Zelfbouw project: Firewall / Router / AP

Ik zou zeggen pak deze eens erbij : Het grote privacy-gerichte DNS server topic

Ik ben een systeem aan het samenstellen als pfsense firewall. Graag advies:

• Ik wil de single ethernetport v/h mobo gebruiken i.c.m. met de unmanaged switch. Config wordt als volgt:
De router, firewallpc, en home pc worden aangesloten op de switch. Verkeer van de home pc moet via firewall (met OpenVPN) naar buiten, en vice versa. Gaat dat goed als Pfsense op de firewallpc draait, en via de unmanaged switch alles moet regelen?

• De case heeft een 350W voeding, zal dit het verbruik onnodig hoog maken?

#	Product	Prijs	Subtotaal
1	AMD A8-7680 Boxed	€ 60,18	€ 60,18
1	Asus A68HM-Plus	€ 59,52	€ 59,52
1	Chieftec FN-03B	€ 73,58	€ 73,58
1	TP-Link TL-SG108	€ 25,95	€ 25,95
2	Kingston KVR16N11S8/4	€ 26,11	€ 52,22
1	Kingston A400 120GB	€ 21,90	€ 21,90
Bekijk collectie Importeer producten		Totaal	€ 293,35

In het kort, nee dat gaat nooit fatsoenlijk werken. Je hebt of een managed switch met VLAN support nodig of anders een extra NIC in je pfSense bak.

Koop dan zoiets pricewatch: Shuttle DS77U

2x Intel NIC en zal qua verbruik ook een hele berg schelen.

Bedankt @ik222 en @Tom Paris.

Die Shuttle ziet er inderdaad erg geschikt uit. Zo te zien hoeft er verder alleen maar een 2,5" SSD en RAM in. Een switch is daarmee ook niet meer nodig: een poort voor LAN, een voor WAN. Ideaal.

Nou mijn pfsense draait :)!, Naar veel lezen YouTube kijken enzovoort..

Alleen nu krijg ik met geen mogelijkheid Plex van mij xpsynology meer aan de gang..

k_ers schreef op maandag 21 januari 2019 @ 11:17:
Alleen nu krijg ik met geen mogelijkheid Plex van mij xpsynology meer aan de gang..

En wat bedoel je met "aan de gang krijgen"? Wát werkt er niet? Start hij niet op, wat doet het wél, wat heb je al geprobeerd? Hoe zou het moeten werken?

k_ers schreef op maandag 21 januari 2019 @ 11:17:
Nou mijn pfsense draait :)!, Naar veel lezen YouTube kijken enzovoort..

Alleen nu krijg ik met geen mogelijkheid Plex van mij xpsynology meer aan de gang..

Volg van deze uitleg: https://blog.linuxserver....l-use-plex-remote-access/ het onderdeel plex port forward en het onderdeel Edit (07/05/17) voor lokaal discrovery op meerdere interfaces mogelijk te maken.

MuVo schreef op maandag 21 januari 2019 @ 12:54:
[...]


Volg van deze uitleg: https://blog.linuxserver....l-use-plex-remote-access/ het onderdeel plex port forward en het onderdeel Edit (07/05/17) voor lokaal discrovery op meerdere interfaces mogelijk te maken.

Zins dat ik mijn server in de lan netwerk heb kan ik hem binnen mijn netwerk niet bereiken

Ik heb ook nog een vraag voor de pfSense experts hier.

Ik heb verschillende VLANs, waaronder één voor mijn smarthome/IOT devices. Nou heb ik een HEOS en die doet ontzettend moeilijk als de app in een ander segment zit dus noodgedwongen heb ik de HEOS aan het secure VLAN hangen.

Afgelopen week kwam ik echter dit tegen: https://denon-uk.custhelp...ork-requirements-for-heos. Hieruit concludeer ik dat het toch mogelijk is om dit te laten werken in twee verschillende subnets (in mijn geval VLANs).

Nu heb ik hier instructies gelezen voor IGMP in pfSense en ik heb dit conform geconfigureerd. In mijn pfSense heb ik tijdelijk een allow-to-all rule voor zowel het secure VLAN als het smarthome VLAN en die behelst alle protocollen (dus ook IGMP) en ik heb in de advanced options Allow packets with IP Options aan gezet.

Desondanks geen succes en dat hele multicast/IGMP begrijp ik niet helemaal goed dus ik vrees dat ik iets over het hoofd zie. Aan de andere kant geen deny regels in mijn firewall logs dus daar lijkt het ook niet in te zitten. Iemand tips?

Je moet niet aan de slag met IGMP proxy en rare firewall rules, maar met Avahi (losse package).

Dank @Tom Paris. Ik ben gisteravond nog even verder wezen zoeken en kwam uiteindelijk iets tegen waarin stond dat SONOS (veel meer over te vinden dan over HEOS) niet gaat werken met pfSense en IGMP Proxy.

Daar kwam ik uiteindelijk ook dit topic tegen. Even geprobeerd en... het werkt perfect! 5 minuten werk om in te stellen en daarna geen enkel probleem ervaren. Dit kan ik iedereen dus van harte aanbevelen!

Erg fijn dit, want nu kan de HEOS veilig in de IOT VLAN hangen en kan ik daar bovendien vanuit OpenHAB mee verbinden . Het is soms niet makkelijk met IOT dingen en hun ability om in verschillende subnets te werken. Dat is echt wel een aandachtspunt voor fabrikanten.

k_ers schreef op maandag 21 januari 2019 @ 13:01:
[...]


Zins dat ik mijn server in de lan netwerk heb kan ik hem binnen mijn netwerk niet bereiken

Dat is apart, kun je andere services wel bereiken van de plex machine? Bijvoorbeeld een Ping? Om wat voor Plex server gaat het? Zou eerst even kijken of je ip en dns instellingen goed staan ingesteld op je plex server, vanuit de basis trouble shooten, daarna plex controleren.

Geinig . Dit zal dan ook wel soortgelijk werken voor bv. Chromecasts. Als er nou ook zoiets als pimd bestaat maar dan om RTSP verkeer te sniffen om zo unicast RTP automatisch naar de juiste host in het LAN te sturen, dan heb ik geen static forwards meer nodig om "begin gemist" en "pauze" streams op de STB van m'n IPTV provider te krijgen .

Overigens, in de KB van Ubiquiti staat een soortgelijk artikel over hoe je Chromecasts en andere SSDP broadcastende apparaten in een apart LAN toch kan zien. Daar maken ze gebruik van het pakket "mDNS", wat op een Ubiquiti USG ook aanwezig is.

Ja, mDNS is feitelijk hetzelfde als AVAHI (of eigenlijk andersom) en wat @Tom Paris dus al als tip hierboven gaf.

Pimd is inderdaad een mooie en simpele oplossing voor multicast tussen vlan's.

Enige nadeel is dat het niet gelijktijdig gebruikt kan worden met igmpproxy, wat ik gebruik voor IPTV. Zoek nog een oplossing om beide gelijktijdig werkend te krijgen.

@duronbug Kun je IPTV niet al afvangen vòòr de router, via bijvoorbeeld een managed switch?

Dennis schreef op dinsdag 22 januari 2019 @ 21:39:
@duronbug Kun je IPTV niet al afvangen vòòr de router, via bijvoorbeeld een managed switch?

Zou kunnen maar dan verlies ik routed IPTV.

Dan misschien toch eens mDNS proberen? Moet wel zeggen dat ik ook maar wat opper hoor. Heb nog niet geprobeerd om zaken als chromecasts in een ander VLAN te zetten en dan pimd of mdns te gebruiken icm IGMPproxy voor mn routed IPTV. Dus ik weet niet in hoeverre multicast adressen voor TV en media devices met elkaar conflicteren. Maar weet wel dat IGMPproxy behoorlijk goed op een specifieke interface is te richten (voor up en downstream). Als een pimd of mdns ook zo ingesteld kan worden, dan zou ik me kunnen voorstellen dat dat moet werken

eymey schreef op dinsdag 22 januari 2019 @ 22:41:
Dan misschien toch eens mDNS proberen? Moet wel zeggen dat ik ook maar wat opper hoor. Heb nog niet geprobeerd om zaken als chromecasts in een ander VLAN te zetten en dan pimd of mdns te gebruiken icm IGMPproxy voor mn routed IPTV. Dus ik weet niet in hoeverre multicast adressen voor TV en media devices met elkaar conflicteren. Maar weet wel dat IGMPproxy behoorlijk goed op een specifieke interface is te richten (voor up en downstream). Als een pimd of mdns ook zo ingesteld kan worden, dan zou ik me kunnen voorstellen dat dat moet werken

Ik heb chromecast werkend over twee verschillende lan interfaces doormiddel van mDNS. Alleen sinds mijn Apple tv gebruik ik de chromecast niet meer.

Overweeg een Qotom Q575G6 te bestellen via Aliexpress, echter zie nu dat ze niet meer verzenden via UPS. En dus grote kans dat er de nodige kosten bijkomen (zoals inklaring, btw en douanerecht). Kastje wordt dan gelijk al weer ruim €100 duurder. Iemand ervaring met verzenden via DHL? Moet ik dan idd. denken aan die €100 extra? Of zijn er nog andere wegen om die kosten te drukken?

Mij viel hetzelfde op en ik zit dus eigenlijk ook met dezelfde vraag .

Niet dat ik haast heb met het bestellen van een Qotom (anders had ik het waarschijnlijk al gedaan toen de UPS optie er nog wel was).

Maar als m'n eigen zakgeld buffer weer wat groter is wil ik toch wel een keer de stap maken. M'n Braswell N3150 boxje van ASrock met geknutselde Realtek nics en alle storage via USB is eigenlijk verrassend stabiel, ook onder ESXi, maar wil uiteindelijk toch wel iets 'netters' neerzetten

Ben er alleen sowieso ook nog niet helemáál uit wat ik dan precies wil. Het moet sowieso compact zijn met een beperkt stroomverbruik, met ruimte voor SSD en ongeveer 8 GB RAM, en het moet een gevirtualiseerde OPNSense / andere firewall kunnen draaien, plus wat ruimte voor test / domotica VM's.

Maar ok ik dan voor iets gebaseerd op een i3, i5 of i7 ga en of ik dan 'zuinig' ga doen door voor een *g4 qotom te gaan (waar ik nog DDR3L geheugen voor heb liggen en een m2 SSD) of wat meer future proof, pfff.... keuzes

[ Voor 34% gewijzigd door eymey op 01-02-2019 09:49 ]

Qotom Q575G6 is inderdaad wel een mooie optie. Had ik niet aan gedacht. En dat voor ongeveer dezelfde prijs zoals de onderstaande configuratie die ik had samengesteld.

#	Product	Prijs	Subtotaal
1	Intel Celeron G3930 Boxed	€ 39,05	€ 39,05
1	Shuttle XPC slim DH310	€ 219,-	€ 219,-
2	Crucial CT4G4SFS824A	€ 22,99	€ 45,98
1	Kingston A400 120GB	€ 21,86	€ 21,86
Bekijk collectie Importeer producten		Totaal	€ 325,89

DunJoost schreef op vrijdag 1 februari 2019 @ 09:21:
Overweeg een Qotom Q575G6 te bestellen via Aliexpress, echter zie nu dat ze niet meer verzenden via UPS. En dus grote kans dat er de nodige kosten bijkomen (zoals inklaring, btw en douanerecht). Kastje wordt dan gelijk al weer ruim €100 duurder. Iemand ervaring met verzenden via DHL? Moet ik dan idd. denken aan die €100 extra? Of zijn er nog andere wegen om die kosten te drukken?

eymey schreef op vrijdag 1 februari 2019 @ 09:43:
Mij viel hetzelfde op en ik zit dus eigenlijk ook met dezelfde vraag .

Niet dat ik haast heb met het bestellen van een Qotom (anders had ik het waarschijnlijk al gedaan toen de UPS optie er nog wel was).

Maar als m'n eigen zakgeld buffer weer wat groter is wil ik toch wel een keer de stap maken. M'n Braswell N3150 boxje van ASrock met geknutselde Realtek nics en alle storage via USB is eigenlijk verrassend stabiel, ook onder ESXi, maar wil uiteindelijk toch wel iets 'netters' neerzetten

Ben er alleen sowieso ook nog niet helemáál uit wat ik dan precies wil. Het moet sowieso compact zijn met een beperkt stroomverbruik, met ruimte voor SSD en ongeveer 8 GB RAM, en het moet een gevirtualiseerde OPNSense / andere firewall kunnen draaien, plus wat ruimte voor test / domotica VM's.

Maar ok ik dan voor iets gebaseerd op een i3, i5 of i7 ga en of ik dan 'zuinig' ga doen door voor een *g4 qotom te gaan (waar ik nog DDR3L geheugen voor heb liggen en een m2 SSD) of wat meer future proof, pfff.... keuzes

Over de verzending van Qotom: Ik had het zelfde probleem als jullie, het model wat ik voor ogen had op Aliexpress had geen optie om met UPS te leveren. Nu had ik via www.qotom.net/ de live chat benaderd en de vraag gesteld waarom UPS geen optie was. Ze hebben toen een andere product pagina op Aliexpress getoond met een iets ander product waar het wel mogelijk was om UPS te selcteren. Ze hebben daarna mijn wensen in de order verwerkt zodat ik het procuct kreeg wat ik voor ogen had om te bestellen. Mijn product werd keurig via UPS verzonden, wel lang wachten maar geen doane kosten.

Mijn tip: Vraag op www.qotom.net/ via de live chat of ze jouw gewenste Aliexpress product via UPS willen versturen.

Goede service van Qotom!

Goede tip inderdaad! Thanks .

Nu alleen nog beslissen wat ik wil

edit: @Cybermage2you en toch vind ik jouw samengestelde config ook wel een mooie! Met name die Shuttle is ook wel mooi compleet, én met 2 Intel NIC's (meer dan 2 heb ik hier thuis eigenlijk niet nodig).

[ Voor 59% gewijzigd door eymey op 01-02-2019 11:31 ]

eymey schreef op vrijdag 1 februari 2019 @ 11:23:
edit: @Cybermage2you en toch vind ik jouw samengestelde config ook wel een mooie! Met name die Shuttle is ook wel mooi compleet, én met 2 Intel NIC's (meer dan 2 heb ik hier thuis eigenlijk niet nodig).

Waarom persee intel nics? als Linux de nics ondersteund is er toch niks aan het handje? of is Psense wat kieskeuriger? En zijn dan intel nics stabieler? Enige wat ik wel vind aan die shuttle je gooit er een 40 euro range processor in en de behuizing kost de veelvoud Andere kant kan je wel zo duur maken zoals je wilt want je kan er ook kiezen om een duurdere processor in te gooien. In mijn overstap topic had ik hem gemaakt met een I3. Overstap van XS4all naar Ziggo zakelijk?

[ Voor 4% gewijzigd door Cybermage op 01-02-2019 12:22 ]

MuVo schreef op vrijdag 1 februari 2019 @ 11:09:
Over de verzending van Qotom: Ik had het zelfde probleem als jullie, het model wat ik voor ogen had op Aliexpress had geen optie om met UPS te leveren. Nu had ik via www.qotom.net/ de live chat benaderd en de vraag gesteld waarom UPS geen optie was. Ze hebben toen een andere product pagina op Aliexpress getoond met een iets ander product waar het wel mogelijk was om UPS te selcteren. Ze hebben daarna mijn wensen in de order verwerkt zodat ik het procuct kreeg wat ik voor ogen had om te bestellen. Mijn product werd keurig via UPS verzonden, wel lang wachten maar geen doane kosten.

Mijn tip: Vraag op www.qotom.net/ via de live chat of ze jouw gewenste Aliexpress product via UPS willen versturen.

Goede service van Qotom!

Raar dat ze niet voorstellen om het gewoon via één van de vele Amazon webshops te proberen, want die verkopen ze ook

Cybermage2you schreef op vrijdag 1 februari 2019 @ 12:10:
Waarom persee intel nics? als Linux de nics ondersteund is er toch niks aan het handje? of is Psense wat kieskeuriger? En zijn dan intel nics stabieler?

GoT Networking Rule #1 : Als je een DIY Router bouwt dan neem je ALTIJD gewoon Intel NIC's

- Het meest compatible met allerlei OS'en.
- Belasten de CPU niet dankzij offloading.
- Gewoon altijd lekker stabiel!

Cybermage2you schreef op vrijdag 1 februari 2019 @ 12:10:
[...]


Waarom persee intel nics? als Linux de nics ondersteund is er toch niks aan het handje? of is Psense wat kieskeuriger? En zijn dan intel nics stabieler? Enige wat ik wel vind aan die shuttle je gooit er een 40 euro range processor in en de behuizing kost de veelvoud Andere kant kan je wel zo duur maken zoals je wilt want je kan er ook kiezen om een duurdere processor in te gooien. In mijn overstap topic had ik hem gemaakt met een I3. Overstap van XS4all naar Ziggo zakelijk?

Wat @nero355 zegt .

Intel NIC's belasten je CPU gewoon het minst. En nog een bijkomend voordeel zou zijn dat ik geen custom ESXi ISO meer hoef te bakken omdat Realtek NIC's standaard niet ondersteund worden.

Maar goed, verder moet ik zeggen dat de huidige Realtek-setup ook niet heel verkeerd werkt. M"n OPNSense VM onder ESXi kan de Gigabit lijn van Tweak prima benutten, maar ik zie tijdens hoog bandbreedte gebruik de CPU wel omhoog gaan (zonder dat er verder IDS processen en dergelijke enabled zijn).

eymey schreef op vrijdag 1 februari 2019 @ 13:11:
<KNIP>

Intel NIC's belasten je CPU gewoon het minst. En nog een bijkomend voordeel zou zijn dat ik geen custom ESXi ISO meer hoef te bakken omdat Realtek NIC's standaard niet ondersteund worden.

Maar goed, verder moet ik zeggen dat de huidige Realtek-setup ook niet heel verkeerd werkt. M"n OPNSense VM onder ESXi kan de Gigabit lijn van Tweak prima benutten, maar ik zie tijdens hoog bandbreedte gebruik de CPU wel omhoog gaan (zonder dat er verder IDS processen en dergelijke enabled zijn).

Oke zou voor mij minder een isue zijn omdat ik dus alles in een wil doen en zat te denken dit op linux te baseren. Zie op dit moment nog niet de noodzaak om esxi opzetten maar ik kan overtuigd worden .
Welke dingen hebben andere tweakers gesegmenteerd in vm's op hun firewall?
Als je dan toch esxi gaat draaien dan word de load ook hoger en moet je toch een hogere processor in te zetten zoals i3 / i5 of misschien zelfs een i7. Dan kan de load van de netwerkpooten er ook wel bij.
Hoe denken anderen erover is een Intel Celeron G3930 voldoende voor Firewall/ vpn server en dan de volle bandbreedte te benutten? Of kom ik toch de cpu tegen omdat die de encryptie / blokken firewall niet bij kan houden? Maar alles overdenkend is stabiliteit wel een punt om rekening te houden. Als ik zo'n modem van ziggo in bridge mode gaat zetten wil je geen 2de factor van instabilieit in je netwerk introduceren.

[ Voor 4% gewijzigd door Cybermage op 01-02-2019 13:51 ]

nero355 schreef op vrijdag 1 februari 2019 @ 12:42:
[...]

Raar dat ze niet voorstellen om het gewoon via één van de vele Amazon webshops te proberen, want die verkopen ze ook


[...]

Helaas... Op Amazon.de wordt niet veel aangeboden en hetgeen op Amazon.com aangeboden, wordt weer niet naar NL verzonden.

Dit is ook nog een optie i.c.m de I56500T die op V&A staat

https://tweakers.net/pric...uttle-xpc-slim-dq170.html

[ Voor 59% gewijzigd door jimmya3 op 04-02-2019 13:57 ]

nero355 schreef op vrijdag 1 februari 2019 @ 12:42:
- Het meest compatible met allerlei OS'en.
- Belasten de CPU niet dankzij offloading.
- Gewoon altijd lekker stabiel!

Één en drie zijn zonder meer waar, maar Intel wordt wel vaak onterecht een soort mythische status toegeschreven.

Zo doen de low-end Intel nics (zoals de I211 uit de aangehaalde Shuttle) helemaal geen 'offloading' (GRO/GSO, TSO of etc.) - dat is een fabeltje. Daar hoef je dus geen Intel voor te kopen.

Of Intel beter presteert? Misschien in een benchmark. En FreeBSD kan (kon?) minder goed met Realtek overweg - maar op een modern Linux/Windowssysteem is het de discussie niet waard imo.

Cybermage2you schreef op vrijdag 1 februari 2019 @ 12:10:
Waarom persee intel nics? als Linux de nics ondersteund is er toch niks aan het handje? of is Psense wat kieskeuriger? En zijn dan intel nics stabieler?

In de serie video's van Mark Furneaux over pfSense (zie youtube) zegt hij dat Intel ervoor gekozen heeft om zoveel mogelijk in hardware te doen waarna je kunt volstaan met een lichte en kleine driver. De keerzijde is dat je minder controller chips uit een wafer haalt en die chips dus duurder zijn.
Andere fabrikanten kiezen ervoor om juist zoveel mogelijk chips uit een wafer te willen halen, waardoor de chips goedkoper zijn maar de drivers zwaar en groot zijn.

Is het iemand al gelukt om UPS te krijgen voor een QOTOM order? Ik krijg via de chat geen gehoor (skype).

Ik overweeg deze aan te schaffen: https://nl.aliexpress.com...abit-NIC/32812678037.html

Twijfel nog of ik zelf SSD/geheugen koop omdat ik hier al wat mensen lees die een defecte ssd hebben. Dan kun je beter voor garantie opteren bij de lokale handelaar hier in NL. Prijsverschil tussen i3 en i5 is niet groot maar allebei lijken me meer dan voldoende.

MuVo schreef op maandag 4 februari 2019 @ 13:08:
[...]

Mij was het gelukt toen ze nog een oude webchat hadden, met de skype chat heb ik geen ervaring. Maar je kunt hier gewoon een bericht achterlaten: http://www.qotom.net/message/ .

Uiteraard al geprobeerd - maar formulier werkt niet (foutmelding) dus maar per e-mail een bericht verzonden. Hopen dat ze bij me terugkomen.

Wat zouden jullie doen eigen SSD of geheugen? Of toch mee bestellen (meerprijs is minimaal).

[ Voor 33% gewijzigd door Workaholic op 04-02-2019 13:13 ]

Workaholic schreef op maandag 4 februari 2019 @ 12:57:
Is het iemand al gelukt om UPS te krijgen voor een QOTOM order? Ik krijg via de chat geen gehoor (skype).

Ik overweeg deze aan te schaffen: https://nl.aliexpress.com...abit-NIC/32812678037.html

Twijfel nog of ik zelf SSD/geheugen koop omdat ik hier al wat mensen lees die een defecte ssd hebben. Dan kun je beter voor garantie opteren bij de lokale handelaar hier in NL. Prijsverschil tussen i3 en i5 is niet groot maar allebei lijken me meer dan voldoende.

Mij was het gelukt toen ze nog een oude webchat hadden, met de skype chat heb ik geen ervaring. Maar je kunt hier gewoon een bericht achterlaten: http://www.qotom.net/message/ .

Edit:

Workaholic schreef op maandag 4 februari 2019 @ 12:57:

Wat zouden jullie doen eigen SSD of geheugen? Of toch mee bestellen (meerprijs is minimaal).

Ik heb het mee besteld, meerprijs is minimaal en als ik hetl zelf moet bestellen dan is het duurder (kijk zelf beter naar merk & kwaliteit). Tot nu geen spijt, Pfsense werkt goed op de meegeleverde SSD en geheugen.

[ Voor 20% gewijzigd door MuVo op 04-02-2019 13:44 ]

Kan ik met Pfsense VPN clients veranderen via een macro of script?

Op dit moment maak ik gebruik van de "Restore" functie om te schakelen tussen verschillende VPN-clients. Maar dat is niet zo handig i.v.m. het verlies van gewijzigde instellingen. Hier is wat ik moet veranderen om van VPN-client te veranderen:

1. Interface => kies VPN => Schakel die in, en de andere uit.
2. Firewall -> Rules -> LAN => IPv4-regel => Geavanceerde opties tonen => Gateway wijzigen in huidige VPN
3. Diensten => DNS Resolver => Uitgaande netwerkinterfaces: huidige VPN
4. Hoofdscherm => Dienstenstatus => OpenVPN => herstarten

Zijn hier scripting opties voor?

DoinkDeClown schreef op donderdag 7 februari 2019 @ 08:09:
Kan ik met Pfsense VPN clients veranderen via een macro of script?

Op dit moment maak ik gebruik van de "Restore" functie om te schakelen tussen verschillende VPN-clients. Maar dat is niet zo handig i.v.m. het verlies van gewijzigde instellingen. Hier is wat ik moet veranderen om van VPN-client te veranderen:

1. Interface => kies VPN => Schakel die in, en de andere uit.
2. Firewall -> Rules -> LAN => IPv4-regel => Geavanceerde opties tonen => Gateway wijzigen in huidige VPN
3. Diensten => DNS Resolver => Uitgaande netwerkinterfaces: huidige VPN
4. Hoofdscherm => Dienstenstatus => OpenVPN => herstarten

Zijn hier scripting opties voor?

Waar gaat het om? Wil je vanaf je pfsense machine verschillende vpn verbindingen opzetten naar vpn servers? Of wil je vanaf een endpoint (laptop, telefoon, o.i.d.) naar je eigen pfsense verbinden?
Welke restore functionaliteit bedoel je? Zit dat in pfsense of zit dat in de openvpn software?

Net weer een leuke barebone tegengekomen van Shuttle DH370 met built-in dual Intel® i211 Gigabit LAN.

http://global.shuttle.com/news/productsSpec?productId=2343

Mozart schreef op donderdag 7 februari 2019 @ 09:32:
[...]

Waar gaat het om? Wil je vanaf je pfsense machine verschillende vpn verbindingen opzetten naar vpn servers? Of wil je vanaf een endpoint (laptop, telefoon, o.i.d.) naar je eigen pfsense verbinden?
Welke restore functionaliteit bedoel je? Zit dat in pfsense of zit dat in de openvpn software?

Ik wil vanaf een endpoint (laptop) wisselen van VPN client (de 3rd party VPN server waarmee pfsense verbindt).

De restore functionaliteit zit in pfsense, onder Diagnostics. Daarmee kan ik sets van verschillende rules/interfaces heractiveren (of opslaan), maar verlies ik de huidige wijzigingen als ik terug ga. Dus niet ideaal.

Tom Paris schreef op zondag 20 januari 2019 @ 20:24:
Koop dan zoiets pricewatch: Shuttle DS77U

2x Intel NIC en zal qua verbruik ook een hele berg schelen.

Heb inderdaad voor deze setup gekozen (bedankt voor de tip) voor mijn pfsense bakje (2 weken actief nu), boven de vele opties die ik voorbij zag komen van Aliexpress. Had niet echt een goed gevoel (vertrouwen) in die bakjes van Ali, wat ook meespeelde was het stukje garantie waarom ik toch iets bij een NL partij wou doen (just in case). Heb hier alleen een blokje RAM bijgekocht van 4GB, HDD had ik nog liggen.

De aanwezige 2 NIC's van Intel (pluspunt) zijn voldoende voor mij. De LAN-output gaat naar een TP-Link TL-SG108E managed switch. Een gewone switch was hier ook voldoende geweest omdat ik geen speciale config in de switch actief heb ,maar goed deze had ik nog. Op de switch heb ik verder mijn NAS, Ubiquiti UniFi AP-AC-LR en nog wat bekabelde apparaten actief.


Moet zeggen dat het werkt als een tiet met de Tweak gigabit lijn die ik heb. Heb alleen 'Internet Only' van ze dus geen gedoe met VLANS, internet signaal staat zo kaal op de fiber. Voor het sporadische gebruik van het klassieke TV kijken heb ik rechtstreeks bij Canal Digital 'TV via de App' in gebruik, in heel europa TV kijken en kan naar elke TV gestreamt worden via chromecast. Account deel ik zelfs ook nog met familie in België (scheelt ook weer in de kosten)

Als aanvulling heb de plugins HAproxy, pfBlockerNG en ntopng actief. HAproxy heb ik als reverse DNS actief, pfBlockerNG voor blokkeren van toegang tot mijn netwerk voor eigenlijk alle landen behalve 2 (NL en BE) . Gedeelte van 'DNSBL' heb ik ook actief op basis van de lijsten die ook gebruikt worden van Pi-hole. Hiermee blokkeer ik op netwerk niveau die vervelende advertenties (geen AD-blocker meer nodig in de browser), op elk apparaat in het netwerk komen geen advertenties meer door, zalig.

pfsense bakje verbruikt maar 8 watt continu, alleen tijdens de opstart zit deze tussen de 10 - 15 watt (uitgemeten met een slimme stekker gekoppeld aan Toon). Ook nog energie zuinig dus.

Ballebek schreef op donderdag 7 februari 2019 @ 18:49:
Net weer een leuke barebone tegengekomen van Shuttle DH370 met built-in dual Intel® i211 Gigabit LAN.

http://global.shuttle.com/news/productsSpec?productId=2343

Erg leuk ding inderdaad!

https://nl.hardware.info/...or-huisvesten-in-13-liter

The original plan was to include a RESTCONF API in pfSense 2.5.0, which for security reasons would have required hardware AES-NI or equivalent support. Plans have since changed, and pfSense 2.5.0 does not contain the planned RESTCONF API, thus pfSense 2.5.0 will not require AES-NI.

HEADS UP: Snapshots moving to pfSense 2.5.0 on FreeBSD 12, expect initial instability

ik222 schreef op zondag 13 januari 2019 @ 14:18:
@BigEagle Wat ik wel vreemd vind in je logs is dat zodra de IPTV interface up is en een IP heeft deze even later weer voor 5 seconden down gaat. Bij het opkomen doet hij dan een nieuwe DHCP request waar ook niet direct antwoord op lijk te komen. Dit ziet er wat mij betreft niet goed uit.

Misschien is het handig om je vraag eens in de OPNSense community te posten, mogelijk kan men je daar beter helpen.

Mijn vraag hoef ik niet meer te posten in de OPNSense community: ik ben erachter het probleem gekomen...

Een test met twee losse TPLink switches gaf geen problemen: routed IPTV werkte gewoon. Het moest dus aan mijn bestaande Unifi configuratie liggen. Tijdens het "gasduinen" in het Tweakers forum kwam ik dit tegen. Ik kon mij herinneren dat ik IGMP snooping overal had aangezet (ooit jaar geleden gedaan, geen idee waarom ). Zou het dan toch??? Ja, dat was dus zo: het IGMP snooping stond aan op VLAN 4. Nadat deze was uitgezet werkte IPTV.

Ik heb nu dus een werkende opstelling met KPN glasvezel, OPNSense (op Qotom), OpenVPN, Unifi switches en accesspoints en routed IPTV (op 2 ontvangers).

Beeld werkt nu al dik een uur zonder problemen. Ook interactive TV en opname terugkijken werken.

[ Voor 0% gewijzigd door BigEagle op 18-02-2019 09:16 . Reden: OpenVPN vergeten ]

Top!

IGMP snooping op Ubiquiti switches (iig die in de Unifi lijn) is inderdaad vrij waardeloos, heb ik hier ook al gemerkt

Mede vanuit security oogpunt maar ook omdat ik dan op die manier multicast verkeer nog beetje uit m'n LAN kan houden, heb ik dus de STB van m'n provider ook in een apart VLAN en dus subnet hangen. En kon ik op de Ubiquiti switches dus per poort het IPTV VLAN gewoon uitschakelen (behalve natuurlijk op upstream poorten en de poort waarop de STB zelf zit ).

Wel heb ik de laatste week erg veel problemen met de stabiliteit van m'n LAN. Chromecast Audio's die om de haverklap hun stream verliezen, NVidia Shield die meldt dat ie geen internetverbinding heeft, Ripe Atlas probe die veel disconnects laat zien in de stats. Ben er nog niet achter waar dit nou door komt.

Ik heb wel OPNSense op de laatste versie draaien (de recente nieuwe release) en de Ubiquiti switches en AP's op de meest recente firmware.

Ik weet niet of anderen op OPNSense 19.1.1, al dan niet gevirtualiseerd, ook problemen ervaren? Anders toch maar eens m'n UBNT spul terugrollen naar 1 versie lager.....

Ik heb een paar blitzwolf smartplugs (bw-shp6) in huis,maar ik krijg ze maar niet verbonden met mijn netwerk.
Een Pfsense 2.4.4 handelt het netwerkverkeer af.

Het connecten met het netwerk loopt mis. Wat precies, daar ben ik nog niet achter.

Ben verbonden met 2.4GHz met mijn telefoon
Bij een netwerk van iemand anders pairen ze wel in het netwerk
Ik heb geen mac-filter oid aanstaan
In ARP-table komt hij niet bij te staan
Pfsensesouter is een vpn client
Foutmelding: 'toevoegen mislukt'

Lijkt dus alsof hij geen ipadres krijgt. Iemand hier ervaring mee of weet hoe ik dit verder kan troubleshooten?

EWK schreef op woensdag 20 februari 2019 @ 19:58:
Ik heb een paar blitzwolf smartplugs (bw-shp6) in huis,maar ik krijg ze maar niet verbonden met mijn netwerk.
Een Pfsense 2.4.4 handelt het netwerkverkeer af.

Het connecten met het netwerk loopt mis. Wat precies, daar ben ik nog niet achter.

Ben verbonden met 2.4GHz met mijn telefoon
Bij een netwerk van iemand anders pairen ze wel in het netwerk
Ik heb geen mac-filter oid aanstaan
In ARP-table komt hij niet bij te staan
Pfsensesouter is een vpn client
Foutmelding: 'toevoegen mislukt'

Lijkt dus alsof hij geen ipadres krijgt. Iemand hier ervaring mee of weet hoe ik dit verder kan troubleshooten?

Dit lijkt me niet de juiste plek voor deze vraag.
Zoek naar een topic wat met je access point te maken heeft of een topic over je smart plugs. Dan kom je vast verder.

Na toch redelijk wat ongenoegen met de router/modem combi van provider (Tweak, Fritzbox 5490) wil ik hier een PfSense box neerzetten. Heb al vele barebones overwogen (Qotom, Jetway, SuperMicro en wat andere namen) maar wil graag toch in NL bestellen om verschillende redenen. Nu vind ik wat conflicterende info over Intel vs Realtek. Ik snap dat Intel wel echt de betere support krijgt/standaard is, maar lees ook dat vanaf PfSense 2.4.x de support voor Realtek aanzienlijk beter is geworden. Verder hebben de, toch redelijk low-end, barebones die we hier vooral voorbij zien komen vaak een I211 achtige chip, welke niet de krachtige offloading features heeft van de duurdere NICs.

Afijn, zelf heb ik nu de volgende twee systemen op het oog:

#	Product	Prijs	Subtotaal
1	Gigabyte GA-J3455N-D3H	€ 92,40	€ 92,40
1	Inter-Tech Mini ITX E-3002 60W	€ 43,50	€ 43,50
1	G.Skill F3-1600C9D-8GSL	€ 45,40	€ 45,40
1	Kingston A400 240GB	€ 30,45	€ 30,45
Bekijk collectie Importeer producten		Totaal	€ 211,75

#	Product	Prijs	Subtotaal
1	Intel Celeron G4900	€ 48,95	€ 48,95
1	Shuttle XPC slim H310V	€ 202,48	€ 202,48
2	Crucial CT4G4SFS824A	€ 24,48	€ 48,96
1	Kingston A400 240GB	€ 30,45	€ 30,45
Bekijk collectie Importeer producten		Totaal	€ 330,84

Nog een optie is natuurlijk de Shuttle DS77U3, maar dat is wel meteen nog een stuk duurder.
Vereisten:

• Gbit routing speeds (dus ~970Mbit/s, niet "maar" 880Mbit/s oid)
• Hardware AES-Ni voor o.a. VPN
• Voldoende horsepower zodat er nog wat packages/modules op kunnen. Nog niet zeker welke, maar weet zeker dat ik wel met eea zal spelen, dus er moet wat CPU ruimte zijn
• Laag stroomverbruik, geluid is niet belangrijk (staat bij een 1U rack-mount switch met zo'n luide 40mm fan )

Verder zie ik hier regelmatig de Shuttle DS77U voorbijkomen, maar als ik even wat op internet zoek dan zet ik mijn twijfels bij of deze snel genoeg is voor Gbit + wat extra packages. Iemand hier toevallig ervaring mee? Leek mij anders namelijk een uiterst mooie oplossing.

Afijn, het is ondertussen vrij laat dus ga mijn post maar eens afsluiten. Hoor graag feedback op bovenstaande!

Edit: Inmidels nog meer rondgekeken, ben nu op de volgende build beland welke 'm waarschijnlijk gaat worden. Deze is net wat sneller dan de Celeron build hierboven, maar dan voor ongeveer dezelfde prijs. Iemand ervaring mee of deze snel genoeg is voor Gbit + pfblockerng + unbound + IDS/IPS?

#	Product	Prijs	Subtotaal
1	Intel Pentium G4560 Boxed	€ 71,24	€ 71,24
1	Shuttle XPC slim XH110V	€ 179,95	€ 179,95
1	Corsair ValueSelect CMSO8GX3M2C1600C11	€ 44,49	€ 44,49
1	Kingston A400 240GB	€ 30,45	€ 30,45
Bekijk collectie Importeer producten		Totaal	€ 326,13

[ Voor 16% gewijzigd door noobynater op 21-02-2019 11:20 ]

Qotom heeft een poosje geleden (was al eerder in deze thread genoemd) het model Qotom Q575G6 geïntroduceerd en dit model is uitgerust met een i7-7500U processor en 6x Intel i211 poorten. Via de bovengenoemde link is hij te bestellen met een UPS bezorging waarbij je geen invoerrechten naheffing geneuzel hebt.

[ Voor 6% gewijzigd door Proc op 21-02-2019 23:29 ]

Bedankt voor de suggestie! Had deze inderdaad eerder voorbij zien komen in de thread, maar helaas is uit het buitenland bestellen geen optie. Denk dat het anders inderdaad een van de betere opties was geweest.

Heeft iemand ervaring hoe je het beste websites of diensten van RTL, NPO, Ziggo ect kan exclude om in plaats van over VPN te gaan maar over de WAN te gaan? In verband met land/continent restricties.

Het volgende heb ik geprobeerd en werkt voor Netflix, maar niet goed voor NPO of RTL op basis van AS nummers. Want bij RTL en NPO krijg ik dan wel geen land of continent restrictie error meer, maar alleen nog de error afspelen mislukt.

I took two approaches.
For one, following the guidance of /u/knox203 and others in the discussion thread,
Install the pfBlockerNG package
Firewall -> pfBlockerNG -> IPv4
Create an an alias for the Amazon AWS streaming addresses Format: Automatic, State: ON, Source: https://ip-ranges.amazonaws.com/ip-ranges.json, Header/Label: amazonaws, List Action: Alias Native
Create an alias for Netflix Format: Whois, State: ON, Source: AS2906, Header/Label: netflix, List Action: Alias Native
Under pfBlockerNG -> Update run the update.
Firewall -> Rules -> LAN
Create 2 rules, one for each alias, that Pass to the Destination with Single host or alias to pfB_amazonaws & pfB_netflix, and then under Advanced Options -> Gateway: WAN.
Restart the firewall when prompted to do so.

Bron

Iemand nog ideeen of andere manieren hoe ik het zou kunnen oplossen?

Proc schreef op donderdag 21 februari 2019 @ 23:19:
Qotom heeft een poosje geleden (was al eerder in deze thread genoemd) het model Qotom Q575G6 geïntroduceerd en dit model is uitgerust met een i7-7500U processor en 6x Intel i211 poorten. Via de bovengenoemde link is hij te bestellen met een UPS bezorging waarbij je geen invoerrechten naheffing geneuzel hebt.

Ik heb de G575G6 met een i7. Bevalt zeer goed! Wel een beetje overkill voor OPNsense

Wel een tip mocht iemand deze kopen: ze smeren een aardige laag koelpasta op tussen de CPU en koellichaam. Als je dat vervangt voor een dunner laagje (less = more) blijft de Qotom nog een stuk koeler (12 graden bij mij ).

Van de 6 poorten heb ik er nu maar twee in het gebruik en wil nog even kijken naar de bridge functie.

Oh ja, routed IPTV werkt nog steeds top!

MuVo schreef op vrijdag 22 februari 2019 @ 09:02:
Want bij RTL en NPO krijg ik dan wel geen land of continent restrictie error meer, maar alleen nog de error afspelen mislukt.

Klinkt alsof de videostream vanaf een ander domein op een ander AS loopt?

Is er al iemand met ervaringen met deze oplossing
Zotac ZBOX ci327 in combinatie met PFSense

En de vraag is de cpu power voldoende van deze box

Tom Paris schreef op zaterdag 23 februari 2019 @ 12:23:
[...]


Klinkt alsof de videostream vanaf een ander domein op een ander AS loopt?

Dat is het waarschijnlijk. Ik ga kort kijken of ik daar achter kan komen, want om die domeinen te gaan whitlisten ben ik even bezig en dat is voor mij niet te beheren.

Als oplossing zit ik te denken aan een nederlandse of europese VPN waarbij alle services aanbieders zoals ziggo, nos etc gewoon werken.

Mijn download server redirect ik dan via een buitenlandse VPN.

Proc schreef op donderdag 21 februari 2019 @ 23:19:
Qotom heeft een poosje geleden (was al eerder in deze thread genoemd) het model Qotom Q575G6 geïntroduceerd en dit model is uitgerust met een i7-7500U processor en 6x Intel i211 poorten. Via de bovengenoemde link is hij te bestellen met een UPS bezorging waarbij je geen invoerrechten naheffing geneuzel hebt.

De i5 CPU + 32GB SSD + 4GB RAM combo komt neer op € 329,07 via UPS. Het is weeral aanlokkelijk om deze te kopen, als vervanging met IDS/IPS voor telenet router.

Nindustries schreef op maandag 18 maart 2019 @ 08:40:
[...]


De i5 CPU + 32GB SSD + 4GB RAM combo komt neer op € 329,07 via UPS. Het is weeral aanlokkelijk om deze te kopen, als vervanging met IDS/IPS voor telenet router.

Ik zou 'm zonder geheugen en SSD bestellen en die hier kopen. Dat heb ik ook gedaan en ik wist dan tenminste dat er een goed merk in zat.

Hoe is de betrouwbaarheid eigenlijk van de Qotom kastjes? Is het aan te raden direct 2 te bestellen in case of emergency of zal dat niet zo snel voorkomen?

Lees hier eigenlijk niks over problemen dus vandaar

flessuh schreef op vrijdag 22 maart 2019 @ 14:31:
Hoe is de betrouwbaarheid eigenlijk van de Qotom kastjes? Is het aan te raden direct 2 te bestellen in case of emergency of zal dat niet zo snel voorkomen?

Lees hier eigenlijk niks over problemen dus vandaar

Ik heb 1 vanaf januari en echt nog 0 problemen gehad. Maar ik speel ook met de gedachten om er nog 1 als backup te bestellen (of nog 1 als VM server). Aanzien nu alles over de Qotom verloopt is die nu aardig kritisch geworden.

Alleen jammer dat een HA CARP niet werkt met PPPoE anders had ik een master/slave setup opgezet.

De extra Qotom komt er wel binnen een paar maanden.

c.lemmers schreef op vrijdag 8 maart 2019 @ 09:03:
Is er al iemand met ervaringen met deze oplossing
Zotac ZBOX ci327 in combinatie met PFSense

En de vraag is de cpu power voldoende van deze box

Ik heb zelf enige tijd gewacht op de CI329, maar deze bleef maar niet komen dus ben ik uiteindelijk voor een Shuttle DS77U gegaan. Minder cores maar 'n hogere frequentie. Ik denk dat het laatste meer helpt dan het eerste voor performance. Voor normaal thuisgebruik zou 't alsnog ruim voldoende moeten zijn tot grofweg de gigabit (en meer kan ook niet want er is geen mogelijkheid om snellere netwerkinterfaces aan te sluiten).

Recente versies van pfSense hebben AES-NI nodig en de N3450 in de CI327 ondersteunt dat.

LanTao schreef op vrijdag 22 maart 2019 @ 22:50:
[...]

Recente versies van pfSense hebben AES-NI nodig

Fake news!!! Vorige maand is al aangekondigd dat deze requirement is komen te vervallen, is ook in dit topic gepost.

flessuh schreef op vrijdag 22 maart 2019 @ 14:31:
Hoe is de betrouwbaarheid eigenlijk van de Qotom kastjes? Is het aan te raden direct 2 te bestellen in case of emergency of zal dat niet zo snel voorkomen?

Lees hier eigenlijk niks over problemen dus vandaar

Hier ook al 3 jaar een Qotom met Intel J1900 CPU draaien met pfSense. Had hem besteld incl 8GB ram en 256GB SSD. Draait al 3 jaar zonder enkel probleem. Snel en super stabiel!

Tom Paris schreef op vrijdag 22 maart 2019 @ 23:04:
Fake news!!! Vorige maand is al aangekondigd dat deze requirement is komen te vervallen, is ook in dit topic gepost.

Dat is goed nieuws. Zonder high-speed VPNs heb je het echt niet nodig.

BigEagle schreef op zondag 17 februari 2019 @ 21:02:
[...]


Mijn vraag hoef ik niet meer te posten in de OPNSense community: ik ben erachter het probleem gekomen...

Een test met twee losse TPLink switches gaf geen problemen: routed IPTV werkte gewoon. Het moest dus aan mijn bestaande Unifi configuratie liggen. Tijdens het "gasduinen" in het Tweakers forum kwam ik dit tegen. Ik kon mij herinneren dat ik IGMP snooping overal had aangezet (ooit jaar geleden gedaan, geen idee waarom ). Zou het dan toch??? Ja, dat was dus zo: het IGMP snooping stond aan op VLAN 4. Nadat deze was uitgezet werkte IPTV.

Ik heb nu dus een werkende opstelling met KPN glasvezel, OPNSense (op Qotom), OpenVPN, Unifi switches en accesspoints en routed IPTV (op 2 ontvangers).

Beeld werkt nu al dik een uur zonder problemen. Ook interactive TV en opname terugkijken werken.

Ik heb vandaag ook eindelijk weer eens een poging ondernomen om de boel om te zetten naar routed...



Ik heb igmp snooping uitgezet op de switches en het bleek dat ik nog een firewall regel miste. Ik heb de downstream van de igmpproxy direct op het IP van het TV kastje gezet (/32) dus ik verwacht weinig last te hebben van multicast verkeer op de rest van mn netwerk maar dat maakt dus niks uit qua multicast verkeer .

Kost 5 zaterdagen, maar dan heb je ook weer exact hetzelfde als waar je mee begonnen was .

@ik222 en @BigEagle , hartelijk dank voor alle tips

Graag gedaan! Ik heb er ook de nodige dagen aan besteed.

Top dat het werkt! Ik ben nog steeds er blij met mijn opstelling met OPNsense.

Mythling schreef op zaterdag 23 maart 2019 @ 16:32:
Ik heb de downstream van de igmpproxy direct op het IP van het TV kastje gezet (/32) dus ik verwacht weinig last te hebben van multicast verkeer op de rest van mn netwerk.

Ik denk dat het wat anders doet dan jij denkt

IPTV wordt niet magisch unicast. Ik weet niet hoe een downstream werkt in pfSense, maar het ligt voor de hand dat dit voor een whitelist van geldige downstream clients wordt gebruikt (ie. adressen waarvoor hij mag proxyen).

Dat staat los van wat er met het multicastverkeer gebeurt als het de downstream pfSense-poort verlaat.

Die downstream config doet inderdaad precies niets tegen de multicast door het hele netwerk Het enige wat je daar zegt is dat IGMPProxy alleen IGMP berichten van dat IP doorzet naar de upstream.

Enige manier om zonder IGMP snooping geen multicast verkeer door je hele netwerk te krijgen is om de ITV ontvanger in een eigen VLAN met bijbehorend subnet te zetten.

Haha jullie hebben gelijk... Daar ben ik inmiddels ook achter gekomen. Zodra de TV aan gaat is de wifi aanzienlijk minder stabiel. Nouja, projectje voor een andere zaterdag.

ik222 schreef op zaterdag 23 maart 2019 @ 18:46:
Die downstream config doet inderdaad precies niets tegen de multicast door het hele netwerk Het enige wat je daar zegt is dat IGMPProxy alleen IGMP berichten van dat IP doorzet naar de upstream.

Enige manier om zonder IGMP snooping geen multicast verkeer door je hele netwerk te krijgen is om de ITV ontvanger in een eigen VLAN met bijbehorend subnet te zetten.

Schopt die het dan niet nog steeds naar elke poort? Ook al is het een ander vlan.

jimmy87 schreef op zondag 24 maart 2019 @ 01:20:
[...]


Schopt die het dan niet nog steeds naar elke poort? Ook al is het een ander vlan.

Nee, zolang het ITV VLAN dan niet op een poort staat krijgt die poort geen multicast verkeer.

ik222 schreef op zondag 24 maart 2019 @ 07:23:
[...]

Nee, zolang het ITV VLAN dan niet op een poort staat krijgt die poort geen multicast verkeer.

Wat ik nog steeds niet helemaal begrijp is waarom de IGMP snooping van mijn switches niet werkt. Dat is toch precies voor deze usecase gemaakt? Ik heb geprobeerd te begrijpen wat snooping precies doet, maar waarom dat niet van toepassing is in ons geval is me niet helemaal helder.

Mythling schreef op zondag 24 maart 2019 @ 10:30:
Wat ik nog steeds niet helemaal begrijp is waarom de IGMP snooping van mijn switches niet werkt. Dat is toch precies voor deze usecase gemaakt?

Ja. Misschien handig om even de situatie te schetsen?

Als je switch niet óók je access point is, dan zou snooping op één van deze twee het verkeer al uit de buurt van je WiFi houden.

Ik heb geprobeerd te begrijpen wat snooping precies doet, maar waarom dat niet van toepassing is in ons geval is me niet helemaal helder.

Sommige switches (bepaalde TP-Links) werken niet lekker icm. IPTV van KPN c.s.

Ik heb alleen nog nooit een goede verklaring gezien (ie. doet het geen snooping terwijl het dat wel claimt, of stond dat stiekem al niet op de doos?)

Ik heb een poging gedaan tot een soort pseudo netwerktekening:



Mijn OPNSense bak heeft 1 netwerkpoort, dus het is NTU -> Switch -> OPNsense, waar de NTU en OPNSense lid zijn van VLAN 4 en 6. Verder zit alles op VLAN1. De switches zijn Netgear 2x GS105Ev2 en 1x GS108Ev3. Bij het aanzetten van snooping op de GS108Ev3 (op VLAN1) zorgt er al voor dat het stuk gaat.

Gisteren is mijn Qotom pFsense onderuit gegaan, geen internet meer en ik kon de pFsense GUI niet meer openen. Dit alles na het toevoegen van extra blokkeer lijsten in de Developer versie van pfBlockerNG .

Wat blijkt, na het aansluiten van een monitor en toetsenbord: Tijdens booten krijg ik pfsense swap_pager out of swap space error. Mijn SSD van 30GB is dus volgelopen, schijnbaar valt Pfsense dan om.

Ik dacht de error te kunnen verhelpen via de CLI maar dat werkte niet, na wat kloten met safe mode, old configs etc had ik de gehele boot om zeep geholpen.

Gelukkig heb ik al mijn switches en Accespoints op Dynamic IP staan, zodoende de orginele XS4all modem aangesloten waardoor ik tenmiste weer internet met bestaande Wifi naam en tv heb. Dus mijn vriendin kan rustig haar ding blijven doen met internet of tv terwijl ik de Qotom ga herstellen.

Qotom gisteren voorzien van een schone pFsense installatie; Helaas heb ik een te oude backup voor mijn doen (te veel wijzingen daarna) en werkt de auto backup/restore functie niet goed (kan geen restore punten vinden ). Ik heb besloten om vanavond een schone configuratie op te bouwen waar bij veel configuratie stappen zal noteren om een guide voor mij zelf te hebben (pFsense + XS4all + pfBlockerNG + Scurita + Openvpen Clients + VPN Server + Let's encrypt). Alles bij elkaar zal het even tijd kosten maar dan heb ik daarna wel ene stabiele en schone pfsense configuratie .

MuVo schreef op maandag 25 maart 2019 @ 14:47:
[...]

Wat blijkt, na het aansluiten van een monitor en toetsenbord: Tijdens booten krijg ik pfsense swap_pager out of swap space error. Mijn SSD van 30GB is dus volgelopen, schijnbaar valt Pfsense dan om.

Evt gelijk even een ietsje grotere SSD erin miss een idee, om dit in de toekomst te voorkomen

[....]
Ik heb besloten om vanavond een schone configuratie op te bouwen waar bij veel configuratie stappen zal noteren om een guide voor mij zelf te hebben (pFsense + XS4all + pfBlockerNG + Scurita + Openvpen Clients + VPN Server + Let's encrypt). Alles bij elkaar zal het even tijd kosten maar dan heb ik daarna wel ene stabiele en schone pfsense configuratie .

Dat is natuurlijk wel direct een hele goede, alle stappen goed uitwerken, en evt. na iedere uitgevoerde stap ff een backupje trekken

Ik zou eerder een vaste SWAP (partitie?!) grootte aanmaken, zodat die nooit de hele SSD kan volgooien, want 30 GB moet meer dan genoeg zijn!

Mythling schreef op zaterdag 23 maart 2019 @ 16:32:
Kost 5 zaterdagen, maar dan heb je ook weer exact hetzelfde als waar je mee begonnen was .

Herkenbaar. Ik probeer al een aantal weekenden lang routed IPTV aan de praat te krijgen zodat de Experia Box er tussenuit kan.
KPN glasvezel via pfSense met enkele NIC
Mijn eerste idee heb ik al laten varen, maar zelfs met de NTU direct op pfSense en twee Unifi switches krijg ik het niet voor elkaar.

Na 3 seconden stopt de live tv stream.

Voor mijn gevoel heb ik alle instellingen in zowel Unifi als pfSense goed staan, maar toch wil het niet werken.

Ik zal dit topic nog eens terug lezen om te kijken of hier het eureka moment staat

@Matis Vul bij de downstream subnets voor IGMPProxy eens je LAN subnet in, dus 192.168.1.0/24. Die foutmeldingen in je IGMPProxy log horen er namelijk niet te zijn. Controleer ook even dubbel of er op je LAN interface een firewall regel staat die IGMP uitgaand toestaat inclusief options.

Als het dan nog niet werkt, zet dan eens IGMP snooping op je switches uit voor de test. Bij sommige switches werkt dat namelijk niet goed en zorgt het ervoor dat het daarmee niet werkt.

MuVo schreef op maandag 25 maart 2019 @ 14:47:
Wat blijkt, na het aansluiten van een monitor en toetsenbord: Tijdens booten krijg ik pfsense swap_pager out of swap space error. Mijn SSD van 30GB is dus volgelopen, schijnbaar valt Pfsense dan om.

Matis schreef op maandag 25 maart 2019 @ 20:19:
[...]

Herkenbaar. Ik probeer al een aantal weekenden lang routed IPTV aan de praat te krijgen zodat de Experia Box er tussenuit kan.
KPN glasvezel via pfSense met enkele NIC
Mijn eerste idee heb ik al laten varen, maar zelfs met de NTU direct op pfSense en twee Unifi switches krijg ik het niet voor elkaar.

Na 3 seconden stopt de live tv stream.

Voor mijn gevoel heb ik alle instellingen in zowel Unifi als pfSense goed staan, maar toch wil het niet werken.

Ik zal dit topic nog eens terug lezen om te kijken of hier het eureka moment staat

3 sec TV Stream betekent dat je IGMPproxy niet goed geconfigureerd is. IPTV start ong 3 sec met TCP verkeer, daarna schakelt hij over naar UDP via multicast. Zodra het multicast wordt speelt je IGMPproxy een rol.

Met IGMP snooping aan gaf dit voor mij een vergelijkbaar effect. Zet dat dus eens uit en check je firewall logs voor geblokkeerde connecties. Ik heb het hier zoals de tekening op de vorige pagina, dus ook met 1 nic op mn opnsense bak. Dat moet gewoon kunnen.

Ik denk trouwens dat snooping voor mij niet werkt omdat het door 2 switches heen moet. Ik vind het nog steeds lastig googlen...

[ Voor 17% gewijzigd door Mythling op 25-03-2019 22:29 ]

@Mythling De IGMP snooping op jou switches werkt gewoon niet goed. Want inderdaad de casus die jij beschrijft is exact waarvoor IGMP snooping gemaakt is. Snooping door meerdere switches mag ook geen issue zijn als het normaal werkt.

Raven schreef op maandag 25 maart 2019 @ 20:49:
[...]

offtopic:
Draaide je wel de meest recente versie? Er is een geheugenlek gefixed, daar had mijn pfSense VM nog wel eens last van en kreeg ik dezelfde fout, ik dacht dat het https://redmine.pfsense.org/issues/8249 was.

Gisteren pFsense opnieuw geinstalleerd en geconfigureerd. XS4all internet werkt goed, alleen ik blijf problemen houden met XS4all IPTV; het beeld happert en loopt snel vast. Terwijl als ik de netwerk test op de decorder doe, dan zou alles correct werken.

Het lijkt bij mij mis te gaan in de IPTV WAN rules en de LAN rules. Inmiddels veel rules gebruikt uit dit topic
zoals https://gathering.tweaker.../quote_message/57582990/0 en uit internet guides, maar het lijkt niet correct te werken terwijl het voorheen wel met die rules correct werkte.

Zou iemand mij de 2019 firewall rules voor XS4all IPTV kunnen vertellen voor IPTV WAN en lan plus de IGMP proxy upstream adressen? Ik maak daar echt een zooitje van, terwijl de regels die ik toevoeg wel logisch zouden moeten zijn. Zelfs block regels die in de logs voorkomen voeg ik toe, maar het lost niks op...

ik222 schreef op maandag 25 maart 2019 @ 22:41:
@Mythling De IGMP snooping op jou switches werkt gewoon niet goed. Want inderdaad de casus die jij beschrijft is exact waarvoor IGMP snooping gemaakt is. Snooping door meerdere switches mag ook geen issue zijn als het normaal werkt.

Snooping is duidelijk geen overbodige luxe. Als de TV aan stond klapte de wifi er compleet uit en het accesspoint werd onbereikbaar. Na fysieke inspectie bleek ie ook nog eens gloeiend heet te worden, dus daar ging duidelijk nog wat mis .

Ik vind het nog steeds raar dat snooping niet goed werkt op de Netgears, maar ik heb inmiddels een goede workaround gevonden. Ik gebruik mijn oude WNDR3700 met OpenWRT als accesspoint, en een nieuwere versie daarvan heeft ook ondersteuning voor snooping. Multicast over mijn bekabelde netwerk kan ik hiermee niet voorkomen, maar de wifi blijft hierdoor buiten schot, dus ik vind t helemaal prachtig op deze manier.

Ik ben nu al een tijdje aan het klooien met PfSense, maar ik krijg het maar niet werkend. Het loopt eigenlijk al mis na de installatie. Ik zal even mijn netwerk schetsen en dan de problematiek meegeven.

Het internet komt binnen via de modem van de ISP (die trouwens ook fungeert als router). Omdat ik geen tweede publieke IP kan hebben en de modem niet in bridge kan zetten, werk ik met Dmz. De verbinding gaat dan verder naar één van de twee NIC's van de PfSense VM die dienst doet als WAN NIC. Op de WAN NIC heb ik een 192.168.0/24 IP gegeven, zodoende dat die in hetzelfde netwerk zit als de ISP modem. In de modem heb ik dat IP ook meegegeven in de Dmz instelling. De andere NIC dat geconfigureerd staat in de VM doet dienst als LAN NIC die direct verbonden is met een switch waarop alles aangesloten is. Het IP-Adres dat ik daarop heb geconfigureerd is een 192.168.1.0/24 adres. Alles in het LAN
zou dus in het 192.168.1.0 netwerk moeten zitten. Zie volgende afbeelding hoe het er deels uitziet.


Als ik een kabel tussen de switch binnen de LAN (192.168.1.0 netwerk) en de modem (192.168.0.0 netwerk) plaats, dan werkt alles, mits enkele kinderziektes. Loopt de verbinding via de WAN NIC, dan heeft niemand verbinding in het 192.168.1.0 netwerk naar het internet en WAN netwerk. Ik heb al wat gezocht op het internet en heb al volgende geprobeerd:
- Enkel de WAN interface heeft een gateway, bij LAN-interface staat dit op None.
- Ook getracht een static route aan te maken tussen WAN netwerk en LAN netwerk, maar dan krijg ik een melding dat dit netwerk conflicteert met een adres dat geconfigureerd is op een interface.
- Een allow all rule aangemaakt op de WAN interface naar de LAN interface, vice versa staat dit al automatisch.
- In de WAN interface heb ik de default gateway (de ISP modem dus) als Upstream gateway ingesteld.
- Op de LAN interface heb ik DHCP ingeschakeld, DHCP op de modem staat uit.
- Ook heb ik in de vmswitch in ESXi promiscuous mode ingeschakeld
- Heb al getest dat de DNS niet zou werken, maar zowel pingen naar een IP-adres als naar een webadres werkt niet.
- Op PfSense staat de Outbound NAT op Automatic.
- Heb ik een NAT 1:1 ingesteld op de WAN interface, bij external IP staat beginadres van een 192.168.0.0/24 netwerk en bij Internal IP heb ik LAN net ingesteld. Het probleem is dan dat niks meer werkt, ook als de kabel terug van de modem naar de switch loopt. Ook de default gateway van 192.168.0.0 netwerk blijkt de weg kwijt, ook voor toestellen binnen dat netwerk.

Wat ik ook heb opgemerkt dat wanneer de kabel van de switch naar de modem er uit is, dat PfSense niet meer bereikbaar is. Ook andere clients (zowel fysiek als virtueel) binnen het LAN en WAN, met uitzondering van mijn ESXi host. Betekent dit dat het dan ligt aan mijn netwerkkaart? Netwerkkaart wordt gebruikt voor nog andere dingen die, wanneer de kabel van switch naar modem loopt, gewoon werken.

@Le Enfant! : Ik zou eens met andere ranges gaan werken!

192.168.0.0/24 en 192.168.1.0/24 zouden geen conflict met elkaar mogen hebben, maar om er echt zeker van te zijn dat je daarmee geen gezeik krijgt zou ik eens een 10.0.0.0/24 of 172.16.0.0/24 netwerk gebruiken aan één van de twee kanten en checken of het dan beter gaat!

Succes!

nero355 schreef op zondag 21 april 2019 @ 14:42:
@Le Enfant! : Ik zou eens met andere ranges gaan werken!

192.168.0.0/24 en 192.168.1.0/24 zouden geen conflict met elkaar mogen hebben, maar om er echt zeker van te zijn dat je daarmee geen gezeik krijgt zou ik eens een 10.0.0.0/24 of 172.16.0.0/24 netwerk gebruiken aan één van de twee kanten en checken of het dan beter gaat!

Succes!

Ik heb gelezen op het web dat er een bug bestaat die er voor zorgt dat instellingen ingegeven via de shell niet correct zouden werken. Ik heb een verse installatie gedaan en via de webconfiguratur het IP-adres van het LAN-netwerk naar 10.0.0/24 geplaatst. Alles werkt.. tot de kabel tussen de switch in het LAN en de modem in de WAN uitgeplugd wordt. Ik kan dan de PfSense webpagina niet meer bereiken, pingen en tracert werken ook niet.

Ik heb nog even de denkwijze dat het aan mijn netwerkkaart kan liggen verder uitgestippeld en heb iets opgemerkt. Het MAC-adres dat PfSense toont van beide NIC is niet 1:1 met wat ESXi meegeeft. Ik heb wat gerommeld in de instellingen van de vmswitch en heb 'MAC Address Changes' en 'Forged Transmissions' ingeschakeld. Maar zelfs na een reboot na de wijziging, werkt het nog altijd niet.

ik222 schreef op maandag 25 maart 2019 @ 20:36:
@Matis Vul bij de downstream subnets voor IGMPProxy eens je LAN subnet in, dus 192.168.1.0/24. Die foutmeldingen in je IGMPProxy log horen er namelijk niet te zijn. Controleer ook even dubbel of er op je LAN interface een firewall regel staat die IGMP uitgaand toestaat inclusief options.

Als het dan nog niet werkt, zet dan eens IGMP snooping op je switches uit voor de test. Bij sommige switches werkt dat namelijk niet goed en zorgt het ervoor dat het daarmee niet werkt.

Ik weet niet of het er mee te maken heeft, of dat tijd alle zondes heelt. Maar het WERKT

Ik heb voor mijn gevoel niet heel veel meer gedaan dan de vorige keer. Alleen mijn subnet toegevoegd aan de downstream van IGPMProxy.

Nu wil ik alleen nog even checken of IGMPProxy zijn werk doet icm IGMP Snooping op mijn Unifi switch(es).

Kan ik dat nog ergens testen, of werkt het allemaal naar behoren als de rest van mijn netwerk "rustig" blijft?

BigEagle schreef op zaterdag 23 februari 2019 @ 08:39:
[...]


Ik heb de G575G6 met een i7. Bevalt zeer goed! Wel een beetje overkill voor OPNsense

Wel een tip mocht iemand deze kopen: ze smeren een aardige laag koelpasta op tussen de CPU en koellichaam. Als je dat vervangt voor een dunner laagje (less = more) blijft de Qotom nog een stuk koeler (12 graden bij mij ).

Van de 6 poorten heb ik er nu maar twee in het gebruik en wil nog even kijken naar de bridge functie.

Oh ja, routed IPTV werkt nog steeds top!

Ik zie dat jij 8GB in een Q575G6 hebt zitten met IPS/IDS functionaliteit aan? Wat is je load op het systeem? Ik heb net dezelfde besteld en wil even kijken hoeveel RAM ik erbij moet gaan halen. (heb no ram/no ssd) optie gekozen.

Melantrix schreef op dinsdag 30 april 2019 @ 11:47:
[...]


Ik zie dat jij 8GB in een Q575G6 hebt zitten met IPS/IDS functionaliteit aan? Wat is je load op het systeem? Ik heb net dezelfde besteld en wil even kijken hoeveel RAM ik erbij moet gaan halen. (heb no ram/no ssd) optie gekozen.

Ik heb inderdaad 8GB met IPS/IDS aan. Gemiddeld zit ik rond de 10% CPU load en 1,5GB van de 8GB is in gebruik.

Als ik IPTV aanzet (1 TV van de 2) dan gaat de gemiddelde CPU load naar 15% met af een toe een piek naar 19%.

BigEagle schreef op dinsdag 30 april 2019 @ 14:19:
[...]


Ik heb inderdaad 8GB met IPS/IDS aan. Gemiddeld zit ik rond de 10% CPU load en 1,5GB van de 8GB is in gebruik.

Als ik IPTV aanzet (1 TV van de 2) dan gaat de gemiddelde CPU load naar 15% met af een toe een piek naar 19%.

Top dankjewel! dan weet ik genoeg. 8GB is dan meer dan voldoende .

Heb je toevallig ook een test qua throughput gedaan?

Melantrix schreef op dinsdag 30 april 2019 @ 14:36:
[...]

Top dankjewel! dan weet ik genoeg. 8GB is dan meer dan voldoende .

Heb je toevallig ook een test qua throughput gedaan?

Jazeker, mijn glasvezel 500Mbit is geen probleem voor OPNsense.

BigEagle schreef op dinsdag 30 april 2019 @ 14:48:
[...]


Jazeker, mijn glasvezel 500Mbit is geen probleem voor OPNsense.

That's what i like to hear ik krijg binnenkort ook glasvezel (jeej voor opnieuw uitrol van KPN ) en dan gaat de lijn ook asap naar 500. Draai nu een edgerouter echter die trekt het met ips e.d. nu al niet, dus wil wel iets neer zetten die me niet gaat limiteren.

Gebruik jij hem ook als firewall tussen interne netwerken of heb je 1 netwerk er tussen. Ben eigenlijk wel benieuwd of je 1gbit kan halen hiermee tussen die twee local networks..

Melantrix schreef op dinsdag 30 april 2019 @ 15:27:
[...]

That's what i like to hear ik krijg binnenkort ook glasvezel (jeej voor opnieuw uitrol van KPN ) en dan gaat de lijn ook asap naar 500. Draai nu een edgerouter echter die trekt het met ips e.d. nu al niet, dus wil wel iets neer zetten die me niet gaat limiteren.

Gebruik jij hem ook als firewall tussen interne netwerken of heb je 1 netwerk er tussen. Ben eigenlijk wel benieuwd of je 1gbit kan halen hiermee tussen die twee local networks..

Ik heb 3 netwerken: gasten, VPN en 'normaal'. Gigabit lukt tussen gasten en 'normaal'.

Ballebek schreef op donderdag 7 februari 2019 @ 18:49:
Net weer een leuke barebone tegengekomen van Shuttle DH370 met built-in dual Intel® i211 Gigabit LAN.

http://global.shuttle.com/news/productsSpec?productId=2343

Ik denk dat dit de replacement gaat worden voor mijn HP Microservers; heb alleen nog Openhab en OPNSense hier in huis draaien dus dit is dan meer dan voldoende. Staat in de meterkast dus als ie even moet werken dan hoor ik de fans toch niet.

Nog alternatieven die ik over het hoofd heb gezien?

Heeft iemand hier recent nog een Qotom kastje gekocht en ook ervaring met kosten voor porto en custom fees? Eerder had je dit niet met UPS maar zie dat ze het nu wel vermelden als risico.

[ Voor 27% gewijzigd door Workaholic op 05-05-2019 13:40 ]

Ik zit met het zelfde, daarom contact gezocht met Qotom.

Via de chat gaven ze aan dat je nog steeds met de UPS verzending zonder verdere kosten het product kan bestellen.

Enige twijfel bij mij bestaat nog aangaande het mee bestellen van het geheugen en de opslag, aangezien er nauwelijks prijsverschil zit om dat hier te e bestellen of gelijk mee te laten leveren.

Hoe garanderen ze dat dan precies? Er is toch altijd sprake van custom fees wanneer de zending vanaf buiten de EU komt en er een controle plaats zal vinden?

Ik overweeg er namelijk 2 te bestellen..tikt nog wel aan anders en kan dan beter iets uit de EU halen.

Het blijft linksom of rechtsom een risico, dus calculeer je die kosten gewoon mee. Lukt het zonder deze kosten, mooi meegenomen! Lukt het niet, heb je de import tenminste volledig volgens de regels gedaan.