Schlagwortinternet

Neue pfSense Firewall

Im Dezember 2017 habe ich meinen Glasfaser Internet Anschluss von iWay Internet Economy 100/100 Mbit/s auf ewb.INTERNET VOUGAS 1000/1000 Mbit/s upgraded.

Mit diesem Update war auch ein Wechsel der Hardware für meine pfSense Firewall nötig. Der vorher eingesetzte APU1D4 mochte Gigabit Traffic nicht durchbringen. Trotz Gigabit Ethernet Karten, DualCore x64 CPU und 4GB RAM, konnte auch bei minimaler Firewall Konfiguration höchstens eine Bandbreite von 300MBit/s erreicht werden.

Obwohl ich bei ewb.INTERNET gratis eine Fritzbox 5490 erhalten hätte, entschied ich mich weiterhin für die pfSense Lösung. Anstelle der Fritzbox wählte ich einen CTS MCT-3002-DR Medien Konverter um das optische Signal in ein elektrisches umzuwandeln.

Nun musste nur noch die passende Firewall Hardware gefunden werden.
Folgende Bedingungen sollten erfüllt werden:

  • Passive Kühlung
  • Geringer Energieverbrauch
  • Kleines Gehäuse
  • Serielle Schnittstelle
  • Hardware / CPU Crypto Modul

Ich entschied mich schlussendlich für ein Shuttle DS77U Barebone:

Quelle: http://www.shuttle.eu/de/produkte/slim/ds77u/

  • Intel(R) Celeron(R) CPU 3865U @ 1.80GHz
  • Lüfterloses Heatpipe-Kühlsystem
  • Corsair ValueSelect SO-DDR4 4GB RAM
  • Transcend MTS600 M.2 2260 32 GB SSD
  • 2 x Intel Gigabit LAN (i211 und i219LM PHY)
  • 2 x COM-Port (RS-232)
  • Stromverbrauch im IDLE 7-8W

Kostenpunkt: ~360CHF (Dez 2017)

Vor der pfSense Installation habe ich das BIOS auf die neuste Version gebracht, anschliessend konnte ich pfSense (2.4.2) per USB Stick und Serial Konsole installiert. Nach erfolgter Basis Installation habe ich die Konfiguration der alten pfSense Firewall eingespielt.

Seit ein paar Tagen läuft darauf die neuste pfSense Version 2.4.3.



Die Firewall läuft im Dual Stack Betrieb (IPv4 mit NAT und IPv6), da ewb.INTERNET jeweils pro Kunde ein IPv6 /56 Subnetz zuweist.

Folgende Dienste sind im Einsatz:

  • Unbound (DNS Resolver)
  • pfBlocker-NG
  • Snort
  • HAProxy
  • OpenVPN
  • NtopNG

Die CPU Auslastung ist trotz der vielen Dienste, insbesondere Snort und pfBlocker-NG sehr gering. Auch die CPU Temperatur ist im Vergleich zum APU1D4 nur noch halb so hoch (28°C vs. 60°C).


Die maximale Bandbreite gemäss Speedtest.net ist wie folgt:



Damit hat die neue Hardware meine Anforderungen vollumfänglich erfüllt und die maximale Bandbreite kann abgerufen werden.

postfix mit Bluewin als relayhost

Für diverse Webprojekte benötige ich einen Webserver, der in der Entwicklungsphase von aussen nicht erreichbar ist und auf dem diverse Serverkonfigurationen getestet werden können. Aus diesem Anlass habe ich auf meinem Fileserver einen Apache Webserver mit PHP5 und MySQL Unterstützung aufgesetzt.

Weil gewisse Skripte eine E-Mail Funktion voraussetzen, musste ich nun einen Mailserver einrichten, der zumindest E-Mails versenden kann.
Nach kurzer Recherche war klar es wird der Serverdienst postfix sein.

Zur Installation bin ich nach der Anleitung aus dem ubuntuusers Wiki vorgegangen: Postfix

Nach Anpassen von einigen Einträgen ist folgende Konfiguration entstanden, welche nun erlaubt E-Mails über den Bluewin SMTP Server zu versenden.

/etc/postfix/main.cf

#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA’s job.
append_dot_mydomain = no

# Uncomment the next line to generate „delayed mail“ warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

myhostname = radonserver
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = radonserver.local, radonserver, localhost.localdomain, localhost
relayhost = [smtpauth.bluewin.ch]
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter =
inet_interfaces = all
inet_protocols = all

## By T. Schmid
sender_canonical_maps = hash:/etc/postfix/sender_canonical
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_password

/etc/postfix/sasl_password

[smtpauth.bluewin.ch] user:password

/etc/postfix/sender_canonical

tobias email@adresse.tld
web email@adresse.tld
root email@adresse.tld

Das Internet wird langsamer

Insgesamt sieben Staaten in den Top Ten verzeichneten einen Rückgang. Am deutlichsten fiel innerhalb von einem Quartal ausgerechnet die Schweiz zurück. Hier sank die Geschwindigkeit um 13 Prozent auf 5,1 Mb/s. Damit gehört die Schweiz aber immer noch zu den schnellsten Ländern auf der Datenautobahn, sie belegt Platz acht.

Quelle: Internet wird langsamer: Am stärksten stottert der Datenmotor in der Schweiz

Kein Wunder, obwohl der Infrastruktur-Ausbau seitens der grossen Anbieter schon seit einiger Zeit angekündigt ist, geht es mit der Ausführung nur schleichend voran. Ziel wäre es in möglichst kurzer Zeit, möglichst viele Haushalte mit Fiber2Home Anschlüssen zu versorgen, was leider mitunter sehr kosten- wie auch zeitaufwändig ist.

Der Grund für die Verlangsamung, ist meiner Meinung nach aber eher auf die heutigen Internet Trends zurück zuführen. Anstatt die Webpräsenzen Ressourcen und Bandbreiten sparend zu entwickeln, werden die Seiten immer mehr mit multimedialen Inhalt aufgebläht und somit auch verlangsamt.

Neue Internetangebote von Cablecom

• Fiber Power internet 100 (100’000 KBit/s Down-/ 7000 KBit/s Upload) für 95 Franken
• Fiber Power internet 50 (50’000 KBit/s Down-/ 5000 KBit/s Upload) für 85 Franken
• Fiber Power internet 10+ (10’000 KBit/s Down-/ 5000 Kbit/s Upload) für 59 Franken

Quelle: Internetturbo von Cablecom

Die Cablecom wirbt seit kurzem mit neuen Internetangeboten mit Downstreamgeschwindigkeiten bis zu 100MBit.
Die Angebote sehen fair aus, der Upstream ist meiner Meinung nach jedoch immer noch ein bisschen bescheiden.

Es bleibt zu hoffen, das die neuen Angebote nach dem anschliessen auch funktionieren. Die Cablecom ist in der Vergangenheit häufig durch unzuverlässige Dienstleistungen und Angebote aufgefallen.

Profil in Social Communitys löschen

Vor kurzem habe ich mich dazu entschlossen meine selten besuchten Profile in zwei Social Communitys zu löschen. Es wären dies:

  • Netlog
  • That’s me

Gründe dafür gibt es einige.

Das Niveau der Portale ist in der Regel sehr tief, die Sprache sehr primitiv, die Fotos katastrophal und das Durchschnittsalter der User weit unter meinem.

Glücklicherweise habe ich nach kurzer Suche die entsprechenden Links zum Löschen der Profil gefunden.

© 2019 Schmidi

Theme von Anders NorénNach oben ↑