Protectli FW4C - Netzwerkumbau

Moinsen,
ja, gemach...das ist auch ganz normal. Neues Gerät, hochmotiviert angeschaltet...taDAAA: nix geht. 🥳:rolleyes:
Da hilft nur entspannt bleiben, Tee trinken (oder whatever) und neu ran...
Schätzungsweise kommen solche "schönen" Momente in der näheren Zukunft öfter mal auf dich zu (ist eben keine Fritzbox, und die sind schon recht komplex)...gehört alles dazu, mussten alle durch. Nennt sich Lernkurve. :)
Denk einfach dran: das ganze neben dem bestehenden Heimnetz implementieren. So hast du immer dein normales Netz für Home office (und Fragen im Forum ;)). Wenn dann die ersten Schritte gegangen sind, kann der Umzug beginnen...
 
Zuletzt bearbeitet von einem Moderator:
Moinsen,
in der Anleitung wird auch <Del> genannt. In anderen (foren) Einträgen dazu wird auch F11 genannt. Kommt vermutlich auf die Version an...
Es sollte aber schon deutlich sein: ich bin das BIOS Menu.
Und dort sollte dann eben via Boot Manager o.ä. auch auszuwählen sein, dass dein USB Stick (Flash Drive) als erstes bootet...
 
Ich habe damals ziemlich geflucht, als ich auf meinem alten APU2E4 Board, pfSense per Serieller Schnittstelle installieren sollte. Da war nix mit Monitor und Maus, sondern nur ein Terminal-Fenster und dieses blöde 9-Polige D-SUB auf USB Kabel.

Mit Einzug der Protectli Vault wurde ich auf einen Schlag ins 21‘ste Jahrhundert katapultiert, ich spielte aber immer noch mit diesem blöden Serial-Kabel rum... bis mir auffiel, das ich an das kleine Kerlchen alles anschließen kann um direkt und ohne Umwege alles einzurichten.

Das schlimme ist, das man das i.d.R. einmal macht und dann lange Zeit nicht mehr wiederholt. Von daher weiß ich leider auch nicht mehr jeden einzelnen Schritt und jeden Kniff um dir weiterhelfen zu können. Ich muss mir das auch immer aus den Fingern saugen und überlegen, wie ich das damals gemacht habe. Du bist also nicht allein… aber wenn ich das geschafft habe, dann schaffst du das auch, da bin ich mir ziemlich sicher. Aber wie @the other bereits sagte, die Lernkurve geht hier ziemlich steil nach oben… und du fängst grade erst an. Daher musst du dir immer wieder Gebetsmühlenartig zu dir selber sagen: Aufgeben ist keine Option.

BTW: Ich habe die Vault übrigens selber von BIOS auf Coreboot umgebaut. Was meinst du, was ich Blut und Wasser geschwitzt habe, da Protectli hierfür zwar eine Anleitung bereit stellt, aber keine Garantie fürs Gelingen übernimmt. Und wäre es schief gegangen, hätte ich das kleine Kerlchen gleich mal in die Reparatur geben können.

Aber ich quatsch schon wieder zu viel…
 
Moinsen,
Ich habe damals ziemlich geflucht, als ich auf meinem alten APU2E4 Board, pfSense per Serieller Schnittstelle installieren sollte. Da war nix mit Monitor und Maus, sondern nur ein Terminal-Fenster und dieses blöde 9-Polige D-SUB auf USB Kabel.
Wie? Echt?
Ich hatte zwar schweißnasse Hände vor Nervosität, aber es hat voll Spass gemacht. Und es stellte sich so ein schönes "War Games"-Retro Gefühl ein...🥹
Und ja: immer Handtuch dabei haben und: DON'T PANIC! Babel Fish macht ja heute meta/google(wasweissichweralles)...
 
Das Schlimme daran war, das dieser blöde D-Sub Stecker an dem Kabel ein Männchen war und der Anschluss an dem APU Board war ebenfalls ein Männchen. Da musste ich nachträglich für das eh schon zu teure Adapter-Kabel von USB auf Serial D-Sub noch einen Adapter kaufen, der von Männchen auf Weibchen umswitcht. Da habe ich wirklich geflucht. Aber auch sonst… der ASCII Grafik Müll der mir da ausgespuckt wurde, war kaum zu ertragen und zu lesen. Da hat es sich wohl irgendein Anzeigefehler gemütlich gemacht. Von daher… ich hab es am Ende zwar geschafft, pfSense zu installieren, aber frag mich nicht, wie ich das gemacht habe. War Games feeling war das in der Tat. 😂

Jetzt aber wieder zurück zum Thema. Warten wir also, ob F11 den nötigen Erfolg bringt.
 
Zuletzt bearbeitet:
ob F11 den nötigen Erfolg bringt
Moin,
jo....

20230823_111442.jpg

das war schon mal nicht schlecht, auch hier noch voller Tatendrang:20230823_111538.jpg
Nun schon eine ganze Weile recherchiert, allerdings habe ich keine wirkliche Empfehlung gefunden:
20230823_113346.jpg
ZFS oder UFS?
Es taucht je gleich ein zusätzlicher Hinweis auf, wie bei <8GB RAM mit ZFS zu verfahren wäre, aber 8 habe ich der Büchse ja spendiert. Aktuell würde ich mangels besseren Wissens zu UFS tendieren.
 
Grundinstallation erfolgreich, Anmeldung über Browser aus dem LAN klappt.
Ich denke, dass ich nun erst einmal den Umbau des Netzes in die finale Topologie mache.
Dann kann ich aus dem gesicherten Design heraus die Regeln spezifizieren.
 
Moinsen
ZFS ist das Filesystem der Wahl. Alles richtig gemacht... :)
Bevor du anfängst...mein Tipp: Zettel und Stift (alles ganz oldschool analog) nehmen, Plan machen, IP Bereiche festlegen. Kurz mal überlegen: was will ich eigentlich? Welche Geräte sollen/dürfen/müssen Zugriff auf welche anderen Geräte haben? Welche Geräte sollen das absolut nicht (IoT, Home Office). Kannst du natürlich auch anders machen.
Ich selber hab erst echt laaaaaaange die Zettel-Stift Methode genutzt. Dann kristallisierte sich allmählich heraus, was wie wer wohin. Die anschließende Einrichtung war dann einfach.
 
Danke für eure Hinweise.
Als Dokumentationsmittel werde ich wohl bei Powerpoint bleiben, geht bei mir am schnellsten.
VLAN's wäre ne coole Sache, aktuell wäre da gefühlt viel Aufwand, ich weiß noch nicht mal aus dem Hut, ob alle meine Switche managed sind.
 
Moinsen,
nee...mach lieber erstmal die basics:
Allgemein:
habe ich Internetzugriff aus dem LAN?
IPv4 oder auch v6?
Funktioniert die Namensauflösung (DNS)?
Zeiteinstellungen korrekt? NTP Server?
usw.

DHCP:
sollen Geräte später feste IPs haben (ja!)?
Welche range für die dynamische IP Vergabe (zB 172.16.58.100 - .200)?
usw.

DNS:
Resolver oder Forwarder?
Wenn Forwarder: wohin?

Dann mal in Ruhe Erfahrungen sammeln...
Liste machen:
was geht (nicht) wie gewünscht?
was fehlt mir noch?
Firewallregeln fürs LAN benötigst du (wenn du eh nur ein einziges LAN hast) erst einmal nicht (innerhalb eines Netzwerkbereiches wird nichts geroutet via pfsense, daher greifen auch keine Regeln...)...macht also erst später Sinn.
Ausnahme: der Zugriff auf die pfsense Oberfläche: da gibt es im default eine Anti-Lockout Regel...die unbedingt erstmal drin lassen! Wenn (!) du deinem PC dann eine feste IP gegeben hast, könntest du einrichten, dass nur von dieser IP auf die pfsense Oberfläche zugegriffen werden darf...

Wäre ein weiterer Tipp meinerseits...:)
Remember: ist wie im Süßigkeitenladen...viele bunte verlockende Dinge. Wenn du alles durcheinander ißt und der Versuchung nachgibst > Bauchschmerzen!
Also erst die basics kennenlernen (und konfigurieren), testen ob alles geht, weitermachen...bis die Pflicht erledigt ist, dann erst kommt die Kür.

UND ZWISCHENDURCH (wenn alles funktioniert) IMMER MAL EIN BACKUP MACHEN!!
;)
 
VLAN's wäre ne coole Sache
Ist es auch… wenn man es denn braucht! Ich habe eine Zeit lang mit VLANs gearbeitet, bin aber wieder davon abgekommen, da mir die zur Verfügung stehenden 4 Interfaces der Protectli Vault vollkommen ausreichen. Neben dem WAN Port habe ich ein Subnet für mich und eins für meinen Sohn. Ein Interface ist demnach noch frei. Der Einfachheit halber, liegt meine DMZ im Transfernetz der Fritzbox, also vor der pfSense. Das reicht mir voll und ganz, da es einfach und unkompliziert ist und ich jederzeit auch ohne pfSense und großen Konfigurationsaufwand mit Kind und Kegel wieder zurück ins Fritzbox (W)LAN umsiedeln könnte. Simplify your Life, heißt bei mir die Devise.
 
Moin,
ein großer Teil des Netzes ist nun HW-mäßig umgebaut.
Ich habe mich als Erstes für
Simplify your Life
entschieden.
Das private Heim-WLAN wurde unter Beibehaltung des IP-Netzes auf eine neue SSID und den TP AP verlagert.
Die Vodafone-Box ist räumlich umgezogen, ich konzentriere alle notwendigen Geräte im HWR, wo im Prinzip der Notstrom aus der PV-Anlage anliegt und die Geräuschentwicklung (vom NAS - das rödelt in der letzten Zeit permanent, war das eigentlich schon immer so? :unsure: ) nicht stört.
Mein nächster Schritt wäre nun, den DHCP-Server von der VF-Box auf pfsense zu migrieren.
Das sollte theoretisch schon funktionieren, wenn pfsens nur one-armed im LAN hängt.
Dann wäre der Moment gekommen, wo ich die Topologie ändere und den WAN-Anschluss der pfsense mit dem LAN-Anschluss der VF-Box verbinden möchte.
Nach meiner Überlegung müsste das gesamte Heim-LAN unter Beibehaltung seines IP-Netzes dann durch den pfsense DHCP-Server versorgt werden und somit funktionieren.
Ich hoffe, dass pfsens defaultmäßig das Routing zwischen lokalen IF kann und die default Route auf den Anschluss WAN zeigt.
In der VF-Box ist für mich nichts einstellbar, daher gehe ich davon aus, dass auch hier alles funktionieren wird.
Der IP-Bereich des Transitnetzes sollte für die Funktionalität egal sein, ich würde hier eine /30 wählen.
Eventuell pur aus Dokumentationszwecken eine 172.16.x.x.
Offen ist für mich die Frage nach der DNS Funktionalität (pfsense ist gerade noch aus, kann also erst später gezielt nachschauen)
Soweit die Theorie.
Wo ich aktuell unsicher bin, ist die Funktion und Verwendung von IPv6 im Heimnetz.
Aktuell kann ich zwar im DHCPv4 alle Geräte prima sehen, auf den Geräten selbst sind aber teilweise auch IPv6 Adressen zu sehen. Auf der Vodafone-Box ist sehr viel IPv6.
Bleibt die IPv6 Funktionalität erhalten?
Mir fallen da aus dem IPv4 Umfeld spontan solche Dinge ein, wie Helperadressen und Reservierungen.
 
Moinsen,
DHCP macht die pfsense natürlich auch. Du kannst (wenn ich dich richtig verstehe, dann hast du LAN und GAST-LAN?) für dein Netzwerk einen Bereich für die IP-Range wählen. Geräte, die eine feste IP (und immer diese) erhalten sollen, kannst du in der pfsense unter Services > DHCP Server > Host override eintragen (MAC ADresse, gewünschte IP, Name).
Also: DHCP für das gewünschte Interface aktivieren, dann die Angaben machen (Allow unknown? Allow only known? etc), Range für die dynamische Vergabe wählen...sowas eben.
Zu bedenken:
a) wenn sich die Netzwerktopologie sowieso noch ändert (VLANs?), dann würde ich nun nicht soooo viel Zeit daran setzen, denn später musste ja eh alles neu machen (andere Interfacces, wenn auch virtuell, andere IPs).
b) für den LAN Bereich hinter der pfsense einen eher seltenen IP Bereich wählen (also NICHT die klassische 192.168.178.0/24), damit du später nicht Probleme beim Einrichten von VPN bekommst...(da muss sich der Bereich ja unterscheiden).

Das Routing zwischen den (V)LANs macht die pfsense, dafür aber dran denken, dass hier dann passende Regeln eingerichtet werden wollen!! Im default ist nämlich sonst DENY ALL aktiv, wie es sich für eine firewall auch gehört.
Das Gateway wird unter System > Routing > Gateway eingetragen. :)
In der VF Box musst du hierzu nichts einstellen (was ja auch nicht vorgesehen ist, wie du schreibst).

DNS würde ich ebenfalls via pfsense machen lassen, hier als Resolver (ist default so eingestellt). Wenn alles korrekt läuft, dann wird das per DHCP mit verteilt. Hier darauf achten, dass du unter Services > DNS Resolver die Network Interfaces angibst und auch die "outgoing" Interfaces benennst (hier local host aka 127.0.0.1). Dazu hier: https://www.heimnetz.de/anleitungen/firewall/pfsense/pfsense-dns-resolver-unbound-einrichten/

Du kannst IPv6 im LAN aktivieren, musst es aber nicht. Alle Geräte bauen ihre IPv6 linklocale Adresse auf (beginnend idR mit fe:...):). Wenn du IPv6 im LAN aktivieren willst, dann bekommen die Geräte zusätzlich ihre Global Unique Address (beginnend mit 200x:...) und ggf. auch eine Unique Locale Adress (ULA), beginnend mit fd:...
Wenn du also aktuell in der Vodafonebox lauter fe:xyz:... Einträge hast, dann ist das auch ok so. Zur weiteren Info:
https://forum.heimnetz.de/threads/ipv6-im-lokalen-netzwerk-lan.386/
https://forum.heimnetz.de/threads/fuer-interessierte-ipv6-workshop-als-pdf.95/
und praktisch:
https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pfsense/

In der pfsense muss IPv6 auch aktiviert werden, im default ist das off. Dazu muss aber auch der vorliegende Router (Vodafone) so konfiguriert werden, dass die Adress-Präfixe an das dahinterliegende Netz (LAN hinter pfsense) durchgereicht werden.

Vorschlag: erst mal alles unter IPv4 im LAN zum Laufen bringen, dann den nächsten Schritt gehen...? :)
 
Zuletzt bearbeitet von einem Moderator:
Danke für deinen Beitrag, da muss ich erst einmal Stück für Stück durch.
Aber hier habe ich mich wohl falsch ausgedrückt:
wenn ich dich richtig verstehe, dann hast du LAN und GAST-LAN?)
Es gibt aktuell ein LAN (Heimnetz), in welchem aktuell LAN und WLAN laufen. (192.168.1.0/24)
Für Besucher werde ich das WLAN, welches die VF-Box mitbringt, lassen (192.168. - z.B. 100.0/24) bzw. einrichten.
Das wäre dann vor der Firewall, da habe ich dann gar kein Aufwand mit.
Für VLAN's habe ich aktuell noch keine wirkliche Verwendung, auch wäre der Aufwand meine Switche zu tauschen aktuell gerade ungünstig. Da ich bummelig nur knapp 30 IP-Adressen im Haus laufen habe, ist ein späterer Aufwand überschaubar. Ich denke, dass es sich mit der Beobachtung des Netzwerkverkehrs ggf. ändert.
Einzig auf Grund eines fehlenden Switchportes plane ich das NAS in ein eigenes Netz zu stellen und direkt an den protectli anzuschließen. Da ich davon ausgehe, dass die Interface opt1 und opt2 keine Switchfunktionalität haben, wäre hier ein simples 2. IP-Netz anzuknoten und das Routing ohne Aufwand durch lokale IF abgedeckt.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.914
Beiträge
57.761
Mitglieder
5.874
Neuestes Mitglied
sirattack
Zurück
Oben