Zelfbouw project: Firewall / Router / AP

TheVMaster schreef op woensdag 26 januari 2022 @ 22:57:
[...]


Heeft het nog zin om aan deze instellingen te zitten, dat wil zeggen (ze staan standaard disabled) de vonkjes weghalen? De snelheid lijkt (via een speediest op mijn Apple TV) nu wel goed. Raar, want speedtest vanaf een bekabelde pc gaf dus die 90Mbps….

[Afbeelding]

Ik zou je graag willen helpen maar ik heb geen inhoudelijke kennis van PFsense. Wellicht dat anderen hier wel kunnen helpen @Tom Paris bijvoorbeeld?

Miki schreef op Wednesday 26 January 2022 @ 23:07:
[...]

Ik zou je graag willen helpen maar ik heb geen inhoudelijke kennis van PFsense. Wellicht dat anderen hier wel kunnen helpen @Tom Paris bijvoorbeeld?

Geeft niets, want ik draai OPNsense. Maar eh..e issues zijn opgelost

De ‘90 Mbps beperking’ kwam door een mismatch tussen twee switches in huis, die vonden zelf dat ze ineens maar op 100Mbps mochten praten. Die heb ik nu dedicated op Gbit Full Duplex gezet en nu praten ze wel weer op Gbit. Vage shit, maar goed jouw opmerking dat ik daar ff naar moest kijken (op de OPNsense doos) triggerde mij op het op de switches ook ff te checken.

TheVMaster schreef op woensdag 26 januari 2022 @ 23:16:
De ‘90 Mbps beperking’ kwam door een mismatch tussen twee switches in huis, die vonden zelf dat ze ineens maar op 100Mbps mochten praten. Die heb ik nu dedicated op Gbit Full Duplex gezet en nu praten ze wel weer op Gbit. Vage shit, maar goed jouw opmerking dat ik daar ff naar moest kijken (op de OPNsense doos) triggerde mij op het op de switches ook ff te checken.

Klinkt als een brakke kabel of poort op je Switch dus kijk uit met dat soort dingen!

TheVMaster schreef op woensdag 26 januari 2022 @ 22:57:
Heeft het nog zin om aan deze instellingen te zitten, dat wil zeggen (ze staan standaard disabled) de vonkjes weghalen?

[Afbeelding]

Dat zijn de juiste instellingen voor gebruik in een VM of brakke RealTek NIC's

nero355 schreef op Thursday 27 January 2022 @ 00:17:
[...]

Klinkt als een brakke kabel of poort op je Switch dus kijk uit met dat soort dingen!
[...]

Dat zijn de juiste instellingen voor gebruik in een VM of brakke RealTek NIC's

Oke en als ik een fysieke bak heb met Intel NIC’s, dan kunnen ze dus uit?

[ Voor 9% gewijzigd door TheVMaster op 27-01-2022 01:29 ]

nero355 schreef op donderdag 27 januari 2022 @ 00:17:
[...]

Klinkt als een brakke kabel of poort op je Switch dus kijk uit met dat soort dingen!
[...]

Dat zijn de juiste instellingen voor gebruik in een VM of brakke RealTek NIC's

Kan iemand concreet maken wat er mis is met Realtek NIC’s?

Videopac schreef op donderdag 27 januari 2022 @ 07:47:
[...]

Kan iemand concreet maken wat er mis is met Realtek NIC’s?

https://www.robpeck.com/2...-realtek-nics-in-pfsense/

As it turns out, a stock pfSense installation emphatically does not like Realtek network cards. And this is because the default Realtek drivers in FreeBSD (which pfSense is based on) are old and have many issues. As it turns out, this is exactly what was reported in this forum post.

https://forums.serverbuil...se-use-2-5gb-realtek/3555

MuVo schreef op donderdag 27 januari 2022 @ 07:59:
[...]


https://www.robpeck.com/2...-realtek-nics-in-pfsense/


[...]


https://forums.serverbuil...se-use-2-5gb-realtek/3555

Beide oud nieuws. Het is niet de schuld van Realtek dat pfSense er zo lang over gedaan heeft om de drivers te updaten. Vrijwel al het gejank over Realtek heeft te maken met oude versies van pfSense waar een sterk verouderde driver in zit die inderdaad slecht werkt.

Videopac schreef op donderdag 27 januari 2022 @ 08:06:
[...]

Beide oud nieuws. Het is niet de schuld van Realtek dat pfSense er zo lang over gedaan heeft om de drivers te updaten. Vrijwel al het gejank over Realtek heeft te maken met oude versies van pfSense waar een sterk verouderde driver in zit die inderdaad slecht werkt.

Klopt, blijkbaar zit in versie 2.5 van pfsense een nieuwere driver. Maar de FreeBSD driver van Realtek zelf zou beter werken volgens een Reddit post. Maar het blijven driver gerelateerde problemen, maar wat de problemen concreet zijn in de driver is niet helder.

MuVo schreef op Thursday 27 January 2022 @ 08:16:
[...]


Klopt, blijkbaar zit in versie 2.5 van pfsense een nieuwere driver. Maar de FreeBSD driver van Realtek zelf zou beter werken volgens een Reddit post. Maar het blijven driver gerelateerde problemen, maar wat de problemen concreet zijn in de driver is niet helder.

Maar dit issue doet zich weer alleen voor in pfSense, toch en niet in OPNsense?

TheVMaster schreef op woensdag 26 januari 2022 @ 22:57:
[...]


Heeft het nog zin om aan deze instellingen te zitten, dat wil zeggen (ze staan standaard disabled) de vonkjes weghalen? De snelheid lijkt (via een speediest op mijn Apple TV) nu wel goed. Raar, want speedtest vanaf een bekabelde pc gaf dus die 90Mbps….

[Afbeelding]

Interessante vraag. Daar ben ik eigenlijk ook wel benieuwd naar.

In de Wiki van OPNsense raden ze aan (in ieder geval in de meeste gevallen) om de vinkjes aan te laten staan.

https://docs.opnsense.org/manual/interfaces_settings.html

Ik heb de verschillende opties allemaal even geprobeerd maar zie geen noemenswaardige verschillen. Download haal ik 300-600Mb/s, upload 300-500Mb/s. Ping tussen de 5 en 11 ms.
Als ik tegelijk in pfSense kijk zie ik de processorbelasting maximaal 24% worden, terwijl ik een 4-kernen processor heb (J4105). Hoe weet ik of alle 4 kernen wel aangesproken worden in pfSense?

TheVMaster schreef op donderdag 27 januari 2022 @ 01:29:
Oke en als ik een fysieke bak heb met Intel NIC’s, dan kunnen ze dus uit?

Blijkbaar niet volgens dit artikel :

SkorpionNL schreef op donderdag 27 januari 2022 @ 10:10:
Interessante vraag. Daar ben ik eigenlijk ook wel benieuwd naar.

In de Wiki van OPNsense raden ze aan (in ieder geval in de meeste gevallen) om de vinkjes aan te laten staan.

https://docs.opnsense.org/manual/interfaces_settings.html

Eigenlijk ook best wel raar dat we het daar niet eerder over hebben gehad

Videopac schreef op donderdag 27 januari 2022 @ 07:47:
Kan iemand concreet maken wat er mis is met Realtek NIC’s?

Videopac schreef op donderdag 27 januari 2022 @ 08:06:
Het is niet de schuld van Realtek dat pfSense er zo lang over gedaan heeft om de drivers te updaten.
Vrijwel al het gejank over Realtek heeft te maken met oude versies van pfSense waar een sterk verouderde driver in zit die inderdaad slecht werkt.

Nee, want dit :

Tom Paris schreef op donderdag 27 januari 2022 @ 13:42:
Het fundamentele probleem van Realtek NICs is de buffer die ze hebben. Dat is voor de meest modellen 4k non-prefetch + 16k prefetch. Een Intel i211 heeft bijvoorbeeld 16k + 128k. Een kleinere buffer betekent meer CPU interrupts en stabiliteitsissues bij intensief verkeer. Dat laatste probeert Realtek met drivers te verhelpen, maar even stabiel en performant als NICs met grotere buffers zal het nooit worden. Het helpt daarbij niet dat FreeBSD inderdaad traag is met het opnemen van drivers, waardoor je in alle FreeBSD-gebaseerde distro's in meer of mindere mate aangewezen bent op een andere kernel-module.

Wat je dus samen kan vatten als een hoger CPU gebruik dan de Intel/Broadcom/Marvell concurrenten is iets dat al gaande is sinds de oude RTL8139 NIC's van 20 jaar geleden of zo...

Daarmee wil ik overigens niet zeggen dat ik de RealTek modellen helemaal niet hoef in mijn PC's of Laptops maar in mijn FireWall/Router/Server/NAS wil ik ze zeer zeker NIET zien!

Videopac schreef op donderdag 27 januari 2022 @ 12:21:
Ik heb de verschillende opties allemaal even geprobeerd maar zie geen noemenswaardige verschillen. Download haal ik 300-600Mb/s, upload 300-500Mb/s. Ping tussen de 5 en 11 ms.
Als ik tegelijk in pfSense kijk zie ik de processorbelasting maximaal 24% worden, terwijl ik een 4-kernen processor heb (J4105). Hoe weet ik of alle 4 kernen wel aangesproken worden in pfSense?

Dat zijn best wel zeer variërende getallen...

- Hoe heb je getest ?
- Kan je een test doen waarbij je TEGELIJK downloadt en uploadt ?

Voor de CPU belasting zou ik top/htop erbij pakken

Tom Paris schreef op donderdag 27 januari 2022 @ 13:42:
[...]


Het fundamentele probleem van Realtek NICs is de buffer die ze hebben. Dat is voor de meest modellen 4k non-prefetch + 16k prefetch. Een Intel i211 heeft bijvoorbeeld 16k + 128k. Een kleinere buffer betekent meer CPU interrupts en stabiliteitsissues bij intensief verkeer. Dat laatste probeert Realtek met drivers te verhelpen, maar even stabiel en performant als NICs met grotere buffers zal het nooit worden. Het helpt daarbij niet dat FreeBSD inderdaad traag is met het opnemen van drivers, waardoor je in alle FreeBSD-gebaseerde distro's in meer of mindere mate aangewezen bent op een andere kernel-module.

OK, duidelijk. Voor zover ik kan nagaan hebben de Realtek 8111E's op mijn Odroid H2 8k/16k buffer, al is die informatie moeilijk te vinden. Ik ga maar eens op zoek naar iets nieuws met Intel NIC's, bijvoorkeur 225 en passief gekoeld, met een i3 CPU o.i.d. Dan wordt die Odroid een Linux knutsel-/probeer "NUC".

Hemmen schreef op maandag 26 januari 2015 @ 11:50:
Intro


- Moederbord: Gigabyte GA-J1900N-D3V (Fanless)
- Processor: Onboard Intel Celeron J9100

Die CPU heeft geen AESNI. Upgraden naar pfsense 2.5 kan dan niet meer. Ik zou een MB kiezen met CPU die dat wel heeft. Ook als je later een VPN tunnel wilt gebruiken kan die van deze instructie profiteren.

Realtek hoeft geen issue te zijn. Mijn setup draait ook op realtek, ze hebben inmiddels een package met drivers die je kan installeren via de pkg manager dus het zelf compileren is niet meer nodig. Gebruik ook de IDS en heb nul issues met de machine.

[ Voor 0% gewijzigd door Xenir op 28-01-2022 13:27 . Reden: typo ]

Xenir schreef op vrijdag 28 januari 2022 @ 13:25:
[...]


Die CPU heeft geen AESNI. Upgraden naar pfsense 2.5 kan dan niet meer.

Dit is echt een hardnekkig misverstand, check deze blogpost van pfSense van 3 jaar geleden...

Xenir schreef op vrijdag 28 januari 2022 @ 13:25:
Die CPU heeft geen AESNI. Upgraden naar pfsense 2.5 kan dan niet meer. Ik zou een MB kiezen met CPU die dat wel heeft. Ook als je later een VPN tunnel wilt gebruiken kan die van deze instructie profiteren.

Realtek hoeft geen issue te zijn. Mijn setup draait ook op realtek, ze hebben inmiddels een package met drivers die je kan installeren via de pkg manager dus het zelf compileren is niet meer nodig. Gebruik ook de IDS en heb nul issues met de machine.

Je reageert op een reactie uit 2015

Laatst de stap genomen om mijn OPNsense van mijn Proxmox server (i3-9100) te verhuizen naar een HUSN mini pc met een J4125 en 4x Intel 225-V controllers. Helaas is de performance nog niet om naar huis te schrijven (speedtests tussen de 300 en 600 Mbit) op den Tweak gigabit lijn.

Binnenkort maar eens kijken of ik met een Ubuntu live USB betere performance haal.

Jammer, denk dan toch te traag voor ppoe?

OPNsense herkent de Intel 225 wel correct?

Maar voor zover ik weet heb ik geen ppoe. OPNsense 22.1 herkent de poorten wel (met de igc driver)

Ik heb geen idee wat tweak fiber gebruikt, ik heb helaas geen fiber maar Ziggo, 600mbit haalt opnsense makkelijk met een j3160 cpu.

[ Voor 8% gewijzigd door Samplex op 29-01-2022 21:08 ]

Tweak heeft geen PPPoE

J4125 zal dan het probleem niet zijn, heb op meerdere plekken negatieve dingen gelezen over i225-v. Aantal revisies met hardware probleem, laatste zou wel goed zijn, dus hopelijk heb je in elk geval die goede chip.
Freebsd driver schijnt ook nog niet mature te zijn,met speedtests die terugvallen naar pakweg 500mbit, packetloss etc.
Zelf geen ervaring mee maar waar rook is....
Je zou eens kunnen zoek of er inmiddels oplosing voor is.

@XanderHuisman hoe meet je dat? Wat draait er nog meer op je *sense?

Heb je een testmachine rechtstreeks op je FW geprikt en daar speedtest mee gedaan?

Momenteel met speedtest op pc's achter de switch (unifi 16 poorts Poe switch). 2.5 GbE ga ik niet nodig zijnz maar wil wel stabiel 800/900 kunnen halen.

Op OPNsense niet zo gek veel, wireguard voor 2 remote home Assistant installaties, unbound en Telegraf.

XanderHuisman schreef op zondag 30 januari 2022 @ 11:45:
Momenteel met speedtest op pc's achter de switch (unifi 16 poorts Poe switch). 2.5 GbE ga ik niet nodig zijn maar wil wel stabiel 800/900 kunnen halen.

Om de switch te kunnen uitsluiten; kun je dat eens testen met een PC rechtstreeks op de *sense?

Samplex schreef op zaterdag 29 januari 2022 @ 18:20:
Jammer, denk dan toch te traag voor ppoe?

OPNsense herkent de Intel 225 wel correct?

Het probleem met PPPoE en *sense is dat slechts 1 kern gebruikt wordt. Je moet dus op zoek naar iets dat zeer goede enkele-kern prestaties levert. Ben zelf ook nog op zoek, zou zo’n protectli met i3 wel 1Gb over PPPoE halen?

@Videopac Zoals al eerder is vermeld blijkt tweak geen pppoe te gebruiken dus zou dat niet het probleem moeten zijn.

@XanderHuisman Kun je de revisie van je NIC controlleren? De eerste twee revisies van de i225 hadden inderdaad problemen, vanaf rev=0x03 zou dit opgelost moeten zijn. pfSense 2.6 heeft nieuwere igc drivers, die zou je kunnen proberen, ik weet niet waar OPNsense staat.

Ook is de firmware van de i225 te updaten. Grote mobo-fabrikanten bieden die update als download aan, maar ik betwijfel of je die voor zo'n Chinese NUC ook 'officieel´ kan krijgen. Je kunt proberen iets van Asus/Gigabyte te gebruiken, maar dit is niet zonder risico natuurlijk.

(Nav de recente discussie, alle offloading uit staan?)

[ Voor 4% gewijzigd door Tom Paris op 30-01-2022 13:46 ]

Vreemd eigenlijk dat er geen pfSense 'Ervaringen & Discussie' topic bestaat. Te weinig interesse?

Eiríkr schreef op zondag 30 januari 2022 @ 18:01:
Vreemd eigenlijk dat er geen pfSense 'Ervaringen & Discussie' topic bestaat. Te weinig interesse?

Dit topic is daar een verkapte versie van denk ik...

Daarnaast bestaan er geloof ik wel een aantal topics waarbij pfSense wordt gebruikt ??

nero355 schreef op zondag 30 januari 2022 @ 19:04:
[...]

Dit topic is daar een verkapte versie van denk ik...

Daarnaast bestaan er geloof ik wel een aantal topics waarbij pfSense wordt gebruikt ??

Dat zal het zijn ja

Teutlepel schreef op dinsdag 25 januari 2022 @ 12:40:
Ik lees dat jullie het ook over VPN performance hebben. Voor een nieuwe thuis router/VPN server wil ik graag 1 Gbit/s kunnen halen met Wireguard VPN (ChaCha20).

Is een Celeron G4900 genoeg voor 1Gbit/s Wireguard VPN?

Op internet lees ik veel verschillende verhalen die varieren van 300-400 mbit/s tot 1 Gbit/s met deze CPU. Op de Wireguard site (https://www.wireguard.com/performance/) staat dat een i7 processor zeker genoeg is

Maar dit lijkt mij zwaar overkill toch? Iemand ervaring?

Ik haal met een Atom E3940 op pfSense 70MB/s via wireguard en ik denk dat de bottleneck bij mijn VPN provider ligt, niet de CPU. (maar heb geen provider met PPPoE)

Tom Paris schreef op zondag 30 januari 2022 @ 13:45:
@XanderHuisman Kun je de revisie van je NIC controlleren? De eerste twee revisies van de i225 hadden inderdaad problemen, vanaf rev=0x03 zou dit opgelost moeten zijn. pfSense 2.6 heeft nieuwere igc drivers, die zou je kunnen proberen, ik weet niet waar OPNsense staat.

Misschien heb ik dan toch nog een beetje geluk. pciconf rapporteert revisie 3. De vinkjes qua offloading staan allemaal aan.

igc0@pci0:1:0:0: class=0x020000 rev=0x03 hdr=0x00 vendor=0x8086 device=0x15f3 subvendor=0x8086 subdevice=0x0000
vendor = 'Intel Corporation'
device = 'Ethernet Controller I225-V'
class = network
subclass = ethernet

Ik ga eens kijken of ik firmware kan vinden voor deze NICs en eventueel eens kijken met Ubuntu of ik daar wel de volle performance haal.

@Videopac Kijk ook eens naar refurbished thin clients met vrij PCI-e slot. Zet je er een Intel i350 NIC in, en klaar Bijv. een Fujitsu S920 (dual core 2.2Ghz AMD), dan ben je met NIC onder de €100 klaar.

Als je wat geduld hebt, soms komt er ook wel een Fujitsu S940 of Wyse 5070 Extended voorbij voor rond de €200 (exclusief de NIC). Dan heb je een modernere Intel J5005.

Iemand het al aangedurft om versie 22.1 van Opnsense te installeren? Twijfel nog aangezien het os ook is veranderd. Mocht het niet goed gaan dan heb ik geen backup router paraat. Draai Opnsense op een Sophos SG115.

Ik wacht nog even met 22.1, zie veel traagheids problemen voorbij komen maar meestal zijn dit de bakkies met realtek nics.

pfSense krijgt veel kritiek op het niet includen van de Realtek vendor-driver, maar de native FreeBSD Realtek-driver te gebruiken, maar OPNsense doet nu ook wel iets raars:

The Realtek vendor driver is no longer bundled with the updated FreeBSD kernel. If unsure whether FreeBSD 13 supports your Realtek NIC please install the os-realtek-re plugin prior to upgrading to retain operability of your NICs.

Dus je valt weer terug op de problematische Realtek driver, en 2.5Gbit netwerkkaarten worden niet meer herkend.

Tom Paris schreef op dinsdag 1 februari 2022 @ 14:23:
pfSense krijgt veel kritiek op het niet includen van de Realtek vendor-driver, maar de native FreeBSD Realtek-driver te gebruiken, maar OPNsense doet nu ook wel iets raars:


[...]


Dus je valt weer terug op de problematische Realtek driver, en 2.5Gbit netwerkkaarten worden niet meer herkend.

Raadselachtig, inderdaad. Aan de hardwarematige kleine buffers van Realtek valt niets te doen, maar nu Realtek al enige tijd goede FreeBSD drivers heeft is er geen enkele reden om die niet te gebruiken. Het lijkt nogal dom van OPNsense. Ben benieuwd naar de beweegredenen hiervan.

Harmen schreef op dinsdag 1 februari 2022 @ 14:01:
Iemand het al aangedurft om versie 22.1 van Opnsense te installeren? Twijfel nog aangezien het os ook is veranderd. Mocht het niet goed gaan dan heb ik geen backup router paraat. Draai Opnsense op een Sophos SG115.

De update ging bij mij probleemloos en heb nu 1 van de 2 in HA op de nieuwe versie draaien; nog geen gekke dingen geconstateerd. Ik draai met Intel netwerkkaarten in een VM.

mrdemc schreef op Tuesday 1 February 2022 @ 15:20:
[...]


De update ging bij mij probleemloos en heb nu 1 van de 2 in HA op de nieuwe versie draaien; nog geen gekke dingen geconstateerd. Ik draai met Intel netwerkkaarten in een VM.

Hier ook, op mijn fysieke OPNsense bak draait nu 22.1 (2 Intel 211 NIC's btw).

Harmen schreef op dinsdag 1 februari 2022 @ 14:01:
Iemand het al aangedurft om versie 22.1 van Opnsense te installeren? Twijfel nog aangezien het os ook is veranderd. Mocht het niet goed gaan dan heb ik geen backup router paraat. Draai Opnsense op een Sophos SG115.

Ik heb afgelopen weekend de APU2 bij ons thuis geüpdatet naar 22.1. Via het USB image een nieuwe installatie uitgevoerd en de XML backup teruggezet. Alles geheel zonder problemen. De setup is niet zo heel spannend; een aantal VLANs gedefinieerd en wat plugins geïnstalleerd (udpbroadcastrelay, dmidecode, smart en ntopng).

Al enige tijd ben ik geïnteresseerd om wat meer met security thuis te doen.
Momenteel heb ik een USG 3p, meerdere VLANs, firewall, gasten toegang. Hier achter volledig ecosysteem van Unifi switches en AC-pro's.
Op de USG heb ik enige tijd geleden met deep package inspection (DPI) en intrusion detection (ID) aan gedraaid echter kwam dit de doorvoersnelheid niet ten goede. Maximaal 85 mbit bleef er over.

Dit zou ik toch graag nog wat meer willen uitdiepen en ik zat daarom te kijken naar een eigen bakje met opnsense erop.

Echter kom ik niet helemaal eruit met de hardware eisen. De hoogste eisen genoemd op de site zijn:
1,5 GHz multicore
8GB geheugen

Is dit voldoende voor DPI en ID zonder teveel verlies van snelheid?
Huidige verbinding is 1000 up en down glas.

Bl4ckviper schreef op woensdag 2 februari 2022 @ 13:17:
Al enige tijd ben ik geïnteresseerd om wat meer met security thuis te doen.
Momenteel heb ik een USG 3p, meerdere VLANs, firewall, gasten toegang. Hier achter volledig ecosysteem van Unifi switches en AC-pro's.
Op de USG heb ik enige tijd geleden met deep package inspection (DPI) en intrusion detection (ID) aan gedraaid echter kwam dit de doorvoersnelheid niet ten goede. Maximaal 85 mbit bleef er over.

Probleem met de USG 3P is dat deze een relatief zwakke cpu heeft die wel acceleratie doet op het normale verkeer maar DPI en IDS is te zwaar hiervoor. De nieuwe UDM(-Base/SE/Pro) en UDR hebben hier geen last van.

Samplex schreef op dinsdag 1 februari 2022 @ 14:10:
Ik wacht nog even met 22.1, zie veel traagheids problemen voorbij komen maar meestal zijn dit de bakkies met realtek nics.

Stapeltje fysieke dozen met Intel NICs en hier is het juist sneller geworden (van ~5 naar ~6 Gbit/s) en lagere latency bij load.

m3gA schreef op woensdag 2 februari 2022 @ 13:29:
Probleem met de USG 3P is dat deze een relatief zwakke cpu heeft die wel acceleratie doet op het normale verkeer maar DPI en IDS is te zwaar hiervoor.

DPI wordt Offload via een Chipje

IDS/IPS echter niet en dan kom je inderdaad op die lage snelheden uit...

De nieuwe UDM(-Base/SE/Pro) en UDR hebben hier geen last van.

UDR heeft een Dual Core ARM SoC
UDM reeks heeft een Quad Core ARM SoC
Suricata draait op maar één Core

Kortom : Lekker die DIY pfSense/OPNsense Router bouwen!

Bl4ckviper schreef op woensdag 2 februari 2022 @ 13:17:
Echter kom ik niet helemaal eruit met de hardware eisen. De hoogste eisen genoemd op de site zijn:
1,5 GHz multicore
8GB geheugen

Ik zou eens naar dit systeem kijken : TheVMaster in "Zelfbouw project: Firewall / Router / AP"
Maar dan met een i3 9100 i.p.v. een i5 eventueel, want dat lijkt zo op het eerste gezicht een beetje overkill...

nero355 schreef op woensdag 2 februari 2022 @ 15:49:
[...]

DPI wordt Offload via een Chipje

IDS/IPS echter niet en dan kom je inderdaad op die lage snelheden uit...

Bestaat er voor Linux pc's eigenlijk iets waarmee je dat soort dingen kan offloaden? Wel eens naar zitten Googlen, maar zonder succes.

nero355 schreef op Wednesday 2 February 2022 @ 15:49:
[...]

DPI wordt Offload via een Chipje

IDS/IPS echter niet en dan kom je inderdaad op die lage snelheden uit...


[...]

UDR heeft een Dual Core ARM SoC
UDM reeks heeft een Quad Core ARM SoC
Suricata draait op maar één Core

Kortom : Lekker die DIY pfSense/OPNsense Router bouwen!


[...]

Ik zou eens naar dit systeem kijken : TheVMaster in "Zelfbouw project: Firewall / Router / AP"
Maar dan met een i3 9100 i.p.v. een i5 eventueel, want dat lijkt zo op het eerste gezicht een beetje overkill...

Met die i5 draait hij wel als een zonnetje 😎 verbruik ligt continue rond de 30-40 W.

TheVMaster schreef op woensdag 2 februari 2022 @ 18:20:
[...]


Met die i5 draait hij wel als een zonnetje 😎 verbruik ligt continue rond de 30-40 W.

Dat vind ik echt véél te veel voor een simpele ‘router/firewall’. Mijn Mikrotik doet 8Watt en doet gewoon 1000/1000mbit. Ok, geen IPS/IDS maar als de ‘prijs’ daarvoor +/- 20Watt continu is, dan hoef ik dat ook echt lang van z’n leven niet.

lolgast schreef op Wednesday 2 February 2022 @ 18:44:
[...]

Dat vind ik echt véél te veel voor een simpele ‘router/firewall’. Mijn Mikrotik doet 8Watt en doet gewoon 1000/1000mbit. Ok, geen IPS/IDS maar als de ‘prijs’ daarvoor +/- 20Watt continu is, dan hoef ik dat ook echt lang van z’n leven niet.

Tja, maar ik wil geen microtik :-) En het had vast energiezuiniger gekund, maar die paar W meer of minder maakt hier in huis niet heel veel uit. Maar als je heel energiebewuste probeert te bouwen, dan kan ik dat wel snappen.

Energieverbruik is natuurlijk mooi meegenomen indien deze laag is. Voor mij is het belangrijkste doorvoersnelheid behouden bij intrusion detection en packet inspection.
@TheVMaster zou een i3 ook voldoende zijn dan?

Wat is jouw use case voor de voorgestelde hardware?

Ik zie trouwens wel dat die barbone maar 2 nics heeft. Was nog vergeten te vermelden dat ik 2 Wan verbindingen heb ivm backup. Dat gaat dan niet zomaar neem ik aan.

[ Voor 23% gewijzigd door Bl4ckviper op 02-02-2022 22:42 ]

Om eens een andere discussie aan te zwengelen, wat is anno 2022 nog echt het nut van IDS/IPS in een thuisnetwerk? Vrijwel al het verkeer is versleuteld in een TLS tunnel, dus je moet vooral focussen op fingerprinting. Je zou echte DPI kunnen doen met je eigen certificaten, maar dat pikken de meeste diensten ook niet meer.

Stel:
- pfBlocker blokkeert verkeer naar malicious URLs/IPs, inclusief spam/adware/etc.
- Inbound is alleen OpenVPN/Wireguard mogelijk, op een niet-standaard poort, en via pfBlocker alleen vanuit Europa.
- Ik heb mijn netwerk gesegmenteerd, en beperk verkeer tussen VLANs zo veel mogelijk.
- Ik volg basale IT-hygiene door devices op mijn netwerk up-to-date te houden, AV, macro's uit, etc
- Outbound verkeer wordt beperkt per segment.
- Outbound filtering op poort niveau voor alle segmenten in lijn met SANS advies, plus DoT/DoH trucs.

Wat biedt een IDS/IPS dan nog voor meerwaarde? Ik ben echt benieuwd wat voor alerts mensen hier zien, hoeveel false-positive is, en wat er aan daadwerkelijk malicious verkeer geblokkeerd wordt.

Raven schreef op woensdag 2 februari 2022 @ 17:59:
Bestaat er voor Linux pc's eigenlijk iets waarmee je dat soort dingen kan offloaden?

Het moet in de SoC zitten en de Kernel moet daar Drivers voor hebben!

Lees maar eens wat over OpenWRT/DD-WRT en al die ASUS/Netgear/TP-Link/enz. Routers waarbij het soms een hele uitdaging is om het werkende te krijgen...

Tom Paris schreef op woensdag 2 februari 2022 @ 23:24:
Om eens een andere discussie aan te zwengelen, wat is anno 2022 nog echt het nut van IDS/IPS in een thuisnetwerk? Vrijwel al het verkeer is versleuteld in een TLS tunnel, dus je moet vooral focussen op fingerprinting. Je zou echte DPI kunnen doen met je eigen certificaten, maar dat pikken de meeste diensten ook niet meer.

Stel:
- pfBlocker blokkeert verkeer naar malicious URLs/IPs, inclusief spam/adware/etc.
- Inbound is alleen OpenVPN/Wireguard mogelijk, op een niet-standaard poort, en via pfBlocker alleen vanuit Europa.
- Ik heb mijn netwerk gesegmenteerd, en beperk verkeer tussen VLANs zo veel mogelijk.
- Ik volg basale IT-hygiene door devices op mijn netwerk up-to-date te houden, AV, macro's uit, etc
- Outbound verkeer wordt beperkt per segment.
- Outbound filtering op poort niveau voor alle segmenten in lijn met SANS advies, plus DoT/DoH trucs.

Wat biedt een IDS/IPS dan nog voor meerwaarde? Ik ben echt benieuwd wat voor alerts mensen hier zien, hoeveel false-positive is, en wat er aan daadwerkelijk malicious verkeer geblokkeerd wordt.

In jouw geval, denk ik, zeer beperkt. Denk ik, want ik ken jouw complete omgeving niet.

Maar Security is "defense in depth". Meerdere maatregelen om de aanvaller tegen te houden of op z'n minst te vertragen (en dan op de monitoring van je logging op tijd kunnen ingrijpen). Die ene edge/perimeter firewall is niet meer voldoende.
Combinaties van maatregelen is dus wat je wilt. En om de juiste maatregelen te nemen moet je het netwerk en alle devices / software / functionaliteit heel goed kennen (en vooral hun eventuele zwakheden).

Een IDS/IPS is 1 van de maatregelen. Maar als enige maatregel is dat ook niet voldoende.

Dus ja, het heeft meerwaarde, maar de meerwaarde neemt af als je andere maatregelen hebt genomen (en dat geldt voor alle maatregelen).

Mijn IPS/IDS staat bijvoorbeeld in alerting modus, sinds ik geen VOIP centrale en Wordpress meer draai. Ik zie op dat netwerk segment nu niet veel meer dan wat halfslachtige aanvallen op mijn mailserver.
Voorheen trokken vooral de VOIP server, en in iets mindere mate mijn Wordpress site, veel aandacht.

Edit: en ja, dan kom je er ook achter dat er nog best veel devices zijn die via onversleutelde verbindingen communiceren.

Edit2: en sinds ik pfblockerNG gebruik wordt al veel tegengehouden aan de voordeur (de firewall). Dat vind ik echt een fantastsich pakket!

Edit3: een praktijk voorbeeld waar een IDS/IPS meerwaarde heeft is een IP uit de UK, die had achterhaald na hoeveel verkeerde inlogpogingen binnen een bepaalde tijd ik een IP blokkeer (en dat is niet zo moeilijk). De tijd tussen de inlogpogingen werden daarop aangepast, waarna anomaly behavior werd vastgesteld door het IDS/IPS. En daarop heb ik het IP als nog geblokkeerd. Dit was overigens niet met PFSense maar een ander product.

[ Voor 12% gewijzigd door Theone098 op 03-02-2022 10:11 ]

Theone098 schreef op donderdag 3 februari 2022 @ 09:56:
[...]
Maar Security is "defense in depth". Meerdere maatregelen om de aanvaller tegen te houden of op z'n minst te vertragen (en dan op de monitoring van je logging op tijd kunnen ingrijpen). Die ene edge/perimeter firewall is niet meer voldoende.
Combinaties van maatregelen is dus wat je wilt. En om de juiste maatregelen te nemen moet je het netwerk en alle devices / software / functionaliteit heel goed kennen (en vooral hun eventuele zwakheden).

Absoluut, ik begrijp en onderschrijf dit principe volledig. Vandaar dat ik benieuwd ben wat men hier aan maatregelen neemt icm IDS/IPS, en wat er dan nog overblijft aan detectie. Er worden redelijke bedragen neergelegd voor 'zware' machines om IDS/IPS op gigabit mogelijk te maken, dus ik neem aan dat er over de meerwaarde nagedacht is Of zou men denken "ik heb IDS/IPS dus ik maak gewoon een plat netwerk zonder al te veel maatregelen"...

Tom Paris schreef op donderdag 3 februari 2022 @ 12:28:
[...]


Absoluut, ik begrijp en onderschrijf dit principe volledig. Vandaar dat ik benieuwd ben wat men hier aan maatregelen neemt icm IDS/IPS, en wat er dan nog overblijft aan detectie. Er worden redelijke bedragen neergelegd voor 'zware' machines om IDS/IPS op gigabit mogelijk te maken, dus ik neem aan dat er over de meerwaarde nagedacht is Of zou men denken "ik heb IDS/IPS dus ik maak gewoon een plat netwerk zonder al te veel maatregelen"...

Hoe een ander het doet en wat die denken, kan ik moeilijk inschatten .

Voor mij geldt:

Ik merk dat er bij mij niet zo heel veel wordt gedetecteerd, volgens mij om 3 redenen:
1. PfBlockerNG vangt al heel veel rommel af (zie ik in de firewall logs).
2. Ik heb niet veel detectie aan staan, omdat ik eigenlijk alleen een mailserver heb en een reverse proxy.
3. Ik heb geen IDS/IPS op mijn WAN poort maar op mijn LAN poorten.

Mij interesseert het niet (zoveel) dat een poortscan wordt gedaan en dat deze wordt geblokkeerd of niet. Ik vind het pas interessant als mijn op mijn LAN omgeving iets plaats vindt. Dat maakt de logging/monitoring/alerting ook een stuk "rustiger".

En ik doe het met maar een 100mbit WAN en PFSense op een J3160 .

Voor mij is het gewoon om er van leren.

Dpi geeft inzicht in wat devices doen.
Ik draai hier verder niets wat het aanvallen waard is. Geen servers of wat dan ook.

Ik zie al wel dat het waarschijnlijk een duur grapje wordt aangezien ik 2 wan poorten nodig heb. Of ik moet het tussen mijn USG en de eerste switch zetten.

Tom Paris schreef op woensdag 2 februari 2022 @ 23:24:
Om eens een andere discussie aan te zwengelen, wat is anno 2022 nog echt het nut van IDS/IPS in een thuisnetwerk? Vrijwel al het verkeer is versleuteld in een TLS tunnel, dus je moet vooral focussen op fingerprinting. Je zou echte DPI kunnen doen met je eigen certificaten, maar dat pikken de meeste diensten ook niet meer.

Stel:
- pfBlocker blokkeert verkeer naar malicious URLs/IPs, inclusief spam/adware/etc.
- Inbound is alleen OpenVPN/Wireguard mogelijk, op een niet-standaard poort, en via pfBlocker alleen vanuit Europa.
- Ik heb mijn netwerk gesegmenteerd, en beperk verkeer tussen VLANs zo veel mogelijk.
- Ik volg basale IT-hygiene door devices op mijn netwerk up-to-date te houden, AV, macro's uit, etc
- Outbound verkeer wordt beperkt per segment.
- Outbound filtering op poort niveau voor alle segmenten in lijn met SANS advies, plus DoT/DoH trucs.

Wat biedt een IDS/IPS dan nog voor meerwaarde? Ik ben echt benieuwd wat voor alerts mensen hier zien, hoeveel false-positive is, en wat er aan daadwerkelijk malicious verkeer geblokkeerd wordt.

Ik vind dit een interessante discussie. Wat is de meerwaarde van een IDS/IPS? Ik heb de afgelopen 20 jaar veel ge-experimenteerd met zaken als pfsense, filtering etc. Maar op dit moment draai ik geen server meer thuis. Ik heb achter de router van mijn provider een simpel Netgear Orbi systeem. En 1 keer per jaar betaal ik mijn Netgear Armor Bitdefender abonnement. Ik kijk verder nergens meer naar en dit gaat goed. Ik heb ook steeds minder tijd om te ¨prutsen¨ thuis.
Af en toe krijg ik meldingen van geblokkeerde sites wegens virus/malware/etc, die de kinderen op hun computer probeerden te openen en dat is het. Ik heb verder ook geen poorten op mijn routers openstaan.
Ik heb ook het idee dat mijn ISP actiever bezig is met filtering en steeds meer ¨dubieuze¨ paginas afsluit in tegenstelling tot vroeger.

[ Voor 4% gewijzigd door Trunksmd op 04-02-2022 14:33 ]

Wat mij betreft heeft het geen meerwaarde voor 'normaal' thuisgebruik.

Ga (hopelijk dit jaar) over naar internet via glasvezel en dan gaan met ziggo hier ook pfSense de deur uit.
De vraag is nog wat ik dan ga doen.....

OPNsense is het overwegen waard alleen vanwege de te verwachten PPPOE single core performance, wilde ik eigenlijk weer terug naar een linux alternatief.

Het lijkt alleen -helaas- niet meer zo vanzelfsprekend om daar 1,2,3 een goede optie voor te vinden.
Ik zit er haast aan te denken om dan maar gewoon 'old-school' kaal Debian te installeren.

Zorc schreef op zondag 6 februari 2022 @ 10:30:
Wat mij betreft heeft het geen meerwaarde voor 'normaal' thuisgebruik.

Ga (hopelijk dit jaar) over naar internet via glasvezel en dan gaan met ziggo hier ook pfSense de deur uit.
De vraag is nog wat ik dan ga doen.....

OPNsense is het overwegen waard alleen vanwege de te verwachten PPPOE single core performance, wilde ik eigenlijk weer terug naar een linux alternatief.

Het lijkt alleen -helaas- niet meer zo vanzelfsprekend om daar 1,2,3 een goede optie voor te vinden.
Ik zit er haast aan te denken om dan maar gewoon 'old-school' kaal Debian te installeren.

Er zijn wat opties als de <x>sense smaakjes niet persé nodig zijn. Mikrotik en de Ubiquiti Edgemax lijn zijn prima oplossingen als je meer wilt dan alleen een domme consumenten router. Daarnaast kun je voor de genoemde merken de meeste onderliggende modellen ook OpenWRT erop installeren. Nog een alternatief is een APU router doosje waarop je OpenWRT kunt installeren naast eventueel andere OS'en zoals een de sense smaakjes al heeft ie daarvoor te weinig power. Probleem is alleen dat de fabrikant PC Engines vanwege chip te korten haast niet kan leveren op dit moment.

En wellicht dat de Mochabin in de toekomst nog een leuk alternatief gaat worden: https://www.kickstarter.com/projects/874883570/mochabin-5g

[ Voor 5% gewijzigd door Miki op 06-02-2022 11:17 ]

Zorc schreef op zondag 6 februari 2022 @ 10:30:
wilde ik eigenlijk weer terug naar een linux alternatief.

Het lijkt alleen -helaas- niet meer zo vanzelfsprekend om daar 1,2,3 een goede optie voor te vinden.
Ik zit er haast aan te denken om dan maar gewoon 'old-school' kaal Debian te installeren.

OpenWRT lijkt me een heeeel vanzelfsprekend alternatief? Wordt zeer actief onderhouden, kan dmv packages alles wat *sense ook kan, en genoeg opties qua hardware.

Dat hele PPPoE enkele-kern verhaal is toch eigenlijk niet meer van deze tijd?

Videopac schreef op zondag 6 februari 2022 @ 11:50:
Dat hele PPPoE enkele-kern verhaal is toch eigenlijk niet meer van deze tijd?

PPPoE is niet meer van deze tijd

(En *BSD voor dit soort toepassingen eigenlijk ook niet. De network-stack van Linux ziet gewoon veel meer ontwikkeling, met de beweging naar user-space packet processing als belangrijkste. De developers van pfSense hebben een tijd terug al aangegeven dat ze eigenlijk geen toekomst meer zien in *BSD als onderliggend platform, omdat het na 10Gbit nog amper schaalt. Vandaar dat ze gestart zijn met TNSR, maar dat is (voorlopig) niet geënt op thuis- en semi-professioneel gebruik.)

Tom Paris schreef op woensdag 2 februari 2022 @ 23:24:
Om eens een andere discussie aan te zwengelen, wat is anno 2022 nog echt het nut van IDS/IPS in een thuisnetwerk?

Zeer weinig tot niets. In de rest van je post geef je aan wat je zelf doet; dat kun je m.i. zelfs reduceren tot de essentie:

- Inbound is alleen OpenVPN/Wireguard mogelijk
- Ik volg basale IT-hygiene door devices op mijn netwerk up-to-date te houden, AV, macro's uit, etc

Neem je dan de rekenkracht dat het kost in acht, dan is de enige zinnige conclusie dat het 't niet waard is.

Ik ben echt benieuwd wat voor alerts mensen hier zien, hoeveel false-positive is, en wat er aan daadwerkelijk malicious verkeer geblokkeerd wordt.

Het enige antwoord dat je hierop kreeg ging over inlogpogingen, Maar als je regel #1 van hierboven in acht neemt is dat niet relevant: niemand kan je OpenVPN/Wireguard key raden.

Volgens mij zet een aanzienlijk deel van de mensen het aan omdat 'detection' en 'prevention' zonder te begrijpen hoe het precies werkt. En maar CPU cycles verbranden op 99% TLS-verkeer.

Videopac schreef op zondag 6 februari 2022 @ 11:50:
Dat hele PPPoE enkele-kern verhaal is toch eigenlijk niet meer van deze tijd?

Bug 203856 - [igb] PPPoE RX traffic is limitied to one queue
PPPoE WANs do not take full advantage of NIC driver queues for receiving traffic

Die eerste is vooral interessant, want deze legt uit wat nu het werkelijke probleem is: Intel NICs kunnen received PPPoE frames niet distribueren dmv. hashing waardoor alles op dezelfde receive queue eindigt.

Gecombineerd met het feit dat de rest van PPPoE handling standaard in één ISR plaatsvindt, dat is dus niet handig als je maar 1 queue hebt. Bovendien: hij geeft een optie waarmee je de frames kunt laten re-queuen zodat de rest van de handling wel meerdere cores gebruikt (!).

Onder de tweede link vindt je iemand die benchmarks post van die sysctl, het lijkt inderdaad nut te hebben.

Na deze uitleg gelezen te hebben vraag ik me twee dingen af:
• Geldt dit ook voor Realtek (hoewel de drivers daarvoor op BSD historisch andere problemen hadden)?
• En Linux dan? Dat is niet immuun voor dezelfde hardware-limitaties dus ik vermoed dat ze standaard al 'slimmer' omgaan met een beperkt aantal queues

Zorc schreef op zondag 6 februari 2022 @ 10:30:
Wat mij betreft heeft het geen meerwaarde voor 'normaal' thuisgebruik.

Wat mij betreft ook niet!

Ik moest dan ook heel vaak erg flink lachen om sommige reacties in het Ubiquiti Topic :
- JAAA!!! IDS/IPS!!! Wil ik ook!!!
- Vervolgens alles kopen/aansluiten/enz.
- En dan : Maar ehh... Wat doe ik nu met al die Data Logging en Meldingen

EPIC!!!

Ga (hopelijk dit jaar) over naar internet via glasvezel en dan gaan met ziggo hier ook pfSense de deur uit.
De vraag is nog wat ik dan ga doen.....

OPNsense is het overwegen waard alleen vanwege de te verwachten PPPOE single core performance, wilde ik eigenlijk weer terug naar een linux alternatief.

pfSense ging toch juist over enige tijd over op Linux en daarmee zouden al die PPPoE toestanden ook gelijk tot het verleden behoren

Miki schreef op zondag 6 februari 2022 @ 11:14:
En wellicht dat de Mochabin in de toekomst nog een leuk alternatief gaat worden: https://www.kickstarter.com/projects/874883570/mochabin-5g

Raar ding : 1 x SFP+ en 1 x SFP naast allerlei RJ45 poorten waarvan geen eene 10 Gbps doet dus daar zit je dan met die eene poort...

Het enige nut daarvan wat ik kan verzinnen is om je 10 Gbps Switches het bufferen tussen 1 Gbps en 10 Gbps te besparen, maar dan nog : Waarom zou je dat ding kopen

Thralas schreef op zondag 6 februari 2022 @ 12:28:
Bug 203856 - [igb] PPPoE RX traffic is limitied to one queue
PPPoE WANs do not take full advantage of NIC driver queues for receiving traffic

Die eerste is vooral interessant, want deze legt uit wat nu het werkelijke probleem is: Intel NICs kunnen received PPPoE frames niet distribueren dmv. hashing waardoor alles op dezelfde receive queue eindigt.

Gecombineerd met het feit dat de rest van PPPoE handling standaard in één ISR plaatsvindt, dat is dus niet handig als je maar 1 queue hebt. Bovendien: hij geeft een optie waarmee je de frames kunt laten re-queuen zodat de rest van de handling wel meerdere cores gebruikt (!).

Onder de tweede link vindt je iemand die benchmarks post van die sysctl, het lijkt inderdaad nut te hebben.

Na deze uitleg gelezen te hebben vraag ik me twee dingen af:
• Geldt dit ook voor Realtek (hoewel de drivers daarvoor op BSD historisch andere problemen hadden)?
• En Linux dan? Dat is niet immuun voor dezelfde hardware-limitaties dus ik vermoed dat ze standaard al 'slimmer' omgaan met een beperkt aantal queues

Het is dus geen issue van de driver, maar de combi hardware + manier van PPPoE processing. Intel i350 heeft 4 queues, Intel i21x heeft 2 queues, en afaik heeft Realtek maar 1 queue. Intel ondersteunt geen multiqueue PPPoE in hardware, dus de driver kan er ook niet zo veel mee. De truc is dan om de PPPoE processing niet meer via de driver te doen, maar met de net.isr.dispatch=deferred setting (uit jouw link, hier ook al een paar keer gepost ) naar de kernel te trekken.

Dit lijkt redelijk te werken in *BSD, maar Linux gaat hier standaard slimmer mee om. Hoe exact weet ik ook niet precies Maar als 'n=1' indicatie, ik heb hier een simpel OrangePi bordje van €30 met een quad-core Cortex A53 op 1.2Ghz, welke met OpenWRT geen enkel probleem heeft met 1Gbit PPPoE... (wel Realtek NIC though )

[ Voor 4% gewijzigd door Tom Paris op 06-02-2022 13:33 ]

Tom Paris schreef op zondag 6 februari 2022 @ 11:46:
[...]


OpenWRT lijkt me een heeeel vanzelfsprekend alternatief? Wordt zeer actief onderhouden, kan dmv packages alles wat *sense ook kan, en genoeg opties qua hardware.

Ik zie het....
wist niet dat ze blijkbaar ook de x86 variant hadden en die de laatste jaren de nodige aandacht hebben gegeven.
Mijn ervaring met OpenWRT is van langer geleden met embedded firmware op APs, toen er nog de nodige beperkingen/bugs in LuCI zaten. Was op zich geen ramp.

Zorc schreef op zondag 6 februari 2022 @ 10:30:
Het lijkt alleen -helaas- niet meer zo vanzelfsprekend om daar 1,2,3 een goede optie voor te vinden.
Ik zit er haast aan te denken om dan maar gewoon 'old-school' kaal Debian te installeren.

Het blijft toch kwestie van smaak.. en zelf uitproberen. Ik heb nog geen degelijke vergelijkingssite gevonden. Ik blijf voorlopig bij PF, maar kijk af en toe rond naar de linux alternatieven en kom dan steeds bij IP Fire, Sophos, OpenWRT en eventueel ClearOS uit.

Guneyd schreef op vrijdag 21 januari 2022 @ 19:36:
Zojuist het volgende gekocht via Amazon:
https://www.amazon.nl/dp/...%2Caps%2C126&sr=8-40&th=1


8GB RAM
128GB SSD
Intel Celeron Quad Core (+2 Ghz)
4 x 2.5 GB Intel ethernet ports

en dat allemaal voor ~300 euro incl. verzending . Ik moet wel wachten tot 4~10 februari, voordat ik het binnenheb, can't wait .

Okay, inmiddels heb ik het iets meer dan een week in bezit en ik ben er zeer over te spreken :D!
Ik heb een hoop problemen moeten troubleshooten (waarvan de meeste te maken hadden met mijn eigen hardware en niet de doos zelf), maar ik heb nu een goed werkende firewall met zowat de volle snelheid die ik van Ziggo heb + Unbound blocking + IPS en IDS aan. CPU load schommelt tussen 40% en 80%.

Maar...het draait wel allemaal op OpnSense en niet PfSense. PfSense ondersteunt voor zover ik het kan zien niet de 2.5GBit poorten en default terug naar 1GBit. OpnSense daarentegen heeft de desbetreffende Intel drivers van Linux backported, zodat het toch wel werkt.

Je zou dus, door eventueel zelf te compilen, ook de volle snelheid op PfSense kunnen krijgen denk ik.

@Guneyd fijn dat het lekker draait!
Misschien ter referentie voor anderen handig als je 'de volle snelheid van Ziggo' nader kan specificeren, i.v.m. verschil in abonnementen.
Heb je toevallig het stroomverbruik gemeten en gekeken hoe warm het kastje/cpu hiermee wordt?

Guneyd schreef op woensdag 9 februari 2022 @ 02:02:
Maar...het draait wel allemaal op OpnSense en niet PfSense. PfSense ondersteunt voor zover ik het kan zien niet de 2.5GBit poorten en default terug naar 1GBit. OpnSense daarentegen heeft de desbetreffende Intel drivers van Linux backported, zodat het toch wel werkt.

Je zou dus, door eventueel zelf te compilen, ook de volle snelheid op PfSense kunnen krijgen denk ik.

pfSense ondersteunt de Intel i225 ook gewoon hoor... Sowieso, een netwerkkaart wordt volwaardig herkend, of helemaal niet herkend. Het is niet zo dat met een andere driver je 1Gbit zou kunnen halen als er geen driver voor de i225 in je OS zit.

Zowel voor OPNsense als pfSense geldt dat de igc(4) driver gewoon van FreeBSD komt, het kan alleen zo zijn dat de timing van de releases wat anders was tussen de twee. Heeft niets met backporten uit Linux te maken

Waar vinden jullie tweedehands hardware voor een PFSense of OpnSense machine?

Ik zoek al weken naar een zuinig systeem (Zoals een Zbox CI327 of vergelijkbare hardware) via Tweaker, Marktplaats en Ebay, maar het lukt niet.

Je kan ook zoeken naar 2de hands firewalls. Draai zelf thuis een Sophos SG115 met Opnsense. Doet het prima met mijn instap internet. (75/10)

Er wordt hier nu vaker gesproken over alternatieven gebaseerd op Linux ipv *sense achtige besturingssystemen(BSD). Wat is het voordeel van een eigen OS, zoals OpenWRT tov gewoon firewalld + dhcp server + wireguard op een standaard Debian installatie, buiten en handige GUI. Of zijn er bepaalde functies/veiligheid die je dan mist?

FutureCow schreef op maandag 14 februari 2022 @ 10:52:
Er wordt hier nu vaker gesproken over alternatieven gebaseerd op Linux ipv *sense achtige besturingssystemen(BSD). Wat is het voordeel van een eigen OS, zoals OpenWRT tov gewoon firewalld + dhcp server + wireguard op een standaard Debian installatie, buiten en handige GUI. Of zijn er bepaalde functies/veiligheid die je dan mist?

Het is het gemak waarmee je alles bedient via een GUI. De meeste (zo niet alle) zaken kun je inderdaad via standaard Debian installatie via CLI installeren. Zo heeft men het vroeger altijd gedaan. Maar met een GUI is het vaak makkelijker of overzichtelijker. Vele OSen hebben vele zaken al voor geinstalleerd. Of je kunt zaken via extra plugins instaleren.
Zelfde met een NAS: Sambia via een kale debian installeren is een fluitje van een cent. Zelfs dockers. Maar GUIs zoals Openmediavault maken het leven makkelijker.

Harmen schreef op maandag 14 februari 2022 @ 09:35:
Je kan ook zoeken naar 2de hands firewalls. Draai zelf thuis een Sophos SG115 met Opnsense. Doet het prima met mijn instap internet. (75/10)

Bedankt! Wist niet dat het een optie was. Meeste forums spreken over een HP T620+, een Protectli-achtige systeem, of een barebone met 2 of meerdere NICs.

Is er een lijst met welke oude firewalls ondersteuning hebben voor OPNSense of PFSense?

Lisadr schreef op maandag 14 februari 2022 @ 12:16:
[...]


Bedankt! Wist niet dat het een optie was. Meeste forums spreken over een HP T620+, een Protectli-achtige systeem, of een barebone met 2 of meerdere NICs.

Is er een lijst met welke oude firewalls ondersteuning hebben voor OPNSense of PFSense?

Het is een beetje een puzzel, maar de meeste van zulke Sophos-achtige appliances zijn gewoon x86_64 en daarmee geschikt voor *sense. Er zijn ook op ARM-gebaseerde systemen, dat gaat niet werken.

Lisadr schreef op maandag 14 februari 2022 @ 02:57:
Waar vinden jullie tweedehands hardware voor een PFSense of OpnSense machine?

Ik zoek al weken naar een zuinig systeem (Zoals een Zbox CI327 of vergelijkbare hardware) via Tweaker, Marktplaats en Ebay, maar het lukt niet.

Ik zou zeggen hou dit soort dingen in de gaten : 5pë©ïàál_Tèkén' in "Centraal Aanbiedingentopic V2.0"

En anders kan je zoiets proberen : https://onlineveilingmees...oeken?q=computer&size=100
Daar verkoopt de regering blijkbaar tegenwoordig hun meuk als ze wat over hebben i.p.v. de oude Domeinen Online Veiling website

FutureCow schreef op maandag 14 februari 2022 @ 10:52:
Er wordt hier nu vaker gesproken over alternatieven gebaseerd op Linux ipv *sense achtige besturingssystemen(BSD). Wat is het voordeel van een eigen OS, zoals OpenWRT tov gewoon firewalld + dhcp server + wireguard op een standaard Debian installatie, buiten en handige GUI.

Of zijn er bepaalde functies/veiligheid die je dan mist?

IMHO voornamelijk dit :

Trunksmd schreef op maandag 14 februari 2022 @ 12:03:
Met een GUI is het vaak makkelijker of overzichtelijker.

En vaak ook een makkelijke manier om alle instellingen te importeren/exporteren!

Zelfde met een NAS: Samba via een kale debian installeren is een fluitje van een cent. Zelfs dockers. Maar GUIs zoals Openmediavault maken het leven makkelijker.

Daar zou ik het eerlijk gezegd niet gauw voor gebruiken, tenzij je hele speciale of ingewikkelde dingen ermee gaat doen, want Samba is echt een kwestie van alles in één bestand knallen en gaan met die banaan!

Tom Paris schreef op maandag 14 februari 2022 @ 12:51:
Het is een beetje een puzzel, maar de meeste van zulke Sophos-achtige appliances zijn gewoon x86_64 en daarmee geschikt voor *sense. Er zijn ook op ARM-gebaseerde systemen, dat gaat niet werken.

Bedoel je daarmee Sophos ARM based appliances of ARM based bordjes in het algemeen

Ik zou namelijk zweren dat in ieder geval pfSense en OpenWRT gewoon ARM compatible zijn ?!

Tom Paris schreef op maandag 14 februari 2022 @ 18:15:
ARM in het algemeen. pfSense en OPNsense werken sowieso niet op ARM, OpenWRT wel maar alleen specifieke devices (en @Lisadr vroeg naar *sense ).

(pfSense draait wel op ARM, maar alleen op devices van Netgate zelf. Je kunt het niet op zomaar elk ARM systeem installeren. Voor OPNsense is wel community-build voor een NanoPi bordje, maar niet officieel ondersteund.)

OK, maar vroeger kon je zoiets doen i.c.m. een x86-64 systeem in ieder geval :
- FreeBSD installeren.
- Via de Ports bovenop het OS daarna pfSense installeren.

Kan dat ook niet meer i.c.m. een op ARM gebaseerd systeem

nero355 schreef op maandag 14 februari 2022 @ 18:48:
[...]

OK, maar vroeger kon je zoiets doen i.c.m. een x86-64 systeem in ieder geval :
- FreeBSD installeren.
- Via de Ports bovenop het OS daarna pfSense installeren.

Kan dat ook niet meer i.c.m. een op ARM gebaseerd systeem

In theorie zou je vanuit source kunnen compileren voor ARM, immers Netgate lukt het zelf ook voor hun ARM-based appliances... Maar dat zal toch flink veel troubleshooting vergen, als ook iedere keer dat er een update uitkomt. Het feit dat je geen community-builds voor pfSense op ARM ziet zegt al genoeg denk ik

Tom Paris schreef op maandag 14 februari 2022 @ 19:17:
In theorie zou je vanuit source kunnen compileren voor ARM, immers Netgate lukt het zelf ook voor hun ARM-based appliances... Maar dat zal toch flink veel troubleshooting vergen, als ook iedere keer dat er een update uitkomt. Het feit dat je geen community-builds voor pfSense op ARM ziet zegt al genoeg denk ik

Dit zijn echt van die moment waarop ik me gewoon kreupel voel vanwege het feit dat ik simpelweg totaal geen aanleg heb voor programmeren...

Maar goed...

Weer wat geleerd vandaag! Thnx!

Nieuwe versie van pfsense.


pfSense Plus version 22.01 and pfSense CE version 2.6.0 Software are Now Available

mleighton ADMINISTRATOR

We are excited to announce the release of pfSense Plus software version 22.01 and pfSense Community Edition (CE) software version 2.6.0, now available for new installations and upgrades! Read our blog post for more information.

This version of pfSense CE software includes new functionality allowing CE installations to upgrade to pfSense Plus. See HERE for more details!

For more details, see the release notes and Redmine.

Always take a backup of the firewall configuration prior to any major change to the firewall, such as an upgrade.

Do not update packages before upgrading! Either remove all packages or do not update packages before running the upgrade.

The upgrade will take several minutes to complete. The exact time varies based on download speed, hardware speed, and other factors such as installed packages. Be patient during the upgrade and allow the firewall enough time to complete the entire process. After the update packages finish downloading it could take 10-20 minutes or more until the upgrade process ends. The firewall may reboot several times during the upgrade process. Monitor the upgrade from the firewall console for the most accurate view.

Consult the Upgrade Guide for additional information about performing upgrades to pfSense software

Zojuist probleemloos de upgrade uitgevoerd van 2.5.1.

Tom Paris schreef op zondag 6 februari 2022 @ 12:54:
[...]


Het is dus geen issue van de driver, maar de combi hardware + manier van PPPoE processing. Intel i350 heeft 4 queues, Intel i21x heeft 2 queues, en afaik heeft Realtek maar 1 queue. Intel ondersteunt geen multiqueue PPPoE in hardware, dus de driver kan er ook niet zo veel mee. De truc is dan om de PPPoE processing niet meer via de driver te doen, maar met de net.isr.dispatch=deferred setting (uit jouw link, hier ook al een paar keer gepost ) naar de kernel te trekken.

De Intel i210 heeft wel degelijk 4 queues; is op dit moment alleen dramatisch om aan te komen vandaar dat de i211 nu veelal ingezet wordt met twee queues. Dit heeft overigens maar marginale effecten op de performance. De i225 netwerk chip heeft ook 4 queues en maakt het wel interessant om daar toch naar te kijken. Ook voor eventuele toekomstbestendigheid. Een softrouter nu kopen met wat leuke specs kun je toch zo 6 jaar mee vooruit.

Tja en dan de stelling PPPoE is niet meer van deze tijd; het is wel de enige manier om in accessnetwerken DHCPv6/ICMPv6 ND/RA aan te bieden om zo native IPv6 in huis te krijgen.

Kun je uitleggen waarom volgens jou PPPoE nodig is voor native IPv6 thuis?

wian schreef op dinsdag 1 maart 2022 @ 18:10:
Kun je uitleggen waarom volgens jou PPPoE nodig is voor native IPv6 thuis?

Accessnetwerken bieden geen DHCPv6 relays aan.

@Guneyd @XanderHuisman

Hoe is het bij jullie gegaan met die Amazon boxen, heb geen updates meer gevonden en kwam deze zelf ook tegen en vroeg me af als jullie 1gb/s down kunnen halen?

Groetjes!

Ik heb die van mij opnieuw geïnstalleerd en haal nu 800+ Mbit/s. In mijn eerste installatie had ik ZFS (met maar 4 GB RAM) gebruikt terwijl ik bij de herinstallatie een simpelere data opslag en handmatige installatie heb gedaan (de XML is best goed leesbaar). Ik ben zeer tevreden met hoe de router nu werkt en ook Wireguard werkt zonder problemen zeer goed.

XanderHuisman schreef op dinsdag 15 maart 2022 @ 21:46:
Ik heb die van mij opnieuw geïnstalleerd en haal nu 800+ Mbit/s. In mijn eerste installatie had ik ZFS (met maar 4 GB RAM) gebruikt terwijl ik bij de herinstallatie een simpelere data opslag en handmatige installatie heb gedaan (de XML is best goed leesbaar). Ik ben zeer tevreden met hoe de router nu werkt en ook Wireguard werkt zonder problemen zeer goed.

Dat is goed om te horen, heb je ook nog nagekeken wat het cpu verbruik is tijdens de 800+ snelheden?
Is er bijvoorbeeld een cpu bottleneck of is er iets anders aan de hand, met mijn edgerouter x kom ik namelijk wel rond de 920. En had gehoopt dat de lage snelheden gewoon een firmware/kernel probleem was.

[ Voor 5% gewijzigd door TerrorToetje op 15-03-2022 21:49 ]

TerrorToetje schreef op dinsdag 15 maart 2022 @ 21:43:
@Guneyd @XanderHuisman

Hoe is het bij jullie gegaan met die Amazon boxen, heb geen updates meer gevonden en kwam deze zelf ook tegen en vroeg me af als jullie 1gb/s down kunnen halen?

Groetjes!

Ik haalde voorheen al geen 1 gigabit, maar wel iets rond de ~950Mbit en dat is nog steeds het geval . Wat de snelheid tussen mijn devices betreft, ik heb hier nog geen test voor uitgevoerd.

Guneyd schreef op woensdag 16 maart 2022 @ 09:49:
[...]


Ik haalde voorheen al geen 1 gigabit, maar wel iets rond de ~950Mbit en dat is nog steeds het geval . Wat de snelheid tussen mijn devices betreft, ik heb hier nog geen test voor uitgevoerd.

Sorry klopt natuurlijk is 1gb/s onmogelijk, gebruik je gewoon de meegeleverde RouterOS of ben je voor iets anders gegaan?

En ik hoopte dat een van jullie eens cpu gebruik kon bekijken tijdens een speedtest zoals op https://www.speedtest.net/nl

Groetjes!

TerrorToetje schreef op woensdag 16 maart 2022 @ 11:08:
[...]


Sorry klopt natuurlijk is 1gb/s onmogelijk, gebruik je gewoon de meegeleverde RouterOS of ben je voor iets anders gegaan?

En ik hoopte dat een van jullie eens cpu gebruik kon bekijken tijdens een speedtest zoals op https://www.speedtest.net/nl

Groetjes!

Ik ben voor OpnSense gegaan .

CPU tijdens de speedtest was tussen de 40% en 47%. Nadat de speedtest voorbij was, op 10% load .

Guneyd schreef op woensdag 16 maart 2022 @ 12:15:
[...]


Ik ben voor OpnSense gegaan .

CPU tijdens de speedtest was tussen de 40% en 47%. Nadat de speedtest voorbij was, op 10% load .

Kun jij of @XanderHuisman iets zeggen over het stroomverbruik? Ik ben in afwachting van de box anders werp ik dat zelf aan een onderzoek