Forum: PC Hard- und Software Linux Router mit Volumequota und Zeitsperre


von Rene K. (xdraconix)


Lesenswert?

Ziel:

Ich würde gerne einen eigenen Router auf Debian, WRT oder was auch 
immer, laufen lassen. Ich möchte für einzelne Clients (IP oder Mac 
Identifierzierung) ein Zeitfenster (z.b. 6:00-15:00 Uhr) sowie ein 
Volumequota (z.b. 5GB / Tag) oder alternativ eine Bandbreitenlimit (z.b. 
komplett nur 1Mbit) erstellen können.


Vorhanden:

Vorhanden sind aktuell eine Fritzbox welche momentan als Router dient. 
Dahinter stehen zwei Hardware-Server. Auf dem einen läuft Debian mit 
DHCP (Kea), DNS (über PiHole / separate IP) - auf diesem Server habe ich 
insgesamt 6 Nics - davon laufen aktuell vier im RR-Bond auf einen 
Managed Switch, einer ist RemoteConsole im eigenen Subnetz und einer ist 
noch frei. Auf dem anderen Server läuft Proxmox mit mehreren Containern 
(Webseiten). Dieser ist ebenfalls mit vier Nics im RR-Bond auf dem 
Switch und zwei Nics sind noch frei - dort läuft ein Container mit Nginx 
als Reverse-Proxy und teilt den Verkehr auf ein separates Subnetz auf 
die Container-Server auf.

Ich habe noch drei Wlan-AccesPoints rumliegen, welche ich auch nutzen 
kann.

Frage:

Ich möchte nun das gesamte Routing von der Fritzbox weg nehmen und dies 
über einen der Server laufen lassen. Die Fritzbox soll nur noch als 
Modem dienen. Da aber nun auch das Telefon darüber läuft: Würde dies 
weiterhin laufen?

Welchen Software-Router könnte ich mir denn mal anschauen. Ich bin da ja 
immer noch ein wenig gespalten: Am liebsten würde ich das Routing ja dem 
Privatem Server übernehmen lassen. Im Proxmox Server hingegen könnte ich 
einen Container oder VM dies übernehmen lassen - aber wenn ich diesen 
mal runterfahre - dann geht natürlich auch das Internet komplett weg.

Die Fritzbox hängt momentan noch am Switch, kann ich aber natürlich 
problemlos on einen der zwei Server anschließen um eine der freien Nics 
zu nutzen.

Den WLan-Teil der Fritzbox (7590) kann ich wahrscheinlich nicht weiter 
nutzen oder? Aber das wäre das geringste Problem.

Jemand Tipps für mich?

von König der Chinesen (Gast)


Lesenswert?

Rene K. schrieb:
> Zeitfenster (z.b. 6:00-15:00 Uhr)

Das kann die Fritzbox doch bereits schon?!

Und was soll das ganze am Ende nützen? Hast du echt noch einen Volumen 
DSL Tarif? Meinst das Internet wird schneller wenn du aggressives 
Traffic Shaping mit Quota und Bandbreitenlimits einführst? Das haben 
schon viele probiert und das Ergebnis ist eigentlich immer Müll sofern 
du die Selektion nicht vor dem Nadelöhr durchführen kannst...

Und dass ein Handy in der Zeit danach einfach auf mobile Daten wechselt 
ist dir bewusst, oder?

Wenn man eine Firewall Lösung nutzt dann etwas ala pfSense. Aber 
hinsichtlich Stromverbrauch sind 3 Server wie du sie hast im Heimbereich 
völliger Wahnsinn. Willst du da echt noch einen dazu packen bzw. mit 
Virtualisierung und VLAN anfangen?

von Dave (Gast)


Lesenswert?

Meine erste Frage ist Warum um alles in der Welt?
Deine Fritzbox ist neben dem Modem noch Router, PPPoE Client, DNS, DHCP 
und bequem zu konfigurierende Firewall mit Quota Support und CO. Willst 
du das alles selbst bauen?

von Reinhard S. (rezz)


Lesenswert?

Rene K. schrieb:rage:
> Ich möchte nun das gesamte Routing von der Fritzbox weg nehmen und dies
> über einen der Server laufen lassen. Die Fritzbox soll nur noch als
> Modem dienen. Da aber nun auch das Telefon darüber läuft: Würde dies
> weiterhin laufen?

Wenn du es schaffst, den reinen Modembetrieb zu aktivieren (der ist 
schon länger nicht mehr enthalten): Nein, da musst du dich dann drum 
kümmern.

> Den WLan-Teil der Fritzbox (7590) kann ich wahrscheinlich nicht weiter
> nutzen oder?

Richtig. Insofern wäre das ziemliche Perlen vor die Säue. Wenn du das 
unbedingt so willst schau mal nach einem reinem DSL-Modem. DrayTek Vigor 
166/167 würden mir da spontan einfallen.

von (prx) A. K. (prx)


Lesenswert?

Linux kann von Haus aus bei per Filter wählbaren ausgehenden 
Verbindungen die genutzte Bandbreite präzise drosseln. Das lässt sich 
beispielsweise nutzen, um Backups oder Replikation durchzuführen, ohne 
die Leitung dabei zuzustopfen.

Siehe "tc".

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

König der Chinesen schrieb:
> Meinst das Internet wird schneller wenn du aggressives
> Traffic Shaping mit Quota und Bandbreitenlimits einführst?

Ja, das wird es. Für jene, die es interaktiv parallel zu 
Hintergrundaktivitäten nutzen. Die haben sonst Pings mit dreistelligen 
Millisekunden und wenig Spass daran.

> Das kann die Fritzbox doch bereits schon?!

Traffic anhand der lokalen IP-Adresse priorisieren kann sie auch.

von TestX (Gast)


Lesenswert?

1. FRITZ!Box als Router/Modem/AP rausschmeißen und wenn nötig als TK 
Anlage im eigenen vlan (Modus Internet Verbindung über LAN).
2. Bridge Modem wie das Vigor167 oder VMG3006 verwenden
3. Als Routing/Firewall Appliance opnSense oder OpenWRT nutzen (da ist 
das meiste schon fertig…). Sophos Home gibt es auch mit einem Limit von 
100 in Adressen.
4. Betreibe die Appliance nicht virtualisiert…es ist wirklich nervig 
wenn garnichts mehr geht weil der Server nicht läuft oder Updates 
laufen…
5. vernünftige wlan APs installieren

Für komplexe QOS Szenarien bietet sich MikroTik an - allerdings ist die 
Lernkurve (selbst für Profis) sehr steil und setzt jahrelange Erfahrung 
im Bereich Linux Networking voraus

von Rene K. (xdraconix)


Lesenswert?

König der Chinesen schrieb:
> Das kann die Fritzbox doch bereits schon?!

Das ist korrekt, und das ist auch schon das einzigste. Die 
"Kindersicherung" der FritzBox / FritzOS ist halt sehr überschaubar.

König der Chinesen schrieb:
> Und was soll das ganze am Ende nützen? Hast du echt noch einen Volumen
> DSL Tarif?

Nein kein Volumentarif, ich möchte einzelnen Clients (Kindern) ein 
Datenkontingent zuweisen.

König der Chinesen schrieb:
> Meinst das Internet wird schneller wenn du aggressives
> Traffic Shaping mit Quota und Bandbreitenlimits einführst? Das haben
> schon viele probiert und das Ergebnis ist eigentlich immer Müll sofern
> du die Selektion nicht vor dem Nadelöhr durchführen kannst...

Ich möchte in keinster Weise das Internet schneller haben. Habe ich auch 
nicht erwähnt.

König der Chinesen schrieb:
> Und dass ein Handy in der Zeit danach einfach auf mobile Daten wechselt
> ist dir bewusst, oder?

Korrekt, und ist so gewollt. Mobile Daten gibt es in meiner Wohngegend 
übrigens nicht, wir haben hier nicht einmal normales Funknetz zum 
Telefonieren.

König der Chinesen schrieb:
> Aber
> hinsichtlich Stromverbrauch sind 3 Server wie du sie hast im Heimbereich
> völliger Wahnsinn.

Ich habe zwei Server im Einsatz, von dreien war nie die Rede. Ich möchte 
ja natürlich einen der zwei Server für diesen Einsatz nutzen.

Ja der Stromverbrauch ist vorhanden, wird aber umgerechnet und ist schon 
über das Gewerbe abgerechnet - würde also eh nur eine Zweitrangige Rolle 
spielen.

König der Chinesen schrieb:
> Willst du da echt noch einen dazu packen bzw. mit
> Virtualisierung und VLAN anfangen?

Wie im Eingangsthread bereits schrieb: Virtualisierung und VLAN laufen 
hier eben schon einige Jahre im Haushalt. Ich bräuchte da quasi nichts 
"anfangen".

Dave schrieb:
> Deine Fritzbox ist neben dem Modem noch Router, PPPoE Client, DNS, DHCP

Richtig, DNS und DHCP laufen eh schon seit einigen Jahren über die 
Server. Die Fritzbox arbeitet aktuell als AP im Haushalt (Die Firma 
läuft über separate APs), Router und Modem.

Dave schrieb:
>...bequem zu konfigurierende Firewall mit Quota Support und CO...

Firewall ja, aber Quota Support kann sich nicht. Zumindest noch nie 
gefunden. Wo geht dies?

Reinhard S. schrieb:
> Richtig. Insofern wäre das ziemliche Perlen vor die Säue. Wenn du das
> unbedingt so willst schau mal nach einem reinem DSL-Modem. DrayTek Vigor
> 166/167 würden mir da spontan einfallen.

Okay, super. Danke für den Hinweis! Schau ich mir mal an.

(prx) A. K. schrieb:
> Linux kann von Haus aus bei per Filter wählbaren ausgehenden
> Verbindungen die genutzte Bandbreite präzise drosseln. Das lässt sich
> beispielsweise nutzen, um Backups oder Replikation durchzuführen, ohne
> die Leitung dabei zuzustopfen.
>
> Siehe "tc".

Super, danke - schau ich mir auch mal an. Nutze ich im Grunde schon für 
meine Backups. Dachte aber immer dies sei nur für die komplette aktive 
Nic / Bond. Schau ich mir nochmal näher an.

TestX schrieb:
> 1. FRITZ!Box als Router/Modem/AP rausschmeißen und wenn nötig als TK
> Anlage im eigenen vlan (Modus Internet Verbindung über LAN).
> 2. Bridge Modem wie das Vigor167 oder VMG3006 verwenden

Wird dann wahrscheinlich so enden. Danke für die Info.

TestX schrieb:
> 3. Als Routing/Firewall Appliance opnSense oder OpenWRT nutzen (da ist
> das meiste schon fertig…). Sophos Home gibt es auch mit einem Limit von
> 100 in Adressen.

An OpenWRT hätte ich auch gedacht. 100 Adressen reichen bei mir leider 
nicht aus.

TestX schrieb:
> 4. Betreibe die Appliance nicht virtualisiert…es ist wirklich nervig
> wenn garnichts mehr geht weil der Server nicht läuft oder Updates
> laufen…

Okay, danke - ja das mit der Virtualisierung über den zweiten Server war 
ich halt wirklich auch nicht überzeugt. Ebend aus solch Gründen.

TestX schrieb:
> 5. vernünftige wlan APs installieren

Ja ich habe hier die Ubiquiti uniFi - bis jetzt nur gute Erfahrungen 
damit gemacht.


Danke erstmal für euren ganzen Input :-D

von (prx) A. K. (prx)


Lesenswert?

Rene K. schrieb:
>> Siehe "tc".
>
> Super, danke - schau ich mir auch mal an. Nutze ich im Grunde schon für
> meine Backups. Dachte aber immer dies sei nur für die komplette aktive
> Nic / Bond. Schau ich mir nochmal näher an.
1
tc qdisc add dev ens160 root handle 1: cbq avpkt 1000 bandwidth 1000mbit
2
tc class add dev ens160 parent 1: classid 1:1 cbq rate 4mbit allot 1500 prio 5 bounded isolated
3
tc class add dev ens160 parent 1: classid 1:2 cbq rate 4mbit allot 1500 prio 5 bounded isolated
4
tc filter add dev ens160 parent 1: protocol ip prio 16 u32 match ip dst 10.1.1.1 flowid 1:1
5
tc filter add dev ens160 parent 1: protocol ip prio 16 u32 match ip dst 192.168.2.2 flowid 1:2
6
tc qdisc add dev ens160 parent 1:1 sfq perturb 10

von Willi (Gast)


Lesenswert?

Schau dir doch mal die Endian Community Firewall an, das ist ein freies 
UTM und sollte aus der Erinnerung heraus eigentlich alles können, was 
gebraucht wird.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.