PfSense WAN/LAN over één kabel Veilig?

dinsdag 4 april 2017 19:39

Acties:

0 Henk 'm!

Topicstarter

Ik wil PfSense draaien in mijn huis terwijl er maar één internet kabel loopt naar de PfSense doos (oude pc).
Deze staat namelijk op de eerste etage en mijn modem beneden.
Beneden is er echter ook nog bekabeld internet nodig voor een acces point en de tv die bekabeld is.

De PfSense pc naar beneden verhuizen is helaas geen optie omdat deze niet de stilste is en dat is wel een vereiste in de woonkamer

.
Ik kan geen Vlan's maken omdat ik dan twee dure switches zou moeten halen en dat is me het niet echt waard.

Ik heb zelf het volgende bedacht:

Ziggo modem met een vast ip en DHCP uit: 192.168.1.1
PfSense doos met 2 netwerk kaarten WAN: 192.168.1.2
en Het LAN netwerk op de andere kaart 192.168.10.1 met de dhcp server van PfSense aan.

Op de Ziggo modem heb ik DMZ ingeschakeld naar 192.168.1.2 Port forwarding lijk ook te werken.

Is dit een veilige oplossing waarbij "Het Internet" niet zomaar bij mijn Lan kan komen?
Het werkt namelijk wel maar ik weet niet of het nu een goed idee is.
Het subnet van beide netwerken is 255.255.255.0

Hoi

dinsdag 4 april 2017 19:44

Acties:

0 Henk 'm!

SilentDecode

Zover ik weet kan je LAN/WAN niet over 1 kabel gooien.. Ik heb hier een keer wat onderzoek naar gedaan, ook in combinatie met PfSense, maar toen bleek dit niet mogelijk. Tevens moet je dan, als het zou kunnen, met VLANs gaan werken en ik weet niet of dat Ziggo ding dat ondersteund.

Ik geef je een kleine kans, maar het is handiger om een 2e kabel te trekken, of je machine zodanig stil te maken, dat hij wel in de woonkamer kan staan. Dat heb ik namelijk ook

.

Plezant. Krokant. Galant.

dinsdag 4 april 2017 20:12

Acties:

+1 Henk 'm!

Paul

Switches die VLAN's ondersteunen hoeven niet duur te zijn

Je hebt er maar 1 nodig: bij je Ziggo modem. Als je op de eerste etage meer aansluitingen wil kun je daar uiteraard een tweede zetten.

Qua veiligheid; je Ziggo modem doet al NAT (je gebruikt RFC1918-adressen), en daardoor is het verkeer naar je pfSense doos (wat je nu WAN noemt) net zo veilig als iedere andere PC op (vrijwel) ieder thuisnetwerk van iedere Ziggo-klant, ofwel, geen enkel probleem.

Als je het modem bij Ziggo in bridge zou laten zetten wordt dat een iets ander verhaal, maar dan kom je in de knoei met DHCP

Dan nog moeten pakketjes ergens vandaan komen en ergens naartoe, ik weet niet of en wat Ziggo precies doet om het tegen te gaan maar in theorie zet je dan je hele netwerk open voor al je buren (die hun modem ook in brigde hebben staan).

[ Voor 6% gewijzigd door Paul op 04-04-2017 20:13 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 4 april 2017 20:22

Acties:

0 Henk 'm!

Bernard0343

Ha @TheBrones

je opmerking over een DMZ kan ik niet zo goed plaatsen, bedoel je dat je beneden een webserver wil draaien?

Er zijn een aantal oplossingen:
* De meest voor de hand liggende, een tweede kabel naast de bestaande kabel leggen..

Maar je kan ook:
* Nieuw of via marktplaats een routertje kopen die je beneden kan neerzetten (bijvoorbeeld een Linksys LRT 224 oid) Nieuwprijs van zo'n routertje is tussen de 100 en 200 euri's. Een tweedehands Cisco RV320 zag ik net voor 60 euro op Marktplaats staan.
* Als je meer geld te besteden hebt zou je eventueel ook een Netgear Orbi kunnen kopen, heb je geen gedoe meer met kabels.

Succes!

No AI tools were used in writing this post. It's a product of human stupidity.

dinsdag 4 april 2017 20:22

Acties:

0 Henk 'm!

DJSmiley

Alternatief is om een mikrotikje te pakken.

Dan kun je je modem via een vlan doorzetten naar je PFSense bak, en die mikrotik verder benutten als switch en wifi AP (Dat is dan weer handig in je woonkamer)

Ziggo modem in bridge, in een vlan naar je PFSense

Vraag is alleen in hoeverre die PFSense bak niet op wat stillere hardware kan. Genoeg spul wat passief is en ook prima PFSense kan draaien. Nu weet ik niet wat die huidige 'oude bak' aan stroom trekt, maar best kans dat je al snel een simpel ding terugverdient hebt wat stiller is (Denk bv aan een thinclient of soekris oid

dinsdag 4 april 2017 21:28

Acties:

0 Henk 'm!

TheBrones

Topicstarter

Paul schreef op dinsdag 4 april 2017 @ 20:12:
Switches die VLAN's ondersteunen hoeven niet duur te zijn Je hebt er maar 1 nodig: bij je Ziggo modem. Als je op de eerste etage meer aansluitingen wil kun je daar uiteraard een tweede zetten.

Qua veiligheid; je Ziggo modem doet al NAT (je gebruikt RFC1918-adressen), en daardoor is het verkeer naar je pfSense doos (wat je nu WAN noemt) net zo veilig als iedere andere PC op (vrijwel) ieder thuisnetwerk van iedere Ziggo-klant, ofwel, geen enkel probleem.

Als je het modem bij Ziggo in bridge zou laten zetten wordt dat een iets ander verhaal, maar dan kom je in de knoei met DHCP Dan nog moeten pakketjes ergens vandaan komen en ergens naartoe, ik weet niet of en wat Ziggo precies doet om het tegen te gaan maar in theorie zet je dan je hele netwerk open voor al je buren (die hun modem ook in brigde hebben staan).

Bedankt voor de reacties!

De pc waar ik PfSense op draai is een Core 2 Duo pc 3GHz met 2GB ram.
Ik ben me er van bewust dat deze pc niet het beste is voor langdurig gebruik maar ik wil me er gewoon eens in verdiepen en zelf een vpn server draaien. Ik wil ook nog wat andere dingen met PfSense proberen en dat is de reden ook dat ik het nu op deze manier wil doen.

SilentDecode schreef op dinsdag 4 april 2017 @ 19:44:
Zover ik weet kan je LAN/WAN niet over 1 kabel gooien.. Ik heb hier een keer wat onderzoek naar gedaan, ook in combinatie met PfSense, maar toen bleek dit niet mogelijk.

Op de manier hoe ik het nu doe werkt het in ieder geval wel.

Paul schreef op dinsdag 4 april 2017 @ 20:12:
Switches die VLAN's ondersteunen hoeven niet duur te zijn Je hebt er maar 1 nodig: bij je Ziggo modem. Als je op de eerste etage meer aansluitingen wil kun je daar uiteraard een tweede zetten.

Klopt, had ik niet bij stil gestaan! Die prijzen zijn wel erg aantrekkelijk ja, ga ik zeker nog eens naar kijken om een keer mee te spelen!

Paul schreef op dinsdag 4 april 2017 @ 20:12:
Qua veiligheid; je Ziggo modem doet al NAT (je gebruikt RFC1918-adressen), en daardoor is het verkeer naar je pfSense doos (wat je nu WAN noemt) net zo veilig als iedere andere PC op (vrijwel) ieder thuisnetwerk van iedere Ziggo-klant, ofwel, geen enkel probleem.

Als je het modem bij Ziggo in bridge zou laten zetten wordt dat een iets ander verhaal, maar dan kom je in de knoei met DHCP Dan nog moeten pakketjes ergens vandaan komen en ergens naartoe, ik weet niet of en wat Ziggo precies doet om het tegen te gaan maar in theorie zet je dan je hele netwerk open voor al je buren (die hun modem ook in brigde hebben staan).

Goed om te horen dat het eigenlijk veilig zat is.
Ik heb mijn modem niet in bridge staan omdat ik dan niet echt weet wat die precies doet.

Ik ben nog niet van plan om een normale router te kopen omdat ik het wel leuk vind om er aan te blijven prutsen, ik denk wel dat ik een keer een watt meter (of juist niet!

) tussen de PfSense machine hang om te kijken wat die verbruikt. Dan weet ik ook of het het waard is om een zuinigere machine te bouwen als ik het op deze manier blijf draaien.

Nogmaals bedankt voor de reacties!

Hoi

dinsdag 4 april 2017 21:49

Acties:

0 Henk 'm!

Paul

TheBrones schreef op dinsdag 4 april 2017 @ 21:28:
De pc waar ik PfSense op draai is een Core 2 Duo pc 3GHz met 2GB ram.[..] ik denk wel dat ik een keer een watt meter (of juist niet! ) tussen de PfSense machine hang om te kijken wat die verbruikt. Dan weet ik ook of het het waard is om een zuinigere machine te bouwen als ik het op deze manier blijf draaien.

Een C2D verbruikt best wel wat stroom

Dat kan al vrij snel uit om er een Kaby Lake celeron of i3 neer te zetten (maar het verschil tussen die twee wordt kleiner en kleiner).

Als het puur en alleen om pfSense gaat zou je zelfs een bordje van https://pcengines.ch kunnen overwegen, gebruikt nog minder stroom. Als het om het verdiepen, proberen etc gaat dan kun je een "volwaardig" PC'tje met wat meer RAM nemen en er bijvoorbeeld VMware op zetten (en daar dan o.a. pfSense op draaien).

Ik heb mijn modem niet in bridge staan omdat ik dan niet echt weet wat die precies doet.

Schakelt NAT en de wifi uit, waardoor je er zelf een computer aan kunt hangen. Die krijgt dan zonder enige vorm van firewall (of pseudo-firewall zoals NAT) je externe IPv4-adres. Als je zelf een betere router (meer features vooral, want tegenwoordig zijn die apparaatjes best OK) neer wil zetten bijvoorbeeld.

zelf een vpn server draaien

Dat is inderdaad het beste om te doen op je default gateway, dat scheelt een hoop gedoe met static routes (al kun je bij een fatsoenlijke router best een static route opnemen die verkeer hetzelfde subnet op stuurt als waar het vandaan komt, maar veel consumentendingen snappen dat niet / laten dat niet toe).

Met jouw setup heb je echter wel dubbel NAT. Als Ziggo de "DMZ"-feature (hele slechte naam ervoor, maar we moeten het er mee doen

) goed geïmplementeerd heeft zullen ook zalen zoals PPTP / GRE goed werken (al wil je dat tegenwoordig niet meer gebruiken, veel [alle?] implementaties daarvan zijn lek), maar iets als OpenVPN moet wel werken

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 5 april 2017 08:55

Acties:

0 Henk 'm!

ToTheBone

TheBrones schreef op dinsdag 4 april 2017 @ 19:39:
Ik wil PfSense draaien in mijn huis terwijl er maar één internet kabel loopt naar de PfSense doos (oude pc).

PfSense doos met 2 netwerk kaarten WAN: 192.168.1.2
en Het LAN netwerk op de andere kaart 192.168.10.1 met de dhcp server van PfSense aan.

Hoe heb je deze 2(!) netwerkkaarten aangesloten op één kabel?

Het werkt namelijk wel

Waaruit concludeer je dat het werkt? Krijgen alle apparaten in huis daadwerkelijk ook een IP adres van de PfSense doos? Of puur omdat "internet" nog werkt? Gaat daadwerkelijk alle verkeer via PfSense?

woensdag 5 april 2017 09:00

Acties:

0 Henk 'm!

Paul

Waarschijnlijk loopt er wel maar 1 kabel, maar staat er wel een switch (die geen VLAN's doet)

Anders wordt het in pfSense inderdaad redelijk onmogelijk om het te configureren (al kan het in kaal BSD wel volgens mij).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 5 april 2017 10:23

Acties:

0 Henk 'm!

Verwijderd

En "duur" hoeft niet. Tegenwoordig zijn goedkope L2 switches (8 poorts) te koop. Je kan ook op Marktplaats kijken naar bv. tweede hands HP Procurve.

Wat ook kan, is de kabel "splitsen". Met een speciale splitter. Je krijgt dan twee gescheiden LAN kabels. Weliswaar 100 Mbps ieder, maar dit kan makkelijk, en goedkoop.

woensdag 5 april 2017 15:08

Acties:

0 Henk 'm!

TheBrones

Topicstarter

ToTheBone schreef op woensdag 5 april 2017 @ 08:55:
[...]

Hoe heb je deze 2(!) netwerkkaarten aangesloten op één kabel?

[...]

Waaruit concludeer je dat het werkt? Krijgen alle apparaten in huis daadwerkelijk ook een IP adres van de PfSense doos? Of puur omdat "internet" nog werkt? Gaat daadwerkelijk alle verkeer via PfSense?

Ik heb de netwerkkaarten aangesloten via een 8 poort gigabit switch. De PfSense machine regelt dhcp (werkt, clients komen ook in de lijst te staan bij de dhcp server) en als ik bijvoorbeeld een speedtest doe gaat de bandbreedte grafiek van PfSense bewegen. Daarnaast heb ik met een tracert ook kunnen bevestigen dat het via pfSense gaat.

Verwijderd schreef op woensdag 5 april 2017 @ 10:23:
En "duur" hoeft niet. Tegenwoordig zijn goedkope L2 switches (8 poorts) te koop. Je kan ook op Marktplaats kijken naar bv. tweede hands HP Procurve.

Wat ook kan, is de kabel "splitsen". Met een speciale splitter. Je krijgt dan twee gescheiden LAN kabels. Weliswaar 100 Mbps ieder, maar dit kan makkelijk, en goedkoop.

De kabel splitsen is voor mij geen optie aangezien ik al een 150 Mbit abbo heb en ik hier zeker gebruik van wil kunnen maken.

Ik ga het wel op deze manier zoals ik het nu heb gebruiken en nadenken over een upgrade naar een zuinigere PfSense doos als het definitief wordt en dan zal ik ook een Vlan Switch halen omdat ik het voor die prijs wel leuk vind om een keer mee te spelen.

Bedankt voor het meedenken!

Hoi

woensdag 5 april 2017 15:24

Acties:

0 Henk 'm!

ToTheBone

Als het niet mogelijk is om direct van de Ziggo modem/router een DHCP adres te krijgen zal dat inderdaad functioneren.

Ziggo modem in bridge en via VLAN's scheiden is echter verreweg de netste optie. Dan kan PfSense 2 virtuele (VLAN) poorten creëren op één fysieke netwerkpoort. Dat wordt ook wel "router on a stick" genoemd. Switch en tweede netwerkkaart boven zijn dan dus niet meer nodig.

Zie bijvoorbeeld http://www.it-college.nl/...outing/router-on-a-stick/
Dit voorbeeldje is erg Cisco georiënteerd maar de principes zijn ook op andere oplossingen van toepassing.

zaterdag 8 april 2017 16:59

Acties:

0 Henk 'm!

TheBrones

Topicstarter

Ik heb vanmorgen mijn modem naar boven verplaatst, de coax kabel die er al lag is blijkbaar goed genoeg om 150 Mbit te halen

. Dit lost natuurlijk het probleem ook op omdat ik mijn modem nu in bridge kan zetten en zonder trucjes gelijk kan aansluiten op de PfSense machine.

Hoi

Onderwerpen