Hardware für PfSense (DualWan, DDNS, VPN)
Hallo zusammen,
ich suche Hardware für ne PfSense, welche genügend Leistung für folgende Anwendungen hat:
- DualWAN (VDSL 250mbit (dediziertes Modem vorhanden (Draytek 165)) + Unitymedia 500mbit (ggf. bald 1Gbit) (dediziertes Modem vorhanden (TC4400))
- Hier wäre es wichtig, dass ich festlegen kann, welche Anwendungen über welche Leitungen genutzt werden können (z.B. Spiele nur über DSL, Surfen über DSL, Downloads über beides, usw.)
- Vernünftiges QOS - vorallem bei Downloads über beide Leitungen sollte die Verbindung noch für Latenzwichtige Programme nutzbar bleiben.
- Beide Anschlüsse verfügen über Dualstack und somit über echte IP4 und IP6 Adressen.
- VPN (nur mit max 2-3 Clienten)
- gerade nutze ich OPENVPN und bin zufrieden damit.
- DDNS (nutze zur Zeit nen Asus Router und den Asus eigenen DIenst, der super funktioniert.)
- Adblocker auf dem Router / Firewall
- WLan (nutze zur Zeit das des ASUS, bin ich sehr zufrieden mit) - würde den Router dann als AP laufen lassen.
- Kleiner Netzwerkspeicher (USB Stick) - Kann aber auch durch den Asus gelöst werden.
Ich nutze zur Zeit den Asus Router (ASUS RT-AC86U) der bekommt eig. die oben genannten Sachen fast alle hin. Leider ist DualWan nicht so zu nutzen wie ich das gerne hätte. Er nutzt eig nur beide Leitungen bei Downloads aus. Aber das zuordnen von Anwendungen (z.B. anhand des Protokolls usw. beherrscht er leider nicht.)
Da ich auch gerne bastel, habe ich mir die PFSense rausgesucht. Denke damit sollte alles möglich sein? (USB Speicher glaub ich nicht, wäre aber auch nicht sooo schlimm.
Zur Hardware hab ich leider keine Ahnung. Reicht für das alles nen APU? Habe mal gelesen, dass diese mit dem 1Gbit Internet nicht so klar kommen, gerade in Verbindung mit QOS.
Falls ihr ne ganz andere Richtung vorschlagt, gerne her damit. Ich bin für alles offen.
Preislich sollte sich das ganze nur in Grenzen halten.
Besten Dank!
ich suche Hardware für ne PfSense, welche genügend Leistung für folgende Anwendungen hat:
- DualWAN (VDSL 250mbit (dediziertes Modem vorhanden (Draytek 165)) + Unitymedia 500mbit (ggf. bald 1Gbit) (dediziertes Modem vorhanden (TC4400))
- Hier wäre es wichtig, dass ich festlegen kann, welche Anwendungen über welche Leitungen genutzt werden können (z.B. Spiele nur über DSL, Surfen über DSL, Downloads über beides, usw.)
- Vernünftiges QOS - vorallem bei Downloads über beide Leitungen sollte die Verbindung noch für Latenzwichtige Programme nutzbar bleiben.
- Beide Anschlüsse verfügen über Dualstack und somit über echte IP4 und IP6 Adressen.
- VPN (nur mit max 2-3 Clienten)
- gerade nutze ich OPENVPN und bin zufrieden damit.
- DDNS (nutze zur Zeit nen Asus Router und den Asus eigenen DIenst, der super funktioniert.)
- Adblocker auf dem Router / Firewall
- WLan (nutze zur Zeit das des ASUS, bin ich sehr zufrieden mit) - würde den Router dann als AP laufen lassen.
- Kleiner Netzwerkspeicher (USB Stick) - Kann aber auch durch den Asus gelöst werden.
Ich nutze zur Zeit den Asus Router (ASUS RT-AC86U) der bekommt eig. die oben genannten Sachen fast alle hin. Leider ist DualWan nicht so zu nutzen wie ich das gerne hätte. Er nutzt eig nur beide Leitungen bei Downloads aus. Aber das zuordnen von Anwendungen (z.B. anhand des Protokolls usw. beherrscht er leider nicht.)
Da ich auch gerne bastel, habe ich mir die PFSense rausgesucht. Denke damit sollte alles möglich sein? (USB Speicher glaub ich nicht, wäre aber auch nicht sooo schlimm.
Zur Hardware hab ich leider keine Ahnung. Reicht für das alles nen APU? Habe mal gelesen, dass diese mit dem 1Gbit Internet nicht so klar kommen, gerade in Verbindung mit QOS.
Falls ihr ne ganz andere Richtung vorschlagt, gerne her damit. Ich bin für alles offen.
Preislich sollte sich das ganze nur in Grenzen halten.
Besten Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 581224
Url: https://administrator.de/forum/hardware-fuer-pfsense-dualwan-ddns-vpn-581224.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
23 Kommentare
Neuester Kommentar
Den Klassiker APU4
https://www.varia-store.com/de/produkt/95641-pc-engines-apu4d2-embedded- ...
Wäre für deine sehr geringen Anforderungen erheblich überdimensioniert. Ein kleineres APU Board macht aber wenig Sinn der Preisunterschied liegt nur bei 10-20 Euro und das wäre sparen am falschen Ende.
Dual WAN Setups rennen problemlos:
https://docs.netgate.com/pfsense/en/latest/routing/multi-wan.html
https://www.heise.de/select/ct/2016/24/1479992026108405
https://www.varia-store.com/de/produkt/95641-pc-engines-apu4d2-embedded- ...
Wäre für deine sehr geringen Anforderungen erheblich überdimensioniert. Ein kleineres APU Board macht aber wenig Sinn der Preisunterschied liegt nur bei 10-20 Euro und das wäre sparen am falschen Ende.
Dual WAN Setups rennen problemlos:
https://docs.netgate.com/pfsense/en/latest/routing/multi-wan.html
https://www.heise.de/select/ct/2016/24/1479992026108405
Hallo.
Falls Du fürchtest, dass das APU 4 die Zwecke nicht erfüllen kann, nimm ein IPU Board, da hast Du genügend Ressourcen für alles.
https://www.ipu-system.de/produkte/ipu443.html
Hast Du eine statische IPv4 bei beiden Anschlüssen oder sind das "Konsumenten-Anschlüsse" mit Dualstack Lite?
Mit der PFSense kannst Du mit OpenVPN genauso weiter machen
Hast Du eine statische IPv4, kannst Du das weglassen.
PFBlockerNG ist das Paket auf der PFSense dafür.
Gruß
Radiogugu
Falls Du fürchtest, dass das APU 4 die Zwecke nicht erfüllen kann, nimm ein IPU Board, da hast Du genügend Ressourcen für alles.
https://www.ipu-system.de/produkte/ipu443.html
Zitat von @kevsei:
- DualWAN (VDSL 250mbit (dediziertes Modem vorhanden (Draytek 165)) + Unitymedia 500mbit (ggf. bald 1Gbit) (dediziertes Modem vorhanden (TC4400))
- Hier wäre es wichtig, dass ich festlegen kann, welche Anwendungen über welche Leitungen genutzt werden können (z.B. Spiele nur über DSL, Surfen über DSL, Downloads über beides, usw.)
- Vernünftiges QOS - vorallem bei Downloads über beide Leitungen sollte die Verbindung noch für Latenzwichtige Programme nutzbar bleiben.
- Beide Anschlüsse verfügen über Dualstack und somit über echte IP4 und IP6 Adressen.
- DualWAN (VDSL 250mbit (dediziertes Modem vorhanden (Draytek 165)) + Unitymedia 500mbit (ggf. bald 1Gbit) (dediziertes Modem vorhanden (TC4400))
- Hier wäre es wichtig, dass ich festlegen kann, welche Anwendungen über welche Leitungen genutzt werden können (z.B. Spiele nur über DSL, Surfen über DSL, Downloads über beides, usw.)
- Vernünftiges QOS - vorallem bei Downloads über beide Leitungen sollte die Verbindung noch für Latenzwichtige Programme nutzbar bleiben.
- Beide Anschlüsse verfügen über Dualstack und somit über echte IP4 und IP6 Adressen.
Hast Du eine statische IPv4 bei beiden Anschlüssen oder sind das "Konsumenten-Anschlüsse" mit Dualstack Lite?
- VPN (nur mit max 2-3 Clienten)
- gerade nutze ich OPENVPN und bin zufrieden damit.
- gerade nutze ich OPENVPN und bin zufrieden damit.
Mit der PFSense kannst Du mit OpenVPN genauso weiter machen
- DDNS (nutze zur Zeit nen Asus Router und den Asus eigenen DIenst, der super funktioniert.)
Hast Du eine statische IPv4, kannst Du das weglassen.
- Adblocker auf dem Router / Firewall
PFBlockerNG ist das Paket auf der PFSense dafür.
Gruß
Radiogugu
Für deine Anforderungen reichen auch 2G aber der Preisunterschied zu 4G ist hier auch minimal so das sich das nicht lohnt.
Infos zum Setup findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und zum OpenVPN Setup hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Infos zum Setup findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und zum OpenVPN Setup hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
hinter der Firewall noch erreiche.
Das machst du mit der Alias Funktion in der FW oder indem du die WAN1 und WAN2 Koppelnetze mit den IP Netz Adressen der jeweiligen Modem Interfaces aufsetzt.Dann muss ich mich nur noch damit beschäftigen wie ich mein Vigor und das TC4400 hinter der Firewall noch erreiche. Das TC erreiche ich zurzeit hinter dem Asus, das Vigor leider nur wenn ich nen 2. Kabel in den Router stecke und dann ist da irgndwie nen Loop drin.
Bei dem Vigor165 im reinen Modembetrieb ist das kein Problem. Einfach dem LAN eine IP aus dem eigenen Netz geben
und über den Anschluss P2 mit dieser IP auf die Weboberfläche zugreifen. Da entsteht kein Loop.
Zitat von @joachim57:
Bei dem Vigor165 im reinen Modembetrieb ist das kein Problem. Einfach dem LAN eine IP aus dem eigenen Netz geben
und über den Anschluss P2 mit dieser IP auf die Weboberfläche zugreifen. Da entsteht kein Loop.
Dann muss ich mich nur noch damit beschäftigen wie ich mein Vigor und das TC4400 hinter der Firewall noch erreiche. Das TC erreiche ich zurzeit hinter dem Asus, das Vigor leider nur wenn ich nen 2. Kabel in den Router stecke und dann ist da irgndwie nen Loop drin.
Bei dem Vigor165 im reinen Modembetrieb ist das kein Problem. Einfach dem LAN eine IP aus dem eigenen Netz geben
und über den Anschluss P2 mit dieser IP auf die Weboberfläche zugreifen. Da entsteht kein Loop.
Das ist Blödsinn. PPPoE ist kein IP. Daher lässt sich auf die selbe Schnittstelle auch ein Ethernet Interface hängen worüber der Vigor erreichbar ist. Somit muss kein Umweg vom Vigor in das locale Netz gesteckt werden.
Das Modem hat IMMER eine Management IP. Auch wenn es im Bridge Mode arbeitet. Logisch, denn wie sollte man ohne Management IP denn auch das GUI zur Konfiguration erreichen...?!
Man muss nur das IP Netz des WAN Port entsprechend in das Netz der management IP legen oder andersrum die Management IP anpassen das sie in das jeweilige IP netz des WAN Interfaces passt, dann kann man auch immer problemlos drauf zugreifen.
Wenn man mit PPPoE arbeitet und dyn. IPs am WAN Port hat macht man das über die Alias IP Adressen der Firewall.
Man muss nur das IP Netz des WAN Port entsprechend in das Netz der management IP legen oder andersrum die Management IP anpassen das sie in das jeweilige IP netz des WAN Interfaces passt, dann kann man auch immer problemlos drauf zugreifen.
Wenn man mit PPPoE arbeitet und dyn. IPs am WAN Port hat macht man das über die Alias IP Adressen der Firewall.
Zitat von @aqui:
Das Modem hat IMMER eine Management IP. Auch wenn es im Bridge Mode arbeitet. Logisch, denn wie sollte man ohne Management IP denn auch das GUI zur Konfiguration erreichen...?!
Man muss nur das IP Netz des WAN Port entsprechend in das Netz der management IP legen oder andersrum die Management IP anpassen das sie in das jeweilige IP netz des WAN Interfaces passt, dann kann man auch immer problemlos drauf zugreifen.
Wenn man mit PPPoE arbeitet und dyn. IPs am WAN Port hat macht man das über die Alias IP Adressen der Firewall.
Das Modem hat IMMER eine Management IP. Auch wenn es im Bridge Mode arbeitet. Logisch, denn wie sollte man ohne Management IP denn auch das GUI zur Konfiguration erreichen...?!
Man muss nur das IP Netz des WAN Port entsprechend in das Netz der management IP legen oder andersrum die Management IP anpassen das sie in das jeweilige IP netz des WAN Interfaces passt, dann kann man auch immer problemlos drauf zugreifen.
Wenn man mit PPPoE arbeitet und dyn. IPs am WAN Port hat macht man das über die Alias IP Adressen der Firewall.
Wenn ich das WAN Interface mit PPPoE laufen lassen und an eth0 binde, kann ich auch ein weiteres Interfaces mit IP an eth0 binden. Schon kann ich darüber auf das Modem gelangen. Kein Alias nötig.
kann ich auch ein weiteres Interfaces mit IP an eth0 binden. Schon kann ich darüber auf das Modem gelangen. Kein Alias nötig.
Nochmal doof nachgefragt:Wie machst du das physisch ? Das Modem müsste ja dann theoretisch eine IP Adresse aus dem WAN Port IP Netzwerk haben um es aus dem lokalen LAN zu erreichen OHNE das das Modem ein Gateway definiert hat.
Bei wechselnden PPPoE IP Adressen am WAN Port ist das ja ein unsinniger Ansatz, denn man müsste ständig die IP des Modems ändern. Mal abgesehen das das bei PPPoE mit /30er Adressen gar nicht so ohne weiteres geht und man auch im Adressraum des Providers rumpfuschen müsste.
Auch die Alias IP ist fraglich das es geht, denn auch die geht davon aus das der Adressbereich im gleichen IP Netz liegt wie die WAN Port Adressierung. Das kann man man niemals durch die Dynamik von PPPoE bedingt festlegen.
Wie will man das also praktisch lösen mit einer statischen Modem IP und ohne Gateway auf dem Modem ?
Ideal wäre es wenn der zweite P2 Port des Vigor 165 ein statisch vollkommen isolierter OOB Port (Out of Band Management) wäre. Das ist er aber nicht.
Vermutlich sind P1 und P2 per Bridging verbunden. Im Handbuch fehlt dazu leider jegliche Erklärung. Auf P2 wird nirgendwo eingegangen.
Ich habe zwei getrennte Interface auf der selben physischen Schnittstelle. Eines PPPoE und das andere Ethernet mit einer IP aus dem Modem Netz. Bei mir spielt die FW dann Gateway für das Modem sodass ich auf dem Modem nur Routen für die Netze hinter der Sense eintragen musste.
Das Modem hat selbst garkein Internet. Wie auch, die Einwahl läuft ja ohnehin nur auf der Sense.
Nebenbei, das Modem hat keine Ahnung was die Sense über PPPoE aus handelt und leitete das ganze Protokoll bedingt simpel durch.
Das Modem hat selbst garkein Internet. Wie auch, die Einwahl läuft ja ohnehin nur auf der Sense.
Nebenbei, das Modem hat keine Ahnung was die Sense über PPPoE aus handelt und leitete das ganze Protokoll bedingt simpel durch.
Vlan muss es nicht zwingend sein. Wenn WAN der type PPPoE ist, dann kann du ein weiteres Interface mit IP darauf legen.
Beide hängen dann am selben physischen Adapter. In meinem Beispiel ist das WAN Interface tatsächlich in einem VLan, zwingend nötig ist dies nicht.
igb0 ist das physische Interface.
Auf diesem hängen:
igb0.7 - WAN PPPoE (Das VLan ist nicht nötig! Sieht aber aus meiner Sicht auf der Firewall schöner aus)
igb0 - Ethernet zum verwalten des Modems.
Edit: das ganze ist Darstellungsmäßig wohl wieder eine Eigenheit von PfSense. Ich kann das Konstrukt ja mal in einer VM richtig aufzeigen. Ich kann wie gesagt in der Konstellation auch am Modem taggen.
Beide hängen dann am selben physischen Adapter. In meinem Beispiel ist das WAN Interface tatsächlich in einem VLan, zwingend nötig ist dies nicht.
igb0 ist das physische Interface.
Auf diesem hängen:
igb0.7 - WAN PPPoE (Das VLan ist nicht nötig! Sieht aber aus meiner Sicht auf der Firewall schöner aus)
igb0 - Ethernet zum verwalten des Modems.
Edit: das ganze ist Darstellungsmäßig wohl wieder eine Eigenheit von PfSense. Ich kann das Konstrukt ja mal in einer VM richtig aufzeigen. Ich kann wie gesagt in der Konstellation auch am Modem taggen.
Bingo !
DAS war der entscheidende Tip !!
Ist ja auch irgendwo logisch, denn das PPP Interface ist ein Software Subinterface auf der Physik und über ein weiteres Virtuelles kann man dann z.B. eine RFC 6598 IP dort vergeben fürs Modem und das Interface et voila....
Bei einer RFC 6598 geht man wenigstens nicht Gefahr am WAN Port mit privaten RFC 1918er in Konflikt zu kommen.
Cool. Auf diese pfiffige Idee bin ich auch noch nicht gekommen obwohl sie so nahe liegt.
Wieder was gelernt... !!
DAS war der entscheidende Tip !!
Ist ja auch irgendwo logisch, denn das PPP Interface ist ein Software Subinterface auf der Physik und über ein weiteres Virtuelles kann man dann z.B. eine RFC 6598 IP dort vergeben fürs Modem und das Interface et voila....
Bei einer RFC 6598 geht man wenigstens nicht Gefahr am WAN Port mit privaten RFC 1918er in Konflikt zu kommen.
Cool. Auf diese pfiffige Idee bin ich auch noch nicht gekommen obwohl sie so nahe liegt.
Wieder was gelernt... !!
Mit einem Lancom Router geht es ebenfalls:
https://www.lancom-forum.de/lancom-systems-router-aeltere-modelle-z-b-82 ...
https://www.lancom-forum.de/lancom-systems-router-aeltere-modelle-z-b-82 ...
Das war aber irgnedwie mit dem Loadbalancing, VPN, Adblocker, ect in Summe überlastet
Das muss dann aber ein uraltes APU1 gewesen sein ! Wer kauft auch sowas Antikes ?!Ein APU2 wuppt das was du vorhast schon einigermaßen gut.
Ein aktuelles APU4 langweilt sich dabei...
https://www.varia-store.com/de/produkt/100959-pc-engines-apu4d2-embedded ...
Habe mir zeitgleich nen IPU445 bestellt
Ist natürlich auch absolut OK ! Gegen einen Core i7 kann auch das APU4 nicht gegenanstinken.. Wichtig ist bei VPN hier immer das man die Crypto Hardware in den Advanced Settings aktiviert:
hier leider nicht zu gebrauchen
Kein großes Wunder, denn das ist vermutlich ein DS-Lite Anschluss mit CGN, oder ?Bis das Paket dann durch die ganze v6 Tunnelung und Provider NAT durch ist bist du Bei Quake III Arena schon längst erschossen...
Bin super zufrieden.
So sollte es sein ! 👍Case closed !