pfSense Router,Firewall und Proxy-Server

Idee:

Einen sicheren energieeffizienten, lautlosen Router mit einer Firewall und einem Proxy-Server für den Small office/home office Bereich aufzusetzen um das eigen Netzwerk abzusichern. Natürlich gibt es fertige voll vorkonfigurierte Geräte zu kaufen, doch die dafür ausgerufenen Preise liegen jenseits der 200€ und sind oft in ihren Funktionen sehr eingeschränkt. Darum war meine Idee eine kostengünstige und dennoch leistungsfähige Hardware zu finden, welche meine Bedürfnisse erfüllt.

Für mich war von Anfang an  klar, dass nur pfSense als Betriebsystem für den Router/Firewall in Frage kommt, musste ich nur noch die passende Hardware finden, welche energieeffizient, lautlos, dennoch leistungsstark und unter meinem Budget von 25€ liegt. Hierzu fiel die Wahl sofort auf ein ausrangierten Thin Client, da ein Raspberry Pi nicht die nötige Leistung und schon gar kein zweiten Netzwerkanschluss hatte. Also musste ich einen Thin Client finden, welcher die Möglichkeit bot, eine PCIe Erweiterung einzubauen. Also habe ich mir in der Bucht einen Thin Client von Fujisu Siemens geschossen für 12€ inclusive Versand, eine 8GB Compact Flash Karte für 5€  (4GB hätten es auch getan, aber die waren genau so teuer), eine Netzwerkkarte und 2GB DDR2 SO RAM hatte ich noch rumliegen, damit das alles in den Thin Client rein passt musste noch eine Riser Karte für 7€ her. Macht also genau 24€ für die Hardware.

Umsetzung:

Thin Client aufschrauben, zusätzliche Komponenten einbauen bzw. austauschen, zuschrauben und den Installer von pfSense über USB starten und pfSense installieren. Yada, yada, yada und fertig! Naja leider nicht ganz so einfach und vor allem nicht so schnell.

Hardware:

Die Netzwerkkarte muss den Formfaktor „half size“ haben, da diese sonst nicht in den kleinen Thin Client rein passt. Ich hatte Glück, dass dass ich die Slotblende von meiner Netzwerkkarte abschrauben konnte, und die Karte an sich sehr klein ist. Natürlich ist diese Lösung nur subotimal, da die Karte dann nicht richtig befestig werden kann und etwas „Spiel“ hat. Da man aber die Netzwerkkabel bei einem Router nur sehr selten wechselt, sollte dies also kein wirkliches Problem darstellen.

Riser Karte ist nicht gleich Riser Karte, es gibt welche die nach 90° nach links und welche die nach rechts „knicken“. Ich habe zwar die richtige Seite bestellt, aber leider gibt es auch unterschiedliche Höhen. Die Höhe in der der Adapter sitzt ist leider ca. 0,5cm zu tief. Das heisst, der Lananschluss liegt etwas unterhab des Aussparung- suboptimal aber funktional.

Compact Flash Karte, hier das gleiche Spiel, die erste CF Karte die ich bestellt hatte, war von CnMemory, das Problem war, dass die Karte nur als „removable Device“ erkannt wurde und nicht als „fixed Disk“. Das bedeutet, ich konnte zwischenzeitlich nicht booten, da das Bios es nicht erlaubte, einen Wechseldatenträger an der IDE Schnittstelle zu betreiben. Nach langem lesen in diversen Foren habe ich herausgefunden, dass es Unterschiede gibt und man für die „fixed Disk“ halt ca. das vierfache Zahlen muss, es sei denn, man benutzt eine von Transcendent, diese erkennt, ob sie über USB angeschlossen wurde (sprich als Wechseldatenträger) oder über die IDE Schnittstelle als Laufwerk. Also musste eine Transcendet Compact Flash Karte her. Jetzt konnte der Thin Client endlich fehlerfrei booten.

Software

pfSense biete so alle erdenklichen Möglichkeiten die man sich für einen Router wünscht. Zuerst habe ich pfSense auf dem Thin Client installiert und in seiner Basisversion eingerichtet. D.H. Als eine Firewall zwischen einem Telekom Speedport Router und meinem TP-Link Netzwerkswitch. Wichtig ist es zu beachten, dass es einen LAN-Anschluss gibt, das ist die Seite, die euer Internes Netzwerk mit dem Thin Client verbindet und die WAN-Schnittstelle, die den bestehenden Router mit dem Thin Client verbindet. Klar ist es möglich, dass man auch den bestehenden Router entfernt und den Thin Client auch als DSL Modem verwendet, aber wer dann mal auf den Telekom Support angewiesen ist, hat mehr als nur Erklärungsnöte, wenn der Anschluss nicht seine volle Bandbreite hergibt. Also lassen wir dieses Teil einfach seinen Dienst weiterhin vollbringen.

Über Raffael Haberland 9 Artikel
Informatikstudent an der Technischen Universität Darmstadt,

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*