Zelfbouw router, hardware/software keuze

https://www.pfsense.org/

Ik zou daar eens naar kijken, volgens mij zou je daar prima mee uit de voeten kunnen

Ik kan me haast niet voorstellen dat die router niet goed werkend is te krijgen. Wat voor bizarre netwerk config doel je precies op?

Is een andere firmware op die RT-N66U niet voldoende? Zie ook: [Ervaringen] Asus RT-N66U (N900) dual-band router

Mijn persoonlijke mening is dat je geen software moet gaan toevoegen aan een router. Ertra functionaliteit breng je aan in je netwerk, niet in je router.

Voorheen maakte we vaak gebruik van http://www.smoothwall.org/ bied een hoop mogelijkheden. Tevens heeft het ook niet zoveel power nodig.

Ik zou eens naar Sophos UTM kijken (heette vroeger Astaro Security Gateway). Ze hebben een gratis versie voor thuisgebruik met als enige limiet 50 IP addressen op het LAN (en een absurd hoog aantal gelijktijdige verbindingen).

Ik draai het zelf op mijn hyper-V server. Werkt prima, mooie UI, maar verwacht wel wat tijd te spenderen aan het aanpassen van de firewall regels (net als met PFSense overigens).

Aaargh! schreef op woensdag 05 november 2014 @ 13:21:
[...]

Heb je hier ook gbit snelheden doorheen getrokken ?

Nee, nooit gebruikt met een verbinding hoger dan 200mbit. Maar ik kan mij niet voorstellen dat het niet kan, de throughput draait voornamelijk om de cpu kracht icm aantal filter toepassingen zoals antivirus, content filtering etc.

Tevens is de software gratis dus het lijkt me niet zo moeilijk dit te testen.

Aaargh! schreef op woensdag 05 november 2014 @ 12:54:
Ik vroeg me af of hier iemand een vergelijkbare setup heeft, welke hardware jullie gebruiken en wat de ervaringen hiermee zijn.

* Raven steekt hand op.

Toen Ziggo's Z3 abo in 2008 de 25Mbps down voorbij ging kwam ik erachter dat de enige htk-router die ik ooit heb gehad tegen een throughputlimiet aan liep, die zat rond de 25Mb.

Daarna gelijk voor overkill gegaan:
- MSI IM-945GSE-A, singlecore Atom, 2* onboard Intel 82574L Gb LAN
- Corsair 1024MB DDR2 533MHz PC4200 Value Select
- Mini-Box M300-LCD
- CF kaartje, bovenstaande kast bevat een bootable CF-reader.
- picoPSU-60-WI 6-26V (60 Watt)
- AC Adapter 12V 60W
- Atheros AR9380 mini PCIe kaartje van Ebay als accesspoint met bijpassende U.fl -> RP-SMA pigtails, antennes en PCI-bracket met 3 gaten voor antennes.
- Throughput is geloof ik ergens tussen de 300 en 400Mbps, maar heb nooit moeite gedaan om te kijken of dat hoger kon omdat mijn verbinding niet zó snel is

De eerste paar jaar heb ik het FreeBSD based pfSense als OS gebruikt, maar die besloot van het ene op het andere moment 10k dhcp requests in een half uur naar mijn isp te sturen die daarop de verbinding afsloot, sindsdien gebruik ik het Linux based IPFire, heb ik gelijk véél beter werkende en meer uptodate wifi-drivers

Deze router-pc draait sindsdien nonstop (herstart voor updates/stroomuitval niet meegerekend), maar ben wel met een vervanger bezig die van een 2e CPU core, meer RAM en 2e wifi kaart voorzien is.

[ Voor 4% gewijzigd door Raven op 05-11-2014 13:31 ]

Aaargh! schreef op woensdag 05 november 2014 @ 13:24:
[...]

Ik maak me minder zorgen over de software als over de hardware. Een mooie GUI hoef ik ook niet, configuratie zal ik via de command line doen. (er mag geen overbodige software op draaien en dus zeker geen webserver).

Dan kan je denk ik beter voor een MicroTik router gaan dan voor een zelfbouw systeem.

Interessant topic. IK heb ook nagedacht om mijn eigen router te bouwen. Ik ben v.w.b. de software aan het kijken naar http://www.ipfire.org/
Ook omdat daar een web proxy inzit.

* Equator volgt het topic even.

Ik draai alweer een goed jaar op de volgende hardware:

#	Product	Prijs	Subtotaal
1	Gigabyte GA-C1037UN-EU	€ 70,98	€ 70,98
1	Toshiba MK8061GSYB, 80GB	€ 154,82	€ 154,82
1	LC-Power LC-1320mi	€ 45,86	€ 45,86
1	Crucial CT25664BA160B	€ 18,49	€ 18,49
Bekijk collectie Importeer producten		Totaal	€ 290,15

hierop draait PFsense met daarbij squid, openvpn en nog wat andere tooling op een ziggo 180Mbit verbinding. Machine trekt dit zonder enige load al heb ik inmiddels wel 8GB erin zitten voor BGP tables erbij te kunnen laden.

Och dat merk je nu echt niet meer, zon j1900 is snel zat om daar geen last van te hebben tbh.

Intel Dualport dan maar en de onboard realtek chipset uitzetten? Lijkt me niet dat je de bandbreedte van een pci-e slot gaat maxen toch?

Waar gaat dat remote management verkeer dan overheen? 1 dedicated poort, of vangt het moederbord speciale pakketjes af uit je netwerkverkeer (lijkt me niet bevorderlijk voor de performance)?

Tot nu toe heeft alle remote management die ik heb gebruikt (iLO, DRAC, RMM) altijd zijn eigen poort gehad namelijk.

citruspers schreef op woensdag 05 november 2014 @ 14:23:
Waar gaat dat remote management verkeer dan overheen? 1 dedicated poort, of vangt het moederbord speciale pakketjes af uit je netwerkverkeer (lijkt me niet bevorderlijk voor de performance)?

Tot nu toe heeft alle remote management die ik heb gebruikt (iLO, DRAC, RMM) altijd zijn eigen poort gehad namelijk.

Ook die poorten (ILO in ieder geval) kun je delen met normaal verkeer.

Aaargh! schreef op woensdag 05 november 2014 @ 13:38:
[...]

Wat voor snelheden trek je er nu doorheen ? Snelste wat ik gedaan heb met een Linux-based setup is 200Mbit symmetrisch en dat is geen enkel probleem. Ik vroeg me alleen af of ik in de problemen ga komen als ik richting te max. van de netwerk kaarten ga.

->

Raven schreef op woensdag 05 november 2014 @ 13:27:
- Throughput is geloof ik ergens tussen de 300 en 400Mbps, maar heb nooit moeite gedaan om te kijken of dat hoger kon omdat mijn verbinding niet zó snel is

Dat heb ik vlak na aankoop toen met jperf gemeten met een Gbit client aan de ene poort en Gbit client aan de andere poort. De hoogst gemeten snelheid lag volgens mij rond de 380Mbps als ik het mij goed kan herinneren en volgens mij zag ik toen ook de singlecore Atom (N270) zwaar belast worden.

Omdat de internetverbinding daar qua snelheid toch niet in de buurt kwam heb ik daar dus niet verder naar gekeken. Maar ik ben wel blij met het systeempje, vooral de (tov htk routers) flinke hoeveelheid RAM, dan gaat ie niet over de zeik als je en een torrentclient én een ed2k client aan hebt staan

De N270 is van Q2'08, de Haswell Celerons zijn amper 1 jaar oud(?) en zullen inderdaad heel wat rapper zijn dan die oude Atom. Maar het kan zijn dat er een driver issue was, die jperf-test was toen er nog pfSense 1.2.3 (FreeBSD 7.2) op draaide en de drivers daarvan (met name wifi) waren verre van geweldig. Maar ik was allang blij dat het werkte

Ben benieuwd hoe de nieuwe het gaat doen. Zit een N2800 in, ook niet recent, maar met een extra core en Linux based OS met betere drivers verwacht ik wel een verbetering .

edit: Zit net de blog over pfSense 1.2.3 te lezen:

Warning for those using Intel PRO/100 cards – there is a regression in the fxp driver in FreeBSD 7.2 that may require disabling hardware checksum offloading under System -> Advanced if you have connectivity problems.

Er was dus wel wat met de Intel driver, maar of ik daar ook last van had...

[ Voor 27% gewijzigd door Raven op 05-11-2014 16:47 ]

Aaargh! schreef op woensdag 05 november 2014 @ 15:33:
[...]

Nee, geen PPPoE maar rechtstreeks bridgen kan ook niet. De STB moet zowel bij VLAN 4 (multicast IPTV) als bij VLAN 34 (internet) kunnen. Zoals ik zei: een bizarre netwerk config. In plaats van het hele IPTV gebeuren op z'n eigen VLAN te gooien gaan alleen de multicast streams over dat VLAN, alle andere dingen zoals de EPG en de HTML-based UI van het ding gaan over de normale internet verbinding. Het ding moet dus achter de NAT met wat rules om het juiste verkeer naar het juiste VLAN te krijgen. Waarom er niet gekozen is om gewoon alle IPTV zaken over VLAN 4 te gooien snap ik ook niet.

dat is ehm, apart ja

Aaargh! schreef op woensdag 05 november 2014 @ 12:54:
Het idee is zelf een machine te bouwen op basis van een x86 CPU en 2 gbit NICs en hier een stabiel en veilig OS op te draaien, waarschijnlijk wordt dit OpenBSD.

Veiligheid en maximale flexibiliteit m.b.t. de configuratie zijn het belangrijkst, vandaar dat ik geen kant en klaar router kastje wil maar iets waar ik 100% in controle ben over welke software er op draait.

Ik vroeg me af of hier iemand een vergelijkbare setup heeft, welke hardware jullie gebruiken en wat de ervaringen hiermee zijn. Waar ik voornamelijk in geïnteresseerd ben is de throughput snelheid en latency van zo'n installatie. Ik wil uiteraard wel in staat zijn een volle gbit door die router te drukken en vroeg me af of een volledige software-based router hier snel genoeg voor is.

Ik gebruik een Axiomtek NA-320R met OpenBSD en dat bevalt uitstekend, maar een volle Gbit er doorheen wordt lastig. Het ding heeft een Atom D510 en als ik met iperf test tussen twee lokale netwerken, dan zit ie op 80% interrupt load bij ca 450 Mbit/s.
Voor mij snel zat en met een niewere versie van OpenBSD (bij mij er staat nog 5.4 op) haal je misschien wat meer, maar voor 1 Gbps heb je denk ik toch iets zwaarders nodig.

Aaargh! schreef op woensdag 05 november 2014 @ 14:12:
Ik neig nu naar zoiets:

#	Product	Prijs	Subtotaal
1	Intel Celeron G1840 Boxed	€ 31,50	€ 31,50
1	Asus P9D-I	€ 149,-	€ 149,-
1	LC-Power LC-1340mi	€ 33,50	€ 33,50
1	ICIDU Value DDR3,1333-4GB KIT	€ 40,99	€ 40,99
1	Transcend TS16GHSD630 16GB	€ 31,12	€ 31,12
Bekijk collectie Importeer producten		Totaal	€ 286,11

Moederbordje heeft 2x intel NIC onboard en remote management, wat erg handig is voor een headless machine en vreet ECC geheugen.

Supermicro heeft een bord met 2x Intel NIC met een J1900.

Niet precies wat jij wil maar misschien heb je er iets aan:

Mijn router is een Linux VM die draait op een AMD Athlon(tm) II X2 250, samen met een dozijn andere VMs. Vanaf mijn desktop, via de virtuele router naar een andere VM haal ongeveer 550Mbit. Dat is inclusief vlans, ipsec en firewalling.

Hierbij gebruikt de firewall 70% cpu van 1 core van de CPU, de ontvangende VM gebruikt 40% cpu van een andere core. De rest van de CPU wordt door andere VMs gebruikt.

Als deze vijf jaar oude CPU al 550Mbit kan halen met alle overhead die ik hierboven noem dan zal een moderne machine die verder niks anders doet makkelijk 1gbit kunnen routeren.

Ik ben ook een lijstje aan het samenstellen. Ik ben niet specifiek op zoek naar Intel NIC's (ik weet dat ze beter zijn) maar voor mijn 90Mbps Internetverbinding niet heel erg relevant.

#	Product	Prijs	Subtotaal
1	Gigabyte GA-C1037UN-EU	€ 70,98	€ 70,98
1	LC-Power LC-1340mi	€ 33,50	€ 33,50
1	Crucial CT51264BA160BJ	€ 31,95	€ 31,95
1	Transcend TS16GHSD630 16GB	€ 31,12	€ 31,12
Bekijk collectie Importeer producten		Totaal	€ 167,55

Iets meer budget dus, wel schaamteloze copy pastes van Aaargh!

De NIC;s zijn in ieder geval supported door IPfire.

Interessant topic.

kan er dan nog een vdsl wan kaart bij, zoiets als Cisco VDSL2 High-Speed WAN?

Een zelfbouw router bestaande uit desktopcomponenten zal altijd meer verbruiken dan een geïntegreerd product. Zowel het moederbord als de CPU zijn voorzien van allerlei componenten die je niet nodig hebt in een router.

Iedere watt die 24/7 verbruikt wordt kost je ~€2^* op jaarbasis. Zo'n systeem dat TS heeft samengesteld verbruikt al gauw 40w aan het stopcontact onder een lichte load, dat is €80 op jaarbasis. Voor puur een router vind ik dat aan de hoge kant, om het rendabel te maken zou ik het systeem inzetten voor meer taken (NAS, webserver, torrentbox, sabnzbd).

Ter vergelijk: mijn MikroTik RouterBoard RB2011 (voorzien van 10 ethernetpoorten en wireless) verbruikt ~4-9w.

^{* 1/1000*24*365*€0.23 = €2.01}

Dat vond ik ook maar omdat het uit de hand begon te lopen ben ik maar gaan virtualiseren. Tegenwoordig zijn zelfs mijn routers virtueel.

Interessant topic!
Vandaag ook maar is een begin gemaakt.. ik heb 2 DL 160 G6 met 2 x 5650 32GB die ik gebruik voor VM's.(24/7)

Ik heb hier ook een streaming server op draaien die nog al wat vraagt van mijn router. Nu wil ik in 1 van de 2 servers een Hp dual nic plaatsen voor het routeren. Ik zit te denken aan pfSense.

@capslock2000 Wat is jou ervaring m.b.t het virtualiseren van routers? Zijn er nog do en dont's?

[ Voor 13% gewijzigd door Aapie op 17-11-2014 22:43 ]

Aaargh! schreef op donderdag 13 november 2014 @ 12:02:
Kom je dan niet in de knoei qua performance ?

Een beetje, zoals eerder gepost haal ik er 550mbit uit van een physieke host via de virtuele router naar een andere virtuele machine. Maar dat is dan wel met alle 'goodies' als firewall, vlans, ipv6 en ipsec op stuk hardware dat sowieso al een stevige basisload heeft en zelfs vijf jaar geleden al nogal eenvoudig was (Athlon II X2 240, specmark 933/1633). Een wat eenvoudigere configuratie is ongetwijfeld een stuk sneller.
Ik heb geen bijzondere netwerkkaarten maar gewoon twee goedkope realtekjes.

Dat heb ik echter nooit als te langzaam ervaren. M'n internet is niet zo snel en de schijven van m'n (virtuele) NAS ook niet. De SSD zou die snelheid wel kunnen halen maar die gebruik ik toch niet via het netwerk.

joosthaarman schreef op maandag 17 november 2014 @ 22:37:
@capslock2000 Wat is jou ervaring m.b.t het virtualiseren van routers? Zijn er nog do en dont's?

Zorg voor de juiste drivers voor je VMs, dat kan veel verschil maken.

Zorg dat je een fallback optie hebt voor als alles stuk gaat. Je wil niet in de situatie komen dat je niet op internet kan om je probleem op te zoeken. Ik heb het mac-adres van de fysieke host overgenomen en een dhcp-client op de host laten staan. In geval van nood kan ik alles uitschakelen en de host zelf als router laten fungeren.
Tevens zorg ik dat er altijd een toetsenbord en monitor in de buurt van die machine zijn en ik het wachtwoord van buiten ken zodat ik er bij kan als het netwerk stuk gaat.

Als je vlans onder Linux gebruikt is het makkelijker om de vlans op de host te termineren en ze los aan je router te knopen. Dus 1 bridge per vlan.

Als je dan toch met virtuele routers werkt waarom zou je het dan simpel houden? Je kan ook twee virtuele routers maken en je uitleven op High Availability meuk. (Ik doe geen uitspraken over de vraag of het daar ook echt betrouwbaarder van wordt). Ik heb er drie en vindt het nog steeds leuk om eentje neer te schieten en te zien hoe lopende verbindingen braaf door een andere virtuele router worden overgenomen.

In zo'n geval wil je misschien ook investeren in een managementsysteem als Puppet zodat je niet alles drie keer kan doen. Van de andere kant kan je daarmee ook alles tegelijk stuk maken. Ik overweeg nog steeds om een van die zelfgebouwde routers te vervangen door pfSense of iets dergelijks om te voorkomen dat alle systemen kapot gaan door dezelfde fout/bug.

Ik virtualiseer alleen omdat ik dan ook andere dingen met die machine kan doen. Als het een dedicated router was zou ik het niet doen. (Tenzij je met HA wil spelen).

Hardware offloading op virtuele systemen en bepaalde lowlevel protocollen bijten elkaar. Ik heb het specifiek over DHCP dat niet braaf via de kernel gaat maar zelf pakketjes gaat verwerken en dan niet snapt dat de checksums niet kloppen omdat die pakketjes nooit een fysieke netwerkkaart hebben bereikt maar rechstreeks van de ene VM naar de andere zijn gegaan. Al heb ik daar al een tijdje niks meer van gemerkt, misschien is er wel een oplossing bedacht.

[ Voor 3% gewijzigd door CAPSLOCK2000 op 17-11-2014 23:30 ]

Intel g530 zonder turboboost (dus iets van 1.6 ghz) tikt iets van een 900mbit aan aan op pfsense en komt dan op iets van 60a70% cpu usage.
Probleem is vooral, in huidige versies, is gans het pf gebeuren single threaded. Vanaf versie 2.2 wordt dit ook multithreaded. (Snapshots zijn beschikbaar)

Ik heb thuis een G100 Glasvezel verbinding (Caiway) met een de firewall software Sophos UTM Home Firewall Edition 9.2 / 9.3 welke draait op een Intel Atom D2500 Dual LAN, Dual COM Fanless, D2500CCE, 2GB memory, 60GB SSD.

Download snelheid van 90+ Mbps is haalbaar.

De oud Fritz! 7340 (xs4all) had blijkbaar nogal we performance problemen. Ik ben nu super tevreden.

Let op! Je hebt wel iets meer kennis nodig om de Sophos UTM Home Firewall in te stellen.

Nou, zo moeilijk is Sophos UTM ook weer niet....het enige wat je in tekst hoeft te doen zijn de netwerkinstellingen voor de managementinterface. Daarna is het allemaal via een nette webinterface.

Draai al jaren een linux based router, meestal met iptables als firewall. Ooit begonnen als een low power Cyrix systeem, tegenwoordig al een jaar of 5 eeb C2D. Qua OS heb ik diverse smaken linux en pfsense gehad; momenteel is het ubuntu. Throughput geen idee, maar ruim voldoende voor mijn 100 Mbps glasverbinding. De inside kant doet met iperf dik 900 Mbps.

Ik ben juist aan het kijken naar een hardware router, waarschijnlijk wordt het een Ubiquity Edgerouter, met inside een nieuw systeem met storage en services. Ander alternatief is iets met een hardware raidcontroller, en dan ESX oid er op, en dan daarop de diverse platformen draaien incl router.

ijdod schreef op dinsdag 24 februari 2015 @ 19:32:
Ander alternatief is iets met een hardware raidcontroller, en dan ESX oid er op, en dan daarop de diverse platformen draaien incl router.

Dit doe ik op Hyper-V met Sophos UTM. Werkt prima