Zelfbouw project: Firewall / Router / AP

Tom Paris schreef op donderdag 3 november 2022 @ 15:55:
[...]


Kun je daar niet beter pfBlockerNG voor gebruiken?

Tom Paris schreef op donderdag 3 november 2022 @ 14:06:
Die snap ik even niet. pfSense documentatie geeft aan dat als je deze opties gebruik, je ze moet matchen met het aantal cores in je processor. Als je deze op '1' zet castreer je je CPU effectief. Haal die eens weg en laat alleen 'net.isr.dispatch=deferred' eens staan? (Die hoort overigens in loader.conf.local, niet /etc/sysctl.conf)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

last pid:  1402;  load averages:  0.48,  0.38,  0.33  up 0+00:31:27    16:09:41
567 threads:   5 running, 542 sleeping, 20 waiting
CPU:  2.6% user,  0.3% nice,  2.6% system,  2.1% interrupt, 92.5% idle
Mem: 216M Active, 116M Inact, 985M Wired, 30G Free
ARC: 539M Total, 55M MFU, 477M MRU, 33K Anon, 1600K Header, 5103K Other
     117M Compressed, 421M Uncompressed, 3.60:1 Ratio
Swap: 1024M Total, 1024M Free

  PID USERNAME    PRI NICE   SIZE    RES STATE    C   TIME    WCPU COMMAND
   11 root        155 ki31     0B    64K CPU0     0  29:25  91.26% [idle{idle: cpu0}]
   11 root        155 ki31     0B    64K RUN      1  29:26  84.47% [idle{idle: cpu1}]
   11 root        155 ki31     0B    64K CPU2     2  28:29  83.98% [idle{idle: cpu2}]
   11 root        155 ki31     0B    64K CPU3     3  29:04  76.66% [idle{idle: cpu3}]
   12 root        -72    -     0B   320K WAIT     0   1:13  18.46% [intr{swi1: netisr 0}]
    0 root        -76    -     0B   960K -        3   1:09  16.26% [kernel{if_io_tqg_3}]
   12 root        -72    -     0B   320K WAIT     2   0:28   9.96% [intr{swi1: netisr 1}]
   12 root        -72    -     0B   320K WAIT     3   0:27   9.86% [intr{swi1: netisr 2}]
   12 root        -72    -     0B   320K WAIT     1   0:28   9.67% [intr{swi1: netisr 3}]
    0 root        -76    -     0B   960K -        2   0:20   2.49% [kernel{if_io_tqg_2}]
  383 root         21    0   106M    46M piperd   1   0:12   0.20% php-fpm: pool nginx (php-fpm)
    0 root        -16    -     0B   960K swapin   3   0:21   0.00% [kernel{swapper}]
  384 root         52    0   136M    52M accept   2   0:14   0.00% php-fpm: pool nginx (php-fpm)
81469 root         52    0   136M    51M accept   0   0:13   0.00% php-fpm: pool nginx (php-fpm)
85947 root         52    0   136M    50M accept   1   0:12   0.00% php-fpm: pool nginx (php-fpm)
    0 root        -76    -     0B   960K -        2   0:02   0.00% [kernel{if_config_tqg_0}]
   30 root        -12    -     0B  5120K -        2   0:01   0.00% [zpool-pfSense{zio_write_issue_1}]
   30 root        -12    -     0B  5120K -        1   0:01   0.00% [zpool-pfSense{zio_write_issue_0}]
   30 root        -12    -     0B  5120K -        2   0:01   0.00% [zpool-pfSense{zio_write_issue_2}]
   22 root        -16    -     0B    16K -        0   0:01   0.00% [rand_harvestq]
68455 root         22    0    67M    43M nanslp   1   0:01   0.00% php_wg: WireGuard service (php_wg)
   21 root        -16    -     0B    16K pftm     2   0:01   0.00% [pf purge]

stormfly schreef op donderdag 3 november 2022 @ 16:15:
Kan jij in deze info zien hoeveel de CPU nu belast wordt met forwarding?

stormfly schreef op donderdag 3 november 2022 @ 16:15:
Ik had met IPTV van KPN op basis van multicast ook uitdagingen met de single NIC forwarding. Dat werkte eigenlijk niet goed waardoor de TV niet goed werkte. Zou het kunnen dat we hier met een 1Gigabit issue op NIC niveau te maken hebben? De streams zijn samen weer exact 1G, down 750 en up 150.

Tom Paris schreef op donderdag 3 november 2022 @ 16:50:
Ik snap niet wat je hier vraagt? Multicast op single NIC kan prima werken, maar vergt meestal iets meer configuratie in je managed switch. Ik kan me ook voorstellen dat Snort roet in het eten gooide ivm de maximale CPU belasting en gewoon multicast packets ging droppen oid.

stormfly schreef op donderdag 3 november 2022 @ 17:27:
Zodra ik het multicast verkeer via een vayatta VM liet lopen (vlan 4 in en vlan STB out) ging het als een zonnetje. Heb nu NLziet waardoor het lastig testen is met multicast ;-)

Met dank aan : Coolhva in "[Ubiquiti & IPTV] Ervaringen & Discussie"

stormfly schreef op donderdag 3 november 2022 @ 15:08:
[...]


Owh dat is hetzelfde board qua CPU en 2 NIC's

Heb je toevallig al een goede guide gezocht voor xSense installaties?

GioStyle schreef op donderdag 3 november 2022 @ 14:37:
Jazeker, een Odroid H3 non plus. Ik verwacht hem volgende week in huis te hebben. Ik ga er uiteindelijk een nas van maken, maar ik ga ook even spelen met onder andere pfSense en OPNsense.

stormfly schreef op donderdag 3 november 2022 @ 15:08:
Owh dat is hetzelfde board qua CPU en 2 NIC's

stormfly schreef op woensdag 2 november 2022 @ 19:33:
[...]
Is dit ook niet de reden dat je bij KPN "slechts" 930Mbit haalt? Dat de overige 70Mbit in het upstream pad gebruikt worden voor de TCP acks?

PS: Dan zou een XGSPON klant van 200Mbit ook max 200Mbit moeten kunnen halen en niet 200up en 200down tegelijk. @ANdrode heb jij een mogelijkheid tot duplex testen thuis?

Iemand anders die dit kan testen?

stormfly schreef op donderdag 3 november 2022 @ 17:27:
[...]
Nou ja wat ik eigenlijk vraag: bij een premium intel NUC verwacht je toch dat er symmetrisch 2x1G tegelijk door die NIC moet kunnen lopen. Ik zoek nog naar de reden waarom het altijd lijkt te cappen op 1Gigabit netto, QOS etc is niet in gebruik.

• RX 66989 packets/98.896 MiB
• TX 30039 packets/2.272MiB

[ Voor 10% gewijzigd door ANdrode op 03-11-2022 20:02 ]

GioStyle schreef op donderdag 3 november 2022 @ 19:11:
Wie is ze?

wian schreef op donderdag 3 november 2022 @ 19:13:
Odroid is toch per definitie Realtek NICs?

ANdrode schreef op donderdag 3 november 2022 @ 19:24:
Als je lokaal test met iperf dan haal je ~980 mbit netto.

nero355 schreef op donderdag 3 november 2022 @ 19:54:
[...]
Komen jouw kabels uit Zilveren HIFI-kabels gesmeed door elfen bij maanlicht #6 of zo

Snelheden boven de 960 Mbps zijn zeer uitzonderlijk!

[ Voor 11% gewijzigd door ANdrode op 03-11-2022 20:15 ]

Tom Paris schreef op donderdag 3 november 2022 @ 16:50:
[...]


Je ziet dat netisr de cores vrij evenredig belast.


[...]


Ik snap niet wat je hier vraagt? Multicast op single NIC kan prima werken, maar vergt meestal iets meer configuratie in je managed switch. Ik kan me ook voorstellen dat Snort roet in het eten gooide ivm de maximale CPU belasting en gewoon multicast packets ging droppen oid.

ANdrode schreef op donderdag 3 november 2022 @ 20:11:
Vooral slecht geformuleerd . ~980 mbit netto over de link heen.
Een hogere utilisatie zie ik in de praktijk niet bij TCP, bij iperf3.

_{Dit is mijn interpretatie van wat de getallen die iperf3 rapporteert betekenen. Met iperf3 ga je ~980 mbit zien.}

stormfly schreef op donderdag 3 november 2022 @ 12:05:

Jij al wat gekocht?

nero355 schreef op donderdag 3 november 2022 @ 20:47:
[...]

Ik vind dat nog steeds erg knap!

Zoek me helemaal suf naar oude Reviews waarin de meeste Switches en Routers simpelweg niet aan dergelijke snelheden kwamen, maar ik kan helaas effe niks anders vinden dan wat NAT doorvoer testjes met Routers van maximaal 931 Mbps en Multiple Clients testjes met Switches die dan zelfs onder de 900 Mbps inkakken!

[ Voor 68% gewijzigd door Tortelli op 03-11-2022 21:04 ]

Tortelli schreef op donderdag 3 november 2022 @ 20:48:
Ook binnen een LAN haal je dit soort snelheden normaal toch niet of nauwelijks?

Gbit is op een windows share ~113MB/s max meestal.

stormfly schreef op donderdag 3 november 2022 @ 12:05:
[...]

Hoe bevalt je router een kleine maand later, mijn grote angst is spontane reboots doordat er een Chinese medewerker even moest niezen boven mijn printje.

Kapitein187 schreef op vrijdag 4 november 2022 @ 09:06:
PSA: mochten er mensen zijn met iOS 16.1 en veel WiFi drops ervaren, dit ligt niet aan je netwerk maar aan iOS

https://www.macrumors.com...-1-wifi-issues-for-users/

Heb me rot gezocht naar waar het vandaan kwam..

D43m0n schreef op vrijdag 4 november 2022 @ 11:56:

Bevalt tot nog toe prima. Afgelopen weekend heb ik 'm dan eindelijk als router in gebruik genomen met OpenWRT. Met speedtest.net haal ik 920Mbit/s maar da's lastig vergelijken met dslreports.net of de buffer bloat tool van waveform.com. Ik heb SQM met cake actief en haal bij waveform's bufferbloat test als bij die van dslreports.net een A+ score. Ik heb 't vlug ingesteld op basis van de meting met speedtest.net en fast.com zonder SQM en wat extra marge genomen. Eigenlijk zou ik wat netperf/iperf/flent RRUL metingen moeten doen. Dan krijg ik misschien een beeld waar er nog wat te sleutelen valt. Zal de 1e keer worden dat ik zoiets ga doen.

CPU gebruik is zo'n beetje 20-30% wanneer bij speedtesten. Met cake actief zie ik niet veel extra CPU gebruik. De load lijkt ook netjes over de vier cores verdeeld te worden (PPPoE).

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

last pid:  1402;  load averages:  0.48,  0.38,  0.33  up 0+00:31:27    16:09:41
567 threads:   5 running, 542 sleeping, 20 waiting
CPU:  2.6% user,  0.3% nice,  2.6% system,  2.1% interrupt, 92.5% idle
Mem: 216M Active, 116M Inact, 985M Wired, 30G Free
ARC: 539M Total, 55M MFU, 477M MRU, 33K Anon, 1600K Header, 5103K Other
     117M Compressed, 421M Uncompressed, 3.60:1 Ratio
Swap: 1024M Total, 1024M Free

  PID USERNAME    PRI NICE   SIZE    RES STATE    C   TIME    WCPU COMMAND
   11 root        155 ki31     0B    64K CPU0     0  29:25  91.26% [idle{idle: cpu0}]
   11 root        155 ki31     0B    64K RUN      1  29:26  84.47% [idle{idle: cpu1}]
   11 root        155 ki31     0B    64K CPU2     2  28:29  83.98% [idle{idle: cpu2}]
   11 root        155 ki31     0B    64K CPU3     3  29:04  76.66% [idle{idle: cpu3}]
   12 root        -72    -     0B   320K WAIT     0   1:13  18.46% [intr{swi1: netisr 0}]
    0 root        -76    -     0B   960K -        3   1:09  16.26% [kernel{if_io_tqg_3}]
   12 root        -72    -     0B   320K WAIT     2   0:28   9.96% [intr{swi1: netisr 1}]
   12 root        -72    -     0B   320K WAIT     3   0:27   9.86% [intr{swi1: netisr 2}]
   12 root        -72    -     0B   320K WAIT     1   0:28   9.67% [intr{swi1: netisr 3}]
    0 root        -76    -     0B   960K -        2   0:20   2.49% [kernel{if_io_tqg_2}]

[ Voor 19% gewijzigd door stormfly op 04-11-2022 12:24 ]

D43m0n schreef op vrijdag 4 november 2022 @ 12:32:
Ik heb in een reactie in een ander topic wat geplaatst over stroomverbruik en temperatuur. Als ik kijk wat het verbruik de afgelopen 24 uur is nu het apparaatje als router gebruikt wordt valt me dat nog steeds erg mee:

[Afbeelding]

stormfly schreef op vrijdag 4 november 2022 @ 12:21:
Thanks voor je reactie, mijn grootste angst is dat het moederboard instabiel is en je internet outages krijgt thuis. Bij een Intel NUC is de prijsstelling zodanig dat je dit niet verwacht, en tot op heden heb ik dat ook niet meegemaakt.

nero355 schreef op vrijdag 4 november 2022 @ 14:54:
[...]

Als ik de verschillende kastjes die hier langskomen vergelijk met de Atom/Celeron/Pentium NUC modellen van Intel dan is het best wel zeer vergelijkbaar allemaal, vooral als je de prijs aanhoudt die meteen bij de release van een nieuw model werd aangehouden

Ik bedoel dan zoiets :
- uitvoering: Intel NUC Kit NUC7CJYH (met EU-stekker)
- uitvoering: Intel NUC Kit NUC7CJYHN
- uitvoering: Intel NUC Kit 7PJYH3
- uitvoering: Intel NUC Kit NUC7PJYH
- uitvoering: Intel NUC Kit NUC6CAYS
- uitvoering: Intel NUC Kit NUC6CAYH
- uitvoering: Intel NUC Kit NUC5CPYH
- uitvoering: Intel NUC Kit NUC5PGYH
- uitvoering: Intel NUC Kit DN2820FYKH

stormfly schreef op vrijdag 4 november 2022 @ 14:04:
[...]


Ja heel schappelijk! Ik begrijp dan niet waarom ze in die mini PC website, jij deelde die link meen ik. Zo negatief zijn over het verbruik van de N5105. Mogelijk alleen tov J4125, als vergelijking.

Videopac schreef op vrijdag 4 november 2022 @ 15:25:
Die NUCs hebben vrijwel altijd maar een NIC.

nero355 schreef op vrijdag 4 november 2022 @ 17:15:
[...]

Daar ging het echter niet over!

stormfly schreef op vrijdag 4 november 2022 @ 17:20:
Dat we meer doorvoersnelheid willen en meer NICs.

D43m0n schreef op vrijdag 4 november 2022 @ 15:56:
[...]


Best grappig dat ik powertop geprobeerd heb en dat dit voor dit specifieke kastje tot een verdubbeling van energieverbruik leidde.

Kennelijk bevestigd dit alweer het "meten is weten" credo. Je zou verwachten dat bij gebruik van powertop alle tunables naar "good" zetten tot een lager verbruik leidt. Maar kennelijk is dat niet altijd het geval. Nou kan dit beïnvloed worden door de specifieke hardware die toegevoegd is, maar dat is in dit geval niet zo heel veel. Namelijk alleen een NVMe SSD en een enkele RAM module. OpenWRT is natuurlijk al minimalistisch en erg geoptimaliseerd voor routers met weinig opslag, CPU en RAM, maar wel veel netwerk verkeer.

Het zou dan best interessant zijn om het verbruik van zo'n zelfde kastje te meten als je er pfsense, OPNsense of zelfs wat anders op zou zetten. Maar dat ga ik nu niet meer doen, ik heb 'm nu als router in gebruik

D43m0n schreef op vrijdag 4 november 2022 @ 12:32:
Ik heb in een reactie in een ander topic wat geplaatst over stroomverbruik en temperatuur. Als ik kijk wat het verbruik de afgelopen 24 uur is nu het apparaatje als router gebruikt wordt valt me dat nog steeds erg mee:

[Afbeelding]

[ Voor 25% gewijzigd door Tortelli op 04-11-2022 20:01 ]

Tortelli schreef op vrijdag 4 november 2022 @ 19:58:
Gebruik van OpenWRT is wel echt een pre qua multicore gebruik en PPPoE volgens mij?
Is het een beetje in te stellen (met KPN glas en IPTV)?

Tortelli schreef op vrijdag 4 november 2022 @ 19:58:

Verbruik valt me erg mee! Kan wel eens redelijk vergelijkbaar zijn met een consumenten router? Full load verbruik zal wel wat hoger zijn denk ik?

Priyantha Bleeker schreef op vrijdag 21 oktober 2022 @ 16:05:
[...]


Ahja, ben nu aan het klooien geslagen met bridge's e.d.
Maar krijg het dan ook niet werkend, krijg het nu zo dat de 'host' juist wél een IP adres krijgt én Internet heeft, maar vervolgens krijgt niets meer iets

Dus dan ga ik het maar even terug bouwen naar zoals het was, dat werkte tenminste.


Ondertussen weer terug verbouwd naar zoals het was.

Maar als ik zelf een IP adres toewijs aan diezelfde interface, welke dus 'direct attached' is aan de VM, dan doet die niets Misschien daar toch nog iets anders mee doen oid?

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

# This is the network config written by 'subiquity' network: ethernets: enp2s0: dhcp4: false optional: true enp3s0: dhcp4: false optional: true enp4s0: dhcp4: true optional: true enp5s0: dhcp4: false dhcp6: false optional: true version: 2 renderer: networkd ### This is unused now, was used to give LXD and LibVirt access to the LAN via a 3rd NIC bridges: br0: interfaces: [enp3s0] dhcp4: true optional: true parameters: stp: false forward-delay: 4 ### For LXD to give the OpenWRT container access to the Internet br1: interfaces: [enp5s0] dhcp4: true optional: true parameters: stp: false forward-delay: 4 ### For LXD and LibVirt to have access to the network br2: interfaces: [enp2s0] addresses: [192.168.1.115/24] # gateway4: 192.168.1.1 routes: - to: default via: 192.168.1.1 mtu: 1500 nameservers: addresses: [8.8.8.8] dhcp4: true optional: true parameters: stp: false forward-delay: 4

LXD Container configuratie:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67

### This is a YAML representation of the configuration. ### Any line starting with a '# will be ignored. ### ### A sample configuration looks like: ### name: instance1 ### profiles: ### - default ### config: ### volatile.eth0.hwaddr: 00:16:3e:e9:f8:7f ### devices: ### homedir: ### path: /extra ### source: /home/user ### type: disk ### ephemeral: false ### ### Note that the name is shown but cannot be changed architecture: x86_64 config: boot.autostart: "true" image.architecture: amd64 image.description: Openwrt 22.03 amd64 (20221023_19:58) image.os: Openwrt image.release: "22.03" image.serial: "20221023_19:58" image.type: squashfs image.variant: default limits.cpu: "2" limits.memory: 1GB volatile.base_image: 54f02336908b8c5a7476e733d8b394bf4454bd841757b40562bf7e60be8448d8 volatile.cloud-init.instance-id: a85a4be4-c73e-4f75-b937-e0f769df17f5 volatile.eth0.host_name: veth7284027f volatile.eth0.hwaddr: 00:16:3e:87:c6:7b volatile.eth1.host_name: vethefca7ced volatile.eth1.hwaddr: 00:16:3e:d1:e1:9a volatile.idmap.base: "0" volatile.idmap.current: '[{"Isuid":true,"Isgid":false,"Hostid":1000000,"Nsid":0,"Maprange":1000000000},{"Isuid":false,"Isgid":true,"Hostid":1000000,"Nsid":0,"Maprange":1000000000}]' volatile.idmap.next: '[{"Isuid":true,"Isgid":false,"Hostid":1000000,"Nsid":0,"Maprange":1000000000},{"Isuid":false,"Isgid":true,"Hostid":1000000,"Nsid":0,"Maprange":1000000000}]' volatile.last_state.idmap: '[]' volatile.last_state.power: RUNNING volatile.last_state.ready: "false" volatile.uuid: 2d331a06-a2b3-4f32-9202-9feff3121a48 devices: eth0: name: eth0 nictype: bridged parent: br1 type: nic eth1: name: eth1 nictype: bridged parent: br2 type: nic ephemeral: false profiles: - default stateful: false description: "" created_at: 2022-10-25T11:53:52.887446369Z name: openwrt status: Running status_code: 103 last_used_at: 2022-11-10T14:11:22.393584252Z location: none type: container project: default

Configuratie op de OpenWRT Container zelf is als volgt

/etc/config/network:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131

config interface 'loopback' option device 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config globals 'globals' option ula_prefix 'fd56:353b:afd1::/48' option packet_steering '1' config device option name 'br-lan' option type 'bridge' list ports 'eth1' config device option name 'br-wan' option type 'bridge' list ports 'eth0' config device option name 'br-lan' option type 'bridge' list ports 'eth1' config interface 'wan' option device 'br-wan' option proto 'dhcp' config interface 'lan' option device 'br-lan' option proto 'static' option ip6assign '60' option netmask '255.255.255.0' option ipaddr '192.168.1.1' option delegate '0' config device option type '8021q' option ifname 'eth1' option vid '5' option name 'eth1.5' option ipv6 '0' config device option type '8021q' option ifname 'eth1' option vid '10' option name 'eth1.10' option ipv6 '0' config device option type '8021q' option ifname 'eth1' option vid '20' option name 'eth1.20' option ipv6 '0' config device option type '8021q' option ifname 'eth1' option vid '30' option name 'eth1.30' option ipv6 '0' config device option type '8021q' option ifname 'eth1' option vid '40' option name 'eth1.40' option ipv6 '0' config device option type 'bridge' option name 'br-vlan5' list ports 'eth1.5' option ipv6 '0' config interface 'guest' option proto 'static' option ipaddr '10.5.0.2' option netmask '255.255.255.0' option device 'br-vlan5' config device option type 'bridge' option name 'br-vlan10' list ports 'eth1.10' option ipv6 '0' config interface 'domotica' option proto 'static' option ipaddr '10.10.0.2' option netmask '255.255.255.0' option device 'br-vlan10' config device option type 'bridge' option name 'br-vlan20' list ports 'eth1.20' option ipv6 '0' config interface 'cameras' option proto 'static' option ipaddr '10.20.0.2' option netmask '255.255.255.0' option device 'br-vlan20' config device option type 'bridge' option name 'br-vlan30' list ports 'eth1.30' option ipv6 '0' config interface 'appliances' option proto 'static' option ipaddr '10.30.0.2' option netmask '255.255.255.0' option device 'br-vlan30' config device option type 'bridge' option name 'br-vlan40' list ports 'eth1.40' option ipv6 '0' config interface 'private_no_ipv6' option proto 'static' option ipaddr '10.40.0.2' option netmask '255.255.255.0' option device 'br-vlan40'

/etc/config/firewall:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494

config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' option synflood_protect '1' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' list network 'lan' config zone option name 'wan' option input 'REJECT' option output 'ACCEPT' option forward 'REJECT' option masq '1' option mtu_fix '1' list network 'wan' list network 'henet' list network 'WAN6' config forwarding option src 'lan' option dest 'wan' config rule option name 'Allow-DHCP-Renew' option src 'wan' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' config rule option name 'Allow-Ping' option src 'wan' option proto 'icmp' option icmp_type 'echo-request' option family 'ipv4' option target 'ACCEPT' config rule option name 'Allow-IGMP' option src 'wan' option proto 'igmp' option family 'ipv4' option target 'ACCEPT' config rule option name 'Allow-DHCPv6' option src 'wan' option proto 'udp' option src_ip 'fc00::/6' option dest_ip 'fc00::/6' option dest_port '546' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-MLD' option src 'wan' option proto 'icmp' option src_ip 'fe80::/10' list icmp_type '130/0' list icmp_type '131/0' list icmp_type '132/0' list icmp_type '143/0' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Input' option src 'wan' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' list icmp_type 'router-solicitation' list icmp_type 'neighbour-solicitation' list icmp_type 'router-advertisement' list icmp_type 'neighbour-advertisement' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Forward' option src 'wan' option dest '*' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-IPSec-ESP' option src 'wan' option dest 'lan' option proto 'esp' option target 'ACCEPT' config rule option name 'Allow-ISAKMP' option src 'wan' option dest 'lan' option dest_port '500' option proto 'udp' option target 'ACCEPT' config rule option name 'Support-UDP-Traceroute' option src 'wan' option dest_port '33434:33689' option proto 'udp' option family 'ipv4' option target 'REJECT' option enabled '0' config include option path '/etc/firewall.user' config rule option name 'Allow-DNS-guest' option src 'guest' option proto 'tcp udp' option dest_port '53' option target 'ACCEPT' config rule option name 'Allow-DHCP-guest' option src 'guest' option proto 'udp' option dest_port '67-68' option target 'ACCEPT' config zone option name 'guest' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' list network 'guest' config forwarding option src 'guest' option dest 'wan' config zone option name 'domotica' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' list network 'domotica' config zone option name 'cameras' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' list network 'cameras' config zone option name 'appliances' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' list network 'appliances' config forwarding option src 'cameras' option dest 'wan' config forwarding option src 'appliances' option dest 'wan' config forwarding option src 'lan' option dest 'appliances' config forwarding option src 'lan' option dest 'cameras' config forwarding option src 'lan' option dest 'domotica' config forwarding option src 'lan' option dest 'guest' config rule option name 'Allow-DNS-domotica' option src 'domotica' option proto 'tcp udp' option dest_port '53' option target 'ACCEPT' config rule option name 'Allow-Luci-Internet' option src 'wan' option proto 'tcp udp' option dest_port '80' option target 'ACCEPT' option src_port '8880' config rule option name 'Allow-SSH-Internet' option src 'wan' option proto 'tcp udp' option dest_port '22' option target 'ACCEPT' option family 'ipv4' config rule option name 'Allow-DHCP-domotica' option src 'domotica' option proto 'udp' option dest_port '67-68' option target 'ACCEPT' config rule option name 'Allow-DNS-cameras' option src 'cameras' option proto 'tcp udp' option dest_port '53' option target 'ACCEPT' config rule option name 'Allow-DHCP-cameras' option src 'cameras' option proto 'udp' option dest_port '67-68' option target 'ACCEPT' config rule option name 'Allow-DNS-appliances' option src 'appliances' option proto 'tcp udp' option dest_port '53' option target 'ACCEPT' config rule option name 'Allow-DHCP-appliances' option src 'appliances' option proto 'udp' option dest_port '67-68' option target 'ACCEPT' config rule option name 'Allow-Prometheus-Sexigraf' option src 'wan' option dest_port '9100' option target 'ACCEPT' list src_ip '[b][s]External IP address removed[/s][/b]' config redirect option target 'DNAT' list proto 'udp' option src 'wan' option dest 'lan' option dest_port '161' option name 'Omada SNMP - T1600-28PS' option src_dport '1611' option dest_ip '192.168.1.209' config redirect option target 'DNAT' option src 'wan' option dest 'lan' option name 'ESXi webui' option src_dport '4443' option dest_port '443' option dest_ip '192.168.1.234' config rule option name 'Allow-SSH' option target 'ACCEPT' option src 'wan' option dest_port '22' option proto 'tcp' option family 'ipv4' config rule option name 'Allow-SNMP-Omada' option src 'wan' list dest_ip '192.168.1.137' option dest_port '161' option target 'ACCEPT' config redirect option target 'DNAT' list proto 'udp' option src 'wan' option src_dport '1612' option dest 'lan' option dest_port '161' option name 'Omada SNMP - EAP265-HD-BG1' option dest_ip '192.168.1.168' config redirect option target 'DNAT' option name 'Omada SNMP - EAP265-HD-VD1' list proto 'udp' option src 'wan' option src_dport '1613' option dest 'lan' option dest_ip '192.168.1.105' option dest_port '161' config forwarding option src 'domotica' option dest 'wan' config rule option name 'Allow-mDNS' list proto 'udp' option src '*' option src_port '5353' option dest_port '5353' option target 'ACCEPT' config redirect option target 'DNAT' option src 'wan' option src_dport '8123' option dest_port '8123' option dest 'lan' option dest_ip '192.168.1.160' option name 'HomeAssistant 8123' config rule option name 'HomeConnect' option src 'appliances' option src_port '123 8080 443' option target 'ACCEPT' config rule option name 'ICMP-Test' option target 'ACCEPT' list proto 'icmp' option src '*' option dest '*' config zone option name 'lan_no_ipv6' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' option family 'ipv4' list network 'private_no_ipv6' config forwarding option src 'lan_no_ipv6' option dest 'appliances' config forwarding option src 'lan_no_ipv6' option dest 'cameras' config forwarding option src 'lan_no_ipv6' option dest 'domotica' config forwarding option src 'lan_no_ipv6' option dest 'guest' config forwarding option src 'lan_no_ipv6' option dest 'lan' config forwarding option src 'lan_no_ipv6' option dest 'wan' config rule option name 'Allow-DNS-lan-no-ipv6' option src 'lan_no_ipv6' option proto 'tcp udp' option dest_port '53' option target 'ACCEPT' config rule option name 'Allow-DHCP-lan-no-ipv6' option src 'lan_no_ipv6' option proto 'udp' option dest_port '67-68' option target 'ACCEPT' config forwarding option src 'lan' option dest 'lan_no_ipv6' config forwarding option src 'appliances' option dest 'lan' config include 'miniupnpd' option type 'script' option path '/usr/share/miniupnpd/firewall.include' option family 'any' option reload '1' config redirect option target 'DNAT' option name 'Omada' option src 'wan' option src_dport '443' option dest 'lan' option dest_port '443' option dest_ip '192.168.1.232' config redirect option target 'DNAT' option name 'R21 VM' option src 'wan' option src_dport '8821' option dest 'lan' option dest_ip '192.168.1.138' option dest_port '8821' config redirect option target 'DNAT' option name 'Camect intel-gpu-top' option src 'wan' option src_dport '8080' option dest 'lan' option dest_ip '192.168.1.199' option dest_port '8080' config rule option name 'Allow-Guest-Omada' option src 'guest' option dest 'lan' list dest_ip '192.168.1.138' option dest_port '8088' option target 'ACCEPT' config rule option name 'Allow-P1_to-HA-MQTT' option src 'domotica' list src_ip '10.10.0.174' option src_port '1883' option dest 'lan' list dest_ip '192.168.1.165' option dest_port '1883' option target 'ACCEPT' list proto 'tcp' list proto 'udp' list proto 'icmp' list proto 'igmp' list proto 'esp' config redirect option dest 'lan' option target 'DNAT' option name 'Cockit Management' option src 'wan' option src_dport '9090' option dest_ip '192.168.1.114' option dest_port '9090' config redirect option dest 'lan' option target 'DNAT' option name 'LXD Dashboard' option src 'wan' option src_dport '8980' option dest_ip '192.168.1.214' option dest_port '80' config redirect option dest 'lan' option target 'DNAT' option name 'R25-Allow-SSH' option src 'wan' option src_dport '222' option dest_ip '192.168.1.114' option dest_port '22'

/etc/config/sqm:

code:

1 2 3 4 5 6 7 8 9 10 11

config queue 'eth1' option qdisc 'cake' option script 'piece_of_cake.qos' option verbosity '5' option debug_logging '0' option linklayer 'ethernet' option overhead '22' option interface 'br-wan' option enabled '1' option download '380000' option upload '40000'

Priyantha Bleeker schreef op vrijdag 11 november 2022 @ 09:22:
Ik heb twéé nics in 'bridge' gezet, te weten de nic waar het 'internet touwtje' aanzit en de nic waar het LAN opzit.

De reden van deze verandering? De laatste dagen was er opeens heel veen packetloss op de 'lijn' naar het Internet toe en aangezien de nieuwe 'host' nu op zolder staat, daar lopen nu 3 kabels naar die zolder ruimte(technische ruimte waar ook de opstelplaats is voor de WTW unit en omvormers) en het niet heel gemakkelijk was om een 4e kabel vrij te spelen om die 3e kabel uit te sluiten had ik besloten om het toch wéér eens te gaan proberen met 'maar' twee poortjes/kabels.
Toen vond ik andere instructies over hoe te bridgen, ik had dat al eerder gevonden, maar ik wilde een werkende situatie niet slopen omdat wij hier van afhankelijk zijn met thuiswerken.

Voor de mensen die het leuk vinden om te weten hoe het dan nu is geconfigureerd uiteindelijk hieronder de relevante configuratie files/exports.

Hieronder de host configuratie

nero355 schreef op vrijdag 11 november 2022 @ 14:45:
[...]

Vaag verhaal...

Ik zie het verband tussen een Bridge maken van twee Interfaces die elkaar niet eens zouden mogen zien op die manier en de packetloss die je ervaart totaal niet

nero355 schreef op vrijdag 11 november 2022 @ 14:45:
[...]

Zet eens QUOTE Tags om die lange CODE blokken heen!

Priyantha Bleeker schreef op vrijdag 11 november 2022 @ 15:05:
Uhu is het ook, is ook een vaag verhaal.
Maar wat er waarschijnlijk aan de hand was, is dat er ergens een kabelbreukje is oid in die derde kabel die ik gebruikte, óf dat ik de outlet niet goed genoeg heb gemaakt(dat ik die even opnieuw moet prikken met de tang).

Maar al met al was dit sowieso mijn gewenste situatie, ik wilde het ook graag het verkeer intern hebben zonder dat het éérst nog over de switch loopt die weer 2 verdiepingen lager staat

Goede meteen even gedaan, was al aan het zoeken geweest hoe ik het kon inklappen, dacht eerst aan spoiler tag, maar dan krijg je een groot zwart vlak

GioStyle schreef op vrijdag 11 november 2022 @ 21:26:
Voor de mensen die nog een Topton router willen aanschaffen. Ik zie nu dat ze in de aanbieding zijn bij ome Ali.

• Uiteraard router / firewall
• IPv6 support, natuurlijk
• VLANs natuurlijk
• VPN server met Wireguard en IPSEC/L2TP (toen ik eens Wireguard geprobeerd heb werkte het niet op mijn antieke OnePlus 3 met Android 9, dus daarop gebruik ik nog steeds IPSEC/L2TP)
• OpenVPN cliënt (als default gateway voor een van de VLANs)
• PiHole
• UniFi Controller

GioStyle schreef op vrijdag 11 november 2022 @ 22:01:
@RobertMe

Tuurlijk altijd goed kijken, maar als ik deze bijvoorbeeld wil afrekenen, dan kom ik uit op €136 inclusief btw.

nero355 schreef op vrijdag 11 november 2022 @ 20:10:
[...]

Ik denk dat je binnenkort een leuke e-mail of telefoontje van je ISP mag gaan verwachten als je serieus je WAN en LAN aan elkaar hebt geknoopt met een Bridge

Daar hoort toch echt een flinke scheiding tussen te zitten!


[...]

RobertMe schreef op vrijdag 11 november 2022 @ 21:54:

• PiHole
• UniFi Controller

Nu ga ik er vanuit dat voornamelijk die laatste twee een issue zijn.

De UniFi Controller op de thuisserver behouden is een mogelijkheid, maar daarvan zag ik wel al een handleiding / scriptje om die op *Sense te draaien. Maar PiHole leek niet mogelijk te zijn.

Priyantha Bleeker schreef op vrijdag 11 november 2022 @ 22:36:
Uhmm, ik bridge niet de WAN met LAN hè.
Ik heb puur de interface op de host als bridge interface gemaakt om ze door te zetten naar de container(s).
Ik heb de netplan config nog even aangepast dat die hen DHCP meer opvraagt op de host voor de WAN interface.
Bij nader inzien zou ik die WAN interface ook fysiek 1-op-1 door kunnen zetten naar de OpenWRT container zoals ik dat hiervoor ook had. En dan alleen de LAN interface als bridge interface op de host instellen.

Maar volgens mij kan dit geen kwaad, het is niet alsof ik om meerdere externe IP adressen vraag, want die interface is alleen maar met de OpenWRT container verbonden.

[ Voor 34% gewijzigd door nero355 op 12-11-2022 00:34 ]

D43m0n schreef op vrijdag 4 november 2022 @ 15:56:
[...]


Best grappig dat ik powertop geprobeerd heb en dat dit voor dit specifieke kastje tot een verdubbeling van energieverbruik leidde.

Kennelijk bevestigd dit alweer het "meten is weten" credo. Je zou verwachten dat bij gebruik van powertop alle tunables naar "good" zetten tot een lager verbruik leidt. Maar kennelijk is dat niet altijd het geval. Nou kan dit beïnvloed worden door de specifieke hardware die toegevoegd is, maar dat is in dit geval niet zo heel veel. Namelijk alleen een NVMe SSD en een enkele RAM module. OpenWRT is natuurlijk al minimalistisch en erg geoptimaliseerd voor routers met weinig opslag, CPU en RAM, maar wel veel netwerk verkeer.

Het zou dan best interessant zijn om het verbruik van zo'n zelfde kastje te meten als je er pfsense, OPNsense of zelfs wat anders op zou zetten. Maar dat ga ik nu niet meer doen, ik heb 'm nu als router in gebruik

D43m0n schreef op vrijdag 4 november 2022 @ 22:03:
[...]


Ik heb geen ervaring met een BSD variant waar PPPoE single threaded verwerkt wordt, maar dat ik amper meer cpu gebruik zie bij traffic shaping met cake had ik niet verwacht. Ik heb een aantal Netgear R7800 routers inmiddels. De eerste kon prima 300/30Mbit/s met cake aan. Toen ik overstapte naar KPN glasvezel met 500/500Mbit/s ging het niet veel harder dan dat. Er zijn echter een aantal community builds voor o.a. de R7800 waarbij de hardware acceleratie met die NSS cores wel werkt en dan haal je wel 920Mbit/s met zo’n R7800. Echter cake is dan niet mogelijk, dan kun je enkel met fq_codel aan traffic shaping doen, dat gaat wel met dezelfde snelheid alleen is een A+ rating eigenlijk niet haalbaar tegen bufferbloat.

Ik moet zeggen dat zo’n R7800 uitstekend in te stellen is voor KPN glasvezel met IPTV op OpenWRT. Ik kreeg alleen een beetje een sik van updates die de werking van die NSS cores dan weer sloopte. Er is dan community effort nodig om dat weer werkend te krijgen zodat je weer zo’n 920Mbit/s kunt gebruiken.

Als je dan standaard OpenWRT wil gebruiken met 1Gbit/s dan moet je aan een x86 router denken. Met zo’n mini-Pc met een aantal NIC’s vind ik de vlan’s makkelijker te configureren dan met swconfig. De R7800’s heb ik nu verspreid door het huis staan als dumb AP’s. Alleen de 5GHz radio’s staan aan en fast roaming is actief. De backhaul is bekabeld. Op 1 R7800 heb ik de 2.4GHz radio actief voor alle IoT-apparaten en die zitten in een apart vlan.

Ik heb een shell script gemaakt om de dumb AP’s met uci te configureren en een apart script voor deze mini-Pc. Lekker laagdrempelig maar het werkt prima. Ik gebruik AdGuard Home op de mini-Pc. Deze setup bevalt prima. Het is echt “set and forget” en wanneer ik na een tijdje vergeten zou zijn hoe de configuratie ook alweer was, pak ik de scripts erbij.


[...]


Het stroomverbruik bij 100% cpu gebruik waar alle vier de cores volledig aan het werk zijn valt erg mee. Hieronder zie je 2 pieken in stroomverbruik, daar zijn alle vier de cores voor 100% belast:

[Afbeelding]

Videopac schreef op zondag 13 november 2022 @ 08:34:
[...]

Misschien een domme vraag maar hoe meet je dat stroomverbruik en maak je er zo’n mooie grafiek van?

nero355 schreef op zaterdag 12 november 2022 @ 23:32:
@stormfly

De variant met de N5100 wordt als een 6 Watt model verkocht dus misschien is dat de betere optie dan

(Heb mijn andere NUCs van ESXi naar Proxmox gemigreerd afgelopen week. Mooi gratis product, iscsi multipath, IO limits op de datastores omdat het product zo kracht is dat hij alle links zo vol trekt dat internet uitvalt door de packet loss leuk projectje was het. Owh ja en een 3e quorum node in Docker op de nas omdat ik eigenlijk altijd 1 NUC uit heb staan.)

[ Voor 13% gewijzigd door stormfly op 13-11-2022 10:21 ]

stormfly schreef op zaterdag 12 november 2022 @ 19:25:
[...]


Heb jij heel toevallig de bios aanpassingen paraat die je hebt doorgevoerd ivm powerusage?

Ik begrijp niet dat die reviewer dit schrijft en jij zo laag uitkomt. .

Videopac schreef op zondag 13 november 2022 @ 08:34:
[...]

Misschien een domme vraag maar hoe meet je dat stroomverbruik en maak je er zo’n mooie grafiek van?

stormfly schreef op zondag 13 november 2022 @ 10:15:
[...]

Heb de Topton store eens een appje gestuurd. In de reviews klagen veel mensen over warmte. En daar antwoord hij: had je een duurdere moeten kiezen. Ben benieuwd welke dan

stormfly schreef op zondag 13 november 2022 @ 10:15:
Ja goed punt dan heb je waarschijnlijk wel het 10nm process. Daar kijk ik nog even naar.

Jouw optie met het passtrough-en van de NICs naar een virtuele FW is ook geen gek idee.

(Heb mijn andere NUCs van ESXi naar Proxmox gemigreerd afgelopen week. Mooi gratis product, iscsi multipath, IO limits op de datastores omdat het product zo kracht is dat hij alle links zo vol trekt dat internet uitvalt door de packet loss leuk projectje was het. Owh ja en een 3e quorum node in Docker op de nas omdat ik eigenlijk altijd 1 NUC uit heb staan.). Als dat product zo krachtig is met NIC io dan wil ik wel proberen om de FW te virtualiseren. En er dan nog wat simpele zaken naast te draaien.

Heb de Topton store eens een appje gestuurd. In de reviews klagen veel mensen over warmte. En daar antwoord hij: had je een duurdere moeten kiezen. Ben benieuwd welke dan

D43m0n schreef op zondag 13 november 2022 @ 11:49:
Maar ik heb gelezen dat de hoeveelheid gebruikte koelpasta minimaal is tussen cpu, koelblok en behuizing.

Wat ook voorkomt, maar dat verschilt weer per levering, is dat de schroefgaten waarin het koperen koelblok aan de behuizing geschroefd zit een heel klein opstaand randje hebben, waardoor het contact oppervlak dus in feite maar heel klein is. Bij de mijne viel dat alleszins mee. Maar anderen die daar last van hadden hebben dat vlak geschuurd. Kijk wel uit dat je niet teveel weg schuurt. Ik heb direct de koelpasta tussen cpu, koelblok en de behuizing verwijderd en daar zelf ruim nieuwe koelpasta aangebracht.

Er zijn helaas maar twee thermal-zones uit te lezen. De ene staat altijd strak op 27,8 graden, de andere varieert gedurende de dag tussen 42 en 44 graden Celsius. Toen ik met stress alle cpu cores voor 30 minuten op 100% had draaien liep die andere thermal-zone op tot 70 graden. De cpu werd nog niet terug geklokt naar een lagere snelheid. Het stroomverbruik zat toen tegen de 20W.

nero355 schreef op zondag 13 november 2022 @ 19:34:
[...]

Kijk alleen wel eerst of deze CPU's het überhaupt kunnen, want de laatste keer dat ik ernaar keek moest je minimaal een i3 hebben als je ook VT-D erbij wilde!

* RobertMe heeft uiteindelijk een ander N5105 systeem besteld voor ander doeleinde

nero355 schreef op zaterdag 12 november 2022 @ 00:33:
[...]

Pi-Hole kan je omtoveren in pfBlockerNG eventueel

[ Voor 22% gewijzigd door stormfly op 16-11-2022 08:56 ]

stormfly schreef op woensdag 16 november 2022 @ 08:38:
[...]


Deze periode heb ik wat meer tijd voor hobby en doorgezet met pfblockerNG. Ben om waardoor er weer 2 Aduard docker's uit kunnen waarmee we energie besparen ;-)

Ik zoek alleen nog naar de optie om bijvoorbeeld mijn vrouw en kinderen wel alle ad's te laten zien. Het whitelisten op destination is vrij gemakkelijk maar op source IP heb ik het nog niet gevonden.

You could use the suppression option from the alerts within pfBlockerNG. Or you can create an alias with Permit, and put this at the top of the other rules within pfBlockerNG. Or you could use a floating rule.

Er is geen slimmere manier dan dit?

EDIT: met de pfBlockerNG python variant kan het wel slimmer, ben nog wel benieuwd naar tips voor de niet-python variant.

[Afbeelding]

stormfly schreef op woensdag 16 november 2022 @ 08:38:
[...]


Deze periode heb ik wat meer tijd voor hobby en doorgezet met pfblockerNG. Ben om waardoor er weer 2 Aduard docker's uit kunnen waarmee we energie besparen ;-)

Ik zoek alleen nog naar de optie om bijvoorbeeld mijn vrouw en kinderen wel alle ad's te laten zien. Het whitelisten op destination is vrij gemakkelijk maar op source IP heb ik het nog niet gevonden.

You could use the suppression option from the alerts within pfBlockerNG. Or you can create an alias with Permit, and put this at the top of the other rules within pfBlockerNG. Or you could use a floating rule.

Er is geen slimmere manier dan dit?

EDIT: met de pfBlockerNG python variant kan het wel slimmer, ben nog wel benieuwd naar tips voor de niet-python variant.

[Afbeelding]

MuVo schreef op donderdag 17 november 2022 @ 06:57:
[...]


Ik heb het white listen van een subnet/ werkend in adblock. Ik weet niet of ik vandaag toekom om het te delen. Wordt op zijn laatst morgen. Met de Python variant heb ik het weekend gekregen, niet met de niet-Python variant.

Venimk1 schreef op donderdag 17 november 2022 @ 07:30:
[...]


Zit dit niet onder de 'resolver' custom options

Voorbeeld
server:
local-zone: "use-application-dns.net" always_nxdomain
private-domain: "plex.direct"
log-replies: yes
access-control-view: 192.168.10.0/24 dnsbl
access-control-view: 192.168.20.0/24 dnsbl
access-control-view: 192.168.30.0/24 dnsbl
access-control-view: 192.168.10.11/32 bypass
access-control-view: 192.168.20.10/32 bypass
access-control-view: 192.168.20.11/32 bypass
access-control-view: 192.168.20.13/32 bypass
access-control-view: 192.168.20.14/32 bypass
access-control-view: 192.168.20.16/32 bypass
access-control-view: 192.168.20.21/32 bypass
access-control-view: 192.168.30.22/32 bypass
access-control-view: 192.168.30.23/32 bypass
access-control-view: 192.168.30.24/32 bypass
access-control-view: 192.168.30.25/32 bypass
view:
name: "bypass"
view-first: yes
view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*conf

stormfly schreef op donderdag 17 november 2022 @ 08:53:
[...]


[Afbeelding]

Ik denk zo?

Hugo! schreef op dinsdag 22 november 2022 @ 19:21:
De TV loopt vast wanneer ik op volle snelheid ga downloaden.

JaDatIsPeter schreef op dinsdag 22 november 2022 @ 19:37:
[...]

Wat bedoel je met download?
1 ftp download?
20 usenet threads?
100 torrent connecties?
1 bestand van 10MB?
1 bestand van 30GB
Etc.

En wat laat sense zien in cpu, netwerk, etc?

Oftewel nekt jouw experiabox of nekt sense?

[ Voor 8% gewijzigd door Hugo! op 22-11-2022 20:47 ]

Kabouterplop01 schreef op woensdag 23 november 2022 @ 17:57:
Ik kwam deze toevallig tegen, 36W (niet veel, maar ook niet weinig)
https://www.bee-link.net/products/u59-n5095

best interessant stukje HW

Videopac schreef op woensdag 23 november 2022 @ 20:14:
[...]

Nu nog een nieuwe firewall kopen met 1Gb NIC’s zou ik zelf niet doen.

[ Voor 18% gewijzigd door stormfly op 25-11-2022 10:28 ]

stormfly schreef op vrijdag 25 november 2022 @ 10:22:
Zo na lang twijfelen is de kogel door de kerk, heb een topton unit besteld. Model A omdat deze beter de warmte kan afvoeren volgens de fabrikant. Met de N6005 CPU omdat ik er toch wat VM's bij wil draaien onder proxmox.

Dan hoop ik dat de NIC passtrough goed gaat werken, het is het nieuwe model met I226v omdat deze nog wat energiezuiniger zijn. pfSense gaat deze NIC's (baremetal) pas vanaf Q1 2023 ondersteunen.


[Afbeelding]
[Afbeelding]

Sp33dFr34k schreef op vrijdag 25 november 2022 @ 10:30:
[...]


Bedoel je zuiniger dan de 5105? Want dat is ie niet:

Advantages of Intel Celeron N5100
Consumes up to 40% less energy than the Pentium Silver N6005 – 6 vs 10 Watt

Wel een heel stuk sneller natuurlijk. Heb zelf de 5105 Topton gekocht, ga er toch geen berg VM's op draaien als er ook de router software op gaat draaien. Moet hem nog steeds installeren. Maar gaat wss bij VPN en OPNSense blijven vooralsnog. Twijfel nog steeds over baremetal vs Proxmox...

[ Voor 9% gewijzigd door _eLMo_ op 25-11-2022 10:38 ]

_eLMo_ schreef op vrijdag 25 november 2022 @ 10:26:
@RobertMe waarom Pi-Hole als je een firewall neerzet? OPNSense heeft gewoon support voor blocklists in de interface voor Unbound. Gewoon daar je blocklists ingooien en je hebt al een Pi-Hole. Scheelt een VM en onderhoud.

_eLMo_ schreef op vrijdag 25 november 2022 @ 10:26:
@RobertMe waarom Pi-Hole als je een firewall neerzet? OPNSense heeft gewoon support voor blocklists in de interface voor Unbound. Gewoon daar je blocklists ingooien en je hebt al een Pi-Hole. Scheelt een VM en onderhoud.

[ Voor 38% gewijzigd door stormfly op 25-11-2022 12:03 ]

stormfly schreef op vrijdag 25 november 2022 @ 10:22:
Zo na lang twijfelen is de kogel door de kerk, heb een topton unit besteld. Model A omdat deze beter de warmte kan afvoeren volgens de fabrikant. Met de N6005 CPU omdat ik er toch wat VM's bij wil draaien onder proxmox.

Dan hoop ik dat de NIC passtrough goed gaat werken, het is het nieuwe model met I226v omdat deze nog wat energiezuiniger zijn. pfSense gaat deze NIC's (baremetal) pas vanaf Q1 2023 ondersteunen.


[Afbeelding]
[Afbeelding]

Met deze CPU keuze kom ik singlethreaded het dichtst bij mijn huidige proxmox host.
[Afbeelding]

[ Voor 5% gewijzigd door Tortelli op 26-11-2022 08:48 ]

Tortelli schreef op zaterdag 26 november 2022 @ 08:46:
[...]


Heb hem ook gekocht (ook de 6005).
Nu even opzoek naar wat geheugen (16 of 32GB). Zou single of dual channel nog wat uitmaken bij deze hardware?

[ Voor 27% gewijzigd door stormfly op 26-11-2022 09:04 ]

Tortelli schreef op zaterdag 26 november 2022 @ 08:46:
[...]


Heb hem ook gekocht (ook de 6005).
Nu even opzoek naar wat geheugen (16 of 32GB). Zou single of dual channel nog wat uitmaken bij deze hardware?

Zoiets: uitvoering: Crucial CT16G4SFRA32A zou gewoon moeten werken denk ik?

nike schreef op zaterdag 26 november 2022 @ 14:23:
[...]


ik heb ook de 6005 met 64g intern geheugen.
Word herkent maar ik ervaar in home assistant crashes. (draai proxmox)
Ik lees nu dat de 6005 maar 16g ondersteund en alles erboven cpu errors kan geven.
Dat klopt dan ook wel als ik deze crash zie.
Ik ga weer terug naar mijn xeon servertje.
[Afbeelding]

[ Voor 24% gewijzigd door stormfly op 26-11-2022 14:44 ]

stormfly schreef op zaterdag 26 november 2022 @ 14:37:
[...]


Welke exact type modules geheugen heb je erin? En wat als je slechts 32G plaatst?

Diverse bronnen geven aan dat 32 en 64 goed werkt. Kreeg onderstaand nog terug uit een vraag bij de NRG shop.

Komt dit uit dmesg van de hypervisor of van HA?

Mijn Windows VM was ook pas stabiel na diverse probeersels in het hardware menu. Op een NUC op dit moment.


***members only***

nike schreef op zaterdag 26 november 2022 @ 15:31:
[...]


ik heb dit geheugen:
CORSAIR Vengeance - Geheugen
DDR4 (SO-DIMM) - 64 GB: 2 x 32 GB - 260-PIN - 2666 MHz - CL18 - 1.20 V - zwart


de error las in in de console toen home assistant crashed, dit gebeurt 1x in de week, de rest van de vms draaien door.

1
2
3

 cat /proc/cpuinfo | grep micro
sudo apt install intel-microcode
 cat /proc/cpuinfo | grep micro

[ Voor 16% gewijzigd door stormfly op 26-11-2022 16:09 ]

[ Voor 15% gewijzigd door Cybergamer op 27-11-2022 13:26 ]

Cybergamer schreef op zondag 27 november 2022 @ 13:24:
Ik zit zelf ook te denken aan een pfsense box.

Zou een simpele ASRock E350M1 (met extra netwerkkaart) volstaan? Ik zit ook nog te kijken naar de Odroid H3, maar die is wel een klap duurder. Zelf heb ik op het moment Ziggo 1Gb down (50Mb up). Voglend jaar denk ik glasvezel te hebben van 500/500.

Zo'n N6005 die ik eerder in het forum voorbij zag komen lijkt me ook wel een optie (wel weer enorm prijzig).

wian schreef op zondag 27 november 2022 @ 13:36:
[...]

Om te beginnen volstaat dat prima. Stop er een netwerkkaartje bij en gaan. Als je nog een netwerkkaartje moet kopen, koop dan een intel netwerkkaart met 2 poorten, dan hoef je de ingebouwde realtek NIC niet te gebruiken. Met Intel heb je de maximale performance and stabiliteit.

Als het bevalt, kun je daarna altijd nog nieuwe hardware kopen.

wian schreef op zondag 27 november 2022 @ 13:53:
Met Ziggo en glasvezelproviders die geen PPPoE gebruiken volstaat bijna iedere CPU voor een standaard pfSense systeem. Dus als je nog ergens een oud mobo'tje hebt liggen, kun je die gebruiken, zou er niet meteen iets nieuws voor kopen. Pas als je provider PPPoE gebruikt, of indien je flink aan de slag wil met suricata of een andere IDS, dan wordt de CPU belangrijk.

Cybergamer schreef op zondag 27 november 2022 @ 13:24:
Ik zit zelf ook te denken aan een pfsense box.

Zou een simpele ASRock E350M1 (met extra netwerkkaart) volstaan? Ik zit ook nog te kijken naar de Odroid H3, maar die is wel een klap duurder. Zelf heb ik op het moment Ziggo 1Gb down (50Mb up). Voglend jaar denk ik glasvezel te hebben van 500/500.

Zo'n N6005 die ik eerder in het forum voorbij zag komen lijkt me ook wel een optie (wel weer enorm prijzig).

Mich schreef op zondag 27 november 2022 @ 19:22:
Ik heb nu enige tijd een of ander chinees ding draaien met 6 LAN poorten en OPNsense erop. Draait prima en werkt prima. Ik heb ook nog een losse NAS en een losse NUC voor home automation.

Ik wil eigenlijk al deze apparaten gaan samenvoegen. Hier komt dan 1 nieuwe server voor met nieuwe hardware.

Ik wil dan eigenlijk Proxmox gaan proberen met een aantal VM's (OPNSense, Ubuntu (voor home automation), adguard en iets voor mijn NAS).

Mijn enigste twijfel zit hem in het volgende. Als ik een server heb met 2 UTP poorten waarvan er 1 gebruikt wordt als WAN aansluiting en de andere voor de LAN. Gaat het dan goedkomen dat zowel OPNsese en andere applicaties die ene LAN poort delen?

Dus als ik met mijn VM met Ubuntu naar internet wil gaat dan dan gewoon via het lokale (127.0.0.1) ip door de router naar de WAN poort?

Of kan ik er beter voor zorgen dat ik 3 LAN poorten in mijn server heb? 2 dedicated voor OPNsense en de 3e voor alle overige zaken?

Videopac schreef op zondag 27 november 2022 @ 19:50:
[...]

Ik heb ergens in een vergelijkende test tussen 2 of 3 van die Ali-express doosjes voorbij zien komen dat de N6005 zijn meerprijs eigenlijk niet waard is, ook vanwege het extra energieverbruik en de extra warmteontwikkeling.

Persoonlijk zou ik zelf voor een N5105 met i-226V NICs gaan, die laatste schijnen iets zuiniger te zijn dan i225. Even goed kijken bij Ali of waar dan ook dat je met een goede aanbieder in zee gaat.

[ Voor 22% gewijzigd door stormfly op 27-11-2022 20:28 ]

_eLMo_ schreef op vrijdag 25 november 2022 @ 10:26:
@RobertMe waarom Pi-Hole als je een firewall neerzet? OPNSense heeft gewoon support voor blocklists in de interface voor Unbound. Gewoon daar je blocklists ingooien en je hebt al een Pi-Hole. Scheelt een VM en onderhoud.

Kabouterplop01 schreef op zondag 27 november 2022 @ 20:38:
[...]

omdat je het misschien gescheiden wilt houden; Pihole is een DNS servertje en *sense een firewall en die werken op iets andere lagen van het OSI model.
houdt je firewall lekker snel, scheelt je machientje een lading aan cpu cycles.
Mijn sense resolvet NIETS daar is mijn pihole voor, mijn firewall blokkeert alleen op laag 3 en 4 (met wat Snort uitzonderingen)

wian schreef op maandag 28 november 2022 @ 22:21:Internet lijkt hier thuis een 1e levensbehoefte - als ik even rustig wil patchen of rommelen is er gelijk herrie.

wian schreef op maandag 28 november 2022 @ 22:21:
Ik heb jaaaren een virtuele pfSense gedraaid en dit werkt prima, maar uiteindelijk toch weer terug naar een dedicated doosje. Hoofdreden: beschikbaarheid. Internet lijkt hier thuis een 1e levensbehoefte - als ik even rustig wil patchen of rommelen is er gelijk herrie.

[ Voor 13% gewijzigd door Kriss1981 op 29-11-2022 09:52 ]

Sp33dFr34k schreef op dinsdag 29 november 2022 @ 10:02:
De reden dat ik ook neig naar barebone... beschikbaarheid. Proxmox heeft toch wel regelmatig updates, en dan moet de doos gereboot worden. Mijn huidige router (een UDR) moet ook weleens geupdate worden waardoor de verbinding er ff uitgaat, dus dat is niet veel anders. Dilemma's, dilemma's...

_eLMo_ schreef op zondag 27 november 2022 @ 23:50:
[...]


Als dat je ding is, go ahead, maar met een juist gedimensioneerde machine ga je niks merken qua performance en wel besparen op stroom. Je firewall heeft ook al een webinterface, dus je gebruikt toch al alle lagen van OSI.

Kriss1981 schreef op dinsdag 29 november 2022 @ 09:35:
Ben alleen nog aan het twijfelen tussen ESXI en Proxmox. Iemand hier ervaring met beide?

De bedoeling is dan om TrueNAS en pfSense VMs te maken, dus geen complexe dingen. Ben wel gecharmeerd van niet al te vaak patchen/updaten, zoals dat bij pfSense en ESXI gaat.
Geen idee hoe dat bij Proxmox gaat.