Zelfbouw project: Firewall / Router / AP

wian schreef op dinsdag 26 oktober 2021 @ 22:16:
Even een schaamteloze plug; bied in de V&A mijn Sophos SG 105 met pfSense aan. Interessant voor mensen met glasvezel, want dit is een rev 3 met SFP poort. 1Gbit deed ie hier met gemak, maar niet getest met PPPOE.

stormfly schreef op dinsdag 26 oktober 2021 @ 23:00:
[...]


De EdgeOS capture laat net niet de relevante velden zien, maar op basis van wat er zichtbaar is deel ik je mening. Dan moet je daar op gaan focussen, kan je nog 1x je volledige config delen?

https://bgp.he.net/ip/240...:000c:0000:0000:0000:0003
ChinaTelecom klopte aan je IPv6 voordeur, wat zag je toen met show IPv6 routes en het show interfaces commando? Als je spreekt over " mijn IPv6 adres " dan moet dat een 2xxx adres zijn, geen FE80 van vorige week?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

paul@ubnt:~$ show ipv6 route
IPv6 Routing Table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type 2, B - BGP
Timers: Uptime

IP Route Table for VRF "default"
S      ::/0 [1/0] via ::, pppoe0, 1d13h01m
C      ::1/128 via ::, lo, 01w0d10h
C      fe80::/10 via ::, pppoe0, 1d13h01m
C      fe80::/64 via ::, eth4.32, 3d20h08m
paul@ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description
---------    ----------                        ---  -----------
eth0         -                                 u/u  Local
eth1         -                                 u/D  Local
eth2         -                                 u/D  Local
eth3         -                                 u/D  Local
eth4         -                                 u/u
eth4.32      -                                 u/u  Internet (PPPoE)
lo           127.0.0.1/8                       u/u
             ::1/128
pppoe0       <ipv4>                     u/u
switch0      192.168.30.1/24                   u/u  Thuis netwerk

Ankh schreef op woensdag 27 oktober 2021 @ 09:12:
[...]

Om even een beeld te geven, de volgende CPU zit er in: Intel Atom E3930. 2 Cores met 1,8GHz.
[...]

Hier staat de config:
https://pastebin.com/S2n2C96m

[...]

Klopt, ik heb zie mijn adres 2a00:9340:x:x:x staan. Overigens probeert deze beste scanner continu binnen te komen

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

paul@ubnt:~$ show ipv6 route IPv6 Routing Table Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1, E2 - OSPF external type 2, N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2, B - BGP Timers: Uptime IP Route Table for VRF "default" S ::/0 [1/0] via ::, pppoe0, 1d13h01m C ::1/128 via ::, lo, 01w0d10h C fe80::/10 via ::, pppoe0, 1d13h01m C fe80::/64 via ::, eth4.32, 3d20h08m paul@ubnt:~$ show interfaces Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down Interface IP Address S/L Description --------- ---------- --- ----------- eth0 - u/u Local eth1 - u/D Local eth2 - u/D Local eth3 - u/D Local eth4 - u/u eth4.32 - u/u Internet (PPPoE) lo 127.0.0.1/8 u/u ::1/128 pppoe0 <ipv4> u/u switch0 192.168.30.1/24 u/u Thuis netwerk

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

vif 32 {
            description "Internet (PPPoE)"
            mtu 1508
            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        interface switch0 {
                            host-address ::1
                            prefix-id :0
                            service slaac
                        }
                        prefix-length /56
                    }
                    prefix-only
                    rapid-commit enable
                }

stormfly schreef op woensdag 27 oktober 2021 @ 10:02:
[...]


Als je prefix-only weghaalt krijg je dan wel een IPv6 adres op je router? Uitgangspunt van deel 1 was pingen naar ipv6.google.com vanaf je SSH sessie op de ER.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

vif 32 { description "Internet (PPPoE)" mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface switch0 { host-address ::1 prefix-id :0 service slaac } prefix-length /56 } prefix-only rapid-commit enable }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

 vif 32 {
     description "Internet (PPPoE)"
     mtu 1508
     pppoe 0 {
         default-route auto
         dhcpv6-pd {
             no-dns
             pd 0 {
                 interface switch0 {
                     host-address ::1
                     prefix-id :0
                     service slaac
                 }
                 prefix-length /56
             }
             rapid-commit enable
         }

1
2
3
4
5

paul@ubnt:~$ ping6 ipv6.google.com
PING ipv6.google.com(ams15s44-in-x0e.1e100.net (2a00:1450:400e:80f::200e)) 56 data bytes
^C
--- ipv6.google.com ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1016ms

1
2

rcvd [LCP ConfReq id=0x1 <auth pap> <magic 0x28015da2> <mrru 1524> <endpoint [local:4d.75.66.61.73.61.5f.4e.48.2d.31]> < 17 04 66 ad>]
sent [LCP ConfRej id=0x1 <mrru 1524> < 17 04 66 ad>]

[ Voor 18% gewijzigd door Ankh op 27-10-2021 10:56 ]

Ankh schreef op woensdag 27 oktober 2021 @ 10:25:
Het hoogst mogelijk buffer size die wordt geaccepteerd is: ping 1.1.1.1 -f -l 1472. Vanaf 1473 werkt het niet meer. Met PPP overhead kom ik dus uit op 1480 MTU size op ipv4 en ipv6 is het 1520.
Momenteel heb ik dus een MTU op mijn eth4 van 1512, vif 32 is 1508 en de pppoe0 is 1500. En wordt geen mss clamping toegepast.

Tom Paris schreef op woensdag 27 oktober 2021 @ 11:44:
[...]


Misschien begrijp ik je verkeerd, maar met ping een MTU van 1472 klopt toch gewoon? Dat is 1500 byte - 20 byte (IP header) - 8 byte (ICMP header). Dat betekent dat de MTU van je internetverbinding 1500 is. PPPoE voegt nog 8 byte toe, KPN ondersteunt hiervoor 'baby jumbo frames' (aka RFC 4638) wat de MTU van de PPPoE tunnel op 1508 brengt. Door dat trucje hoeft je internetverkeer niet extra gefragmenteerd te worden (werkt in *sense ook, op OpenWRT heb ik het nooit goed werkend gekregen).

Ankh schreef op woensdag 27 oktober 2021 @ 11:50:
[...]

Ah, die +20 heb ik niet meegerekend bij de ipv4. Bij ipv6 is dit dus +40 en kom je dus uit op 1520 byte. Vroeg me dus af of dat uit maakt aangezien ik de MTU size lager heb staan. Ik probeer dus te achterhalen of het hier ergens fout gaat, las namelijk dat ipv6 nog gevoeliger is met MTU instellingen dan ipv4.

Harmen schreef op woensdag 27 oktober 2021 @ 20:10:
Da's ook een optie, vind casual gamen op de tv met een controller wel fijn.
Ga mij toch maar eens verdiepen in alternatieven voor Sensei, jammer dat de free variant zo weinig opties heeft. Begrijp wel dat een ontwikkelaar tijd en moeite in een product stopt, maat vind 10 euro iets te gortig.

[ Voor 21% gewijzigd door Harmen op 28-10-2021 14:18 ]

Harmen schreef op donderdag 28 oktober 2021 @ 14:01:
@geenwindows Heb nu enkel wan en lan in gebruik, heb nog poorten open idd. Een apart vlan creëren is een optie, zal er dan ook firewall regels aangemaakt moeten worden om vanuit het lan netwerk verbinding te kunnen maken? Ben nog niet helemaal thuis in het firewall gedeelde van opnsense.

Harmen schreef op donderdag 28 oktober 2021 @ 14:01:
@geenwindows Heb nu enkel wan en lan in gebruik, heb nog poorten open idd. Een apart vlan creëren is een optie, zal er dan ook firewall regels aangemaakt moeten worden om vanuit het lan netwerk verbinding te kunnen maken? Ben nog niet helemaal thuis in het firewall gedeelde van opnsense.

Lees dat er een aparte plugin voor is mDNS repeater/proxy. Werkt dat een beetje goed? Vriendin moet ten alle tijden instaat zijn tv te kijken.

Dacuuu schreef op zondag 31 oktober 2021 @ 15:53:
Doel: 1e keer vlan aanmaken, waarbij bekabeld en wifi elkaar mogen zien, maar dit vlan netwerk mag mijn normale LAN netwerk niet zien.

Switches:
Welke vorm van Vlan setup moet ik pakken bij de TL-SG1016DE?
[Afbeelding]

Zelf denk ik 802.1Q VLAN Configuration, waarvan de huidige situatie er zo uit ziet:
[Afbeelding]

Unifi omgeving
Maak ik een nieuw (vlan)netwerk aan?
[Afbeelding]

Zit ik zo een beetje in de goede richting?

Kabouterplop01 schreef op zondag 31 oktober 2021 @ 20:21:
Een dot1Q vlan gebruik je alleen als je een Laag 3 vlan hebt. Een vlan interface, dus met een ip adres erop; over het algemeen doet dat ook werk als gateway voor dat specifieke subnet. (er zijn uiteraard andere manieren en architectuur plaatjes, maar dan ben je behoorlijk geavanceerd aan het routeren.)

nero355 schreef op maandag 1 november 2021 @ 15:57:
[...]

Dus een Guest VLAN + WiFi of beter gezegd Guest WiFi


[...]

Dat is best wel een lastig verhaal bij dit soort TP-Link en Netgear Switches omdat je vaak op meerdere plekken dingen moet doen :
- VLAN aanmaken.
- VLAN toewijzen.
- Tagged/Untagged toewijzen.

Dus pak gewoon de handleiding erbij zou ik zeggen


[...]

In principe heb je aan "VLAN Only" genoeg als je geen Router van Ubiquiti hebt dus dat is prima!

Maar wat je wel als extra optie kan inschakelen voor je Guest WiFi SSID is onderlinge communicatie binnen dat VLAN/SSID blokkeren!
Dat doe je binnen de SSID Settings als het goed is


[...]




[...]

In theorie heb je gelijk, maar in de praktijk is dat bij dit soort apparatuur niet altijd het geval!

[ Voor 3% gewijzigd door Dacuuu op 01-11-2021 20:07 ]

Dacuuu schreef op maandag 1 november 2021 @ 20:06:
Vooral switch achter switch is even een hersenbreker

Een deze dagen stapje voor stapje beginnen met Vlans, maar met een thuiswerker in huis zijn verbindingsissues door eigen toedoen not-done.

nero355 schreef op dinsdag 2 november 2021 @ 14:31:
[...]

DIY Router => Alle VLAN's Tagged => Switch 1 Port 1
Switch 1 Port 8 => Alle VLAN's Tagged => Switch 2 Port 1

enz.


[...]

Bouw je toch een testnetwerkje ergens in een hoekje achter je huidige netwerk met wat oude meuk ??

[ Voor 5% gewijzigd door Dacuuu op 02-11-2021 20:20 ]

Dacuuu schreef op dinsdag 2 november 2021 @ 20:15:
Ik heb nog een losse 8 poort tp-link managed switch liggen. Daar lukte het net in 1x om een Vlan aan te maken. En had zowaar internet

Morgen maar eens beginnen aan het WAF netwerk hier.

Moet ik die ubiquiti wifi access points taggen of untaggen?

nero355 schreef op maandag 1 november 2021 @ 15:57:


In theorie heb je gelijk, maar in de praktijk is dat bij dit soort apparatuur niet altijd het geval!

Kabouterplop01 schreef op woensdag 3 november 2021 @ 19:12:
please enlighten me

Harmen schreef op vrijdag 19 november 2021 @ 08:22:
@MindCtrller Wat je ook kan doen is op zoek gaan naar een oude Sophos firewall, deze worden regelmatig aangeboden.
Heb zelf voor 80 euro een Sophos SG115 op de kop getikt, bevalt prima tot nu toe.
Meer info: https://www.fastvue.co/so...-imagine-sophos-hardware/
Groot voordeel is dat een Sophos is voorzien van Intel nics en passief is gekoeld.

Heb de mijne voorzien van Opnsense. Draait als een zonnetje met oa openvpn en sensei ngfw.

Harmen schreef op vrijdag 19 november 2021 @ 08:22:
@MindCtrller Wat je ook kan doen is op zoek gaan naar een oude Sophos firewall, deze worden regelmatig aangeboden.
Heb zelf voor 80 euro een Sophos SG115 op de kop getikt, bevalt prima tot nu toe.
Meer info: https://www.fastvue.co/so...-imagine-sophos-hardware/
Groot voordeel is dat een Sophos is voorzien van Intel nics en passief is gekoeld.

Heb de mijne voorzien van Opnsense. Draait als een zonnetje met oa openvpn en sensei ngfw.

[ Voor 32% gewijzigd door Harmen op 19-11-2021 13:38 ]

Harmen schreef op vrijdag 19 november 2021 @ 13:21:
@Tom Paris Klopt wel, maargoed de meeste gebruikers hebben genoeg aan laten we zeggen 100-200Mbit.

MindCtrller schreef op vrijdag 19 november 2021 @ 00:25:
Na een week lang zoeken ben ik afgestapt van het idee een UDM pro aan te schaffen en heeft opnsense flink mijn interesse gewekt.

Tijdens de verbouwing heb ik naar iedere kamer de belkin cat6 kabels getrokken en 2 punten in het plafond geplaatst voor de AP's.

Ik wil graag een vpn server draaien om de NAS extern te kunnen benaderen.

Verder wil ik aan de gang met pihole , unbound en eventueel suricata (maar begreep dat dit voor normaal thuisgebruik niet persee iets toevoegd).

Vorkie schreef op vrijdag 19 november 2021 @ 13:51:
Mijn i3 6100 is powered genoeg voor 1Gbit/s PPPoE.

Vorkie in "Zelfbouw project: Firewall / Router / AP"

Nu had ik de protectli/yanling J3160 op het oog, denken jullie dat deze voldoende krachtig zal zijn? Indien niet dan betaal ik liever iets meer dan dat ik tegen de limitaties aanloop en uiteindelijk toch iets krachtigers wil.

MindCtrller schreef op vrijdag 19 november 2021 @ 14:21:
Bedankt allen voor het meedenken . Ik verwacht wel aan 200/200 genoeg te hebben. Het liefst koop ik een kant en klaar boxje, zou mijn voorgestelde protectli/yanling/xsk met een J3160 processor moeten volstaan? (VPN server, pihole, unbound, eventueel suricata)

Harmen schreef op vrijdag 19 november 2021 @ 13:21:
@Tom Paris Klopt wel, maargoed de meeste gebruikers hebben genoeg aan laten we zeggen 100-200Mbit.

Edit, voor 1GBit zal een sophos niet voldoende zijn, maargoed hoeveel tweakers hebben dit.

Harmen schreef op vrijdag 19 november 2021 @ 08:22:
@MindCtrller Wat je ook kan doen is op zoek gaan naar een oude Sophos firewall, deze worden regelmatig aangeboden.
Heb zelf voor 80 euro een Sophos SG115 op de kop getikt, bevalt prima tot nu toe.
Meer info: https://www.fastvue.co/so...-imagine-sophos-hardware/
Groot voordeel is dat een Sophos is voorzien van Intel nics en passief is gekoeld.

Heb de mijne voorzien van Opnsense. Draait als een zonnetje met oa openvpn en sensei ngfw.

In the case of the Sophos 115, it is a Nexcom DNA120.

[ Voor 17% gewijzigd door nero355 op 19-11-2021 15:34 ]

[ Voor 21% gewijzigd door Harmen op 19-11-2021 15:45 ]

Harmen schreef op vrijdag 19 november 2021 @ 08:22:
@MindCtrller Wat je ook kan doen is op zoek gaan naar een oude Sophos firewall, deze worden regelmatig aangeboden.
Heb zelf voor 80 euro een Sophos SG115 op de kop getikt, bevalt prima tot nu toe.
Meer info: https://www.fastvue.co/so...-imagine-sophos-hardware/
Groot voordeel is dat een Sophos is voorzien van Intel nics en passief is gekoeld.

Heb de mijne voorzien van Opnsense. Draait als een zonnetje met oa openvpn en sensei ngfw.

groxgrox schreef op vrijdag 19 november 2021 @ 17:13:
[...]


Die zien er goed uit! Ik zoek iets als opvolger voor mijn nanopi r2s. Die haalt met OpenVPN aan zo'n 200mbit (op een 1000/1000 lijn).
Ik zoek iets wat meer snelheid aan kan.
Welke snelheid haalt dit apparaat met OpenVPN?

[ Voor 7% gewijzigd door Tom Paris op 19-11-2021 19:14 ]

Tom Paris schreef op vrijdag 19 november 2021 @ 19:13:
De oplossing voor meer snelheid met OpenVPN is niet een krachtigere processor, maar overstappen op Wireguard

nero355 schreef op vrijdag 19 november 2021 @ 19:33:
[...]

Dat is wel ERG FLAUW

Wat natuurlijk ook helpt :
- Een OpenVPN build die Offloading Support heeft.
- Een CPU die dergelijke Offloading aan boord heeft.



En anders is het gewoon stampen op basis van de pure snelheid van de CPU

Tom Paris schreef op vrijdag 19 november 2021 @ 19:42:
[...]


Tsja flauw... Snelle blik op het OpenWRT forum toont dat de genoemde NanoPi R2S zo'n 400Mbit haalt op Wireguard... dat is toch 2x zo snel als OpenVPN op dezelfde SOC

This model includes 4GB DDR4 RAM, 128GBSolid State Flash and can handle up to 8.5Gbps Firewall & 1.2Gbps IPsec throughput (AES256GCM16).

wian schreef op zondag 21 november 2021 @ 20:50:
[...]

Edit: ik zie nu dat Surfshark wel wireguard biedt. Geven ze alleen geen instructies? Op zich is het voor ieder Linux / BSD OS hetzelfde, gewoon een kwestie van de wireguard config downloaden en uitvogelen hoe je e.e.a. op openwrt configureert.

[ Voor 107% gewijzigd door rens-br op 27-11-2021 17:08 ]

Guneyd schreef op vrijdag 21 januari 2022 @ 19:36:
Zojuist het volgende gekocht via Amazon:
https://www.amazon.nl/dp/...%2Caps%2C126&sr=8-40&th=1


8GB RAM
128GB SSD
Intel Celeron Quad Core (+2 Ghz)
4 x 2.5 GB Intel ethernet ports

en dat allemaal voor ~300 euro incl. verzending . Ik moet wel wachten tot 4~10 februari, voordat ik het binnenheb, can't wait .

Guneyd schreef op Friday 21 January 2022 @ 19:36:
Zojuist het volgende gekocht via Amazon:
https://www.amazon.nl/dp/...%2Caps%2C126&sr=8-40&th=1


8GB RAM
128GB SSD
Intel Celeron Quad Core (+2 Ghz)
4 x 2.5 GB Intel ethernet ports

en dat allemaal voor ~300 euro incl. verzending . Ik moet wel wachten tot 4~10 februari, voordat ik het binnenheb, can't wait .

[ Voor 6% gewijzigd door TheVMaster op 21-01-2022 20:05 ]

TheVMaster schreef op vrijdag 21 januari 2022 @ 20:04:
[...]


Zijn dat soort specs afdoende voor Gbit/Gbit glas en bv apps als suricata en OpenVPN? Ben nog op zoek naar iets vergelijkbaars, ter vervanging van mijn Unifi Dreammachine Pro

Miki schreef op Friday 21 January 2022 @ 21:22:
Het is jammer dat PFsense/OPNsense icm X86 zo bizar inefficiënt is.

Ik denk dat op dit moment Mikrotik met de RB5009 voor Tweakers de meest interessante router heeft. Voor rond de €200 heb je een beest van een router. Het enige wat even kan afschrikken is de steile leercurve van RouterOS maar als je toch al van plan was om PFsense/OPNsense te draaien dan moet dit ook wel lukken.

Samplex schreef op Friday 21 January 2022 @ 22:18:
Word de i225-V netwerk kaart wel ondersteund door pfsense/opnsense?

Guneyd schreef op vrijdag 21 januari 2022 @ 19:36:
Zojuist het volgende gekocht via Amazon:
https://www.amazon.nl/dp/B09PHGWPMB/

8GB RAM
128GB SSD
Intel Celeron Quad Core (+2 Ghz)
4 x 2.5 GB Intel ethernet ports

en dat allemaal voor ~300 euro incl. verzending . Ik moet wel wachten tot 4~10 februari, voordat ik het binnenheb, can't wait .

SkorpionNL schreef op vrijdag 21 januari 2022 @ 20:54:
en of je kunt offloaden via hardware of dat de CPU het geheel voor zijn rekening moet nemen.
Voor OpenVPN is bijvoorbeeld single core performance van groot belang voor de doorvoersnelheid.

Persoonlijk verwacht ik dat bovengenoemde setup niet voldoende zal zijn voor symmetrisch Gbit en zaken als IDS/IPS. Zelf ben ik gegaan voor een i5-8250U Quad Core met 16GB RAM. Dit gezien ik Sensei/Zenarmor en Suricata wil gaan draaien en Elasticsearch nogal veeleisend kan zijn zoals ik begrepen heb.

Mogelijk is deze setup zwaar overkill, maar ik nam liever het zekere voor het onzekere.

wian schreef op vrijdag 21 januari 2022 @ 23:26:
Meer dan 2,5Gbit heb je voorlopig niet nodig.

De 8Gbit glasvezel modems van Delta bijvoorbeeld schijnen 2,5Gbit LAN interfaces te hebben, alleen de fiber uplink is 8Gbit.

De eerste glasvezelmodems die Delta levert kunnen nog geen 8Gbit/s doorgeven, maar hebben 1Gbit/s- en 2,5Gbit/s-lanpoorten en ondersteuning voor Wi-Fi 5 en 6, oftewel 802.11ac en 802.11ax.
Pas eind 2022 maakt het bedrijf een modem beschikbaar dat een lanpoort van 8Gbit/s heeft.

[ Voor 33% gewijzigd door nero355 op 21-01-2022 23:30 ]

wian schreef op Friday 21 January 2022 @ 23:26:
[...]


Goede vondst! Uitstekende specs voor het geld. Hoor graag je ervaringen. Ben benieuwd of dit doosje ook redelijk koel blijft.

Meer dan 2,5Gbit heb je voorlopig niet nodig. De 8Gbit glasvezel modems van Delta bijvoorbeeld schijnen 2,5Gbit LAN interfaces te hebben, alleen de fiber uplink is 8Gbit.

Miki schreef op vrijdag 21 januari 2022 @ 21:22:
Het is jammer dat PFsense/OPNsense icm X86 zo bizar inefficiënt is.

Ik denk dat op dit moment Mikrotik met de RB5009 voor Tweakers de meest interessante router heeft. Voor rond de €200 heb je een beest van een router. Het enige wat even kan afschrikken is de steile leercurve van RouterOS maar als je toch al van plan was om PFsense/OPNsense te draaien dan moet dit ook wel lukken.

wian schreef op Friday 21 January 2022 @ 23:33:
[...]


Ziet er nog mooi uit ook. Maar ga je er qua functionaliteit niet gigantisch op achteruit? Hoe zit het met WireGuard, ad blocking en geo blocking? Kan dit met router os?

wian schreef op vrijdag 21 januari 2022 @ 23:33:
[...]


Ziet er nog mooi uit ook. Maar ga je er qua functionaliteit niet gigantisch op achteruit? Hoe zit het met WireGuard, ad blocking en geo blocking? Kan dit met router os?

wian schreef op vrijdag 21 januari 2022 @ 23:33:
Maar ga je er qua functionaliteit niet gigantisch op achteruit?

Hoe zit het met WireGuard, ad blocking en geo blocking? Kan dit met router os?

RobertMe schreef op vrijdag 21 januari 2022 @ 20:01:
[...]

Toch klinkt 2,5Gbit/s gewoon jammer. Het was origineel gewoon 100Mbit/s => 1Gbit/s => 10Gbit/s. En vervolgens worden er ineens twee trage varianten van 10Gbit/s gemaakt in de vorm van 2,5Gbit/s en 5Gbit/s. Het is dus niet eens een doorontwikkelde 1Gbit/s.
Daarnaast gaat Delta fiber volgens mij ook al 8Gbit/s aanbieden, dus de vraag is dan of deze tussenliggende snelheden überhaupt aanslaan. Want als glasvezel boeren inderdaad nu al naar veel hogere Gbit/s snelheden kijken dan is een 2,5Gbit/s router nu al niet meer echt toekomstbestendig.

TheVMaster schreef op vrijdag 21 januari 2022 @ 20:04:
[...]


Zijn dat soort specs afdoende voor Gbit/Gbit glas en bv apps als suricata en OpenVPN? Ben nog op zoek naar iets vergelijkbaars, ter vervanging van mijn Unifi Dreammachine Pro

[ Voor 16% gewijzigd door Guneyd op 22-01-2022 10:21 ]

wian schreef op vrijdag 21 januari 2022 @ 23:33:
[...]


Ziet er nog mooi uit ook. Maar ga je er qua functionaliteit niet gigantisch op achteruit? Hoe zit het met WireGuard, ad blocking en geo blocking? Kan dit met router os?

[ Voor 42% gewijzigd door Miki op 22-01-2022 13:44 ]

Miki schreef op Saturday 22 January 2022 @ 10:00:
[...]

Wireguard moet volgens mij wel lukken wat ik zo tussen de oogharen door heb gelezen. Ad blocking en geo blocking zit niet standaard in RouterOS voorzover ik weet, heb geen MikroTik apparaten in huis. Ik vermoed dat je doelt op extra toevoegingen zoals PFblockerng en Suricata.

De genoemde router heeft wel genoeg power om extra zaken aan toe te voegen dus wellicht dat vanuit de community nog eea gaat komen.

Terugkomend op PFsense/OPNsense hardware, volgens mij wordt nog steeds PPPoE verkeer afgewikkeld over één en is er geen fatsoenlijke hardware offloading via de NIC’s mogelijk. Voor de mensen met een internetverbinding die middels DHCP wordt opgebouwd is dat geen probleem maar als wat over Glas gaat via KPN heeft een probleem. Dat betekent dat je relatief dure hardware nodig hebt om een fatsoenlijke snelheid te halen met dito stroomverbruik terwijl een simpel dedicated boardje er totaal geen moeite mee heeft. Ik heb nu een tweedehands Edgerouter X van nog geen €30 dat zonder enige moeite alle routing verzorgt en een raspberry pi die ad blocking verzorgt.

Miki schreef op zaterdag 22 januari 2022 @ 10:00:
[...]

Wireguard moet volgens mij wel lukken wat ik zo tussen de oogharen door heb gelezen. Ad blocking en geo blocking zit niet standaard in RouterOS voorzover ik weet, heb geen MikroTik apparaten in huis. Ik vermoed dat je doelt op extra toevoegingen zoals PFblockerng en Suricata.

De genoemde router heeft wel genoeg power om extra zaken aan toe te voegen dus wellicht dat vanuit de community nog eea gaat komen.

Terugkomend op PFsense/OPNsense hardware, volgens mij wordt nog steeds PPPoE verkeer afgewikkeld over één core en is er geen fatsoenlijke hardware offloading via de NIC’s mogelijk. Voor de mensen met een internetverbinding die middels DHCP wordt opgebouwd is dat geen probleem maar als wat over Glas gaat via KPN heeft een probleem. Dat betekent dat je relatief dure hardware nodig hebt om een fatsoenlijke snelheid te halen met dito stroomverbruik terwijl een simpel dedicated boardje er totaal geen moeite mee heeft. Ik heb nu een tweedehands Edgerouter X van nog geen €30 dat zonder enige moeite alle routing verzorgt en een raspberry pi die ad blocking verzorgt.

eymey schreef op Saturday 22 January 2022 @ 15:21:
[...]


Toch nog wel even wat praktijkervaring aangaande PPPoE met OPNSense:

Ik zit nu op een 1 Gbit/s verbinding van Freedom, via Tweak/Cambrium. Via PPPoE over een VLAN.

OPNSense draait gevirtualiseerd (KVM VM, managed met Proxmox VE) en heeft 2 virtuele CPU's van een Shuttle DH310 met een I3-8100. Er draait niet echt IDS/IPS van belang.

Maar verder haalt deze opstelling de 1 Gbit/s prima

Guneyd schreef op zaterdag 22 januari 2022 @ 09:49:
- Gigabit internet van Ziggo (wellicht dat ik dit later nog ga downgraden)

Miki schreef op zaterdag 22 januari 2022 @ 10:00:
Ik heb nu een tweedehands Edgerouter X van nog geen €30 dat zonder enige moeite alle routing verzorgt en een raspberry pi die ad blocking verzorgt.

Tom Paris schreef op zaterdag 22 januari 2022 @ 15:39:
10Gbit NIC in je PC en DAC tussen je PC en server? Heb je een echte 10Gbit link voor een paar tientjes...

Tom Paris schreef op zaterdag 22 januari 2022 @ 15:39:
[...]


10Gbit NIC in je PC en DAC tussen je PC en server? Heb je een echte 10Gbit link voor een paar tientjes...

(Als je toch al een server hebt, waarom dan niet *sense draaien als VM?)

Guneyd schreef op zaterdag 22 januari 2022 @ 17:37:
2,5 Gbit in mijn PC zit aan het moederbord vast en gezien ik een mini-itx build heb, is mijn enige pci slot in gebruik voor mijn GPU

* nero355 is blij met zijn veel te grote kast en moederbord met 7 PCIe sloten

nero355 schreef op zaterdag 22 januari 2022 @ 17:49:
[...]

Die vreselijke Mini-ITX hype maakt meer kapot dan je lief is!

* nero355 is blij met zijn veel te grote kast en moederbord met 7 PCIe sloten

Guneyd schreef op Saturday 22 January 2022 @ 17:37:
[...]


2,5 Gbit in mijn PC zit aan het moederbord vast en gezien ik een mini-itx build heb, is mijn enige pci slot in gebruik voor mijn GPU .

Ik heb wel een tijdje geprobeerd om PfSense in een VM op mijn server te draaien, maar ik wil liever een dedicated machine hiervoor gebruiken. Dan hoef ik ook niet te dealen met vage constructies + dat mijn internet/netwerk eruit ligt als ik mijn server reboot of iets in die trend .

Videopac schreef op zaterdag 22 januari 2022 @ 18:15:
En het verbruik van die joekel is…?

Miki schreef op zaterdag 22 januari 2022 @ 10:00:
[...]
Ad blocking en geo blocking zit niet standaard in RouterOS voorzover ik weet, heb geen MikroTik apparaten in huis. Ik vermoed dat je doelt op extra toevoegingen zoals PFblockerng en Suricata.

[ Voor 7% gewijzigd door Theone098 op 23-01-2022 19:16 ]

[ Voor 3% gewijzigd door TheVMaster op 24-01-2022 22:23 ]

TheVMaster schreef op maandag 24 januari 2022 @ 22:21:
Na lang puzzelen ben ik voor deze hardware gegaan. Twijfel nog wel of ik OPNsense ga draaien, of PFsense. De hardware moet volgens mij voldoende zijn voor Gbit/Gbit en PPPoE en wat plugins als suricata etc.

#	Category	Product	Prijs	Subtotaal
1	Processors	Intel Core i5-9400 Boxed	€ 166,35	€ 166,35
1	Barebones	Shuttle XPC XH310RV	€ 263,35	€ 263,35
1	Geheugen intern	Crucial CT8G4SFS8266	€ 38,-	€ 38,-
1	Solid state drives	Transcend 110S 256GB	€ 35,95	€ 35,95
			Totaal	€ 503,65

TheVMaster schreef op maandag 24 januari 2022 @ 22:21:
Na lang puzzelen ben ik voor deze hardware gegaan. Twijfel nog wel of ik OPNsense ga draaien, of PFsense. De hardware moet volgens mij voldoende zijn voor Gbit/Gbit en PPPoE en wat plugins als suricata etc.

#	Category	Product	Prijs	Subtotaal
1	Processors	Intel Core i5-9400 Boxed	€ 166,35	€ 166,35
1	Barebones	Shuttle XPC XH310RV	€ 263,35	€ 263,35
1	Geheugen intern	Crucial CT8G4SFS8266	€ 38,-	€ 38,-
1	Solid state drives	Transcend 110S 256GB	€ 35,95	€ 35,95
			Totaal	€ 503,65

SkorpionNL schreef op Tuesday 25 January 2022 @ 08:24:
[...]
De hardware lijkt mij ook zeker capabel voor je doel!

Wat betreft Pfsense of OPNSense komt het denk ik vooral aan op je eigen voorkeur (GUI, community etc.) Qua mogelijkheden ontloopt het elkaar nauwelijks volgens mij, dat zal dan vooral op verschil in de plug-ins aankomen.

Ik heb zelf OPNSense eerst in een VM gestart om een beetje door te kunnen klikken om te kijken of het mij beviel. Vervolgens heb ik later de hardware besteld.

TheVMaster schreef op maandag 24 januari 2022 @ 22:21:
Na lang puzzelen ben ik voor deze hardware gegaan. Twijfel nog wel of ik OPNsense ga draaien, of PFsense. De hardware moet volgens mij voldoende zijn voor Gbit/Gbit en PPPoE en wat plugins als suricata etc.

#	Category	Product	Prijs	Subtotaal
1	Processors	Intel Core i5-9400 Boxed	€ 166,35	€ 166,35
1	Barebones	Shuttle XPC XH310RV	€ 263,35	€ 263,35
1	Geheugen intern	Crucial CT8G4SFS8266	€ 38,-	€ 38,-
1	Solid state drives	Transcend 110S 256GB	€ 35,95	€ 35,95
			Totaal	€ 503,65

Miki schreef op Tuesday 25 January 2022 @ 09:53:
[...]

Hmm de componenten heb ik in de kast liggen, alleen de Shuttle barebone niet. Je brengt me op gedachten

PerlinNoise schreef op dinsdag 25 januari 2022 @ 08:51:
Een i5-9400 is echt overkill voor KPN PPPoE. Ik draai een Celeron G4900 (op Gbit/Gbit PPPoE) en komt niet boven de 26% CPU uit op full load.
Load average is natuurlijk helemaal belachelijk laag, dus met een aantal extra plugins ook geen probleem.

[Afbeelding]

Teutlepel schreef op dinsdag 25 januari 2022 @ 12:40:
Ik lees dat jullie het ook over VPN performance hebben. Voor een nieuwe thuis router/VPN server wil ik graag 1 Gbit/s kunnen halen met Wireguard VPN (ChaCha20).

Is een Celeron G4900 genoeg voor 1Gbit/s Wireguard VPN?

Op internet lees ik veel verschillende verhalen die varieren van 300-400 mbit/s tot 1 Gbit/s met deze CPU. Op de Wireguard site (https://www.wireguard.com/performance/) staat dat een i7 processor zeker genoeg is

Maar dit lijkt mij zwaar overkill toch? Iemand ervaring?

nero355 schreef op dinsdag 25 januari 2022 @ 14:10:
[...]

Die 26% zegt al genoeg : 1 Core die op zijn max staat te stampen om die (gelijktijdige ?!) 100 MB/s download en 100 MB/s Upload te verwerken!

Tom Paris schreef op dinsdag 25 januari 2022 @ 14:34:
Dat kun je uit alleen het percentage niet afleiden... Wel kun je in je system activity nagaan of/hoe de load verdeeld wordt over de cores.

Zeker met PPPoE kan het nuttig zijn om hier een system tunable voor in te stellen als die verdeling er niet (of niet goed) is: net.isr.dispatch=deferred

nero355 schreef op dinsdag 25 januari 2022 @ 14:37:
[...]

Dat percentage is de Load over ALLE Cores dus dat zegt wel degelijk iets over hoeveel je het systeem met PPPoE belast!

1 Core die op zijn max staat te stampen

Tom Paris schreef op dinsdag 25 januari 2022 @ 14:39:
Dit klopt ja, maar in je vorige post claim je dat 1 core volledig belast wordt en de rest niets doet:

nero355 schreef op dinsdag 25 januari 2022 @ 14:46:
[...]

Omdat het effectief daar wel op neerkomt :

- 4 Core CPU
- 26% belast
=
Grofweg 1% voor het OS en 25% van 4 dus 1 Core die je volledig benut voor PPPoE

Had er 51%/76% gestaan of iets in die richting dan kan je veilig stellen dat het geen Single Core process is en je dus in het ergste geval alle 4 Cores zou kunnen gebruiken...

En dat er zoiets als Multi-Threaded Single Core software bestaat weten we al jarenlang natuurlijk!

Tom Paris schreef op dinsdag 25 januari 2022 @ 14:55:
Dit is echt fundamenteel onjuist. Waarom kan 26% niet 2x 13 zijn, of 18 + 8, of welke andere combinatie... @PerlinNoise geeft aan "een aantal extra plugins" te draaien (kun je ook wel afleiden aan het geheugengebruik), dus je kunt echt niet stellen dat PPPoE hier 25% trekt en daarmee een enkele core vol gebruikt.

nero355 schreef op dinsdag 25 januari 2022 @ 14:59:
[...]
En JA : I assumed! So what ?! Sue me!

nero355 schreef op dinsdag 25 januari 2022 @ 14:46:
[...]

Omdat het effectief daar wel op neerkomt :

- 4 Core CPU
- 26% belast
=
Grofweg 1% voor het OS en 25% van 4 dus 1 Core die je volledig benut voor PPPoE

Had er 51%/76% gestaan of iets in die richting dan kan je veilig stellen dat het geen Single Core process is en je dus in het ergste geval alle 4 Cores zou kunnen gebruiken...

En dat er zoiets als Multi-Threaded Single Core software bestaat weten we al jarenlang natuurlijk!

Ankh schreef op dinsdag 25 januari 2022 @ 15:17:
Maar de CPU is geen 4 cores, maar 2.. (Celeron G4900)

nero355 schreef op dinsdag 25 januari 2022 @ 18:27:
[...]

AWKWARD!!!

Dat hele ding wijkt af van zijn meeste soortgenoten : https://ark.intel.com/con...or-2m-cache-3-10-ghz.html
- Geen Quad Core
- Geen HyperThreading
- Wel VT-D

Dan weet ik het ook niet meer...

Ankh schreef op dinsdag 25 januari 2022 @ 18:37:
[...]

Haha
Maar eigenlijk wel een nette CPU voor z'n doel, geen poespas gewoon veel GHz (3.1). En dat is vooral lekker bij PPPOE verbindingen

[ Voor 7% gewijzigd door PerlinNoise op 25-01-2022 19:10 ]

Ik snap er niets van. Heb mijn Shuttle geconfigureerd en haal (op mijn Gbit lijn) maximaal 90 Mbps/90Mbps

[ Voor 30% gewijzigd door TheVMaster op 26-01-2022 23:30 ]

TheVMaster schreef op woensdag 26 januari 2022 @ 21:58:
Ik snap er niets van. Heb mijn Shuttle geconfigureerd en haal (op mijn Gbit lijn) maximaal 90 Mbps/90Mbps

Check Interface status page and verify WAN is up, dhcp is up, has IPv4 address, and that the speed link is 1000BaseT Full Duplex

[ Voor 23% gewijzigd door Miki op 26-01-2022 22:33 ]

Miki schreef op Wednesday 26 January 2022 @ 22:30:
[...]

Ik vermoed iets van Auto > 100 > 1Gbit (full duplex) instelling aan je WAN kant. Ik weet dat routers in algemene zin hier wel eens last van hebben, met name in de auto stand.

Edit: net gejat uit een topic op internet

[...]

[ Voor 7% gewijzigd door TheVMaster op 26-01-2022 22:58 ]