LL0rd

Der Router hat aber nur 100MBit Ethernet Ports => ich kann da nicht mit 200MBit rangehen.

Meine Werte sind gemessen. Einerseits über die pfsense eigenen Statistik-Methoden, andererseits werden Pakete sowohl vor dem Router als auch hinter dem Router per Switch an einen Server weitergeleitet, der per Snort auf Verdächtiges untersucht wird. Gleichzeitig wird der Traffic gemessen. Der VPN Traffic spielt bei mir eine sehr kleine Rolle. Es geht nicht darum, Standorte per VPN miteinander zu vernetzen, sondern Leuten den Zugriff auf das Netz zu gestatten, wenn diese unterwegs sind. Der Flaschenhals wird da eher die UMTS Verbindung sein und nicht die Performance des Routers.

Hm? Was wäre denn lahm? Und wie kommst du auf 35MB/s 3DES (bzw. VPN) Traffic??

Naja, die Regeln sind eben einfache IP Tables Regeln, die den Zugriff auf bestimmte Ports und ganze Länder anhand von einigen Netzen (ca. 300 Regeln) sperren. Sonst wird der ausgehende Traffic per L7 untersucht, um z.B. P2P Traffic zu sperren oder SSH Traffic nur zu bestimmten Servern zuzulassen. Der VPN Traffic ist wirklich gering. Ein paar E-Mails abrufen und verschicken, SSH Zugriff auf die Server. Also bei dem aktuellen kleinen 500MHz AMD Prozessor schaffe ich 7.5MByte/s problemlos. Deshalb denke ich, dass ich mit 2x1,8GHz Atom CPU und schnellen Netzwerkkarten die rund 25 bzw. 30MB/s durchaus routen kann.

Aber da frage ich mich gerade, wieso die das nicht schaffen. Mit einem D525 Board und zwei 1000 PT Karten @ freebsd bekomme ich den Traffic problemlos rüber.

250MBit, nicht MB. Das Juniper Ding ist aber auch ein Overkill. Und mit 1650€ für das SSG-140-SB außerhalb des Budgets.

Hallo Leute, ich suche derzeit einen neuen Router für das Office und brauche etwas Hilfe dabei. Derzeit liegt hier eine 100/2,5MBit Cable-Leitung und als Router verwende ich derzeit ein alix2d3 mit 500MHz und 256MB RAM, auf dem pfsense läuft. Das Setup funktioniert soweit auch ganz gut, nur wenn viele Verbindungen (so ca.30) mit voller Bandbreite etwas machen, habe ich nen CPU Load von 100% und das System wird instabil. Verbindungen brechen ab, etc. Ab April habe ich zudem 200/15MBit hier. Spätestens da ist der Router wegen seinen 100MBit Ports nicht mehr geeignet. Deshalb suche ich etwas neues mit etwa folgenden Specs: Firewall Pass Through: 250MBit/s Paket Filter IDS / IPS kein WLAN 5 gleichzeitige VPN Verbindungen ins LAN Preislich kann das Gerät bei 400€ liegen. Bis etwa 700€ würde ich noch zahlen, absolute Schmerzgrenze sind 800€. Kann mir jemand da etwas empfehlen?

Hallo Leute, meine Mutter betreibt ihr eigenes Tonstudio, für Ihre Datenbank mit Titeln und Musikvideos benötigt sie derzeit etwa 4TB Netto Speicherplatz, auf Dauer wird es aber eher mehr werden. Die Dateien sollten per DLNA und iTunes (Firefly) für Multimedia Geräte (Fernseher und AVR) bereitstehen. Es reicht der Ausfallschutz für eine Festplatte aus, da die Daten zur Not noch als Original Audio CD vorhanden sind. Jetzt habe ich etwa drei Möglichkeiten dafür: a) Ich nehme ein DRobo FS. Firefly und Fuppes für DLNA/UPnP gibt es als App für das Gerät. Ich nehme ein NAS, z.B. das BlackArmor von Seagate, das auch die Funktionen beherrscht. c) Ich baue einen reinen Fileserver auf Linux / Solaris Basis Was würdet Ihr da nehmen?

Ich weiß nicht, Lancom APs sind z.B. mit Cisco Aironet in meinen Augen Professionelle APs. Und bei dem Lancom 321agn wüsste ich jetzt wirklich nicht, wie man dem Ding beibringen könnte, sich per 802.1x am Netzwerk zu authentifizieren. Eine andere Frage wäre auch, wie weit 802.1x am Switch geht. Angenommen ich habe jetzt ein AP an einem 802.1x gesicherten Port. Ich würde das Ding so einstellen, dass es in einem "unsicheren" VLAN landet. Nun, am AP nutze ich auch 802.1x Authentifizierung und weise so einem User ein VLAN zu. Könnte der User dann aus dem VLAN des Switches ausbrechen?

Ja, aber wie stellt man das in der Praxis an? Wie kann ich denn verhindern, dass jemand an ein AP oder einen Drucker geht, ein Netzwerkkabel abzieht und es an ein Notebook steckt.

Ja, okay, ich kann 802.1x an bestimmten Ports abschalten bzw. MAC Adressen freigeben. Aber was habe ich dadurch erreicht? Ich habe einen sehr hohen Implementierungsaufwand für 802.1x und auf der anderen Seite sehr wenig Sicherheitsgewinn. Was sollte denn jemanden daran hindern, einfach das Kabel eines APs oder Druckers abzuziehen und an einem offenen Switch Port den Zugriff auf das Netzwerk erhalten. Mit dem MAC Schutz sieht es nicht anders aus, denn eine MAC Adresse kann ich absolut ohne Probleme spoofen.

Hallo, ich würde gerne die 802.1x Authentifizierung bei uns im Netzwerk einsetzen. Okay, bei Mac/Windows/Linux Geräten am Switch ist das alles auch kein Problem. Aber wie ist es bei anderen Geräten? Ich habe jetzt z.B. ein Lancom l-321agn Accesspoint und bei diesem habe ich keine Funktion gefunden, wie sich das AP am Switch anmelden könnte. Oder habe ich da einen falschen Denkansatz?

Ich wüsste jetzt nicht, welche Einstellung du genau meinst. Weder bei meinem MBP unter OS X noch an dem iPad/iPhone/iPod konnte ich so etwas finden. Bei meinem WLAN IP Phone gibt so etwas auch nicht.

Hallo, derzeit haben wir drei WLAN APs mit der gleichen SSID auf verschiedenen Kanälen. Und zwar sind das alles ALIX boards mit PFsense als Software. Auch ohne 802.1X Authentifikation an offenen Accesspoints kommt es zu Verbindungsabbrüchen beim Übergang von einem AP zum nächsten. Die Devices suchen sich erst dann einen neuen AP, wenn das Netz weg ist. Das möchte ich jetzt verhindern und auf das IAAP Protokoll umsteigen. Kann mir jemand von euch APs empfehlen, die IAAP unterstützen?

Jain. Der Server, der abgesichert werden soll, ist ein Root Server von Hetzner. Da ich persönlich Hetzner nicht so wirklich traue, möchte ich diesen Root Server absichern. Bei IP-Exchange habe ich momentan zwei Racks gemietet in dem meine eigenen Server untergebracht sind. Im Falle eines Ausfalls soll entweder einer dieser Server die Arbeit übernehmen oder ein EC2 Rechner. Es sollte aber kein Problem sein, bei Hetzner auch ein Rack mit eigenen Maschinen zu mieten. Aber ich weiß nicht, wie ich es schaffen kann, gleiche IP Ranges in verschiedenen RZs nutzen zu können. Ich weiß, dass es Müll ist, DNS Einträge anzupassen und im worst case verschlimmbessert es die Situation. Wie machst du es denn bei deinen Kunden?