Datenschubsende Wollmilchsau gesucht

Dalai

Grand Admiral Special
Mitglied seit
14.06.2004
Beiträge
7.420
Renomée
262
Standort
Meiningen, Thüringen
Hallo ihr Router-Gurus :)

Dies wird ein arschlanger Text mit vielen Anforderungen, aber das lässt sich leider nicht schrumpfen.

Aufgrund der irgendwann in Zukunft bevorstehenden Umstellung auf VoIP suchen wir ein Routersystem (Hard- und Software), das die bisher von alten PCs (Sockel 7) mit fli4l erfüllten Aufgaben übernehmen kann.

HARDWARE
Gesucht wird
  • entweder eine Datenschubse, die Router, Telefonanlage und DSL-Modem in einem ist bzw. ersetzen kann (sofern die Telefonie-Anforderungen unten ebenfalls erfüllt werden)
  • oder ein Gerät, das nur Router spielt und an ein vorhandenes/externes DSL-Modem angeschlossen wird (und somit auch kein Modem braucht)
Ob auf dieser Hardware das vorinstallierte oder ein alternatives OS (WRT, Tomato Freetz etc) läuft bzw. aufgespielt werden muss, spielt keine Rolle. Wir können basteln ;) - jedenfalls bis zu einem gewissen Punkt (an dem der Aufwand zu groß wird).

MUSS
  • automatische Einwahl nach dem Hochfahren
  • SSH-Server
  • semifeste IP-Adressen anhand MACs
  • Portforwarding live und statisch
  • In welchem Zeitraum hat welcher Rechner wieviel Datenverkehr verursacht (Basis Tag)
  • Protokollierung der WAN-IP-Adresse mit sekundengenauem Zeitstempel (von wann bis wann hatte der Router welche IP)
  • DNS forwarding festlegbar ungleich dem vom Provider zugewiesenen
  • DynDNS frei konfigurierbar, Möglichkeit des Einsehens des Ergebnisses (Antwort des DynDNS-Servers)
  • Liste der bekannten Rechner, plus Möglichkeit, diesen einzeln den Zugang zum Internet zu verwehren und diese per WOL zu wecken
  • rsync-Server, alternativ SFTP oder SCP
  • Traffic-Shaping nach folgenden Kriterien: Protokoll, Port, IP
  • crontab zugänglich
  • Anzeige der DHCP Leases (Rechnername, IP-Adresse, MAC)

KANN
  • NTP-Server, NTP-Client
  • Livetraffic-View außerhalb Browser (ähnlich wie imonc)
  • Anzeige des Verkehrs der aktuellen Einwahlverbindung mit Protokollierung derselben (ähnlich wie imonc)
  • Möglichkeit generierte Daten (Logdateien, rrd-Dateien ...) vor dem shutdown und zeitgesteuert zu sichern
  • USB-Stick einbinden
  • Munin-Node
  • grafische Auswertung und Protokollierung verschiedene Systemparameter (RRDtool): CPU-Last, Traffic, Uptime, Speicherauslastung, Verbindungen, Prozesse, Dateisystembelegung
  • Webserver mit Nutzerverwaltung (Rechte für verschiedene Module)
  • Anzeige der Systeminformationen (Dateisystembelegung, Speicherauslastung, CPU-Last)
  • BASH
  • folgende Konsolenbefehle: arp, less, netcat, netstat, tail, traceroute, wget, uptime, zcat
  • Midnight Commander

TELEFONIE
  • SMS verschicken *
  • Anrufe absetzen *
  • Anrufliste nach anfragender IP gefiltert
  • CAPI-Server (Ersatz dafür)
  • S0-Ausgang oder mindestens 2 analoge Anschlüsse
  • Fax-Möglichkeit
*) Alarmierung bei Ausfall eines Geräts

MfG Dalai

PS: Nein, ich habe keinen Clown gefrühstückt ;D.
 
Aufgrund aktueller Gegebenheiten muss ich das Thema wieder aufwärmen. Die Telekom hat angekündigt, unseren Anschluss umzustellen (sonst wird der Anschluss im August/September gekündigt). Das bedeutet, ich brauche innerhalb der nächsten Wochen eine Lösung für diese Problematik.

Von zusätzlicher Telefonie bin ich mittlerweile abgekommen, d.h. gesucht wird nunmehr ein reiner Router - Möglichkeit 2 im OP. Da ich Freiheit will, werde ich dort OpenWRT oder DD-WRT einsetzen. Nun bleibt die Frage: Welchen (einigermaßen) aktuellen Plasterouter (oder Access Point) kann man kaufen, auf dem eines der WRTs sauber läuft? Preislich setze ich bei ~80 EUR die Grenze.

Als sehr schwierig empfinde ich, ein Gerät zu finden, das von den WRTs in allen Hardwarerevisionen unterstützt wird, weil man ja vor dem Kauf gar nicht weiß, welche Revision man bekommt. Leider ist es offenbar so, dass gerade neuere Revisionen häufig nicht mehr bzw. noch nicht unterstützt werden (und ob der Support noch kommt, ist oft ebenfalls fraglich).

Grüße
Dalai
 
Zuletzt bearbeitet:
Ein Minicomputer der mehrere Netzwerkanschlüsse hat, mit IPFIRE betrieben, ist auch eine super Router/Firewall.
Die grafische Oberfläche zum Konfigurieren ist super. (Zwangsproxy, VPN, Geoblocking, Statistiken, ...)

Aber ein *WRT läuft natürlich auch gut und stabil.
Betreibe das bei mir im SOHO schon seit Jahren.
Die Stabilität kommt dort primär von der Hardwarequalität == Preis.
Wann man die richtige HW-Version bekommt *gg*

lg
__tom
 
Irgendwie blicke ich nicht ganz durch;)

Also wenn ich richtig liege läuft euer Anlage über ISDN und die Telekom will jetzt umstellen auf VOIP?

Wenn das so ist könnte man mit ein einfachen router der ISDN Anschluss hat als Gateway Einsätzen
Nachteil Daten übern D-Kanal werden nicht mehr übertragenen
Vorteil schnell einfach und günstig;)
 
@Dalai:
Es gibt auch zB.: Turris
eine "eigene" Openwrt Hardware, wo man nicht auf Herstellerhardwareversionen angewiesen ist.
 
Vor allem auf das erste Post bezogen: Bis auf Telefonie sollte das meiste mit einem PC und pfSense funktionieren - nutze ich seit einiger Zeit auf einem miniITX-Atom-System, sollte aber auch mit z.B. einem AM1 Board mit zusätzlicher Netzwerkkarte (auf Kompatibilität mit FreeBSD achten) gehen.
 
Eine wichtige allgemeine Sache vorweg: Die im OP genannten Dinge sind das Maximum des Geforderten. Letztlich betrifft das Ganze mehrere verschiedene Standorte, und nicht alle davon haben dieselben Anforderungen. Ich privat brauche z.B. gar kein ISDN, keine Alarmierung bei Ausfall eines Geräts, vielleicht noch nicht einmal Fax etc. Wird wohl besser sein, wenn wir uns erstmal darauf beschränken, für diesen einfachen Anwendungsfall passende Hardware zu suchen.

Für diesen einfachen Fall soll also eine Kombination aus zwei Geräten eingesetzt werden: ein primäres Gerät rein für die Telefonie (das kann im Zweifel das Gerät vom Provider sein oder eine einfache, billige Fritzbox) und ein sekundäres Gerät, das sich um Internet kümmert. Und genau um dieses zweite Gerät geht es. Klar könnte ich theoretisch fli4l weiter betreiben, aber ich will weg von einem PC, der Platz und Strom verbraucht, und zudem bietet fli4l als reiner Ethernetrouter nicht alle Funktionen.


Ein Minicomputer der mehrere Netzwerkanschlüsse hat, mit IPFIRE betrieben, ist auch eine super Router/Firewall.
Die grafische Oberfläche zum Konfigurieren ist super. (Zwangsproxy, VPN, Geoblocking, Statistiken, ...)
Was nicht großartig anders ist als fli4l auch. Der Punkt ist: Ich will weg von einem PC, der vermutlich locker 30W verbraucht.

Die Stabilität kommt dort primär von der Hardwarequalität == Preis.
Sicher richtig. Ich wäre ja durchaus bereit, für aktuelle Hardware 100 oder auch 150 EUR auszugeben. Aber um die 80 EUR für einen TP-Link WDR4300, der schon seit 2012 auf dem Markt und neu gar nicht mehr erhältlich ist? Öhm, nö.

Irgendwie blicke ich nicht ganz durch;)
Nachvollziehbar, denn das Thema ist ziemlich komplex.

Also wenn ich richtig liege läuft euer Anlage über ISDN und die Telekom will jetzt umstellen auf VOIP?
Richtig, nur statt ISDN ist hier analog, aber das spielt ja für das Grundprinzip keine Rolle.

Wenn das so ist könnte man mit ein einfachen router der ISDN Anschluss hat als Gateway Einsätzen
Damit habe ich keine der benötigten zusätzlichen Funktionalitäten wie z.B. SSH und benutzerdef. DynDNS (nicht ohne Grund als MUSS gekennzeichnet).

Es gibt auch zB.: Turris
eine "eigene" Openwrt Hardware, wo man nicht auf Herstellerhardwareversionen angewiesen ist.
Nettes Projekt, aber leider viel zu teuer (günstigstes Angebot fand ich bei Amazon für 229 EUR), und zudem für mich privat auch überdimensioniert. Für den anderen Standort in der Firma kann man das mit in Betracht ziehen, aber das ist derzeit noch nicht notwendig.

Vor allem auf das erste Post bezogen: Bis auf Telefonie sollte das meiste mit einem PC und pfSense funktionieren
Siehe oben: der vorhandene PC soll weg.
 
Jo, das ist ja eigentlich gerade der Witz mit den aktuellen Mini-PCs. Der Verbrauch und Platzbedarf ist kaum höher als bei einem Plaste-China-Router, und mit einem OS wie pfSense ist man maximal flexibel.
 
Danke erstmal für die rege Beteiligung hier :)! Die Funkstille meinerseits liegt nur darin begründet, dass ich mir momentan die in Frage kommenden Systeme und Geräte und deren Möglichkeiten anschaue - und das ist echt anstrengend und zeitraubend, vor allem, wenn man schon bestimmte Vorstellungen hat, wie etwas zu funktionieren hat.

Grüße
Dalai
 
Ich kann mich der Empfehlung für pfSense nur anschließen. Das kann vermutlich alles was du oben auflistest, und hat eine vernünftige Updatepolitik. Bei den WRTs gibt's teilweise über mehrere Jahre keine Updates, was dann zu hornalten Versionen von z.B. OpenSSL führt - das kann ich in dem einzigen Gerät das direkt am Internet hängt einfach nicht mehr akzeptieren.

Wenn dir die Größe des Geräts und der Stromverbrauch so wichtig sind, wie wär's dann damit? https://www.netgate.com/products/sg-1000.html 2,5W Verbrauch und so groß wie eine Streichholzschachtel sind sicher schwer zu schlagen. Da VPN bei dir nicht auf der Liste steht sollte die Rechenpower auch ausreichen.

Der große Nachteil bei pfSense ist die sehr schwache Unterstützung von WLAN. Da macht's dann mehr Sinn einen separaten Access Point zu betreiben. Ich hab innerhalb der letzten 3 Jahre alle meine Kunden von DD-WRT zu pfSense migriert und es keinen Moment bereut.

Gruß,
Chris
 
Auch wenn ich mich erst jetzt wieder melde, die Entscheidung ist bereits vor ein paar Monaten gefallen: ALIX mit fli4l hinter einer FritzBox 7412.

"Warum ein (alter) ALIX?" werden sich sicher einige fragen. Das ist schnell beantwortet:
  • Kosten: Ich habe einen ALIX.2D13 über eBay Kleinanzeigen für 60 EUR inkl. Versand bekommen können, der somit locker 100 EUR billiger ist als ein aktuelles APU2-System.
  • Ausreichend: Vor dem Kauf des ALIX habe ich Geschwindigkeittests mit einem AMD K6-III gemacht, und die haben ergeben, dass selbst dieser in der Lage ist, eine 100 MBit-Leitung auszulasten; der ALIX reicht daher für die geplante Bandbreite von max. 50 MBit für die nächsten paar Jahre.
  • OS-Support des APU2: Mangelnde Unterstützung des SD-Controllers durch die aktuelle stabile Version von fli4l.
  • Vorhandene Hardware: Ich habe mehrere CF-Karten vorrätig, zwei Stück mit 64 MB (wovon ich eine im ALIX einsetzen werde), und zwei weitere mit 4 GB. Ein APU2 hätte entweder eine SD-Karte (Problematik siehe voriger Punkt) oder eine mSATA-SSD gebraucht - kostet Geld.

Warum nun doch wieder fli4l statt OpenWRT wie angedacht? Die Antwort darauf ist etwas länger. Primärer Faktor für die ursprüngliche Absicht des Wechsels zu OpenWRT war der Gedanke, weniger Strom zu verbrauchen. Ich dachte daher, dass das mit x86-Architektur nicht (zu einem vernünftigen Preis) machbar ist. Daraus folgte für mich, dass die Architektur Richtung ARM, MIPS o.ä. gehen müsse. Der Hinweis von MIWA auf den APU2 ließ mich die Absicht überdenken.

Hinzu kamen diverse Nachteile der anderen OS, die ich jeweils in einer VM getestet habe:
OpenWRT:
  • permanentes Schreiben von Daten auf die Root-Partition (ext4) - nicht gut für Flash-Speicher.
  • kein Editor im Midnight Commander
  • keine Möglichkeit gefunden, Daten alternativ in einem tmpfs abzulegen, inkl. Sicherung & Wiederherstellung bei Reboot
  • kein Logrotate
IPFire:
  • Selbe Problematik bzgl. der permanenten Schreibzugriffe auf den Datenträger wie bei OpenWRT
  • erwartet standardmäßig verifizierte Antworten vom DNS-Server (DNSSEC), Abschaltung dessen ist unnötig kompliziert

Leider weiß ich nicht mehr genau, welchen Zirkus ich bei pfSense zu durchleben hatte. IIRC war irgendwas in Richtung Tastaturlayout, das nicht oder nur mit viel Aufwand auf deutsch umzustellen ging. Wenn es um die Nutzung eines vorhandenen DNS ging, war es aber genauso zickig wie IPFire (ich glaub ebenfalls wegen DNSSEC). In Bezug auf Schreibzugriffe hat es zwar Vorteile gegenüber den anderen, aber wie das dann funktionieren soll, war mir nach den Anfangsschwierigkeiten egal. Wahrscheinlich waren es noch weitere Dinge, aber leider hab ich mir keine Notizen gemacht. Da OPNSense auf pfSense aufbaut, war die Frage nach dem Einsatz dessen bei mir auch geklärt.

Und nicht zuletzt war es natürlich auch die vorhandene Kenntnis von fli4l. Ich habe zwar in den vergangenen Monaten intensiv an mehreren Paketen & OPTs Korrekturen vornehmen sowie einige davon erweitern müssen, weil die fli4l-Entwickler an einigen Stellen einfach nicht weit genug denken oder manchmal gar sinnfreie Einschränkungen einbauen. Aber dank der Vorkenntnisse war das zu bewältigen - wenn auch viel Arbeit.

-----

Für die Firma wird die Wahl sicher anders ausfallen, schon allein weil dort erheblich mehr Clients am Router hängen und deshalb leistungsfähigere Hardware eingeplant werden muss. Das wird sich aber noch zeigen, wie das dort wird.

Grüße
Dalai
 
Zurück
Oben Unten