Zelfbouw project: Firewall / Router / AP

Maar krijg toch een timeout

[ Voor 70% gewijzigd door Kabouterplop01 op 15-09-2020 23:05 ]

Workaholic schreef op dinsdag 15 september 2020 @ 22:30:
Heb nu alles goed werkend dankzij jullie hulp. Thanks

Het enige wat nog niet goed gaat is DNS NAT redirect via pfsense naar pihole als een host toch handmatig een andere DNS lookup doet. Bijvoorbeeld een laptop in het IoT VLAN (172x) die 8.8.8.8 als dns wilt gebruiken voor het opzoeken van apple.com (eerste keer normaal - gaat goed en 2de keer met handmatig andere DNS):

[Afbeelding]

Logs komen keurig binnen op de PI (dus redirect lijkt te werken).

Sep 15 21:50:29 dnsmasq[10039]: query[A] apple.com from 172.16.108.107
Sep 15 21:50:29 dnsmasq[10039]: forwarded apple.com to 192.168.2.1
Sep 15 21:50:29 dnsmasq[10039]: reply apple.com is 17.178.96.59
Sep 15 21:50:29 dnsmasq[10039]: reply apple.com is 17.172.224.47
Sep 15 21:50:29 dnsmasq[10039]: reply apple.com is 17.142.160.59
Sep 15 21:50:31 dnsmasq[10039]: query[AAAA] apple.com from 172.16.108.107
Sep 15 21:50:31 dnsmasq[10039]: forwarded apple.com to 192.168.2.1
Sep 15 21:50:31 dnsmasq[10039]: reply apple.com is NODATA-IPv6

Maar krijg toch een timeout en geen dns reply op de laptop. Ergens gaat er dus nog iets niet goed. Het is geen ramp want ik block alle DNS lookups, maar met een redirect hoop ik toch devices die een hardcoded andere DNS gebruiken op deze manier toch nog werken middels NAT redirect.

Iemand een idee? Firewall rule + Nat forward hieronder
[Afbeelding]
[Afbeelding]


[...]


Thnx voor je advies en ben het helemaal met je eens . Maar ik bedoel dus een NAT redirect INTERN dus niet vanaf WAN. Zie ook post hierboven.

[ Voor 4% gewijzigd door Melantrix op 16-09-2020 08:08 ]

Kabouterplop01 schreef op dinsdag 15 september 2020 @ 22:40:
@Workaholic
[...]


Wat zie je in je log op je pfsense?
edit:
in welk segment hangt de pihole?
in welk segment hangt de client (in dit geval de laptop, waar je de time out op krijgt)?
eddit2: Als het zo hang als in je laatste screenshot, kennen die netwerken elkaar, oftewel is de routering goed?
kun je vanaf je client de pihole pingen? Zo nee moet dat in je log zichtbaar zijn.

Melantrix schreef op woensdag 16 september 2020 @ 08:05:
[...]

Ik kan het zo niet uit je screenshots halen maar als ik je zo het probleem hoor omschrijven is er geen NAT reflection aangezet, danwel een NAT terug gemaakt.

Wat er nu gebeurd is het volgende:
Je IOT device doet een request naar 8.8.8.8. Deze komt op de firewall binnen, de firewall vertaalt deze naar je ip adres van je pihole. De pihole ontvangt vervolgens een netwerk pakketje vanaf de iot devie met destination ip die van de pihole. Dat klopt, dus de pihole neemt de vraag in behandeling en stuurt een pakketje met het antwoord terug naar je iot device. Echter gaat deze langs de firewall zonder dat er iets gebeurd. Je IOT device krijgt vervolgens dus een pakketje met als afzender de pihole. IoT device zegt, ja leuk dat je dat ook kan beantwoorden, maar ik wil het van 8.8.8.8 weten.

Als je NAT reflection aanzet, doet de Firewall ook de terugweg vertalen waardoor het voor de IoT device lijkt alsof het antwoord ook daadwerkelijk van 8.8.8.8 komt.

Let wel, ik heb OPNSense en geen PFSense. dus ik weet niet hoe je nat reflection aanzet, maar in OPNSense gaat dat doormiddel een vinkje in je natconfig.


Even gecontroleerd op mijn eigen Firewall, het gaat niet om NAT reflection (die heb ik uit staan). Daar zit het hem dus niet in

Als ik nog eens goed kijk naar je screenshots, kan je dan eens proberen om je port forward/nat regels als source te zetten !pihole?

[ Voor 4% gewijzigd door Workaholic op 16-09-2020 11:33 ]

Workaholic schreef op woensdag 16 september 2020 @ 11:32:
[...]


- Zie geen vreemde dingen in de logs voorbij komen
- client hangt in IOT subnet (172x)
- client kan pihole pingen en DNS resolve werkt dus prima.

Alles werkt dus prima BEHALVE de DNS Redirect NAT rule. Wat je dus ziet in het screenshot is de nslookup normaal zonder specificatie van de DNS server -> werkt, maar als ik dit probeer aan te passen naar een handmatige lookup via google DNS dan krijg ik een time out.

Dns lookup naar extern mag niet - dus dat klopt - ook - maar met de NAT redirect rule zou hij de aanvraag toch moeten doorsturen naar mijn pihole die wel antwoord zou moeten geven. Het vreemde is dus dat dit proces allemaal werkt en dat er zelfs pihole logs zichtbaar zijn dat de redirect lukt (maar dat er toch een time out terugkomt).


[...]


Heb ik geprobeerd aan te passen maar geen verschil. Source stond op any dus zou in principe niet uit moeten maken toch? Nog andere ideeen wat hier mis gaat? Dus nogmaals:

- Nslookup normaal werkt en gaat keurig via pihole -> pfsense -> naar buiten en terug naar de client
- Nslookup met handmatige specificatie van een andere DNS server -> werkt maar half doordat redirect wel aankomt bij pihole -> maar toch een timeout terug naar de client

[ Voor 10% gewijzigd door Vorkie op 16-09-2020 12:24 ]

Vorkie schreef op woensdag 16 september 2020 @ 11:54:
@Workaholic Maak ondertussen maar een eigen topic aan, je vraag ging namelijk eerst over hoe de experts DNS /PiHole zouden inrichten, daar hebben er een aantal op geantwoord. Het begint nu troubleshooting te worden en heeft niets meer te maken met het zelf bouwen van een firewall.

Kabouterplop01 schreef op vrijdag 25 september 2020 @ 14:31:
wow, wellicht wat duurder, maar zeer interessant:

nieuws: Specificaties van Intel NUC 11 Pro met Tiger Lake-chips met Xe-gpu ko...

voor je pfsense doosje ideaal de goedkoopste versie.

Tom Paris schreef op zondag 27 september 2020 @ 21:58:
Houd er wel rekening mee dat de i225 NICs nog niet ondersteund worden door FreeBSD

Tom Paris schreef op maandag 28 september 2020 @ 14:27:
@SgtElPotato Deze setup is hier al meerdere malen besproken. Als je zoekt op bijv. 'ESXi' in dit topic zul je eea tegenkomen. Een hypervisor (ESXi) met daarop 1x pfSense en 1x Ubuntu voldoet aan je wensen, maar het is wel een uitzoekwerkje als je aangeeft gebrekkige ervaring te hebben. Ik raad altijd aan je setup achter een bestaande router/firewall te creëren en pas direct aan het internet te hangen als je zeker bent dat alles goed en veilig is geconfigureerd.

SgtElPotato schreef op maandag 28 september 2020 @ 14:35:
Dank voor je reactie. Uiteraard draai ik alles eerst intern, moet mijn kennis van pfSense weer even goed opfrissen.

[ Voor 68% gewijzigd door Rayures op 29-05-2024 11:25 . Reden: bios mod + nvme ]

Rayures schreef op woensdag 7 oktober 2020 @ 13:54:
een lxc voor dns (Adguard (DOT :-) ).

MuVo schreef op woensdag 7 oktober 2020 @ 17:56:
Aaah heb mijn Pfsense te dicht staan voor Google Chrome cast... dat krijg je in een Apple huishouden (iPhones en Apple TV). Om Google Chrome cast te laten werken moet ik Ping en Google’s dns 8.8.8.8 toestaan in de rules. (Hij pakt even mijn dns redirect niet naar mijn local dns). Wat een bagger product is het ook, de basis functionaliteit is prima maar het onderwater call home gebeuren is gewoon ruk.

MuVo schreef op woensdag 7 oktober 2020 @ 17:56:
Wat een bagger product is het ook, de basis functionaliteit is prima maar het onderwater call home gebeuren is gewoon ruk.

Tom Paris schreef op woensdag 7 oktober 2020 @ 18:23:
[...]
Ik ben niet heel bekend met Adguard, maar waarom zou je de Adguard DNS servers icm DoT niet direct in pfSense kunnen invoeren?
[...]

Rayures schreef op woensdag 7 oktober 2020 @ 13:54:
niet helemaal zelfbouw, maar ik heb deze week deze binnen gekregen

Partaker I29 Industrial Mini PC
[Afbeelding]
[Afbeelding]
http://www.inctel.com.cn/product/detail/570.html

Ik heb de i5 8265u (4core, 8 thread), 6x i211, variant met 16GB DDR4 en 512GB mSATA. Totaal ong 300 euro kwijt.
/edit: wat opvalt is dat de werkelijk aanwezige CPU niet de 8265u is, maar de 8365u
intel ark compare

Eerste testen zijn positief. BIOS lijkt volledig unlocked, kan het systeem geheel instellen. ook de power limits etc.
Qua verbruik zag ik met een no-name 12v adapter 7-9W AC. (usb, lan, monitor aangesloten en actief). Zowel in Win10 2004 als in Proxmox (debian 10) (met powertop). Alle hardware wordt goed herkent en werkt zonder bijzondere inspanning.

Voor dit systeem gekozen na enige voor-inventarisatie nav dit topic. Waar ik de Fitlet, Protecli en Qotom ook enigzins underpowered* vond (o.a. de j3455). Met dit i5 systeem hoop ik de komende 5 jaar zonder performance issues door te kunnen komen doordat single thread performance ong 5x zo veel is tov mijn huidige APU2C4

*puur gekeken naar single thread performance tov APU2C4 (AMD 412-TC).

Systeem zal proxmox gaan draaien met pfsense VM (waarschijnlijk 2 nic passthrough), een docker vm voor 24/7 containers en een lxc voor dns (Adguard (DOT :-) ). Dit ter vervanging van een soortgelijke gelijke inrichting op mijn huidige APU2C4 (met Esxi).

Tom Paris schreef op woensdag 7 oktober 2020 @ 18:23:
[...]


Ik ben niet heel bekend met Adguard, maar waarom zou je de Adguard DNS servers icm DoT niet direct in pfSense kunnen invoeren?


[...]


Ping en DNS direct naar Google zijn absoluut geen voorwaarde voor een Chromecast. In mijn netwerk mag dat ook niet (niet in het segment waar de Chromecast in zit iig ), en de Chromecast werkt alsnog perfect. Heb je verschillende VLANs of subnetten? Waarschijnlijker is een beperking van multicast verkeer tussen VLANs/subnetten. Daar kun je o.a. Avahi voor inzetten.

Mich schreef op vrijdag 9 oktober 2020 @ 08:16:
Een vraag voor de kenners. Ik lees in dit topic vaak dat de i210 netwerk controller meer voordelen heeft dan een i211. Geld dit ook voor dit soort systemen met vrij krachtige cpu en genoeg ram? Dit lijkt me een mooie PC namelijk!

Rayures schreef op zondag 11 oktober 2020 @ 22:12:
i211 doet aan offloading. o.a. TSO staat netjes in de datasheet.
LSO/GSO zijn alternatieve namen voor TSO.

[ Voor 29% gewijzigd door nero355 op 11-10-2020 23:50 ]

Theone098 schreef op zondag 11 oktober 2020 @ 17:35:
Sinds een week of 2 geeft pfsense aan dat de iptv gateway offline is. TV werkt prima, opnemen en terugkijken ook.

Een probleem: Met TV kijken zie ik elke ~10 minuten de datarate naar 0 gaan (beeld stottert / staat stil even als geluid).

Behalve dat lijkt alles goed te werken. Een restart heeft niet geholpen.

Iemand een tip?

wicked_fool schreef op zondag 11 oktober 2020 @ 21:07:
[...]


Ik ben sinds vandaag ook over gegaan van een USG naar pfsense en zie ongeveer hetzelfde gedrag.

Bij mij hangt het beeld na ongeveer 5 minuten even vast. Bij de tweede keer krijg je de melding in beeld dat je moet zappen naar een andere zender (als je dit doet werkt het weer ongeveer 5 minuten).

Theone098 schreef op zondag 11 oktober 2020 @ 21:14:
[...]

Die melding krijg ik ook af en toe. Het vreemde is dat dit niet altijd gebeurd en ook niet bij alle zenders. Heb net zonder problemen 30 minuten naar een zender gekeken.

nero355 schreef op vrijdag 9 oktober 2020 @ 19:00:
Ik zou altijd voor een NIC met Offloading kiezen indien mogelijk

wicked_fool schreef op zondag 11 oktober 2020 @ 22:10:
[...]


Wat heb je al allemaal geprobeerd? Ik kan verder ook niet echt dingen vinden waaraan het kan liggen.

Theone098 schreef op zondag 11 oktober 2020 @ 22:13:
[...]

Het heeft goed gewerkt. Toen ik terug kwam van vakantie was dit de situatie. In de logs kan ik niet veel zinnigs vinden en de config is niet gewijzigd in de tussentijd.

Theone098 schreef op zondag 11 oktober 2020 @ 17:35:
Sinds een week of 2 geeft pfsense aan dat de iptv gateway offline is. TV werkt prima, opnemen en terugkijken ook.

Een probleem: Met TV kijken zie ik elke ~10 minuten de datarate naar 0 gaan (beeld stottert / staat stil even als geluid).

Behalve dat lijkt alles goed te werken. Een restart heeft niet geholpen.

Iemand een tip?

ik222 schreef op zondag 11 oktober 2020 @ 22:36:
[...]

Dat de IPTV gateway sinds een paar weken als offline wordt weergegeven klopt, dat heb ik ook maar is verder geen probleem. Men lijkt bij KPN op die routers simpelweg niet meer op pings te reageren, dat is alles. Eventueel kun je in pfSense die ICMP gateway monitoring uitschakelen zoals ik heb gedaan, dan ben je van die offline melding af maar hoe dan ook heeft het dus geen invloed.

Multicast streams die ergens rond de 10 minuten stoppen heeft vaak te maken met een missende firewall regel voor IGMP inkomend op WAN VLAN 4.

Zie je echt geen enkele melding in je firewall / igmpproxy log op het moment dat het gebeurt? En inderdaad, welke switches gebruik je?

[ Voor 55% gewijzigd door ik222 op 12-10-2020 07:08 ]

ik222 schreef op zondag 11 oktober 2020 @ 22:36:
[...]

Dat de IPTV gateway sinds een paar weken als offline wordt weergegeven klopt, dat heb ik ook maar is verder geen probleem. Men lijkt bij KPN op die routers simpelweg niet meer op pings te reageren, dat is alles. Eventueel kun je in pfSense die ICMP gateway monitoring uitschakelen zoals ik heb gedaan, dan ben je van die offline melding af maar hoe dan ook heeft het dus geen invloed.

Multicast streams die ergens rond de 10 minuten stoppen heeft vaak te maken met een missende firewall regel voor IGMP inkomend op WAN VLAN 4.

Zie je echt geen enkele melding in je firewall / igmpproxy log op het moment dat het gebeurt? En inderdaad, welke switches gebruik je?

[ Voor 15% gewijzigd door Theone098 op 12-10-2020 08:49 ]

ik222 schreef op maandag 12 oktober 2020 @ 07:03:
Dat is handig inderdaad, dan is er iets makkelijker te kijken wat er mogelijk mis gaat.

/Edit: Check ook even de laatste post in dit topic [Ubiquiti & IPTV] Ervaringen & Discussie

Het wegvallen na 260s zou mogelijk iets in die switches zijn (al dan niet na een update?)

[ Voor 8% gewijzigd door wicked_fool op 12-10-2020 10:11 . Reden: IP options stonden niet aan op WAN interfaces ]

Rayures schreef op maandag 12 oktober 2020 @ 10:37:
wellicht is dit niet het juiste topic om iptv te troubleshooten....

ik222 schreef op maandag 12 oktober 2020 @ 10:49:
@wicked_fool Dat van die missende options op de IGMP rule viel mij direct op in elk geval, dat moet wel echt aan staan en zou best je probleem kunnen verklaren.

Verder zou ik bij de outgoing NAT mappings al die source adressen weghalen, gewoon alles wat via de WAN_IPTV interface naar buiten gaat moet geNAT worden.

Verder zie ik zo geen gekke dingen.

Uberprutser schreef op maandag 28 september 2020 @ 08:38:
[...]

Duw je er vSphere op; in de nieuwste versie (7.0U1) zitten de i225 NUC drivers ingebakken.

Rayures schreef op woensdag 7 oktober 2020 @ 13:54:
niet helemaal zelfbouw, maar ik heb deze week deze binnen gekregen

Partaker I29 Industrial Mini PC
[Afbeelding]
[Afbeelding]
http://www.inctel.com.cn/product/detail/570.html

Ik heb de i5 8265u (4core, 8 thread), 6x i211, variant met 16GB DDR4 en 512GB mSATA. Totaal ong 300 euro kwijt.

/edit: wat opvalt is dat de werkelijk aanwezige CPU niet de 8265u is, maar de 8365u
intel ark compare
/edit2: i211 doet ook cpu-offloading, o.a. TSO staat netjes in de datasheet.
LSO/GSO zijn alternatieve namen voor TSO subsets.

Eerste testen zijn positief. BIOS lijkt volledig unlocked, kan het systeem geheel instellen. ook de power limits etc.
Qua verbruik zag ik met een no-name 12v adapter 7-9W AC. (usb, lan, monitor aangesloten en actief). Zowel in Win10 2004 als in Proxmox (debian 10) (met powertop). Alle hardware wordt goed herkent en werkt zonder bijzondere inspanning.

/edit3: het vrijgeven van TDP lukt in bios en met Intel XTU. Een benchmark kan gedraaid worden zonder throttling, koeling gaat dan ook best goed. In Bios lukt het (nog) niet om een vcore undervolt te doen (geen optie?) via XTU kan en lukt dat wel.

Voor dit systeem gekozen na enige voor-inventarisatie nav dit topic. Waar ik de Fitlet, Protecli en Qotom ook enigzins underpowered* vond (o.a. de j3455). Met dit i5 systeem hoop ik de komende 5 jaar zonder performance issues door te kunnen komen doordat single thread performance ong 5x zo veel is tov mijn huidige APU2C4

*puur gekeken naar single thread performance tov APU2C4 (AMD 412-TC).

Systeem zal proxmox gaan draaien met pfsense VM (waarschijnlijk 2 nic passthrough), een docker vm voor 24/7 containers en een lxc voor dns (Adguard (DOT :-) ). Dit ter vervanging van een soortgelijke gelijke inrichting op mijn huidige APU2C4 (met Esxi).

//edit:

[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]
[Afbeelding]

fototje van de binnenkant.
-er is een cpu_fan aansluiting aanwezig. (linksboven).
-header voor poweron na powerloss.
-header voor intel hd audio (Front Panel Header "FP1")
-header voor iet anders2 ["VR_DL1"] -> uit te zoeken.

Mich schreef op zondag 18 oktober 2020 @ 14:34:
[...]
en dan pfsense/opnsense in een docker te draaien.

Mich schreef op zondag 18 oktober 2020 @ 14:34:
[...]
Tevens een adguard docker (tenzij ik een soortgelijke integratie vind in pfsense.)

Mich schreef op zondag 18 oktober 2020 @ 14:34:
[...]
Omdat mijn kennis op dit gebied nog niet zo groot is dacht ik zelf om linux (laatste ubuntu) te installeren

[ Voor 16% gewijzigd door Rayures op 28-10-2020 12:18 ]

daanb14 schreef op zondag 1 november 2020 @ 11:29:
Ik ben als student netwerk engineering op zoek naar een goede firewall voor thuis. Ik ben niet tevreden met de firewall van mijn Ubiquiti Edgerouter 4 en ik wil dus wat beters hebben. Ik ben inmiddels gewend aan werken met Fortinet FortiGate firewalls. Al gauw kom je voor thuis dan uit op pfSense.
[...]

[ Voor 9% gewijzigd door Tomba op 01-11-2020 13:05 ]

Tomba schreef op zondag 1 november 2020 @ 12:33:
[...]

Deze opmerking vond ik wel bijzonder, ik heb al een klein jaartje niet meer met pfSense gewerkt maar dat is toch totaal geen vergelijk met een FortiGate? Als je t geld voor een Forti niet hebt zou ik eerder opteren voor Sophos UTM, draai ik zelf al jaren tot grote tevredenheid. (Inmiddels snort hier een FortiGate 60F dus tegenwoordig doet die eigenlijk alleen nog Reverse Proxy voor wat thuis gehoste websites)

daanb14 schreef op zondag 1 november 2020 @ 11:29:
Ook overweeg ik een router van Netgate zelf. Ik krijg volgend jaar 1Gbit/s up en down glasvezel thuis. Ik weet niet of ik dan een SG-3100 nodig zou hebben of dat een SG-2100 dan genoeg zou zijn. Het valt mij op dat de routers van Netgate lastig te krijgen zijn hier in Nederland.

Is een Protectli vault een goede keuze? En verder, is een router van Netgate toch hier ergens te krijgen en heb ik dan de SG-2100 of toch de SG-3100 nodig?

Tomba schreef op zondag 1 november 2020 @ 12:33:
[...]

Deze opmerking vond ik wel bijzonder, ik heb al een klein jaartje niet meer met pfSense gewerkt maar dat is toch totaal geen vergelijk met een FortiGate? Als je t geld voor een Forti niet hebt zou ik eerder opteren voor Sophos UTM, draai ik zelf al jaren tot grote tevredenheid. (Inmiddels snort hier een FortiGate 60F dus tegenwoordig doet die eigenlijk alleen nog Reverse Proxy voor wat thuis gehoste websites)

purge schreef op zondag 1 november 2020 @ 14:10:
[...]


Netgate verkoopt ook via distributeurs. voleatech.de is een premier distributeur in Duitsland. Volgens mij zit er ook een (select) distributeur in belgië.

Voor gigabit routing voldoet een 2100. (wellicht zelfs de 1100). Voor eenvoudige routing en simpele firewall regels volstaan deze best. Wil je gebruik maken zaken die wat meer van een cpu vragen, als Snort (IDS) of VPN en een reverse proxy waarbij je SSL offloading wilt toepassen. Dan is een wat betere cpu wel handig. Vooral voor Gigabit.

Op youtube zijn veel reviews te vinden over de Netgate apparaten. Die man van Lawrence systems vind ik altijd heel eerlijk overkomen. Zelf maak ik ook gebruik van een Netgate appliance. Echter heb ik geen ervaring met de 2100.

daanb14 schreef op zondag 1 november 2020 @ 11:29:
Ik ben als student netwerk engineering op zoek naar een goede firewall voor thuis. Ik ben niet tevreden met de firewall van mijn Ubiquiti Edgerouter 4 en ik wil dus wat beters hebben. Ik ben inmiddels gewend aan werken met Fortinet FortiGate firewalls. Al gauw kom je voor thuis dan uit op pfSense. Ik ben momenteel aan het kijken naar een 4-poorts Protectli-vault met een Celeron J3160. Deze worden bij Amazon verkocht door Protectli zelf.

Ook overweeg ik een router van Netgate zelf. Ik krijg volgend jaar 1Gbit/s up en down glasvezel thuis. Ik weet niet of ik dan een SG-3100 nodig zou hebben of dat een SG-2100 dan genoeg zou zijn. Het valt mij op dat de routers van Netgate lastig te krijgen zijn hier in Nederland.

Is een Protectli vault een goede keuze? En verder, is een router van Netgate toch hier ergens te krijgen en heb ik dan de SG-2100 of toch de SG-3100 nodig?

Theone098 schreef op zondag 1 november 2020 @ 15:15:
[...]

Een Edgerouter doet, denk ik, hetzelfde als alle andere firewalls. Pas als je extra zaken, zoals virusscanning, IDS/IPS, proxies, VPN en dergelijke wilt toevoegen moet je een keuze maken. Plaats je dit achter de firewall en router je alle verkeer via die route of koop je een andere appliance die dit kan.

Ik had een Palo Alto (met webdecryptie en de hele mikmak), maar die licenses zijn zo duur dat ik daarmee ben gestopt en via een Mikrotik naar PFSense overgestapt. Toch voelt het altijd nog een beetje als het rondlopen met een te wijde broek zonder riem. Als het iemand lukt dichtbij te komen, loop je in je blote gat.
Maar goed, de LAN beveiliging maar een beetje opgeschroefd in de hoop ze te vertragen en er dan op tijd achter te komen.

daanb14 schreef op zondag 1 november 2020 @ 13:56:
[...]

Een FortiGate wordt wel prijzig idd. Ik zou ook zo niet weten welke licentie je nodig hebt om het ding goed te laten draaien.

Ankh schreef op zondag 1 november 2020 @ 14:36:
[...]

Ik heb zelf ook al even een keertje gekeken naar Sophos. Enkel vroeg ik me af hoe Sophos met PPPOE omgaat, onder water is een RedHat distro zover ik heb gezien (RPM updates), waardoor PPPOE mogelijk beter werkt dan in PFsense (freebsd).

[ Voor 31% gewijzigd door Tomba op 01-11-2020 18:45 ]

Tomba schreef op zondag 1 november 2020 @ 18:43:
[...]

Voor een 40F met Advanced Threat Protection voor 5 jaar moet je zo’n €1250 rekenen (€750 voor t apparaat incl. Hardware en €500 voor de ATP licentie, UTM wordt nog duurder...)


[...]

PPPoE werkt dikke prima (heb xs4all glasvezel hier en die hebben dat ook), al neemt de Forti dat nu voor zijn rekening

Pietsnot56 schreef op zaterdag 31 oktober 2020 @ 16:14:
Ik stond enkele maanden voor een gelijkaardige beslissing. Toen heb ik geopteerd voor een zelfbouw appliance 4 G 4 ports celeron 64 G ssd, omdat ik van oordeel was dat de Netgates in vergelijkbare prijs hardwarematig lichter uitgerust zijn. Alles hangt er vanaf wat je wil doen en hoe uitgebreid uw netwerk is.
Bij Netgate anderzijds kan je van support genieten.

Leercurve? De Pfsense beschikt over enorm veel mogelijkheden, al dan niet nuttig bij uw eigen netwerk.
Er zijn een pak parameters aanwezig die hier terug al dan niet van toepassing zijn binnen uw omgeving.

De basisopstelling is straightforward;
Vanaf dag 1 werd mijn homerouter vervangen door de appliance en draait intussen zonder uitvallen.
De verdere uitbouw hangt af van uw it-kennis en vertrouwdheid met firewall's.
Ik heb dit stap voor stap gedaan en telkenmale gebruik gemaakt van de backup/restore mogelijkheid van de configs.. Het heeft mij wel gedwongen mij wat te verdiepen in de materie. Gelukkig valt veel terug te vinden op het net..

[ Voor 14% gewijzigd door wian op 01-11-2020 20:07 ]

Sppak schreef op zondag 1 november 2020 @ 19:25:
[...]

Bedankt, dat klinkt goed te doen. Ik twijfel tussen Pfsense en Unifi, maar Unifi schrikt af vanwege de issues met firmware, phone-home en beperkingen.

Mijn netwerk is niet spannend, maar ik wil het wel eens een keer goed inrichten. Modem in bridge, router, 2x switch (managed) en 1 of 2 AP's (managed). Waar ik dan nog even moet kijken welke switches en AP's en hoe dit dan precies koppelt aan Pfsense.

MuVo schreef op maandag 2 november 2020 @ 09:24:
Unifi Wifi vereist tegenwoordig wel wat finetuning, zie posts vanaf 30 oktober tot nu in [Ubiquiti-apparatuur] Ervaringen & Discussie - Deel 4 .

Maar als het goed staat ingesteld en de controller software werkt, dan werkt het ook snel en goed. Dit in combinatie met Pfsense.

Tomba schreef op dinsdag 3 november 2020 @ 07:30:
[...]

Ja en nee, Unifi is echt heel mooi Prosumer spul, maar heeft gewoon af en toe irritante quirks. En ze richten zich op teveel paarden. waardoor eigenlijk alleen hun echte cashcows goede support krijgen. Persoonlijk zou ik nooit een Ubiquiti FW nemen (want die zijn gewoon te weinig in te stellen en zodra je iets als IDS aanzet gaat je performance naar de k.), maar de WiFi gebruik ik al een jaar of 2-3 tot grote tevredenheid. Wel ben ik aan het overstappen op Aruba (veel meer instel opties en ik kan de opgedane kennis daadwerkelijk toepassen op mijn werk), onder andere omdat Ubiquiti van die rare fratsen uithaalt waardoor je WiFi niet werkt

MuVo schreef op dinsdag 3 november 2020 @ 07:47:
[...]


Wat is Aruba?

Tomba schreef op dinsdag 3 november 2020 @ 08:21:
[...]

Aruba Wireless is de Campus WiFi oplossing van HPe, zie:
https://www.arubanetworks.com/

Ankh schreef op dinsdag 3 november 2020 @ 09:00:
@Tomba Dan ga ik er wel vanuit dat je niet de Aruba Instant On gebruikt maar het iets hogere segment?
Zelf heb ik Aruba Instant On AP (AP11), maar ik kan bar weinig instellen...

Bierkameel schreef op dinsdag 3 november 2020 @ 09:01:
Ik ben zelf van volledig Unifi overgestapt naar Aruba Instant On: https://www.arubainstanton.com/files/SO_AIO.pdf
Bevalt me supergoed, cloud managed AP's zonder maandelijkse kosten en worden automatisch geupdate, en nog geen enkel probleem mee gehad terwijl het bij Unifi weleens fout ging met bepaalde firmwares.

Tomba schreef op zondag 1 november 2020 @ 18:43:
[...]

Voor een 40F met Advanced Threat Protection voor 5 jaar moet je zo’n €1250 rekenen (€750 voor t apparaat incl. Hardware en €500 voor de ATP licentie, UTM wordt nog duurder...)

[ Voor 5% gewijzigd door Uberprutser op 03-11-2020 09:52 ]

Uberprutser schreef op dinsdag 3 november 2020 @ 09:50:
[...]

De IPS performance van de Fortigate broodtrommels is niet altijd even consistent. Heb een aantal 61F's met 360 bundel draaien en performance kakt soms onverklaarbaar in. Bij de VM series heb ik dit nooit gezien (hebben 1000+ van beide draaien in verschillende smaken).

Tomba schreef op dinsdag 3 november 2020 @ 10:32:
[...]

Dan loop je waarschijnlijk tegen de geheugen limiet aan (of 1 van de tig bugs in FortiOS....), dat ding heeft om onbegrijpelijke redenen maar 2GB RAM

[ Voor 3% gewijzigd door Uberprutser op 03-11-2020 10:51 ]

Melantrix schreef op maandag 2 november 2020 @ 19:17:
Om even een ander signaal af te geven! Ik draai thuis met opnsense en unifi (4 switches en 2 aps) en draai op de (bijna) meest recente firmware versie (iig 6.x) en ik heb echt nul problemen. Issues bij unifi zijn echt geen reden om er van weg te blijven als je dat trekt tbh. Ik heb dan geen gateway maar al t andere werkt echt top.

wian schreef op dinsdag 3 november 2020 @ 11:44:
[...]

Ik heb vorig jaar wel een flink probleem gehad met een update. Toen werd wifi instabiel en moesten tijdelijk enkele features uitgezet worden (ik geloof netwerk optimalisatie). En eerder dit jaar moest ik na een update opnieuw de WiFi scheduling instellen (automatisch aan/uitzetten van bepaalde SSIDs).
[..]

Rayures schreef op woensdag 7 oktober 2020 @ 13:54:
niet helemaal zelfbouw, maar ik heb deze week deze binnen gekregen

Partaker I29 Industrial Mini PC
[Afbeelding]
[Afbeelding]
http://www.inctel.com.cn/product/detail/570.html

Ik heb de i5 8265u (4core, 8 thread), 6x i211, variant met 16GB DDR4 en 512GB mSATA. Totaal ong 300 euro kwijt.

/edit: wat opvalt is dat de werkelijk aanwezige CPU niet de 8265u is, maar de 8365u
intel ark compare
/edit2: i211 doet ook cpu-offloading, o.a. TSO staat netjes in de datasheet.
LSO/GSO zijn alternatieve namen voor TSO subsets.

Eerste testen zijn positief. BIOS lijkt volledig unlocked, kan het systeem geheel instellen. ook de power limits etc.
/edit3: het vrijgeven van TDP lukt in bios en met Intel XTU. Een benchmark kan gedraaid worden zonder throttling, koeling gaat dan ook best goed. In Bios lukt het (nog) niet om een vcore undervolt te doen (geen optie?) via XTU kan en lukt dat wel.
/edit4: toch niet helemaal unlocked. Er zitten aardig wat opties verborgen, echter is het redelijk gemakkelijk om de bios te editen en te flashen. Zo kan igpu memory toewijzing (gtt size, aperture size) zichtbaar maken (handig voor GVT-G in proxmox). Het submenu 'overclocking performance menu' lukt nog niet om zichtbaar te maken, maar ik kan wel de instellingen aanpassen en de aangepaste bios flashen (bijv Core Voltage Offset -0.100)
/edit5: BIOS weten te modden zodat ook het 'Overclocking performance menu' en nog veel meer zichtbaar is :-) Nu is ook o.a. vcore aanpassen vanuit bios setup mogelijk
[Afbeelding]
DOWNLOAD

Qua verbruik zag ik met een no-name 12v adapter 7-9W AC. (usb, lan, monitor aangesloten en actief). Zowel in Win10 2004 als in Proxmox (debian 10) (met powertop). Alle hardware wordt goed herkent en werkt zonder bijzondere inspanning.

Voor dit systeem gekozen na enige voor-inventarisatie nav dit topic. Waar ik de Fitlet, Protecli en Qotom ook enigzins underpowered* vond (o.a. de j3455). Met dit i5 systeem hoop ik de komende 5 jaar zonder performance issues door te kunnen komen doordat single thread performance ong 5x zo veel is tov mijn huidige APU2C4

*puur gekeken naar single thread performance tov APU2C4 (AMD 412-TC).

Systeem zal proxmox gaan draaien met pfsense VM (waarschijnlijk 2 nic passthrough), een docker vm voor 24/7 containers en een lxc voor dns (Adguard (DOT :-) ). Dit ter vervanging van een soortgelijke gelijke inrichting op mijn huidige APU2C4 (met Esxi).

//edit:

[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]
[Afbeelding]

fototje van de binnenkant.
-er is een cpu_fan aansluiting aanwezig. (linksboven).
-header voor poweron na powerloss.
-header voor intel hd audio (Front Panel Header "FP1")
-header voor iet anders2 ["VR_DL1"] -> uit te zoeken.

[ Voor 80% gewijzigd door Tomba op 03-11-2020 15:45 ]

Tomba schreef op dinsdag 3 november 2020 @ 11:55:
[...]

Dit is dus exact waar ik (en velen met mij) een probleem mee hebben
(PS Ik adviseer je sowieso om die Netwerk Optimalisatie uit te zetten, dat doet meer kwaad dan goed)

maar goed genoeg offtopic nu


[...]

Wat een ontzettend gaaf ding zeg, die zal wel goed performen! Bevalt ie nog steeds goed?

[ Voor 4% gewijzigd door Mich op 04-11-2020 19:12 ]

Pietsnot56 schreef op zaterdag 31 oktober 2020 @ 16:14:
Ik stond enkele maanden voor een gelijkaardige beslissing. Toen heb ik geopteerd voor een zelfbouw appliance 4 G 4 ports celeron 64 G ssd, omdat ik van oordeel was dat de Netgates in vergelijkbare prijs hardwarematig lichter uitgerust zijn. Alles hangt er vanaf wat je wil doen en hoe uitgebreid uw netwerk is.
Bij Netgate anderzijds kan je van support genieten.

Leercurve? De Pfsense beschikt over enorm veel mogelijkheden, al dan niet nuttig bij uw eigen netwerk.
Er zijn een pak parameters aanwezig die hier terug al dan niet van toepassing zijn binnen uw omgeving.

De basisopstelling is straightforward;
Vanaf dag 1 werd mijn homerouter vervangen door de appliance en draait intussen zonder uitvallen.
De verdere uitbouw hangt af van uw it-kennis en vertrouwdheid met firewall's.
Ik heb dit stap voor stap gedaan en telkenmale gebruik gemaakt van de backup/restore mogelijkheid van de configs.. Het heeft mij wel gedwongen mij wat te verdiepen in de materie. Gelukkig valt veel terug te vinden op het net..

Mich schreef op woensdag 4 november 2020 @ 19:10:
[...]
@Rayures : heb je die bios zelf gemod? Of heb je hem ergens gevonden op internet? Zit te twijfelen of ik hem durf te flashen.

1

https://1drv.ms/u/s!As78E6fkkOiJgRDDGM1O_dBrpdsj?e=rqtj1B

1

flashrom -p internal -r FILENAME.ROM

Tomba schreef op dinsdag 3 november 2020 @ 11:55:
[...]
Wat een ontzettend gaaf ding zeg, die zal wel goed performen! Bevalt ie nog steeds goed?

1

[5]   0.00-10.00  sec  6.38 GBytes  5.48 Gbits/sec

[ Voor 44% gewijzigd door Rayures op 09-11-2020 20:47 ]

Pietsnot56 schreef op woensdag 11 november 2020 @ 09:45:
Hi,
Bij de verdere uitbouw heb ik ook Openvpn geimplementeerd.
De opbouw van de tunnel lijkt juist geconfigureerd op win10, ipad en iphone.
Het vpn symbool kleurt groen bij alle drie de clients en op de pfsense zie ik dat de client(s) een verbinding opgebouwd heeft.
Met een win10 heb ik ook een vpn tunnel kunnen opbouwen naar een remote nas en met de filebrowser kon ik op ip-adres de bestanden benaderen.
Nu probeer ik ook met mijn iphone (zonder wifi) via openvpn mijn eigen nas te bereiken.
Niettegenstaande de tunnel correct lijkt opgebouwd te zijn, blijft de filebrowser “rondjes draaien”.
Ik krijg dus geen toegang tot de nas. Een gelijkaardige test naar een shared map op een win10 heeft hetzelfde resultaat.
Het lijkt erop dat pfsense dit tegenhoudt.
De enige wan regel is
.27 MiB
IPv4 UDP * * WAN address 1194 (OpenVPN) * geen OpenVPN over pfSense wizard

Enig idee wat er nog verkeerd is?

Rayures schreef op woensdag 7 oktober 2020 @ 13:54:
niet helemaal zelfbouw, maar ik heb deze week deze binnen gekregen

Partaker I29 Industrial Mini PC
[Afbeelding]
[Afbeelding]
http://www.inctel.com.cn/product/detail/570.html

Ik heb de i5 8265u (4core, 8 thread), 6x i211, variant met 16GB DDR4 en 512GB mSATA. Totaal ong 300 euro kwijt.

/edit: wat opvalt is dat de werkelijk aanwezige CPU niet de 8265u is, maar de 8365u
intel ark compare
/edit2: i211 doet ook cpu-offloading, o.a. TSO staat netjes in de datasheet.
LSO/GSO zijn alternatieve namen voor TSO subsets.

Eerste testen zijn positief. BIOS lijkt volledig unlocked, kan het systeem geheel instellen. ook de power limits etc.
/edit3: het vrijgeven van TDP lukt in bios en met Intel XTU. Een benchmark kan gedraaid worden zonder throttling, koeling gaat dan ook best goed. In Bios lukt het (nog) niet om een vcore undervolt te doen (geen optie?) via XTU kan en lukt dat wel.
/edit4: toch niet helemaal unlocked. Er zitten aardig wat opties verborgen, echter is het redelijk gemakkelijk om de bios te editen en te flashen. Zo kan igpu memory toewijzing (gtt size, aperture size) zichtbaar maken (handig voor GVT-G in proxmox). Het submenu 'overclocking performance menu' lukt nog niet om zichtbaar te maken, maar ik kan wel de instellingen aanpassen en de aangepaste bios flashen (bijv Core Voltage Offset -0.100)
/edit5: BIOS weten te modden zodat ook het 'Overclocking performance menu' en nog veel meer zichtbaar is :-) Nu is ook o.a. vcore aanpassen vanuit bios setup mogelijk
[Afbeelding]
DOWNLOAD

Qua verbruik zag ik met een no-name 12v adapter 7-9W AC. (usb, lan, monitor aangesloten en actief). Zowel in Win10 2004 als in Proxmox (debian 10) (met powertop). Alle hardware wordt goed herkent en werkt zonder bijzondere inspanning.

Voor dit systeem gekozen na enige voor-inventarisatie nav dit topic. Waar ik de Fitlet, Protecli en Qotom ook enigzins underpowered* vond (o.a. de j3455). Met dit i5 systeem hoop ik de komende 5 jaar zonder performance issues door te kunnen komen doordat single thread performance ong 5x zo veel is tov mijn huidige APU2C4

*puur gekeken naar single thread performance tov APU2C4 (AMD 412-TC).

Systeem zal proxmox gaan draaien met pfsense VM (waarschijnlijk 2 nic passthrough), een docker vm voor 24/7 containers en een lxc voor dns (Adguard (DOT :-) ). Dit ter vervanging van een soortgelijke gelijke inrichting op mijn huidige APU2C4 (met Esxi).

//edit:

[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]
[Afbeelding]

fototje van de binnenkant.
-er is een cpu_fan aansluiting aanwezig. (linksboven).
-header voor poweron na powerloss.
-header voor intel hd audio (Front Panel Header "FP1")
-header voor iet anders2 ["VR_DL1"] -> uit te zoeken.

Tom Paris schreef op dinsdag 8 december 2020 @ 10:37:
Ik zou nog steeds tegen Realtek adviseren, maar de aanstaande 2.5 release van pfSense zal de laatste Realtek-driver gaan bevatten. Daarmee o.a. native ondersteuning voor de 2.5Gbit NICs.

Tom Paris schreef op dinsdag 8 december 2020 @ 10:37:
Ik zou nog steeds tegen Realtek adviseren, maar de aanstaande 2.5 release van pfSense zal de laatste Realtek-driver gaan bevatten. Daarmee o.a. native ondersteuning voor de 2.5Gbit NICs.

Videopac schreef op zondag 13 december 2020 @ 19:37:
[...]

Waarom niet? Realtek NICs zijn stabiel, ondersteunen hw offloading, zijn betaalbaar etc. etc.

Hakker schreef op maandag 14 december 2020 @ 15:20:
[...]

Dat zijn problemen die er nog waren uit de FreeBSD 9 tijd toen realtek drivers brak waren. Dat is al jaren niet meer het geval.

Rayures schreef op woensdag 7 oktober 2020 @ 13:54:
niet helemaal zelfbouw, maar ik heb deze week deze binnen gekregen

Partaker I29 Industrial Mini PC
[Afbeelding]
[Afbeelding]
http://www.inctel.com.cn/product/detail/570.html

Ik heb de i5 8265u (4core, 8 thread), 6x i211, variant met 16GB DDR4 en 512GB mSATA. Totaal ong 300 euro kwijt.

/edit: wat opvalt is dat de werkelijk aanwezige CPU niet de 8265u is, maar de 8365u
intel ark compare
/edit2: i211 doet ook cpu-offloading, o.a. TSO staat netjes in de datasheet.
LSO/GSO zijn alternatieve namen voor TSO subsets.

Eerste testen zijn positief. BIOS lijkt volledig unlocked, kan het systeem geheel instellen. ook de power limits etc.
/edit3: het vrijgeven van TDP lukt in bios en met Intel XTU. Een benchmark kan gedraaid worden zonder throttling, koeling gaat dan ook best goed. In Bios lukt het (nog) niet om een vcore undervolt te doen (geen optie?) via XTU kan en lukt dat wel.
/edit4: toch niet helemaal unlocked. Er zitten aardig wat opties verborgen, echter is het redelijk gemakkelijk om de bios te editen en te flashen. Zo kan igpu memory toewijzing (gtt size, aperture size) zichtbaar maken (handig voor GVT-G in proxmox). Het submenu 'overclocking performance menu' lukt nog niet om zichtbaar te maken, maar ik kan wel de instellingen aanpassen en de aangepaste bios flashen (bijv Core Voltage Offset -0.100)
/edit5: BIOS weten te modden zodat ook het 'Overclocking performance menu' en nog veel meer zichtbaar is :-) Nu is ook o.a. vcore aanpassen vanuit bios setup mogelijk
[Afbeelding]
DOWNLOAD

Qua verbruik zag ik met een no-name 12v adapter 7-9W AC. (usb, lan, monitor aangesloten en actief). Zowel in Win10 2004 als in Proxmox (debian 10) (met powertop). Alle hardware wordt goed herkent en werkt zonder bijzondere inspanning.

Voor dit systeem gekozen na enige voor-inventarisatie nav dit topic. Waar ik de Fitlet, Protecli en Qotom ook enigzins underpowered* vond (o.a. de j3455). Met dit i5 systeem hoop ik de komende 5 jaar zonder performance issues door te kunnen komen doordat single thread performance ong 5x zo veel is tov mijn huidige APU2C4

*puur gekeken naar single thread performance tov APU2C4 (AMD 412-TC).

Systeem zal proxmox gaan draaien met pfsense VM (waarschijnlijk 2 nic passthrough), een docker vm voor 24/7 containers en een lxc voor dns (Adguard (DOT :-) ). Dit ter vervanging van een soortgelijke gelijke inrichting op mijn huidige APU2C4 (met Esxi).

//edit:

[Afbeelding]	[Afbeelding]
[Afbeelding]	[Afbeelding]
[Afbeelding]

fototje van de binnenkant.
-er is een cpu_fan aansluiting aanwezig. (linksboven).
-header voor poweron na powerloss.
-header voor intel hd audio (Front Panel Header "FP1")
-header voor iet anders2 ["VR_DL1"] -> uit te zoeken.

[ Voor 9% gewijzigd door Operations op 23-12-2020 03:35 ]

Operations schreef op woensdag 23 december 2020 @ 03:25:
[...]

7. To European union(28 counties) we have XINNUO or YUNTU shipping which will pre-paid taxes in our side which means no need pay taxes when goods received, the delivery time need 8-15 days to GB, France, Italy, Spain, Germany etc.Contact us if you need this service.

Pietsnot56 schreef op donderdag 24 december 2020 @ 16:54:
Vlan - firewall rules foutje

Ik heb in mijn netwerk 3 poorten in gebruik : Wan - lan1 - lan2
De lan's zitten op een aparte vlan in segment 192.168.x.0 en 192.168.y.0.
Pc 's verbonden aan elke vlan krijgen via dhcp een correct ip adres in hun respectievelijk vlan.
so far so good .....maar ik kan niet pingen van het lan2 naar lan1. Dit was de bedoeling en lijkt dus correct.

Maar ik kan wel pingen van lan1 naar lan2 en dit is niet de bedoeling. Ik beoog twee afzonderlijke netwerken over een gemeenschappelijk wan.

Er moet is fout staan in de rules van lan1

Protocol Bron Poort Doel Poort Gateway Wachtrij
+ * * * Lan Address 443, 80, 22 * * Anti-lock
+ IP4UDP * * Lan net 53(DNS) * geen allow dns
- IP4UDP Lan net * * 53(DNS) * geen Block other
+ IP4* Lan net * * 53(DNS) * geen Allotw lan to any rule

Wat is er dan wel fout?

[ Voor 21% gewijzigd door Operations op 25-12-2020 01:26 ]

Rayures schreef op woensdag 23 december 2020 @ 11:21:
[...]

ik had €0 extra kosten.

in de advertentie staat onderin:

[...]


PFsense werkt prima op dit kastje. Staat hier nu te zoemen en routeert de letters die ik nu typ.

Add extra $20
no taxes

Sponge schreef op dinsdag 29 december 2020 @ 20:24:
Nb. Heb deze zelf nog niet besteld aangezien ik eerst nog wat meer over PFSense zit te lezen. Met name of ik ook de WiFi van deze Mini PC ga gebruiken en of die op een of andere manier te combineren is met een andere wireless router (en de naam te delen).

nero355 schreef op dinsdag 29 december 2020 @ 20:55:
Koop gewoon meerdere losse Accesspoints joh!

Beetje kabeltjes trekken, eventueel wat (PoE) switchjes erbij en gaan met die banaan!

Rayures schreef op woensdag 23 december 2020 @ 11:21:
[...]

ik had €0 extra kosten.

in de advertentie staat onderin:

[...]


PFsense werkt prima op dit kastje. Staat hier nu te zoemen en routeert de letters die ik nu typ.