Der Freude-Thread...

[Tommes]

Laufen tut die pfSense auf einem APU2 Board. Die FritzBox im Bridge Modus zu betreiben, entsprach nicht meiner Intention, auch wenn ich mir der Tatsache bewusst bin, das das bei dem ein oder anderen auf Unverständnis stößt. Ich hatte halt bestimmte Vorstellungen von dem, was ich und wie ich es haben will. Und ich sagte ja bereits, das das für den ein oder anderen hier sicherlich Peanuts ist. Für mich war es alles andere als Peanuts. Sei‘s drum. Mein System läuft und ich habe ein gutes Gefühl dabei.

@Puppetmaster
Haha… ja klar… könnte man machen. Aber ich denke, das mein Tutorial nicht dem - best practice - entsprechen würde und du siehst ja an @mamema das er sich leicht über mich und dem was ich mir aufgebaut habe amüsiert… aber das ist auch völlig in Ordnung.

 

[Puppetmaster]

@Tommes: Ja, na klar, ist sicher eine spezielle Lösung. Dennoch bietet sie - gerade für Menschen, die nicht "vom Fach" sind, sicherlich sehr informative Impulse, könnte ich mir vorstellen.
Dass man hier vielleicht von dem ein oder anderen, der das beruflich macht, ein wenig belächelt wird, das kann man wegatmen. Hier tumeln sich überwiegend (nach Zahl) Hobby-Admins auf ihren kleinen DS-chen. Und das Thema Netzwerk umspannt dabei eben alles und wird oft vernachlässigt, wie man hier an vielen Stellen nachlesen kann.
Aber gut. Meine Intention war jetzt nicht, dich da zu stressen. ?
Ich finde das Projekt jedenfalls höchst spannend und würde sowas auch gerne in Angriff nehmen, alleine die Zeit fehlt mir wohl dazu. Denn sowas macht man eben nicht mal kurz an einem verregneten Wochenende. Und wenn das Netz nicht läuft zu Hause, dann Gnade Gott ...

 

[mamema]

>Dass man hier vielleicht von dem ein oder anderen, der das beruflich macht, ein wenig belächelt wird
Gar nicht nein, alles hat Gründe es so zu tun wie man es tut. Doppel Nat ist die Problemhölle, aber eben, scheinbar wollte Tommes das ja so. Mich würde interessieren warum. Es ist sicher so, dass Doppel NAT nicht zur Verfügbarkeit beiträgt, da es eben mehr zu konfigurieren gibt. Je mehr gefiddelt werden muss, desto mehr kann schiefgehen.

 

[Tommes]

Letztes Posting von mir zu diesem Thema an dieser Stelle, da das jetzt wirklich off topic ist.

Ich kenne die Diskussionen bezüglich doppelten NAT und das eine pfSense direkt hinter das Modem gehört um doppeltes NAT zu vermeiden. Am Ende führte das immer wieder dazu, das mein Setup nicht best practice ist und das alles Murks ist und überhaupt… daher werde ich mich jetzt nicht weiter zu den Hintergründen äußern, warum ich die pfSense hinter der Fritzbox haben wollte. Am Ende zählt für mich, das ich trotz dieser Anordnung kein doppeltes NAT mehr habe und alles genau so funktioniert, wie ich mir das vorgestellt habe.

Und bezüglich Tutorial. Vielleicht packt es mich ja doch irgendwann mal, wer weiß. Aber falls du bis dahin gerne auch in dieses Thema einsteigen möchtest und du Hilfe benötigst, dann biete ich dir gerne meine Hilfe an @Puppetmaster

So und jetzt wieder back to topic

 

[mamema]

klar Du musst hier nichts weiter schreiben nur
>das ich trotz dieser Anordnung kein doppeltes NAT mehr habe und
verwirrst Du mich, denn irgendwie war ja Doppel NAT erwähnt. Wenn Du keines hast, ist doch prima, das hätte mich halt interessiert wie "ihr" das ohne Bridge Mode der Fritzbox realisiert habt. Man kann immer was lernen.

 

[Stationary]

ich denke, das mein Tutorial nicht dem - best practice - entsprechen würde

Also mich würde es schon einigermaßen detailliert interessieren, schon weil ich in der gleichen Situation bin und bisher immer vor dem Aufwand zurückgeschreckt bin.
Fängt ja schon damit an: was genau muß man alles kaufen.

 

[mamema]

mach einen Thread auf, dann gehren wir das durch

 

[blurrrr]

Könnt ja demnächst das imaginäres digital gedrucktes Audiohör-/Buch von @the other und mir anguckhören, wo wir alles für jeden und zu allem erklären und natürlich auch in jeder Sprache und mit und ohne Bild und überhaupt und sowieso UND natürlich auch ohne... aber auch mit!.... .... ??

EDIT: Was gibt's da groß zu klären? Das "was" kann man sowieso nicht "direkt" benennen (ausser man unterwirft sich irgendwelchen Herstellern). Hier die kurze Liste:

1) Router/Modem (VLAN-fähig oder nicht, u.a. ISP-abhängig)
2) Firewall/Router (VLAN-fähig, eigene Hardware mit 2+ NICs)
3) Switch (VLAN-fähig -> managed)

An die kaufwütigen: Es geht in erster Linie aber nicht darum, sofort alles zu kaufen und zu haben, sondern primär darum, die Klamotte auch erstmal zu verstehen... Lieber verstanden haben und danach sinnhaft den Kram kaufen, anstatt planlos einfach irgendwas zu kaufen und noch immer kein Plan zu haben (kann man aber natürlich auch machen, keine Frage) ??

EDIT:

dann gehren wir das durch

nicht "gähren"? ??

 

[Stationary]

nicht "gähren"? ??

Nein, wenn schon, dann „gären“. ?

 

[the other]

Moinsen,
mir ging/geht es wie @Tommes: es sammeln sich diverse Geräte und Ideen an, die Brut aka die Hochwohlgebohrenen werden größer und experimentierfreudiger und das flaue Gefühl, dass das eigene Netzwerk eher suboptimal aufgebaut ist nimmt zu. Was tun? Google fragen....hmm VLANs....hmmm VPN.......hmmmm Firewall.....usw. Keine Ahnung von nix aber keine Freunde / Hobbies / Weibsvolk anwesend, also Zeit und Spass und Interesse zusammengesucht und los recherchiert.
Am Anfang: oh, okay, achso, na, wenn das SOOO komplex ist, dann lieber doch nicht. Dann: verdammt, ich will das aber lernen und umsetzen. Dann mehrfaches Knoten im Hirn lösen, neu knoten, wieder lösen gepaart mit diversen Bissen in den Schreibtisch und anschreien der Katze.

Insgesamt hab ich es dann so versucht: drei Monate (ohne Schaiß) gelesen und versucht zu verstehen, dann Hardware gekauft, dann eingerichtet (was nach den ersten drei Monaten dann eher schnell und enttäuschend problemlos verlief).
Als alles lief und getestet war gefühlt ne Million screenshots erstellt.
Irgendwann dann selbstüberheblich Dinge angepasst, Crash, zurück auf Null. Bemerkt: oh, wohl doch noch nicht verstanden. Weiter gelesen. Neu aufgesetzt. Lief. Und das tut es bis heute. Auch mit doppel NAT keine spürbaren Einbußen in Performance und Aufwand. Ich mag das doppelte NAT sogar, so hab ich direkt ne DNZ VOR der pfsense und somit außerhalb des eigentlichen Netzes. Telefon hängt da ganz normal dran, WLAN (DMZ) geht im Keller, wo die fritzbox steht für Beschallung beim Basteln, Putzen, Schlagzeug spielen. Passt. VPN geht trotz doppel NAT auch ohne Stress (für meine Anwendungsszenarien eh alles völlig überdimensioniert und größenwahnsinnig).
Ergebnis:
Telefon geht immer, wenn die pfsense abschmiert einfach alle LAN Kabel an die Fritz und weiter Internet (um Ersatz zu bestellen). Hinter der pfsense stehen 5 VLANs bereit, Gäste dürfen eingeschränkt surfen, IoT darf nirgendwo hin, Sohn macht was er will, aber nicht in meinem Segment. Mit VPN schneller Zugriff von unterwegs auf Kalender, Adressbuch und keepass Datenbank. Auch auf den smart home Server. Werbung und anderer Müll wird gefiltert dank Pihole für alles und jeden im Netzwerk hinter der pfsense...
Aber (wie @Tommes ja ebenfalls sagt) am für mich wichtigsten: ich hab es umsetzen können und hab dabei ebenfalls den Fuß in die Tür namens Netzwerktechnik bekommen. Und das ist all den Aufwand wert. Selbst wenn der überdimensionierte Kram gleich morgen wieder wegen ach-nee-doch-nicht,-lieber-ein-Pferd abgebaut und verkauft werden sollte...das nimmt mir keiner mehr (bis ich dement werde).

 

[mamema]

womit Stationary nun alles weiß und weiter im Saft gähren kann, also kein eigener Thread nötig. Auch gut.

 

[blurrrr]

dann „gären“

Ha, da "freu" (Threadtitel) ich mich jetzt aber, dass da einer drauf eingangen ist, aber: Ihr habt doch alle keine Ahnung, dat is "oldschool"... Bemüht mal Google und sucht explizit nach "gähren"... man muss ja nicht jeden neuen Mist mitmachen ? ? (P.S.: Ich hab auch extra "vorher" Google bemüht, irgendein Gesprächsstoff muss sich ja finden ?)

Ich mag das doppelte NAT sogar

Dazu sei übrigens auch zu erwähnen, dass es manchmal auch garnicht ohne geht (nämlich dann, wenn der Router an der "Front" keine Möglichkeit von statischen Routen bietet, geht also nicht mit jedem Router... z.B. Fritzbox ja, Connectbox nein, deswegen hab ich hier auf einer Strecke auch nur ein einfaches NAT (Fritzbox) und auf der anderen Strecke doppeltes NAT (Connectbox). Es lässt sich also nicht "immer" vermeiden, ausser man wechselt mitunter die Hardware oder nutzt einfach nur ein Modem.

Telefon geht immer

Das dürfte bei den meisten sowieso direkt über den Router laufen. Kann man sicherlich auch "anders" lösen, aber ist dann schon entsprechender Aufwand, vor allem dann, wenn es mal wirklich knallt. Für so "kleine" Netzwerke (wo auch nicht viel passiert), reicht theoretisch auch was mit 2 NICs, umso leichter ist es nämlich auch, ein Ersatzgerät mit entsprechender NIC-Anzahl parat zu halten, falls das primäre Gerät mal aussteigt (z.B. alter Rechner mit onboard + extra NIC). Grundsätzlich gilt aber sowieso: Planung ist das A und O ??

 

[Stationary]

Es geht in erster Linie aber nicht darum, sofort alles zu kaufen

Ist so eher mein Ansatz…learning by doing. Ich bin nicht so der Theoretiker, und - das widerspricht sich natürlich jetzt in den Augen derer, die mich nicht kennen - lese schon den ganzen Tag genug. Eigentlich mache ich den halben Tag nichts anderes und das jeden Arbeitstag, aber jetzt driften wir wieder ab zum Ärger ? (nein, nicht falsch verstehe, meine Arbeit macht mir Spaß, sonst würde ich sie nicht machen). Aber ich komme nun mal beruflich aus einer ganz anderen Ecke als unsere Admin-Cracks hier und meiner Erfahrung nach komme ich am Besten mit IT zurecht, wenn sie vor mir steht. So habe ich mich auch damals an dir Themen Synology, Docker-Container selber bauen und Raspberry angenähert.
Und genau aus den Gründen eines heranwachsenden Sohnes (die ersten Minecraft-Server habe ich ihm noch fertig gemacht, inzwischen macht er das selbst) und den damit verbundenen Anforderungen ans Netzwerk hätte ich auch gerne eine Aufteilung. Früher oder später mache ich das auch, wahrscheinlich eher früher. Ich muß nur erst mal herausfinden, ob das dann auch noch kompatibel ist mit der bestehenden LAN-LAN-Kopplung der vier räumlich/geografisch getrennten Netzwerke.

 

[Stationary]

Ha, da "freu" (Threadtitel) ich mich jetzt aber, dass da einer drauf eingangen ist, aber: Ihr habt doch alle keine Ahnung, dat is "oldschool"

Dat is schon so „old school“, daß ich bis in meinen Brockhaus von 1837 zurückgehen mußte:
“Gährung ist eine merkwürdige Umwandlung (chemischer Proceß), welche organische (d.h. Pflanzen- und Thier-) Körper bei angemessener Temperatur in Verbindung mit Wasser und zum Theil unter Einfluß der Luft, ohne besonderes Zuthun erleiden. Man unterscheidet die geistige, die saure und die faule Gährung.“ Du schreibst sicherlich auch noch Thier mit „h“ ???

 

[Stationary]

Das erinnert mich wiederum an eine Diskussion, die ich mal mit der Deutschlehrerin meines Sohnes hatte. Er hatte „schien“ geschrieben, sie hat es ihm zu „scheinte“ korrigiert und auf meinen Einspruch hin meinte sie dann, daß Sprache einem Wandel unterliege, und daß „scheinte“ eine alte Form sei, die sich langsam zu „schien“ wandelte. Darauf mußte ich ihr dann antworten, daß der Wandel wohl schon im Jahre 1893 abgeschlossen war, da die 4. Auflage des Duden bereits „schien“ verzeichnete, nicht jedoch „scheinte“… (eine ältere Ausgabe hatte ich gerade nicht zur Hand) ???

 

[blurrrr]

Ich muß nur erst mal herausfinden, ob das dann auch noch kompatibel ist mit der bestehenden LAN-LAN-Kopplung der vier räumlich/geografisch getrennten Netzwerke.

Klar, machste dann einfach wieder NAT dazwischen, wenn es rüber ins andere Netz soll, dann haste auch Routing-technisch keine Problem und musst nix extra anfassen *husthusthabichniuchtgesagthusthust* ?

Alternativ kannste natürlich auch den Netzbereich der Verbindungen anpassen, könnte dann z.B. so aussehen:

Site 1: 192.168.99.0/24 (interne Netze: 99)
Site 2: 192.168.100/22 (interne Netze: 100,101,102,103)

Die Site2-Netze kann man entsprechend einzeln nutzen (dafür ist das Routing da) und dazwischen auch mit entsprechenden Firewall-Regeln agieren.

Dazu sei noch gesagt, dass die o.g. "Netze" so in dieser Form erst noch gebildet werden, da:

192.168.99.0/24 = 192.168.99.0-192.168.99.255
192.168.100/22 = 192.168.100.0-192.168.103.255

Ist also "eigentlich" per Definition erstmal nur 1 großes Netz, wobei es für das Routing egal ist, da es erstmal "nur" in den Tunnel geht. Was danach passiert, entscheiden die Router dahinter (ähnlich dem 0.0.0.0/0 in der Routing-Tabelle, da sind auch keine expliziten Netze erwähnt, sondern quasi alles, was ansonsten nicht in der Tabelle steht, aber... wir schweifen ab....)

daß ich bis in meinen Brockhaus von 1837 zurückgehen mußt

Genau! ? Thiere thun, was Thiere thun müssen! Erinnert irgendwie direkt wieder an Schulz von Thun und die Sache mit der Kommunikation... "wie passend" ? Davon ab, bin ich auch kein Freund der neuen Rechtschreibreform... das kam meiner Meinung nach auch nur, weil die Leute et irgendwie nicht gebacken bekommen haben... Naja, egal, auch hier schweifen wir ab...

Also: Freuen wir uns über neu gewonnene Erkenntnisse (sowohl im einen, als auch im anderen Bereich) und jut ist. ?

 

[peterhoffmann]

Mein Schluden sagt mir, dass es schlicht und einfach "gehen" bedeuten könnte und da nichts vor sich hin gärt.

 

[RichardB]

Gehren, gären, gähren, gehen, Leute was solls? Das ist der Freude Thread.

Morgen ist es soweit. Mein Bösendorfer Grand Imperial (das Ding mit den Zusatztasten für 8 volle Oktaven) wird geliefert. Und die Lady hat sich nicht scheiden lassen (obwohl sie meinen D211 Steinway auch schon für überdimensioniert gehalten hat). Das wird der Wahnsinn. Mein persönlicher Klavierstimmer steht schon in den Startlöchern. Auch er freut sich darauf, einen Konzertflügel grundzustimmen, den man nicht alle Tage sieht.

Das war der Endzustand des Baus in Wiener Neustadt:

 

[mamema]

also ich würde mich üb er eine Aufnahme Deines Klavierspiels freuen und die Gährungsphobiker sollen doch sich ihr Doppel NAT ans VLAN nageln, macht keiner Freude. Offtopic total aber sowas von. Pfff!

 

[Frankypilot]

Ein Doppel-NAT macht noch lange keinen Doppelbock ??