.

https://www.ipu-system.de/

Die haben gänzlich keine Probleme mit Gigabit und dutzenden, gleichzeitigen VPN Verbindungen.

Gruß
Radiogugu
aqui
aqui 17.08.2020 um 08:50:32 Uhr
Goto Top
Stimmt, die IPU Systeme sind ebenso eine sehr gute Wahl !
HanDoku
HanDoku 17.08.2020 um 09:58:58 Uhr
Goto Top
Danke für den Tip! Der Preisunterschied der NRG IPU672 mit € 345,- netto zum Krennsystem LES network+ mit € 715,– netto ist heftig - dabei scheinen die Leistungsdaten praktisch identisch zu sein.
radiogugu
radiogugu 17.08.2020 um 12:59:12 Uhr
Goto Top
Ein Schelm ... face-smile

Ich finde die IPU Systeme für größere Umgebungen klasse. Gibt es beispielsweise alte Server-Hardware (DELL PE 2950), würde ich diese vorziehen, weil nichts mehr angeschafft werden muss. Sind Neuanschaffungen notwendig, haben diese kleinen Kisten einfach die Nase vorn.

Es gibt auch noch die Geräte von PtoectLi (https://protectli.com/product-comparison/), welche denen sehr ähneln.

Preislich kaum ein Unterschied, aber am Ende sehr viel attraktiver als die Appliances von LES oder Netgate direkt.

Gruß
Radiogugu
HanDoku
HanDoku 17.08.2020 um 18:08:15 Uhr
Goto Top
Der Vollständigkeit halber:

Der IPU-Support hat mir auf meine Frage, welche WLAN-Karte und welche Antennen er empfiehlt, durch die Blume geraten, eher auf einen externen Access Point zu setzen. Hintergrund ist: Pro WLAN-Karte kann immer nur eine WLAN-Frequenz aktiv sein, d.h. zur Unterstützung von Clients im 2,4 sowie im 5 GHz Band benötigt man zwei WLAN-Karten, aber es ist leider nur Platz für eine interne Karte. Mit einem separaten Access Point ließen sich dann auch IEEE 802.11ac (Wi-Fi 5) oder sogar IEEE 802.11ax (Wi-Fi 6) unproblematisch realisieren.
radiogugu
Lösung radiogugu 17.08.2020 um 19:27:49 Uhr
Goto Top
Ein externer AP ist meistens auch sinnvoll, da die Firewall selten zentral steht, sodass die Abdeckung optimal ist.

Bei der Fritzbox ist es in jedem Fall eine Kernkompetenz, aber bei den meisten Firewall Geräten eben nicht.

Gruß
Radiogugu
aqui
Lösung aqui 18.08.2020 um 09:22:13 Uhr
Goto Top
Und ein externer AP kostet ja auch nicht die Welt: face-wink
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
radiogugu
Lösung radiogugu 18.08.2020 um 15:11:12 Uhr
Goto Top
Oder gleich den etwas größeren cAP ac für 2,4 und 5 GHz Bänder

https://www.varia-store.com/de/produkt/97849-mikrotik-cap-ac-rbcapgi-5ac ...

Ist ja jetzt auch nicht wirklich teuer mit knappen 62 € exkl. Versand.

Gruß
radiogugu
HanDoku
HanDoku 18.08.2020 um 15:30:44 Uhr
Goto Top
Danke an alle, es wird ein IPU672, den wir dann eventuell später mit einem MikroTik cAP ac ausrüsten!