Zelfbouw project: Firewall / Router / AP

Tijntje schreef op maandag 18 januari 2021 @ 14:47:
[...]
Zou je een linkje naar het product willen zetten en welke shipping method je gekozen hebt?

Rayures schreef op woensdag 23 december 2020 @ 11:21:
[...]

ik had €0 extra kosten.

in de advertentie staat onderin:

7. To European union(28 counties) we have XINNUO or YUNTU shipping which will pre-paid taxes in our side which means no need pay taxes when goods received, the delivery time need 8-15 days to GB, France, Italy, Spain, Germany etc.Contact us if you need this service.

Rayures schreef op dinsdag 19 januari 2021 @ 09:07:
[...]


product:
https://www.aliexpress.com/item/1005001280532331.html

shipping:

[...]

Tom Paris schreef op dinsdag 8 december 2020 @ 10:37:
Ik zou nog steeds tegen Realtek adviseren, maar de aanstaande 2.5 release van pfSense zal de laatste Realtek-driver gaan bevatten. Daarmee o.a. native ondersteuning voor de 2.5Gbit NICs.

Why did Netgate make this change?

There are two primary reasons.

First, demand for new secure networking features, performance improvements, management and automation capabilities outstrip the capabilities of existing software design, which dates to 2004.

Second, the code changes necessary to deliver the above capabilities will be disruptive to users of the open-source code base - especially those dependent upon private forks for their own needs. pfSense has a smorgasbord of features and functions that Netgate will need to update, replace, or delete. These code modifications will not always immediately serve the open-source community. Rather than force the community to quickly follow, Netgate can better serve its customers and the broader community by moving the pfSense Plus stack forward to support product advancement, without disrupting the code base that community members rely upon today.

What kinds of new capabilities are envisioned?

pfSense Plus will grow to incorporate features - like the following - requested by our end-user and managed service provider customers:

• Business level dashboard / reporting
• 802.11ac and 802.11ax wireless access point support
• Improved packet filter performance
• New GUI architecture
• GUI / device control separation, which facilitates multi-instance management
• Modernized look and feel
• Zero Touch Provisioning for easier drop ship of unprovisioned appliances

We expect to publish a high-level roadmap soon. If you would like to be informed when it becomes available, simply sign up here. Further, we are always open to product / feature input. We actively monitor for, and solicit, this input through our social media channels and user surveys.

Tom Paris schreef op donderdag 21 januari 2021 @ 20:54:
Interessante veranderingen bij pfSense aanstaande...

Ten eerst zal 2.5 support krijgen voor Wireguard, volgens de officiële in-kernel ondersteuning in FreeBSD.

Ten tweede zal pfSense opsplitsen in 'pfSense Plus' en de bestaande 'pfSense Community Edition'. Belangrijkste wijzigingen en redenen in het blog:


[...]


Maar, het belangrijkste voor de Tweaker: There will be a no charge path for home and lab use and a chargeable version for commercial use.

- Business level dashboard / reporting
- Improved packet filter performance

- 802.11ac and 802.11ax wireless access point support

- New GUI architecture
- Modernized look and feel

- GUI / device control separation, which facilitates multi-instance management
- Zero Touch Provisioning for easier drop ship of unprovisioned appliances

segil schreef op zaterdag 23 januari 2021 @ 15:59:

is die apu1 krachtig genoeg voor standaard firewall/ad-block/etc? (AMD G series T40E APU, 1 GHz dual core, Realtek RTL8111E).

[ Voor 13% gewijzigd door PerlinNoise op 25-01-2021 08:36 ]

PerlinNoise schreef op maandag 25 januari 2021 @ 08:35:
[...]


2gb ram is wel erg krap voor dnsbl. Voor geoip wil je minimaal wel 8gb ram hebben, als je dat wil gebruiken.

Als je de apu1 al hebt, kun je het natuurlijk proberen. Maar anders zou ik voor minimaal een apu2 gaan of iets anders.

Rayures schreef op donderdag 5 november 2020 @ 09:41:
[...]


zelf gedaan

flashen met flashrom

flashrom tools:

code:

1	https://1drv.ms/u/s!As78E6fkkOiJgRDDGM1O_dBrpdsj?e=rqtj1B

code:

1	flashrom -p internal -r FILENAME.ROM

[...]


jazeker. Met PFSense in een VM (op proxmox) en 2 nic passthrough. Doet zij met gemak 950Mbit LAN-WAN (en andersom WAN-LAN) routing. In 'top' zie ik 12% kernel & 0,4% interrupt bij 950Mbit. Dit out-of-the-box, nog geen optimalisaties gedaan. (iperf3 server op wan, client op lan).
Laat de glas aansluiting maar komen

/edit1:
testje gedaan om (ongeveer) te kijken waar de max van PFsense zit in dit systeem.

code:

1	[5] 0.00-10.00 sec 6.38 GBytes 5.48 Gbits/sec

Rayures schreef op donderdag 28 januari 2021 @ 10:20:
volgens mij stond IOMMU standaard op enabled en was het niet een hidden feature. Zal in BIOS als VT-D genoemd zijn.

--
in deze post staat een link naar de ROM (onder de bios afbeelding)
https://gathering.tweakers.net/forum/view_message/64097716

rom:
https://1drv.ms/u/s!As78E6fkkOiJgQ9onEFnXxQ5iVKq?e=GPCw8e

deze post de tools
Rayures in "Zelfbouw project: Firewall / Router / AP"

tools:
https://1drv.ms/u/s!As78E6fkkOiJgRDDGM1O_dBrpdsj?e=rqtj1B

code om te flashen:
flashrom -p internal -r FILENAME.ROM

[ Voor 18% gewijzigd door MuVo op 29-01-2021 09:26 ]

MuVo schreef op vrijdag 29 januari 2021 @ 09:11:
XS4all:

Orginele Fritzbox @ http://www.dslreports.com/:
[Afbeelding]


Pfsense Qotom: @ http://www.dslreports.com/, met
Codel gelimieteerd op 100/100mbit:

[Afbeelding]

[Afbeelding]

Na het optimaliseren van de verbinding via Psense blijf ik in games hit detection problemen ondervinden. Ik ga Xs4all vragen of ze mijn lijn met de Fritzbox kunnen doormeten. De metingen die ik heb gedaan op de Fritzbox komen bij mij over alsof er out of the box Xs4all een matig glasvezel signaal aan levert.

Ankh schreef op vrijdag 29 januari 2021 @ 10:35:
[...]


Klopt je bericht? Met Pfsense heb je geen last van Bufferbloat en heb je de beste verbinding. Dat een fritzbox een meer last van bufferbloat heeft, komt blijkbaar door een softwarematige firewall en geen offloading op de CPU.

Nu zegt dit natuurlijk niet alles, want je bent afhankelijk van de game die je speelt bijvoorbeeld.

MuVo schreef op vrijdag 29 januari 2021 @ 10:58:
[...]


Mijn bericht klopt. Maar ik heb ook bufferbloat op pfsense zonder de Codel aanpassingen. Pas met de optimalisatie met codel heb ik geen bufferbloat. Maar ik blijf hit detection problemen in games ondervinden. Zoals je zegt blijf je natuurlijk houden door dat je afhankelijk bent van een game.

Ik vroeg me af of het originele signaal op de lijn toch invloed blijft uitoefenen ook al is de lijn daarna met Pfsense verbeterd. In de zin van: Is het bron signaal in het eerste stadium al matig, de verbetering die ik toepast verbeterd het matige signaal niet, ik beïnvloed alleen het matige signaal.

Tom Paris schreef op vrijdag 29 januari 2021 @ 14:28:
Interessante cijfers over Wireguard in pfSense 2.5 in een nieuw blog.

De in-kernel implementatie haalt 909Mbps met iperf3, terwijl de 'go'-implementatie (gebruik door o.a. OPNsense) slechts 329Mbps haalt met dezelfde hardware.

Tom Paris schreef op vrijdag 29 januari 2021 @ 14:28:
Interessante cijfers over Wireguard in pfSense 2.5 in een nieuw blog.

De in-kernel implementatie haalt 909Mbps met iperf3, terwijl de 'go'-implementatie (gebruik door o.a. OPNsense) slechts 329Mbps haalt met dezelfde hardware.

Pietsnot56 schreef op zondag 31 januari 2021 @ 11:50:
Yanling 4 poorts /Pfsense 2.4.5-p1 (+- = Protectli FW4B):

[ Voor 4% gewijzigd door PerlinNoise op 01-02-2021 12:05 ]

Pietsnot56 schreef op maandag 1 februari 2021 @ 13:14:
Je lijkt glasvezel te hebben.
Haal je +_ 1G?
Pfsense of Opnsense?
4 of 8 G intern geheugen?

Pietsnot56 schreef op vrijdag 5 februari 2021 @ 10:33:
Ik heb een telenet 300/30 verbinding met een resem app's actief, waaronder suricata en pfblocker.
Sinds de memory upgrade naar 8 G haal ik vlot 285/ 290-25/30.
Dat is dus bijna het theoretisch maximum.
cpu belasting < 10% en +- 25% memory belasting.
Er dus wel nog wat reserve.
Heeft soms iemand een 1G abbo met een fw4b?

In preparation for final release testing, we have now locked pfSense software version 2.5.0 so that no more issues may be assigned using it as a target.

Release Candidate (RC) snapshots of 2.5.0 CE will be available shortly.

There are still some issues in progress which will be finalized before the final release, check Redmine for details.

If you encounter an issue you believe to be a release blocker, and it does not already have an existing Redmine issue, then leave the target version blank and include reasoning for the issue being a blocker in the issue description.

wian schreef op vrijdag 19 juni 2020 @ 10:58:
Qua geheugen zit er bij mij een Kingston KVR16LS11/8 in.

Ik heb de protectli AMI bios gebruikt omdat de coreboot rom op de protectli website nogal oud is. De laatste versie van coreboot heb ik wel zelf succesvol gecompileerd, maar aan het einde verschijnt een waarschuwing dat de rom nog niet compleet is omdat er proprietary intel modules missen. Ik moet nog uitzoeken waar ik die vandaan haal.

MuVo schreef op donderdag 11 februari 2021 @ 19:17:
Pfsense 2.5 Release Candidate (RC)
De nieuwe Pfsense 2.5 RC is beschikbaar voor de laatste publieke test voor de finale release.


[...]


Mocht iemand al hebben geüpgrade, graag jouw ervaring hier delen. Zelf wacht ik nog even tot ik meer tijd heb.

[ Voor 15% gewijzigd door Rayures op 12-02-2021 14:26 ]

Rayures schreef op vrijdag 12 februari 2021 @ 14:22:
[...]


Sinds mijn nieuwe Partaker/Inctel machine draait deze de 2.5.0 dev versies. Elke week geüpdatet en sinds deze week de rc.
Geen issues met acme,bind,pfblockerng,haproxy-dev,vlan,openvpn client,openvpn-server,etc.

Ik draai pfsense op pve. Altijd eerst een backup alvorens een update (ook addons). Heb met een update wel eens e.e.a. gesloopt (eigen schuld) welke in niet in een uur weer werkend had (en de druk steeg omdat er een video call in de agenda stond ;-) )

Tom Paris schreef op vrijdag 12 februari 2021 @ 15:47:
Release Candidate hier ook zonder problemen op KPN glas met IPTV in ESXi

nero355 schreef op zaterdag 13 februari 2021 @ 18:49:
Interessant DIY Router plankje gespot vandaag : https://nl.hardware.info/...t-intel-i7-tiger-lake-cpu

Als de prijs straks een beetje interessant blijkt te zijn...

Theone098 schreef op zaterdag 13 februari 2021 @ 18:59:
Tenzij zakelijk lijkt het mij een beetje over kill. Althans, de i7 dan.

Tom Paris schreef op vrijdag 12 februari 2021 @ 15:47:
Release Candidate hier ook zonder problemen op KPN glas met IPTV in ESXi

jimmy87 schreef op maandag 15 februari 2021 @ 15:24:
[...]


Werkt dat inmiddels met routed IPtv? de laatste keer dat ik pfsense gebruikt heb was die igmp proxy stuk.

Tom Paris schreef op maandag 15 februari 2021 @ 16:12:
[...]


Dan heb je heel lang geen pfSense gebruikt, en heb je 'pech' gehad toen je het gebruikte... Er zijn een aantal bugs geweest in het verleden ja, maar die stonden vrijwel altijd als known issues in de release notes. Ik gebruik pfSense nu al ruim 4 jaar met routed IPTV, nooit problemen gehad

nero355 schreef op zaterdag 13 februari 2021 @ 21:19:
[...]

- Erg compact.
- Veel rekenkracht aanwezig voor PPPoE verbindingen en IDS/IPS/enz.

Niet verkeerd voor in de meterkast toch

jimmy87 schreef op maandag 15 februari 2021 @ 16:17:
[...]


Mag ik dan zo vervelend zijn en je vragen of je je routed IPTV stuk wil delen?

Videopac schreef op maandag 15 februari 2021 @ 16:19:
Ventilator nodig.

Onnodig hoog verbruik, 7x24.

[ Voor 21% gewijzigd door Theone098 op 19-02-2021 08:47 ]

Theone098 schreef op vrijdag 19 februari 2021 @ 08:46:
TIP: mocht je na de upgrade last hebben dat OpenVPN niet werkt / packet loss -> uncheck "Enable Data Encryption Negotiation" onder openvpn.

Dat gaf bij mij ook flinke problemen met IPTV. Dat is dan meteen opgelost

Mozart schreef op vrijdag 19 februari 2021 @ 10:42:
[...]

Is dat een optie die je per OpenVPN connectie instelt? Is dat een nieuwe setting in 2.5.0? Ik zie hem namelijk niet terug op mijn 2.4.4

Microkid schreef op donderdag 18 februari 2021 @ 06:55:
downloads: pfSense 2.5.0

Ik wilde eigenlijk pas upgraden na de eerste fix, maar toen ik gisteren in mijn 2.4.5 een package wilde updaten, ging er iets mis dat mijn pfSense onherstelbaar beschadigde. Dan maar meteen de stoute schoenen aangetrokken: pfSense 2.5.0 op een USB geknald, opnieuw installeren, backup terugzetten en gaan met die banaan. Draait tot nu toe feilloos en eerste indruk is dat er minder cpu benodigd is

[ Voor 31% gewijzigd door Workaholic op 19-02-2021 13:59 ]

Workaholic schreef op vrijdag 19 februari 2021 @ 13:58:
Wat ik me wel afvraag is of er nou eenvoudig een SSL certificaat op kan van letsencrypt oid wanneer je geen vast extern ip hebt en extern verkeer naar binnen zo goed als dicht hebt staan? Vond het vroeger te omslachtig, is dat toevallig nu eenvoudiger geworden met 2.5? Hoe doen jullie dit? Voor mij geen noodzaak, maar die melding in chrome blijft irritant

Workaholic schreef op vrijdag 19 februari 2021 @ 13:58:
Wat ik me wel afvraag is of er nou eenvoudig een SSL certificaat op kan van letsencrypt oid wanneer je geen vast extern ip hebt en extern verkeer naar binnen zo goed als dicht hebt staan? Vond het vroeger te omslachtig, is dat toevallig nu eenvoudiger geworden met 2.5? Hoe doen jullie dit? Voor mij geen noodzaak, maar die melding in chrome blijft irritant .

Workaholic schreef op vrijdag 19 februari 2021 @ 13:58:
Wat ik me wel afvraag is of er nou eenvoudig een SSL certificaat op kan van letsencrypt oid wanneer je geen vast extern ip hebt en extern verkeer naar binnen zo goed als dicht hebt staan? Vond het vroeger te omslachtig, is dat toevallig nu eenvoudiger geworden met 2.5? Hoe doen jullie dit? Voor mij geen noodzaak, maar die melding in chrome blijft irritant .

Workaholic schreef op vrijdag 19 februari 2021 @ 13:58:
Wat ik me wel afvraag is of er nou eenvoudig een SSL certificaat op kan van letsencrypt oid wanneer je geen vast extern ip hebt en extern verkeer naar binnen zo goed als dicht hebt staan? Vond het vroeger te omslachtig, is dat toevallig nu eenvoudiger geworden met 2.5? Hoe doen jullie dit? Voor mij geen noodzaak, maar die melding in chrome blijft irritant .

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

#!/bin/bash
pfSenseIP="x.x.x.x"
pfSenseUsername="******"
pfSensePassword="*******"
RPiIP="x.x.x.x"
RPiUsername="******"
RPiPassword="*******"
certificate="certificate.pem"
privatekey="privkey.pem"

sshpass -p $RPiPassword ssh -t $RPiUsername@$RPiIP "echo $RPiPassword | sudo -S cat /etc/letsencrypt/live/domain.nl/fullchain.pem" > fullchain.pem
sshpass -p $RPiPassword ssh -t $RPiUsername@$RPiIP "echo $RPiPassword | sudo -S cat /etc/letsencrypt/live/domain.nl/privkey.pem" > privkey.pem

mv fullchain.pem $certificate.combo
csplit -f $certificate.part $certificate.combo '/-----BEGIN CERTIFICATE-----/' '{*}'

for file in $certificate.part*;
do echo "Processing $file file.";
output=$(openssl x509 -noout -subject -in $file);

if [[ $output = *CN*=*.* ]]
then
        #echo "domainname detected"
        mv $file certificate.pem
fi
if [[ $output = *R3* ]]
then
        #echo "CA detected"
        mv $file CA_LetsEncrypt.pem
fi
done

cert=$(base64 $certificate)
cert=$(echo $cert | sed "s/ //g")
key=$(base64 $privatekey)
key=$(echo $key | sed "s/ //g")
sshpass -p $pfSensePassword scp $pfSenseUsername@$pfSenseIP:/conf/config.xml config.xml
oldcert=$(grep -A4 -P 'WebConfCA' config.xml | awk '/<crt>/ { print $1}' | sed "s|<crt>||g" | sed "s|</crt>||g")
oldkey=$(grep -A4 -P 'WebConfCA' config.xml | awk '/<prv>/ { print $1}' | sed "s|<prv>||g" | sed "s|</prv>||g")


if grep "$cert" config.xml > /dev/null
then
    echo "Identical certificate found, renewal not required"
    sshpass -p $pfSensePassword ssh $pfSenseUsername@$pfSenseIP rm /tmp/config.cache
    sshpass -p $pfSensePassword ssh $pfSenseUsername@$pfSenseIP /etc/rc.restart_webgui
else
    echo "Certificate not found, renewal required"
    sed -i -e "s|$oldcert|$cert|g" config.xml
    sed -i -e "s|$oldkey|$key|g" config.xml
    sshpass -p $pfSensePassword scp config.xml $pfSenseUsername@$pfSenseIP:/conf/config.xml
    sshpass -p $pfSensePassword ssh $pfSenseUsername@$pfSenseIP rm /tmp/config.cache
    sshpass -p $pfSensePassword ssh $pfSenseUsername@$pfSenseIP /etc/rc.restart_webgui
fi

find . -size  0 -name "$certificate.part*" -print0 |xargs -0 rm --
rm $certificate.combo
rm certificate.pem
rm privkey.pem
rm CA_LetsEncrypt.pem
cp config.xml config.xml.bak
rm config.xml

rcowdam schreef op vrijdag 14 augustus 2020 @ 20:14:
[...]


Ik heb zojuist een setup gemaakt met deze Seeed Odyssey, in combinatie met Ubiquiti unifi Switch & AP’s.

Op de odyssey draai ik nu VMware ESXi met voorlopig twee virtuele machines daarop: PFSense als router en een aparte Linux server met de Unifi controller erop. VMware werkt niet met de eMMC (en blijkbaar ook niet aangeraden), dus ik heb er een NVMe SSD bijgestoken.

Ik heb geen compatibiliteitsproblemen gehad zover en qua performance is het ruim voldoende voor mijn 300Mbps verbinding. CPU gebruik blijft laag, ook met IDS (suricata) actief.

Enigste dat ik nog mis is een case - deze heb ik nu direct bij Seeed besteld aangezien deze zeer moeilijk verkrijgbaar was/is.

Fresh T. schreef op maandag 22 februari 2021 @ 08:03:
[...]

Hoe bevalt dit bord nog na een half jaar? Ik begreep dat de fan was luidruchtig kan zijn. Hoe ervaar jij dit?

Ik zit hierover te denken voor een pfsense omgeving, maar de fanless variant is slecht leverbaar. Andere optie is de Odroid H2+, maar ook die lijkt niet goed leverbaar te zijn momenteel.

[ Voor 3% gewijzigd door Raven op 14-03-2021 18:15 ]

Raven schreef op zondag 14 maart 2021 @ 18:13:
Zag net dit in de mail: Dual Gigabit Ethernet Carrier Board for Raspberry Pi Compute Module 4

nero355 schreef op zondag 14 maart 2021 @ 20:14:
[...]

Leuk dat het kan, maar niet voor die prijs wat mij betreft...

Dan kan je ook zoiets kopen : pricewatch: Ubiquiti EdgeRouter X
En dan de originele of 3rd party firmware erop draaien die gebaseerd is op OpenWRT

theduke1989 schreef op zondag 14 maart 2021 @ 22:16:
betekend dit dat PFSense meer lekken heeft dan een Opensense dan? Want als Opensense zoveel update moet toch wel iets betekenen dat ze hun code op orde willen hebben tegen vunerbilaties?

Raven schreef op zondag 14 maart 2021 @ 18:13:
Zag net dit in de mail: Dual Gigabit Ethernet Carrier Board for Raspberry Pi Compute Module 4

[Afbeelding]

[Afbeelding]

[ Voor 22% gewijzigd door Tom Paris op 15-03-2021 12:14 ]

Robbiedobbie schreef op woensdag 17 maart 2021 @ 14:34:
Ik zit de afgelopen week ook voor het eerst te kloten met pfsense op 1 van die partaker china pctjes bedoeld voor dit soort zaken.

Nu draai ik pfsense binnen een vm op esxi (Ik wil later ook zaken als homeassistant op zelfde pc draaien), en ben ik bezig om de management interface van esxi ook op het netwerk beschikbaar te krijgen, maar dit wil maar niet lukken (Heb sowieso een van de poorten als dedicated backup voor die interface aangehouden, dat leek me wel zo verstandig ).

De situatie is als volgt:

Omdat mijn netwerk momenteel nog opgesplitst wordt op de plek waar de router komt te staan, en daar geen plek is voor een switch, heb ik een aantal van de physical lanpoorten elk een losse virtual switch binnen esxi gegeven. Deze poorten hebben elk een portgroup met vlan trunk gekregen, en zijn allemaal als interfaces in de pfsense vm toegedeeld aan een bridge, zodat ik deze als switch kan gebruiken.

Om de bridge helemaal gaande te krijgen heb ik ook nog de volgende system tunables gezet:

code:

1 2	net.link.bridge.pfil_member 0 net.link.bridge.pfil_bridge 1

De bridge hangt dus direct als LAN interface, welke een static ipv4 (10.200.10.1/24) heeft toegewezen gekregen.

Voor de esxi management heb ik een virtual switch zonder physical poorten die ik later voor alle vm koppelingen wil gebruiken. Hier heb ik 2 portgroups op, eentje hangt als interface aan de pfsense vm met trunking enabled, en 1tje is gekoppeld aan een VMKernel NIC met dhcp actief, en draait op vlan 3000.

In pfsense heb ik die vlan gekoppeld aan een "esxiManagement" interface welke een static ipv4 (10.200.200.1/24) met nu tijdelijk ook een dhcp server om te testen. Ik heb na lang kloten maar even op de LAN interface (dus de bridge) EN op de esxiManagement interface een pass rule ingesteld op ipv4+ipv6 op alle protocollen, met source any en destination any. Ik zie binnen de esxi management dat de VMKernel een ipv4 toegewezen krijgt (10.200.200.2).

Binnen de interfaces werkt alles zoals het moet, maar het wil niet lukken om tussen deze 2 netwerken te routen. Wel zie ik in de routes dat deze binnen pfsense automatisch al ingesteld staan. Ook kan ik de apparaten terugvinden in de ARP table, en kan ik vanaf pfsense pingen naar 10.200.200.2 vanaf de esxi interface. Ga ik vanaf de LAN interface proberen werkt ook het pingen niet.
Ik zie geen blocks in de syslog van de firewall.

Iemand een idee wat hier nog fout kan gaan?

1
2

net.link.bridge.pfil_member = 0
net.link.bridge.pfil_bridge = 0

MuVo schreef op woensdag 17 maart 2021 @ 15:06:
[...]

Volgende twee parameters heb ik als volgt ingesteld, uitgaande dat je al je regels vanaf de bridge interface managed:

code:

1 2	net.link.bridge.pfil_member = 0 net.link.bridge.pfil_bridge = 0

Tom Paris schreef op woensdag 17 maart 2021 @ 15:54:
@Robbiedobbie Zou je misschien wat screenshots kunnen plaatsen, oa van je netwerksetup in ESXi? Ik kan het moeilijk visualiseren adhv je post

Tom Paris schreef op maandag 15 maart 2021 @ 11:33:
[...]

Jammer dat het USB naar LAN is

[ Voor 13% gewijzigd door Kek op 18-03-2021 10:19 ]

Kek schreef op donderdag 18 maart 2021 @ 10:18:
[...]


Waar zie je dat? de RPI CM heeft een PCIe bus waar je gebruik van kan maken.. dus de nic kan zonder problemen direct aan PCIe hangen...

(kan zijn at ik ergens overheen heb gelezen voor dit specifieke bordje)

Single Chip SuperSpeed (SS) USB 3.1 Gen 1 to
10/100/1000 Ethernet Controller

[ Voor 14% gewijzigd door Robbiedobbie op 18-03-2021 10:21 ]

Robbiedobbie schreef op donderdag 18 maart 2021 @ 10:05:
Het lijkt erop dat de virtual switch packets dropt die vanaf een ander subnet komen. Iemand een idee waar dit aan kan liggen?

nero355 schreef op donderdag 18 maart 2021 @ 15:36:
@Robbiedobbie Welke setting dan

Robbiedobbie schreef op donderdag 18 maart 2021 @ 15:46:
[...]

[Afbeelding]

De routing sectie had daar nog een 0.0.0.0 in staan. Nadat ik deze ingevuld had kwam er ook heel mooi een extra route in het overzicht van die ip stack te staan, welke voor alle onbekende adressen gateway 10.200.200.1 gebruikt.

[ Voor 3% gewijzigd door Vorkie op 18-03-2021 15:49 ]

Robbiedobbie schreef op donderdag 18 maart 2021 @ 15:50:
@Vorkie Geen idee, misschien dat hij in dit geval omdat het vmk0 betreft wel een gateway gebruikt omdat het de management interface zelf is die de response doet. Ik denk ook niet dat dit nodig zou zijn als het van 1 vm naar de andere zou gaan.

Vorkie schreef op donderdag 18 maart 2021 @ 16:42:
[...]

vmk0 doet niets met VM traffic....het zit in poortje 1 van de vSwitch, poortje 2 zit PFsense enzovoorts.

Dus voordat je dit aan het grote boze internet hangt is het misschien handig dat je het even goed controleert of alles goed staat...

Miki schreef op donderdag 25 maart 2021 @ 20:57:
Ik zit met veel enthousiasme dit topic door te bladeren en wil graag ook starten met eigen router op basis van Pfsense of OPNsense. Ik heb mijn zinnen gezet op een klein kastje van Yanling (Protectli) maar ik twijfel of met de cpu wel een goede keuze ga maken. Aangezien ik via Xs4all/KPN verplicht ben om gebruik te maken van PPoE en helaas BSD achtigen dit nog over één core afwikkelen of een J3160 voldoende power heeft voor eventuele toekomstige snelheden. Ik ben niet van plan om hele spannende zaken te draaien dus geen IPsec of VPN maar wellicht over een jaar overstap naar T-Mobile die nu 1Gbit aanbied in onze wijk. Hoe zit dit nu precies. Volgens de specs van Protectli moet de J3160 in staat zijn om 940Mbps te halen maar ik heb geen idee of je die snelheid haalt bij een PpOE verbinding. Hoe zit dat?

Ps. Ik heb ook al gekeken naar een HP T730 tweedehands maar deze dingen zijn in Nederland slecht verkrijgbaar en nog te duur. Aan de andere kant van de oceaan worden ze voor minder dan de helft verkocht maar zit je met hoge verzendkosten en bijkomende importkosten.

Miki schreef op donderdag 25 maart 2021 @ 20:57:
Ik zit met veel enthousiasme dit topic door te bladeren en wil graag ook starten met eigen router op basis van Pfsense of OPNsense. Ik heb mijn zinnen gezet op een klein kastje van Yanling (Protectli) maar ik twijfel of met de cpu wel een goede keuze ga maken. Aangezien ik via Xs4all/KPN verplicht ben om gebruik te maken van PPoE en helaas BSD achtigen dit nog over één core afwikkelen of een J3160 voldoende power heeft voor eventuele toekomstige snelheden. Ik ben niet van plan om hele spannende zaken te draaien dus geen IPsec of VPN maar wellicht over een jaar overstap naar T-Mobile die nu 1Gbit aanbied in onze wijk. Hoe zit dit nu precies. Volgens de specs van Protectli moet de J3160 in staat zijn om 940Mbps te halen maar ik heb geen idee of je die snelheid haalt bij een PpOE verbinding. Hoe zit dat?

Ps. Ik heb ook al gekeken naar een HP T730 tweedehands maar deze dingen zijn in Nederland slecht verkrijgbaar en nog te duur. Aan de andere kant van de oceaan worden ze voor minder dan de helft verkocht maar zit je met hoge verzendkosten en bijkomende importkosten.

Theone098 schreef op vrijdag 26 maart 2021 @ 22:36:
[...]

Ik heb bovenstaand model en heb ips/ids inline aan op een 100/100 glas pppoe. Een 8-tal vlans en vele andere features aan (pfblockerng, ntopng, dhcp, dns,ntp etc). Geen probleem.
Wel 8GB ram. Ik geloof wel dat deze 940mbps kan halen. Als je zeker van plan bent om 1Gb te nemen (vraag mij serieus af wat je daarmee moet, behalve omdat het kan), dan zou ik een zwaarder model nemen (i3?). Mocht je later wel meer features aanzetten, dan is de router geen bottleneck. Voor mij is deze prima. Met 2 vingers in de neus doet deze alles voor mij.

Miki schreef op donderdag 25 maart 2021 @ 20:57:
Ik zit met veel enthousiasme dit topic door te bladeren en wil graag ook starten met eigen router op basis van Pfsense of OPNsense. Ik heb mijn zinnen gezet op een klein kastje van Yanling (Protectli) maar ik twijfel of met de cpu wel een goede keuze ga maken.

ANdrode schreef op zaterdag 27 maart 2021 @ 19:15:
[...]


Heb je genoeg aan twee netwerkpoorten?

De thin/mini/micro PC's van HP/Dell/Lenovo zijn eventueel ook een alternatief. Je kan in het mini-PCIe slot een NIC inbouwen of een USB nic gebruiken.

[ Voor 10% gewijzigd door Miki op 27-03-2021 20:05 ]

Miki schreef op zaterdag 27 maart 2021 @ 19:58:
[...]
Ik ben afgelopen weken aan het wikken en wegen geweest tussen een tweedehands desktop pc (Elitedesk, Optiplex) icm een Intel nic i350-T2. Alleen vind ik de optimale combo vinden lastig. Beetje knappe tweedehands desktop in SFF zit je gauw aan de €175. De nic’s zijn lastig te vinden, de meeste server pull’s zijn te vinden op EBay maar dan betaal je bijna het dubbele aan verzend en invoerkosten (35 dollar + 50 dollar verzendkosten en import kosten). De kaarten die je hier in Nederland (Amazon bijvoorbeeld) vind zijn meestal oem en/of Chineze namaak kaarten. Geen idee hoe goed deze kaarten zijn waardoor ik wat huiverig ben.

Op eBay kwam ik ook een Belgische verkoper tegen die oude desktop pc’s ombouwt tot Pfsense routers. Bijvoorbeeld deze: https://www.ebay.nl/itm/F...b9e972:g:R2sAAOSw5XhbV40a
Ik vind alleen de specs niet geheel in verhouding met de prijs als ik dit vergelijk met de Yanling/ Protecli FW4B.

[ Voor 4% gewijzigd door ANdrode op 27-03-2021 20:36 ]

Uberprutser schreef op zaterdag 27 maart 2021 @ 21:57:
Of een Lenovo Tiny met een quad NIC.

Helaas zie je ze kant en klaar niet echt langskomen op marktplaats, maar op eBay komen ze wel is langs.

Miki schreef op donderdag 25 maart 2021 @ 20:57:
Ik zit met veel enthousiasme dit topic door te bladeren en wil graag ook starten met eigen router op basis van Pfsense of OPNsense. Ik heb mijn zinnen gezet op een klein kastje van Yanling (Protectli) maar ik twijfel of met de cpu wel een goede keuze ga maken. Aangezien ik via Xs4all/KPN verplicht ben om gebruik te maken van PPoE en helaas BSD achtigen dit nog over één core afwikkelen of een J3160 voldoende power heeft voor eventuele toekomstige snelheden. Ik ben niet van plan om hele spannende zaken te draaien dus geen IPsec of VPN maar wellicht over een jaar overstap naar T-Mobile die nu 1Gbit aanbied in onze wijk. Hoe zit dit nu precies. Volgens de specs van Protectli moet de J3160 in staat zijn om 940Mbps te halen maar ik heb geen idee of je die snelheid haalt bij een PpOE verbinding. Hoe zit dat?

nero355 schreef op zondag 28 maart 2021 @ 20:24:
[...]

Heb je deze ook gezien : wian in "Zelfbouw project: Firewall / Router / AP"
Als ik dan zie hoe lekker strak en overzichtelijk OpenWRT tegenwoordig eruit ziet : Priyantha Bleeker in "[TP-Link Managed Access Points] Ervaringen & Discussie"
Dan zou ik zeggen : Gewoon doen!!!

Miki schreef op donderdag 25 maart 2021 @ 20:57:
Ik zit met veel enthousiasme dit topic door te bladeren en wil graag ook starten met eigen router op basis van Pfsense of OPNsense. Ik heb mijn zinnen gezet op een klein kastje van Yanling (Protectli) maar ik twijfel of met de cpu wel een goede keuze ga maken. Aangezien ik via Xs4all/KPN verplicht ben om gebruik te maken van PPoE en helaas BSD achtigen dit nog over één core afwikkelen of een J3160 voldoende power heeft voor eventuele toekomstige snelheden. Ik ben niet van plan om hele spannende zaken te draaien dus geen IPsec of VPN maar wellicht over een jaar overstap naar T-Mobile die nu 1Gbit aanbied in onze wijk. Hoe zit dit nu precies. Volgens de specs van Protectli moet de J3160 in staat zijn om 940Mbps te halen maar ik heb geen idee of je die snelheid haalt bij een PpOE verbinding. Hoe zit dat?

Ps. Ik heb ook al gekeken naar een HP T730 tweedehands maar deze dingen zijn in Nederland slecht verkrijgbaar en nog te duur. Aan de andere kant van de oceaan worden ze voor minder dan de helft verkocht maar zit je met hoge verzendkosten en bijkomende importkosten.

eymey schreef op maandag 29 maart 2021 @ 09:55:
[...]


Ik ken de betreffende CPU's/systemen die je noemt niet, maar:

Hier draai ik een Shuttle DH310 met Core i3-8100 en 16 GB RAM. Daarop KVM-virtualisatie dmv Proxmox en OPNSense in een VM, met 8 GB RAM en 2 vcpu's toegewezen.

OPNSense is een 'BSD-achtige'. Ik zit sinds oktober bij Freedom Internet op 1 Gbps via het netwerk van Tweak/Cambrium. Hiervoor is ook een PPPoE verbinding nodig, en dat handelt deze configuratie echt met 2 met gemak af, ook als er een speedtest loopt die de 1 Gbps aantikt. Ik heb nog niet bekeken over hoe veel threads de PPPoE afhandeling plaats vindt, maar hier is deze config rock solid.

nero355 schreef op zondag 28 maart 2021 @ 20:24:
[...]

Heb je deze ook gezien : wian in "Zelfbouw project: Firewall / Router / AP"
Als ik dan zie hoe lekker strak en overzichtelijk OpenWRT tegenwoordig eruit ziet : Priyantha Bleeker in "[TP-Link Managed Access Points] Ervaringen & Discussie"
Dan zou ik zeggen : Gewoon doen!!!

Miki schreef op maandag 29 maart 2021 @ 10:49:
[...]

PPPoE is op de BSD-achtigen single threaded, daarom dat ik er specifiek naar vroeg of zo'n relatief lichte Intel Celeron cpu (j3160) voldoende power over heeft. Ik twijfel er zelf namelijk niet aan dat een Intel celeron voldoende is om PFsense/OPNsense af te handelen maar het wordt een ander verhaal als deze cpu zich zou stuk bijten op een single threaded proces.


[...]

Heel interessant bordje maar van wat ik zo lees is het nog allemaal semi officieel wat betreft OpenWRT ondersteuning en wordt er nog flink aan gesleuteld maar niet als je gebruik maakt van FriendlyWRT. Dat laatste zie ik niet zo zitten eerlijk gezegd i.v.m. mogelijke Chinese privacy inmenging. Eveneens zijn ze bij OPNsense bezig om vanuit de community ondersteuning voor dit bordje mogelijk te maken en zijn er al wat testbuilds in omloop. Maar ook die zijn nog niet production ready zeg maar.

Omdat het mijn router betreft en dus het belangrijkste punt in mijn netwerk is, zeker nu met thuiswerken, wil ik daar geen spielerei aan hardware en software. Stabiliteit is voor mij zeer belangrijk en dan kies ik liever voor een PFsense oplossing. Van wat ik nu gezien is het gewoon verstandig om mijn budget iets op te schroeven en gewoon een X86 pc'tje te halen dat voldoet al mijn wensen en eisen.

kipjr schreef op woensdag 31 maart 2021 @ 17:34:
Ik heb nu sinds een half jaar een Protectli 6B met ESXi 6.7U3 en dit is echt ontzettend mooi spul. Momenteel draaien er twee servers op (OpnSense , Webserver) en ik heb tot op heden geen problemen ervaren.

Tip! Wees niet "cheap" en besteed ietsjes meer zodat het nèt wat langer mee gaat. 16GB RAM en 250GB mSATA zou mijn inziens meer dan voldoende moeten zijn.

Wel zou ik aanraden om OpnSense te kiezen boven PfSense. Het lijkt erop dat de support wat beter is en de interface wat gelikter oogt.

[ Voor 7% gewijzigd door Miki op 31-03-2021 20:16 ]

Miki schreef op woensdag 31 maart 2021 @ 18:29:
[...]

Spreek je over de Amerikaanse Protectli of zijn Chinese voorouders de Yanling/ XSK?

Er zit trouwens niet zo heel veel verschil in behalve ondersteuning die gelukkig uitwisselbaar is.

wian schreef op vrijdag 2 april 2021 @ 16:55:
[...]


Ik lees dit net terug en weet niet of ik het 100% eens ben met je advies. Een firewall hoeft geen snelle CPU of veel geheugen te hebben. Ik had een APU met 1Ghz CPU en 2GB geheugen en 700mbit glasvezel verbinding en haalde de volledige snelheid. De APU haalt zelfs 1gbit. Dat was zonder PPPOE en zonder zware apps als sensei, snort en suricata, maar verder wel alle standaard services als pfblocker, DNS, DHCP, NTP etc.

Als Tweaker wil je natuurlijk sneller en beter, maar met 16GB RAM en 250GB SSD is het zonde om dat doosje uitsluitend als firewall te gebruiken. Dan zet je er ESXi of Proxmox op en maak je er een servertje van. Daar wordt je firewall niet veiliger, niet stabieler en niet zuiniger/koeler/stiller van. Je hebt dan meer mogelijkheden maar ook meer software = meer onderhoud, meer patchen en dus meer downtime en boze huisgenoten.

Een dual-quadcore CPU, intel NICs, 2-4GB ram en 32-64GB SSD is echt meer dan genoeg voor een dedicated pfSense/OPNsense firewall.