VLAN Routing - L3 oder Firewall?

Hallo,

Ich würde eine Firewall bevorzugen weil man damit durchaus mehr möglichkeiten hätte. Und du hast ja auch schon pfSense da womit du dasss VLAN Routing übernehmen könntest inclusive das Setzen der Firewall Policy.

Gruß an die IT-Welt,
J Herbrich

Hallo zusammen,

Dann lege zum Einen benutzer an und beschränke Ihre Rechte oder aber bzw. zusätzlich wäre
es nicht schlecht so etwas einen Layer3 Switch erledigen zulassen, denn wozu soll man denn
mehrere Gigabyte durch die pfSense Firewall durchschleusen bzw. leiten? Der Layer3 Switch
macht das heute schon mit annähernd "wire speed"!

Dann mach den Klienten aus VLAN40 doch zu Mitglied im VLAN30 und VLAN40 und fertig ist der Lack.

Mit den Switch ACLs kann man das auch gut abdecken und sie belasten nicht so sehr den Durchsatz
und der Switch erleichtert quasi die Firewall um einige Aufgaben und somit ist sie dann auch wieder in
der Lage mehr oder andere Aufgaben zu übernehmen.

Wenn man nur einen Routingpunkt im Netzwerk hat dann steht und fällt mit diesem dann auch alles!
Hat man zwei Routingpunkte und der am WAN fällt aus, funktioniert das LAN immer noch und man kann
in der Regel auch weiterarbeiten. Und nochmal wozu mehrere GBs am Tag durch die Firewall leiten?

Allerdings ist das auf der einen Seite mager, nur eine 1 GBit/s Verbindung bringt im realen Leben und
im Netzwerk eben auch nur höchstens den theoretischen Höchstwert und das sind dann wohl nach
Adam Riese und Eva Zwerg 125 MB/s denn 125 MB/s * 8 = 1000 MBit/s

Schon besser nur es würde dann wohl eher ein LAG vom NAS zum Switch aushelfen so wie ich das sehe
und nicht zu der Firewall. Man kann sicherlich über neue Hardware nachdenken, das auch schon ein guter
Ansatz, und das sicherlich für Switch und pfSense! Denn mit einem D-Link DGS1510-20 der so um die 320 €
kostet, kann man das NAS mittels 10 GBit/s anbinden und dann sieht es schon wieder ganz anders aus.
Dann kann die pfSense Hardware sogar so bleiben!

Das wäre in diesen Szenario auch mein Ansatz.

Klar.

Naja bei den von Dir eingezeichneten PC und WLAN APs sollte das aber noch zu machen sein.

Das macht jeder mit sich selber ab! Und sicherlich ist das auch immer eine Geldfrage.

In einem Betrieb mit 6000 Geräten sicherlich. nur schau Dir doch bitte einmal Deine Zeichnung an
und dann sag uns noch einmal das es unproduktiv wäre sich dort ein bis zwei Nachmittage hinzusetzen
und die ACLs anzulegen!?

Jeder wie er will und bezahlen kann, ich höre auch hier in diesem Forum nur all zu oft "teuer kann jeder"
und genau das stimmt eben nicht, weil es schlicht hinweg falsch ist! Dafür muss man nämlich zwei Sachen
haben, zum Einen genug Geld und zum Anderen muss man auch den Willen haben es auszugeben für solche
Sachen wie Hardware und nein das ist beides eher selten der Fall! Jeder größere Intel Core i3 oder Core i5
bzw. ein keiner Intel Xeon E3 machen das alles mit links nebenbei, nur das kostet eben Geld und Strom und
das hat nicht jeder bzw. ist er nicht immer bereit so viel auszugeben.

Das ist so richtig, aber wir reden dann auch "nur" von reinen WAN - LAN Durchsatz und nicht
vom VLAN Routing, bzw. der VLAN Routing Leistung der APU1D4!! Das ist eben schon einmal
ganz was anderes.

Es ist immer so eine Sache was man mit IPerf und/oder NetIO gemessen bekommt und was dann
effektiv noch am Ende im realen Einsatz zur Verfügung steht.

Zwei Geräte bieten nicht mehr Möglichkeiten als eines?

Und die bringt ihm nur 43 MB/s und das reicht ihm nicht, was nützt es denn wenn es nicht schneller wird
und man kann behaupten "das macht alles die Firewall", also dann lieber einen Layer3 Switch wie den
Cisco SG300-10 oder SG300-20 und dann den die VLANs routen lassen und mehr Durchsatz im
VLAN haben.


Gruß
Dobby

Hallo,

Naja, pfSense auf I386 Hardware ist sicherlich nicht gerade ein hoher Durchsatz an Ethernet Speed. Aber ein Cisco Router könnte eine gute Firewall sein.

Und 2 Routing Punkte? Hmm ja, ok aber was ist wen ein Switch ausfällt? Gut natürlich könnte man den Router redundant auslegen aber ich meine wen es um hohe Redundanz geht dann müsste man ja auch an sich jedes System mit 2 Dedizierten Ethernet Leitungen anbinden.

Ich habe mal mein V-Lan Routing mit einen Cisco 3600 Multiservice Router von Cisco durchgeführt. War an sich auch sehr cool. War aber auch kein GB Netzwerk.

Gruß an die IT-Welt
J Herbrich

Moin,

wenn Du rein routen möchtest kannst Du das mit den Switchten tun.
Die Du filtern möchtest dann eine Firewall.

Ein APU2C4 kommt auf knapp 1GBit solange Du keine wilde Sachen machst.
Siehe aktuelle CT.

Sonst halt eine Firewall mit mehr Bums.

Stefan

Solch eine simple Pauschalaussage ist natürlich wie so oft Blödsinn, denn mit den richtigen Komponenten ist genau das die richtige Plattform. Und mal ganz abgesehen davon nutzen sogut wie ALLE embeddeten Komponenten ja auch genau diesen Unterbau. Es kommt halt wie immer auf die NIC Hardware an.
Wenn man hier keine Billigchips verwendet schafft die FW damit immer wirespeed im L3 Forwarding.
Das APU1D ist ja nichts anderes und mit 700Mbit ist das so gut wie Wirespeed. Beim APU2 ist es dann Full Wirespeed.

Letztendlich hast du dir oben ja schon selbst die Antwort zu deinem Thread gegeben. Du musst dich zwischen 2 grundlegenden Dingen entscheiden:

• 1.) Zentrales Routing mit einer FW als sog. "Router on a stick" mit dem Nachteil das gerouteter Inter VLAN Traffic immer 2mal über den Trunk Link zur Firewall geht aber mit dem Vorteil einer bequemen und zentralen Konfiguration und das sehr granular. Dieses Szenario erfordert dann auch entsprechende FW Hardware wie APU2 z.B. es reicht aber ein einfacher L2 VLAN Switch mit einfacher Konfig.
• 2.) VLAN Routing über einen L3 Switch: Vorteil hier das der L3 Switch das immer im Wirespeed macht aber mit dem Nachteil das es für jeden VLAN Port eine entsprechende Accessliste geben muss. Dazu kommt das die ACLs nicht stateful sind wie bei der FW. Für die WLANs reicht dann eine normale FW Performance.

Jetzt musst du für dich entscheiden was du von diesen 2 Szenarien höher bewertest bzw. was für dich und dein Einsatzszenario die größere Relevanz hat.
Diese Bewertung können logischerweise niemals 100 fremde Leute in einem Forum für dich machen die niemals die Sicherheit und Detailanforderung deiner Anwendungen beurteilen können. In so fern ist die Frage nach dem "was besser ist" wie immer sinnfrei in so einem Umfeld.
Das kannst letztlich nur du selber entscheiden wenn du die Rahmenbedingungen kennst und bewertest.

Dein Grundproblem ist das du diese Überlegungen nicht VORHER in Ruhe gemacht habe nach dem Motto wo will ich hin mit meiner Zielkonfig. Dann im Schnellverfahren den nächsten billigen Switch gekauft und nun hast du da natürlich Präzedenzen geschaffen die du umschiffen musst. Der Ursprungsfehler liegt also mitnichten in der HW sondern wie immer mal wieder in einer sorgfältigen Planung.

Und für den WLAN Traffic !!!
Denn du willst ja vermutlich das Gast WLAN über das Captive Portal der pfSense laufen lassen !?
Das darf dann logischerweise kein IP Interface auf dem L3 Switch bekommen sondern muss über die FW IP in dem VLAN laufen.
Das APU1 reicht aber auch dafür noch vollkommen aus und schafft das locker.

Jein....
Die Link Aggregierung auf Basis 802.3ad LACP basiert immer auf einem Hashing Verfahren. Sprich je nachdem ob der Hash über die IP Adresse oder Mac Adresse gebildet wird werden dann Source - Destination Adress Paare (Kommunikationspartner) im Netz mal auf den einen mal auf den anderen Link gelegt.
Es passiert also sowas wie eine Verteilung auf die beiden Links. Die ist aber durch die Verschiedenartigkeit der Mac Adressen niemals homogen in der Verteilung sondern immer ungleich.
Du kannst aber wenigstens auf pfSense Seite auf Round Robin umschalten, was dann hier immer Fifty - Fifty verteilt:
https://doc.pfsense.org/index.php/LAGG_Interfaces
Es entlastet aber in der Tat so den VLAN internen Traffic erheblich mit wenig Aufwand, das stimmt.
Ist aber Blödsinn, denn so ist das WPA Passowrt ja quasi öffentlich, denn jeder der es kennt gibt es völlig unkontrolliert weiter. In D ist sowas gefährlich (Störerhaftung)
Zudem auch sinnfrei, denn dann könntest du das Netz auch gleich ganz offen lassen oder am Eingang ein Schild anbingen Das WLAN Passwort ist....
Eigentlich unverständlich, denn wenn du schon eine pfSense einsetzt ist das Captive Portal mit 4 Mausklicks und Einmalpasswörtern im Handumdrehen eingerichtet und damit hättest du Rechtssicherheit und Kontrolle.
Muss aber letztlich jeder selber wissen...

Hallo nochmal,

Was man mit einer pfSense misst also via NetIO oder iPerf an Nummern heraus bekommt
ist eben nicht immer das, was man dann unter realen Umständen im Netzwerk bzw. im s.g.
real life geliefert bekommt, worauf ich eigentlich hinaus will ist folgendes:
- Gemessen mit iPerf auf einer APU2C4 = 933 MBit/s von PC1 (Server) zu PC2 (Klient)
und mit dem TCP/IP overhead der noch oben auf kommt hat man dann schon fast ein volles GBit/s.
- Aber wenn ich dann im echten leben (real life) von möglichen 125 MB/s nur 43 MB/s erreiche ist das
eben nicht mehr so prall. Klar oder ich würde da doch auch noch einmal nachfragen oder wissen wollen
woran es denn "hinken" könnte.

Das kommt wiederum auf Dein LAG an, wenn das statisch ist und Round Robin verwendet
dann werden beide Leitungen (Netzwerkkabel) gleichzeitig gefüllt und genutzt, ist es eine
LAG (LACP) und activ/passiv ist das nicht so, dann wird die zweite Leitung nur in Benutzung
genommen wenn die erste "voll" ist oder aber ausfällt! Es kommt da schon ein wenig auf die Konfiguration an die man benutzt, aber ich denke das @aqui kann da noch mehr zu sagen als
ich das vermag.

Bitte unterscheide hier auch WAN - LAN und LAN - LAN Verbindungen! Das ist nicht das gleiche
und schon gar nicht das selbe. Ein Beispiel dazu:
- Am WAN habe ich 50 MBit/s anliegen und im Downloadbereich erzeile ich damit ~6,0 MB/s
also gut und gerne runde ~48,0 MBit/s plus dem TCP/IP overhead bin ich dann auch auf den
vollen 50 MBit/s die ich miete.
- Im LAN und zusammen mit viel QoS, VLANs, ACLs oder gar vielen Firewallregeln für das LAN
bekommt man dann aber eben auch nur wieder Deine 43 MB/s von möglichen 125 MB/s hin
und so sieht man das zwar am WAN auch ein wenig durch SPI/NAT/Firewallregeln entfällt aber
im LAN Bereich sicherlich die ein oder andere Einstellung viel härter auf den Durchsatz geht.

Das mag vielen Leuten so gehen und ja auch der Preis eines Layer3 Switches will immer wieder
gerechtfertigt sein, gar keine Frage, nur wenn ich mit dem SG300-26 oder gar SG300-48 dann
gleich auf 98 MB/s Durchsatz von einem VLAN in das nächste habe sieht die Welt schon wieder
ganz anders aus! Und bei der kleinen APU Kiste ist der RAM fest verlötet und kann leider nicht
erweitert werden und wenn dann GB weise von den Klienten zum NAS geschaufelt werden und
zurück ist das auch nicht so der "Bringer" denn das entfällt alles wenn der Switch das erledigt.

Dann lieber Snort, tinyDNS, Squid, pfBlockerNG, ClamAV und andere packete auf der pfSense
installieren und den LAN Part den Switch erledigen lassen. Da hat man gefühlt mehr Freude dran
als seine ganzen PC Backups durch die Firewall laufen zu lassen.

Nichts muss aber alles kann! Man kann den WLAN AP auch direkt an die pfSense anbinden
und dann dort zwei VLANs anlegen und dann dort einmal das Gäste und Firmeneigene WLAN
aufsetzen.

Gruß
Dobby

Alles kann und nichts muss, man kann das aja auch kombinieren und hat dann einen
hohen VLAN Durchsatz, aber eben auch das Captive Portal für WLAN Gäste und einen
Radius Server für interne Mitarbeiter.

Gruß
Dobby

Eigentlich gibts da doch nichts zu überlegen...?! Captive Portal und Einmalpasswörter, was sonst !
Mmmhhh.. indirekt schon..