:fill(white):strip_exif()/i/2007222016.jpeg?f=thumbmini)
:strip_exif()/i/2007381076.png?f=thumbmini)
:strip_icc():strip_exif()/u/23263/crop619cf05922b03_cropped.jpg?f=community)
/u/22486/jasonbrooks2.png?f=community)
:strip_icc():strip_exif()/u/44941/crop6207962b57aa3_cropped.jpg?f=community)
Nou, dan meld ik me ook maar even 
Huidige situatie: Netgear R7000 met DD-WRT en een Ziggo 200/20 connectie.
Behalve dat ik sowieso een pfSense router wil bouwen heb ik een gigabit link (in een data center) ter beschikking met genoeg bandbreedte waarmee ik een site to site IPsec tunnel wil opzetten zodat al mijn verkeer thuis encrypted is. De grootste uitdaging is dan ook de hardware. Met een instap bordje en cpu kom ik niet weg wil ik die mooie 200/20 verbinding blijven benutten.
Om te beginnen zal ik in ieder geval een CPU met AES-NI moeten nemen (http://ark.intel.com/search/advanced?AESTech=true). Verder las ik op de pfSense website (http://pfsense.org/hardware/#requirements) dat ik voor 500+ mbit/s rekening moet houden met: "Multiple cores at > 2.0GHz are required. Server class hardware with PCI-e network adapters."
Heeft iemand toevallig al ervaring met dit soort snelheden over IPsec en een idee over welk bordje en CPU ik moet nemen? Voor netwerk ga ik sowieso voor een aparte Intel kaart.
Huidige situatie: Netgear R7000 met DD-WRT en een Ziggo 200/20 connectie.
Behalve dat ik sowieso een pfSense router wil bouwen heb ik een gigabit link (in een data center) ter beschikking met genoeg bandbreedte waarmee ik een site to site IPsec tunnel wil opzetten zodat al mijn verkeer thuis encrypted is. De grootste uitdaging is dan ook de hardware. Met een instap bordje en cpu kom ik niet weg wil ik die mooie 200/20 verbinding blijven benutten.
Om te beginnen zal ik in ieder geval een CPU met AES-NI moeten nemen (http://ark.intel.com/search/advanced?AESTech=true). Verder las ik op de pfSense website (http://pfsense.org/hardware/#requirements) dat ik voor 500+ mbit/s rekening moet houden met: "Multiple cores at > 2.0GHz are required. Server class hardware with PCI-e network adapters."
Heeft iemand toevallig al ervaring met dit soort snelheden over IPsec en een idee over welk bordje en CPU ik moet nemen? Voor netwerk ga ik sowieso voor een aparte Intel kaart.
[ Voor 0% gewijzigd door ericafterdark op 20-04-2015 22:22 . Reden: Typo ]
Hier had uw reclame kunnen staan.
Wil je al je internetverkeer routeren via het datacentrum? En dan van jouw huis naar het datacentrum encrypted? Wat is je precieze doel dan, want dat ontgaat me een beetje
.
Dat is inderdaad het idee! Mijn connectie via het dc routeren. Encrypted
Hier had uw reclame kunnen staan.
/u/9258/killbill.png?f=community)
Je vertrouwt dus je ISP niet?
Maar ontopic, mijn APU (dualcore 1Ghz AMD met onboard realtek NICS) doet al 600Mbps (unencrypted) dus die cijfers op de site van pfsense zijn iets aan de lage kant. Wat voor hardware je wel nodig hebt durf ik niet te zeggen maar een pentium ofzo met intel NICS ofzo lijkt me een goede optie.
Maar ontopic, mijn APU (dualcore 1Ghz AMD met onboard realtek NICS) doet al 600Mbps (unencrypted) dus die cijfers op de site van pfsense zijn iets aan de lage kant. Wat voor hardware je wel nodig hebt durf ik niet te zeggen maar een pentium ofzo met intel NICS ofzo lijkt me een goede optie.
Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
Ik kan met een singlecore Atom N270 en 82574L NIC's in de router-pc toch een aardig eind komen. De router-pc zelf haalt out of the box met downloaden naar /dev/null zo rond de 80MBps (1Gb abo bij Tweak) waarbij de CPU load erg laag blijft, de doorvoersnelheid is een beetje lastig te meten.
Ik heb wel geprobeerd te wget-ten naar de Windows tegenhanger van /dev/null, maar wget voor Windows download nou niet bepaald snel. jDownloader download juist veel sneller (ondersteund ook meerdere connecties per download) maar de hdd kan het niet bijbenen
Maar zover ik kan zien hier heb je echt geen meerdere CPU-kernen nodig voor dergelijke snelheden.
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Dat klopt maar zodra je al dat verkeer wilt encrypten en decrypten (in mijn geval IPsec) wordt het een ander verhaal en heb je meer power nodig.:
[...]
Ik kan met een singlecore Atom N270 en 82574L NIC's in de router-pc toch een aardig eind komen. De router-pc zelf haalt out of the box met downloaden naar /dev/null zo rond de 80MBps (1Gb abo bij Tweak) waarbij de CPU load erg laag blijft, de doorvoersnelheid is een beetje lastig te meten.
Ik heb wel geprobeerd te wget-ten naar de Windows tegenhanger van /dev/null, maar wget voor Windows download nou niet bepaald snel. jDownloader download juist veel sneller (ondersteund ook meerdere connecties per download) maar de hdd kan het niet bijbenen
Maar zover ik kan zien hier heb je echt geen meerdere CPU-kernen nodig voor dergelijke snelheden.
Hier had uw reclame kunnen staan.
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Ja, dat is dus ook mijn conclusie.:
Je vertrouwt dus je ISP niet?
Klopt bovenstaande inderdaad, tAnk?:
Dat is inderdaad het idee! Mijn connectie via het dc routeren. Encrypted
:strip_icc():strip_exif()/u/4824/i.jpeg?f=community)
Was het maar zo. Probeer maar eens 200 mbit/s zonder problemen over OpenVPN (met goede encryptie) te duwen zonder fatsoenlijke CPU. Dat gaat je niet lukken. Zie ook https://community.openvpn...ki/Gigabit_Networks_Linux
De conclusie overigens van hierboven klopt, ik wil gewoon mijn thuis verbinding encrypten
Hier had uw reclame kunnen staan.
Het ging mij hier om ::
[...]
Was het maar zo. Probeer maar eens 200 mbit/s zonder problemen over OpenVPN (met goede encryptie) te duwen zonder fatsoenlijke CPU. Dat gaat je niet lukken. Zie ook https://community.openvpn...ki/Gigabit_Networks_Linux
De conclusie overigens van hierboven klopt, ik wil gewoon mijn thuis verbinding encrypten
Ten eerste heb je voor dit soort dingetjes je je 200Mbit verbinding niet nodig en ten tweede ben je heel erg afhankelijk van de snelheid die het (openbare) wifi netwerk heeft.
Wellicht erg oftopic , maar ik volg deze discussie met blijdschap en het heeft me geholpen om een keuze te maken met welk kastje ik PFsense ga draaien
dank.Nu lees ik ook iets over ISP data encrypten , ik ben daar ook over aan het denken en pas het af en toe ook toe , maar ik vraag me af of het het bijdraagd aan de veiligheid van je gegevens. Waarbij je ook weer moet opletten welke site en waar je op klikt, hoewel dit ook niet te voorkomen is omdat ze best goed de malware kunnen verstoppen als ze echt willen.
Wat ik me ook afvraag is: mijn ISP kan inloggen op de Experiabox , kunnen ze dan ook mijn netwerk zien ? Dus ook mijn gedeelde mappen ?
mijn insteek is:
Kastje met pfSense als barriere tussen het ISP modem en mijn netwerk
Snort (betaalde versie)
VPN server draaien voor inkomende verbindingen (hotspot)
VPN client (voor encryptie surfen)
http verkeer door de VPN poort sturen
Hoop einde van de week mijn pakketje binnen te hebben het gaat om een APU 4D zonder wifi , die hang ik er zelf aan zodat ik vrij ben in plaats bepaling van de AP.
[ Voor 0% gewijzigd door Soonie op 04-05-2015 09:24 . Reden: spelling ]
Eh tja daar zeg je zowat , ik weet dat Ziggo je router in de Bridge mode kan zetten maar KPN doet dat of kan dat denk ik niet. Ik heb de Experia v9 en DHCP enzo staan aan en grey out dus niet te veranderen. (helemaal idiot proof gemaakt)
Nu heb ik een routertje al achter de Exp box staan en ik rommel daar een beetje mee , dat wil zeggen de ene keer zet ik hem in dezelfde IP range met DHCP uit om hem daarna weer met een ander IP adres weer seperaat te zetten van het netwerk zodat je een scheiding krijgt tussen je ISP en je LAN.
De PSsense moet voor dat routertje in de de plaats komen, en ik hoop wel dat dit gaat werken met de Experia als router.
Ik dacht PSsense geef je een static IP , en die zet je vast in de expreria box (IP binding)
Volgens mij kan er dan weinig fout gaan , of gaat een dubbele NAT roet in het eten gooien ? Ik dacht dat een dubbele NAT enkel je verbinding wat vertraagde , onderweg zullen er wel meer NATjes zitten richting het net ?
Thx Aadje !
Ik ga het volgende week allemaal aansluiten en inregelen , wellicht tijd voor een andere provider , ben niet zo stuk van de beperkingen van de Experiabox maar ik ga het dit jaar nog uitzingen met static IP en een DMZ.
Als iemand ervaringen heeft met andere provider waar de modems wel makkelijk in bridge kunnen dan lees ik dat graag, ik weet dat ziggo het zonder slag of stoot voor je doet maar ik heb graag een DSL verbinding en TV apart , gewoon omdat het kan
Ik heb een kant en klaar setje gekocht met de reden dat ik eerst PFsense goed onder controle wil krijgen.
Als dat lukt dan ga ik zelf bouwen , mijn uitgangspunt is steeds een laag verbruik 12 watt en snort moet zonder haperingen draaien.
Ik kom uit op een APU1D4 zonder wifi en PFsense pre installed , ik zag dat er meer mensen op dit forum voor deze configuratie hadden gekozen en ben erg benieuwd naar hun evaringen.
Functies die ik ga gebruiken is firewall / snort / VPN client
[ Voor 0% gewijzigd door Soonie op 05-05-2015 09:39 . Reden: spelling ]
Je kunt uiteraard gewoon digitenne nemen 
,maar zonder gekheid bijna alles is ip-tv tegenwoordig, zelfs alles in een van kpn zou bij ons ook via adsl lopen. Glas aansluiting (caiway) ook alleen maar alles in 1....
Het is handig om een 2e internet bron te hebben als je ermee aan de gang gaat, het voordeel van de DMZ setup is dat je gewoon je laptop bijvoorbeeld nog via de wifi van de router kan gebruiken ipv het AP op pfsense, maar in bridge mode heb je dit dus niet meer. Ik heb toen op mijn telefoon moeten zoeken hoe ik de firewall open moest zetten voor verkeer van lan -> wan en weer terug.
,maar zonder gekheid bijna alles is ip-tv tegenwoordig, zelfs alles in een van kpn zou bij ons ook via adsl lopen. Glas aansluiting (caiway) ook alleen maar alles in 1....Het is handig om een 2e internet bron te hebben als je ermee aan de gang gaat, het voordeel van de DMZ setup is dat je gewoon je laptop bijvoorbeeld nog via de wifi van de router kan gebruiken ipv het AP op pfsense, maar in bridge mode heb je dit dus niet meer. Ik heb toen op mijn telefoon moeten zoeken hoe ik de firewall open moest zetten voor verkeer van lan -> wan en weer terug.
Zeker handig ja om nog even via de wifi te kunnen spieken , loop nu al vast met het toewijzen van de interface;s Moet hem programmeren via de WAN poort en dan de LAN toevoegen.
Heeft iemand een opzetje ? een duwtje de goede richting op
Wat snap je dan niet? Vrij eenvoudig toch?:
[...]
Zeker handig ja om nog even via de wifi te kunnen spieken , loop nu al vast met het toewijzen van de interface;s Moet hem programmeren via de WAN poort en dan de LAN toevoegen.
Heeft iemand een opzetje ? een duwtje de goede richting op
Ik was dapper op weg interfaces ingesteld , firewall regels aanmaken
nu heb ik aan de interfaces mac adressen toegewezen (via het menu) en plots kom ik niet meer in de GUI via 192.168.1.1 met geen mogelijkheid.
ook niet na een reset
[ Voor 0% gewijzigd door Soonie op 06-05-2015 19:47 . Reden: spelling ]
Rechtstreeks je laptop aan de LAN? Dat lijkt me niet de bedoeling.. Interfaces? Vaak werkt de auto detectie van pfSense prima. WAN zet je 99/100 gevallen op DHCP, en stel je een ip range in voor de LAN interface..
Of ik heb het al zo vaak gedaan dat ik de moeilijkheid niet meer in zie
Huh, waarom zou je mac adressen aan interface willen toewijzen?:
[...]
Ik was dapper op weg interfaces ingesteld , firewall regels aanmaken
nu heb ik aan de interfaces mac adressen toegewezen (via het menu) en plots kom ik niet meer in de GUI via 192.168.1.1 met geen mogelijkheid.
ook niet na een reset
Net als firewall regels aanmaken, standaard blokkeert pfsense alle inkomende verbindingen. Enige waar je uitzonderingen voor aan zou willen maken zijn services die van buitenaf benaderbaar moeten zijn.
[ Voor 38% gewijzigd door B2 op 06-05-2015 20:16 ]
[...]:
[...]
Rechtstreeks je laptop aan de LAN? Dat lijkt me niet de bedoeling.. Interfaces? Vaak werkt de auto detectie van pfSense prima. WAN zet je 99/100 gevallen op DHCP, en stel je een ip range in voor de LAN interface..
Of ik heb het al zo vaak gedaan dat ik de moeilijkheid niet meer in zie
De APU kwam met PFsense pre installed en om in te loggen in het menu moest volgens de handleiding de UTP in de 1e LAN poort en dan inloggen met 192.168.1.1 daarna kan ik verder met inloggen op PFsense. Ik weet dus geen andere weg , ben erg groen nog
Ik heb de laptop aan de APU hangen om hem te in te regelen via de GUI , alles werkte prima de WAN op DHCP , deze werd ook door het modem gezien.
tot ik ging rommelen in de interface menus , daar heb ik MAC's toegewezen , ik heb me 2 weken ingelezen en nu het zover was heb ik van alles door elkaar gehaald .
Heb je wel Pfsense 2.2? Mijn APU kwam namelijk met 2.1, die een stuk minder goede support heeft voor de APU. Zelf had ik een seriële kabel gebruikt voor de initiele configuratie van de APU, dat maakt het toch een stuk makkelijker. Als je nu de configuratie verprutst hebt dan even PFsense 2.2 op USB stick zetten en installeren (gaat makkelijk met seriële kabel).:
[...]
[...]
De APU kwam met PFsense pre installed en om in te loggen in het menu moest volgens de handleiding de UTP in de 1e LAN poort en dan inloggen met 192.168.1.1 daarna kan ik verder met inloggen op PFsense. Ik weet dus geen andere weg , ben erg groen nog
Ik heb de laptop aan de APU hangen om hem te in te regelen via de GUI , alles werkte prima de WAN op DHCP , deze werd ook door het modem gezien.
tot ik ging rommelen in de interface menus , daar heb ik MAC's toegewezen , ik heb me 2 weken ingelezen en nu het zover was heb ik van alles door elkaar gehaald .
Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/
Aha ik heb net weer contact met de webGUI via een router gelukt. En idd er zit versie 2.1 op .
seriële kabel heb ik direct besteld want dit is geen doen zo.
Kan je via de webgui updaten naar 2,2 ? moet ik wel de firewall open gaan zetten. Volgens mij hebben we bij dezelfde firma besteld
Een update zou mogelijk moeten zijn, maar je leest genoeg meldingen over configuraties die fout zijn gegaan. Vaak zijn dat wel configuraties die uitgevoerd zijn met diverse packages e.d.:
[...]
Aha ik heb net weer contact met de webGUI via een router gelukt. En idd er zit versie 2.1 op .
seriële kabel heb ik direct besteld want dit is geen doen zo.
Kan je via de webgui updaten naar 2,2 ? moet ik wel de firewall open gaan zetten. Volgens mij hebben we bij dezelfde firma besteld
In jouw geval zou ik gewoon opnieuw beginnen
De APU ken ik niet zo, ik gebruik zelf altijd x86 hardware, maar zo moeilijk zou het (basis) instellen van pfSense niet moeten zijn. Eigenlijk is er maar 1 handeling en dat is het toekennen van de interfaces. Daarna is je router/firewall klaar. Dan kun je additionele packages gaan installeren. Vaak hoef je niet direct wat in firewall rules doen, de installatie van OpenVPN server doet dit bijvoorbeeld zelf al.
[quote]::
[...]
Een update zou mogelijk moeten zijn, maar je leest genoeg meldingen over configuraties die fout zijn gegaan. Vaak zijn dat wel configuraties die uitgevoerd zijn met diverse packages e.d.
In jouw geval zou ik gewoon opnieuw beginnen
[...]
Nou het was even zoeken maar het werkt
nu eerst maar eens slapen 
alles opnieuw gedaan en idd interface stond direct al goed moest enkel de kabels in de goede gaatjes steken. Dus nu voor het eerst op het forum via PSsense
De update naar 2,2 is ook gelukt maar pfieuw wat een buggies , php meldingen.
Snort geprobeerd te installeren maar die stopt op de helft van de install , nog heel wat uitzoek en probeer werk.
Wellicht iemand een idee waarom snort stopt tijdens de installatie ? kunnen dat poorten zijn die de boel tegenhouden ?
ik heb pfsense draaiend op een j1900: j1800:
Draait inmiddels al meer dan een jaar zonder problemen
Als ik de volle verbinding dicht trek zit het cpu gebruik op 15%. Mijn advies zou zijn om de harddisk te skippen en de boel vanaf een usb stick te draaien in combinatie met een enkel latje geheugen. Als je nog mogelijkheden hebt om de CPU te underclocken / undervolten kan dat ook nog.
Alleen het scannen op virussen zal een flinke cpu aanslag geven. Geen flauw idee wat voor performance je dan nog overhoudt.
Toevallig al eens gekeken wat dit bordje verbruikt?:
[...]
ik heb pfsense draaiend op een j1900: j1800:
[afbeelding]
Draait inmiddels al meer dan een jaar zonder problemen
Mijn advies zou zijn om de harddisk te skippen en de boel vanaf een usb stick te draaien in combinatie met een enkel latje geheugen. Als je nog mogelijkheden hebt om de CPU te underclocken / undervolten kan dat ook nog.
Alleen het scannen op virussen zal een flinke cpu aanslag geven. Geen flauw idee wat voor performance je dan nog overhoudt.
:strip_icc():strip_exif()/u/340231/crop575a749578987_cropped.jpeg?f=community)
Ondertussen alles weer gereset met de seriele kabel hoera !!
Alles staat weer ingesteld , en ik ben weer aan het rommelen om het internet aan de gang te krijgen.
De hele handleiding van de PFsense site doorgelopen. En ik zie dat er verkeer geblokkerd wordt in de firewall log.
Nu weet ik ff niet waar te beginnen met een verse instelling , de NAT of de firewall rules.
Inmiddels heb ik rules aangemaakt waarin ik alles openzet TCP/UDP http https
er komt geen bit door , wel een hele dichte firewall , maar een beetje surfen zou niet gek zijn .
Mijn vraag luid: wat moet er open gezet worden bij een kersverse installatie ?
Alles staat weer ingesteld , en ik ben weer aan het rommelen om het internet aan de gang te krijgen.
De hele handleiding van de PFsense site doorgelopen. En ik zie dat er verkeer geblokkerd wordt in de firewall log.
Nu weet ik ff niet waar te beginnen met een verse instelling , de NAT of de firewall rules.
Inmiddels heb ik rules aangemaakt waarin ik alles openzet TCP/UDP http https
er komt geen bit door , wel een hele dichte firewall
, maar een beetje surfen zou niet gek zijn . Mijn vraag luid: wat moet er open gezet worden bij een kersverse installatie ?
Ik heb de WAN regels eruit , en in de LAN wel any rules gemaakt (heb 2 screen shots)
Ik ga direct even kijken of op de LAN meer dicht kan.
Internet werkt nu wel (DNS probleempje)
Ik krijg alleen geen contact met de PFsense update server (status scherm)
huh ik kan geen screenshots meesturen
WAN staat alles dicht en op de LAN krijg ik enkel internet verkeer al ik alles open zet
Ik heb een regel aangemaakt TCP/UDP allow all en any poort
IGMP en ICMP heb ik ook open staan op LAN
Ik probeer dat in te regelen op enkel poort 80 en 443 maar dat lukt niet helemaal .
[ Voor 13% gewijzigd door Soonie op 10-05-2015 09:14 . Reden: spelling ]
:strip_icc():strip_exif()/u/61950/hakker.jpg?f=community)
Artificial Intelligence is no match for natural stupidity | Mijn DVD's | Mijn Games | D2X account: Hakker9
Ha B2,
Dat het niet kon in PF zelf wist ik wel. Ik was gewoon benieuwd hoe je vanuit PF een koppeling legt met je AV scanner bijvoorbeeld. Maar ik zie inderdaad dat je een RDR regel aan moet maken hiervoor.
natuurlijk gaat dit met pfsense makkelijker, maar soms is het leuker om eens wat te freubelen
Dat het niet kon in PF zelf wist ik wel. Ik was gewoon benieuwd hoe je vanuit PF een koppeling legt met je AV scanner bijvoorbeeld. Maar ik zie inderdaad dat je een RDR regel aan moet maken hiervoor.
natuurlijk gaat dit met pfsense makkelijker, maar soms is het leuker om eens wat te freubelen
Ik heb gisteren trouwens Captive Portal opgezet voor mijn Wifi Gast netwerk. De Apple Airport's hebben wel een gast-wifi netwerk mogelijkheid, welke alleen 'werkt' wanneer de Airport in Router mode staat.
In bridge mode kun je de gast-wifi wel aanvinken, maar werkt het niet omdat al dat verkeer via een aparte vlan (1003) gaat. Door deze vlan aan te maken in pfSense en een extra interface met vlan 1003 werkt dit nu prima
In bridge mode kun je de gast-wifi wel aanvinken, maar werkt het niet omdat al dat verkeer via een aparte vlan (1003) gaat. Door deze vlan aan te maken in pfSense en een extra interface met vlan 1003 werkt dit nu prima
Ik begrijp wat je bedoelt, maar die instelling is voor het verkeer tussen clients van één server (dus in mijn geval van óf de site-to-site instance óf de remote-access instance). Ik draai twee servers/instances.
Heb het niettemin even aangezet, maar bood zoals verwacht niet de oplossing
.
[ Voor 3% gewijzigd door Dennis op 19-05-2015 22:13 ]
Had ik ook niet verwacht, het is inderdaad voor verkeer binnen 1 OpenVPN netwerk, dus niet tussen de client en server instance die je hebt draaien. Wellicht is het niet zozeer een firewall regel die je dwars zit maar een routerings regel tussen de netwerken die ontbreekt waardoor de netwerken elkaar niet kennen?:
[...]
Ik begrijp wat je bedoelt, maar die instelling is voor het verkeer tussen clients van één server (dus in mijn geval van óf de site-to-site instance óf de remote-access instance). Ik draai twee servers/instances.
Heb het niettemin even aangezet, maar bood zoals verwacht niet de oplossing
/u/98736/crop57f5f8979fbe3_cropped.png?f=community)
:strip_icc():strip_exif()/u/1604/60x60.jpg?f=community)
USB2LAN is niet aan te raden om te gebruiken met pfSense. Ja, voor sommige adapters zit er ondersteuning in maar anders dan voor testdoeleinden moet je ze niet gebruiken (lees ook eens op het pfsense forum hierover).
Persoonlijk heb ik OpenVPN nooit goed werkend gekregen met L2L onder pfSense (of dat het na een update niet meer werkte)...:
[...]
Nog suggesties?
Ik had tot 2 weken geleden pfSense op een Atom bordje draaien maar de performance met een package zoals Snort was niet altijd even lekker. Ook haalde ik niet de volle 200Mbit van mijn Ziggo verbinding dus tijd voor iets nieuws.
Ik heb via Marktplaats een Optiplex 790 gekocht met een i3-2120, hier 16GB geheugen, een SSD van 500GB en een Quad Intel netwerkkaart bij geprikt. Deze bak is redelijk overkill voor alleen pfSense dus draait pfSense nu als VM op deze machine, (2vCPU, 2 GB RAM) waarbij ik mijn verbinding vol kan benutten samen met OpenVPN, Snort, Bind, loadbalancing tussen Ziggo en mijn oude KPN dsl, en nog wat andere modules en dit allemaal voor een schamele 28 watt (de Atom deed ongeveer 20).
As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.
Maar ik gebruik gewoon tun, dus dat is geen bridging. Hier nog even een diagram van mijn netwerk:
Ik heb dus een probleem om van mijn ovpns1 naar ovpns0 te gaan. Er draaien dus 2 OpenVPN servers. Alle andere verbindingen werken goed.
:strip_icc():strip_exif()/u/26315/bleh.jpg?f=community)
Stiekem inmiddels zelf ook in bestelling staan al is het alleen maar om eens leuk ermee te spelen ;P Heb iets krachtiger nodig dan mijn Mikrotik voor proxy functionaliteiten ( opgeroeiende kids enzo moet je in de gaten houden
)
"Allow me to shatter your delusions of grandeur."
:strip_icc():strip_exif()/u/403099/CPU.jpg?f=community)
Nog even terugkomend op mijn probleem hierboven: dat is opgelost met behulp van het pfSense forum. Was iets doms (route van het VPN netwerk toevoegen 
).
Heb wel nog even een volgende vraag: in pfSense heb ik FreeRadius als package toegevoegd. Dit werkt goed. Ik maak een gebruiker aan (de database is ontsloten via 'System/Authentication Servers') en via de pfSense certificate manager maak ik een certificaat aan met dezelfde commonname als de gebruiker bij FreeRadius. So far, so good. Ik heb openVPN goed geconfigureerd want het werkt zoals ik dat wil.
Waar ik nu wel mijn twijfels over heb, is of die certificaten ook echt in FreeRadius zitten of als een laag daarbovenop draaien (vanuit OpenVPN). Dat is hartstikke relevant, omdat ik de FreeRadius wil proxyen naar andere FreeRadius servers en daar ook op basis van username+pw+cert wil authenticeren, maar dan de Wi-Fi.
Ik weet dat FreeRadius het wel kan, want ik heb het nu ook lokaal draaien met certificaten erin, maar de vraag is dus hoe het in pfSense geïmplementeerd is.
). Heb wel nog even een volgende vraag: in pfSense heb ik FreeRadius als package toegevoegd. Dit werkt goed. Ik maak een gebruiker aan (de database is ontsloten via 'System/Authentication Servers') en via de pfSense certificate manager maak ik een certificaat aan met dezelfde commonname als de gebruiker bij FreeRadius. So far, so good. Ik heb openVPN goed geconfigureerd want het werkt zoals ik dat wil
. Waar ik nu wel mijn twijfels over heb, is of die certificaten ook echt in FreeRadius zitten of als een laag daarbovenop draaien (vanuit OpenVPN). Dat is hartstikke relevant, omdat ik de FreeRadius wil proxyen naar andere FreeRadius servers en daar ook op basis van username+pw+cert wil authenticeren, maar dan de Wi-Fi.
Ik weet dat FreeRadius het wel kan, want ik heb het nu ook lokaal draaien met certificaten erin, maar de vraag is dus hoe het in pfSense geïmplementeerd is
.
:strip_icc():strip_exif()/u/55461/88047.jpg?f=community)
Leuk topic,
Al een poosje geleden op het werk van me vader (eigen zaak) een pfsense geplaatst (op esxi).
Deze wou ik echter direct over kunnen nemen, dus thuis een hp ssf met esx en pfsense.
Werkt perfect, echter stroomverbruik was drama.
Nu een shuttle geplaatst met 128gb ssd (oude van de plank) en 4gb mem.
Werkt rete snel, backups via vpn (2 synology's 412+ en een virtuele xpenology in het DC op een 360g7)
Middels ook S2S vpn (openvpn) naar mijn server in het DC. Daar 100/100 (thuis upc 120/20).
CPU belasting komt nooit boven de 8%.
Inmiddels een oude barracuda uit elkaar getrokken voor op kantoor. Hier direct pfsense opgezet.
Server kan nu ook remote via ILO worden benaderd over VPN. Kan nu dus esx host rebooten zonder uit me luie stoel te komen en me zorgen te maken dat me vm's niet meer opkomen!
Al een poosje geleden op het werk van me vader (eigen zaak) een pfsense geplaatst (op esxi).
Deze wou ik echter direct over kunnen nemen, dus thuis een hp ssf met esx en pfsense.
Werkt perfect, echter stroomverbruik was drama.
Nu een shuttle geplaatst met 128gb ssd (oude van de plank) en 4gb mem.
Werkt rete snel, backups via vpn (2 synology's 412+ en een virtuele xpenology in het DC op een 360g7)
Middels ook S2S vpn (openvpn) naar mijn server in het DC. Daar 100/100 (thuis upc 120/20).
CPU belasting komt nooit boven de 8%.
Inmiddels een oude barracuda uit elkaar getrokken voor op kantoor. Hier direct pfsense opgezet.
Server kan nu ook remote via ILO worden benaderd over VPN. Kan nu dus esx host rebooten zonder uit me luie stoel te komen en me zorgen te maken dat me vm's niet meer opkomen!
Vandaag eens even kort gespeeld met haproxy. Dat werkt prima. Ik kan in ieder geval een back-end toevoegen en vervolgens een front-end configureren. Leuk speelgoed! Op mijn BladeVPS heb ik een tweede IP geconfigureerd als virtuele NIC.
De volgende stap wordt met acl's configureren aan de hand van hostnames. Dan ook maar eens kijken of ik SNI werkend krijg. Dat moet op zich natuurlijk wel lukken, maar ik weet niet in hoeverre de webinterface van pfSense het goed ondersteunt.
Het tweede IP-adres heb ik ook nodig om (zogenaamd) twee DNS-servers te hebben voor mijn subdomeinen. Is natuurlijk een beetje tegen het principe in dat ik de boel misleid en naar één server doorstuur, maar voor mijn doel is het perfect en scheelt weer geld voor een tweede server. Dat is ook weer een project op zich, om DNS helemaal goed werkend te krijgen. En dan ook meteen een solide IPv6-implementatie!
[edit]
Haproxy is leuk speelgoed! Schreef ik eerder nog hoe je client certificates kunt tweaken in pfSense, als je haproxy gebruikt is dat niet nodig want die heeft er ondersteuning voor ingebouwd.
Wat ik nu dus heb is de webinterface op een hoog poortnummer draaien die niet naar buiten toe open staat en ik heb in haproxy een front-end gedefinieerd op poort 443 met client certificates die doorlust naar de hoge interne poort. Werkt uitstekend! Nu hoef ik me meteen ook geen zorgen meer te maken bij een upgrade, omdat alle instellingen behouden blijven.
De volgende stap wordt met acl's configureren aan de hand van hostnames. Dan ook maar eens kijken of ik SNI werkend krijg. Dat moet op zich natuurlijk wel lukken, maar ik weet niet in hoeverre de webinterface van pfSense het goed ondersteunt.
Het tweede IP-adres heb ik ook nodig om (zogenaamd) twee DNS-servers te hebben voor mijn subdomeinen. Is natuurlijk een beetje tegen het principe in dat ik de boel misleid en naar één server doorstuur, maar voor mijn doel is het perfect en scheelt weer geld voor een tweede server
. Dat is ook weer een project op zich, om DNS helemaal goed werkend te krijgen. En dan ook meteen een solide IPv6-implementatie![edit]
Haproxy is leuk speelgoed! Schreef ik eerder nog hoe je client certificates kunt tweaken in pfSense, als je haproxy gebruikt is dat niet nodig want die heeft er ondersteuning voor ingebouwd.
Wat ik nu dus heb is de webinterface op een hoog poortnummer draaien die niet naar buiten toe open staat en ik heb in haproxy een front-end gedefinieerd op poort 443 met client certificates die doorlust naar de hoge interne poort. Werkt uitstekend! Nu hoef ik me meteen ook geen zorgen meer te maken bij een upgrade, omdat alle instellingen behouden blijven.
[ Voor 26% gewijzigd door Dennis op 07-08-2015 08:27 ]
:strip_icc():strip_exif()/u/212073/crop5790930e15fe8_cropped.jpeg?f=community)
Ik heb dit topic eens door zitten lezen na aanraden van een reactie in het ziggo ervaringen topic
Zelf ben ik opzoek naar een mooie FW/router oplossing.
Echter zit ik met een vraag waarop ik in het topic geen antwoord kan vinden.
Ik heb een intel c1037u voorbij zien komen.
Waar ik eigenlijk het antwoord op zoek is ik ben namelijk bezig om een setup te zoeken waar ik 4 of 5 apparaten op aan kan sluiten.
Het modem wat ik gekregen heb van ziggo heeft 4 LAN-poorten en deze zijn ook allemaal in gebruik.
Is het nu afhankelijk van de case of moederbord waardoor je 4 of 5 LAN-poorten aan kan sturen?
Zelf ben ik opzoek naar een mooie FW/router oplossing.
Echter zit ik met een vraag waarop ik in het topic geen antwoord kan vinden.
Ik heb een intel c1037u voorbij zien komen.
Waar ik eigenlijk het antwoord op zoek is ik ben namelijk bezig om een setup te zoeken waar ik 4 of 5 apparaten op aan kan sluiten.
Het modem wat ik gekregen heb van ziggo heeft 4 LAN-poorten en deze zijn ook allemaal in gebruik.
Is het nu afhankelijk van de case of moederbord waardoor je 4 of 5 LAN-poorten aan kan sturen?
2250 WP Zuid PVoutput
:strip_exif()/u/34750/Trooper.gif?f=community)
Er zijn ook oplossingen met een C2758 moederbord. Alleen de vraag is dan wat een goedkopere oplossing is. Een J1900 moederbordje met een losse 5 poorts switch zeer waarschijnlijk:
Ik heb dit topic eens door zitten lezen na aanraden van een reactie in het ziggo ervaringen topic
Zelf ben ik opzoek naar een mooie FW/router oplossing.
Echter zit ik met een vraag waarop ik in het topic geen antwoord kan vinden.
Ik heb een intel c1037u voorbij zien komen.
Waar ik eigenlijk het antwoord op zoek is ik ben namelijk bezig om een setup te zoeken waar ik 4 of 5 apparaten op aan kan sluiten.
Het modem wat ik gekregen heb van ziggo heeft 4 LAN-poorten en deze zijn ook allemaal in gebruik.
Is het nu afhankelijk van de case of moederbord waardoor je 4 of 5 LAN-poorten aan kan sturen?
Goed punt, maar dan loop ik tegen het probleem aan dat de switch die er nu zit (5 poorten) gelijk vol zit en dat ik poorten tekort kom, dan kan ik natuurlijk een zuinige switch extra plaatsen bijvoorbeeld een 8 poorts, maar dat is helaas niet mogelijk.
Even snel een schets gemaakt van de situatie
Dus dacht bij mezelf als ik het modem in bridge laat zetten dan heb ik daarvandaan 1 kabel lopen naar mijn nieuwe FW/Router en vandaar uit verdeel ik de boel verder.
Maar wellicht denk ik te moeilijk
Onderin heb ik helaas geen stroomaansluitingen meer over
[ Voor 4% gewijzigd door MdO82 op 04-09-2015 19:23 ]
2250 WP Zuid PVoutput
Hoezo? Je koopt een switch met 5/8/16/24/48 poorten en klaar is MdO82?
Ja. Een recent J1900/N3xxx-bordje icm. een switch lijkt me goedkoper dan een ouder celeron-ding met N poorten.Maar wellicht denk ik te moeilijk
Misschien is zelfs daar nog wel een oplossing voor. Een soort hub voor je stopcontactenOnderin heb ik helaas geen stroomaansluitingen meer over
Ik ga er verder over nadenken anders wordt het teveel of-topic
Ga eens kijken wat voor setup ik ga gebruiken
anders wordt het teveel of-topic Ga eens kijken wat voor setup ik ga gebruiken
2250 WP Zuid PVoutput
Nog even een vraag hier... sinds gisteren heb ik op mijn OpenVPN server op pfSense een machine aan het lokale LAN toegevoegd. Zie plaatje.
De nieuwe machine heeft IP-adres 172.16.1.60. Ik kan keurig beide kanten op pingen, van pfSense naar de nieuwe machine (Ubuntu) en terug. Qua firewall goed dus.
Wat ik nu wil is de machine pingen vanaf mijn thuissubnet (172.16.11.0/24). Ik kan wél 172.16.1.200 (pfSense) pingen, maar niet de Ubuntu machine. Als ik een traceroute doe, zie ik dat hij stopt bij 10.4.0.1, wat het OpenVPN-adres van de pfSense machine is.
Kijk ik in de route tabel van pfSense, zie ik:
En dat is dus prima. Ook de OpenVPN config is goed, met het lokale netwerk gedefinieerd en hij wordt ook gepusht naar de clients. Daar zit het probleem ook niet, want met de tracert kom ik tot bij de pfSense machine, maar daarna stopt hij.
Iemand enig idee?
[edit]
Opgelost, het toevoegen van de route op de Ubuntu machine was de oplossing! Er zitten namelijk meerdere interfaces op de machine en die van het LAN is niet de default gateway. Nooit aan gedacht dat het probleem aan die kant zou zitten!
De nieuwe machine heeft IP-adres 172.16.1.60. Ik kan keurig beide kanten op pingen, van pfSense naar de nieuwe machine (Ubuntu) en terug. Qua firewall goed dus.
Wat ik nu wil is de machine pingen vanaf mijn thuissubnet (172.16.11.0/24). Ik kan wél 172.16.1.200 (pfSense) pingen, maar niet de Ubuntu machine. Als ik een traceroute doe, zie ik dat hij stopt bij 10.4.0.1, wat het OpenVPN-adres van de pfSense machine is.
Kijk ik in de route tabel van pfSense, zie ik:
code:
1
2
| 172.16.1.0/24 link#2 U 141 1500 vtnet1 172.16.1.200 link#2 UHS 748606 16384 lo0 |
En dat is dus prima. Ook de OpenVPN config is goed, met het lokale netwerk gedefinieerd en hij wordt ook gepusht naar de clients. Daar zit het probleem ook niet, want met de tracert kom ik tot bij de pfSense machine, maar daarna stopt hij.
Iemand enig idee?
[edit]
Opgelost, het toevoegen van de route op de Ubuntu machine was de oplossing! Er zitten namelijk meerdere interfaces op de machine en die van het LAN is niet de default gateway. Nooit aan gedacht dat het probleem aan die kant zou zitten!
[ Voor 9% gewijzigd door Dennis op 07-09-2015 10:30 ]
Het is afhankelijk van geen van beide. Zo ongeveer elk moederbord kan een extra netwerkkaart aan waardoor je meer poorten krijgt en op NUC achtige kastjes na kan elke case wel een expansion bracket hebben.:
Ik heb dit topic eens door zitten lezen na aanraden van een reactie in het ziggo ervaringen topic
Zelf ben ik opzoek naar een mooie FW/router oplossing.
Echter zit ik met een vraag waarop ik in het topic geen antwoord kan vinden.
Ik heb een intel c1037u voorbij zien komen.
Waar ik eigenlijk het antwoord op zoek is ik ben namelijk bezig om een setup te zoeken waar ik 4 of 5 apparaten op aan kan sluiten.
Het modem wat ik gekregen heb van ziggo heeft 4 LAN-poorten en deze zijn ook allemaal in gebruik.
Is het nu afhankelijk van de case of moederbord waardoor je 4 of 5 LAN-poorten aan kan sturen?
Ik zocht voor mijzelf een vervanger voor mijn Experiabox en dat kwam voor mij het dichtst in de buurt.
Wil je echt met PFsense/OPNsense/monowall/SophosUTM wilt gaan beginnen is een moederbord met minimaal 2 netwerk poorten wel aan te raden. Vandaar uit kan je natuurlijk gewoon met switches werken. Buiten mijn PFsense bak heb ik ook nog gewoon 4 switches en een AP in huis staan, maar dat heeft misschien meer te maken met het feit dat ik een ouder huis heb en dus niks in de muren heb zitten
Dus mocht je dat allemaal niet willen of nodig vinden koop gewoon een switch. Die zijn er al vanaf 2 tientjes en je kan meer apparaten aansluiten.
[ Voor 4% gewijzigd door Hakker op 07-09-2015 12:17 ]
Artificial Intelligence is no match for natural stupidity | Mijn DVD's | Mijn Games | D2X account: Hakker9
Ik denk dat ik ga puzzelen wat ik precies wil, ben namelijk ook aan het kijken voor een raspberry ivm het uitlezen van mijn slimme meter.
Daarnaast zal hij fungeren als vpn servertje zodat vanaf buiten bij mijn NAS kan.
ik wilde dit eerst met een rpi gaan doen, maar zal dan waarschijnlijk te weinig geheugen hebben.
Zodoende kwam deze optie om de hoek kijken
Ik ben een tijd terug bezig geweest om mijn LAN netjes in mijn meterkast op te ruimen.
Daarom had ik 1 kabel via een pvc-buis van het modem naar mijn switch bovenin de meterkast gestopt.
Vanaf deze switch lopen er kabels naar mijn NAS, (toekomstige) raspberry.
Ik heb daar nu nog 2 poorten vrij, maar ik kan dan niet meer netjes mijn kabels wegwerken een extra buis lukt niet
Daarnaast zal hij fungeren als vpn servertje zodat vanaf buiten bij mijn NAS kan.
ik wilde dit eerst met een rpi gaan doen, maar zal dan waarschijnlijk te weinig geheugen hebben.
Zodoende kwam deze optie om de hoek kijken
Om nog even antwoord op je vraag te stellen.
Ik ben een tijd terug bezig geweest om mijn LAN netjes in mijn meterkast op te ruimen.
Daarom had ik 1 kabel via een pvc-buis van het modem naar mijn switch bovenin de meterkast gestopt.
Vanaf deze switch lopen er kabels naar mijn NAS, (toekomstige) raspberry.
Ik heb daar nu nog 2 poorten vrij, maar ik kan dan niet meer netjes mijn kabels wegwerken
een extra buis lukt niet
[ Voor 45% gewijzigd door MdO82 op 09-09-2015 22:00 ]
2250 WP Zuid PVoutput
:strip_exif()/u/89037/crop561ba346ae6b0.gif?f=community)
Wellicht dat ik hier mijn antwoord kan vinden/krijgen.
Ik ben op zoek naar een firewall/router oplossing maar zie door de bomen het bos niet meer.
Ik heb al eens zitten spelen met PfSense maar dat is niet voor uit te branden. de GUI reageert soms helemaal niet terwijl ik naar mijn mening toch echt genoeg power heb toegewezen (2 CPU, 4GB mem, 32GB disk op SSD datastore). Mijn eerste ervaring is dus niet positief, of heb ik iets verkeerd gedaan?
Ook UnTangle geprobeerd. Ik was geen fan van deze oplossing eerlijk gezegd. Ze lokken je met "basis" addons om je vervolgens de betaalde versie te laten nemen.
Toen probeerde ik ClearOS. Echter na configuratie kan ik helemaal de web interface niet benaderen
Nu heb ik het topic doorgelezen en kom ik de volgende opties tegen:
- PfSense
- IPFire
- ClearOS
- Sophos
- UnTangle
- OPNsense
Zoals je kunt lezen, een legio aan oplossingen.
Mijn wens is om een firewall/router te laten draaien in een VM met 2 NICS via passthrough en 1 virtuele NIC. 1 NIC voor Ziggo modem in bridge modus, 1 NIC voor fysieke apparaten en 1 virtuele NIC voor mijn VM's. Wellicht nog een NIC voor mijn AP's?
Ik ben op zoek naar een VM oplossing die dit kan. Volgens mij kunnen ze dit allemaal.
Echter wil ik ook graag een virusscan + antimalware e.d.. Wellicht ook een access portal voor de wifi en in de toekomst misschien een remote access pagina voor VDI/terminal server.
Iemand een suggestie voor een goede firewall/router die aansluit bij mijn wensen?
Ik ben op zoek naar een firewall/router oplossing maar zie door de bomen het bos niet meer.
Ik heb al eens zitten spelen met PfSense maar dat is niet voor uit te branden. de GUI reageert soms helemaal niet terwijl ik naar mijn mening toch echt genoeg power heb toegewezen (2 CPU, 4GB mem, 32GB disk op SSD datastore). Mijn eerste ervaring is dus niet positief, of heb ik iets verkeerd gedaan?
Ook UnTangle geprobeerd. Ik was geen fan van deze oplossing eerlijk gezegd. Ze lokken je met "basis" addons om je vervolgens de betaalde versie te laten nemen.
Toen probeerde ik ClearOS. Echter na configuratie kan ik helemaal de web interface niet benaderen
Nu heb ik het topic doorgelezen en kom ik de volgende opties tegen:
- PfSense
- IPFire
- ClearOS
- Sophos
- UnTangle
- OPNsense
Zoals je kunt lezen, een legio aan oplossingen.
Mijn wens is om een firewall/router te laten draaien in een VM met 2 NICS via passthrough en 1 virtuele NIC. 1 NIC voor Ziggo modem in bridge modus, 1 NIC voor fysieke apparaten en 1 virtuele NIC voor mijn VM's. Wellicht nog een NIC voor mijn AP's?
Ik ben op zoek naar een VM oplossing die dit kan. Volgens mij kunnen ze dit allemaal.
Echter wil ik ook graag een virusscan + antimalware e.d.. Wellicht ook een access portal voor de wifi en in de toekomst misschien een remote access pagina voor VDI/terminal server.
Members only:
Alleen zichtbaar voor ingelogde gebruikers.
Inloggen
Iemand een suggestie voor een goede firewall/router die aansluit bij mijn wensen?
[ Voor 9% gewijzigd door renedis op 17-09-2015 11:58 ]
:strip_icc():strip_exif()/u/562276/tweakers%2520profiel.jpeg?f=community)
Artificial Intelligence is no match for natural stupidity | Mijn DVD's | Mijn Games | D2X account: Hakker9
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)
Artificial Intelligence is no match for natural stupidity | Mijn DVD's | Mijn Games | D2X account: Hakker9
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
Een VM op bijv. een ESXi host is vele malen krachtiger dan de gemiddelde consumentenrouter, dus dat kan prima. En pfSense heeft volgens mij ook nog eens amper resources nodig.
Nadeel is wel dat als er iets met je server aan de hand is (gecrashed ofzo, je weet het niet) dat je gelijk in je hele huis geen internet meer hebt. Ik zou dus wel een router nog ergens in de kast hebben liggen
Nadeel is wel dat als er iets met je server aan de hand is (gecrashed ofzo, je weet het niet) dat je gelijk in je hele huis geen internet meer hebt. Ik zou dus wel een router nog ergens in de kast hebben liggen
[ Voor 39% gewijzigd door ThinkPad op 15-10-2015 12:21 ]