Firewall

Zitat von phoneo

Crazyhorse Es ist nicht der einzige Satz der ein bisschen hinüber ist.

Soweit ich verstanden habe, meint Dennis nicht einen explodierenden Elko sondern einen Sektkorken von der Feier der Steigerung der Geschwindigkeit, und zwar Bezug nehmend auf die Konfiguration von der roten Katze.

Zitat von phoneo

Hier fehlt mir der Zusammenhang, sorry.

Mir fehlt da etwas Zusammenhang und Klarstellung. Auf welches Teil hast Du hier Bezug genommen, Dennis? Nimmst Du mit PPPoE Bezug auf das SG1100, das Zotac oder das APU4D4?

Die Fritz ist nicht gemeint, weil die kein VLAN kann. Dachte, dass SG1100, APU4D4 kein PPPoE können. Bei Zotac kann ich es nicht erkennen.

Zitat von biboca

Ist es möglich, zu dieser Aussage eine sinnstiftende Erklärung zu erhalten?

Ist doch klar, was Dennis hier meint. Erwarte erst einmal, dass im Netzwerk einiges nicht mehr funktioniert bei den Voreinstellungen der Inbetriebnahme einer derartigen Firewall (pfSense). Dennis hatte etwas komprimiert ausgedrückt, dass eine Firewall einer Fritz!Box (oder diverse andere Consumer-Firewalls) auf Benutzerfreundlichkeit getrimmt sind, und daher eher dazu neigen, vieles zu erlauben, während eine pfSense eher eine Voreinstellung für den Sicherheitsfachmann habe, die erst einmal nichts erlaubt, solange Du es nicht explizit einrichtest. Kenne pfSense nicht näher und weiß daher nicht, ob diese auch so konfiguriert werden kann, dass sie ebenfalls erst einmal alles erlaube. Was für welchen Anwender und welchen Administrator sinnvoll sei, hat er nicht gesagt. Sein Ansatz ist, diese voreingestellte Politik beizubehalten, und dann alle erkennbaren Ausnahmen zum Regelsatz hinzuzufügen. Dies ist aus Sicherheitsperspektive zu bevorzugen. Wer einen anderen Ansatz wählt, erhält zwar den Performancevorteil, weiß aber nicht, welche Kompromisse seine Konfiguration bei der Sicherheit hinterlässt, im Zweifelsfall zu viele.

PPPoE ist ein Protokoll, da fehlt halt dann das Modem, wenn du VDSL oder so etwas hast.

Der Kollege hatte FTTH und damit ein RJ45 Übergang wo die SG-1100 direkt dran konnte.

Aber PPPoE setzt halt ein Vlan 7 Interface für die erfolgreiche Einwahl vorraus.

Die pfSense auf potenter Hardware hinter der Fritz zu betreiben ist nicht so toll, da du die mega Performance der Firewall mit einigen tausend Sessions auf die 2k der Fritz reduzierst.

Hier ist es durch den direkten Anschluss der FW am Modem nicht mehr bemerkbar was auf der Leitung passiert.

Früher ist die Fbox oft gecrashed, wenn ich 2-3 Games Updatete und meine Frau Streamte und zockte.

Ganz übel was ein iPhone an der Steckdose was dann Autobackup anfängt, da ist man teilweise für 10 Sekunden im Game hängen geblieben.

Alles vorbei, die FW schiebt das einfach alles so durch, weil die massiv mehr Sessions kann und hier keiner Warten muss wie die Warteschlange wieder frei ist.

Es spricht also viel dafür die Fritz durch ggf. Modem + pfSense zu ersetzen.

-------------

Kann in Eile auf dem Handy passiert sein, die Teile tippen machmal, gerade bei Fachbegriffen Schrott zusammen.

Zitat von Crazyhorse

Es spricht also viel dafür die Fritz durch ggf. Modem + pfSense zu ersetzen.

Ok, jetzt gut verstanden. Danke!
Wo wird in der Konstellation Modem, Firewall mit PPPoE-Einwahl die Telefonie angeschlossen? Ich habe noch ein altes herkömmliches Telefon mit TAE-Anschlusskabel. Nutzt man ja nur noch gelegentlich, da das Meiste über Smartphone erfolgt.

Die Fritz kannst du als Sip Telefonanlage einsetzen, dann musst du nur die Ports für SIP per NAT weiterleiten.

Das hört sich ja gut an. Ich bin aus Zeitmangel immer noch in der Testphase. Habe zwischenzeitlich 3 Vlan-fähige Router gekauft: 2x Zyxel GA1900-24E und 1x Netgear GS305E. Die hängen z.Z. mit der APU-Firewall hinter der Fritzbox. Alles ist testweise verkabelt, allerdings ohne Endgeräte. Die hängen noch im alten Netz. Ich habe mir in Excel eine Übersicht gemacht, wie ich die verschiedenen Geräte miteinander verbinden will. Zur Zeit bin ich bei 6 VLANs und könnte mir noch mehr vorstellen: 3x WLAN (Home, IOT, Gast) und 3x LAN (Home, Multimedia, WAN). Würde ich auch mit einem Modem arbeiten, könnte ich WAN aus dem VLAN rausnehmen, was mir eigentlich sehr lieb wäre. WLAN mache ich bisher mit einem Unifi AP AC Pro, der bekommt aber jetzt 2 Geschwister. Noch einen AC Pro und einen Mesh. Dann werde ich wohl die gewünschte WLAN-Abdeckung erreichen. Den zweiten AC Pro werde ich per VLAN demnächst in die Testumgebung einbinden. Wenn das auch läuft, kann ich die Testumgebung 1:1 ins reale Netz einbinden.

Womit ich mich bisher kaum beschäftigt habe, dass sind die Regeln für die Firewall. Aber vorerst wird die Fritze noch dazwischen hängen bleiben.

Zitat von frosch2

Nun werkelt bei mir pfSense als Router und ein Vigor 165 als Modem.

Ich bin begeistert, zwar ist der die ADSL-Leitung (100/40) die Gleiche, doch es geht viel mehr als vorher.

Viele parallele Zugriffe mit verschiedenen Anwendungen laufen einfach besser, flüssiger.

Das ist genau der Punk um den es geht.

Ich habe mal die Fritz Diag durchgesehen und da einen Max Session Wert gefunden, der etwas um die 2k erlaubt.

Die kleinste Netgate erlaubt 49,5k, das ist eine ganz andere Hausnummer, wenn ich hier alles Anwerfe habe ich schon mal 10-12k Sessions aktiv.

Das merkst bei der kleinen nicht, da wird auch bei Volllast auf der Inet Leitung noch alles direkt beantwortet und bearbeitet.

Dazu der eigene DNS Resolver, der sogar prefetch kann und damit alle wiederkehrenden Anfragen direkt beantwortet, das merkt man in einer viel direkteren Reaktion der Seiten.

Zudem geht beim Zocken der Ping nicht hoch, egal wer gerade was im Internet anstellt, das wird einfach alles parallel gefahren, da braucht man kein QoS mehr wie ich das bei der Fritz früher mal hatte und dann doch Leaks wenn mal ein iPhone an den Strom ging und das Backup startet.

@phoneo

So lange du noch die Fritz davor hast, wirst du weiterhin an das Session Limit der Kist gebunden sein und das bremst dein APU FW massiv aus.

Zitat von frosch2

Nun werkelt bei mir pfSense als Router und ein Vigor 165 als Modem.

...

Die Fritzbox macht jetzt WLAN und Telefon.

Kleiner Wermutstropfen: Aus einem Gerät werden so 3 Geräte, die auch wieder gewartet und mit Updates versorgt werden wollen. Dazu wird das Kabelgewirr und der Stromverbrauch leider auch nicht weniger werden. Aber wie so oft im Leben kann man eben nicht alles haben.

Zitat von phoneo

WLAN mache ich bisher mit einem Unifi AP AC Pro, der bekommt aber jetzt 2 Geschwister. Noch einen AC Pro und einen Mesh. Dann werde ich wohl die gewünschte WLAN-Abdeckung erreichen.

Herrje, in was für einer Villa wohnst Du denn? Mir reicht eine Fritte aus, die auf 25% Sendeleistung läuft um meine Bleibe mit WLAN zu versorgen.

Zitat von Mavalok2

Herrje, in was für einer Villa wohnst Du denn?

Könnte das nicht auch eine Plattenbauwohnung mit Zwischenwänden aus Stahlbeton sein, sowie Nachbarn mit Babyphones und anderen Geräten im gleichen Frequenzband? Und er hat auch nicht geschrieben, wieviele Haushaltsmitglieder sich diese Wohnung teilen. Ich hatte vor Jahren auch mal eine Wohnung mit eingemauertem Stahlsafe in einer Zwischenwand. War aber auch nicht die dünnste Zwischenwand, Altbauwohnung halt mit einem Baualter von über 100 Jahren.

Zitat von Mavalok2

Mir reicht eine Fritte aus, die auf 25% Sendeleistung läuft um meine Bleibe mit WLAN zu versorgen.

Hast du keine Wände oder wohnst du in einem Tipi ?

Als Sysadmin verdient man nicht so viel. Da liegen keine Stahlbetonwände drin, nur knapp mehr als Papier.

Richtiges Platzieren des APs soll auch helfen.

Zitat von Mavalok2

Herrje, in was für einer Villa wohnst Du denn? Mir reicht eine Fritte aus, die auf 25% Sendeleistung läuft um meine Bleibe mit WLAN zu versorgen.

Hier ist alles aus Pappendeckel (Nordamerika) da reich ein simpler Router für Wohnung,Haus und bis hin zum Anlegedock (Ferienhaus)

Bei meiner Familie in Deutschland sind all Wände aus Blei oder verbrauchtem Uran, so viele WLAN Probleme wie die haben (nach 5m ist Schluss ohne Mesh)

Zitat von Mavalok2

Herrje, in was für einer Villa wohnst Du denn? Mir reicht eine Fritte aus, die auf 25% Sendeleistung läuft um meine Bleibe mit WLAN zu versorgen.

Da muss ich ja richtig froh sein, daß sich noch niemand über meine beiden APs echauffiert hat .

Gruss

Mavalok2 Oh My God, nicht in einer Villa... In der Tat sind es dicke Wände, die insbesondere den IoT-Units Schwierigkeiten im WLAN-Netz bereiten. Ich habe einige von Shelly, die aufgrund der kompakten Baugröße sehr gut in Schalterdosen (Rolladensteuerung) passen. Die setze ich aber beispielsweise auch in einer Unterverteilung ein. Die Hutschiene scheint zusätzlich das Empfangsverhalten zu beeinflussen.

Eigentlich will ich mit 2 APs auskommen. Wie das im Leben so ist, ich hatte den einen geordert, da entdecke ich auf Kleinanzeigen den anderen für einen guten Preis. Wenn einer über ist, bekommen den meine Eltern...

Meine pfSense ist Appliance ist auch unterwegs, da werde ich mich nach Erhalt ausführlich beschäftigen müssen.

Zunächst bleibt noch die FB7490 und die pfSense wird dahinter als Exposed Host betrieben werden.

Aber auf lange Sicht (die aber auch kurz werden kann ) wird dann wohl auch ein Vigor 165 zum Einsatz kommen.

Aber ich will mir nicht zu viele Baustellen auf einmal aufmachen.

Gruss

Die pfSense ist eine SG-3100, die war gerade günstig zu kriegen.

Leistungsmäßig dürfte da mehr als genug als Reserve drin sein .

Gruss