Zelfbouw project: Firewall / Router / AP

[Voor 20% gewijzigd door JT op 26-01-2015 12:19]

Hemmen schreef op maandag 26 januari 2015 @ 12:25:
[...]


Wist niet van het bestaan af. Wel een goede tip echter heb ik geen hardware die het support. Heb nog een linksys E4200 liggen maar die staat niet in de lijst.

plizz schreef op maandag 26 januari 2015 @ 12:33:
[...]

Je moet dd-wrt firmware kijken. Die ondersteunt je Linksys E4200 router.

IceTeaGX schreef op maandag 26 januari 2015 @ 12:55:
[...]

Als het de V1 versie is.
De V2 wordt niet ondersteund.

Het is uiteraard niet zo krachtig als een PFsense box, maar wel compacter en zuiniger.

Hemmen schreef op maandag 26 januari 2015 @ 12:36:
[...]


Mooie hardware. Ook veel mogelijkheden bovenop de router functionaliteit zoals VPN, DNS, etc...

Het geld is voor mij op dit moment niet zozeer een doorslaggevende reden. Voornamelijk customizable en groot hobby gehalte.

Deze is wel zeker eentje die ik moet onthouden aangezien het een zeer complete router is voor een lage prijs.

Hemmen schreef op maandag 26 januari 2015 @ 13:45:
[...]


Je post is niet echt onderbouwd. Waarom zou jouw hardware mogelijk sneller zijn? Welke hardware acceleratietechnieken worden er in jouw router gebruikt die niet van toepassing zijn op mijn setup? Ik wil daarmee niet zeggen dat het niet zo zou zijn maar je post komt over als "Ik zal eens even patsen met mijn setup".

Vanwaar de keuze voor twee switches? Waarom is dat netter? I.v.m. 2 locaties? Of heb je ze beide op dezelfde locatie staan? Dan zou namelijk 1 switch "netter" zijn?

[Voor 17% gewijzigd door j1nx op 26-01-2015 14:55]

Hemmen schreef op maandag 26 januari 2015 @ 11:50:
Na een uitgebreide oriëntatie op hardware- (moederbord, processor, geheugen, case, nic's) en softwaregebied (pfSense, Monowall, Sophos) ben ik tot de volgende setup gekomen:

Raven schreef op maandag 26 januari 2015 @ 15:09:
[...]

Waarom noem je IPFire niet? Die draait hier al een aantal jaren op het volgende systeem :
- MSI IM-945GSE-A
- Corsair 1024MB DDR2 533MHz PC4200 Value Select
- Mini-Box M300-LCD
- picoPSU-60-WI 6-26V + AC Adapter 12V/60W
- AR9380 mini PCIe kaartje als accesspoint + 3* RP-SMA - u.fl pigtails en bijpassende antennes
- CF kaartje van een paar GB, Mini-Box case heeft een CF-PATA reader, die eventueel vervangen kan worden door een SATA versie.

De opvolger gaat een pricewatch: Intel Desktop Board DN2800MT (retail boxed) bevatten, meer RAM en 2 wifi-kaartjes waaronder de Mikrotik R11e-5HacD, alleen even wachten tot de ath10k driver binnenkort in een nieuwe build van IPFire komt. Mikrotik bied overigens geen Windows drivers voor dat kaartje, maar er is er wel een voor een ander met dezelfde chip, dus als die goed werkt, kan ik die ook in de clients stoppen. Uiteraard wel even letten op het uitgangsvermogen , bij 5GHz is dat max 200mW aldus Agentschap Telecom.

[Voor 3% gewijzigd door Raven op 26-01-2015 15:50]

Hemmen schreef op maandag 26 januari 2015 @ 14:59:
[...]


Ben zelf ook benieuwd wat die Realteks gaan doen. De nieuwe generatie Gbit modellen zouden een heel eind mee moeten komen met de Intel's. Maarja, daarvoor is het wel eerst zien dan geloven. Op internet stond een topic over iemand met hetzelfde moederbord die de max van 1 Gbit WAN <-> LAN haalde dus ben benieuwd. Het hangt natuurlijk van heel veel factoren af (type verkeer).

VMWare ESXi is weer een tussenlaag en weet niet of ik dat wel wil. Sowieso kan ik geen WLAN functionaliteiten werkend krijgen met een dergelijke tussenlaag. Ik heb al een NAS/Mediaspeler setup draaien. Poweredge 2850 is natuurlijk wel een behoorlijke stroomslurper voor thuis. Mijn NAS setup is gebaseerd op een i3, 8gb ram, 1x60 gb sdd, 3x3tb hdd en idle verbruikt deze zo'n 30 watt (vind ik niet tegenvallen voor een dergelijk zware setup).

Heb toen al zitten kijken naar 1 machine voor alle toepassingen op basis van ESXi maar het nadeel daar van is dat ik er dan geen XBMC op kan draaien...

Wat ook nog zou kunnen : mijn NAS server ombouwen naar ESXi met dual NIC, de hardware die ik besteld heb inzetten voor XBMC en een losse AP gebruiken.

Tevens heb ik nog een Ubuntu VPS server draaien die ik gebuik als webserver & backup locatie.

Keuzes keuzes... Maar ga toch voor mijn bovenstaande plan en mocht dat niet goed uitpakken kan ik altijd nog kijken.

[Voor 3% gewijzigd door kmichael op 26-01-2015 19:52]

kmichael schreef op maandag 26 januari 2015 @ 16:14:
Als je toch met eigen hardware een router wil bouwen.
Neem dan ook is een kijkje op http://www.clearfoundation.com/ ClearOS.
Hier kun je een Live Demo bekijken: http://www.clearfoundation.com/Software/live-demo.html

Ik heb jaren PFSense gedraaid het liep wel stabiel, maar ik kreeg steeds snellere internet PFSense kon dit op het laatst niet meer bij houden met mijn zwakkere hardware, er zaten toen der tijd ook fouten in het Dashboard, na verschillende Router softwares te hebben getest ben ik overgestapt naar ClearOS deze liep veel beter en je kan makkelijker plugins installeren.

Ik had destijds een 1,6 DualCore CPU van intel met 2 GB DDR2 of DDR3.
Met een 200/200 Mbit fiber verbinding, dit ging allemaal prima tot dat ik een 1000/1000 internet verbinding kreeg. Hiermee haalde ik ongeveer 300 Mbit met een 1,6 Ghz CPU.

Ik moest maar nieuwe Hardware aanschaffen.
Mijn huidige RouterPC met ClearOS 6.6.0
Version ClearOS Community release 6.6.0 Beta (Beta 2)
Kernel Version 2.6.32-431.23.3.v6.x86_64
CPU Model Intel(R) Core(TM) i5-4440 CPU @ 3.10GHz
Memory Size 7.36 GB
HD: SSD 120 GB Samsung EVO 840

CA 18 a 23 Watt verbruik inclusief fans.

Ik haal nu makkelijk 1000/1000 up en down tegelijkertijd.
Beter overkill dan dat je je snelheid niet haalt.

kmichael schreef op maandag 26 januari 2015 @ 16:14:
CA 18 a 23 Watt verbruik inclusief fans.

Hemmen schreef op maandag 26 januari 2015 @ 13:45:
[...]


Je post is niet echt onderbouwd. Waarom zou jouw hardware mogelijk sneller zijn? Welke hardware acceleratietechnieken worden er in jouw router gebruikt die niet van toepassing zijn op mijn setup? Ik wil daarmee niet zeggen dat het niet zo zou zijn maar je post komt over als "Ik zal eens even patsen met mijn setup".

Vanwaar de keuze voor twee switches? Waarom is dat netter? I.v.m. 2 locaties? Of heb je ze beide op dezelfde locatie staan? Dan zou namelijk 1 switch "netter" zijn?

JT schreef op maandag 26 januari 2015 @ 18:43:
[...]

Heb je hier bewijs van met een stroommeter met verbonden clients? Met een vpn user verbonden kom ik met een Athlon 5350 en ATX voeding niet onder de 25w Ik vind dit bijzonder optimistisch klinken

kmichael schreef op maandag 26 januari 2015 @ 19:51:
[...]


Sorry, hier ik moet er even op terug komen.
Ik had in gedachten dat de Router 18 a 23 Watt trok.
Het moest zijn dat deze 18 a 23 watt zuiniger was dan mijn ouwe systeem.

Ik haal nu rond de 25 a 26 Watt IDLE.
(Ik pas dit gelijk even aan in mijn vorige post

[afbeelding]

[video]
Ik hang met me de microfoon in de PC kast bij een fan, als je er naast staat hoor je de PC niet hoor.

Hemmen schreef op maandag 26 januari 2015 @ 20:19:
[...]


Je gaat het niet geloven maar je hebt me overgehaald. Heb uitgebreid zitten vergelijken en deze Edgerouter heeft eigenlijk alles wat ik nodig heb en inderdaad hardware offloading ook voor AES wat ik met mijn setup niet had gehad. Heb zojuist de bestelling van de hardware geannuleerd en de EdgeRouter PoE 5 Port besteld bij dezelfde winkel. Ga losse access points via PoE ophangen. Helaas voor de mensen die deze thread volgden maar die custom build gaat er niet meer aan komen

[Voor 8% gewijzigd door j1nx op 27-01-2015 10:41]

j1nx schreef op dinsdag 27 januari 2015 @ 10:31:
Hij heeft de 5 port variant besteld. Ik vermoed dat hij dan dus geen unifi switch gebruikt (voor nu)

ETH0 en ETH1 hebben POE, ETH2,3,4 niet (klok / klepel verhaal, was iets met de voltage geloof ik)

Denk dus dat hij 2 UAP's aan de eerste twee porten hangt. Dan eth2 als WAN, dan heeft hij er nog twee over voor een LAN zijde. Hij kan ze bridgen zodat die twee porten een switch word, of wellicht heeft hij nog een goede switch.

[Voor 3% gewijzigd door j1nx op 27-01-2015 10:45]

j1nx schreef op dinsdag 27 januari 2015 @ 10:45:
Voor jouw ook de vraag; Waarom twee switches? Ik heb ze vanwege dat ze nu alle drie mooi opgestapeld, net op het plankje passen.

Je kan de 8 ports ook opsplitsen in twee keer 4 of soortgelijk met andere.

j1nx schreef op dinsdag 27 januari 2015 @ 10:47:
Fair enough

DennusB schreef op dinsdag 27 januari 2015 @ 10:48:
[...]


Hehe. Dus dan knoop ik beneden 1 AP er aan en boven 1 AP. Edgerouter achter m'n UPC Horizon en gaan met die banaan volgens mij ?

j1nx schreef op dinsdag 27 januari 2015 @ 10:50:
[...]


Zeker wel dat, dat gaat als een banaan.

Dat UPC ding, kan die ook in bridge?

DennusB schreef op dinsdag 27 januari 2015 @ 10:51:
[...]


Nee, voor zover ik weet niet. Maar dan doe ik de WAN poort gewoon DHCP'en en intern een andere IP range (heb k nu ook al). Horizon doet 192.168.1.*, intern is alles 192.168.2.*

j1nx schreef op dinsdag 27 januari 2015 @ 11:04:
[...]


Ja, dat kan gewoon, echter is niet netjes (NAT-NAT) en kan de nodige challenges geven. (Had zelf altijd gezeik met VOIP met NAT-NAT)

De ziggo kan gelukkig in bridge mode, dan krijgt de EdgeMax het externe IP.

j1nx schreef op dinsdag 27 januari 2015 @ 10:31:
Hij heeft de 5 port variant besteld. Ik vermoed dat hij dan dus geen unifi switch gebruikt (voor nu)

ETH0 en ETH1 hebben POE, ETH2,3,4 niet (klok / klepel verhaal, was iets met de voltage geloof ik)

Denk dus dat hij 2 UAP's aan de eerste twee porten hangt. Dan eth2 als WAN, dan heeft hij er nog twee over voor een LAN zijde. Hij kan ze bridgen zodat die twee porten een switch word, of wellicht heeft hij nog een goede switch.

j1nx schreef op maandag 26 januari 2015 @ 22:39:
[...]
Iemand anders die een PfSense aan het bouwen is?

JT schreef op dinsdag 27 januari 2015 @ 15:53:
[...]

Sinds korte tijd klaar

kmichael schreef op maandag 26 januari 2015 @ 16:14:
Als je toch met eigen hardware een router wil bouwen.
Neem dan ook is een kijkje op http://www.clearfoundation.com/ ClearOS.
Hier kun je een Live Demo bekijken: http://www.clearfoundation.com/Software/live-demo.html

Ik heb jaren PFSense gedraaid het liep wel stabiel, maar ik kreeg steeds snellere internet PFSense kon dit op het laatst niet meer bij houden met mijn zwakkere hardware, er zaten toen der tijd ook fouten in het Dashboard, na verschillende Router softwares te hebben getest ben ik overgestapt naar ClearOS deze liep veel beter en je kan makkelijker plugins installeren.

Ik had destijds een 1,6 DualCore CPU van intel met 2 GB DDR2 of DDR3.
Met een 200/200 Mbit fiber verbinding, dit ging allemaal prima tot dat ik een 1000/1000 internet verbinding kreeg. Hiermee haalde ik ongeveer 300 Mbit met een 1,6 Ghz CPU.

Ik moest maar nieuwe Hardware aanschaffen.
Mijn huidige RouterPC met ClearOS 6.6.0
Version ClearOS Community release 6.6.0 Beta (Beta 2)
Kernel Version 2.6.32-431.23.3.v6.x86_64
CPU Model Intel(R) Core(TM) i5-4440 CPU @ 3.10GHz
Memory Size 7.36 GB
HD: SSD 120 GB Samsung EVO 840

CA 18 a 23 Watt verbruik inclusief fans.
Ik haal rond de 25 a 26 Watt IDLE.

[afbeelding]


Ik haal nu makkelijk 1000/1000 up en down tegelijkertijd.
Beter overkill dan dat je je snelheid niet haalt.

j1nx schreef op woensdag 28 januari 2015 @ 09:01:
[...]


Heb / zie je de kans om wat iPerf tests te doen?

mati1983 schreef op woensdag 28 januari 2015 @ 09:42:
[...]


Hier succesvol 1000/1000 draaien op PfSense 2.1.5..
Moet nog updaten

Wanneer je wat wilt iperfen kan dat.. Stuur maar even een berichtje

mati1983 schreef op woensdag 28 januari 2015 @ 14:40:
Maakt dat iets uit voor het testen dan?
Maar een I3tje, 4GB RAM met een Intel quad pci-e gbit kaartje.

j1nx schreef op woensdag 28 januari 2015 @ 09:01:
[...]


Heb / zie je de kans om wat iPerf tests te doen?

j1nx schreef op woensdag 28 januari 2015 @ 15:35:
[...]

Plopeye schreef op donderdag 29 januari 2015 @ 16:23:
[...]


Hardware offloading is heel belangrijk in dit soort setup's. Consumer grade hardware belast inderdaad vaak de CPU (Niet dat je het terugziet in CPU usage, maar hij gaat behoorlijk belast worden met interrupts...)

Wat velen dan ook weer vergeten is dat die CPU belasting dus ook stroom kost! Een goede hardware Intel serverkaart doet wonderen. Een CPU die hardware AES-NI ondersteuning heeft doet ook wonderen voor je WPA2 AES encrypted wifi en je VPN's.

Brakke qualcom/atheros wifi modules zijn ook geen pluspunt. De ervaring leert dat een iets duurdere hardware Intel module het veel beter doet. (en ook weer een stroombesparing oplevert)

[Voor 7% gewijzigd door Ramon op 31-01-2015 12:20]

Zjemm schreef op zondag 08 februari 2015 @ 14:33:
Ben een beetje aan het kijken naar hardware (liefst kleiner dan itx) met multiple nics, maar das nog best lastig te vinden

Ramon schreef op zaterdag 31 januari 2015 @ 12:12:
Zo na een avondje prutsen heb ik pfSense op de APU1D4 aan de praat in mijn netwerk.

[Voor 3% gewijzigd door Hakker op 20-02-2015 00:30]

Hakker schreef op vrijdag 20 februari 2015 @ 00:23:
Ik heb zelf sinds een maandje dit
[afbeelding]

Het is een Intel C1037u
2 GB geheugen
1 GB CF voor de OS
PFsense 2.2

eth1 voor de WAN en 2 tm 6 in een bridge gegooid en in NAT Proxy reflection gezet.
wifi is niet belangrijk voor die bak dat doet een Ubituiti AP boven voor me aangezien wifi puur voor mobiel en zo nu en dan de laptop is en dus niet voor hoge snelheid dienst hoeft te spelen.
load max TDP is 17 watt volgens opgave maar hoeveel het werkelijk gebruik weet ik niet maar kan nooit veel zijn aangezien het cpu gebruik amper wat voor stelt en zelfs met 500/500 die vol draait heb ik nog heel wat ruimte over.

buiten dat is de inrichting nog niet zo heel bijzonder te noemen.

JT schreef op vrijdag 20 februari 2015 @ 11:47:
Waar komt die vandaan? Zijn het Intel NICS? Hoe is de VPN snelheid?

[Voor 13% gewijzigd door JT op 20-02-2015 12:32]

PlaceboRulez schreef op donderdag 19 februari 2015 @ 13:14:
Heb zelf deze:
http://www.miniserver.it/...try-level-3-nic-wifi.html

Mijn doel was het zoveel mogelijk versleutelen van al mijn internet verkeer. Ik word heel erg principieel van overheden die denken dat het een goed idee is om de AMS-IX af te luisteren.
Daarnaast wilde ik graag mijn uitgaande verkeer beperken tot poort 80 en 443 en eens spellen met Snort.

Heb hem daarom als volgt ingericht:
- Pfsense 2.2 - https://www.pfsense.org
- Snort 2.9.7.0 met Snort VRT Rules ($30 per jaar) en de gratis Emerging Threats Open Rules.
- VPN met een exit in Duitsland.
- HTTP verkeer gaat via VPN naar buiten.
- Unbound DNS Resolver met DNSsec. Gaat ook via VPN naar buiten.
- HTTPS verkeer gaat niet over VPN maar gelijk via WAN want dat is al versleuteld. (En echt anoniem is het toch niet als je vervolgens aanmeld bij de dienst die HTTPS gebruikt).
- WIFI 802.11na (5gh)
- Een apart SSID voor gast toegang met captive portal en ticketsysteem (12 uur internet).
- Country Blocking. Alleen een paar Europese landen hebben toegang tot de services in mijn DMZ (OpenVPN server en Owncloud op PI)
- OpenVPN server. Toegang met persoonlijk certificaat en gebruikersnaam en wachtwoord. Dit zodat al het verkeer van mijn telefoon versleuteld naar huis gaat en vanuit daar via het VPN weer versleuteld het internet op!
- Verbruik idle 7w, load 15w
- Ik trek mijn 100/100 KPN glas verbinding er helemaal mee vol met een speed test.

Thralas schreef op vrijdag 20 februari 2015 @ 12:24:
[...]


Aliexpress/Taobao; Ja; Makkie voor die 1037U.

Rare gem - Celeron 1037u/8 x Intel 82583V/SFP/SIM/Sata3/mSata/CF/USB3/DC/PCIe8

Hakker schreef op vrijdag 20 februari 2015 @ 00:23:
Ik heb zelf sinds een maandje dit
[afbeelding]

Het is een Intel C1037u
2 GB geheugen
1 GB CF voor de OS
PFsense 2.2

Hakker schreef op vrijdag 20 februari 2015 @ 13:46:
[...]

klopt ik heb alleen de VPN snelheid nog niet getest.
Ik heb de mijnes via Taobao met een tussensite gedaan scheelt een stuk met aliexpress.
en ja het zijn intel nics.

[Voor 31% gewijzigd door ShadowBumble op 20-02-2015 14:00]

j1nx schreef op vrijdag 20 februari 2015 @ 12:59:
[...]
Even een hart onder de riem. Nee, je bent niet paranoide !
Cool! en mooi lijstje voor mij om eens als actiepunten in te lijfen in mijn edgemax setup.

PlaceboRulez schreef op vrijdag 20 februari 2015 @ 19:17:
[...]
Haha thx.
Just because I'm paranoid doesn't mean that they're not after me.

Wat betreft hardware waren dit mijn overwegingen:
- Een zo laag mogelijk stroomverbruik.
- Ik zie me zelf voor de afschrijf tijd (4 jaar) van deze router niet naar meer dan 100/100 Mbit gaan.
- AES-NI, ja graag maar dat bleek niet te kunnen (of niet goed gezocht ) icm met een acceptabel stroomverbruik. Daarbij zie ik maar 20% CPU verbruik als ik mijn VPN goed belast.
- 4GB vanwege alle services (snort, squid (vandaag mee begonnen), OpenVPN)

[Voor 59% gewijzigd door MeaMea op 01-03-2015 12:50]

arjanmeameijer schreef op zaterdag 28 februari 2015 @ 21:23:
Kast kan misschien iets anders worden, ben niet zo into de kasten. (Ideeën welkom... ).

[Voor 17% gewijzigd door Fairy op 25-03-2015 20:24]

Ramon schreef op donderdag 02 april 2015 @ 23:48:
Even een kleine schop in dit topic.

Ik heb PFsense draaien op een APU (om precies te zijn deze). De router heeft dus een WLAN kaart die werkt. Ik heb een bridge gemaakt, en ik kan er ook mee internetten. Maar ik krijg het niet voor elkaar om vanaf WiFi naar m'n bedrade netwerk te verbinden, bijvoorbeeld vanaf mijn telefoon of Surface naar mijn shared directory, of naar mijn Xbox One die bedraad is aangesloten krijg ik niet voor elkaar.

Nou had ik stiekem uit dit topic al begrepen dat het makkelijker is om gewoon een Access Point in de switch te prikken (die dan weer aangesloten is op de LAN poort van de APU), maar ik heb eigenlijk geen zin om nóg een apparaat aan te schaffen (de APU was al duur zat).

De configuratie ziet er nu zo uit:
[afbeelding]

en de bridge
[afbeelding]

Iemand nog suggesties of is het bijna verplicht hier een AP voor te kopen?

• Super Micro X10SBA-L ( Intel® Celeron™ J1900)
• Pico PSU
• Seasonic Power adapter
• 4GB geheugen
• Samsung 120GB SSD
• Chenbro RM12800 19" 1U behuizing

[Voor 10% gewijzigd door smooky op 04-04-2015 20:24]

smooky schreef op zaterdag 04 april 2015 @ 20:13:
Ook ik heb een zelfbouw firewall / router.

Specs:

• Super Micro X10SBA-L ( Intel® Celeron™ J1900)
• Pico PSU
• Seasonic Power adapter
• 4GB geheugen
• Samsung 120GB SSD
• Chenbro RM12800 19" 1U behuizing

Ik heb voor dit moederbordje gekozen omdat het max 10 watt verbruikt. Helaas geen AES-NI. De Chenbro behuizing had ik nog liggen. Liever had ik de aansluitingen aan de voorkant gehad...

Tot een maand geleden draaide hier pfSense op, maar sinds dien overgestapt op OPNsense. Dit is een fork van pfSense en een van de eerste dingen die ze aangepast hebben is een nieuwe (moderne) interface.
[afbeelding]

B2 schreef op zaterdag 04 april 2015 @ 20:32:
[...]


Ik heb al wel wat over OPNsense gelezen, het nadeel met dit soort forks vind ik altijd de (developers) community. Ik heb niet het idee dat er veel developers achter zitten. Volgens mij was er ook een behoorlijke discussie tussen main developer van pfSense en OPNsense.

Sommige dingen kunnen heus wel beter in pfSense hoor, sommige packages zijn niet eenvoudig in te stellen. De interface, tja lijkt 'oud' maar het functioneert prima. pfSense wil sowieso van php af in 3.0 en over stappen op python.

IPfire is misschien ook nog een optie voor je? Linux gebaseerd en ook met een moderne interface.

m0n0wall has served as the seed for several other well known open source projects, like pfSense, FreeNAS and AskoziaPBX. The newest offspring, OPNsense (https://opnsense.org), aims to continue the open source spirit of m0n0wall while updating the technology to be ready for the future. In my view, it is the perfect way to bring the m0n0wall idea into 2015, and I encourage all current m0n0wall users to check out OPNsense and contribute if they can.

[Voor 3% gewijzigd door smooky op 04-04-2015 20:42]

smooky schreef op zaterdag 04 april 2015 @ 20:41:
[...]


Manuel Kasper m0n0wall developer), heeft een maand geleden de stekker uit m0n0wallgetrokken en ziet in OPNsense een opvolger:

[...]


Dat gaf mij voldoende vertrouwen om OPNsense te proberen. Tot nu toe bevalt 't prima. 't Core develop team bestaat uit twee Nederlanders en een Duitser volgens mij.

IPfire ken ik niet. Mocht OPNsense uiteindelijk toch niks zijn, ga ik daar zeker goed naar kijken.