Zelfbouw project: Firewall / Router / AP

Wow, we krijgen steeds meer keuze qua goedkope hardware voor zelfbouw firewalls. Hopelijk krijgen de Realtek RTL8125B 2,5Gb NICs goede ondersteuning onder OPNsense/pfSense. De officiele Realtek drivers voor FreeBSD zijn al sinds 2018 niet meer geupdate.

De CPU is ook vernieuwd tov de Odroid H2 (J4115 vs J4105), maar kan de verschillen niet vinden. Hij heeft iig dezelfde 1,8Ghz basisfrequentie.

Antratek heeft hem al in het assortiment, maar is nog niet leverbaar. Ik kijk uit naar echte benchmarks. Ben benieuwd of deze nieuwe Realteks de oude vertrouwde Intel NICs in de praktijk kunnen evenaren of overtreffen.

Nu nog een betaalbaar 2,5gbit internet abonnement vinden

wian schreef op zaterdag 20 juni 2020 @ 11:08:
Ben benieuwd of deze nieuwe Realteks de oude vertrouwde Intel NICs in de praktijk kunnen evenaren of overtreffen.

De 2,5 Gbps Intel variant is bugged dus deze 2,5 Gbps RealTek NIC doet in ieder geval één ding veel beter!

Maar er is een revisie van de Intel onderweg dus dat voordeel duurt niet lang meer...

Na een maand wachten is mijn nieuwe mini router ook binnen via aliexpres. Dank voor de tip! Ziet er top uit.




Geheugen en msata is alleen nog niet binnen (via een andere aliexpres verkoper gekocht). Dus nog heel even geduld hebben.

Paar vragen in de tussentijd:

1) Hebben jullie ergens de compatibility lijst gevonden voor deze yanling mini pc? Ik heb alleen via de protectli site wat gevonden en daar staan maar een paar opties op. Hopen dat mijn adata DDR3 1.35v 1600MHZ 8gb gaat werken.

2) ik neig naar pfsense omdat ik dat nu ook gebruik. Zijn er nog specifieke redenen voor jullie om opnsense te gebruiken? Interface ziet er wat beter uit en meer updates? Je kijkt er toch niet heel vaak.. en ik ben eigenlijk alleen opzoek naar de juiste router i.c.m. ubiquiti AP's. Dus alleen de basics nodig en overweeg eventueel ook SNORT / country blocker te gaan gebruiken als dat niet teveel vertraging gaat opleveren.

3) Indien pfsense -> gebruiken jullie de dnsresolver of dnsforwarder? Ik heb deze nu allebei uitstaan op een wat oudere pfsense versie en heb alleen DHCP dns lease op externe dns servers. Zie onderstaande screenshots van hoe het nu ingesteld staat. Moet goed zijn toch? Beter als ziggo dns lijkt me?

4) Zijn er mensen met ubiquiti en pfsense? Ik ben aan het nadenken hoe ik de diverse devices in huis die internet gebruiken maar in principe niets te zoeken hebben in het LAN een aparte VLAN of interface ga geven. Probleem is de meeste zijn wifi gebaseerd - dus ik denk dat ik dat beter via Ubiquiti kan oplossen? Aparte VLAN / SSID? Denk aan koelkast, philips hue, wasmachine, google nest etc etc. Probleem is dat je wel via je eigen telefoon met apps moet connecten... lastig!

[ Voor 10% gewijzigd door Workaholic op 21-06-2020 10:23 ]

@Workaholic Gisteren heb ik ook deze mini pc geconfigureerd met pfsense. Had nog een 4gb ram latje liggen uit een oude laptop en dit werkt.

om op uw 4de vraag te antwoorden: ik gebruik ook unifi ap's. Voor mijn iot en game consoles een vlan aangemaakt in pfsense. In de unifi controller heb ik vervolgens 2 wifi ssid's aangemaakt 1 voor de main lan en 1 voor de vlan. Om dan vervolgens de verschillende iot apparaten te kunnen besturen vanaf je telefoon op de main wifi moet je in pfsense Avahi installeren en instellen.
Om dit in te stellen heb ik deze tutorial gebruikt.

serial_killa159 schreef op zondag 21 juni 2020 @ 11:25:
@Workaholic Gisteren heb ik ook deze mini pc geconfigureerd met pfsense. Had nog een 4gb ram latje liggen uit een oude laptop en dit werkt.

om op uw 4de vraag te antwoorden: ik gebruik ook unifi ap's. Voor mijn iot en game consoles een vlan aangemaakt in pfsense. In de unifi controller heb ik vervolgens 2 wifi ssid's aangemaakt 1 voor de main lan en 1 voor de vlan. Om dan vervolgens de verschillende iot apparaten te kunnen besturen vanaf je telefoon op de main wifi moet je in pfsense Avahi installeren en instellen.
Om dit in te stellen heb ik deze tutorial gebruikt.

Dank voor de tip @serial_killa159. Wat ik wil voorkomen is dat een chinese webcam oid met spyware komt en dan in het LAN netwerk hangt. Tegelijkertijd wil je wel dit soort iot devices via je iphone (op lan) kunnen bedienen.

Zal me is verdiepen in bovenstaande. Ben benieuwd of je hiermee wel kunt bereiken wat ik wil doen

[ Voor 5% gewijzigd door Workaholic op 21-06-2020 12:34 ]

Workaholic schreef op zondag 21 juni 2020 @ 10:02:
3) Indien pfsense -> gebruiken jullie de dnsresolver of dnsforwarder? Ik heb deze nu allebei uitstaan op een wat oudere pfsense versie en heb alleen DHCP dns lease op externe dns servers. Zie onderstaande screenshots van hoe het nu ingesteld staat. Moet goed zijn toch? Beter als ziggo dns lijkt me?

Unbound met DNS-over-TLS

Workaholic schreef op zondag 21 juni 2020 @ 10:02:
4) Zijn er mensen met ubiquiti en pfsense? Ik ben aan het nadenken hoe ik de diverse devices in huis die internet gebruiken maar in principe niets te zoeken hebben in het LAN een aparte VLAN of interface ga geven. Probleem is de meeste zijn wifi gebaseerd - dus ik denk dat ik dat beter via Ubiquiti kan oplossen? Aparte VLAN / SSID? Denk aan koelkast, philips hue, wasmachine, google nest etc etc. Probleem is dat je wel via je eigen telefoon met apps moet connecten... lastig!

Firewalling wil je op je firewall doen... Zowel outbound als tussen VLANs. Dus een VLAN voor IoT aanmaken op pfSense en een eigen SSID koppelen aan dat VLAN. Je kunt het zo granulair als mogelijk maken. Houd er wel rekening mee dat veel IoT werkt obv multicast, dus je kunt niet zomaar alles segmenteren en verwachten dat het blijft werken... Trial and error Je kunt Avahi gebruiken zoals @serial_killa159 noemt, maar dan overbrug je eigenlijk weer je VLANs en doe je je segmentatie te niet.

[ Voor 4% gewijzigd door Tom Paris op 21-06-2020 14:20 ]

Tom Paris schreef op zondag 21 juni 2020 @ 14:18:
[...]


Unbound met DNS-over-TLS


[...]

Dit ging bij mij niet altijd goed. Soms pagina 2x opnieuw laden etc. Welke settings gebruik je hier precies voor?

Ik heb bij custom options onder dns resolver dit staan:

server:
forward-zone:
name: "."
forward-ssl-upstream: yes
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853

Firewalling wil je op je firewall doen... Zowel outbound als tussen VLANs. Dus een VLAN voor IoT aanmaken op pfSense en een eigen SSID koppelen aan dat VLAN. Je kunt het zo granulair als mogelijk maken. Houd er wel rekening mee dat veel IoT werkt obv multicast, dus je kunt niet zomaar alles segmenteren en verwachten dat het blijft werken... Trial and error Je kunt Avahi gebruiken zoals @serial_killa159 noemt, maar dan overbrug je eigenlijk weer je VLANs en doe je je segmentatie te niet.

Hmm - ben wel benieuwd hoe jullie dit dan oplossen. Ik heb liever al die IoT devices niet in mijn LAN zitten. Nadeel is weer natuurlijk dat je ze moet kunnen bedienen. Trade off is wellicht om telefoons in IOT vlan te hebben voor bediening via apps.

Werkstations / NAS dan in aparte VLAN en geen verkeer tussen deze twee toestaan? Philips hue, webcam etc doe je toch bedienen via je telefoon of schakelaars en niet via werkstations of laptops.

[ Voor 12% gewijzigd door Workaholic op 21-06-2020 14:34 ]

DoT kan sinds 2.4.4. via de GUI, is een vinkje in het DNS Resolver menu.

Workaholic schreef op zondag 21 juni 2020 @ 10:02:
1) Hebben jullie ergens de compatibility lijst gevonden voor deze yanling mini pc? Ik heb alleen via de protectli site wat gevonden en daar staan maar een paar opties op. Hopen dat mijn adata DDR3 1.35v 1600MHZ 8gb gaat werken.

Voor dat soort dingen is uit mijn ervaring gebleken dat RAM modules van Kingston of Samsung vaak het beste werken

2) ik neig naar pfsense omdat ik dat nu ook gebruik. Zijn er nog specifieke redenen voor jullie om opnsense te gebruiken? Interface ziet er wat beter uit en meer updates? Je kijkt er toch niet heel vaak.. en ik ben eigenlijk alleen opzoek naar de juiste router i.c.m. ubiquiti AP's. Dus alleen de basics nodig en overweeg eventueel ook SNORT / country blocker te gaan gebruiken als dat niet teveel vertraging gaat opleveren.

Is al een paar keer langsgekomen : OPNsense lijkt wat meer up-to-date drivers te gebruiken voor het een en ander, maar pfSense blijkt voor de meesten fijner te zijn om mee te werken

3) Indien pfsense -> gebruiken jullie de dnsresolver of dnsforwarder? Ik heb deze nu allebei uitstaan op een wat oudere pfsense versie en heb alleen DHCP dns lease op externe dns servers. Zie onderstaande screenshots van hoe het nu ingesteld staat. Moet goed zijn toch? Beter als ziggo dns lijkt me?

Pi-Hole met Unbound FTW!!!

4) Zijn er mensen met ubiquiti en pfsense? Ik ben aan het nadenken hoe ik de diverse devices in huis die internet gebruiken maar in principe niets te zoeken hebben in het LAN een aparte VLAN of interface ga geven. Probleem is de meeste zijn wifi gebaseerd - dus ik denk dat ik dat beter via Ubiquiti kan oplossen? Aparte VLAN / SSID? Denk aan koelkast, philips hue, wasmachine, google nest etc etc. Probleem is dat je wel via je eigen telefoon met apps moet connecten... lastig!

Simpele oplossing : Al die zooi niet gebruiken!
Ietsje toepasselijkere oplossing : Gewoon één centrale tablet/telefoon gebruiken voor al die meuk die met het SSID van je IoT VLAN is verbonden

Als je gewoon de Ubiquiti USG of EdgeRouter had neergezet dan zitten daar allerlei mDNS Reflector/Repeater opties in dus je zou ook eens naar zoiets kunnen kijken.
De eerder genoemde Avahi oplossing ken ik verder niet, want die verwijder ik altijd het liefst z.s.m. op mijn Linux/BSD systemen

Ik ben op dit moment ook aan het overwegen om een mini pc aan te schaffen die als router moet gaan fungeren in de meterkast.

Een tijd terug ben ik op deze uit gekomen:
https://nl.aliexpress.com....8148356.6.7bcff883djKPJ6

Is dit nog steeds een aanrader? Of zijn er ondertussen andere machines uitgekomen waar ik beter naar kan kijken? het is immers al een tijd geleden dat ik me hier in verdiept.

Of kan ik dan bijvoorbeeld toch beter kijken naar deze?
https://www.banggood.com/...=6135319&cur_warehouse=CN

[ Voor 22% gewijzigd door sjorremans op 22-06-2020 09:05 ]

sjorremans schreef op maandag 22 juni 2020 @ 09:03:
Ik ben op dit moment ook aan het overwegen om een mini pc aan te schaffen die als router moet gaan fungeren in de meterkast.

Een tijd terug ben ik op deze uit gekomen:
https://nl.aliexpress.com....8148356.6.7bcff883djKPJ6

Is dit nog steeds een aanrader? Of zijn er ondertussen andere machines uitgekomen waar ik beter naar kan kijken? het is immers al een tijd geleden dat ik me hier in verdiept.

Of kan ik dan bijvoorbeeld toch beter kijken naar deze?
https://www.banggood.com/...=6135319&cur_warehouse=CN

Zoals ik er naar kijk, ligt het een beetje aan jouw gebruik. Wil je een dedicated router, dan is de Qotom wel erg ruim (en duur) in specs. Wil je virtualiseren (VMWare, Proxmox, etc), dan is de Qotom i5 of i7 de beste keuze qua specs (al is 8Gb dan wel een beperking).

Had ik eigenlijk moeten vermelden, excuses. Het moet puur een router gaan worden met pfsense en verder niks.

sjorremans schreef op maandag 22 juni 2020 @ 09:03:
Ik ben op dit moment ook aan het overwegen om een mini pc aan te schaffen die als router moet gaan fungeren in de meterkast.

Een tijd terug ben ik op deze uit gekomen:
https://nl.aliexpress.com....8148356.6.7bcff883djKPJ6

Is dit nog steeds een aanrader? Of zijn er ondertussen andere machines uitgekomen waar ik beter naar kan kijken? het is immers al een tijd geleden dat ik me hier in verdiept.

Of kan ik dan bijvoorbeeld toch beter kijken naar deze?
https://www.banggood.com/...=6135319&cur_warehouse=CN

Ik ben aan het kijken naar deze in combinatie met openwrt en openvpn erop. Hoe is jullie ervaring met deze? Of hebben jullie een beter voorstel?
Ik ga hem puur als router gebruiken met een los accespoint voor wifi


https://www.varia-store.c...il-speicher-gehaeuse.html

sjorremans schreef op maandag 22 juni 2020 @ 09:27:
Had ik eigenlijk moeten vermelden, excuses. Het moet puur een router gaan worden met pfsense en verder niks.

Dan zou ik voor de Intel Celeron gaan.

Workaholic schreef op zondag 21 juni 2020 @ 10:02:
[...]
1) Hebben jullie ergens de compatibility lijst gevonden voor deze yanling mini pc? Ik heb alleen via de protectli site wat gevonden en daar staan maar een paar opties op. Hopen dat mijn adata DDR3 1.35v 1600MHZ 8gb gaat werken.

2) ik neig naar pfsense omdat ik dat nu ook gebruik. Zijn er nog specifieke redenen voor jullie om opnsense te gebruiken? Interface ziet er wat beter uit en meer updates? Je kijkt er toch niet heel vaak.. en ik ben eigenlijk alleen opzoek naar de juiste router i.c.m. ubiquiti AP's. Dus alleen de basics nodig en overweeg eventueel ook SNORT / country blocker te gaan gebruiken als dat niet teveel vertraging gaat opleveren.

3) Indien pfsense -> gebruiken jullie de dnsresolver of dnsforwarder? Ik heb deze nu allebei uitstaan op een wat oudere pfsense versie en heb alleen DHCP dns lease op externe dns servers. Zie onderstaande screenshots van hoe het nu ingesteld staat. Moet goed zijn toch? Beter als ziggo dns lijkt me?

4) Zijn er mensen met ubiquiti en pfsense? Ik ben aan het nadenken hoe ik de diverse devices in huis die internet gebruiken maar in principe niets te zoeken hebben in het LAN een aparte VLAN of interface ga geven. Probleem is de meeste zijn wifi gebaseerd - dus ik denk dat ik dat beter via Ubiquiti kan oplossen? Aparte VLAN / SSID? Denk aan koelkast, philips hue, wasmachine, google nest etc etc. Probleem is dat je wel via je eigen telefoon met apps moet connecten... lastig!
[...]

Ik zelf heb gekozen voor OPNsense, de reden toen was eigenlijk simpel, er zit een Nederlands bedrijf achter. maar nu lees ik o.a. in dit topic en Youtube (o.a. lawrence systems) dat het bedrijf achter PFsense hun prioriteiten nou niet echt meer bij PFsense hebben liggen...
Komend van een full Unifi netwerk, unifi spul en OPNsense werken prima samen, al vind ik wel dat je met OPNsense toch meer vrijheid hebt dan met een unifi gateway...
scheiding tussen vlans/lan kun je allemaal goed regelen met firewall regels.
DNS verkeer regelen ik met pihole en Unbound, Pihole in een aparte vlan en met de nodige firewall regels forceer ik alle apparaten naar pihole, (vooral IOT meuk respecteert DHCP niet echt.) vanuit daar gaat de boel naar unbound op OPNsense, welke weer gewoon de ISP dns gebruikt.
Overigens heeft OPNsense voor Unbound nog een extra Plugin/add-on, hiermee kun je met unbound ook gebruik maken van blocklists.

wian schreef op maandag 22 juni 2020 @ 20:55:
edit: vergeet niet een cashback site te gebruiken bij aliexpress/banggood (bv cashbackxl.nl)

Is dat niks anders dan een hoop tracking/datamining gedoe waar je eerder beter ver van weg moet blijven

Tuurlijk, gratis bestaat niet. Maar tracking heb je zelf in de hand. Je kunt bijvoorbeeld een aparte browser gebruiken of voor en na de cashback je history en cookies verwijderen. Scheelt al snel een 10tje op een grote aankoop als een firewall.

Mja, dat tientje mogen ze houden, want ze hoeven niet te weten wat ik heb gekocht!

iemand hier ervaring met Sensei? https://www.sunnyvalley.io/sensei/
dit is een 3rd party plugin voor OPNsense, heeft naast een zeer uitgebreide DPI ook adblock functies...
ziet er wel leuk uit, twijfel nog om het uit te proberen...
Ik vraag me wel af wat ze nou doen met dat SVN cloud gebeuren...

Iemand ervaring met het volgende?:

Ik heb Xs4all IP-TV, dit werkt prima in routed mode. Nu heb ik mijn IP-TV opnieuw geconfigureerd om het verkeer over een VLAN naar de decorder te laten lopen.

De situatie met VLAN is nu als volgt, de decorder krijgt een netwerk IP via het nieuwe VLAN, de decorder start op maar het beeld blijft na 5 seconden hangen. Als ik naar een nieuwe zender switch dan start het beeld weer voor 5 seconden.

Nu geeft PFSense de volgende error in het logboek aan:
MRT_DEL_MFC; Errno(49): Can't assign requested address

Heeft iemand ervaring met het oplossen van dit probleem?

Ik lees in oude forum topics op netgate dat pfsense IGMP ooit geen ondersteuning had voor vlans. Ik draai nu de laatste versie van Pfsense, die zou de laatste versie moeten bevatten van IGMP waarin dat probleem zou zijn opgelost.

Iemand een idee hoe ik dit oplos?

@MuVo Een paar vragen / dingen om te checken:

- Heb je de nieuwe VLAN interface wel als downstream in Services->IGMPProxy geconfigureerd?
- Heb je de firewall regels aangepast aan je nieuwe setup?
- Heb je het VLAN wel untagged afgeleverd op je settopboxen?

ik222 schreef op maandag 13 juli 2020 @ 11:05:
@MuVo Een paar vragen / dingen om te checken:

- Heb je de nieuwe VLAN interface wel als downstream in Services->IGMPProxy geconfigureerd? Check
- Heb je de firewall regels aangepast aan je nieuwe setup? Check
- Heb je het VLAN wel untagged afgeleverd op je settopboxen? Dit volgens mij niet, hoe doe ik dat?
Pfsense (tagged vlan10 over lan) --Lan Interface--> Unifi Switch (tagged vlan10 op poort 3) --> DD-WRT switch --> TV Box.

Alle apparaten op de DD-WRT switch krijgen netjes een ip van Vlan10 ook de tv box.

[ Voor 28% gewijzigd door MuVo op 13-07-2020 15:58 ]

Werkt het wel als een poort direct op je Unifi switch tijdelijk untagged op VLAN 10 zet en daar je settopbox aan hangt?

Hi,

Ik overweeg om ook zo’n yanling of gelijkaardig zelfbouw firewall/router aan te schaffen.
Ik denk aan een 4 poorts j3160 processor, 4 G , 64 msata ssd.

Kan iemand mij hier voor doorverwijzen naar een goede tutorial voor een basisconfiguratie van pfsense?
Er is zoveel te vinden op het net dat ik het bos door de bomen niet meer zie.
Het is voor home/soho gebruik met openvpn en 2 vlans.
Provider is Telenet.
Alvast bedankt.

ik222 schreef op maandag 13 juli 2020 @ 20:22:
Werkt het wel als een poort direct op je Unifi switch tijdelijk untagged op VLAN 10 zet en daar je settopbox aan hangt?

Dat heb ik niet getest.

Ik heb het nu zo ingesteld dat op pfsense geeft naast het normale lan ook vlan10 door. Op de Unifi switch heb ik een profiel aan gemaakt met Lan en vlan10 combineren, deze heb ik gekoppel aan poort 3 op de dd-wrt switch. Op de dd-wrt switch heb ik poort 1 (inkomend) en poort 2 IPTV op lan gelaten, poort 3 en 4 heb ik omgezet naar vlan10.

Nu werkt IPTV zoals normaal maar wel op het lan netwerk.

In eerste instantie had ik VLAN niet goed geconfigureerd op de DD-WRT switch en was de software bugged. Na ene software update en een goede uitleg heb ik het correct geconfigureerd.

Ik heb puur met vlan10 geen werkende IP TV gekregen, dan hangt de tv box met laden op 85%.

Met mijn huidige oplossing kan ik voorruit.

----------------------------------------------------------------------------------

Volgend issue:
mDNS oftwel avahi, poort 5353, krijg ik niet werkend op een vlan en meerdere subnets. Homekit aanvragen over 5353 worden vanaf mijn telefoon verstuurd over IPv6, terwijl IPV6 uit staat. Avahi luistert netjes op IPv4.

Iemand ervaring hier met homekit werkend krijgen via een vlan?

Pietsnot56 schreef op dinsdag 14 juli 2020 @ 13:13:
Hi,

Ik overweeg om ook zo’n yanling of gelijkaardig zelfbouw firewall/router aan te schaffen.
Ik denk aan een 4 poorts j3160 processor, 4 G , 64 msata ssd.

Kan iemand mij hier voor doorverwijzen naar een goede tutorial voor een basisconfiguratie van pfsense?
Er is zoveel te vinden op het net dat ik het bos door de bomen niet meer zie.
Het is voor home/soho gebruik met openvpn en 2 vlans.
Provider is Telenet.
Alvast bedankt.

Heb je google al echt geraadpleegd? Er zijn kant en klare easy install to guides te vinden. Ook op youtube. Hier op tweakers vinden het fijn als men zelf wat onderzoek doet.

Basis configuratie = simpel. Zo goed als standaard direct te gebruiken na het kiezen van je interface.
Alleen openVPN, wat rules/portforwards en vlans nog en klaar. Ook hier zijn stappenplannen voor te vinden.

- Google how to install pfsense of volg de readme op de pfsense site (bootable usb en next next finish)
https://www.pfsense.org/getting-started/

- WAN -> DHCP via het modem van telenet (als het even kan in bridge mode - geen idee hoe telenet werkt)

- LAN -> DHCP aanzetten, range kiezen 192.168.2.100-200 bijv.

- VLANS en openvpn instellen

- firewall rules tweaken indien noodzakelijk (alles staat standaard dicht)

Klaar.

het is wel handig als je wat basis netwerk kennis hebt....

[ Voor 11% gewijzigd door Workaholic op 15-07-2020 21:26 ]

Bedankt, maar intussen ben ik ongeveer zo ver. Pfsense draait inmiddels als VM op mijn hp server weliswaar niet live. Er zijn zoveel mogelijkheden en in te vullen parameters dat ik bezorgd ben dat ik teveel zaken open of toe houd. Ik volg de youtube s van Lawrence. Zijn er nog aan te bevelen videos?
Al doende leert men.

Is snort of suricata een te belastende toepassing op het systeempje dat ik voor ogen heb?
De wereld van beveiliging is wel boeiend.

MuVo schreef op woensdag 15 juli 2020 @ 09:41:
[...]


Dat heb ik niet getest.

Ik heb het nu zo ingesteld dat op pfsense geeft naast het normale lan ook vlan10 door. Op de Unifi switch heb ik een profiel aan gemaakt met Lan en vlan10 combineren, deze heb ik gekoppel aan poort 3 op de dd-wrt switch. Op de dd-wrt switch heb ik poort 1 (inkomend) en poort 2 IPTV op lan gelaten, poort 3 en 4 heb ik omgezet naar vlan10.

Nu werkt IPTV zoals normaal maar wel op het lan netwerk.

In eerste instantie had ik VLAN niet goed geconfigureerd op de DD-WRT switch en was de software bugged. Na ene software update en een goede uitleg heb ik het correct geconfigureerd.

Ik heb puur met vlan10 geen werkende IP TV gekregen, dan hangt de tv box met laden op 85%.

Met mijn huidige oplossing kan ik voorruit.

----------------------------------------------------------------------------------

Volgend issue:
mDNS oftwel avahi, poort 5353, krijg ik niet werkend op een vlan en meerdere subnets. Homekit aanvragen over 5353 worden vanaf mijn telefoon verstuurd over IPv6, terwijl IPV6 uit staat. Avahi luistert netjes op IPv4.

Iemand ervaring hier met homekit werkend krijgen via een vlan?

En is de melding ook verdwenen? Ik heb geen apart vlan voor TV op mijn LAN, maar krijg ook dezelfde melding: MRT_DEL_MFC; Errno(49): Can't assign requested address.

TV werkt hier prima, behalve het terugkijken van opgenomen TV. Niet te doen, elke 10 seconden staat beeld en geluid stil.

Theone098 schreef op vrijdag 17 juli 2020 @ 12:19:
[...]

En is de melding ook verdwenen? Ik heb geen apart vlan voor TV op mijn LAN, maar krijg ook dezelfde melding: MRT_DEL_MFC; Errno(49): Can't assign requested address.

TV werkt hier prima, behalve het terugkijken van opgenomen TV. Niet te doen, elke 10 seconden staat beeld en geluid stil.

Heb ik ook, terug kijken of verder gaan na pauzeren werkt voor geen meter.
Ik heb een pfsense zonder ander modem en/of firewall en iptv zit wel op een eigen vlan.
Volgens pfsense wordt er niks geblokkeerd.
Opnames en verder kijken na pauzeren zijn wel andere streams dan live tv heb ik begrepen.

Mozart schreef op vrijdag 17 juli 2020 @ 18:37:
[...]

Heb ik ook, terug kijken of verder gaan na pauzeren werkt voor geen meter.
Ik heb een pfsense zonder ander modem en/of firewall en iptv zit wel op een eigen vlan.
Volgens pfsense wordt er niks geblokkeerd.
Opnames en verder kijken na pauzeren zijn wel andere streams dan live tv heb ik begrepen.

Daar is gewoon een oplossing voor, dat komt namelijk door de standaard agressieve manier van verbindingen sluiten door pfSense.

Zie ik222 in "[KPN Glasvezel] Ervaringen & Discussie - Deel 3" voor hoe je dat aanpast.

Wat @Theone098 heeft is denk ik iets anders.

[ Voor 3% gewijzigd door ik222 op 17-07-2020 20:30 ]

ik222 schreef op vrijdag 17 juli 2020 @ 20:29:
[...]

Daar is gewoon een oplossing voor, dat komt namelijk door de standaard agressieve manier van verbindingen sluiten door pfSense.

Zie ik222 in "[KPN Glasvezel] Ervaringen & Discussie - Deel 3" voor hoe je dat aanpast.

Wat @Theone098 heeft is denk ik iets anders.

Thanks, ik ga het aanpassen en testen. Had ik zelf nog niet gevonden.

ik222 schreef op vrijdag 17 juli 2020 @ 20:29:
[...]

Daar is gewoon een oplossing voor, dat komt namelijk door de standaard agressieve manier van verbindingen sluiten door pfSense.

Zie ik222 in "[KPN Glasvezel] Ervaringen & Discussie - Deel 3" voor hoe je dat aanpast.

Wat @Theone098 heeft is denk ik iets anders.

Als mijn vrouw verbinding maakt het vpn van haar werk om thuis te werken, heeft ze een seconde verbinding en daarna wordt de er af gegooid. Volgens het werk ligt het bij ons, en als ik de pfsense passeer, werk het inderdaad wel. Ik had gehoopt dat deze oplossing ervoor zou helpen, maar hier staat hij al op 'conservatieve'. Heb je misschien nog een tip ?

Hallo Tweakers, ik ben een zeer onervaren nieuwe pfsense gebruiker en heb wat hulp nodig

Ik heb een Linux mint xfce PC met 2 netwerk kaarten en hierop Virtualbox

WAN komt binnen op de netwerk adapter van de PC
De IP4 en IP6 configuratie is hierop uitgezet om te voorkomen dat de PC via die weg een internet verbinding kan maken
Die adapter is in Virtualbox bridged mode verbonden met de pfsense VM, dat werkt naar wens
Maar is dit een goede manier om het zo te doen ?

De 2de adapter heet natuurlijk LAN en heeft IP 192.168.1.2 met gateway 192.168.1.1 (pfsense)
Ook dit werkt prima
Maar als ik de VM afsluit (b.v. voor een upgrade) dan raak ik de IP verbinding met 192.168.1.2 kwijt
Ik neem aan omdat de gateway dan uit de lucht is
Is hier een weg omheen zodat ik toch remote mijn werk kan doen ?
(is makkelijker dan weer een muis, keyboard en monitor aansluiten)

[ Voor 3% gewijzigd door Woodski op 21-07-2020 16:37 ]

EWK schreef op zaterdag 18 juli 2020 @ 07:15:
[...]

Als mijn vrouw verbinding maakt het vpn van haar werk om thuis te werken, heeft ze een seconde verbinding en daarna wordt de er af gegooid. Volgens het werk ligt het bij ons, en als ik de pfsense passeer, werk het inderdaad wel. Ik had gehoopt dat deze oplossing ervoor zou helpen, maar hier staat hij al op 'conservatieve'. Heb je misschien nog een tip ?

Ik zou het zo niet weten, om wat voor type VPN gaat dat?

Hi,

Mijn Yanling mini-pc (4G msata 64G celeron 3160 4 intel poorten) is aangekomen en draait intussen.
Alle connecties lijken te werken.
Ik moet mij nog heel wat verdiepen in al de mogelijkheden van Pfsense.
Uit de diverse youtube's heb ik volgende packages weerhouden die aangewezen zouden zijn voor een eenvoudige "home"-firewall:
squid
squidguard
lightsquid
darkstat
pfblockerNG
iperf
Suricata
static traffic tools
Klopt dit een beetje?
Zijn er andere wenselijke packages?
Mijn provider is Telenet.
Ik zou u dankbaar zijn mij op goede spoor te helpen.

Voor een eenvoudige thuis firewall heb je helemaal geen enkele package nodig. De standaard installatie voldoet daarvoor prima (als deze goed geconfigureerd is uiteraard).

Die packages voegen extra functionaliteiten toe en heb je dus alleen nodig als je naar iets specifieke op zoek bent.

Woodski schreef op dinsdag 21 juli 2020 @ 15:31:
Hallo Tweakers, ik ben een zeer onervaren nieuwe pfsense gebruiker en heb wat hulp nodig

Ik heb een Linux mint xfce PC met 2 netwerk kaarten en hierop Virtualbox

WAN komt binnen op de netwerk adapter van de PC
De IP4 en IP6 configuratie is hierop uitgezet om te voorkomen dat de PC via die weg een internet verbinding kan maken
Die adapter is in Virtualbox bridged mode verbonden met de pfsense VM, dat werkt naar wens
Maar is dit een goede manier om het zo te doen ?

De 2de adapter heet natuurlijk LAN en heeft IP 192.168.1.2 met gateway 192.168.1.1 (pfsense)
Ook dit werkt prima
Maar als ik de VM afsluit (b.v. voor een upgrade) dan raak ik de IP verbinding met 192.168.1.2 kwijt
Ik neem aan omdat de gateway dan uit de lucht is
Is hier een weg omheen zodat ik toch remote mijn werk kan doen ?
(is makkelijker dan weer een muis, keyboard en monitor aansluiten)

Gebruik je dit in productie direct aan het internet? Lijkt me erg onverstandig. Als je geen dedicated pfSense machine wil gebruiken, kun je beter virtualiseren met een hypervisor als ESXi of Proxmox.

dag Ik222,

De firewall is aangesloten en werkt feilloos.
Wat ik bedoel is met welke packages kan ik de veiligheid preciseren en bv vervelende pop-ups, reclame enz vermijden.
Zo kan ik stap voor stap de mogelijkheden van pfsense leren ontdekken zonder een specialist te willen worden.

Ter info, mijn Yanling toestel lijkt inderdaad op de "Vault FW4B" van Protectli.
De bios is dezelfde als deze die geflashd werd zoals hier is vroeger vermeld.

Ik heb momenteel een Edgerouter Lite achter de Telenet modem staan. Ben al een tijdje aan het uitkijken om deze te vervangen door een firewall.

De fitlet2 was een goede optie en betaalbaar via Amazon.com, maar uiteindelijk toch voor de Yanling gegaan.

De bedoeling is om hier Untangle of Sophos op te draaien, en hopelijk heeft dit ding voldoende power om wat IPS/IDS te doen.

Pietsnot56 schreef op donderdag 23 juli 2020 @ 10:54:
Wat ik bedoel is met welke packages kan ik de veiligheid preciseren en bv vervelende pop-ups, reclame enz vermijden.

pfBlockerNG is voor reclames bedoeld, maar je kan ook gewoon Pi-Hole draaien op een aparte machine eventueel : Het is maar net wat je fijner vindt

Voor het blokkeren van reclame zie hier. Werkt perfect.

Hi wian,

Ik heb de verwijzing nagelezen en de configuratie willen volgen.
Blijkbaar is de huidige versie op pfsense een stuk recenter zodat bij het kiezen van actie "unbound" er voortaan een ganse waaier andere mogelijkheden voordoen. De "geadviseerde" unbound staat er zelfs niet meer bij.
Dan wordt het gissen voor mij. (Ik zit nog maar aan het begin van de leerkurve... ).

Ik heb het lang geleden ingesteld, toen waren de instructies nog up to date, lijkt nu niet meer te kloppen.

Als je het simpel wilt houden kun je NextDNS gebruiken om reclame te blokkeren. Zie (hier voor wat achtergrond info). Je kunt deze als DNS server instellen. Als je een gratis account aanmaakt kun je zelf blocklists instelllen onder de Privacy tab. Ik zou aanraden om de oisd blocklist van Tweaker @sjhgvr te gebruiken.

Ik heb Homekit, Hue werkend gekregen op een eigen IOT lan met gedeeld VLAN. Gescheiden van mijn normale LAN voor laptop en telefoons. Homekit werkt met een kleine vertraging opmijn LAN netwerk naar het IOT lan.

Hue kreeg ik niet werkend met Homekit met aparte subnets, ik heb daarom een fysieke IOT interface gebridged met het VLAN interface zodat ze het zelfde subnet krijgen. Zie mijn netwerk in het onderstaande draft versie een netwerkoverzicht.

[ Voor 71% gewijzigd door MuVo op 27-07-2020 11:37 ]

Ik kan nergens goed vinden wat de impact is van de packages ( Suricata en pfBlockerNG ) op de overall performance van de Protectli/Yanling Vault FW4B boxes. Zijn er zaken waar ik rekening mee moet houden die zeker niet lekker gaan werken?

Je kan het toch testen en als het niet performed ze er weer afhalen?

Ankh schreef op woensdag 5 augustus 2020 @ 07:40:
Je kan het toch testen en als het niet performed ze er weer afhalen?

Ik snap wat je zegt echter is dat de minimale config die ik graag wil draaien en anders kan ik beter andere hardware kiezen als dit niet voldoende power heeft om goed te werken

[ Voor 6% gewijzigd door Apoca op 05-08-2020 09:43 ]

@MuVo Ik ken Homekit zelf verder niet en weet dus ook niet hoe die normaal de Hue bridge discovered en er verder mee communiceert. Maar ik kan me voorstellen dat dit, netals met veel protocollen (zoals bv Google Cast), via multicast / mDNS gebeurt.

Heb je al eens geprobeerd om iets als mDNS proxy te draaien?

Zelf heb ik hier ook een eerste opzet gemaakt met een apart IoT VLAN (zowel voor bedrade apparaten als ook een apart Wifi SSID voor IoT spullen zoals de robotstofzuiger en Evohome en wat smartplugs).

Als experiment heb ik ook de 3 Chromecast Audio's in dat IoT VLAN gehangen. Vanzelfsprekend werkte toen de discovery ervan vanaf smartphones e.d. niet meer. Met mDNS Repeater (of mDNS proxy) werkte dit wel weer. Toen moest ik alleen nog even uitzoeken welke andere IP, TCP of UDP protocollen toegestaan moesten worden (van LAN richtin IoT VLAN) en die open zetten in de firewall. En dat werkt best aardig.

Overigens heb ik de scheiding nog niet zo ver doorgevoerd als jij. NVidia Shield en Hue bridge zitten bv. gewoon nog in het LAN, netals de NAS.

Iemand toevallig al ervaring met de ODYSSEY - X86J4105864? Er komt binnenkort ook een variant uit met 128GB SSD en een case, maar dat even terzijde.

Ik wil al geruime tijd investeren in een nieuwe netwerk setup. Ik gebruik glas van XS4ALL en wil liefst hier direct een eigen router achter hangen, daar weer een switch op aansluiten en een drietal wifi punten. Geruime tijd stond de USG4 Pro of UDM op het lijstje, maar vanwege een hoop gedoe met het werkend krijgen van IPTV, ben ik voornemens OPNSense te gaan gebruiken. Het dichtgooien van een aantal topics op het Unifi met betrekking tot de gewenste features voor de UDM/UDM Pro voorspelt ook weinig goeds. Reddit thread zelf is weer dichtgegooid (reden mij onbekend).

Ik gebruik al geruime tijd pfSense/OPNSense virtueel op mijn ESXi server, maar wil deze nu fysiek gaan draaien en hier een switch en 3 wifipunten aan toe gaan voegen. Ik heb hier en daar al wat positieve verhalen gelezen over de X86J4105864 op Reddit, maar wellicht dat er ook Tweakers zijn die er ervaring mee hebben.

Andere boxjes die op de shortlist staan:

• Protectli VAULT4
• Yangling/Minisys (unbranded variant van Protectli)
• Fitlet2
• Odroid H2+ (maar is Realtek).

Qua switch en wifipunten ga ik kiezen voor TP-Link of Unifi, dat is nog om het even

hi,
als beginneling maak ik wat vorderingen.
Ik probeer nu squid te configureren. Zolang ssl niet aangevinkt staat lijkt alles te werken.
Aangevinkt krijg ik deze error bij het browsen:

ERROR
The requested URL could not be retrieved
The following error was encountered while trying to retrieve the URL: https://http/*

Unable to determine IP address from host name http

The DNS server returned:

No DNS records
This means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.

Your cache administrator is admin@localhost.

Kan iemand een hint geven waar ik moet zoeken?

FREAKJAM schreef op maandag 10 augustus 2020 @ 18:32:
Iemand toevallig al ervaring met de ODYSSEY - X86J4105864? Er komt binnenkort ook een variant uit met 128GB SSD en een case, maar dat even terzijde.

Ik wil al geruime tijd investeren in een nieuwe netwerk setup. Ik gebruik glas van XS4ALL en wil liefst hier direct een eigen router achter hangen, daar weer een switch op aansluiten en een drietal wifi punten. Geruime tijd stond de USG4 Pro of UDM op het lijstje, maar vanwege een hoop gedoe met het werkend krijgen van IPTV, ben ik voornemens OPNSense te gaan gebruiken. Het dichtgooien van een aantal topics op het Unifi met betrekking tot de gewenste features voor de UDM/UDM Pro voorspelt ook weinig goeds. Reddit thread zelf is weer dichtgegooid (reden mij onbekend).

Ik gebruik al geruime tijd pfSense/OPNSense virtueel op mijn ESXi server, maar wil deze nu fysiek gaan draaien en hier een switch en 3 wifipunten aan toe gaan voegen. Ik heb hier en daar al wat positieve verhalen gelezen over de X86J4105864 op Reddit, maar wellicht dat er ook Tweakers zijn die er ervaring mee hebben.

Andere boxjes die op de shortlist staan:

• Protectli VAULT4
• Yangling/Minisys (unbranded variant van Protectli)
• Fitlet2
• Odroid H2+ (maar is Realtek).

Qua switch en wifipunten ga ik kiezen voor TP-Link of Unifi, dat is nog om het even

Over Realtek is al het nodige geschreven in dit onderwerp, Het voordeel van de H2+ is dat die 2,5Gb NICs heeft en je een 1Gb/s lijn helemal dicht kunt trekken i.t.t. met 1GB NICs waar je op 930-940Mb/s blijft steken. In de praktijk zal dat verschil minimaal zijn.

M.b.t. access point: ik weet niet of je 802.11-ax ondersteuning wil, maar mocht dat nog niet nodig zijn: overweeg dan (2e hands) wifi-routers als de Netgear R7800 of de TP-Link C2600 en zet daar OpenWrt op. Ik had de nodige nodige problemen met OpenWrt en deze wifi-routers (ik heb ze beide) maar daar heb ik totaal geen last meer van sinds ik ze alleen als accesspoint gebruik i.c.m. een OPNsense-Odroid H2 router. Ook op het OpenWrt forum staan problemen m.b.t. WAN-LAN.

FREAKJAM schreef op maandag 10 augustus 2020 @ 18:32:
Iemand toevallig al ervaring met de ODYSSEY - X86J4105864?

Ik heb zojuist een setup gemaakt met deze Seeed Odyssey, in combinatie met Ubiquiti unifi Switch & AP’s.

Op de odyssey draai ik nu VMware ESXi met voorlopig twee virtuele machines daarop: PFSense als router en een aparte Linux server met de Unifi controller erop. VMware werkt niet met de eMMC (en blijkbaar ook niet aangeraden), dus ik heb er een NVMe SSD bijgestoken.

Ik heb geen compatibiliteitsproblemen gehad zover en qua performance is het ruim voldoende voor mijn 300Mbps verbinding. CPU gebruik blijft laag, ook met IDS (suricata) actief.

Enigste dat ik nog mis is een case - deze heb ik nu direct bij Seeed besteld aangezien deze zeer moeilijk verkrijgbaar was/is.

Videopac schreef op woensdag 12 augustus 2020 @ 08:49:
[...]

Over Realtek is al het nodige geschreven in dit onderwerp, Het voordeel van de H2+ is dat die 2,5Gb NICs heeft en je een 1Gb/s lijn helemal dicht kunt trekken i.t.t. met 1GB NICs waar je op 930-940Mb/s blijft steken. In de praktijk zal dat verschil minimaal zijn.

De NICs zullen gewoon op 1gbit werken op een gbit netwerk. Wishful thinking om te denken dat ze sneller zijn dan goed ondersteunde gbit NICs. We hebben nog geen benchmarks gezien.

wian schreef op zaterdag 20 juni 2020 @ 11:08:
Wow, we krijgen steeds meer keuze qua goedkope hardware voor zelfbouw firewalls. Hopelijk krijgen de Realtek RTL8125B 2,5Gb NICs goede ondersteuning onder OPNsense/pfSense. De officiele Realtek drivers voor FreeBSD zijn al sinds 2018 niet meer geupdate.

Goed nieuws. De nieuwste Realtek FreeBSD driver is nu van 2020/07/09, versie 1.96.04. https://www.realtek.com/e...rnet-pci-express-software

De nieuwe driver zit niet standaard in FreeBSD, daar zit een oude driver in, maar je kan hem wel installeren. Hij schijnt de bug op te lossen dat Realtek NIC's resetten onder load. Stel je wil hem niet zelf compilen, hier heeft iemand versie 1.96.04 gecompiled voor de laatste OPNsense/pfSense versies: https://forums.serverbuil...nsense-use-2-5gb-realtek/

Dit zou de ODROID-H2+ met wat prutsen een erg mooi 2.5gbps OPNsense boxje kunnen maken

[ Voor 41% gewijzigd door job_h op 17-08-2020 22:20 ]

rcowdam schreef op vrijdag 14 augustus 2020 @ 20:14:
[...]


Ik heb zojuist een setup gemaakt met deze Seeed Odyssey, in combinatie met Ubiquiti unifi Switch & AP’s.

Op de odyssey draai ik nu VMware ESXi met voorlopig twee virtuele machines daarop: PFSense als router en een aparte Linux server met de Unifi controller erop. VMware werkt niet met de eMMC (en blijkbaar ook niet aangeraden), dus ik heb er een NVMe SSD bijgestoken.

Ik heb geen compatibiliteitsproblemen gehad zover en qua performance is het ruim voldoende voor mijn 300Mbps verbinding. CPU gebruik blijft laag, ook met IDS (suricata) actief.

Enigste dat ik nog mis is een case - deze heb ik nu direct bij Seeed besteld aangezien deze zeer moeilijk verkrijgbaar was/is.

Ik ben eerder voornemens om OPNSense direct op de Odyssey te draaien. Heb je al eens geprobeerd de Unifi controller in pfSense zelf te installeren? Scheelt je weer het onderhouden van ESXi.

job_h schreef op maandag 17 augustus 2020 @ 11:08:
[...]


Goed nieuws. De nieuwste Realtek FreeBSD driver is nu van 2020/07/09, versie 1.96.04. https://www.realtek.com/e...rnet-pci-express-software

De nieuwe driver zit niet standaard in FreeBSD, daar zit een hele oude en buggy driver in, maar je kan hem wel installeren. Hij schijnt de bug op te lossen dat Realtek NIC's resetten onder load. Stel je wil hem niet zelf compilen, hier heeft iemand versie 1.96.04 gecompiled voor de laatste OPNsense/pfSense versies: https://forums.serverbuil...nsense-use-2-5gb-realtek/

Dit zou de ODROID-H2+ met wat prutsen een erg mooi 2.5gbps OPNsense boxje kunnen maken

Zeker goed nieuws. Grote kans dat v1.96 op afzienbare termijn gewoon in de OPNsense build/slipstream komt: v1.95 (de versie die de nieuwe 2,5Gb/s NICs niet ondersteund) wordt standaard geïnstalleerd als je Realtek RTL8111x NICs hebt.

Hoi,

Misschien kan iemand mij op weg helpen.

Ik wil voor mijn nieuwe pfsense build eigenlijk de volgende case gaan gebruiken. (https://www.supermicro.co...chassis/1u/505/SC505-203B)
Nu ben ik eigenlijk opzoek naar een geschikte mobo voor in deze case welke geschikt is voor pfsense.

Mijn huidige pfsense is namelijk snel aan vervangen toe aangezien de voeding afgelopen week kapot is gegaan en de cpu ook nog geen AES-NI ondersteund.

Ik heb zelf een 500/500 xs4all lijn liggen en wil eigenlijk ook wat gaan spelen met IDS / DPI.
Dit is echter geen must.

Als ik kijk op site van SP zie ik de volgende 2 mobo's wie zeker geschikt lijken te zijn:

• https://www.supermicro.co...erboard/A2SAV-L?locale=en
• https://www.supermicro.co...otherboard/A2SDi-4C-HLN4F

Beide lijken me leuke mobo's waar vooral de A2SDi-4C-HLN4F er uit springt ivm server cpu en ondersteuning voor misschien 10gbit nic's in de toekomst.
Helaas zijn beide niet heel makkelijk te verkrijgen in NL of is het best aan de prijs.

MIjn vraag is eigenlijk of iemand nog andere leuke bordjes weet voor deze case wie misschien goedkoper zijn en/of krachtiger.
Natuurlijk een vergelijkbare case icm leuke mobo mag ook.

Mvg.
G007

[ Voor 6% gewijzigd door G007 op 19-08-2020 11:53 ]

Ik heb een tijdje geleden mijn Banggood knock off NUC binnen gekregen. Alles werkt uiteindelijk goed en ik ben er tevreden mee. Dit kastje vervangt mijn Netgear router / ap waar openwrt op stond. Ik had 2 van die Netgears, maar ze beginnen uit te vallen, vandaar dat ik ze vervangen heb.

Ik heb wel een paar probleemptjes. Ten eerst ging mijn scherm niet aan bij het booten van de NUC, dat maakt booten van USB om pfSense te installeren lastig. @wian weest mij er op dat het wel werkt als je er een 720 of 1080 scherm aanhangt, en dat werkte inderdaad. Daarna was pfSense installeren simpel.

Daarnaast heb ik een beetje een apart issue, één van de PCs in huis (een Windows 10 machine) heeft voor 30 tot 60 seconden na het ontwaken uit sleep geen internet. Op dat moment heeft de PC geen IP addres, het ophalen van een nieuw IP via DHCP duurt duur 30 tot 60 seconden, daarna werkt het prima. Zijn er meer mensen die dit hebben?

@Blubber Heb je je bios geupdate? Bij mij heeft dat de HDMI problemen verholpen.

Dat een DHCP query zolang duurt kan ik niet verklaren. Misschien iets het spanning tree protocol (STP)... heb je verschillende switches in je netwerk en misschien een loop in je netwerk? Staat STP aan op je switches? Zo ja, probeer het eens uit te zetten om te testen.

Wat zie je in het DHCP log van pfSense? Zit daar een lange tijd tussen de aanvraag en het antwoord?

Edit: aangeziet het probleem alleen bij de PC optreed - wellicht veroorzaakt de windows 10 firewall het probleem. Hier wat tips om te troubleshooten.

[ Voor 22% gewijzigd door wian op 21-08-2020 12:53 ]

wian schreef op vrijdag 21 augustus 2020 @ 12:45:
@Blubber Heb je je bios geupdate? Bij mij heeft dat de HDMI problemen verholpen.

Dat een DHCP query zolang duurt kan ik niet verklaren. Misschien iets het spanning tree protocol (STP)... heb je verschillende switches in je netwerk en misschien een loop in je netwerk? Staat STP aan op je switches? Zo ja, probeer het eens uit te zetten om te testen.

Wat zie je in het DHCP log van pfSense? Zit daar een lange tijd tussen de aanvraag en het antwoord?

Edit: aangeziet het probleem alleen bij de PC optreed - wellicht veroorzaakt de windows 10 firewall het probleem. Hier wat tips om te troubleshooten.

Ik heb de bios nog niet geupdate, temeer omdat het nu werkt, dus ik wil er niet meer aan zitten .

STP is een goede, ik heb geen loops in het netwerk zitten, maar ik zal eens kijken of STP aan staat en of uitschakelen helpt.

Ik zie in de logs dat er een DHCPREQUEST binnen komt die direct door een ACK beantwoord wordt, in dezelfde seconde nog. Dus DHCP an sich is niet het probleem. Wat wel opvalt is dat het even duurt voordat de request binnenkomt, maar ik heb dat nu enkel op gevoel getimed, ik moet dat nog even goed timen met ntp. Want het zou ook kunnen zijn dat er vertraging zit tussen het request en het loggen oid.

Firewall op de windows machine lijkt mij sterk, omdat het eerder met openwrt wel goed werkte. Ik weet ook niet 100% zeker of andere devices het niet ook hebben, deze PC is zo'n beetje het enige apparaat dat via een kabel verbonden is, de rest is via WIFI en daar valt dit probleem mogelijk niet op omdat wifi eerst moet verbinden.

Edit: STP staat uit, en er zijn geen loops dus ik laat dat wel gewoon uit.

Blubber schreef op vrijdag 21 augustus 2020 @ 09:09:
Dit kastje vervangt mijn Netgear router / ap waar openwrt op stond. Ik had 2 van die Netgears, maar ze beginnen uit te vallen, vandaar dat ik ze vervangen heb.

Heb je niet gewoon last van brakke adapters

Als je dat kan fixen hou je leuke accesspoints over als het om 802.11ac modellen gaat!

Daarnaast heb ik een beetje een apart issue, één van de PCs in huis (een Windows 10 machine) heeft voor 30 tot 60 seconden na het ontwaken uit sleep geen internet. Op dat moment heeft de PC geen IP addres, het ophalen van een nieuw IP via DHCP duurt duur 30 tot 60 seconden, daarna werkt het prima. Zijn er meer mensen die dit hebben?

Een vriend van mij heeft ook zoiets met een totaal andere opzet van zijn netwerk en ik ben geneigd om te denken dat het gewoon een Windows 10 probleem of driver probleem is

nero355 schreef op vrijdag 21 augustus 2020 @ 18:06:
[...]

Heb je niet gewoon last van brakke adapters

Als je dat kan fixen hou je leuke accesspoints over als het om 802.11ac modellen gaat!

Helaas niet, adapters was ook het eerste waar ik aan dacht, maar met een andere adapter is het issue er ook. Overigens zijn het wndr3700's, die hebben geen ac helaas .

Een vriend van mij heeft ook zoiets met een totaal andere opzet van zijn netwerk en ik ben geneigd om te denken dat het gewoon een Windows 10 probleem of driver probleem is

Ja, ik ook. Het probleem is ook een beetje dat het de PC van mijn vriendin is, en die heeft de afgelopen tijd problemen gehad met een monitor die niet altijd aan gaat. Ze heeft toen zitten kloten met allerlei power settings, ook van de NIC. Maar we menen ons allebei te herinneren dat dit een paar weken voor de introductie van pfSense was, dus ik wil de overstap nog niet helemaal als oorzaak afschrijven.

Hi,

de configuratie van pfsense op een yangling nuc is al ver gevorderd: openvpn,pfblockerng, suricata IDS en squid proxy. Deze laatste staat in transparant mode.
Tot daar is alles ok.
Als ik ook SSL Man In the Middle Filtering aan vink lijkt alles te werken met uitzondering van de Windows Update's. Dit wordt geblokkeerd.
Op het net staan vele commentaren maar tot nu toe krijg ik dit niet opgelost.
Is hiervoor een oplossing?

Pietsnot56 schreef op zondag 23 augustus 2020 @ 21:58:
Hi,

de configuratie van pfsense op een yangling nuc is al ver gevorderd: openvpn,pfblockerng, suricata IDS en squid proxy. Deze laatste staat in transparant mode.
Tot daar is alles ok.
Als ik ook SSL Man In the Middle Filtering aan vink lijkt alles te werken met uitzondering van de Windows Update's. Dit wordt geblokkeerd.
Op het net staan vele commentaren maar tot nu toe krijg ik dit niet opgelost.
Is hiervoor een oplossing?

Wellicht door de volgende URL's te excluden?
https://support.microsoft...s-together-with-windows-8

Pietsnot56 schreef op zondag 23 augustus 2020 @ 21:58:
Hi,
De configuratie van pfsense op een yangling nuc is al ver gevorderd: openvpn,pfblockerng, suricata IDS en squid proxy. Deze laatste staat in transparant mode.
Tot daar is alles ok.

Hoe zit het met de resources, krijg je dat allemaal zonder problemen draaiende?
Heb je een screen van de load en temps in pfSense?
Wat voor verbinding heb je en welke speeds heb je over bij deze settings

Ik wilde dezelfde setup maken maar twijfel over de specs of ik toch niet iets meer power nodig heb,

BIOS Vendor: American Megatrends Inc.
Version: 5.11
Release Date: Tue Oct 22 2019
Version 2.4.5-RELEASE-p1 (amd64)
built on Tue Jun 02 17:51:17 EDT 2020
FreeBSD 11.3-STABLE

The system is on the latest version.
Version information updated at Mon Aug 24 18:03:20 CEST 2020
CPU Type Intel(R) Celeron(R) CPU J3160 @ 1.60GHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM
Kernel PTI Enabled
MDS Mitigation Inactive
Uptime 00 Hour 15 Minutes 10 Seconds
Current date/time
Mon Aug 24 18:17:17 CEST 2020
DNS server(s)
127.0.0.1
1.1.1.1
8.8.8.8
Last config change Mon Aug 24 18:04:02 CEST 2020
State table size
0% (491/394000) Show states
MBUF Usage
1% (9876/1000000)
Temperature
53.0°C
Load average
0.29, 0.41, 0.32
CPU usage
4%
Memory usage
50% of 3949 MiB
SWAP usage
0% of 2689 MiB
Disk usage:
/
4% of 55GiB - ufs
/var/run
4% of 3.4MiB - ufs in RAM

Telenet speedtest abbo 300

PING
10
ms
JITTER
1
ms
DOWNLOAD UPLOAD
285.8 28.6
Mbps Mbps


Is voor een home installatie met maar enkele pc's, ipad's en iphones, tv's enz
Intel(R) Celeron(R) CPU J3160 @ 1.60GHz 4Gb 64G msata

Ik neem geen verschil in snelheid waar ivm met mijn vorige router ( nu ap/switch).
Wel beter zicht en controle van wat er op mijn netwerk gebeurd.
Basisinstallatie is straight forward, maar als je wat meer app's installeert is er wat meer studiewerk nodig als je geen ervaring hebt met firewall's.
Vallen en opstaan. Gelukkig kan een werkende configuratie makkelijk gebackuped en vlot gerestorred worden.

Is hardware matig gelijk aan de Protectli appliance maar zonder label en een stuk goedkoper.
FW4B – 4 Port Intel ® J3160
Quad Core turbo to 2.24GHz
AES-NI
– coreboot supported –

Ter info voor Apoca,

Ik speel wat verder met mijn box en vraag bijgevolg wat meer power.
Voornamelijk Sericata slorpt geheugen op.
Mijn geheugen gebruik klimt nu wel tijdelijk even hoger richting 80-90. %.
Daarna valt zij terug op +-50 %
Het hangt er van af wat je wil doen. Iets meer memory valt misschien te overwegen.
Cpu time blijft te verwaarlozen.

G007 schreef op woensdag 19 augustus 2020 @ 11:30:
Hoi,

Misschien kan iemand mij op weg helpen.

Ik wil voor mijn nieuwe pfsense build eigenlijk de volgende case gaan gebruiken. (https://www.supermicro.co...chassis/1u/505/SC505-203B)
Nu ben ik eigenlijk opzoek naar een geschikte mobo voor in deze case welke geschikt is voor pfsense.

Mijn huidige pfsense is namelijk snel aan vervangen toe aangezien de voeding afgelopen week kapot is gegaan en de cpu ook nog geen AES-NI ondersteund.

Ik heb zelf een 500/500 xs4all lijn liggen en wil eigenlijk ook wat gaan spelen met IDS / DPI.
Dit is echter geen must.

Als ik kijk op site van SP zie ik de volgende 2 mobo's wie zeker geschikt lijken te zijn:

• https://www.supermicro.co...erboard/A2SAV-L?locale=en
• https://www.supermicro.co...otherboard/A2SDi-4C-HLN4F

Beide lijken me leuke mobo's waar vooral de A2SDi-4C-HLN4F er uit springt ivm server cpu en ondersteuning voor misschien 10gbit nic's in de toekomst.
Helaas zijn beide niet heel makkelijk te verkrijgen in NL of is het best aan de prijs.

MIjn vraag is eigenlijk of iemand nog andere leuke bordjes weet voor deze case wie misschien goedkoper zijn en/of krachtiger.
Natuurlijk een vergelijkbare case icm leuke mobo mag ook.

Mvg.
G007

@G007,

Heb je die SuperChassis 505-203B behuizing toevallig gekocht?
Ik denk namelijk ook aan een A2SAV-L bordje en zoek nog een behuizing voor in de meterkast. Veel van die Supermicro kasten maken een bak herrie door de fans die full speed draaien (wat ik uiteraard begrijp, want die kasten zijn bedoeld voor in een serverhok) maar in mijn meterkast wordt ik daar niet zo heel blij van. Dan kan ik wellicht toch beter kiezen voor een ITX kastje met een normale ATX voeding en wellicht een 80/120mm Noctua fan. Dus ik hoop op wat persoonlijke ervaring

Blijf het lastig vinden om in te schatten of (in het geval van A2SAV-L) zo een Atom 3940 het allemaal gaat trekken.

Met betrekking tot DPI, het nut neemt mijn inziens steeds verder af. Steeds meer zie je dat veel met TLS end-to-end wordt ge-encrypt. Tevens zijn er veel protocollen die een secure alternatief zoals DNS over HTTPS krijgen. Of we dat moeten willen is een hele andere discussie, maar je ziet het wel steeds meer gebeuren.

En het moge duidelijk zijn maar als je niet in een packet kunt kijken, then what's the point

[ Voor 10% gewijzigd door Operations op 31-08-2020 04:37 ]

Pietsnot56 schreef op zondag 30 augustus 2020 @ 22:31:
Ter info voor Apoca,

Ik speel wat verder met mijn box en vraag bijgevolg wat meer power.
Voornamelijk Sericata slorpt geheugen op.
Mijn geheugen gebruik klimt nu wel tijdelijk even hoger richting 80-90. %.
Daarna valt zij terug op +-50 %
Het hangt er van af wat je wil doen. Iets meer memory valt misschien te overwegen.
Cpu time blijft te verwaarlozen.

Ik wilde al voor de 8GB gaan, die 20 euro extra in tegenstelling tot 4GB is ook niet meer het issue.
Maar thx voor de heads-up, that's appreciated
Bestelling staat reeds uit bij Yanling voor een kastje, ben benieuwd.

Operations schreef op maandag 31 augustus 2020 @ 04:06:
[...]


@G007,

Heb je die SuperChassis 505-203B behuizing toevallig gekocht?
Ik denk namelijk ook aan een A2SAV-L bordje en zoek nog een behuizing voor in de meterkast. Veel van die Supermicro kasten maken een bak herrie door de fans die full speed draaien (wat ik uiteraard begrijp, want die kasten zijn bedoeld voor in een serverhok) maar in mijn meterkast wordt ik daar niet zo heel blij van. Dan kan ik wellicht toch beter kiezen voor een ITX kastje met een normale ATX voeding en wellicht een 80/120mm Noctua fan. Dus ik hoop op wat persoonlijke ervaring

Blijf het lastig vinden om in te schatten of (in het geval van A2SAV-L) zo een Atom 3940 het allemaal gaat trekken.

Met betrekking tot DPI, het nut neemt mijn inziens steeds verder af. Steeds meer zie je dat veel met TLS end-to-end wordt ge-encrypt. Tevens zijn er veel protocollen die een secure alternatief zoals DNS over HTTPS krijgen. Of we dat moeten willen is een hele andere discussie, maar je ziet het wel steeds meer gebeuren.

En het moge duidelijk zijn maar als je niet in een packet kunt kijken, then what's the point

Ik heb wel de case inderdaad gekocht
Als je via de site van Supermicro naar de onderdelen kijkt en zoekt naar het noise level zie je genoeg sites / post die aangegeven dat weinig tot geen geluid produceert.

Ik heb het voordeel dat ik via een tweaker A2SDi-4C-HLN4F heb kunnen overkopen voor een zeer nette prijs. Dus qua performance durf ik het wel aan.

Als ik werkelijk de kast heb aangesloten en ingericht zal ik eens kijken of ik een db meter ergens kan vinden.

G007 schreef op woensdag 2 september 2020 @ 09:10:
[...]


Ik heb wel de case inderdaad gekocht
Als je via de site van Supermicro naar de onderdelen kijkt en zoekt naar het noise level zie je genoeg sites / post die aangegeven dat weinig tot geen geluid produceert.

Ik heb het voordeel dat ik via een tweaker A2SDi-4C-HLN4F heb kunnen overkopen voor een zeer nette prijs. Dus qua performance durf ik het wel aan.

Als ik werkelijk de kast heb aangesloten en ingericht zal ik eens kijken of ik een db meter ergens kan vinden.

Dat is zeker een mooi bordje, maar blijft een Atom. Heb je de rest van de mogelijkheden van dat bordje ook nodig? Ga je nog meer interessante dingen doen op dat bordje (als ik vragen mag uiteraard).

Ik probeer qua performance echt voldoende te hebben maar dan qua stroom (zonder te overdrijven) lekker laag te zitten. Komt bij mij alleen maar Pfsense op draaien dus ik heb niet zoveel aan een uitgebreid bordje.

Maar zonder meer een mooi bordje! Supermicro maakt erg veel mooie bordjes.

Ik had inderdaad de decibel waardes wel gezien maar ik heb meerdere keren gemerkt dat 28 decibel volgens de ene fabrikant voor mij toch veel luider is dan 28 decibel bij een andere fabrikant.

[ Voor 3% gewijzigd door Operations op 02-09-2020 15:36 ]

@Operations
Eerste ervaring met de kast en een extra fan is dat het wel heel weinig geluid maakt.

Heb natuurlijk nog niet de kast dicht gemaakt en op de plek gehangen.
Maar verwacht dat die net zo weinig / veel herrie maakt als de huidige HP SFF Pro 3300 (niks tot nauwelijks hoorbaar)

Ik ga er ook alleen maar pfsense op draaien dus dit is zwaar overkill voor een home firewall/router
Maar tja vrouw vind het goed en mobo was zeer betaalbaar dus waarom niet

Hopelijk kan iemand mij op weg helpen.

Zoals hierboven is te lezen heb ik via een tweaker een mobo over genomen. (A2SDi-4C-HLN4F)
Aangezien de CPU ook wordt gebruikt in de SG-5100 van netgate zelf verwacht ik hier geen problemen mee.

Nu heb ik de vreemde situatie dat wanneer ik de pfsense aansluit tussen de 1 en 5 min de pppoe verbinding naar xs4all voor een paar sec wordt verbroken en daarna weer gelijk terug is.

Dit heb ik niet op mijn huidige pfsense systeem die ik wil gaan vervangen. Dus vermoed dat het ergens in de instelling zit.
Alleen ik heb even geen idee meer waar ik het moet zoeken.

Ik ben begonnen met een backup van de werkende router over te zetten naar de nieuwe.
Nadat ik alles goed had ingesteld merkte ik dit probleem op. Dit zorgt er ook voor dat iptv voor een paar sec elke keer hangt en dan weer verder gaat.
Om uit te sluiten dat het in de backup zit heb ik zowel met de hand de config over genomen als getest met een kale installatie.

Wat ik wel zie is dat de led van de NIC ontzettend aan het knipperen is. Vaker als ik zou verwachten voor default install.

Graag jullie help want ik heb nu even geen idee meer waar het aan kan liggen en wil toch graag deze nieuwe router gaan gebruiken

Ik zit er ook sterk aan te denken om zelf een router/firewall op te zetten met losse hardware. Ik heb nu een asus RT-AC86U met de merlin software. Hier draai ik VPN (200mb+ )en unbound op. Ik merk dat ik steeds meer interesse krijg in de mogelijkheden van routers en hier ook zelf meer aan wil "klooien" om de boel veilig te maken en dicht te timmeren. Nu is de community achter de merlin firmware wel goed, maar ook beperkt en daarom wil ik het is proberen met pfsense o.i.d.

Nu heb ik hier heel veel hardware voorbij zien komen maar wat mij opvalt is dat als je een beetje snelle CPU wil je al best aan prijzige oplossingen zit. Dat is opzich niet erg. Maar ik dacht ik stel dan mijn eigen systeem wel samen, dat geeft mij een fijner gevoel dan een of ander kastje via ali expres of bangood.

Ruimte en koelgeluiden (fans) hinderen mij niet omdat het ver weg in de meterkast komt te staan.

Ik kwam uit op onderstaande setup (ram, ssd e.d. even weg gelaten). Wat ik absoluut wil voorkomen is dat performance een issue gaat worden en daarom is het misschien wat overkill maar ik zit liever aan de veilige kant


pricewatch: Intel Core i3-9100 Tray
pricewatch: Gigabyte C246N-WU2

Nu zat ik te denken, kleven er ook nadelen aan een router setup met maar 1 LAN port?

[ Voor 7% gewijzigd door Mich op 13-09-2020 20:47 ]

@Mich Router on a stick, oftewel via Vlans de Wan en Lan gescheiden houden via 1 poort heeft inderdaad nadelen. Omdat er een managed switch voor komt te zitten zal daar een nieuw zwak punt komen nog voordat je het internet gescheiden hebt. Als de router niet up to date is qua beveiliging zou er bijvoorbeeld vlan hopping of iets vergelijkbaars plaats kunnen vinden.
Door een aparte wan poort direct op het internet te hebben en een aparte lan poort ernaast kan je dit voorkomen.

Er zijn ook kleinere barebones zoals een shuttle XPC slim DH310V2 waar een i3 processor in kan, deze heeft 2 intel i211 poorten die bij elke software goed werken. Ook is hier in het topic daar al ervaring mee (even zoeken).
Voor volledige zelfbouw kan je kijken naar bijvoorbeeld

• https://tweakers.net/pric.../asrock-h370m-itx-ac.html voor een goedkoper moederbord met 2 poorten
• pricewatch: Supermicro X11SCL-IF een server moederbord met IPMI en 2 iets luxere netwerkpoorten.

Een klein kastje met een Pico Psu met zuinige adapter, een simpele sata ssd (lager energie verbruik, je wint niks met nvme) en 1 of 2 kleine ram stickjes (is maar weinig nodig, 4 of 8gb is meer dan genoeg voor de gemiddelde persoon, minder vaak zelfs).

Mich schreef op zondag 13 september 2020 @ 20:45:
Ik zit er ook sterk aan te denken om zelf een router/firewall op te zetten met losse hardware. Ik heb nu een asus RT-AC86U met de merlin software. Hier draai ik VPN (200mb+ )en unbound op. Ik merk dat ik steeds meer interesse krijg in de mogelijkheden van routers en hier ook zelf meer aan wil "klooien" om de boel veilig te maken en dicht te timmeren. Nu is de community achter de merlin firmware wel goed, maar ook beperkt en daarom wil ik het is proberen met pfsense o.i.d.

Nu heb ik hier heel veel hardware voorbij zien komen maar wat mij opvalt is dat als je een beetje snelle CPU wil je al best aan prijzige oplossingen zit. Dat is opzich niet erg. Maar ik dacht ik stel dan mijn eigen systeem wel samen, dat geeft mij een fijner gevoel dan een of ander kastje via ali expres of bangood.

Ruimte en koelgeluiden (fans) hinderen mij niet omdat het ver weg in de meterkast komt te staan.

Ik kwam uit op onderstaande setup (ram, ssd e.d. even weg gelaten). Wat ik absoluut wil voorkomen is dat performance een issue gaat worden en daarom is het misschien wat overkill maar ik zit liever aan de veilige kant


pricewatch: Intel Core i3-9100 Tray
pricewatch: Gigabyte C246N-WU2

Nu zat ik te denken, kleven er ook nadelen aan een router setup met maar 1 LAN port?

Ik heb geen aandelen in Odroid, maar een Odroid H2+ systeempje kost je ook iets van 300 euro als je de RAM en een SSD meerekent, is zuiniger, kleiner en passief gekoeld. En dan heb je wel 2 NICs die goed kunnen werken.

Nadeel: vooralsnog moet je zelf de driver in pfSense / OPNsense installeren:
https://forums.serverbuil...se-use-2-5gb-realtek/3555

Voor de pfsense specialisten hier:

Wie gebruikt er PiHole op een raspberry pi i.c.m. pfsense? Ik heb twee subnets (172.16.108.1/24 en 192.168.2.1/24) en heb bij DHCP settings in pfsense aangegeven dat de clients het pihole IP nummer gebruiken bij DNS.

Dit werkt allemaal goed en als ik het goed heb is het nu client -> pihole -> externe dns.

Twee vragen:

1) Hebben jullie DNS resolver aan of uit staan op pfsense? En wat staat er bij general settings? ik heb dns resolver aan en ik heb bij general settings GEEN pihole staan bij dns. Dit lijkt mij allebei juist als je pfsense nog zelf lokaal een eigen dns wilt laten bijhouden en externe looks moet kunnen doen zonder pihole afhankelijkheid

2) Top clients / clients bij Pihole geven alleen IP nummers en geen hostnames. Met conditional forwarding zou hij dit moeten opvragen bij de pfsense firewall, maar dit werkt niet. Iemand een idee wat hier mis gaat?

Workaholic schreef op maandag 14 september 2020 @ 15:52:
Voor de pfsense specialisten hier:

Wie gebruikt er PiHole op een raspberry pi i.c.m. pfsense? Ik heb twee subnets (172.16.108.1/24 en 192.168.2.1/24) en heb bij DHCP settings in pfsense aangegeven dat de clients het pihole IP nummer gebruiken bij DNS.

Dit werkt allemaal goed en als ik het goed heb is het nu client -> pihole -> externe dns.

Twee vragen:

1) Hebben jullie DNS resolver aan of uit staan op pfsense? En wat staat er bij general settings? ik heb dns resolver aan en ik heb bij general settings GEEN pihole staan bij dns. Dit lijkt mij allebei juist als je pfsense nog zelf lokaal een eigen dns wilt laten bijhouden en externe looks moet kunnen doen zonder pihole afhankelijkheid

2) Top clients / clients bij Pihole geven alleen IP nummers en geen hostnames. Met conditional forwarding zou hij dit moeten opvragen bij de pfsense firewall, maar dit werkt niet. Iemand een idee wat hier mis gaat?

Waarom zou je dat doen als je PFBlockerNG als package kan gebruiken?

Vorkie schreef op maandag 14 september 2020 @ 15:52:
[...]


Waarom zou je dat doen als je PFBlockerNG als package kan gebruiken?

Omdat ik hiervoor PFBlocker heb gebruikt en ik ben hier minder tevreden over. Pihole is ook gebruiksvriendelijker, meer opties etc. En de Pi heb ik natuurlijk ook voor andere toepassingen

Workaholic schreef op maandag 14 september 2020 @ 15:57:
[...]


Omdat ik hiervoor PFBlocker heb gebruikt en ik ben hier minder tevreden over. Pihole is ook gebruiksvriendelijker, meer opties etc. En de Pi heb ik natuurlijk ook voor andere toepassingen

Je moet het zelf weten natuurlijk, ik zie vrij weinig verschil , anders dan dat PFBlockerNG gelijk Country Blocking geeft op de FW... voor inkomend verkeer, maar ook uitgaand.

Clients/servers > PI > PFsense


Pfsense DNS is gewoon direct naar internet met de optie "Do not use the DNS Forwarder/DNS Resolver as a DNS server for the firewall" aan en dan over de verschillende interfaces DNS servers opgeven. Of, in ieder geval meerdere, zoals 1.1.1.1, 8.8.8.8 en 9.9.9.9, zodat er altijd wel 1 beschikbaar is. (Of gewoon die van je provider, gezien je schijnbaar privacy wilt )

Verder de optie: "Use SSL/TLS for outgoing DNS Queries to Forwarding Servers" aanzetten op PFsense.

Laat de PI verder ook DHCP en DNS registratie doen, scheelt je een hoop kopzorgen en gedoe om je forward-zone (ping computertje10), maar ook je reverse-zone in PFsense te laden (ping -a 192.168.x.45)

Ik raadt je wel aan elke dag een back-up te maken van die Pi (niet wegschrijven op je SDkaartje...) en ook een paar extra SD kaartjes in je la leggen. Ik zou zelf persoonlijk een Pi als kritisch netwerkapparaat gebruiken i.v.m. de "ineens corrupt OS" problemen.

Vorkie schreef op maandag 14 september 2020 @ 16:13:
[...]


Je moet het zelf weten natuurlijk, ik zie vrij weinig verschil , anders dan dat PFBlockerNG gelijk Country Blocking geeft op de FW... voor inkomend verkeer, maar ook uitgaand.

Clients/servers > PI > PFsense


Pfsense DNS is gewoon direct naar internet met de optie "Do not use the DNS Forwarder/DNS Resolver as a DNS server for the firewall" aan en dan over de verschillende interfaces DNS servers opgeven. Of, in ieder geval meerdere, zoals 1.1.1.1, 8.8.8.8 en 9.9.9.9, zodat er altijd wel 1 beschikbaar is. (Of gewoon die van je provider, gezien je schijnbaar privacy wilt )

Verder de optie: "Use SSL/TLS for outgoing DNS Queries to Forwarding Servers" aanzetten op PFsense.

Laat de PI verder ook DHCP en DNS registratie doen, scheelt je een hoop kopzorgen en gedoe om je forward-zone (ping computertje10), maar ook je reverse-zone in PFsense te laden (ping -a 192.168.x.45)

Ik raadt je wel aan elke dag een back-up te maken van die Pi (niet wegschrijven op je SDkaartje...) en ook een paar extra SD kaartjes in je la leggen. Ik zou zelf persoonlijk een Pi als kritisch netwerkapparaat gebruiken i.v.m. de "ineens corrupt OS" problemen.

Thanks maar waarom zou je de clients niet direct via de pihole het internet op sturen voor je DNS query? Ga je niet extra vertraging / schakels creeeren op deze manier?

PI DNS registratie? Pfsense geeft toch de IP's uit en zet de hostnames in zijn eigen DNS database?

ribe schreef op maandag 14 september 2020 @ 09:37:
@Mich Router on a stick, oftewel via Vlans de Wan en Lan gescheiden houden via 1 poort heeft inderdaad nadelen. Omdat er een managed switch voor komt te zitten zal daar een nieuw zwak punt komen nog voordat je het internet gescheiden hebt. Als de router niet up to date is qua beveiliging zou er bijvoorbeeld vlan hopping of iets vergelijkbaars plaats kunnen vinden.
Door een aparte wan poort direct op het internet te hebben en een aparte lan poort ernaast kan je dit voorkomen.

Er zijn ook kleinere barebones zoals een shuttle XPC slim DH310V2 waar een i3 processor in kan, deze heeft 2 intel i211 poorten die bij elke software goed werken. Ook is hier in het topic daar al ervaring mee (even zoeken).
Voor volledige zelfbouw kan je kijken naar bijvoorbeeld

• https://tweakers.net/pric.../asrock-h370m-itx-ac.html voor een goedkoper moederbord met 2 poorten
• pricewatch: Supermicro X11SCL-IF een server moederbord met IPMI en 2 iets luxere netwerkpoorten.

Een klein kastje met een Pico Psu met zuinige adapter, een simpele sata ssd (lager energie verbruik, je wint niks met nvme) en 1 of 2 kleine ram stickjes (is maar weinig nodig, 4 of 8gb is meer dan genoeg voor de gemiddelde persoon, minder vaak zelfs).

sorry mijn fout. Ik bedoelde moet 1 LAN port eigenlijk niet dat er maar 1 netwerkpoort op zat. Ik had er al 1 gereserveerd in gedachten voor de WAN. Het mobo heeft dus 2 netwerkpoorten waaronder 1 I210 en 1 gestuurd uit de chipset. Ik bedoelde meer dat al het lokale verkeer de router alleen kan bereiken via 1 poort ipv 4 ofzo. Of dit een grote bottleneck kan zijn

Die Supermicro had ik ook gevonden, ik ken het merk niet. Is het betrouwbaar? De ASrock is zeker een stuk goedkoper en heeft dezelfde poorten als de mobo die ik plaatste. Ik ga hier is nader na kijken ook. Ik zoek in de pricewatch eigenlijk standaard niet naar producten ouder dan 2 jaar

[ Voor 3% gewijzigd door Mich op 14-09-2020 16:40 ]

Workaholic schreef op maandag 14 september 2020 @ 16:29:
[...]


Thanks maar waarom zou je de clients niet direct via de pihole het internet op sturen voor je DNS query? Ga je niet extra vertraging / schakels creeeren op deze manier?

PI DNS registratie? Pfsense geeft toch de IP's uit en zet de hostnames in zijn eigen DNS database?

Je PFsense is de rand van het netwerk, niet je pihole, dat is een keuze, maar zo blijft het altijd duidelijk.

En ja PFsense doet dat, maar je maakt het nu ook complexer dan je eigenlijk zou willen, dan kan je beter DNS en DHCP ook op de PI zetten, dan doet PFSense alleen nog maar routering en firewalling.

Mich schreef op maandag 14 september 2020 @ 16:38:
Die Supermicro had ik ook gevonden, ik ken het merk niet. Is het betrouwbaar? De ASrock is zeker een stuk goedkoper en heeft dezelfde poorten als de mobo die ik plaatste.

SuperMicro is eigenlijk altijd al een merk geweest voor server en workstation hardware dus dat zit wel goed IMHO

AsRock heeft de Rack Series die zich ook op servers en workstations richt dus kijk maar wat je leuker vindt

Workaholic schreef op maandag 14 september 2020 @ 15:52:
Wie gebruikt er PiHole op een raspberry pi i.c.m. pfsense? Ik heb twee subnets (172.16.108.1/24 en 192.168.2.1/24) en heb bij DHCP settings in pfsense aangegeven dat de clients het pihole IP nummer gebruiken bij DNS.

Dit werkt allemaal goed en als ik het goed heb is het nu client -> pihole -> externe dns.

Door te "Firewallen" of door Pi-Hole wat VLAN Interfaces te geven ?!

Ik heb het zo opgelost op mijn netwerk : nero355 in "[Pi-Hole] Ervaringen & discussie"

2) Top clients / clients bij Pihole geven alleen IP nummers en geen hostnames. Met conditional forwarding zou hij dit moeten opvragen bij de pfsense firewall, maar dit werkt niet. Iemand een idee wat hier mis gaat?

Dat werkt niet altijd even lekker dus ik zou gewoon via de nieuwe "Local DNS Records" functie in de WebGUI de gewenste hostnames aanmaken of als je al ergens een bestand hebt dat je makkelijk kan copy -> pasten de boel effe via SSH regelen

Als je het echt via Conditional Forwarding wilt doen dan zou ik effe op het Pi-Hole Forum een topic aanmaken : https://discourse.pi-hole.net/

Merk toch dat het niet helemaal goed gaat en internet "traag" voelt. Ook 1.1.1.1/help geeft aan dat ik geen cloudflare gebruik?

Hoe kan ik dit nou het beste troubleshooten?

Windows DHCP Lease & Cloudflare


DNS & DHCP Settings pfsense


Firewall Pfsense rules


PiHole

[ Voor 62% gewijzigd door Workaholic op 14-09-2020 17:47 ]

Wat mij opvalt is dat je verbinding maakt met de cloudflare server in Duitsland (DUS). Waar ik bijv. naar Amsterdam ga.

Verder heb je nu een dns request lopen van: cliënt > pihole > pfsense(dnsrequest) en forward naar > 1.1.1.1
En daadwerkelijk je netwerk pakketten: cliënt(192.168.2.) > pfsense(lan?) > pihole > pfsense(iotnotsecure) > 1.1.1.1 en daarna het antwoord terug via dezelfde weg. Nu maak je gebruik van de dns van de pihole en pfsense.
Volgens mij kan je dan beter de dns van de pihole direct naar 1.1.1.1 laten gaan ipv naar de adressen van de pfsense. (En zoals eerder gezegd is dan ook voor je interne hosts de dn/dhcp door de pihole laten doen)

Verder maak je gebruik op je pfsense van DNS/TLS. Ik heb geen idee of door het gebruik van TCP voor DNS requests dan ook je MTU/MSS relevant is. Maar dat kan nooit kwaad om te controleren.

Ik hoop dat deze reactie niet al te off-topic is. Aangezien het meer over netwerk en/of software instellingen gaat.

[ Voor 12% gewijzigd door purge op 14-09-2020 19:06 ]

purge schreef op maandag 14 september 2020 @ 19:00:
Wat mij opvalt is dat je verbinding maakt met de cloudflare server in Duitsland (DUS). Waar ik bijv. naar Amsterdam ga.

Verder heb je nu een dns request lopen van: cliënt > pihole > pfsense(dnsrequest) en forward naar > 1.1.1.1
En daadwerkelijk je netwerk pakketten: cliënt(192.168.2.) > pfsense(lan?) > pihole > pfsense(iotnotsecure) > 1.1.1.1 en daarna het antwoord terug via dezelfde weg. Nu maak je gebruik van de dns van de pihole en pfsense.

Ik heb 3 VLANS (192.168.2.x/24 LAN en 172.16.108.x/24 IOT + 10.10.1.1/24 guest). Je hebt dus gelijk dat hij via de firewall weer naar de andere VLAN moet. Wellicht kan ik dit voorkomen als ik de switch port naar de raspberry 2 vlan profiles mee geef en dan ook 2 IPs icm VLANs gebruik op de pi? Geen idee of dit fout/latency gevoelig is, maar hiermee zou je het verkeer binnen hetzelfde subnet/VLAN houden en dus geen FW nodig hebben toch?

Volgens mij kan je dan beter de dns van de pihole direct naar 1.1.1.1 laten gaan ipv naar de adressen van de pfsense. (En zoals eerder gezegd is dan ook voor je interne hosts de dn/dhcp door de pihole laten doen)

Verder maak je gebruik op je pfsense van DNS/TLS. Ik heb geen idee of door het gebruik van TCP voor DNS requests dan ook je MTU/MSS relevant is. Maar dat kan nooit kwaad om te controleren.

Ik heb het liefste DHCP en DNS door mijn firewall en pihole/pi puur voor filtering / andere zaken. Registratie van de DNS etc gaat nu allemaal goed btw. Kan ook in de dashboards van de pihole mijn clients zien omdat de pihole denk ik geen externe DNS gebruikt. Conditional forwarding etc staat allemaal uit?

Ik hoop dat deze reactie niet al te off-topic is. Aangezien het meer over netwerk en/of software instellingen gaat.

nee hoor ! Veel pfsense discussie hier.. dus zeer welkom wat mij betreft . MTU/MSS heb ik standaard staan (dus niet aangepast). Geen idee of hier aanpassingen in nodig zijn. DNSSEC heb ik aangezet omdat dit toch wel redelijk best practice is toch? zeker met clouflare?

edit: https://docs.netgate.com/...-requests-to-pfsense.html

Kwam bovenstaande ook nog tegen. Waarom zou je een NAT / port forward moeten gebruiken als je een block hebt op 53? Kan iemand mij nog uitleggen wat hier het nut van zou zijn? Ik zie bijvoorbeeld nu deze voorbij komen:


Google devices weigeren DHCP DNS te gebruiken.. en connecten met google . Zou forwarden hierbij helpen? Of wat verbeteren?

[ Voor 21% gewijzigd door Workaholic op 14-09-2020 20:24 ]

De MTU is geen issue. wat wel een issue is is de pihole, die moet je rechtstsreeks laten connecten naar je DNS provider. Tenzij je je pfsense wilt gebruiken, maar dan moet je je pfsense als forwarder instellen.

Wat nog beter werkt dan je pihole is pfblocker, aangezien daar veel meer feeds voor zijn. (ok uitzondering; die feeds kun je ook op je pihole draaien)

om te troubleshooten:
1. pihole eruit; pfsense doet de rest in reolv mode (meten)
2. pihole er in, pfsense op forwarder mode (meten)
3 pihole erin rechtstreeks naar cloudflare zonder pfsense (geen portforward nodig)

note: pfblocker werkt alleen in resolve mode.

Workaholic schreef op maandag 14 september 2020 @ 20:01:
[...]
Ik heb 3 VLANS (192.168.2.x/24 LAN en 172.16.108.x/24 IOT + 10.10.1.1/24 guest). Je hebt dus gelijk dat hij via de firewall weer naar de andere VLAN moet. Wellicht kan ik dit voorkomen als ik de switch port naar de raspberry 2 vlan profiles mee geef en dan ook 2 IPs icm VLANs gebruik op de pi? Geen idee of dit fout/latency gevoelig is, maar hiermee zou je het verkeer binnen hetzelfde subnet/VLAN houden en dus geen FW nodig hebben toch?

Klopt, dan blijft het verkeer binnen hetzelfde subnet en wordt deze door je switch direct naar de Pi gestuurd. Maar dan zit je Pi wel in twee verschillende netwerken en ik denk dat je juist VLANs wil gebruiken om deze te scheiden. Dat is een slechte workaround.

Google devices weigeren DHCP DNS te gebruiken.. en connecten met google . Zou forwarden hierbij helpen? Of wat verbeteren?

De meeste apparaten, zoals jouw Google Home hebben eigen dns servers geconfigureerd staan. Dat verkeer hou je nu tegen. Tenzij de Google Home nog een alternatieve manier heeft ingebouwd kan die nu geen dns gegevens opvragen. De netgate port forwarding stuurt dat verkeer (hier udp/tcp 53) door naar een ander apparaat wat wel reageert. Mogelijk dus jouw Pi hole als je de pfsense configuratie op jouw situatie aanpast aanpast.
(geen idee wat voor switch je hebt maar misschien is die ook in staat om op layer3 porten te forwarden naar een andere interface. Maar om het eenvoudig te houden mag je dit als niet geschreven aannemen)

Ik heb het liefste DHCP en DNS door mijn firewall en pihole/pi puur voor filtering / andere zaken. Registratie van de DNS etc gaat nu allemaal goed btw. Kan ook in de dashboards van de pihole mijn clients zien omdat de pihole denk ik geen externe DNS gebruikt. Conditional forwarding etc staat allemaal uit?

Wat Kabouterplop hierboven al aangaf.
Wijzig dan iig de configuratie dat je Pi hole die rechtstreeks extern (1.1.1.1) verbind i.p.v. de pfsense. En op de pfsense daarvoor een allow rule. Laat je Pi hole voor interne dns (____.lan) Kijken naar de pfsense. Dan doet je pfsense alleen nog je interne dns.
Dat is dan een verbetering t.o.v. wat je nu hebt.

Ik vergeet helemaal te vragen of je het gevoel van ‘traagheid’ meetbaar kan maken. Nu is het alleen een aanpassing wat mogelijk kan helpen. Maar zonder te weten wat nu de bottleneck is is het wel met hagel schieten op een doel. Misschien schieten we in de roos maar dat hoeft niet.

Kabouterplop01 schreef op maandag 14 september 2020 @ 21:49:
[...]

Wat buurman schreef kan voor het troubleshooten.

[ Voor 3% gewijzigd door purge op 14-09-2020 22:53 ]

Workaholic schreef op maandag 14 september 2020 @ 20:01:
[...]
edit: https://docs.netgate.com/...-requests-to-pfsense.html

Kwam bovenstaande ook nog tegen. Waarom zou je een NAT / port forward moeten gebruiken als je een block hebt op 53? Kan iemand mij nog uitleggen wat hier het nut van zou zijn? Ik zie bijvoorbeeld nu deze voorbij komen:
[Afbeelding]

Google devices weigeren DHCP DNS te gebruiken.. en connecten met google . Zou forwarden hierbij helpen? Of wat verbeteren?

Als je het blockt (wat prima kan) kan functionaliteit stuk gaan. Een app kan bijv in hebben gesteld dat er 8.8.8.8 dns moet zijn voordat bepaald functionaliteit werkt.

Als je een NAT regel (en een NAT regel terug!) instelt denkt de app dat hij dns requests van 8.8.8.8 krijgt, echter is dit eigenlijk vanaf je eigen DNS (en dus gefilterd). Functionaliteit werkt, maar alsnog geen ads

De vraag is of je nu de pihole externe dns lookups laat doen of cliënt - pihole- pfsense.

Ik lees verschillende opties / adviezen op internet hehe.

Nadeel van pihole is momenteel iig dat hij maar 1 ip heeft en in sommige subnets er nu nog een firewall / router stap tussen zit. Ga dus eerst maar is even kijken of ik twee ips en Vlans aan de praat krijg op de Pi

De traagheid is verklaarbaar.
de upstream DNS van de pihole is de pfsense en die probeert te resolven.
Als de pfsense zou forwarden dan krijgt deze het antwoord sneller terug, rechtstreeks van de authoritative DNS. Door het forwarden wordt de hele resolve stap overgeslagen. Nadeel is dat het niet in de cache wordt opgeslagen zoals een resolver dat doet. (maar dat kan dan prima worden gedaan door de Pi)

FREAKJAM schreef op maandag 10 augustus 2020 @ 18:32:
Iemand toevallig al ervaring met de ODYSSEY - X86J4105864? Er komt binnenkort ook een variant uit met 128GB SSD en een case, maar dat even terzijde.

Ik wil al geruime tijd investeren in een nieuwe netwerk setup. Ik gebruik glas van XS4ALL en wil liefst hier direct een eigen router achter hangen, daar weer een switch op aansluiten en een drietal wifi punten. Geruime tijd stond de USG4 Pro of UDM op het lijstje, maar vanwege een hoop gedoe met het werkend krijgen van IPTV, ben ik voornemens OPNSense te gaan gebruiken. Het dichtgooien van een aantal topics op het Unifi met betrekking tot de gewenste features voor de UDM/UDM Pro voorspelt ook weinig goeds. Reddit thread zelf is weer dichtgegooid (reden mij onbekend).

Ik gebruik al geruime tijd pfSense/OPNSense virtueel op mijn ESXi server, maar wil deze nu fysiek gaan draaien en hier een switch en 3 wifipunten aan toe gaan voegen. Ik heb hier en daar al wat positieve verhalen gelezen over de X86J4105864 op Reddit, maar wellicht dat er ook Tweakers zijn die er ervaring mee hebben.

Andere boxjes die op de shortlist staan:

• Protectli VAULT4
• Yangling/Minisys (unbranded variant van Protectli)
• Fitlet2
• Odroid H2+ (maar is Realtek).

Qua switch en wifipunten ga ik kiezen voor TP-Link of Unifi, dat is nog om het even

Even een reactie op mijn eigen post. Ik ben nog steeds voornemens OPNSense te verplaatsen naar een fysiek doosje. Echter twijfel ik nog heel erg tussen Unifi/TP-Link voor het WiFi-gedeelte. Wie heeft ervaringen met alle twee de merken in combinatie met een OPNSense/pfSense doosje? Ik twijfel tussen het volgende:

Unifi:

#	Category	Product	Prijs	Subtotaal
1	Netwerk switches	Ubiquiti UniFi Switch Gen 2 (16-poorts 42W PoE+)	€ 289,50	€ 289,50
1	Access points	Ubiquiti UniFi nanoHD (3-pack)	€ 453,75	€ 453,75
Bekijk collectie Importeer producten			Totaal	€ 743,25

TP-Link:

#	Category	Product	Prijs	Subtotaal
3	Access points	TP-Link EAP265 HD	€ 123,95	€ 371,85
Bekijk collectie Importeer producten			Totaal	€ 371,85

Switch (staat nog niet in pricewatch)
https://www.tp-link.com/n...da-sdn-switch/tl-sg2428p/

Waar het voor wordt gebruikt:

• Drie wifi-punten verspreid over 3 verdiepingen, ieder gevoed via PoE.
• IPTV via de switch en OPNSense
• Beheersbaar (maar dit kan zowel met Unifi als met Omada Cloud)

Zijn er bepaalde argumenten om voor Unifi of TP-link te gaan? Qua firewall opteer ik voor OPNSense/pfSense omdat ik daar naar mijn idee veel meer uit kan halen ten opzichte van een USG/UDM of een Safestream router van TP-Link. (ook rekening houdende met IPTV).

Relevante Info die ik nog heb gevonden:
TP-Link AP's: Qualcomm chipset. Zou beter zijn.
Unifi AP: Mediatek chipset

Van TP-Link zijn er al WiFi6 AP's beschikbaar, maar wat betreft de prijs denk ik (nog) niet de moeite waard. Unifi6 al een tijdje geleden aangekondigd in early access, maar dat duurt nog even naar het schijnt alvorens deze GA zijn.

[ Voor 6% gewijzigd door FREAKJAM op 15-09-2020 15:22 ]

Workaholic schreef op dinsdag 15 september 2020 @ 09:35:
De vraag is of je nu de pihole externe dns lookups laat doen of cliënt - pihole- pfsense.

Ik lees verschillende opties / adviezen op internet hehe.

Nadeel van pihole is momenteel iig dat hij maar 1 ip heeft en in sommige subnets er nu nog een firewall / router stap tussen zit. Ga dus eerst maar is even kijken of ik twee ips en Vlans aan de praat krijg op de Pi

Nogmaals :

Kijk eens naar mijn uitleg hier : nero355 in "[Pi-Hole] Ervaringen & discussie"

Werkt gewoon prima en dit is IMHO gewoon onzin :

purge schreef op maandag 14 september 2020 @ 22:47:
Klopt, dan blijft het verkeer binnen hetzelfde subnet en wordt deze door je switch direct naar de Pi gestuurd. Maar dan zit je Pi wel in twee verschillende netwerken en ik denk dat je juist VLANs wil gebruiken om deze te scheiden. Dat is een slechte workaround.

Het is geen workaround, maar de enige en juiste manier om zoiets op te zetten!

Je stelt alleen DNS beschikbaar in elk subnet en je routeert niks dus dat werkt gewoon PERFECT!

Als je bijvoorbeeld SSH en LigHTTPd ook nog eens alleen op het IP van je Management VLAN koppelt dan hoef je niet eens met IPTables aan de slag

FREAKJAM schreef op dinsdag 15 september 2020 @ 15:06:
Even een reactie op mijn eigen post. Ik ben nog steeds voornemens OPNSense te verplaatsen naar een fysiek doosje. Echter twijfel ik nog heel erg tussen Unifi/TP-Link voor het WiFi-gedeelte. Wie heeft ervaringen met alle twee de merken in combinatie met een OPNSense/pfSense doosje?

Beiden zullen prima werken, maar persoonlijk vind ik de TP-Link firmware/software best wel een zooitje sinds ik beide topics op GoT volg :
- [TP-Link Managed Access Points] Ervaringen & Discussie
- [Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 4

En sinds je de UniFi Controller binnen een VM/Container van pfSense kan draaien zou ik gewoon voor Ubiquiti kiezen

Ik twijfel tussen het volgende:

Unifi:

#	Category	Product	Prijs	Subtotaal
1	Netwerk switches	Ubiquiti UniFi Switch Gen 2 (16-poorts 42W PoE+)	€ 289,50	€ 289,50
1	Access points	Ubiquiti UniFi nanoHD (3-pack)	€ 453,75	€ 453,75
Bekijk collectie Importeer producten			Totaal	€ 743,25

TP-Link:

#	Category	Product	Prijs	Subtotaal
3	Access points	TP-Link EAP265 HD	€ 123,95	€ 371,85
Bekijk collectie Importeer producten			Totaal	€ 371,85

Switch (staat nog niet in pricewatch)
https://www.tp-link.com/n...da-sdn-switch/tl-sg2428p/

Waar het voor wordt gebruikt:

• Drie wifi-punten verspreid over 3 verdiepingen, ieder gevoed via PoE.
• IPTV via de switch en OPNSense
• Beheersbaar (maar dit kan zowel met Unifi als met Omada Cloud)

Zijn er bepaalde argumenten om voor Unifi of TP-link te gaan? Qua firewall opteer ik voor OPNSense/pfSense omdat ik daar naar mijn idee veel meer uit kan halen ten opzichte van een USG/UDM of een Safestream router van TP-Link. (ook rekening houdende met IPTV).

Relevante Info die ik nog heb gevonden:
TP-Link AP's: Qualcomm chipset. Zou beter zijn.
Unifi AP: Mediatek chipset

Van TP-Link zijn er al WiFi6 AP's beschikbaar, maar wat betreft de prijs denk ik (nog) niet de moeite waard. Unifi6 al een tijdje geleden aangekondigd in early access, maar dat duurt nog even naar het schijnt alvorens deze GA zijn.

Waarom zo duur allemaal

Een simpele UniFi AC Lite of basis In Wall model op elke verbinding moet meer dan genoeg zijn in de meeste gevallen, tenzij je echt 3x3 en 4x4 Clients hebt ?!

Ik zou of alles Ubiquity doen, of helemaal niet.
Als je niet alles van Ubiquity doet heb je ook de beheersvoordelen ervan niet.

Indien niet dan zou ik gaan voor:
Odroid H2+ router, ca. 200 euro (bordje, behuizing, voeding), zelf geheugen en SSD naar keuze toevoegen.

Switch naar keuze.

Toegangspunten: Qualcom qca9980/9984 gebaseerd: tweedehands TP-Link Archer C2600, Netgear Nighthawk X4S R7800, Linksys EA8500. Voor 40 tot 80 euro per toegangspunt ben je klaar. Wel met OpenWrt fimware.

nero355 schreef op dinsdag 15 september 2020 @ 16:38:
[...]
Het is geen workaround, maar de enige en juiste manier om zoiets op te zetten!

Je stelt alleen DNS beschikbaar in elk subnet en je routeert niks dus dat werkt gewoon PERFECT!

Als je bijvoorbeeld SSH en LigHTTPd ook nog eens alleen op het IP van je Management VLAN koppelt dan hoef je niet eens met IPTables aan de slag
[...]

Helemaal eens om ervoor te zorgen dat dns in hetzelfde subnet zit en dat de pfsense aan forwarding doet.

Hij heeft meerdere netwerken (lan, iot, guest) gemaakt met een verschillende trust zones.
Naast de firewall is de Pi een potentiële gat in deze beveiliging welke toegang kan geven tot zijn lan devices. Verder zal een apart management adres of andere layer 3 maatregelen best helpen. Op applicatie niveau kan dat niet, mogelijk draaien er zelfs services als root op de Pi.
Maar het is een thuis omgeving dus zo’n probleem hoeft het niet te zijn, dat bedoelde ik met workaround.

Heb nu alles goed werkend dankzij jullie hulp. Thanks

Het enige wat nog niet goed gaat is DNS NAT redirect via pfsense naar pihole als een host toch handmatig een andere DNS lookup doet. Bijvoorbeeld een laptop in het IoT VLAN (172x) die 8.8.8.8 als dns wilt gebruiken voor het opzoeken van apple.com (eerste keer normaal - gaat goed en 2de keer met handmatig andere DNS):



Logs komen keurig binnen op de PI (dus redirect lijkt te werken).

Sep 15 21:50:29 dnsmasq[10039]: query[A] apple.com from 172.16.108.107
Sep 15 21:50:29 dnsmasq[10039]: forwarded apple.com to 192.168.2.1
Sep 15 21:50:29 dnsmasq[10039]: reply apple.com is 17.178.96.59
Sep 15 21:50:29 dnsmasq[10039]: reply apple.com is 17.172.224.47
Sep 15 21:50:29 dnsmasq[10039]: reply apple.com is 17.142.160.59
Sep 15 21:50:31 dnsmasq[10039]: query[AAAA] apple.com from 172.16.108.107
Sep 15 21:50:31 dnsmasq[10039]: forwarded apple.com to 192.168.2.1
Sep 15 21:50:31 dnsmasq[10039]: reply apple.com is NODATA-IPv6

Maar krijg toch een timeout en geen dns reply op de laptop. Ergens gaat er dus nog iets niet goed. Het is geen ramp want ik block alle DNS lookups, maar met een redirect hoop ik toch devices die een hardcoded andere DNS gebruiken op deze manier toch nog werken middels NAT redirect.

Iemand een idee? Firewall rule + Nat forward hieronder

Kabouterplop01 schreef op dinsdag 15 september 2020 @ 22:33:
@Workaholic
[...]

NAT doen we allemaal, een port forward heb je alleen nodig als je van de buitenkant iets wil benaderen. als je dus 53tcp/udp forward zou dat voor een dns server kunnen zijn. (Ik raad het sterk af. Er zijn genoeg DNS rommel machines op het internet, DNS providers en ISP's hebben al moeite om ze goed te beveiligen laat staan jij of ik.)

Thnx voor je advies en ben het helemaal met je eens . Maar ik bedoel dus een NAT redirect INTERN dus niet vanaf WAN. Zie ook post hierboven.

[ Voor 18% gewijzigd door Workaholic op 15-09-2020 22:35 ]

@Workaholic

Kwam bovenstaande ook nog tegen. Waarom zou je een NAT / port forward moeten gebruiken als je een block hebt op 53? Kan iemand mij nog uitleggen wat hier het nut van zou zijn? Ik zie bijvoorbeeld nu deze voorbij komen:

NAT doen we allemaal, een port forward heb je alleen nodig als je van de buitenkant iets wil benaderen. als je dus 53tcp/udp forward zou dat voor een dns server kunnen zijn. (Ik raad het sterk af. Er zijn genoeg DNS rommel machines op het internet, DNS providers en ISP's hebben al moeite om ze goed te beveiligen laat staan jij of ik.)