Zelfbouw project: Firewall / Router / AP

stormfly schreef op woensdag 14 september 2022 @ 15:51:
[...]


https://www.belastingdien...akket-bestel-buiten-de-eu

Ja of niet, typisch een overheid website.

BTW: zit al in het Ali tarief
Invoerrechten: staat op 0% in de tabel
Inklaringskosten: die blijven dan als enige over?


EDIT:

[Afbeelding]

D43m0n schreef op woensdag 14 september 2022 @ 16:17:
Toch maar geklikt op "Betalen". Ook maar vast M2 SSD, SODIMM en koelpasta ergens bestellen. Ik ga 't wel meemaken hoe lang 't duurt voordat ie binnen is en of er nog inklaringskosten bij komen. Op Amazon vind ik vergelijkbare kastjes maar die zijn zonder geheugen en opslag duurder en daar komt ook nog iets van €20 tot €35 verzendkosten nog bij.

Soms moet je gewoon een gokje wagen.

Sp33dFr34k schreef op donderdag 15 september 2022 @ 08:54:
[...]


Je hebt die besteld van mijn link? Goede keuze denk ik. Ik heb hem inmiddels ook besteld, maar bij de Topton Computer Store, kwam een paar euro goedkoper uit Ik ben benieuwd. Weet alleen nog niet zeker of ik hier ook weer Proxmox op ga draaien, mij lijkt OPNSense als baremetal OS wat stabieler?

yvanmidden schreef op donderdag 15 september 2022 @ 14:12:
[...]


Neen, ik heb wel bij het betalen nog BTW erbij op gekregen, maar met de Seller's sending method verder geen rekening om nog inklaring of wat dan ook te betalen.

kmichael schreef op zondag 18 september 2022 @ 13:18:
- Webhosting / PHP & MYSQL (Meerdere websites)
[..]
Weet iemand een alternatieve voor ClearOS of kan ik beter weer bijvoorbeeld PFSense nemen en de webserver op mijn 2e PC installeren?

kmichael schreef op zondag 18 september 2022 @ 13:18:
Ik gebruik ClearOS nu zo'n 8 jaar, helaas zijn ze zeer slecht met updates uitrollen, het raakt behoorlijk outdated en dat is prettig en ook gezien de veiligheid. Aan de berichten te zien die op de forum van ClearOS zijn geplaatst is het een zinkend schip.
Het wordt denk ik tijd om ClearOS te gaan verlaten.


ClearOS is een all in one solution. Ik gebruik een PC als router/firewall/gateway/hosting.

Weet iemand een betere alternatief?
Als ik zoek op de functies die ik gebruik kom ik nagenoeg alleen bij ClearOS terecht.

- Dual Wan (2x 1 gig verbinding)
- Webhosting / PHP & MYSQL (Meerdere websites)
- OpenVPN


Eerder gebruikte ik altijd PFSense maar deze kon de snelheid van mijn internet verbinding toen niet bij benen.
Ik zie berichten dat dit nog steeds voor komt als je een 1000 Mbit verbinding hebt.
Maar in PFSense zit ook geen webserver in.


Weet iemand een alternatieve voor ClearOS of kan ik beter weer bijvoorbeeld PFSense nemen en de webserver op mijn 2e PC installeren?

Het hoeft niet gratis te zijn, maar bijvoorbeeld jaarlijks 200 euro te betalen voor routering software vind ik te duur.

[ Voor 17% gewijzigd door Kapitein187 op 01-10-2022 18:11 ]

Kapitein187 schreef op zaterdag 1 oktober 2022 @ 18:09:
Ik ben in het diepe gesprongen en heb deze besteld bij Amazon: https://www.amazon.nl/gp/product/B0BCKVJT1L

N5105, 2.5GbE met de I226.
Las wel dat het alleen werkt momenteel op Pfsense Plus door de drivers.

Voordeel is iets meer gemak met evt garantie via Amazon, voor hetzelfde geld wat ik kwijt zou zijn via Ali.

Overigens twijfel ik nog of ik virtualized moet gaan en mn Hassio verplaatsen van Raspberry Pi4 naar de VM, of het gescheiden houden.

stormfly schreef op zaterdag 1 oktober 2022 @ 20:25:
Zomaar een gedachtenkronkel. Ik vond virtualized op een NUC i5 te traag browsen. Zeker bij GoT moet de site al geladen zijn net voordat mijn vinger de muisklik maakt, Dat viel mij tegen bij een virtualized variant, zal zeker voor iedereen persoonlijk zijn.

Slonzo schreef op zaterdag 1 oktober 2022 @ 23:38:
[...]

Ik merk eerlijk gezegd 0,0 verschil tussen pfSense bare metal of pfSense op ESXi/Proxmox, waar zou het verschil moeten zitten?

stormfly schreef op zondag 2 oktober 2022 @ 08:23:
[...]


Snelheid van pages die inladen.

RobertMe schreef op zondag 2 oktober 2022 @ 08:39:
[...]

Maar doel je dan op algehele latency van de verbinding? Of op de web UI van PfSense?

stormfly schreef op zondag 2 oktober 2022 @ 09:26:
[...]

Nee gewoon in het browsen, het is niet veel trager maar wel iets.

Kapitein187 schreef op zondag 2 oktober 2022 @ 12:40:
[...]


Bedoel je gewoon algemeen internet verkeer via je netwerk. Of brows je daadwerkelijk “op” het systeem?

stormfly schreef op zondag 2 oktober 2022 @ 09:26:
[...]


Nee gewoon in het browsen, het is niet veel trager maar wel iets. Ik ben ook iemand die met DNSbench de snelste DNS servers opzoekt. Het is natuurlijk maar net welke hardware, hypervisor en welke load de hypervisor al staat te verstouwen als je pfSense erbij plaatst. Zal voor iedereen een andere uitkomst hebben, vooral omdat het slecht meetbaar is

Volgende week glasvezel, dan wordt mijn snappinesh honger gestild en heb je de max van responsiveness

Kabouterplop01 schreef op zondag 2 oktober 2022 @ 14:39:
[...]


dus volgende week pihole op een NUC met je cache in RAM? Dan heb je nog fijnere responsiveness. Moet je daar eens DNSbench op loslaten

stormfly schreef op zaterdag 1 oktober 2022 @ 20:25:
[...]
Zomaar een gedachtenkronkel. Ik vond virtualized op een NUC i5 te traag browsen. Zeker bij GoT moet de site al geladen zijn net voordat mijn vinger de muisklik maakt, Dat viel mij tegen bij een virtualized variant, zal zeker voor iedereen persoonlijk zijn.

stormfly schreef op zondag 2 oktober 2022 @ 15:04:
[...]


adguard draait op een SSD volume op de nas daar was al over nagedacht

m.eddy schreef op maandag 3 oktober 2022 @ 09:28:
Nog niet gespeeld met meerdere CPU's de hardware router heeft ook 1 cpu. (oude WDR3600)

[ Voor 84% gewijzigd door rens-br op 04-10-2022 12:02 ]

Kapitein187 schreef op zaterdag 1 oktober 2022 @ 18:09:
Ik ben in het diepe gesprongen en heb deze besteld bij Amazon: https://www.amazon.nl/gp/product/B0BCKVJT1L

N5105, 2.5GbE met de I226.
Las wel dat het alleen werkt momenteel op Pfsense Plus door de drivers.

Voordeel is iets meer gemak met evt garantie via Amazon, voor hetzelfde geld wat ik kwijt zou zijn via Ali.

Overigens twijfel ik nog of ik virtualized moet gaan en mn Hassio verplaatsen van Raspberry Pi4 naar de VM, of het gescheiden houden.

D43m0n schreef op woensdag 14 september 2022 @ 16:17:
Toch maar geklikt op "Betalen". Ook maar vast M2 SSD, SODIMM en koelpasta ergens bestellen. Ik ga 't wel meemaken hoe lang 't duurt voordat ie binnen is en of er nog inklaringskosten bij komen. Op Amazon vind ik vergelijkbare kastjes maar die zijn zonder geheugen en opslag duurder en daar komt ook nog iets van €20 tot €35 verzendkosten nog bij.

Soms moet je gewoon een gokje wagen.

[ Voor 2% gewijzigd door D43m0n op 11-10-2022 16:29 . Reden: Link naar product toegevoegd ]

D43m0n schreef op dinsdag 11 oktober 2022 @ 15:21:
[...]


Ik heb deze nu een weekje draaiend. Eerst met een Gigabyte 256GB NVMe stick, maar daarmee gaat 't powerknopje niet branden. Zonder dat NVMe stickje start ie wel van USB. Een Intenso 250GB NVMe en een Samsung 980 256GB NVMe maken dat ie wel aan wil gaan. Op die Samsung 980 draait nu OpenWRT 22.03. Ik heb er 1 SODIMM van 4GB in zitten en ben 'm aan het indraaien of de hardware stabiel blijft. Met 1 netwerkpoort actief is het idle stroomverbruik net geen 5W en is de temperatuur zo'n 35 graden. Als ik met stress een half uur lang de CPU's op 100% zet, dan is het stroomverbruik net geen 20W. De temperatuur loopt dan gestaag op tot zo'n 70 graden. Dan kan ik de hand niet meer op de behuizing laten liggen. Wanneer stress klaar is, zakt de temperatuur binnen enkele minuten weer terug naar zo'n 35 graden. De CPU wordt in dat halve uur niet naar beneden geklokt qua kloksnelheid. Ik heb wel vooraf zelf nieuwe/extra koelpasta tussen CPU en behuizing gedaan.

Kapitein187 schreef op dinsdag 11 oktober 2022 @ 14:38:
[...]
Edit: CPU hier naar 9 procent tijdens speedtest (930Mbit)

RobertMe schreef op dinsdag 11 oktober 2022 @ 15:40:
[...]

Zou je even een modelnaam / nummer en/of linkje erbij willen zetten? De quote van je "besteld" bericht staat het ook niet in en dan wordt het helemaal een puzzel werkje.

Verder wel interessante getallen qua stroomverbruik en temperatuur. Vandaar mijn interesse.

dajappie schreef op dinsdag 11 oktober 2022 @ 15:46:
[...]


Op KPN PPPoE? Dit ivm de FreeBSD performance met PPPoE was ik beetje huiverig om de knoop door te hakken met een vergelijkbare N5105/N6005. Nu toch de EB12 maar even vervangen door mijn oude USG3 en die trekt prima 940 Mbit/s met PPPoE incl. IPTV dus deze uitgave voor nu maar even uitgesteld....

D43m0n schreef op dinsdag 11 oktober 2022 @ 15:21:
[...]


Ik heb deze nu een weekje draaiend. Eerst met een Gigabyte 256GB NVMe stick, maar daarmee gaat 't powerknopje niet branden. Zonder dat NVMe stickje start ie wel van USB. Een Intenso 250GB NVMe en een Samsung 980 256GB NVMe maken dat ie wel aan wil gaan. Op die Samsung 980 draait nu OpenWRT 22.03. Ik heb er 1 SODIMM van 4GB in zitten en ben 'm aan het indraaien of de hardware stabiel blijft. Met 1 netwerkpoort actief is het idle stroomverbruik net geen 5W en is de temperatuur zo'n 35 graden. Als ik met stress een half uur lang de CPU's op 100% zet, dan is het stroomverbruik net geen 20W. De temperatuur loopt dan gestaag op tot zo'n 70 graden. Dan kan ik de hand niet meer op de behuizing laten liggen. Wanneer stress klaar is, zakt de temperatuur binnen enkele minuten weer terug naar zo'n 35 graden. De CPU wordt in dat halve uur niet naar beneden geklokt qua kloksnelheid. Ik heb wel vooraf zelf nieuwe/extra koelpasta tussen CPU en behuizing gedaan.

[ Voor 17% gewijzigd door D43m0n op 11-10-2022 21:33 . Reden: Ex BTW bedrag toegevoegd ]

stormfly schreef op dinsdag 11 oktober 2022 @ 21:15:
[...]


Leuk dat je het terugkoppelt!

Hij is nu "slechts" 151euro, heb jij nog importheffingen moeten betalen? Kan je ons een schetsen wat hij netto heeft gekost toen je hem in handen kreeg?

No-TAX in de banner

[Afbeelding]

kmichael schreef op zondag 18 september 2022 @ 13:18:
Ik gebruik ClearOS nu zo'n 8 jaar, helaas zijn ze zeer slecht met updates uitrollen, het raakt behoorlijk outdated en dat is prettig en ook gezien de veiligheid. Aan de berichten te zien die op de forum van ClearOS zijn geplaatst is het een zinkend schip.
Het wordt denk ik tijd om ClearOS te gaan verlaten.


ClearOS is een all in one solution. Ik gebruik een PC als router/firewall/gateway/hosting.

Weet iemand een betere alternatief?
Als ik zoek op de functies die ik gebruik kom ik nagenoeg alleen bij ClearOS terecht.

- Dual Wan (2x 1 gig verbinding)
- Webhosting / PHP & MYSQL (Meerdere websites)
- OpenVPN


Eerder gebruikte ik altijd PFSense maar deze kon de snelheid van mijn internet verbinding toen niet bij benen.
Ik zie berichten dat dit nog steeds voor komt als je een 1000 Mbit verbinding hebt.
Maar in PFSense zit ook geen webserver in.


Weet iemand een alternatieve voor ClearOS of kan ik beter weer bijvoorbeeld PFSense nemen en de webserver op mijn 2e PC installeren?

Het hoeft niet gratis te zijn, maar bijvoorbeeld jaarlijks 200 euro te betalen voor routering software vind ik te duur.

stormfly schreef op dinsdag 11 oktober 2022 @ 21:15:
[...]


Leuk dat je het terugkoppelt!

Hij is nu "slechts" 151euro, heb jij nog importheffingen moeten betalen? Kan je ons een schetsen wat hij netto heeft gekost toen je hem in handen kreeg?

No-TAX in de banner

[Afbeelding]

GioStyle schreef op woensdag 12 oktober 2022 @ 13:44:
[...]


€ 145,39 als ik nu afreken. Plus nog een klein tientje aan cashback bij CashbackXL. Twijfel, twijfel.

US $10 korting
Op bestellingen van US $100
Code:
LGE10

[ Voor 26% gewijzigd door GioStyle op 12-10-2022 14:19 ]

stormfly schreef op woensdag 12 oktober 2022 @ 14:05:
Ik wil eerst volgende week kijken hoe mijn CPU load is op de NUC i3-7100 met KPN PPPoE.
Als dat laag blijft met een TB download op de nas, dan kan die N5105 het ook wel aan.

De benchmarks lijken hoger van de N5105. In de NUC zit de laptop variant van de CPU.

GioStyle schreef op woensdag 12 oktober 2022 @ 14:17:
@stormfly


[...]
Ik merk wel op dat als je nu wil afrekenen dat er nog 21% btw bijkomt.. Vreemd.. Voorheen was het altijd al inclusief btw.

nero355 schreef op woensdag 12 oktober 2022 @ 16:15:
[...]

Gevaarlijke aannames!

Ik zou echt effe goed uitzoeken of dat wel daadwerkelijk zo is en misschien zelfs die twee eerst zelf benchmarken indien mogelijk!

Wat ik ook altijd lastig vind in dat hele verhaal is dat men vaak Download/Upload apart test en nooit TEGELIJK om te kijken hoe hoog de CPU belasting is op dat moment!

Tortelli schreef op woensdag 12 oktober 2022 @ 21:34:
[...]


Ik zit zelf ook wat rond te kijken, maar welke hardware je nu echt nodig hebt om Gbit PPPoE vol te trekken is mij een raadsel met pfsense / opnsense.
N6005 of N5105 zijn de snelste van een merk als Topton zover ik kan zien.

Tortelli schreef op woensdag 12 oktober 2022 @ 21:34:
Ik zit zelf ook wat rond te kijken, maar welke hardware je nu echt nodig hebt om Gbit PPPoE vol te trekken is mij een raadsel met pfsense / opnsense.
N6005 of N5105 zijn de snelste van een merk als Topton zover ik kan zien.

Tenzij er brakke Intel NIC's in zitten of RealTek NIC's die niet worden ondersteund dus zoek dat ook effe goed uit!

nero355 schreef op woensdag 12 oktober 2022 @ 22:38:
[...]

Met een i3 9100 zit je in ieder geval veilig voor zover ik het me goed herinner en de Search bovenaan lijkt het met me eens te zijn : Search naar i3 9100 in 'Zelfbouw project: Firewall / Router / AP'

Dus gewoon een CPU zoeken die net zo goed is en dan kan het eigenlijk niet misgaan!


_{Tenzij er brakke Intel NIC's in zitten of RealTek NIC's die niet worden ondersteund dus zoek dat ook effe goed uit!}

Dacuuu schreef op donderdag 13 oktober 2022 @ 18:21:
[...]


Hier trek ik netjes 1gbit tmobile glas op mijn opnsense i3-9100 cpu. Cpu geeft geen krimp.

Tom Paris schreef op donderdag 13 oktober 2022 @ 18:39:
[...]


T-Mobile is geen PPPoE (toch?), en daar gaat het juist om bij CPU belasting.

Dacuuu schreef op donderdag 13 oktober 2022 @ 18:21:
Hier trek ik netjes 1gbit tmobile glas op mijn opnsense i3-9100 cpu. Cpu geeft geen krimp.

[ Voor 17% gewijzigd door Videopac op 14-10-2022 10:43 ]

[ Voor 7% gewijzigd door MuVo op 18-10-2022 09:27 ]

MuVo schreef op dinsdag 18 oktober 2022 @ 09:14:
Dit jaar ben ik verhuist, heb ik een nieuw netwerk met meerdere subnets (4) en meerdere vlans (6) voor wifi, daarbij heb ik 1 IOT subnet en 1 IOT vlan. Verder maak ik gebruik van Pfsense Plus (meest recente versie).
Het blijft voor mij iedere keer een gevecht om Hue en Homekit goed werkend te krijgen over meerdere subnets en vlans.

Momenteel heb ik de communicatie tussen Hue Bridge en de Apple TV Homekit Hub goed werkend door het IOT subnet en IOT vlan t bridge. Dit is een oplossing welke ik eigenlijk niet wil gebruiken omdat de bridge als een verkapte switch gebruikt wordt en overhead in PFsense creëert.

Ik heb naar mijns inziens de juiste mdns, Bonjour poorten ingesteld en de mdns Avahi package geïnstalleerd en ingesteld.
Met deze configuratie werken mijn lichten prima maar andere accessoires zoals de Hue dimmer switch en motion sensor werken niet met homekit:
- Switch is zichtbaar en actief binnen homekit
- Switch registreert geen ingedrukte knoppen, lampen gaan bijvoorbeeld niet aan.
- Motion sensor is actief binnen homekit
- Motion sensor registreert temperatuur en lux
- Motion sensor schakelt geen licht in bij beweging met een Automation regel. 3 motion sensor werken op deze manier.
- Ik zie wel de bewegingen binnen de Hue app.
- 1 motion sensor uit mijn oude huis heeft gewerkt, maar na aanpassingen in pfsense werkt deze niet meer.
- 2 andere motion sensors zijn nieuw.
Configuratie Avahi:
[Afbeelding]

Floating rules:
[Afbeelding]

Heef iemand ideeën wat een juist hue/homekit setup is in Pfsense?

Edit:
- Ik heb de Hue bridge ook verplaats en van Zigbee kanaal gewisseld om range probelemen uit te sluiten.
- Mijn Pfsense firewall log loopt vol met ipv6:5353 ipv6 geblokeerde adressen, terwijl ik geen ipv6 uitdeel via pfsense.

nike schreef op dinsdag 18 oktober 2022 @ 09:46:
@MuVo kan je niet beter je homekit en hue in hetzelfde io netwerk.
Je eigen pc in een (admin) netwerk
Zou hou je wel je scheiding

Je telefoon is ook een IOT device dus die hoort daar ook in

3dmaster schreef op dinsdag 18 oktober 2022 @ 17:47:
Ik heb een APU2c2 met pfsense draaien en dat gaat al jaren prima. Nu heb ik onlangs mijn lijn geupgrade naar 1 Gigabit glas (delta, dus geen pppoe maar gewoon dhcp) en dan blijf ik steken op zo'n 600Mbit.

Ik zie hier toch meerdere mensen zeggen dat een apu2 een gigabit zou moeten kunnen doen bij meerdere connecties maar toch lukt mij dat niet. als ik een iperf doe vanaf mijn firewall naar een server die ik in een DC heb hangen haal ik de gigabit wel, maar zodra de pfsense moet routeren/firewallen is 600 de max.

Volgens dit blog https://teklager.se/en/kn...gabit-throughput-pfsense/ zou het wel moeten kunnen en ook zonder tweaks vanaf pfsense 2.5 (draai nu 2.6). Ik heb coreboot ook op de laatste versie gezet zodat deze kan boosten naar 1.4Ghz.

Kan het zijn dat mijn outbound nat rules hem beperken (sommige adressen worden op basis van deze regels een vpn tunnel ingestuurd).

of is de apu2c2 gewoon niet sneller.

[ Voor 15% gewijzigd door stormfly op 18-10-2022 21:33 ]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

[  5] 294.00-295.00 sec  15.0 MBytes   126 Mbits/sec    0    551 KBytes
[  7] 294.00-295.00 sec  32.5 MBytes   273 Mbits/sec    0   1.12 MBytes
[  9] 294.00-295.00 sec  41.2 MBytes   346 Mbits/sec    0   1.49 MBytes
[ 11] 294.00-295.00 sec  21.2 MBytes   178 Mbits/sec   13    581 KBytes
[SUM] 294.00-295.00 sec   110 MBytes   923 Mbits/sec   13

[  5] 295.00-296.00 sec  16.2 MBytes   136 Mbits/sec    0    568 KBytes
[  7] 295.00-296.00 sec  32.5 MBytes   273 Mbits/sec    0   1.15 MBytes
[  9] 295.00-296.00 sec  42.5 MBytes   357 Mbits/sec    0   1.49 MBytes
[ 11] 295.00-296.00 sec  17.5 MBytes   147 Mbits/sec    0    631 KBytes
[SUM] 295.00-296.00 sec   109 MBytes   912 Mbits/sec    0

[  5] 296.00-296.35 sec  6.25 MBytes   149 Mbits/sec    0    571 KBytes
[  7] 296.00-296.35 sec  11.2 MBytes   268 Mbits/sec    0   1.16 MBytes
[  9] 296.00-296.35 sec  15.0 MBytes   357 Mbits/sec    0   1.49 MBytes
[ 11] 296.00-296.35 sec  7.50 MBytes   179 Mbits/sec    0    643 KBytes
[SUM] 296.00-296.35 sec  40.0 MBytes   952 Mbits/sec    0

[ Voor 33% gewijzigd door stormfly op 19-10-2022 19:33 ]

stormfly schreef op dinsdag 18 oktober 2022 @ 09:42:
[...]


Een veelgemaakte fout is het bouwen van een secure omgeving en bij start alles dicht zetten, je troubleshoot uren nemen dan kwadratisch toe.

Mijn advies:

De reflection rules verwijderen

List of allowed service names to be reflected. Each service that is seen must match an entry in this list to be reflected to other networks.
This list can match the type of service or the name of the machine providing the service. Defaults to allowing all services.

Daarna alle FW rules uitschakelen, en 1 rule met pass + logging en dan eens kijken of het werkt en wat je feitelijk voorbij ziet komen.

nike schreef op dinsdag 18 oktober 2022 @ 09:46:
@MuVo kan je niet beter je homekit en hue in hetzelfde io netwerk.
Je eigen pc in een (admin) netwerk
Zou hou je wel je scheiding

Je telefoon is ook een IOT device dus die hoort daar ook in

purge schreef op dinsdag 18 oktober 2022 @ 09:58:
Zoals @stormfly aangeeft is het (tijdelijk) weghalen van de reflection rules een goed idee. Ik heb geen idee of het matter protocol al experimenteel gebruikt wordt.

Ik zal vanavond kijken naar de firewall rules bij mij. Ik ga er vanuit dat je ook een allow rule hebt voor tcp/443 naar de Hue bridge voor de API?

MuVo schreef op woensdag 19 oktober 2022 @ 19:15:
[...]
Heb je toevalig nog naar jou fw rules gekeken en zou je daarvan iets wil delen?

purge schreef op woensdag 19 oktober 2022 @ 21:28:
[...]


Verder staat mij bij dat het ook bij mij wel eens voorkomt dat Homekit niet alle lampen en sensoren ziet. Meestal herstart ik de Hue bridge; mogelijk dat hierdoor de state table in pfSense wordt bijgewerkt en het weer werkt. Dit komt vrij weinig voor in ieder geval, 1 of 2 keer per jaar.

Kabouterplop01 schreef op donderdag 20 oktober 2022 @ 22:18:
[...]
Dat is toch wel heel raar, want de bridge kletst zigbee tegen Hue en geen ip.
Overigens moet je in de firewall log toch behoorlijk wat entries zien als het mis gaat.
Wel leuk om het zo in aparte subnets op te bouwen.

Waar je rekening mee dient te houden is dat i.t.t. TCP, UDP connectionless is.
dat houdt in dat je geen established sessions hebt en je het terugkerende verkeer expliciet moet toestaan.
[...]

purge schreef op woensdag 19 oktober 2022 @ 21:28:
[...]


Verder staat mij bij dat het ook bij mij wel eens voorkomt dat Homekit niet alle lampen en sensoren ziet. Meestal herstart ik de Hue bridge; mogelijk dat hierdoor de state table in pfSense wordt bijgewerkt en het weer werkt. Dit komt vrij weinig voor in ieder geval, 1 of 2 keer per jaar.

Hieronder heb ik de relevante stukken gepakt. Ik hoop dat ik niets mis.

Interfaces/subnets (fictieve namen)
- HUE: Daarin de Hue bridge
- TRUSTED: Apparaten met prive data, waaronder: mobiel, tablet en AppleTV(Homekit)

Avahi
- Allow Interfaces
- Interfaces: HUE, TRUSTED
- disable support IPv4: unchecked
- disable support IPv6: unchecked
- Repeat mdns packets across subnets: checked

Interface Group: HUE,...,...,...

Protocol	Source	Port	Destination	Port	Description
BLOCK IPv4+6 *	*	*	TRUSTED net	*	Deny to internal nets

Rules: HUE

Protocol	Source	Port	Destination	Port	Description
IPv4 UDP	*	*	224.0.0.251	5353	mDNS
IPv6 UDP	*	*	ff02::fb	5353	mDNS
IPv4 UDP	*	*	239.255.255.250	1900 - 1902	SSDP
IPv4+6 TCP	*	*	*	443	HTTPS
IPv4+6 TCP	*	*	*	80	HTTP
IPv4 IGMP	*	*	224.0.0.22		IGMP?

Rules: TRUSTED

Protocol	Source	Port	Destination	Port	Description
IPv4+6 ICMP	*	*	*	*	ICMP
IPv4+6 TCP	*	*	HUE net	80,443,8080	Pass to Hue bridge
IPv4 UDP	*	*	224.0.0.251	5353	mDNS
IPv6 UDP	*	*	ff02::fb	5353	mDNS
IPv4 UDP	*	*	239.255.255.250	1900 - 1902	SSDP

Priyantha Bleeker schreef op vrijdag 21 oktober 2022 @ 13:39:
Maar nu krijgt de Ubuntu host zelf geen IP adres van OpenWRT, ik denk dat ik gewoon iets gemist heb om te configureren, maar ik kan het niet Googlen omdat ik de juiste sleutelwoorden niet ken.

Voor nu heb ik het vrij smerig 'opgelost', door gewoon fysiek een derde Ethernet-verbinding terug naar de 'host' zelf aan te sluiten vanaf de switch.

nero355 schreef op vrijdag 21 oktober 2022 @ 15:32:
[...]

Die hoort ook geen IP adres via DHCP te krijgen en kan beter een eigen Statisch IP adres hebben, waarbij je eventueel alleen een Statische DHCP Mapping op basis van MAC adres gebruikt als Backup daarvan!


[...]

IMHO ook de juiste manier dus lekker zo laten!

Extra TIP : Overweeg een Management VLAN waarin dergelijke hosts te bereiken zijn via SSH en een eventuele webGUI

[ Voor 12% gewijzigd door Priyantha Bleeker op 21-10-2022 16:18 ]

Kabouterplop01 schreef op vrijdag 21 oktober 2022 @ 19:59:
de gebakken lucht

(En die SSDP/UPNP regel vind ik oerlelijk, maar dat komt omdat ik vind dat UPNP niet uitgevonden had moeten worden, want zeer onveilig)

westlym schreef op dinsdag 1 november 2022 @ 19:26:
ik heb sinds zaterdag een nieuwe firewall in dienst, namelijk met amd 3000g, moederbord van asus en 8 gig geheugen. Ik gebruik een oude seasonic gold 660 watt als voeding, en het werkt..denk ik. ik zit bij freedom en daar maken ze gebruik van PPPoE. Ik heb een gigabyte lijn en mijn vraag is: trekt de amd 3000G dit wel?

[ Voor 8% gewijzigd door stormfly op 01-11-2022 19:57 ]

stormfly schreef op dinsdag 1 november 2022 @ 19:49:
Jij hebt de firewall in dienst, en je hebt de lijn? Zou jij ons dan het antwoord kunnen geven?

PPPoE sessie op het WAN, FW verkeer toe laten, test laptop in de lan poort en naar speedtest.net

nero355 schreef op dinsdag 1 november 2022 @ 20:17:
[...]

@westlym

Nog beter :

Test eens met zowel Upload als Download verkeer TEGELIJK

[ Voor 36% gewijzigd door stormfly op 02-11-2022 12:07 ]

stormfly schreef op woensdag 2 november 2022 @ 11:48:
Je prikkelde mij gedachte, ik heb dat eens getest maar bij mij werkt het niet. De vraag is of dit zou moeten werken in een reguliere situatie als je het ISP modem gebruikt? Ik draai zelf wat diensten waardoor men het merkt als ik ga stoeien met de router, ik ben benieuwd of anderen dit wel eens getest hebben zonder dat ik een periode van downtime in hoef ;-)


EDIT toch maar downtime gecreëerd en de ERX aangesloten.

Nee het kan technisch niet, zelfs met een ERX router met PPPoE offload middelt het uit naar 500/500 en dan gaan de flows beide kanten op. Zou zo maar kunnen dat KPN een 1G cap totaal summary heeft op de verbinding, ongeacht welke kant op.

EDIT toch maar downtime gecreëerd en de ERX aangesloten.

Nee het kan technisch niet, zelfs met een ERX router met PPPoE offload middelt het uit naar 500/500 en dan gaan de flows beide kanten op. Zou zo maar kunnen dat KPN een 1G cap totaal summary heeft op de verbinding, ongeacht welke kant op.

Kabouterplop01 schreef op woensdag 2 november 2022 @ 14:44:
[quote]stormfly schreef op woensdag 2 november 2022 @ 11:48:
[...]


[...]


Eigenlijk zou dat niet moeten uitmaken; 1 GBit full duplex betekent dat de backplane van de apparatuur minimaal een capcaiteit van 2GBit moet hebben.

Al die acks, syn-acks, psh en fin berichten hebben echten geen GBit nodig, dus zowel up als download testen is heel goed.
Dit is eigenlijk zoals ADSL vroeger werkte; een atm lijn (special hiervoor ontworpen; asynchronous transfer mode) deed het zelfde, gekoppeld aan een STM-1 (155MBit synchroon).

speciaal gemaakt voor "dikke downloadsnelheid, lage upload snelheid".

Wat voor soort KPN lijn is dat die u heeft?

stormfly schreef op woensdag 2 november 2022 @ 15:10:
[...]


Levert KPN in de voorwaarden een full duplex lijn?

KPN XGSPON 1gigabit

Kabouterplop01 schreef op woensdag 2 november 2022 @ 15:57:
[...]


full duplex is een ethernet standaard, maar XGSPON ik denk dat het em daar in zit.

stormfly schreef op woensdag 2 november 2022 @ 19:33:
Is dit ook niet de reden dat je bij KPN "slechts" 930Mbit haalt? Dat de overige 70Mbit in het upstream pad gebruikt worden voor de TCP acks?

stormfly schreef op woensdag 2 november 2022 @ 19:33:
[...]


Ik ben wel benieuwd hoe een AON aansluiting het zou doen met fullduplex 1Gigabit (up 1 en down 1 tegelijk). De ethernet verbindingen kunnen het prima aan inderdaad, XGSPON waarschijnlijk ook met een down pad van 10G en up 2.5G (uit mijn hoofd). Zelf denk ik meer aan een instelling op het shaping profiel wat je abonnement hoort. Als ze dat al afdwingen in de UTP poort van de Genexis thuis (wat de meest logische plaats is) dan kan het een suffe software implementatie zijn.

Is dit ook niet de reden dat je bij KPN "slechts" 930Mbit haalt? Dat de overige 70Mbit in het upstream pad gebruikt worden voor de TCP acks?

PS: Dan zou een XGSPON klant van 200Mbit ook max 200Mbit moeten kunnen halen en niet 200up en 200down tegelijk. @ANdrode heb jij een mogelijkheid tot duplex testen thuis?

[ Voor 0% gewijzigd door Kabouterplop01 op 03-11-2022 10:19 . Reden: typo's ]

Kabouterplop01 schreef op donderdag 3 november 2022 @ 10:18:
[...]


Klinkt heel aannemelijk, ik meen me te herinneren dat er zowel gepoliced als geshaped wordt; op zowel laag 2 als laag 3. Dat gaat via policy templates. Ik denk zowel in de core als op de Genexis
en als je het snel zegt is 70Mbit niets, maar het is wel ff 70!!Mbit. (moet je voor de gein eens doen 70MBit sustained alleen maar acks sturen naar bijv een DNS server van je provider, kijken wat ze zeggen...(niet doen!!!)
Ik kan het jammergenoeg niet zelf testen. ik vind 980 á 995MBit realistischer en écht in de buurt komen. Zou dat dan echt de overhead van pppoe zijn?

• Intel NUC 7i3 haalt 1Gigabit maar symetrisch zakt dit terug naar 500/500 gemiddeld
• EdgeRouter X haalt dit niet, is ook wel bekend dat hij niet krachtig genoeg is. Heeft later wel HWoffload gekregen, toch lukt het niet
• EdgeRouter 3-Lite haalt het met gemak, keurig 1G up en 1G down

[ Voor 27% gewijzigd door stormfly op 03-11-2022 11:54 ]

stormfly schreef op donderdag 3 november 2022 @ 11:48:

Hoe kan je zien in pfsense of 1 CPU (PPPoE) tegen zijn max aanloopt en dat dit de bottleneck kan zijn? De CPU gaat tot 25% in de grafiek en hij heeft 4 cores meen ik....zou het daaraan liggen?

stormfly schreef op donderdag 3 november 2022 @ 11:48:
Hoe kan je zien in pfSense dat 1 CPU (PPPoE) tegen zijn max aanloopt en dat dit de bottleneck kan zijn? De CPU gaat tot 25% in de grafiek en hij heeft 4 cores meen ik....zou het daaraan liggen?

Tom Paris schreef op dinsdag 25 januari 2022 @ 14:34:
Dat kun je uit alleen het percentage niet afleiden... Wel kun je in je system activity nagaan of/hoe de load verdeeld wordt over de cores. Zeker met PPPoE kan het nuttig zijn om hier een system tunable voor in te stellen als die verdeling er niet (of niet goed) is: net.isr.dispatch=deferred

stormfly schreef op donderdag 3 november 2022 @ 11:54:
[...]


pfSense, zal de post ff aanpassen.

Kabouterplop01 schreef op donderdag 3 november 2022 @ 10:18:
Klinkt heel aannemelijk, ik meen me te herinneren dat er zowel gepoliced als geshaped wordt; op zowel laag 2 als laag 3. Dat gaat via policy templates. Ik denk zowel in de core als op de Genexis

en als je het snel zegt is 70Mbit niets, maar het is wel ff 70!!Mbit. (moet je voor de gein eens doen 70MBit sustained alleen maar acks sturen naar bijv een DNS server van je provider, kijken wat ze zeggen...(niet doen!!!)

Ik kan het jammergenoeg niet zelf testen. ik vind 980 á 995MBit realistischer en écht in de buurt komen. Zou dat dan echt de overhead van pppoe zijn?

hjtuinenburg schreef op donderdag 3 november 2022 @ 10:26:
Als router heb ik zelf veel Unifi spul, zowel op kantoor als thuis. De throughput is meer dan voldoende, en is een mooi systeem. Totdat ik Threat Control (packet inspection) aanzet, dan zakt de snelheid in van 1Gbit naar grofweg 400Mbit.

stormfly schreef op donderdag 3 november 2022 @ 11:48:
Intel NUC 7i3 haalt 1Gigabit maar symetrisch zakt dit terug naar 500/500 gemiddeld

Hoe kan je zien in pfSense dat 1 CPU (PPPoE) tegen zijn max aanloopt en dat dit de bottleneck kan zijn?
De CPU gaat tot 25% in de grafiek en hij heeft 4 cores meen ik....zou het daaraan liggen?

Tom Paris schreef op donderdag 3 november 2022 @ 12:55:
[...]

[...]

[b]nero355 schreef op donderdag 3 november 2022 @ 13:24:
Welk model precies ??

25% van 4 is 1 dus in principe klopt dat gewoon!

Tom Paris schreef op donderdag 3 november 2022 @ 12:55:
[...]
Dat kun je uit alleen het percentage niet afleiden... Wel kun je in je system activity nagaan of/hoe de load verdeeld wordt over de cores. Zeker met PPPoE kan het nuttig zijn om hier een system tunable voor in te stellen als die verdeling er niet (of niet goed) is: net.isr.dispatch=deferred
[...]

1
2
3
4
5
6
7
8

I have the following tunables configured in /boot/loader.conf:

net.isr.maxthreads="-1"
net.isr.bindthreads="1"

I've also added the following to /etc/sysctl.conf:

net.isr.dispatch=deferred

stormfly schreef op donderdag 3 november 2022 @ 13:51:
Intel(R) Core(TM) i3-7100U CPU @ 2.40GHz
Total Cores 2
Total Threads 4

Het is bij een NUC gebruikelijk dat deze slechts 1 nic heeft...

stormfly schreef op donderdag 3 november 2022 @ 13:51:
Ja ik zat er al mee te stoeien, mijn linux kennis is aardig maar BSD helaas niet op en top.

[Afbeelding]

stormfly schreef op donderdag 3 november 2022 @ 13:51:
Dit heb ik er nu in zitten maar helaas geeft het nog geen verbetering...
I have the following tunables configured in /boot/loader.conf:

net.isr.maxthreads="-1"
net.isr.bindthreads="1"

Tom Paris schreef op donderdag 3 november 2022 @ 14:06:
[...]


Nee je moet naar 'Diagnostics -> System Activity'. Daar zie je de load per core.


[...]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

last pid: 48280;  load averages:  1.65,  0.74,  0.55  up 0+00:43:57    14:28:07
568 threads:   7 running, 541 sleeping, 20 waiting
CPU: 10.2% user,  0.3% nice,  3.9% system,  5.4% interrupt, 80.2% idle
Mem: 311M Active, 169M Inact, 997M Wired, 30G Free
ARC: 562M Total, 59M MFU, 496M MRU, 169K Anon, 1635K Header, 4897K Other
     122M Compressed, 438M Uncompressed, 3.58:1 Ratio
Swap: 1024M Total, 1024M Free

  PID USERNAME    PRI NICE   SIZE    RES STATE    C   TIME    WCPU COMMAND
78443 root        100    0   196M   158M CPU2     2  13:49  89.79% /usr/local/bin/snort -R _44408 -D -q --suppress-config-log --daq pcap --daq-mode passive --treat-drop-as-alert -l /var/log/snort/snort_pppoe044408 --pid-path /var/run --nolock-pidfile --no-interface-pidfile -G 44408 -c /usr/local/etc/snort/snort_44408_pppoe0/snort.conf -i pppoe0{snort}
   11 root        155 ki31     0B    64K CPU3     3  36:53  70.65% [idle{idle: cpu3}]
   11 root        155 ki31     0B    64K RUN      1  34:28  57.37% [idle{idle: cpu1}]
   11 root        155 ki31     0B    64K CPU0     0  36:33  57.18% [idle{idle: cpu0}]
   11 root        155 ki31     0B    64K RUN      2  33:14  56.59% [idle{idle: cpu2}]
   12 root        -72    -     0B   320K WAIT     0   3:52  22.46% [intr{swi1: netisr 0}]
    0 root        -76    -     0B   896K CPU3     3   2:59  14.79% [kernel{if_io_tqg_3}]
   12 root        -72    -     0B   320K WAIT     1   1:53  11.08% [intr{swi1: netisr 1}]
   12 root        -72    -     0B   320K WAIT     2   1:59  10.60% [intr{swi1: netisr 2}]
   12 root        -72    -     0B   320K WAIT     3   1:38   8.79% [intr{swi1: netisr 3}]
    0 root        -76    -     0B   896K -        2   0:40   2.59% [kernel{if_io_tqg_2}]
  383 root         22    0   134M    48M piperd   2   0:17   0.20% php-fpm: pool nginx (php-fpm)

Die snap ik even niet. pfSense documentatie geeft aan dat als je deze opties gebruik, je ze moet matchen met het aantal cores in je processor. Als je deze op '1' zet castreer je je CPU effectief. Haal die eens weg en laat alleen 'net.isr.dispatch=deferred' eens staan? (Die hoort overigens in loader.conf.local, niet /etc/sysctl.conf)

stormfly schreef op donderdag 3 november 2022 @ 12:05:


Jij al wat gekocht?

GioStyle schreef op donderdag 3 november 2022 @ 14:37:
[...]


Jazeker, een Odroid H3 non plus. Ik verwacht hem volgende week in huis te hebben. Ik ga er uiteindelijk een nas van maken, maar ik ga ook even spelen met onder andere pfSense en OPNsense.

stormfly schreef op donderdag 3 november 2022 @ 14:28:
[...]


Dit is met 750mbit uitgaand en 150mbit inkomend, vanaf de twee machines welke op de ER3-lite wel 1g/1g behalen

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

last pid: 48280; load averages: 1.65, 0.74, 0.55 up 0+00:43:57 14:28:07 568 threads: 7 running, 541 sleeping, 20 waiting CPU: 10.2% user, 0.3% nice, 3.9% system, 5.4% interrupt, 80.2% idle Mem: 311M Active, 169M Inact, 997M Wired, 30G Free ARC: 562M Total, 59M MFU, 496M MRU, 169K Anon, 1635K Header, 4897K Other 122M Compressed, 438M Uncompressed, 3.58:1 Ratio Swap: 1024M Total, 1024M Free PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND 78443 root 100 0 196M 158M CPU2 2 13:49 89.79% /usr/local/bin/snort -R _44408 -D -q --suppress-config-log --daq pcap --daq-mode passive --treat-drop-as-alert -l /var/log/snort/snort_pppoe044408 --pid-path /var/run --nolock-pidfile --no-interface-pidfile -G 44408 -c /usr/local/etc/snort/snort_44408_pppoe0/snort.conf -i pppoe0{snort} 11 root 155 ki31 0B 64K CPU3 3 36:53 70.65% [idle{idle: cpu3}] 11 root 155 ki31 0B 64K RUN 1 34:28 57.37% [idle{idle: cpu1}] 11 root 155 ki31 0B 64K CPU0 0 36:33 57.18% [idle{idle: cpu0}] 11 root 155 ki31 0B 64K RUN 2 33:14 56.59% [idle{idle: cpu2}] 12 root -72 - 0B 320K WAIT 0 3:52 22.46% [intr{swi1: netisr 0}] 0 root -76 - 0B 896K CPU3 3 2:59 14.79% [kernel{if_io_tqg_3}] 12 root -72 - 0B 320K WAIT 1 1:53 11.08% [intr{swi1: netisr 1}] 12 root -72 - 0B 320K WAIT 2 1:59 10.60% [intr{swi1: netisr 2}] 12 root -72 - 0B 320K WAIT 3 1:38 8.79% [intr{swi1: netisr 3}] 0 root -76 - 0B 896K - 2 0:40 2.59% [kernel{if_io_tqg_2}] 383 root 22 0 134M 48M piperd 2 0:17 0.20% php-fpm: pool nginx (php-fpm)

Tom Paris schreef op donderdag 3 november 2022 @ 15:22:
[...]


Ah ja maar je draait Snort... Dat is niet echt een eerlijk vergelijk tegenover je ER-X/ER-3 natuurlijk Snort is sowieso single-threaded, je ziet ook dat die CPU2 helemaal voltrekt. Daar zit je limiet

stormfly schreef op donderdag 3 november 2022 @ 15:49:
[...]


Ik ben toch zo blij dat jij je bijdrages levert in dit topic, ik was volledig in de veronderstelling dat ik SNORT alleen gebruik voor GEO_IP_lists...maar hij is blijkbaar onderdeel van het routingproces...