Hardware-Ausstattung pfSense
Wir haben hier einen 600/40 MBit-Anschluss mit einem Hitron-Modem, dahinter hängt (historisch bedingt) ein DrayTek 2860Vn-Router, der NAT und Firewall-Funktionen bereitstellt.
Bei meinen Messungen stellte sich nun heraus, dass der Draytek-Router im Upstream die vollen 40 MBit bereitstellt, im Downstream aber nicht mehr als 300 MBit. Der Draytek-Support hat derzeit keinen Ansatz, woran das liegen könnte - vielleicht schafft das Gerät einfach nicht mehr.
Das ist natürlich unbefriedigend und ich überlege nun, den Draytek durch eine leistungsfähige pfSense zu ersetzen. Damit stellt sich die Frage nach der Hardware-Ausstattung der pfSense.
Unsere Technik:
- 600/40 MBit-WAN
- Cisco SG220-Switch
- Cat7-Verkabelung
- 3-5 Mitarbeiter im Büro, drei weitere im HomeOffice
- Fast alle Clients im Büro haben einen GBit-Anschluss
Wir haben folgendes vor:
- VPN für 3 Anwender im HomeOffice
- RDP für 3 Anwender im HomeOffice, idealerweise über die VPN sofern die durch das VPN eingeschränkte Bandbreite ausreicht
- Bereitstellung eines WLAN Access-Points im Büro
- Anbindung einer Starface-Telefonanlage (Asterisk) im Büro und Bereitstellung für die HomeOffice-Anwender
Meine Fragen:
- Wie sollte die pfSense hinsichtlich Prozessoren, RAM, SSD etc. ausgestattet sein, damit keine technischen Bottlenecks (auch bei einem Upgrade auf eine schnellere Leitung) zu erwarten sind? Wir tendieren dazu, ein Fertiggerät einzusetzen.
- Wir würden den Zugang zur Starface-Telefonanlage für die HomeOffice-Anwender gerne auf bestimmte IPs (sofern statisch) oder MAC-Adressen (sofern dynamisch) eingrenzen. Ich nehme an, das lässt sich mit der pfSense einrichten und bietet hinreichenden Schutz?
Bei meinen Messungen stellte sich nun heraus, dass der Draytek-Router im Upstream die vollen 40 MBit bereitstellt, im Downstream aber nicht mehr als 300 MBit. Der Draytek-Support hat derzeit keinen Ansatz, woran das liegen könnte - vielleicht schafft das Gerät einfach nicht mehr.
Das ist natürlich unbefriedigend und ich überlege nun, den Draytek durch eine leistungsfähige pfSense zu ersetzen. Damit stellt sich die Frage nach der Hardware-Ausstattung der pfSense.
Unsere Technik:
- 600/40 MBit-WAN
- Cisco SG220-Switch
- Cat7-Verkabelung
- 3-5 Mitarbeiter im Büro, drei weitere im HomeOffice
- Fast alle Clients im Büro haben einen GBit-Anschluss
Wir haben folgendes vor:
- VPN für 3 Anwender im HomeOffice
- RDP für 3 Anwender im HomeOffice, idealerweise über die VPN sofern die durch das VPN eingeschränkte Bandbreite ausreicht
- Bereitstellung eines WLAN Access-Points im Büro
- Anbindung einer Starface-Telefonanlage (Asterisk) im Büro und Bereitstellung für die HomeOffice-Anwender
Meine Fragen:
- Wie sollte die pfSense hinsichtlich Prozessoren, RAM, SSD etc. ausgestattet sein, damit keine technischen Bottlenecks (auch bei einem Upgrade auf eine schnellere Leitung) zu erwarten sind? Wir tendieren dazu, ein Fertiggerät einzusetzen.
- Wir würden den Zugang zur Starface-Telefonanlage für die HomeOffice-Anwender gerne auf bestimmte IPs (sofern statisch) oder MAC-Adressen (sofern dynamisch) eingrenzen. Ich nehme an, das lässt sich mit der pfSense einrichten und bietet hinreichenden Schutz?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 596969
Url: https://administrator.de/contentid/596969
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
12 Kommentare
Neuester Kommentar
Für unserer Außenstandorte verwenden wir gerne die LES Network Plus. Die haben ausreichend Power für all das, was du vor hast und bieten genug Ressourcen für die nächsten Projekte. Von den Dingern haben wir insgesamt mittlerweile 40 Stück und wir sind sehr zufrieden damit. Einfach pfSense installieren und fertig.
APU4D4 reicht dafür aber auch völlig aus:
https://www.varia-store.com/de/produkt/100942-pc-engines-apu4d4-embedded ...
https://www.varia-store.com/de/produkt/100942-pc-engines-apu4d4-embedded ...
Hallo.
Die Variante mit den 4 GB RAM hat mit Gigabit Internet keine Probleme. Es geht hier ja auch nicht um eine allzu große Umgebung.
Ansonsten die IPU Systeme mal ins Auge fassen.
https://www.ipu-system.de/
Die haben gänzlich keine Probleme mit Gigabit und dutzenden, gleichzeitigen VPN Verbindungen.
Gruß
Radiogugu
Zitat von @it-fraggle:
Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.
Wollte ich zuerst auch vorschlagen, aber bei 600 Mbit down war ich mir nicht mehr so sicher und habe so meine Zweifel. Gerade, wenn 4 VPN-Verbindungen hinzu kommen, denke ich mir, dass es ggf. "schmal" werden könnte.
Die Variante mit den 4 GB RAM hat mit Gigabit Internet keine Probleme. Es geht hier ja auch nicht um eine allzu große Umgebung.
Ansonsten die IPU Systeme mal ins Auge fassen.
https://www.ipu-system.de/
Die haben gänzlich keine Probleme mit Gigabit und dutzenden, gleichzeitigen VPN Verbindungen.
Gruß
Radiogugu
Ein Schelm ...
Ich finde die IPU Systeme für größere Umgebungen klasse. Gibt es beispielsweise alte Server-Hardware (DELL PE 2950), würde ich diese vorziehen, weil nichts mehr angeschafft werden muss. Sind Neuanschaffungen notwendig, haben diese kleinen Kisten einfach die Nase vorn.
Es gibt auch noch die Geräte von PtoectLi (https://protectli.com/product-comparison/), welche denen sehr ähneln.
Preislich kaum ein Unterschied, aber am Ende sehr viel attraktiver als die Appliances von LES oder Netgate direkt.
Gruß
Radiogugu
Ich finde die IPU Systeme für größere Umgebungen klasse. Gibt es beispielsweise alte Server-Hardware (DELL PE 2950), würde ich diese vorziehen, weil nichts mehr angeschafft werden muss. Sind Neuanschaffungen notwendig, haben diese kleinen Kisten einfach die Nase vorn.
Es gibt auch noch die Geräte von PtoectLi (https://protectli.com/product-comparison/), welche denen sehr ähneln.
Preislich kaum ein Unterschied, aber am Ende sehr viel attraktiver als die Appliances von LES oder Netgate direkt.
Gruß
Radiogugu
Und ein externer AP kostet ja auch nicht die Welt:
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Oder gleich den etwas größeren cAP ac für 2,4 und 5 GHz Bänder
https://www.varia-store.com/de/produkt/97849-mikrotik-cap-ac-rbcapgi-5ac ...
Ist ja jetzt auch nicht wirklich teuer mit knappen 62 € exkl. Versand.
Gruß
radiogugu
https://www.varia-store.com/de/produkt/97849-mikrotik-cap-ac-rbcapgi-5ac ...
Ist ja jetzt auch nicht wirklich teuer mit knappen 62 € exkl. Versand.
Gruß
radiogugu