"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

neue netzwerkhardware fw+ap

davebastard 24.02.2021 - 13:57 770 18
Posts

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 8931
ich überlege grade meinen tplink archer c7 mit openwrt abzulösen und eine gscheite firewall + ap einzusetzen.

- möglichst open source (pfsense oder opnsense ?)
- VPN lösung dessen client sich unkompliziert auf android, windows und Linux verwenden lässt. Bisher hatte ich wireguard und das würde ich auch weiterverwenden wenn nichts dagegen spricht.
- leistungsmäßig soll die FW bis zumindest 250mbit/50mbit schaffen, besser wäre 500/50mbit. und die fw darf auch nicht überfordert sein bei VPN + Download parallel usw. also ausreichend CPU
- AP ist wsl eher unkritisch, soll lediglich eine 75m^2 wohnung versorgen inkl. terasse. das geht sich auch jetzt mit dem Archer schon aus, wenn auch mit etwas leistungsabfall und 2,4Ghz. was ich sonst noch will weiß ich gar nicht genau, nehme an wifi 6 und MIMO und pipapo
- falls es beim AP keine gscheiten open source lösungen gibt würde ich halt so einen ubiquity nehmen, controller könnt ich am homeserver rennen lassen. da weiß ich aber nicht welchen... empfehlungen ?
- leitung ist momentan noch adsl von oja.at, eventuell steig ich aber auf magenta/kabel um... mal schaun
- prinzipilell wäre auch ein kombigerät also router+ap denkbar, ich will aber dann auf jedenfall trotzdem genug leistung. und dass man dann noch ein teil findet dass von openwrt und co gut unterstützt ist und trotzdem schnell genug ist gestaltet sich meiner erfahrung nach schwierig.
- die firewall soll nicht virtualisiert sein, homeserver ist zwar vorhanden aber ich will ein dezidiertes kastl haben.
- ich hab momentan einen pihole docker container am hp microserver laufen... wenn das die fw schon integrieren könnte wäre mir das sehr recht
-hardwaremäßig spitz ich schon länger auf so ein apu board: https://www.pcengines.ch/apu4d4.htm
hat jemand erfahrungen ? oder andere empfehlungen für hardware ?
falls es was mit integriertem switch gebe wäre mir das sehr recht.. beim PC engines board bräuchte ich wsl früher oder später einen dedizierten.
Bearbeitet von davebastard am 24.02.2021, 14:00

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 42584
Cooles neues Projekt.

Kann zu 100%ig Opensource leider nicht viel beitragen.
Hatte da gerade bei Wlan eher schlechte Erfahrung da die Firmware nicht OpenSource sind und somit eher mäßig unterstützt werden (ist aber schon einige Zeit her)

OpnSense hab ich mir kurz angesehen und das Teil ist schon recht cool. Hab sowieso einen leichten FreeBSD Faible.
Du könntest dir überlegen ob du nicht auch IPFire oder VyOS anschauen da du ja sehr gut mit Linux unterwegs bist.

Ich spiel mich gerade mit Mikrotik. Deren RouterOS ist leider nicht ganz Open Source aber wir haben da auch Router und Switches im Unternehmen im Einsatz.

Hatten als Studentenprojekt auch mal ein PC Engines Board zum testen. Da hatten wir irgend einen Bug und konnten leider nicht auf die erwartete Geschwindigkeit und Durchsatz kommen. Muss mal schauen ob wir die Doku dazu noch haben.

Ich persönlich wollte mich mit dem Netzwerk möglichst wenig spielen müssen (aber in gewissen Rahmen können) und bin deshalb bei Ubiquiti. Gerade am Edge Router kann man wieder viel machen. Hat aber eine übersichtliche UI die auch out of the Box alles wichtige liefert.

Firewall hab ich nur rudimentär konfiguriert (kein QoS, kein IPS, kein DPI) und hatte bis 300MBit kein Problem.
Wireguard geht mit Mikrotik wie auch Edge Router recht einfach. OpenVPN hab ich noch im einsatz. Da merk ich auch keine relevante Last. Hab aber aktuell nur die Handys dran.

Was hast du mit der Firewall vor?

Punisher

Bukanier
Avatar
Registered: Sep 2002
Location: Graz
Posts: 1787
wenn du Wifi 6 + opensource willst dann würd ich mit dem AP Kauf noch warten (ev. den Archer als AP only verwenden). Gibt einfach noch zu wenige Produkte in diese Richtung (meist nur enterprise HW) bzw ist die Unterstützung durch OpenWRT auch nicht nicht 100%ig da.

bei ubiquiti gibts bei AP & Wifi 6 derzeit zwei optionen lite (2x2 MIMO) & LR (4x4 MIMO). controller ist bei ein bis zwei APs nicht unbdingt notwendig (kann auch über die App konfiguriert werden). Ist für den privateinsatz eine nette spielerei (imho)

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 8931
Zitat
Hatten als Studentenprojekt auch mal ein PC Engines Board zum testen. Da hatten wir irgend einen Bug und konnten leider nicht auf die erwartete Geschwindigkeit und Durchsatz kommen. Muss mal schauen ob wir die Doku dazu noch haben.

ganz ohne erfahrungen bin ich eh nicht vor ~12Jahren bei meinem ersten full time job hatten wir Pc engines ALIX boards mit monowall bei kunden im betrieb ich schätze es werden so 50 gewesen sein... da wars problemlos... ist halt schon ein bisserl :p her

IPfire taugt mir nicht, da hat mir schon der vorgänger ned getaugt und mit blau und grüne zone usw. naaaa :p
VyOS muss ich mir anschaun, danke :)

Zitat
Ich persönlich wollte mich mit dem Netzwerk möglichst wenig spielen müssen (aber in gewissen Rahmen können) und bin deshalb bei Ubiquiti. Gerade am Edge Router kann man wieder viel machen. Hat aber eine übersichtliche UI die auch out of the Box alles wichtige liefert.
möcht mich eh auch nicht großartig spielen oder basteln, schätze es aber schon wenn ich eine gscheite Firewall mit Regeln usw. habe und die möglichkeiten da sind wenn man sie braucht... denke auch das eine stable version von pfsense auch mit einem ubiquity mithalten kann was stabilität betrifft. Die gibts ja auch nicht erst seit gestern :p
komplexer ist es wahrscheinlich, glaub aber nicht dass das ein problem darstellt... hatte doch schon mit vielen firewalls zu tun.

Zitat
wenn du Wifi 6 + opensource willst dann würd ich mit dem AP Kauf noch warten (ev. den Archer als AP only verwenden). Gibt einfach noch zu wenige Produkte in diese Richtung (meist nur enterprise HW) bzw ist die Unterstützung durch OpenWRT auch nicht nicht 100%ig da.

bei ubiquiti gibts bei AP & Wifi 6 derzeit zwei optionen lite (2x2 MIMO) & LR (4x4 MIMO). controller ist bei ein bis zwei APs nicht unbdingt notwendig (kann auch über die App konfiguriert werden). Ist für den privateinsatz eine nette spielerei (imho)

ok danke hatte ich mir schon gedacht dass es auf die ubiquity rausläuft... wie ist das mit den ufos muss man die auf der decke montieren oder ist es eh eher wurscht ? weil meine netzwerkhardware liegt eigentlich im ersten fach von meinem schuhkastl :D

macht der LR wsl eh keinen sinn bei meinem setup ? (75m^2, ap zentral, terrasse 8x2m noch, da ist natürlich die außenwand die dicker ist, wände ziegel bzw. innen afaik heraklit, KEIN stahlbeton)

COLOSSUS

# pkill -9 .
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 11029
Wi-Fi 6 ist, unabhaengig von der derzeitig traurigen Situation mit freien/quelloffenen Treibern, ziemlich unnoetig: https://www.duckware.com/tech/wifi-in-the-us.html

Gute OpenWrt-APs sind z. B. die Fritzbox 4040 (https://geizhals.at/avm-fritz-box-4...3-a1501050.html) oder der Unifi AC AP Lite (https://geizhals.at/ubiquiti-unifi-...e-a1325765.html)

Als Router mit ausreichend CPU-Leistung fuer alles, was man fuer gewoehnlich so im Heimnetzwerk aufwarten kann, kann ich chinesische Mini-PCs mit x86-CPUs empfehlen: https://johannes.truschnigg.info/reviews/2021-01_fwbox/

Master99

verträumter realist
Avatar
Registered: Jul 2001
Location: vie/sbg
Posts: 11810
so interesse halber, wieviel schafft dein archer throughput derzeit?

weil mein erster gedanke war archer als openwrt router behalten und einen extra AP anschaffen.

die meisten tp-link kastl die ich kenn haben meist profitiert wenn wifi aus war und liefen dann stabiler.

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 8931
oh cool :), an aliexpress hatte ich noch nicht gedacht, ich wühl mich da mal durch...

Zitat
so interesse halber, wieviel schafft dein archer throughput derzeit?

weil mein erster gedanke war archer als openwrt router behalten und einen extra AP anschaffen.

die meisten tp-link kastl die ich kenn haben meist profitiert wenn wifi aus war und liefen dann stabiler.


weiß ich gar nicht bezüglich throughput, hatte nur das gefühl dass des bei wireguard ein eck zu langsam war... es ist eigentlich eher das WLAN das mich stört und das ich upgraden will. dann hab ich aber gedacht vielleicht mach ich den router auch gleich neu (pfsense wollt ich schon immer mal einsetzen), und upgrade auf eine fettere magenta/kabel leitung usw usf :D :p

Aber du hast recht aus vernunftgründen könnte ich wirklich mal nur den AP tauschen :p
Bearbeitet von davebastard am 24.02.2021, 21:45

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2115
Ich hab seit einem 3/4 Jahr opnsense im Einsatz, Ausfall hatte ich bis heute noch keinen. Bei mir läuft der Router virtualisiert am ESXi, Hardwaremäßig kann ich daher nicht weiterhelfen.
Die Menüführung ist recht intuitiv und steht kleinen Appliances imo nicht viel nach.

opnSense ist halt BSD basiert, daher kannst du pihole leider nicht direkt drauf laufen lassen.

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 8931
Zitat
opnSense ist halt BSD basiert, daher kannst du pihole leider nicht direkt drauf laufen lassen.

im prinzip sind das ja nur regelmäßig upgedatete IP Listen afaik. würde mich wundern wenn es da nix ähnliches für pfsense gäbe... meinte eh nicht nativ

nexus_VI

Overnumerousness!
Avatar
Registered: Aug 2006
Location: südstadt
Posts: 3129
Ich verwende in der Firma schon lange pfSense, und dort kannst du alles abbilden was sonst so üblich ist - auch DNS blocking à la Pihole ist kein Problem.

Kann aber (noch) kein Wireguard, bei Opnsense geht es und ich denke eigentlich schon länger einen Wechsel an. PfSense ist allerdings rockstable.

Edit: Google "pfblockerNG"

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 8931
ok gut zu wissen, weißt du auch wie es mit der hardware wie von colo empfohlen aussieht ? sind solche china boards auch problemlos bei diesen beiden auf BSD basierten lösungen ?

edit: ok opnsense wär dann wirklich eine überlegung wert wenn da wireguard schon funzt

COLOSSUS

# pkill -9 .
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 11029
Da drin ist eh alles von Intel - ist also kein Problem. Mein Geraet wurde sogar mit pfSense (FreeBSD + Tand) ausgeliefert.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15659
pfsense hat letzte woche 2.5 bekommen und kann jetzt auch wireguard
ich habs selbst aber noch nicht genutzt/konfiguriert weil zu faul :D

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 8931
nice dann hab ich ja die qual der wahl :D

bsox

Schwarze Socke
Avatar
Registered: Jun 2009
Location: Dschibuti
Posts: 850
bei mir rennt opnsense virualisiert im KVM. Ich verwends hauptsächlich wegen haproxy und letsencrypt Integration. pihole hab ich in einem cgroups container, weil's so eine setup & forget Installation ist und ich mir die Listen nicht extra im opnsense reinziehn muss. Aber ja, ich glaub das Unbound DNS plugin könnte das eh auch.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz