pfSense Forum

International Support => Deutsch => Topic started by: mims on March 06, 2018, 07:13:00 am

Title: Anfänger Setup
Post by: mims on March 06, 2018, 07:13:00 am
Hallo zusammen,

ich habe einen APU1D mit pfSense Version 2.4.2-RELEASE-p1 (amd64). Zur Verfügung stehen 3 ETH Ports.

Aktuell läuft das Gerät nur zu Testzwecken und ist noch nicht produktiv in mein LAN eingebunden. Große Erfahrung habe ich im Bereich pfSense leider nicht. Ich hatte das Gerät vor ein paar Jahren schon mal im Einsatz, habe damals aber wegen verschiedener Probleme aufgegeben. Nun möchte ich es noch einmal versuchen, mein Netzwerk hierüber laufen zu lassen.

Sind folgende Szenarien für einen Nicht-Profi durchführbar?

1. VLAN

1.1 VLAN trennen
Ich möchte mehrere getrennte VLAN einrichten. Evtl. besonders hieran ist, dass ich möchte, dass auf bestimmte Geräte zugegriffen werden kann, die Geräte aber selbst nicht aus ihrem VLAN heraus können. Geht das?
Also nehmen wir an, ich bin in VLAN1, Freundin in VLAN2, und dann gibt es noch VLAN3 für IP Cams. Sowohl aus VLAN1 und VLAN2 soll man auf die Kameras zugreifen können, **aber** die Kameras selbst sollen nicht aus ihrem VLAN heraus kommen (weder in andere VLAN, noch ins Internet).

1.2 VLAN beschränken
Beispiel: in VLAN1 befindet sich ein NAS; dieses hat verschiedene Netzwerkfreigaben. Aus VLAN1 kann jeder Nutzer voll auf das NAS zugreifen. Aus VLAN2 beispielsweise darf aber nur auf **Port X** des NAS (beispielsweise den SMB Port) zugegriffen werden. Auf andere Geräte in VLAN1 darf aus VLAN2 allerdings nicht zugegriffen werden.

2. pfblocker-ng
Ich möchte diverse Listen zum Blockieren von ADs und Malware abonnieren. Dies habe ich auf Grundlage eines Tutorials bereits versucht, kam aber da schon nicht weiter... deshalb weiß ich gar nicht, ob ich mir **schnell und übersichtlich** anzeigen lassen könnte, welche IPs / Domains gerade blockiert werden.
Aktuell läuft bei mir hierfür pi-hole; dort habe ich sowohl den "Query Log" (statische Seite mit letzten Aufrufen, sowohl geblockt, als auch durchgelassen), als auch die Möglichkeit von "Tail Query Log", also eine Liveansicht, welche Anfragen gerade stattfinden.
Dies ist für mich wichtig, da ich gerne lieber zu viel als zu wenig blockiere; wenn dann mal irgendwas blockiert wird, was eigentlich durchgelassen werden muss, kann ich es so schnell erkennen (und in pi-hole durch Klick auf "Whitelist" auch direkt entsperren)

3. reverse Proxy
auf meinem NAS laufen verschiedene Docker Container mit zugehörigen Portfreigaben. Statt `http(s)://<nas-ip>:<port>/whatever` möchte ich aber lieber netzwerkweit auf beispielsweise`http(s)://rss.whatev.er` (bzw. halt subdomain.domain im lokalen Netz) für jeden Service zugreifen, **ohne dass** ich immer den Port angeben muss.
Ich habe bereits versucht, dies mit nginx zu realisieren; komischerweise funktioniert es auf meinem Laptop problemlos, auf Smartphones im selben Netz aber nicht (obwohl ich das so gelöst habe, dass pi-hole, was als DNS Server für **sämtliche** Geräte im Netzwerk fungiert, eben nginx als reverse Proxy abfragt).
Ist das mit pfSense leicht machbar?

4. Hardware
4.1 Switch
aktuell habe ich einen TP-Link unmanaged Switch an meiner Fritzbox. Geplant ist, dass die FB nur noch passthrough macht und der Rest durch pfSense erledigt wird. Ursprünglich wollte ich einen managed Switch anschaffen (bevor mir pfSense in den Sinn kam); ich nehme an, wenn pfSense für VLAN etc. verfügbar ist, kann ich bei meinem unmanaged Switch bleiben..?

4.2 WLAN
mein APU1D hat kein WLAN. Mir wurde damals (hier in diesem Forum) davon abgeraten, einen WLAN Adapter zu verbauen und stattdessen einen Archer C7 mit openWRT einzusetzen. Diesen habe ich auch noch. Ist das noch zeitgemäß, oder muss ein neuer Router für WLAN her?
4.2.1  WLAN Sicherheit
openWRT soll (auch nach Angaben aus diesem Forum) **nichts** tun und nur die WLAN Verbindung herstellen, der Rest wird von pfSense verwaltet. Kann ich unter pfSense gezielt alle MAC-Adressen verbundener WLAN-Geräte blockieren, außer welchen, die in einer Whitelist stehen? Das geht über openWRT auch (mache ich aktuell so), aber wenn alles von pfSense verwaltet wird, fällt diese Möglichkeit ja weg - und ich möchte schon gerne alles zentral an einer Stelle verwalten.

5. Infos
grundsätzlich finde ich relativ wenige Tutorials, und unter den Ergebnissen sind oft welche, die man nur nachmachen kann, wenn man die damalige Softwareversion benutzt bzw. wenn ich manche Tutorials Schritt für Schritt durchgehe, habe ich manchmal Optionen, die dort gar nicht auftauchen **oder** Dinge, die im Tutorial gezeigt werden, kann ich in meinem Webinterface gar nicht machen.
Gibt es irgendwo eine Quelle, die Ihr für so etwas empfehlen könnt?

Insbesondere was Firewall-Regeln etc. angeht, möchte ich alles richtig machen, aber oft bleibt nur Trial and Error, was dann irgendwann dazu führt, dass ich aufhöre. Wenn man sicht erst einmal eingefunden hat, ist das Ganze ja vielleicht schön übersichtlich, für mich als Anfänger sind die Möglichkeiten momentan aber Overkill.


Freue mich über Eure Antworten :)
LG
Title: Re: Anfänger Setup
Post by: JeGr on March 06, 2018, 08:28:25 am
Aloha! :)

> Aktuell läuft das Gerät nur zu Testzwecken und ist noch nicht produktiv in mein LAN eingebunden.

Würde ich auch nicht mehr produktiv nutzen, sondern bei Tests lassen. Die APU1 ist überholt, EOL und nicht mehr aktiv supportet, zudem wird sie mit pfSense 2.5 dann spätestens rausfallen, da sie keine AES-NI Cryptozusätze versteht. Da würde ich ggf. drüber nachdenken - wenns eine APU/billig bleiben muss - mir eine APU2 zu ordern, ist das gleiche Gehäuse etc. somit kannst du dir das ggf. sparen und musst nur die Platine auswechseln.

Ansonsten:

1.1: Ja ist möglich :)
1.2: geht ebenso :)

2: "welche IPs / Domains blockiert werden" - Jein. Du kannst die pfBlocker Listen unter Diagnostics / Tables durchaus einsehen, ist aber ein mühseliges Unterfangen, da die - je nach Liste - relativ groß werden können. Im Normalfall siehst du aber bei aktivierten pfBlocker Logs schnell ob etwas wegen pfB geblockt wird oder nicht.
"Pi-Hole..." Das Pi-Hole blockt aber via DNS Blocklisten, nicht wie default pfB per IP Listen. Das sind dann andere Jobs. Du kannst zwar mit pfB auch DNS Blocken via Integration in Unbound, das wird dann aber dann durchaus eben komplexer. Trotzdem siehst du dort im Normalfall, ob dein DNS gegen den Resolver geblacklistet wurde (kannst du auch auf dem Client sehen, denn da würde die Domain dann mit 127.0.0.1 oder 0.0.0.0 aufgelöst, je nach Konfiguration).

3: Jein. Kommt drauf an, wie deine Docker Container konfiguriert sind, welche IP/Port Kombinationen genutzt werden. Theoretisch könnte man das via HAProxy und DNS abdecken, könnte aber ein wenig kniffliger in der Konfiguration werden.

4.1: Nein, nur weil pfSense VLANs kann/könnte, muss das trotzdem auch dein Switch können. Ansonsten müsstest du auf allen Geräte auch VLANs konfigurieren, dann könntest du theoretisch bei deinem unmanaged Switch bleiben. Aber die Kopfschmerzen und Zeit möchte sich glaube ich freiwillig keiner geben, vor allem wenn Geräte wie Kameras etc. im Spiel sind, bei denen man kein VLAN festlegen kann. Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.

4.2: Ich würde den Archer lassen (habe den selbst, rumbasteln mit OpenWRT ist "nett" aber nervig). Ich würde einfach einen Ubiquity Access Point nehmen (AP-AC-LR oder AP-AC-PRO, ich hab den LR/Longrange genommen wegen besserer Abdeckung, das bisschen "Speed" mehr, was der PRO könnte, können bei mir eh wenig Geräte und die haben meist LAN).

4.2.1: pfSense arbeitet auf Layer 3, nicht auf 2. Das Einzige, was pfSense tun könnte wenn dein WLAN AP kein DHCP macht ist, dass sie nur bekannten Geräten (per MAC) eine Adresse zuweist. Aber ein Blocken auf Layer 2 über die MAC Adresse ist nicht möglich. Wenn die Geräte keine IP bekommen, könnte ein findiger Freund zwar trotzdem noch manuell eine IP vergeben, dazu müsste er aber das richtige Netz kennen (kann man ggf. raushören). Aber: dazu muss er überhaupt mal ins WLAN rein kommen. Wenn du eh nur bekannte Geräte ins WLAN einbuchst und rein lässt, sehe ich da kein Problem, dass man auf Layer 2 filtern müsste.

5: Doku auch wenn manchmal dürftig, Forum, fragen, sich etwas einlesen, was PF als Paketfilter angeht o.ä. - aber wenn du bei Trial und Error gleich aufhörst, bist du vielleicht ein wenig ungeduldig. Wichtig ist für Regelerstellung o.ä. nur die Sicht auf das Ganze, WO Regeln WIE greifen und wenn man sich das vor Augen hält ist es relativ leicht, Regeln zu erstellen.

Gruß
Title: Re: Anfänger Setup
Post by: -flo- on March 06, 2018, 02:23:50 pm
Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.

Z.B. ein Netgear GS108E-300PES, gibt's für ca. 36 EUR. Der läuft bei mir seit langem wunderbar. Aber Achtung, Netgear genießt unter den Profis hier keinen guten Ruf. Ich geh' schon mal in Deckung. :-)

3: Jein. Kommt drauf an, wie deine Docker Container konfiguriert sind, welche IP/Port Kombinationen genutzt werden. Theoretisch könnte man das via HAProxy und DNS abdecken, könnte aber ein wenig kniffliger in der Konfiguration werden.

Wäre `http(s)://<reverse-proxy>/<service>` (ohne ip, ohne port) komfortabel genug? Das leistet ggf. ein extra container auf dem NAS mit nginx, sogar mit acme Zertifikat wenn gewünscht. Dafür muß man auf der pfSense überhaupt nichts machen.

Ich denke das müßte aber auch mit `http(s)://rss.whatev.er` gehen, nur daß man dafür Einträge im DNS Forwarder oder Resolver braucht.

Ich würde einfach einen Ubiquity Access Point nehmen (AP-AC-LR oder AP-AC-PRO, ich hab den LR/Longrange genommen wegen besserer Abdeckung, das bisschen "Speed" mehr, was der PRO könnte, können bei mir eh wenig Geräte und die haben meist LAN).

Ich habe zwei UAP AC-LITE und bin damit total zufrieden. Gibt's für ca. 75 EUR. Die neuen Versionen haben sogar PoE nach Standard 802.3af -- anders als in vielen Datenblättern und Produktbeschreibungen u.a bei Amazon noch steht. (Den Netgear Switch z.B. gibt es auch mit PoE, das spart dann den Injector zwischen Switch und AP. Bei Switches mit PoE würde aber auch ich nicht unbedingt zu Netgear greifen ...)

Title: Re: Anfänger Setup
Post by: mims on March 07, 2018, 05:16:03 am
Vielen Dank für Eure Infos =)

Quote
Da würde ich ggf. drüber nachdenken - wenns eine APU/billig bleiben muss - mir eine APU2 zu ordern, ist das gleiche Gehäuse etc. somit kannst du dir das ggf. sparen und musst nur die Platine auswechseln.
Es muss keine APU sein. Was wäre denn angeraten? Bzw. mit welchen Preisen müsste ich rechnen? Je nach Preisklasse könnte ich theoretisch auch ein anderes Gerät nehmen.

Quote
"Pi-Hole..." Das Pi-Hole blockt aber via DNS Blocklisten, nicht wie default pfB per IP Listen. Das sind dann andere Jobs. Du kannst zwar mit pfB auch DNS Blocken via Integration in Unbound, das wird dann aber dann durchaus eben komplexer. Trotzdem siehst du dort im Normalfall, ob dein DNS gegen den Resolver geblacklistet wurde (kannst du auch auf dem Client sehen, denn da würde die Domain dann mit 127.0.0.1 oder 0.0.0.0 aufgelöst, je nach Konfiguration).
Uff. Würde das bedeuten, dass all die Listen, die ich aktuell per Pi-Hole abonniert habe, für pfB nicht kompatibel wären? Ob die entsprechenden Hosts via DNS blockiert werden, oder (wenn ich das richtig verstanden habe) einfach der Zugriff auf die IPs gesperrt wird, wäre mir egal. Bzw. gibt es einen Grund, warum mir das nicht egal sein sollte? Ich nehme einfach mal an, dass die pfSense Lösung mindestens genau so gut funktioniert, wie die via Pi-Hole....?

Quote
4.1: Nein, nur weil pfSense VLANs kann/könnte, muss das trotzdem auch dein Switch können. Ansonsten müsstest du auf allen Geräte auch VLANs konfigurieren, dann könntest du theoretisch bei deinem unmanaged Switch bleiben. Aber die Kopfschmerzen und Zeit möchte sich glaube ich freiwillig keiner geben, vor allem wenn Geräte wie Kameras etc. im Spiel sind, bei denen man kein VLAN festlegen kann. Long story short: Du brauchst hinter der pfSense einen (teil-)managed Switch, die kosten aber auch kaum was.
Verstehe ich das richtig? Ich kann in pfSense nicht "einfach" festlegen "IP/MAC soundso gehören zu VLAN1", sondern ich brauche einen Switch, in dem ich das dann festlege? Oder "versteht" der Switch dann einfach die Befehle von pfSense und regelt die VLANs nach pfSense's Vorgaben dann quasi-automatisch?

Quote
Aber: dazu muss er überhaupt mal ins WLAN rein kommen. Wenn du eh nur bekannte Geräte ins WLAN einbuchst und rein lässt, sehe ich da kein Problem, dass man auf Layer 2 filtern müsste.
Sprich: ein vernünftiges WLAN Passwort auf dem Access Point ist ausreichend? Warum man MAC Adressen überhaupt sperrt, wenn man die mit sowieso sniffen und spoofen kann, ist mir sowieso nicht klar. Einziges Problem mit einem "guten" Passwort ist, dass ich schon mehrfach Devices hatte, die einfach keine "guten" Passwörter annehmen wollten. Das war einmal ein Netzwerkdrucker und einmal ein Neato Botvac; die Passwörter waren zu lang und konnten nicht eingegeben werden. Beim Drucker war das egal, der lief dann halt am USB Port der FB als Netzwerkdrucker statt im WLAN, aber um meine Passwörter nicht ändern zu müssen, läuft jetzt nur für den Botvac ein Gastnetzwerk mit pille-palle-Passwort.

Quote
GS108E-300PES
Solange alles wie erwartet funktioniet, ist mir der Ruf des Gerätes erstmal zweitrangig. Gibt es eine Alternative mit PoE/PoE+ und mindestens 24, gerne auch 48 Ports?
Und siehe oben: der Switch kann dann VLAN, die Einstellungen werden aber von pfSense festgelegt und weitergereicht? Oder muss ich den dann separat konfigurieren? Noob-Problem: wenn ich mir schon die Mühe mache, pfSense vernünftig zum Laufen zu bekommen, dann möchte ich nach Möglichkeit nicht noch ein weiteres Gerät mit ganz anderen Einstellungen konfigurieren müssen (also sofern es sich vermeiden lässt ^^).

Quote
Wäre `http(s)://<reverse-proxy>/<service>` (ohne ip, ohne port) komfortabel genug? Das leistet ggf. ein extra container auf dem NAS mit nginx, sogar mit acme Zertifikat wenn gewünscht. Dafür muß man auf der pfSense überhaupt nichts machen.
Ich habe so etwas ähnliches mal lokal unter Docker ausprobiert; da wurde immer `http(s)://subdomain.<docker-host>` gemappt. Funktionierte dann aber nicht wie gewünscht und musste zudem Docker als root ausführen. Für Tests war das okay, auf meinem NAS (wo ich Docker eigentlich komplett über Synology GUI statt cli bediene) würde ich das ungern machen.

Wäre hierfür der squid reverse proxy geeignet? pfSense wäre dann ja sowieso sowohl Router, als auch DNS-Server, richtig? Wenn ich dann `service.domain.endung` aufrufe, könnt die Anfrage nicht automatisch an `http(s)://<ip>:<port>/<ggf-pfad>` weitergeleitet werden? Ich hatte gehofft, dass das die simpelste Lösung wäre - oder denke ich da viel zu kompliziert?

Quote
Ich habe zwei UAP AC-LITE und bin damit total zufrieden. Gibt's für ca. 75 EUR. Die neuen Versionen haben sogar PoE nach Standard 802.3af -- anders als in vielen Datenblättern und Produktbeschreibungen u.a bei Amazon noch steht. (Den Netgear Switch z.B. gibt es auch mit PoE, das spart dann den Injector zwischen Switch und AP. Bei Switches mit PoE würde aber auch ich nicht unbedingt zu Netgear greifen ...)
Was wäre denn da die Alternative zu Netgear? Ich hätte schon gerne -insbesondere, wenn noch solche APs mit PoE dazu kommen- schon gerne zuverlässig ggf. allen Geräten PoE zur Verfügung stellen... Da es wirklich einiges an Geräten wird, und mittelfristig ja praktisch zwei getrennte Haushalte versorgt werden sollen, hätte ich halt auch gerne direkt 48 Ports zur Verfügung. Da muss ich dann nicht jeden Raspberry Pi, der vielleicht in Garten oder Garage soll, noch abwegen, ob nicht was "Wichtigeres" demnächst den LAN Port belegen könnte ^^


Wenn die Auswahl zwischen UAP-AC-Lite, UAP-AC-PRO, und UAC-AC-LR stünde... was würdet Ihr mir denn dann raten (unabhängig vom Preis, hier geht es dann nur um die beste Leistung)?
Title: Re: Anfänger Setup
Post by: JeGr on March 07, 2018, 06:13:34 am
> Es muss keine APU sein. Was wäre denn angeraten? Bzw. mit welchen Preisen müsste ich rechnen? Je nach Preisklasse könnte ich theoretisch auch ein anderes Gerät nehmen.

Was du brauchst richtet sich eigentlich nach der Leistung die du abrufen willst. Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)

> Ich nehme einfach mal an, dass die pfSense Lösung mindestens genau so gut funktioniert, wie die via Pi-Hole....?

pfBlockerNG ist kein Adblocker. Pi-Hole ist das. pfB ist eher ein universelleres Zusatzwerkzeug, das mehrere Dinge kann. Um Werbung o.ä. zu blocken, gibt es Einstellungen und Möglichkeiten, keine Frage. Aber das ist konfigurationsabhängig. IP Blocking ist natürlich recht ressourcenschonend, kann aber ggf. eben auch Domains mit abknipsen, die gar nichts böses sind (weil unter einer IP ggf. mehrere Dutzend Services laufen). DNS Blacklisting kann auch mal wenns schief geht dein DNS lahmlegen - ist also wie gesagt alles konfigurations- und Wunschabhängig. So pauschal sagen "das funktioniert genauso wie das" würde ich nicht, man kann aber ein ähnliches Setup erreichen.

> Verstehe ich das richtig? Ich kann in pfSense nicht "einfach" festlegen "IP/MAC soundso gehören zu VLAN1",

Nein, denn das ist nicht ihr Job. pfSense ist Router/Firewall und damit auf Layer 3, MAC und VLAN spielen aber auf Layer 2 und sind prinzipiell erstmal Switch-Sache.

> sondern ich brauche einen Switch, in dem ich das dann festlege? Oder "versteht" der Switch dann einfach die Befehle von pfSense und regelt die VLANs nach pfSense's Vorgaben dann quasi-automatisch?

Nein, im Switch definierst du im Normalfall Ports als entweder Access oder Trunk Port. Access Ports sind Ports, die ganz normal angeschlossene Geräte haben (PC) die kein VLAN Tagging selbst machen. Und für diesen Access Port kannst du im Switch definieren: "der ist in VLAN 10". Der nächste Port mit PC Freundin bspw. "ist in VLAN 20". Der nächste ist dann für Gäste "VLAN 30" usw. Per default sind die im Default VLAN (meist 1, selten auch 0). Und somit können alle miteinander reden. Stellst du jetzt einige Ports auf 10, andere auf 20 und 30, dann sehen sich plötzlich nur noch Geräte im gleichen VLAN, der Switch erzeugt also in sich mehrere kleine Switche (VLANs) die nur noch Geräte mit gleichem Tag miteinander reden lassen.
Dann gibts noch Trunk Ports, die mehrere VLANs haben. Das wäre dann bspw. der "Uplink" zur pfSense: den Port zur Sense steckt man in VLAN 10,20 & 30 und konfiguriert auf diesem physischen Interface der pfSense dann in der UI die VLANs 10, 20 und 30. Die tauchen dann wie "echte" Interfaces in der Konfiguration auf und können entsprechend eigene IP Bereiche, DHCP und DNS Einstellungen haben und damit dann auch eigene Firewall Regeln.

> Sprich: ein vernünftiges WLAN Passwort auf dem Access Point ist ausreichend?

Jein. Ja für den Hausgebrauch und eine überschaubare Menge an Geräten. Bei öffentlichen/Firmennetzen eher nein, denn da wird das PW dann irgendwann einfach zu weit verbreitet. Deshalb wird dort entweder Enterprise-WPA2 genutzt (mit Login) oder bspw. ein Portal zugeschaltet und das Passwort ab und an rotiert (damit der Vertreter/Kumpel nicht ein Jahr später vor der Tür steht und wieder WLAN hat ;))

> Warum man MAC Adressen überhaupt sperrt, wenn man die mit sowieso sniffen und spoofen kann, ist mir sowieso nicht klar.

Security through obscurity. Es bringt nichts. Genauso wenig wie die SSID ausblenden. Aber viele Menschen fallen gern auf den Trick mit den Händen vor dem Gesicht rein. Ich seh dich nicht, also siehst du mich auch nicht :P SSID Hiding ist sogar kontraproduktiv da sich so andere APs weniger gut auf die verfügbaren APs einstellen und das Frequenzband/Timing teilen können. Aber hey, es wird auch 2018 immer noch in SOHO Routern "Ping von WAN blockieren" als super-duper-Stealth-Feature verkauft...

>  die einfach keine "guten" Passwörter annehmen wollten

Wenn sie WPA2 konform sind/sein wollen, muss eigentlich auch ein entsprechendes Passwort erlaubt sein. Aber mit den Ubiquity APs kann man da einige Späße bauen, für die man sonst ziemlich tief in die Tasche greifen muss. Beispiele wären Radius Based VLANs mit WPA2-Enterprise (WiFi Clients anhand ihres Logins automatisch in ein VLAN packen), Gäste Portal mit Freischaltungen etc.

> Gibt es eine Alternative mit PoE/PoE+ und mindestens 24, gerne auch 48 Ports?

Puh sicher einige. Nur als Gedankenexperiment würde ich aber einwerfen, dass - auch wenn sie ggf. teurer sind - Ubiquity auch Switche macht, auch mit PoE - und man dann zumindest APs und Switche mit der gleichen/ähnlichen Software konfigurieren könnte. Macht es vielleicht einfacher an mancher Stelle :)

> dann möchte ich nach Möglichkeit nicht noch ein weiteres Gerät mit ganz anderen Einstellungen konfigurieren müssen (also sofern es sich vermeiden lässt ^^).

Wie gesagt, Switching läuft auf einem ganz anderen Layer der Router/Firewall ab, so dass du da nicht drumherum kommen wirst. Aber da du APs eh auch konfigurieren musst - siehe oben. Vielleicht lassen sich da 2 Fliegen mit einer Klappe schlagen. Ansonsten gibts auch sehr günstige HP Einsteiger Switche, TP-Links etc. die VLAN, QoS und PoE können und nebenbei eine halbwegs brauchbare WebUI und/oder CLI haben.

> Wäre hierfür der squid reverse proxy geeignet?

Das muss nicht squid sein, das kann wie gesagt HAproxy auch. Ist im Prinzip egal, es muss eben ein Backend und ein Frontend da sein die aufeinander gematcht werden. Wenn du alle Dienste im Docker in einzelnen Instanzen mit unterschiedlichen Ports auf der gleichen IP hast, ist das prinzipiell via HAproxy recht einfach zu machen. Das geht dann mit einem bzw. zwei Frontends (je nachdem ob man WAN und LAN machen muss) und multiplen Backends, die dann nach Domain unterschieden werden. Da gibts sogar ein Template für.

> Was wäre denn da die Alternative zu Netgear?

Siehe oben, ggf. mal bei ubiquity selbst oder dann eben Netgear, TP-Link, HP o.ä. schauen.

> Wenn die Auswahl zwischen UAP-AC-Lite, UAP-AC-PRO, und UAC-AC-LR stünde... was würdet Ihr mir denn dann raten (unabhängig vom Preis, hier geht es dann nur um die beste Leistung)?

Kommt drauf an, was für Geräte du im WLAN hast. In den meisten Fällen habe ich jetzt gesehen, dass das Handys, kleinere Kisten etc. sind, die keine "Mega-Krasse-Performance" brauchen und nur selten mal wirklich ein Laptop, das auf ein NAS zugreifen will. Da außer Laptops sehr selten Geräte mehr als ein bis zwei Antennen verbaut haben, ist der UAC-AC-PRO mit dem ganzen MIMOmublubb zwar toll, aber die wenigsten Geräte rufen dann die super-duper-Megabits auch ab ;) Das war der Grund, warum ich mich eher für den klein wenig langsameren -LR entschieden habe, der ne höhere Leistung hat und damit eine größere Reichweite als der PRO, dafür im 5GHz Netz aber theoretisch ein klein wenig langsamer wäre. Praktisch ist er manchmal sogar schneller als der Pro (laut Messung von einem Testbericht), da er an den Rändern eben noch bessere Abdekcung und daher Geschwindigkeit hat, als der Pro und man dann doch mal eher ne höhere Rate bekommt.

Wenn dir ein AP eh nicht reicht von der Abdeckung, ist eben die Frage ob es 2 LR oder 2 PRO werden, den Lite würde ich eher außen vor lassen. Bei mehr als einem kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

Gruß Jens
Title: Re: Anfänger Setup
Post by: Grimson on March 07, 2018, 08:11:48 am
Das war der Grund, warum ich mich eher für den klein wenig langsameren -LR entschieden habe, der ne höhere Leistung hat und damit eine größere Reichweite als der PRO, dafür im 5GHz Netz aber theoretisch ein klein wenig langsamer wäre.

Dir ist aber schon klar das der LR in Deutschland seine höhere Leistung gar nicht nutzen kann, da die Sendeleistung hier vom Gesetzgeber eh so stark beschränkt ist das selbst die anderen APs nicht ihr Maximum nutzen können. Du kannst ihn natürlich mit einer anderen Ländereinstellung betreiben, musst dann aber hoffen das sich keiner der Nachbarn mit der Materie auskennt und dich verpfeift, denn das kann echt teuer werden.

Was die höhere Übertragungsrate des Pro angeht, mein Smartphone (Xperia Z3+) beherrscht die und ist alles andere als aktuell, ebenso die meisten Samsung Geräte. Im Smartphone merkt man das zwar nicht so sehr, aber z.B. hat ein kleiner 30 Euro Dongle da meinem alten Laptop einen gehörigen Schub verpasst und auf einem Laptop merkt man das doch schon deutlich.

@mims
Ich nutze als Switch einen Netgear JGS524PE, der funktioniert recht gut. Allerdings musst du bei 24 und 48 Port Geräten mit POE bedenken das es diese in der Regel nicht Lüfterlos gibt, wenn der Switch im Keller oder Abstellraum steht ist das kein Problem. Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.

Ich hab den JGS524PE im Büro stehen und hab inzwischen den Lüfter gegen einen leisen von Noctua getauscht, dadurch ist aber natürlich die Garantie weg und die LED für die Lüfterwarnung am Switch leuchtet Orange weil der Noctua etwas langsamer läuft als die original Turbine.

Von TP-Link würde ich Abstand halten: https://forum.pfsense.org/index.php?topic=123324.0
Title: Re: Anfänger Setup
Post by: JeGr on March 07, 2018, 09:03:58 am
> Dir ist aber schon klar das der LR in Deutschland seine höhere Leistung gar nicht nutzen kann, da die Sendeleistung hier vom Gesetzgeber eh so stark beschränkt ist das selbst die anderen APs nicht ihr Maximum nutzen können. Du kannst ihn natürlich mit einer anderen Ländereinstellung betreiben, musst dann aber hoffen das sich keiner der Nachbarn mit der Materie auskennt und dich verpfeift, denn das kann echt teuer werden.

Doch kann ich, weil man es messen kann. Der AC-PRO liegt laut Tests und Messungen meist bei etwas unter ~20db während der AC-LR ~25db könnte, durch DE Einstellung aber auf die 20-21db gedrosselt wird, die in DE erlaubt sind. Mit USA Setting könnte er tatsächlich auf ~24 hochgehen, brauche ich in der Wohnung aber nicht.
Soweit ich weiß ist der Reichweitenvorteil nicht nur durch mehr Leistung begründet, sondern darin, dass beim -LR eine 3-Polaritäts-Antenne verbaut ist, beim -PRO nicht, da hier statt dem 2x2 ein 3x3 Antennen-Array platz finden musste. Deshalb hat auch trotz gleicher DB Angabe im 5GHz Bereich der LR ggü. dem PRO einen höhere Reichweite.

Punkt ist: Ich (persönlich) brauche die beim AC-PRO verfügbaren 2x Gigabit nicht, 1x reicht mir. USB brauch ich auch nicht. Kaum ein WiFi Gerät von mir hat ein 3x3 Antennenarray verbaut, die meisten gerade eine oder 2x2 Setting. Somit ist das "Mehr" an Kosten/Nutzen des PRO für mich so gut wie nicht nutzbar. Außer bei meinem neuesten Laptop mit 3x3 Array könnte ich kein Gerät voll ausfahren. Der PRO könnte outdoor verwendet werden - ebenfalls uninteressant für mich, da mir ein AP nun für alles gut reicht :) Dafür habe ich mit dem LR den Vorteil des kleineren Geräts (Durchmesser ist kompakter), komme mit einem 12W PoE Injector aus im Gegensatz zum PRO der einen 24W braucht und der Max Verbrauch ist gut 1/3 weniger. Mag nicht viel sein, aber hey.

Bzgl. Smartphone: Von was sprichst du? Mir wäre kein halbwegs aktuelles Smartphone (kein aktuelles Flagschiff sondern was das ~1J alt ist) bekannt, das ein 3x3 5GHz Antennen Array verbaut hat. Und ohne das kannst du zwar gern 802.11ac nutzen, aber nicht den PRO ausreizen. Bislang sind mir aus der Fertigung nur miniPCIe Devices bekannt, die 3x3 Arrays haben und Prototypen von 3x3 für kleineres. Aber dein Xperia z3+ bezweifle ich ungemein, dass es 3x3 Arrays eingebaut hat ;)

Bzgl. Switch: Was genau will dein Link (gegen TP-Link) sagen? Ich verstehe nicht was das Topic hier für Relevanz hat?
Title: Re: Anfänger Setup
Post by: Grimson on March 07, 2018, 09:43:13 am
Doch kann ich, weil man es messen kann. Der AC-PRO liegt laut Tests und Messungen meist bei etwas unter ~20db während der AC-LR ~25db könnte, durch DE Einstellung aber auf die 20-21db gedrosselt wird, die in DE erlaubt sind. Mit USA Setting könnte er tatsächlich auf ~24 hochgehen, brauche ich in der Wohnung aber nicht.
Soweit ich weiß ist der Reichweitenvorteil nicht nur durch mehr Leistung begründet, sondern darin, dass beim -LR eine 3-Polaritäts-Antenne verbaut ist, beim -PRO nicht, da hier statt dem 2x2 ein 3x3 Antennen-Array platz finden musste. Deshalb hat auch trotz gleicher DB Angabe im 5GHz Bereich der LR ggü. dem PRO einen höhere Reichweite.

Ich hatte beide hier und ein Kollege hat die mit einem Profi-Messgerät verglichen, der Unterschied in der Reichweite/Frequenzstärke war so minimal das er im Bereich des Messfehlers des Messgerätes war. Das in einem Altbauhaus mit dicken Steinwänden inkl. ne Menger Metallschrott, der in den Holblöcken "entsorgt" wurde.


Bzgl. Smartphone: Von was sprichst du? Mir wäre kein halbwegs aktuelles Smartphone (kein aktuelles Flagschiff sondern was das ~1J alt ist) bekannt, das ein 3x3 5GHz Antennen Array verbaut hat. Und ohne das kannst du zwar gern 802.11ac nutzen, aber nicht den PRO ausreizen. Bislang sind mir aus der Fertigung nur miniPCIe Devices bekannt, die 3x3 Arrays haben und Prototypen von 3x3 für kleineres. Aber dein Xperia z3+ bezweifle ich ungemein, dass es 3x3 Arrays eingebaut hat ;)

Der LR kann im 5GHz Band bis 867 Mbps, der Pro bis 1300 Mbps. Und ja das Z3+ kann auch bis 1300 Mbps und schafft das hier auch, das gleiche gilt für mein Galaxy Tab S3. Der Pro ist hier eindeutig schneller und ich erreiche diese Geschwindigkeiten auch mit meinen Geräten.

Bzgl. Switch: Was genau will dein Link (gegen TP-Link) sagen? Ich verstehe nicht was das Topic hier für Relevanz hat?

Nun er möchte VLANs einsetzen, da ist ein Switch bei dem man VLAN1 nicht von den Ports lösen kann eine schlechte Wahl. Klar kann man die Konfiguration entsprechend anpassen und VLAN1 gar nicht nutzen, aber man muß ja den Mist den TP-Link da produziert nicht noch mit Geld honorieren.
Title: Re: Anfänger Setup
Post by: JeGr on March 07, 2018, 10:24:09 am
> Und ja das Z3+ kann auch bis 1300 Mbps und schafft das hier auch, das gleiche gilt für mein Galaxy Tab S3. Der Pro ist hier eindeutig schneller und ich erreiche diese Geschwindigkeiten auch mit meinen Geräten.

Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

> aber man muß ja den Mist den TP-Link da produziert nicht noch mit Geld honorieren.

Schöne Einstellung. Kann ich zu Netgear 1:1 auch so sagen. Kommt eben immer aufs Gerät an. Man kann bei TP-Link sehr wohl Ports sinnvoll konfigurieren. Vor allem bei den nicht winzigen Geräten mit 5 Port Smart & Easy. Die sind genauso gut oder schlecht wie anderer Kram von Netgear et al auch. Wir reden hier über Gerätschaft von ~25€. Und selbst da ist es diskutabel ob das jetzt ein Riesen Drama ist, wenn ein Switch so billig VLAN1 als Management für die UI fix eingebrannt hat (was dann korrekt eine Beschränkung ist), aber die Ports ansonsten ordentlich in seinen VLANs isoliert. Zudem reden wir nicht von Enterprise Einsatz.
Hinzu kommt, dass das bislang nur bei den beiden kleinsten LowCost Teilen der Fall ist. Wir wollen dann aber nicht anfangen über Ausfallraten bei Netgears Billigware oder andere <100€ HW zu diskutieren. Das ist dann sehr witzlos.

Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)
Title: Re: Anfänger Setup
Post by: Grimson on March 07, 2018, 11:08:27 am
Faszinierend :D Zitat Sony: "durch verbesserte MIMO-Antennentechnik sind über WLAN-ac nun bis zu 867 MBit/s möglich." Wie du 1300 schaffst frage ich mich dann doch :P

Nun ich verlasse mich hier auf die Link Geschwindigkeit die mir der Controller anzeigt. Evtl. liegt es auch daran das ich ein Z4 aus Japan habe, was aber eigentlich baugleich mit dem Z3+ sein soll.

Wie oben schon beschrieben gehts hier ja bereits um 24-48 Port Geräte und da wäre es vielleicht aus naheliegendem Grund gar nicht so verkehrt in andere Richtungen zu schauen - Ubiquity wegen APs etc. Und da gehts dann nicht mehr um billige kleine Switche ;)

Zumindest konnte ich selbst bei dem ganz kleinen GS105eV2 von Netgear das VLAN1 von den Ports entfernen. Mein Post war auch nicht als "kauf Netgear" gedacht, ich habe nur geschrieben das bei mir der Netgear Switch recht gut funktioniert. Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss. Und eben das man die VLANs ordentlich konfigurieren kann. Bei 48 Ports mit POE würde ich eh nicht mehr geizen und in Richtung HP oder Cisco schauen.

Aber wir können es ruhig dabei belassen das wir verschiedener Meinung sind. Am Ende muss sich der OP eh selbst überlegen was für seine Zwecke, und seinen Geldbeutel, am besten geeignet ist.
Title: Re: Anfänger Setup
Post by: JeGr on March 08, 2018, 06:01:01 am
> Wichtiger ist die Sache mit den Lüftern, was man eben bedenken sollte wenn man einen Switch zu Hause im Büro/Wohnzimmer oder ähnlichem platzieren will/muss.

Richtig, das kann durchaus ein störender Faktor sein, es sei denn man hat sowas wie einen kleinen Betriebsraum bei sich im Keller oder sonstwo, wo das nicht stört. Ein Grund, warum ich damals die HP1810er gekauft hatte, da sie recht günstig (für 24 Ports + 2x SFP+) waren, die Oberfläche HTML only und halbwegs sauberes VLAN abbilden können (auch wenns gruselig dargestellt wird) und dabei keinen Lüfter haben. Werden zwar im Sommer mal ein wenig warm, aber bislang ohne Problem.

Da der OP schon meinte, er würde gern mit so wenig Tools/Oberflächen wie möglich arbeiten, war mein Gedanke hier eben ggf. Switche von Ubiquity mit ins Boot zu holen. Alternativ gibts sicher ne günstige Serie von Cisco (wobei die günstigen Ciscos ja dann auch wieder keine sind sondern meist Ex-Linksys oder anderes Gedöns) oder HP (auch hier muss man aufpassen, die 19xx'er waren das glaube ich, die eigentlich alte 3COMs sind mit absolut gruseliger Oberfläche, kann mich aber täuschen).

Vielleicht gibts ja jemand der auch eine Empfehlung hat, wenn man ein paar PoE Ports brauchen könnte (gibt ja durchaus Misch-Konfigurationen mit 24/48 Ports bei denen 8/12 Ports PoE fähig sind). :)
Title: Re: Anfänger Setup
Post by: mims on March 08, 2018, 06:03:49 am
Wow, danke für die ganzen Infos!

Bevor ich jetzt genauer darauf eingehe (mit weiteren Fragen ;)), vorab nur kurz die momentan wichtigste Frage: ich wollte jetzt eigentlich eine APU2C4 anschaffen. Das zugehörige 19" Gehäuse (was auch für meine bereits vorhandene APU1D passt), ist heute angekommen. Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4? Denn dann würde/müsste ich das 19" Gehäuse direkt wieder retournieren und gar nicht erst auspacken.......

Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)

Bzw. eben zeitlich wichtige Frage: statt ner APU lieber was anderes in ungefähr derselben Preisklasse? Was auch für die Zukunft noch geeignet ist (also beispielsweise nicht bald irgendwelche Verschlüsselungsstandarts nicht mitmacht). Ob ich jetzt 175 EUR oder 225 EUR zahle, ist relativ egal, solange ich dafür dann ein wirklich passendes Gerät habe :)

Auf die anderen Punkte gehe ich später noch mal in Ruhe ein =)
Title: Re: Anfänger Setup
Post by: Grimson on March 08, 2018, 06:30:01 am
Also der SG-1000 ist IMHO ein nettes Spielzeug bzw. ganz passable für einen Camper der das Teil über Batterien/Solar betreiben will. Für den dauerhaften Einsatz wäre der mir zu schwachbrüstig. Da schau dir eher den SG-3100 an, oder die MinnowBoard Produkte von Netgate: https://store.netgate.com/MBT-4220-system.aspx (https://store.netgate.com/MBT-4220-system.aspx).

Wobei ich persönlich bei dieser Art von Produkten nicht so der Experte bin, ich baue lieber selber mit Mini-ITX boards und Standard Komponenten. Da ist dann das Gehäuse zwar etwas größer, und evtl. der Stromverbrauch ein paar Watt höher, aber dafür kann ich jede Komponente ohne Probleme einzeln upgraden bzw. bei Defekten ersetzen.
Title: Re: Anfänger Setup
Post by: monstermania on March 08, 2018, 10:00:49 am
Gibt es in der Preisklasse (ggf. unwesentlich teurer) etwas Besseres als die APU2C4?
Nein,
in der Preisklasse ~ 200€ gibt es m.E. nichts vergleichbares. In der Kombination aus Kompaktheit/Leistung/Energieverbrauch/Preis steht die APU2 ziemlich einzigartig da.
Ganz klar, besser geht immer. Nur wird es dann ganz schnell auch ganz schön schnell teuer.  ;)
Quote
Ist die hier im Forum beworbene SG-1000 microFirewall ausreichend? 1x WAN 1x LAN müsste für mich ausreichend sein; wenn überhaupt werden die LANs ja via VLAN getrennt, insofern benötige ich den 2. ETH Port (den bsp. APU1D oder APU2C4 mitbringen) AFAIK nicht. (Oder??)
Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)
Zum Thema VLAN solltest Du berücksichtigen, dass sich alle VLAN-Netze den einen NIC teilen. Sprich, wenn Du 3 VLANS nutzt teilen sich diese 3 VLANS den einen 1 Gbit NIC. Das kann für den Einen oder Anderen schon eng werden, wenn Du z.B. ein NAS in der DMZ hast und gleichzeitig mit Clients aus dem LAN oder WLAN auf das NAS zugreifst.
Eine APU2 ist da m.E. deutlich flexibler und performanter.
Dazu kommt dann noch, dass Du nicht ausschließlich auf pfsense festgelegt bist wie z.B. bei einer SG1000/3100.  :)
Title: Re: Anfänger Setup
Post by: JeGr on March 08, 2018, 11:22:24 am
> Ob das Teil reicht, kannst nur Du zu sagen. Kommt immer auf Die Anforderungen an. ;-)

Ich rate den meisten Kunden - aber das sind natürlich Firmenkunden - davon ab. Auch im Homeoffice, da:

- Traffic Durchsatz mit Filter only bei rund 150-200Mbps, ggf. inzwischen ein wenig höher aber trotzdem Oberkante
- VPN Durchsatz ~10-15Mbps TOP. Mehr geht nicht auf der HW
- Gigabit gibts trotz zweier Interfaces nicht, weil die intern am gleichen Bus hängen (ähnlich Raspi) und daher niemals Gigabit Performance schaffen würden, selbst wenn nur nackte Hardware + minimal Routing laufen würde (dann liegt er wohl bei ~450Mbps nackt und ohne alles)
- bestimmte Pakete gar nicht oder nur minimal nutzbar.

Gerade weil der OP schon Pakete wie pfBlocker etc. angesprochen hat, wäre mir die Hardware extremst zu klein.

Die SG-3100 ist tatsächlich was für den Heimeinsatz, ich finde das Gerät trotzdem irgendwie eine (kleine) Fehlbesetzung, da die 6 Interfaces gesplittet sind in 2 echte und ein interner Chip der auf 4 Einzelchips splittet - daher die 1+1+4 Interface Konfiguration, die man dort findet. Man kann also max. 1 WAN und 1 DMZ bauen, die anderen 4 Interfaces sind über den 5. internen Chip gebridged und quasi ähnlich einer FritzBox als Switch konfigurierbar. Klar, wenn man sowas sucht, mag das ideal sein. Ich hatte die 3100 kurz für einen Kunden als Ersatz für eine SG-2440 da und war nicht so angetan. Die Basisplatte ist zwar massiv, das restliche Gehäuse aber knarzig und klapprig und die UI für den internen Switch zur Konfiguration noch lange nicht ausgegoren. Ich fand das nicht intuitiv zu konfigurieren, sondern eher ein wenig ... chaotisch trifft es wohl - da in der Switch Konfiguration plötzlich das interne 5. Bridge Interface sichtbar ist und damit auch konfigurierbar. Intuitiv fand ich somit die Konfiguration des Switches nicht. Eher sehr fehleranfällig. Power hatte das ARM Gerät zwar, welche Performance maximal konnte ich leider nicht testen - dazu hatte ich es zu kurz. Wird aber wohl irgendwo zwischen 2220 und 2440 angesiedelt sein.

Da die Kiste auch schon über den ~220 einer APU2 liegt, würde ich erstmal dabei bleiben, es sei denn, du hast Größeres vor was Pakete wie IDS/IPS angeht oder du braucht intra-VLAN-Routing Durchsatz mit Gigabit. Da wirds bei der APU2 auch eher enger.

Gruß
Title: Re: Anfänger Setup
Post by: mims on March 08, 2018, 12:57:40 pm
Quote
Also max. Bandbreite die geroutet werden soll, VPNs, Zusatzdienste etc. - je nachdem kann es eins von vielen Geräten sein :)
Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

VPN: ja! Läuft momentan auf meiner Synology, die deshalb einen bestimmten Port freigegeben bekommen hat. Würde ich gerne vermeiden. VPN dann für insgesamt sechs Clients, davon im Normalfall max. 3 gleichzeitig verbunden (eher 1-2). Um mobil Werbung etc. zu blockieren bin ich momentan beim Verlassen meines LAN automatisch per VPN wieder damit verbunden. Aktuell nutze ich OpenVPN, aber auch hier bin ich offen was Änderungen angeht (wenn Ihr der Ansicht seit bzw. mir erklärt, warum ein anderes Protokoll besser wäre :) ).

Ansonsten halt pfBlocker-ng und HAproxy oder squid für einfachere Zuordnung der Dienste (siehe unten: xy.foo.bar statt 192.168.1.65:8098/meindienst/admin).

Dann eben VLAN, habe mir das ungefähr so vorgestellt:
VLAN0 (Safe Space)
==> mein Hauptrechner, NAS, Backup-NAS, ggf. mein Smartphone
==> Zugriff hierauf von anderen VLAN verboten, bzw. ggf. einzelne Ports für einzelne Nutzer anderer VLAN freigeschaltet
==>
==> Internet: ja

VLAN1 (User)
==> alle andere Personen im Haushalt; Zugriff von VLAN0 möglich, einzelne Services zu VLAN0 für einzelne User entsprechend freigeschaltet
==> Internet: ja

VLAN2 (Geräte)
==> FireTV, Raspberry Pis, Kleinkram, etc., Drucker, Scanner
==> Geräte untereinander nicht vernetzt
==> einzelne Geräte (z.B. FireTV) haben Zugriff auf einzelne Services von VLAN0 (z.B. Plex darf natürlich auf das NAS zugreifen, Pis kriegen ggf. eine Netzwerkfreigabe für das Sichern von Konfigurationsdateien, ...)
==> vielleicht irgendwann mal der lang ersehnte dedizierte Bitcoin Miner ;)
==> Internet: ja

VLAN3 (yeah: no!)
==> IP Cams, Testgeräte, "no trust" Geräte
==> Geräte dürfen weder untereinander, noch in andere VLAN kommunizieren; Ausnahme: NAS aus VLAN0 darf auf die Kameras zugreifen
==> Internet: nein!


VLAN4 (Netzwerkkram)
==> Hier würde ich dann nur die Ubiquity Unify Geräte einbinden (aktuell geplant 1x Access Point, 1x managed Switch für VLAN, später kommt defintiiv ein 2. AP hinzu)
==> Internet: ja

Die Idee dahinter ist, dass ich aus VLAN0 auf alles Zugreifen kann (Geräte konfigurieren, "Fern"wartung per SSH, etc. pp). VLAN3 würde ich nutzen, damit ich Geräte verwenden kann, die ich normalerweise nicht in mein Netzwerk lassen würde (z.B. China IP Cams, statt Geräte, bei denen ich sicher sein kann, dass sie nix Seltsames in meinem Netzwerk versuchen, sofern man sich da überhaupt sicher sein kann)........
Wer bestimmte Services braucht (alle User kriegen bsp. nextcloud für Dokumente, Kalender, Kontakte, einige bekommen Netzwerkfreigaben für weitere Dateien und/oder zum Datenaustausch), darf auch von außerhalb VLAN0 auf diese Services zugreifen - und nur auf diese (Idee dahinter ist, dass ich auch getrost die Windows-Rechner bestimmter User, die sonst gnadenlos im Gastnetz hängen, zumindest soweit ins Netzwerk integriere, dass sie von lokalen Services profitieren können).

Dies nur zur Erklärung, wieviel VLAN überhaupt geplant ist.

Wenn ich da mit der aktuell "besten" APU hinkomme, was afaik die APU2C4 sein müsste, dann würde ich darauf zurückgreifen.

Quote
Soll er ins Büro oder gar Wohnzimmer können die kleinen Lüfter nach ner Zeit tierisch nerven.
Steht alles aktuell in meinem Büro. Ich hoffe, mittelfristig ein eigenes Zimmer (oder eine Ecke) hierfür zu finden, wo die Lautstärke dann gar keine Rolle spielt. Solange muss ich da durch :/ ^^


Bezüglich der Ubiquity Geräte: mittelfristig soll jedes Zimmer eine 2er LAN Dose bekommen; WLAN ist dann eigentlich nur noch für die Smartphones und diverse ESP8266 wirklich notwendig, daher brauche ich da jetzt nicht die Ultra-Performance. Es soll nicht stocken, aber je weniger Geräte WLAN überhaupt benötigen, umso glücklicher bin ich. Daher muss es da nicht das allerbeste Gerät sein. Wenn jetzt, wie bei den von mir bereits genannten AP, die Preise so dicht aneinander liegen, würde ich trotzdem lieber auf das "bessere" Gerät zurückgreifen. Da gehen Eure Meinungen hier ja etwas auseinander. Ist das wirklich reine persönliche Ansichtssache,, welches Gerät besser ist - oder kann man mir die Entscheidung doch auch objektiv gesehen irgendwie leicht machen?

Euer Vorschlag, dann auch auf einen Switch von Ubiquity zu setzen, finde ich grundsätzlich gut. Der US-24-250W hat 24 Ports und PoE; schlägt mit knapp 400 EUR zu Buche, würde aber erst einmal ausreichen - und wenn ich später doch noch Ports brauche, kann ich entweder noch einen non-PoE dazu nehmen (es braucht ja nicht jedes einzelne Gerät tatsächlich PoE), oder es wäre doch bestimmt auch möglich, einen meiner vorhandenen Switches mit dem Gerät zu verbinden - solange alle Geräte, die über den zusätzlich angeschlossenen Switch laufen, sich im selben VLAN befinden, wie der Port am Ubiquiti, an dem der Switch hängt... richig?


Kauf-Gedanken soweit:
ich behalte das 19" Gehäuse für die APU, verbaue solange ich noch teste meine APU1D und steige später (wenn es produktiv werden soll) auf die APU2C4 um; dazu kommt erst einmal ein Ubiquity AP (welcher??).

Was sagt Ihr denn zu meinen grundsätzlichen Voraussetzungen? Brauche ich überhaupt wirklich VLAN? Wenn ich beispielsweise auch direkt in pfSense festlegen könnte (kann ich??)
* Gerät A darf nicht ins Internet, hat keinen Zugriff/Verbindung auf andere Geräte
* Gerät B darf ins Internet, darf zugreifen auf Port 1234 von Gerät XY, hat keinen Zugriff auf andere Geräte
* etc.
Dann könnten sich ja theoretisch doch alle Geräte im selben VLAN befinden. Hauptsächlich geht es mir darum, dass potenziell "nicht unbedingt ungefährliche" Geräte trotzdem in mein LAN können, ohne ggf. Schäden zu verursachen.

Sorry, ist jetzt ganz schön lang geworden... ich möchte nur sicher gehen, genau das passende Setup zu erstellen, ohne am Ende Funktionen zu missen, aber natürlich trotzdem auch die Ausgaben nach Möglichkeit gering zu halten.

Grüße
Title: Re: Anfänger Setup
Post by: -flo- on March 08, 2018, 01:47:36 pm
Bei mehr als einem [Anm.: AP] kannst du noch überlegen ob du den Cloud Key mitnimmst. Das ist im Prinzip nen Mini Rechner mit der Konfigurationssoftware als Bundle. Wenn du aber noch nen Raspi3 o.ä. über hast, kannst du den auch selbst nutzen/bauen. Nur bei mehr als einem AP und bei bspw. dem Portal Feature sollte die Software eben im Netz erreichbar und immer aktiv sein wegen Handover etc. Bei einem AP ohne Portal muss das nicht sein, da reichts wenn man sich die irgendwo installiert und startet bei Bedarf.

Statt eines Raspi (da tut's mit Einschränkungen sogar ein Pi2) oder dem Cloudkey geht auch eine VM. Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.
Title: Re: Anfänger Setup
Post by: JeGr on March 08, 2018, 03:38:49 pm
> Bandbreite: habe ich ehrlich gesagt keine Ahnung, was hier bei mir durchgeht. Ich schätze einfach mal, maximal das, was ein kleines Unternehmen/größeres Homeoffice verbraucht, jedenfalls ganz grob geschätzt.

Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich. :)
Title: Re: Anfänger Setup
Post by: monstermania on March 09, 2018, 02:44:54 am
@mims
Irgendwie verliere ich vor lauter VLAN den Überblick.  ;)
Aber mal im Ernst. VLAN dienen ja dazu über die gleiche HW Netzwerke getrennt voneinander betrieben zu können. Nur sollte man dabei auch die Praxis bzw. den Aufwand nicht außer acht lassen.
So wie ich das sehe benötigst Du bei Deinem geplanten Konstrukt (wahrscheinlich) in jedem Netz auch WLAN. D.H. Du müsstest in jedem Netz auch einen WLAN-AP bereitstellen. Die Unifi-AP können z.B. nur 4 unterschiedliche WLAN SSID bereitstellen.
Für Gäste habe ich jetzt bei Deiner Planung gar nichts finden können.
Und logischerweise kannst Du in jedem Netz auch individuell steuern, welche Devices ins Internet können oder eben auch nicht.

Ich befürchte nur, dass Du Dich etwas übernimmst.  ???
Mir persönlich wäre Deine Planung für ein Heimnetz viel zu aufwändig. Wer soll dabei dauerhaft den Überblick behalten?
Ich selbst habe ein LAN/WLAN in dem alle meine privaten Geräte laufen. Auf der FW ist dann individuell geregelt welche Devices was dürfen (z.B. Internet per trans. Proxy, VPN, WhatsAPP, usw.). Zusätzlich gibt es dann ein Gäste-WLAN für alle unsere Gäste (nur Internetzugriff).
Eine DMZ hab ich auch, aber mangels Geräten darin ist die nicht im Einsatz.
So reicht mir das. Und selbst bei diesem einfachen Konstrukt sind ettliche Stunden Arbeit drauf gegangen, bis endlich alle Regeln gepasst haben bzw. Dienste sauber konfiguriert waren.
Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)

Machbar ist (fast) Alles. Nur nicht Alles was machbar ist, ist auch sinnvoll.
Ich halte mich da lieber an die Regel: KISS (Keep it small and simple)

Gruß
Dirk
Title: Re: Anfänger Setup
Post by: mims on March 13, 2018, 06:31:36 am
Quote
Ich habe das hier auf einem FreeNAS als Jail laufen, aber das gibt's auch als Docker container und das läuft wohl auch auf einem Synology NAS. Ich finde es charmant, wenn der Controller durchläuft.
Genau so habe ich das auch geplant. Extra nen Raspi würd ich dafür ungern aufsetzen, aber es gibt verschiedene Docker Images (auch eins von linuxserver.io, die mich bis jetzt noch nie enttäuscht haben), welches ich verwenden würde.

Quote
Bandbreite heißt was du an Leitung/Anschluß hast. Nicht "Verbrauch", was du im Monat an Daten lädst. Das ist völlig nebensächlich.
Ups. Okay... ^^ aktuell läuft hier 1&1 DSL 100; gemessen habe ich da gerade mal 93 Mbit/s down und 33 Mbits/s up...

@monstermania: sofern ich unter pfSense für jedes Gerät festlegen kann a) welche Geräte darauf zugreifen können (inkl. bestimmte Ports pro Gerät), b) auf welche Geräte das Gerät selbst zugreifen darf, und c) ob das Gerät ins Internet darf, schmeiße ich VLAN gerne direkt wieder aus meiner Konfigurationsidee raus :)

Vielleicht kannst Du (bzw. Ihr) mir das netterweise an einem Beispiel erklären:

device0 = mein Hauptrechner
-> hat Zugriff auf alle Geräte im Netzwerk
-> hat Zugriff auf internet
-> kein Zugriff auf dieses Gerät von anderen Geräten im Netzwerk
----> Ausnahme: mein Smartphone darf auf Port 8080 (und nur den) zugreifen

device1 = NAS1
--> hat Zugriff auf device[x,y,z] (diese haben aber keinen eigenen Zugriff auf das NAS)
--> hat Zugriff auf das Internet
--> device0 hat vollen Zugriff auf dieses Gerät
--> andere Geräte haben (je nach IP/MAC bzw. ggf. anderer, eindeutiger Vorgabe) nur auf bestimmte Ports/Services dieses NAS Zugriff

device2 = PC Freundin
-> hat Zugriff auf device1 [Port 6000, 7722, 8844, 9000]
-> hat Zugriff auf das Internet
-> hat keinen Zugriff auf andere Devices im Netzwerk

device[3,4,5] = "unsichere China Cams"
-> haben keinen Zugriff auf andere Devices im Netzwerk
-> haben keinen Zugriff auf das Internet
-> alle (bzw. bestimmte Devices) haben vollen Zugriff auf diese Geräte bzw. ggf. nur bestimmte Ports dieser Geräte

Mir geht es insbesondere um die folgenden zwei (aus meiner Sicht) Probleme:
1. meine zuletzt gekaufte China Cam hatte irgend einen komischen Port offen; Recherche ergab, dass es sich dabei entweder um xy (vergessen, sorry, aber nen harmlosen Dienst) oder einen Wurm handelt, der versucht, weitere Geräte im Netzwerk zu infizieren (mit wasauchimmer)
====> solche Geräte würde ich gerne trotzdem verwenden, solange sie keinen Schaden anrichten können. Wenn dieser komische Port tatsächlich einen Wurm im Netzwerk verbreiten möchte, dies aber nicht kann, (weil absolut keinen Zugriff auf jegliche Devices und deren Ports), und ich gleichzeitig beispielsweise die Kamera trotzdemin meine Surveillance Station einbinden kann (notfalls via http bzw. JPEG Push), sodass sie nichts anrichten kann, bin ich zufrieden.

2. im Netzwerk befindet sich ein Windows PC. Da ich diesen nicht andauernd überprüfen kann, aber auch nicht möchte, dass er ggf. mit im schlimmsten Fall bsp. einem Cryptolocker infiziert wird und den im Netzwerk verbreitet, möchte ich auch diesen abschotten
====> hängt aktuell im Gäste-WLAN; dadurch kann er aber weder von pi-hole profitieren (Werbung etc. wird nicht geblockt, da das Gäste-WLAN nicht den in der fb gesetzten DNS Server übernimmt), noch kann ich überhaupt eine Netzwerkfreigabe/Zugriff auf nextcloud/whatever erteilen, da das Gäste-WLAN eben vollständig isoliert ist. Ich würde dem PC aber gerne eine handvoll Ports bestimmter Geräte freigeben, nur halt keinen "Freifahrtschein" für alle Devices und deren Ports.


Quote
Meine Frau war zwischendrin teilweise echt sauer, wenn mal wieder irgendwas nicht sauber lief und wollte Ihren 08/15 Router zurück! ::)
Genau davor graut mir nämlich auch schon :D

Title: Re: Anfänger Setup
Post by: -flo- on March 13, 2018, 07:07:33 am
Ich schließe mich der Meinung der Vorredner an. Das ist Overkill (und sicher kein "Anfänger-Setup" :-)).

Man muß doch nicht die gesamte Zugriffssteuerung durch VLANs regeln. Es können auch mehrere Hosts gemeinsam in einem Netzwerk laufen, ohne daß diese aufeinander Zugriff haben müssen. Jeder PC und NAS bringt dafür Bordmittel mit.

Wenn Du NAS und PCs jeweils in eigene VLANs packst, behinderst Du Dich total. Das Browsing im Netzwerk geht dann nicht, z.B. zu Netzwerk-Shares. Manche Drucker brauchen mDNS, die gehen nur im selben Netzwerk, und und und.

Bei Windows (eigentlich überall) gehört übrigens eine adäquate Absicherung gegen Malware dazu. (Ist der Rest bei Euch Apple-HW btw.?)

Mein Tipp: Ein VLAN für alle PC, NAS, ggf. Netzwerkdrucker. Ein zweites VLAN (editiert, da stand WLAN) für den Rest, also alles, was Du nicht selbst sauberhalten möchtest oder kannst / dem Du nicht vertrauen kannst (Mobilgeräte von Gästen oder Kindern, zweifelhafte Webcams, sonstiger IoT-Schrott, etc.)
Title: Re: Anfänger Setup
Post by: mims on March 13, 2018, 08:21:08 am
Ich habe produktiv ein MacBook, meine Freundin (hoffentlich "noch") Windows 10. Dazu dann Android Smartphones und ein paar Ubuntu Instanzen (als VM). Auf den Raspberry Pis läuft raspbian und auf Synology die DSM Software.

Wenn möglich würde ich es einfach gerne vermeiden, das mit Bordmitteln an jedem Gerät einzeln einstellen zu müssen... so kam ich ursprünglich auf VLAN bzw. bin natürlich auch für andere Vorschläge offen :) Schön wäre es allerdings, wenn ich das zentral steuern könnte (und dachte, dass das in pfSense doch möglich sein müsse). Sofern möglich, brauche ich gar kein VLAN mehr. Dann könnte alles in ein Netz und was nicht miteinander reden darf, bekommt entsprechende Restriktionen.

Auf Bordmitteln (wenn ich den Begriff jetzt richtig deute) halte ich da einfach nicht viel. Gerade wenn es irgendwelche Würmer oder Crypto-Geschichten sind, die ggf. darauf ausgelegt sind, so etwas zu umgehen. Wenn die Firewall einfach jeglichen Traffic "schluckt" oder unterbindet, egal, was das Gerät nun macht, kann -meiner laienhaften Einschätzung nach- doch kein großes Risiko mehr bestehen..?
Title: Re: Anfänger Setup
Post by: monstermania on March 13, 2018, 08:48:51 am
@mims
Theoretisch ist es ja eine pfiffige Idee alles per VLAN zu trennen, aber in der Praxis kann so etwas dann ganz schnell ganz schön nerven.
Einfaches Beispiel: Du willst mal eben Miracast/Chromecast nutzen um Inhalte von Deinem Smartphone/Tablet auf Dein Smart-TV zu streamen. Versuch das mal über VLAN hinzubekommen. Nicht, dass es nicht irgendwie geht, aber einfach ist das nicht.
Und natürlich ist die Aussage von -flo- absolut richtig. Wozu haben denn heutzutage alle OS eine Firewall an Bord?

Ich würde mich daher auf auf m.E. sinnvolle Netzwerke beschränken.
z.B.
- LAN + evtl. internes WLAN (für alle Geräte denen ich vertrauen kann)
- WLAN (Gäste)
- DMZ (für Geräte, die auch aus dem Internet erreichbar sind)
- IoT + evtl. WLAN (spielwiese für alle Devices)

Über die FW-Regeln kannst Du dann den Verkehr zwischen den Netzen regeln. In den einzelnen Netzen kannst Du z.B. die Devices über Gruppen zusammen fassen und darüber den Zugriff in das Internet/andere Netzwerk steuern). So habe ich das zumindest bei mir gemacht.
Kommt ein neues Device im mein internes LAN/WLAN kann das Teil erstmal (fast) gar nichts (kein Internet). Es muss zunächst einer/mehrer Gruppe(n) zugewiesen werden um z.B. Internet, Mail, VPN, FTP WhatsApp, usw. freizuschalten. Die Gruppenmitglieder habe ich per fester DHCP-Lease realisiert. Innerhalb der Netzwerk können die Geräte prinzipiell aufeinander zugreifen, sofern es nicht die lokale Firewall auf den Geräten unterbindet.
So reicht mir das.  ;)

Gruß
Dirk

PS: Selbst eine Sicam-Webcam kann ich so auf Intranet festnageln.  8)
Title: Re: Anfänger Setup
Post by: mims on March 17, 2018, 08:47:07 am
Nur mal rein für mein Verständnis: wir gehen jetzt mal von der Kamera aus, die gar nichts dürfen soll. Allerdings ohne VLAN.

Kann ich in der Firewall eine Regel anlegen, die folgendermaßen aussieht:
Macbook IP: 192.168.1.11
Cam IP: 192.168.1.55
benötigte Ports: 8080, 80

1.
Quelle: 192.168.1.55
Ziel: *
Verbindung: verboten

2.
Quelle: 192.168.1.11
Ziel: 192.168.1.55
Port Ziel: 8080, 80
Verbindung: erlaubt

3.
Quelle: *
Ziel: 192.168.1.55
Port Ziel: 8080
Verbindung: erlaubt

4.
Quelle: *
Ziel: 192.168.1.55
Port Ziel: *
Verbindung: verboten

Ich kann das gerade nicht testen, da nur mein Macbook mit pfsense verbunden ist, alle anderen Geräte laufen, bis ich das produktiv einsetzen kann, noch über die FB.

Jetzt müssten doch grundsätzlich alle Geräte erst mal auf Port 8080 der Kamera zugreifen dürfen; mein Hauptrechner darf zudem auf Port 80 zugreifen. Die Kamera kann auf gar nichts selbst zugreifen.

Ist das grundsätzlich sinnvoll, oder viel zu kompliziert gedacht? Ich nehme an, dass die Firewall Regeln auch in irgend einer Datei editiert werden können; lege ich mir also diese Regeln zuerst an, dann habe ich ein Template. Kommt ein weiteres Gerät dazu, das selbst auf nichts zugreifen darf, aber auf das andere Geräte zugreifen sollen, kann ich einfach direkt die Regeldatei erweitern (copy, paste, edit), sodass ich nicht immer vier Regeln in der GUI von Hand anlegen muss...?

Dein Beispiel passt bei mir aus verschiedenen Gründen nicht:
- WLAN (Gäste) fällt weg.
Den Aufwand will ich mir einfach nicht geben, wer hier zu Besuch ist, hat die Wahl zwischen mobilen Daten oder mal ganz in Ruhe ohne Smartphone nen Kaffee trinken ;)
- DMZ fällt weg
Ich möchte für alles, was von außerhalb des Netzwerks zugreifen wird, ausschließlich VPN verwenden. Sobald ich (denn vermutlich werde ich eh der einzige sein, der das permanent nutzt) dann von außerhalb mit dem VPN Netzwerk verbunden bin, habe ich ja Zugriff auf alle lokalen Services. Zumindest aktuell sehe ich keinen Grund, warum ich irgendwelche Services auch ohne VPN nach außen verfügbar machen sollte


Mein Problem ist gerade, dass ich das nicht so wirklich einfach testen kann...... wenn ich "mal kurz" alle Geräte über pfsense laufen lasse und rumprobiere, geht vermutlich erst einmal irgend etwas nicht und ich muss zur Beschlichtigung doch wieder den Billigrouter aktivieren ;)

Das mit den Gruppen finde ich allerdings interessant. "Normale" Geräte bekommen dann erst einmal nur die Ports, die sie tatsächlich brauchen (Internet, Mail, Telegram würden meiner Freundin zB komplett ausreichen). Je nach Bedarf wird das für andere Geräte erweitert.
Wenn mehrere Gruppen pro Nutzer möglich sind ist das ja alles gar kein Problem.

DHCP Lease muss ich noch schauen... ich habe jetzt einen Ubiquiti AC PRO eingesetzt und den C7 in den Ruhestand geschickt. Es scheint so, als bekämen die Geräte trotzdem weiterhin ihre IPs von der Fritzbox und nicht vom AC (denn der AC sollte eigentlich Adressen im Bereich 192.168.1.* vergeben, die verbundenen Geräte haben aber trotzdem welche im von der FB vergebenen Bereich).

Sicam sagt mir jetzt nichts. Aber das Verbieten des Internetzugriffs (also rein im Intranet verfügbar machen) schafft ja sogar meine FB. Da muss pfsense das ja locker können :)
Title: Re: Anfänger Setup
Post by: magicteddy on March 17, 2018, 10:51:39 am
Moin,

Quote
Quelle: 192.168.1.11
Ziel: 192.168.1.55

Nein, Du kannst die Regel zwar anlegen, aber sie greift nicht.
Das Netz (grün) ist das gleiche als kommunizieren die Geräte direkt miteinander und brauchen den Router dafür nicht. (Bridge und krude Netzmasken jetzt mal ausgenommen :P)

-teddy
Title: Re: Anfänger Setup
Post by: -flo- on March 17, 2018, 11:44:58 am
So geht es im Prinzip:


Firewall-Regeln schreibst Du in pfSense nicht in eine Datei, sondern immer mit der UI.

Um eine weitere Kamera zu ergänzen macht man nicht jeweils 4 neue Regeln, sondern verwendet in den Regeln statt der IP-Adresse einen Alias, z.B 'IPcams'. In dem Alias kann man dann die IP-Adresse der neuen Kamera ergänzen.