Zelfbouw project: Firewall / Router / AP

synoniem schreef op zaterdag 11 november 2023 @ 11:27:
[...]

Ik geloof direct dat de Topton beter is maar als ik je link volg en geheugen en SSD toevoeg ben ik gelijk 100 euro duurder uit dan de Firebat. Dan denk ik voor die prijs kan ik er twee hebben. Ook omdat ik voor tijdelijk genoeg reserve hardware achter de hand heb om de levertijd door te komen als deze het zou begeven.

stormfly schreef op donderdag 9 november 2023 @ 08:26:
het nieuwe board van HUNSN is publiek beschikbaar. Lijkt vooral te gaan over meer USB porten, maar ook USB 3.0 gecombineerd met NVMe PCIe 4x lanes en behoud van SATA3.0.

gaafst schreef op zaterdag 11 november 2023 @ 11:48:
[...]


Ziet er interessant uit, maar wel wat duur. Heeft iemand deze al ergens tegen een wat lagere prijs gespot? Helaas op Ali nog niet gevonden.

TumTum schreef op zaterdag 11 november 2023 @ 09:45:

De Topton / CWWK / Mini PC Deals:

UPDATE i3 N305 09:54
https://www.aliexpress.com/item/1005005381152417.html
Kortingscode: 15OT51
Spend & Save - €16,00
€213,50 excl. BTW!

TumTum schreef op zaterdag 11 november 2023 @ 11:51:
[...]
TumTum in "Zelfbouw project: Firewall / Router / AP"

Check even de I3tjes.

TumTum schreef op zaterdag 11 november 2023 @ 11:57:
[...]


Bij de checkout halen ze de BTW van de producten af. Dit moet je zelf regelen, meestal krijg je een SMS van de verzendmaatschappij om het over te maken. Daarna ontvang je het pakket.

Ik denk de laatste, maar dat moet je zeker even navragen bij Topton. Ik werk zelf de bios niet zomaar bij.

En nog even over de koelpasta: Als de behuizing goed heet wordt, weet je voldoende. Bij mij is de koelpasta prima. Ventilator is niet nodig, maar adviseer ik wel.

1. Normally we declare the item as MINI PC Case or Router with value(like $15-$100), buyers are fully responsible for paying fees involved, such as dispatching fees, storage costs, brokerage, taxes or VAT etc.
2. If you have special requirement of the value, Please leave a message to us when you make an order.
3. Due to the tax problem, buyer refuse to receive the goods, buyer needs to be fully responsible for the freight back and forth. Thank you for your cooperation.

wian schreef op zaterdag 11 november 2023 @ 12:12:
[...]

Klopt helemaal wat je zegt. Best wel misleidend dat er zowel op de bestelpagina als op de bestelbevestiging staat: including VAT. Maar bij navraag in de chat kreeg ik dit terug:

[...]

Heb hem maar geannuleerd. Met black friday komen er weer nieuwe aanbiedingen. De komende twee weken verdiep ik me er beter in. Wellicht kies ik voor een CWWK ivm betere ondersteuning.

https://www.aliexpress.com/item/1005006017107289.html
Kortingscode: 11SALE50
Promo Code - €44,27
€227,70 Incl. BTW

TumTum schreef op zaterdag 11 november 2023 @ 12:16:
[...]


Dan adviseer ik om dit te proberen incl. BTW, evt. met Klarna of PayPal:

[...]


CWWK is niet goedkoper en zal niet goedkoper worden. CWWK is vaak zelfs duurder.

Q: Are all prices including VAT? Or do I have to pay extra VAT to delivery company?
A: No, you just need to place the order and wait for the package to arrive. You don’t need to pay other fees.

Q: Are you shipping from Spain or from China?
A: It depends on the time of ordering, because there are not many warehouses in Spain now. It may be shipped from China, but our colleagues will handle customs fees and VAT at your local country's customs.

[ Voor 3% gewijzigd door wian op 11-11-2023 12:37 ]

TumTum schreef op zaterdag 11 november 2023 @ 11:44:
[...]


Ik adviseer ook om betrouwbaar geheugen en DDR5 hier aan te schaffen. Alleen de prijs is niet voldoende voor een goede router. Ik heb veel gezeur met de mini PC in combinatie met linux en power savings. Daarnaast vind ik het een drama met de NICs.

Laat zeggen 45 euro voor 8GB Corsair DDR5 + Kioxia Exceria M.2 500GB.

Ik heb dus 2 T9 Plus mini PC'tjes. Die zijn vrijwel identiek aan de Firebat. Ze zijn bij mij inmiddels nutteloos geworden door problemen met Linux en FreeBSD. Ik heb een bios update gevraagd en de reactie was dat ik het hiermee moet doen. Ik kan geen update verwachten. Ze ondersteunen alleen Windows.

wian schreef op zaterdag 11 november 2023 @ 12:35:
[...]


Lijkt te kloppen. Via chat:

[...]


Ga even goed nadenken. Dit is weer een ander merk KingNovy. Vind support wel belangrijk. Mijn huidige servertje staat hier al 5 jaar en dat hoop ik ook te halen met de volgende.

Edit: weet jij of dit doosje een gerelabelde CWWK is? Zo ja, welke van CWWK?

wian schreef op zaterdag 11 november 2023 @ 11:53:
[...]

Bedankt voor het posten van de links! Ik kon het niet laten en heb deze besteld als ESXi/Proxmox servertje. Ben benieuwd naar de kwaliteit, hopelijk zit de koelpasta etc goed en blijft deze koel genoeg om zonder fan te gebruiken.

Bij de bestelling staat dat de prijs (213,50) inclusief BTW is, maar jij zegt expliciet ex btw. Waarom?

Heb jij enig idee welke bios ik hier zou moeten kiezen?

[ Voor 4% gewijzigd door Villager op 11-11-2023 13:40 ]

TumTum schreef op zaterdag 11 november 2023 @ 13:40:
[...]


Die combinatie heb ik ook met de 16GB variant en dat gaat prima.

Villager schreef op zaterdag 11 november 2023 @ 13:54:
[...]


Zie ik het nu goed dat er alleen een M2 2232 NVMe in past? En ik lees ook iets over een PCB kaartje om een M.2 NVMe/PCIe3.0 2280 SSD te kunnen gebruiken. Wat is dan verstandig om te doen?

TumTum schreef op zaterdag 11 november 2023 @ 13:56:
[...]


2280 past prima, volgens mij zelfs 2 sloten. Zo niet, dan leveren ze een adapter mee. Dus je kunt op zoek naar een NVMe x4 SSD.

stormfly schreef op zaterdag 11 november 2023 @ 14:21:
[...]


Ik heb jouw USB fan tip ook besteld die ligt klaar.

Dat is eigenlijk niet heel veel te warm toch? Mijn OPN/pfSense N5105 die draait op 45-50 graden met Zenarmor DPI ingeschakeld. Je zou dan kunnen stellen met 8, normale, VM's kom je goed uit?

[ Voor 7% gewijzigd door TumTum op 11-11-2023 14:47 ]

TumTum schreef op zaterdag 11 november 2023 @ 14:46:[...]
Meting van de N305 heb ik nog niet gedaan. Kan ik wel even doen op korte termijn. TDP is aanpasbaar trouwens. Je kunt het bijstellen naar beneden, dan krijg je een soort van N300.

[ Voor 9% gewijzigd door stormfly op 11-11-2023 14:49 ]

Villager schreef op zaterdag 11 november 2023 @ 16:28:
Over temperatuur gesproken. Ben me aan het verdiepen in de NVMe wereld en kijk ook naar de temperaturen ervan. Kom dit lijstje tegen:
Crucial P5 Plus - 55 at idle, 78-81 at heavy load
Patriot P400 - idle at mid-to-high 50, 75 at heavy load
Adata Legend - idle at 34, 78-80 in heavy load
Kingston KC3000 - idle at 48, 78 in heavy load (without airflow)
Adata Gammix S70 - idle temp is not specified, 69-71 in heavy load
WD SN570 - idle temp not mentioned, 61 degrees in heavy load
WD SN770 - idle temp 52, 80 degrees in heavy load
Corsair MP600GS - idle 40, heavy load 80
Seagate Firecuda 520 - idle not mentioned, heavy load 79-85
Kingston Fury Renegade - 27 at idle, 75 in heavy load
Samsung 980 - idle not mentioned, mid-70 in heavy load
Samsung 980 Pro - idle not mentioned, 69-88 in heavy load
Gigabyte Aorus - 40 degrees at idle, 78 in heavy load
WD SN850X - idle 48, 78-85 in heavy load
WD SN700 - idle not mentioned, 81-85 in heavy load
Patriot VP4300 - 62 at idle, 90 degrees in heavy load
Silicon Power XD80 - 32 at idle, 69 in heavy load
Intel 670P - 30 at idle, 70 in heavy load
Patriot P300 - idle not mentioned, 68 in heavy load
Kingston NV2 - The drive idled at 56C by IR and 37C in SMART, a wide deviation between measurements, then hit 86C and 70C, respectively, after roughly 500GB of sustained writes).
Silicon Power A60 - idle not mentioned, 67 in heavy load
Adata Swordfish - idle not mentioned, 77 in heavy load

Nu zal er in het geval van de Topton i3-N305 niet snel 'heavy load' ontstaan, maar de idle temperatuur is misschien wel interessant?

[ Voor 8% gewijzigd door Villager op 11-11-2023 18:04 ]

TumTum schreef op zaterdag 11 november 2023 @ 09:45:
Goedemorgen,

Zoals eerder beloofd! De 11-11 deals op AliExpress. Ik zal dit evt. later aanvullen.
Advies is om even te refreshen tot half 11. Dan ga ik iets anders doen.

De Topton / CWWK / Mini PC Deals:

N100

N100 - X2 of X1 NVMe (1000MB/s+) - Router (Budget)
https://www.aliexpress.com/item/1005006189240963.html
Kortingscode: 11SALE15
Spend & Save - €16,00
Promo Code - €13,28
124,99 euro inclusief BTW

! UPDATE N100 - mSATA of NVMe (Let op) - MET COM POORTEN (en misschien i225B3 NICS)
https://www.aliexpress.com/item/1005005631752365.html
Kortingscode: 11SALE15
Spend & Save - €16,00
Promo Code - €13,28
€119,35 euro inclusief BTW

Mini N100 router met 2x i226-V & optionele ventilator
https://www.aliexpress.com/item/1005005466389211.html
Kortingscode: 11SALE15
Spend & Save - €16,00
Store Coupons/Codes - €4,80
€143,34 inclusief BTW

TopTon N100 met goede behuizing
https://www.aliexpress.com/item/1005005381152417.html
Kortingscode: 11SALE15
Spend & Save - €16,00
Promo Code - €13,28
€158,85 inclusief BTW

i3

i3 N305! - X4 NVMe - Goede behuizing
https://www.aliexpress.com/item/1005005610687184.html
Kortingscode: 15OT51
Spend & Save - €16,00
€228,89 excl. BTW - Reken op 240 inclusief BTW

UPDATE i3 N305 09:54
https://www.aliexpress.com/item/1005005381152417.html
Kortingscode: 15OT51
Spend & Save - €16,00
€213,50 excl. BTW!

UPDATE i3 (11:08)
Voor wie het aandurft in de EU store! Note: Dit is incl. BTW, maar ze kunnen moeilijk doen.
https://www.aliexpress.com/item/1005006017107289.html
Kortingscode: 11SALE50
Promo Code - €44,27
€227,70 Incl. BTW

Update: Gebruik eventueel een cashbacksite (zoals CashbackXL) om een paar euro extra terug te krijgen.

Laatste check: 11:08

Villager schreef op zaterdag 11 november 2023 @ 18:01:
Ik neig toch een beetje naar de Samsung 970 Evo Plus 2TB.

Villager schreef op zaterdag 11 november 2023 @ 18:01:
Ik neig toch een beetje naar de Samsung 970 Evo Plus 2TB. Die heeft wel DRAM cache en de 980 plus niet. Snelheid is hetzelfde, stroomverbruik ietsjes hoger (4.6 vs 6.0). Raar dat de 980 geen 2TB versie heeft. Effe een nachtje over slapen :-)

commentator schreef op zaterdag 11 november 2023 @ 19:12:
[...]


Dank voor het overzicht, de kortingscodes werken niet (meer)

[ Voor 18% gewijzigd door TumTum op 11-11-2023 19:43 ]

RobertMe schreef op zondag 12 november 2023 @ 11:09:
[...]

Omdat het weer extra software is.

RobertMe schreef op zondag 12 november 2023 @ 11:09:
En daarnaast is Avahi een one trick pony.
Sinds ik deze router heb geen gebruik gemaakt van mDNS relaying (eigenlijk cast ik nooit). Nu was ik gisteren toch weer eens for fun hiernaar aan het kijken en viel mijn oog ten eerste op dat generieke UDP broadcast relay oplossingen ook werken voor, bv, SyncThing. En deze draai ik in Docker waardoor LAN discovery niet werkt. Met dit tooltje zou dat dus wel kunnen wat wellicht wel fijn is (paar weken terug nog overal de IP adressen van de server aangepast). En Avahi doet natuurlijk geen generieke relaying en zou daarvoor dus niet werken.

RobertMe schreef op zondag 12 november 2023 @ 11:09:
Nu is dat nog steeds geen harde vereiste. En het feit dat deze tooltjes niet makkelijk te installeren / onderhouden zijn (zitten dus niet in de Debian repo en hebben ook geen custom repo) hield mij tegen.

RobertMe schreef op zondag 12 november 2023 @ 11:09:
En vervolgens kwam ik dus bij een van de vele varianten tegen "maar dit kan ook met iptables" (IIRC, kan ook nftables zijn geweest) tegen. En toen ben ik dus down the rabbit hole gegaan v.w.b. die route. In iptables is het overigens de TEE chain die je moet gebruiken om een pakket te dupliceren naar een andere interface. En ook daarvan zijn meerdere voorbeelden te vinden, bv op StackOverflow / StackExchange.

Raven schreef op zondag 12 november 2023 @ 11:30:
[...]

Die paar kB , om het hele OS met de paar router-gerelateerde pakketten bij te werken waren er per upgrade (van Debian 10 naar 11 en 11 naar 12) zo'n 350MB aan bestanden nodig die gedownload moeste worden, om nou daar moeilijk over te gaan doen


[...]

Is avahi-daemon niet voldoende voor SyncThing dan? Van wat ik zo gauw terugvind zou dat wel moeten zijn. Of komt het omdat de Docker containers niet direct aan het LAN zijn verbonden d.m.v. macvlan? Dan wordt het wel wat ingewikkelder.


[...]

Welke tooltjes doel je dan op?


[...]
Dat lijkt wel een stuk lastiger te configgen dan avahi-daemon, waar je alleen wat interfaces hoeft op te geven en that's it.

[ Voor 4% gewijzigd door stormfly op 12-11-2023 16:29 ]

stormfly schreef op zondag 12 november 2023 @ 16:27:
Nu voor de proxmox host aan het shoppen, N100 of N305. Met een 1TB NVMe heb ik ruimte zat voor VM's en ik draai Docker native in PVE (dus in het root OS). Ik ga toch starten met de N305, ik wil iets meer power hebben door het dubbele aantal cores. Idle verbruiken ze nagenoeg het zelfde rond de 10-11 watt.

Net de HUNSN RJ35 N305 gekocht, op de Duitse site van Amazon ging er 50euro af van 335 naar 285 een 15minuten Lightning deal. Met optie tot retourneren tot 31 januari '24. Dit reepje 48G geheugen kan er dan in waardoor ik ook wat meer VM's kan starten dan in de huidige 32G NUC.

stormfly schreef op zondag 12 november 2023 @ 17:08:
[...]


Ja daar heb ik mij ook over verbaasd met mijn eerste N5105, het korte antwoord is: ja ze kunnen meer adresseren dan 16G. Zoek maar eens op de sodimm naam in STH forums, veel positieve berichten over die specifieke sodimm.

[ Voor 17% gewijzigd door CAPSLOCK2000 op 12-11-2023 19:38 ]

sloth schreef op zondag 12 november 2023 @ 19:51:
Ik mis vast iets maar 32 GB RAM voor een firewall en dan nog zorgen hebben dat dit te krap is

[ Voor 31% gewijzigd door Rolfie op 12-11-2023 20:30 ]

sloth schreef op zondag 12 november 2023 @ 19:51:
Ik mis vast iets maar 32 GB RAM voor een firewall en dan nog zorgen hebben dat dit te krap is

RobertMe schreef op zondag 12 november 2023 @ 19:59:
[...]

Maar het is dan ook gedeeltelijk offtopic. Want het begon met de 100% offtopic vraag "ik ben op zoek naar een Proxmox host [en heb al een router dus dit wordt niet ook mijn router]".

In any case. Mijn router met plain Debian en een zeer beperkt aantal Docker containers gebruikt 4,4GB. Maar draai wel ZFS waarvan het ARC blijkbaar 2,9GB beslaat. Dus effectief max 1,5GB in gebruik. Dus ja, 32GB of nog meer voor een pure router is nogal veel.

Comp User schreef op dinsdag 14 november 2023 @ 18:28:
Ik heb sinds vandaag OPNSense draaien, maar ik kom niet verder met Adguard.

Ik krijg "validating ports: listen tcp 0.0.0.0:80: bind: address already in use" en "validating ports: listen tcp 0.0.0.0:53: bind: address already in use", de zgn fix issue knop zie ik niet.

Dat blijft ook als ik Pi-hole - die volgens mij "de schuldige" is - uitschakel in beeld staan ( waardoor ik dus ook niet verder kom).

Het is waarschijnlijk iets simpels wat ik over het hoofd zie, mede omdat ik wel gewoon online blijf, maar ik kom er niet achter wat er is daadwerkelijk verkeerd gaat.

[ Voor 14% gewijzigd door ThinkPad op 14-11-2023 20:15 ]

ninjazx9r98 schreef op dinsdag 14 november 2023 @ 19:45:
[...]

Draait Adguard op het OPNSense systeem? Dan draait unbound mogelijk al op port 53 en is het aan te raden om die aan te passen naar 5335. Port 80 zal ook in gebruik zijn en daarom wordt de boel ook gestart op port 3000, bij configureren moet je die dus ook daarop laten staan of erop zetten als dat niet het geval is.
Wat de Pihole ermee te maken heeft snap ik niet helemaal maar er mist ook informatie wat precies waarop draait en hoe.

[ Voor 9% gewijzigd door Comp User op 14-11-2023 20:24 ]

ninjazx9r98 schreef op dinsdag 14 november 2023 @ 20:31:
@Comp User Als je de unbound port aanpast en Adguard op 53 laat luisteren hoef je geen firewall rule aan te maken. Je verwijst alle clients naar Adguard die gewoon op 53 draait en hoeft daar dus niks speciaals voor te doen. In Adguard zet je dan unbound als upstream server en daar kun je de afwijkende poort meegeven.

[ Voor 6% gewijzigd door GoBieN-Be op 15-11-2023 10:46 ]

Rolfie schreef op woensdag 15 november 2023 @ 10:42:
Ik heb bij Ali een N305 besteld en zit nog te twijfelen om te virtualseren, voor mijn Firewall.

Ik zie hier vaak als hypervisor proxmox voorbij komen. Gebruiken jullie dan de gratis variant of een betaalde?
Alternatief is namelijk ESXi, waar ik al ervaring mee heb, of xcp-ng.

Groot voordeel van proxmox zie is de support voor containers, wat ik ook gebruik op mijn synology nas, maar waar ik niet helemaal tevreden over ben.
Dus ik zit nog wat te twijfelen....

Harmen schreef op woensdag 15 november 2023 @ 11:55:
@Comp User Unbound heeft ook een standaard adblocker. Deze heb ik nu een week in gebruik na jaren AGH. Bevalt prima tot nu toe, gui is wel wat karig. Mijn SG115 is nu wat rustiger kwa belasting.

stormfly schreef op woensdag 15 november 2023 @ 12:23:
[...]
Heb jij al gevonden hoe je 1 LAN IP kunt uitsluiten van de blocking? Zodat bv de iPad van de kids wel advertenties zien? Ik krijg dat niet voor elkaar.

[ Voor 11% gewijzigd door Harmen op 15-11-2023 13:04 ]

stormfly schreef op woensdag 15 november 2023 @ 12:23:
[...]


Heb jij al gevonden hoe je 1 LAN IP kunt uitsluiten van de blocking? Zodat bv de iPad van de kids wel advertenties zien? Ik krijg dat niet voor elkaar.

[ Voor 22% gewijzigd door ninjazx9r98 op 15-11-2023 13:38 ]

ninjazx9r98 schreef op woensdag 15 november 2023 @ 13:32:
[...]

In Adguard kun je een client vrij eenvoudig whitelisten maar bij unbound lijkt het erop dat je moet whitelisten voor iedereen die gebruik maakt van unbound.

RobertMe schreef op woensdag 15 november 2023 @ 13:42:
[...]

Unbound kan dit prima. Clients kun je taggen en RPZ kun je toepassen op (clients met een) tag. Maar gezien vele *Sense gebruikers reageerden ga ik er gemakshalve vanuit dat het niet in de UI van *Sense zit.

stormfly schreef op zaterdag 11 november 2023 @ 09:29:
[...]

[...]

Inderdaad het is op merkelijk dat systempatcher niet default geladen is, met systempatcher erbij heb je tussentijds nog wel 3x updates wat je zo op 8 updates per jaar brengt met pfSense.

Hieronder nog een lijstje met mijn observaties, natuurlijk geheel persoonlijk. Als ik wat mis wil je het laten weten, zou fijn zijn om een complete lijst te maken.

pfSense

• pfBlockerNG is complex maar als je het door hebt is het een fijn product.
• pfBlockerNG heeft een optie tot GeoIP en het whitelisten van IPs voor advertenties, zie onder OPNsense meer uitleg over deze behoefte.
• Gebaseerd op de pfSense plus tijdslijn tot november 2023: Updates, 2-3x per jaar in de basis en met system patcher geactiveerd nog +/- 6 extra per jaar.
• ARPwatch is een leuke tool + telegram integratie, als netwerk monitoring je hobby is.
• Helaas geen Zenarmor plugin, relatief weinig plugins.
• Relatief trage implementatie van nieuwe drivers zoals de Intel I-226-v NIC, mogelijk is dat wel versneld sinds FreeBSD 14 is geadopteerd als OS.

Algemeen

• Mijn beleving is dat ze meer programmeurs hebben waardoor de code kwaliteit beter is, ondanks dat ze minder releasen is het kwalitatief erg goed. Alles hangt voor beide partijen af van hoeveel mensen de RC draaien en feedback delen, bugs hou je altijd.
• Hun forum software is fijn, hun redmine bugtracker is fijn je ziet en krijgt terugkoppeling. Het is gemakkelijk en leuk om bugs te delen, eigenlijk net als UniFi in 2017 leuk contact met de developers
• Ze geven pfSense plus geen gratis updates meer, je moet dan TAC late support aanschaffen voor 129dollar per jaar.
• De community CE editie heeft de naam dat deze relatief weinig aandacht updates krijgt, in een recente blog beloven ze daar verbetering in te brengen.

OPNsense

• Zenarmor dit is echt hoe IPS en IDS in mijn ogen bedoeld is.
• NetFlow dashboard je kunt op IP herleiden hoeveel volume er verbruikt is
• Firewall GUI is duidelijk en overzichtelijker dan van pfSense, gemakkelijker te bedienen voor het inschakelen van logs etc.
• Naviatie in de GUI vind ik complexer, ik analyseer veel logs en dat is op één centrale plek bij pfSense, en per onderwerp bij OPNsense, wat meer clicks nodig heeft.
• GUI is more responsive.
• GeoIP ACL's zijn vele malen sneller te activeren dan via de complexere pfBlockerNG variant.
• Sneller nieuwe drivers (zoals Intel I226-v) en package updates, dat voelt veiliger, maar is dit het ook? Kwaliteit v.s. kwantiteit.
• Deze repo van mimugmail geeft een leuke set aan plugins zoals Aduard. Want je kunt in OPNsense wel een blocklist laden om ads te blokkeren via UNbound. Echter kan je hier helemaal geen IPs op whitelisten. De vrouwen in huis willen shoppen met advertenties en de Tweaker wil advertentie vrij. Daarom draai ik nu AdGuard op OPNsense zodat ik per IP (DHCP reserveringen) kan bepalen of er ads afgebeeld worden.

Algemeen

• Zeer oude forum software, waarom is er geen tijd en geld om dit te updaten? Al is het maar vanuit security oogpunt? Hoe veilig is dan de rest van hun security focus? Positief benadert: ze zijn zo druk bezig met testen van de veiligheid van hun OPNsense product dat ze geen tijd hebben om de forum software te upgraden.
• Ze lijken minder engineering resources te hebben, mijn genoemde PPPoE bug icm IPv6 lijkt nu dood te bloeden op "krijg het slecht gereproduceerd" iets wat ik met mijn bug reports bij pfSense nooit heb ervaren.

Wat te kiezen?

Als ik terugkijk naar mijn wankele Ziggo verbinding en beheerlast met een UniFi router qua firewalling, moet ik zeggen dat een van de grootste voordelen van pfSense + KPN glasvezel voor mij zijn: je hoeft er niet naar om te kijken. Zoals ik hier ook schrijf stormfly in "Zelfbouw project: Firewall / Router / AP" heb ik een aantal design keuzes gemaakt waardoor er minder op OPN/pfSense komt te draaien thuis. Dat geeft mij meer flexibiliteit tot het terugdraaien van mijn OPNsense keuze.

Mijn plan nu is: kijken of ik ze kan motiveren om toch weer naar mijn PPPoE bug te kijken, kijken hoe "diep" ze gaan qua inzet. Ik ben nu aan het spelen met Zenarmor dat is 99dollar voor 12 maanden, waarin je echt alles kunt filteren. Ik vindt alle gedrochten zoals UniFi IPS echt een wassen neus, ook Suricata etc is echt een draak qua GUI. Zenarmor maakt daarin echt een verschil (zie post link voor screenshots) dat is echt een gave tool die doet wat je verwacht, echte blokkades, goede inzichten, en een fijne GUI.

Als je Zenarmor voor 99dollar dan wegzet tegen 129dollar voor pfSense plus denk ik dat je met Zenarmor (en kids in huis) een beter en veiliger netwerk hebt aangekocht.

Ik ga nu kijken of pfSense de belofte waarmaakt ten aanzien van de frequentere CE updates, als ze die echt weer actief gaan patchen 2-3x per jaar dan ga ik misschien terug naar pfSense CE. Want stabiliteit is voor mij echt heel belangrijk. Ik wil niet meer updates, ik wil kwalitatieve updates.

wian schreef op woensdag 15 november 2023 @ 15:01:
[...]

Even je uitstekende post opnieuw onder de aandacht brengen

Ben het helemaal met je eens en vooral met die laatste zin. De migratie van pfSense Plus naar OPNsense heeft me veel tijd gekost en ik ben heel tevreden met OPNsense. Maar als de komende maanden blijkt dat die snelle updates zorgen voor meer downtime ga ik weer terug naar pfSense.

stormfly schreef op woensdag 15 november 2023 @ 15:38:
[...]


Even een hele snelle reactie:
Ik ben toevallig vandaag even terug gegaan naar pfSense CE om even te kijken hoe goed CE is. Dat viel nog niet helemaal mee vanaf een pfSense + 23.05 backup file. CE is dusdanig oud dat sommige packages niet willen installeren waardoor je naar 2.7.1-RC moet upgraden, maar dat was corrupt en moest ik op de cli fixen.

Ik had in OPN de geneste aliassen ontdekt, een verademing! Hetzelfde krijg ik niet bugvrij in PF CE op dit moment hij blijft miepen over een niet resolveble alias, toevoegen gaat goed maar na een F5 is die alias verdwenen.

Kortom ik ben vanavond niet thuis en de OPN NVMe disk zit er zojuist weer in en ik denk dat ik die erin laat. De GUI van pfSense voelt heel traag en ouderwets als je OPN een tijdje hebt bediend.

Zenarmor heb ik op een default aantal controles ingesteld, en AdGuarde home voor content filtering.

Zenarmor:
[Afbeelding]

TumTum schreef op woensdag 15 november 2023 @ 10:50:
[...]


Proxmox gebruikt OS containers. Dit werkt anders dan een Application Container, zoals Docker. Je kunt Docker bijv. in een OS (LXC) container draaien. Je kunt een linux distro kiezen en het gebruiken als een soort 'VM', maar dan veel efficienter.

hussie01 schreef op woensdag 15 november 2023 @ 15:55:
[...]


Dus toch treveden met opnsense?

[ Voor 5% gewijzigd door stormfly op 15-11-2023 16:28 ]

Rolfie schreef op woensdag 15 november 2023 @ 16:16:
[...]

Zojuist even wat geleerd, dat het toch net iets anders zit, dan ik had bedacht. Even een goede om te kijken wat ik dan wil gaan gebruiken.

TumTum schreef op woensdag 15 november 2023 @ 18:22:
Ik zou persoonlijk pfSense in een VM draaien en daarnaast proberen om alles in een LXC container te installeren indien mogelijk. Het is ook geen probleem om meerdere VMs op een i3-N305 te draaien. Je hebt met een LXC container wel minder overhead. Is alleen even uitzoeken of het kan met de applicaties die je wilt gebruiken.

stormfly schreef op donderdag 16 november 2023 @ 06:48:
[...]

Waarom draai jij AGH niet op OPNsense? Ik heb hetzelfde ontwerp gehad als jij, naar elke host 2x DNS lekker nerdy Ik ben afgehaakt op het dubbele beheer, daar is AGH niet sterk in qua gui. Mijn ontwerp is nu: AGH draait op de router, en als de router uit is = er toch geen internet.

[ Voor 16% gewijzigd door ninjazx9r98 op 16-11-2023 07:41 ]

LCD_viewer schreef op donderdag 16 november 2023 @ 12:02:
Zijn er nog goeie tips voor pfsense / opsense hardware met vergelijkbare specs?

LCD_viewer schreef op donderdag 16 november 2023 @ 12:02:

Zijn er nog goeie tips voor pfsense / opsense hardware met vergelijkbare specs?

RobertMe schreef op zaterdag 11 november 2023 @ 19:09:
Ik kwam er vandaag achter dat mDNS repeaten prima kan zonder software, maar puur door de firewall te ge-/misbruiken. Zijnde middels een stukje nftables configuratie zoals hier omschreven: https://gist.github.com/s...5871213db6baa12eb3c01f036

Alleen, dit werkt, soms... Heel specifiek: het werkt alleen als ik tcpdump draai. Wat ik doe, maakt niet eens (heel veel?) uit. Een tcpdump op elk willekeurig vlan dat ik heb is voldoende.

RobertMe schreef op zondag 12 november 2023 @ 11:02:
Langer "ontrafel" verhaal is de log vermelding elke keer als ik tcpdump startte. Dan werd promiscueus mode geactiveerd op de link. Dit kan ook handmatig worden gedaan ip link set <dev> promisc on en dan werkte het ook.
Vervolgvraag was "wat doet dit uberhaupt?". Antwoord: een netwerkadapter doet dus standaard alleen op zijn bekende adres(sen) luisteren, en daarnaast naar broadcast verkeer en eventueel multicast verkeer. Het overige verkeer wordt dus genegeerd en niet door gezet naar de CPU. In promiscueus mode doet de adapter wel alle verkeer doorzetten naar de CPU. Best logisch dus dat tcpdump dit activeert, en het op dat moment wel werkt.

Villager schreef op maandag 13 november 2023 @ 12:56:
Ik herken die geheugengrootte afweging wel. Heb een Pc met een i5-8600 8-core processor. Pc voldoet nog prima, maar merkte af en toe dat ik aan de grens van de 16Gb geheugen zat als ik veel tegelijk open had staan. Vooral browsers pakken een flinke hap uit het geheugen. Dus dacht even te upgraden, maar blijken er bijna geen compatible setjes (2x16Gb) beschikbaar. Lang zoeken en toch wat gevonden. Ook bij t doosje wat ik nu gekocht heb meteen maar 32Gb er in prikken. Hoef ik me daar geen zorgen over te maken :-)

Comp User schreef op dinsdag 14 november 2023 @ 18:28:
Ik heb sinds vandaag OPNSense draaien, maar ik kom niet verder met Adguard.

Ik krijg "validating ports: listen tcp 0.0.0.0:80: bind: address already in use" en "validating ports: listen tcp 0.0.0.0:53: bind: address already in use", de zgn fix issue knop zie ik niet.

Dat blijft ook als ik Pi-hole - die volgens mij "de schuldige" is - uitschakel in beeld staan ( waardoor ik dus ook niet verder kom).

Het is waarschijnlijk iets simpels wat ik over het hoofd zie, mede omdat ik wel gewoon online blijf, maar ik kom er niet achter wat er is daadwerkelijk verkeerd gaat.

ThinkPad schreef op dinsdag 14 november 2023 @ 20:14:
En vervolgens even een firewall rule aanmaken om de devices die je langs Adguard wilt hebben erheen te forceren, want op de meeste devices kun je geen afwijkende poort opgeven voor de DNS-server.

ninjazx9r98 schreef op dinsdag 14 november 2023 @ 20:31:
Als je de unbound port aanpast en Adguard op 53 laat luisteren hoef je geen firewall rule aan te maken. Je verwijst alle clients naar Adguard die gewoon op 53 draait en hoeft daar dus niks speciaals voor te doen. In Adguard zet je dan unbound als upstream server en daar kun je de afwijkende poort meegeven.

stormfly schreef op woensdag 15 november 2023 @ 12:23:
Heb jij al gevonden hoe je 1 LAN IP kunt uitsluiten van de blocking? Zodat bv de iPad van de kids wel advertenties zien? Ik krijg dat niet voor elkaar.

nero355 schreef op donderdag 16 november 2023 @ 18:46:
[...]


Vanwege bovenstaand zal je dus helaas sowieso met je Firewall aan de bak moeten!

ninjazx9r98 schreef op donderdag 16 november 2023 @ 20:04:
Met de firewall ja, met de rules nee. Met Adguard en Unbound op OPNSense hoef ik niks met rules te doen.

Maar misschien bedoel je iets anders?

nero355 schreef op vrijdag 17 november 2023 @ 15:46:
[...]

Lees eens wat van deze linkjes door : https://duckduckgo.com/?q...rce+devices+use+local+dns

Word je gelukkiger van!

Yes - not doing it at all.

Messing with normal DNS resolution is almost never the right answer, whatever the problem is that you're trying to solve.

EDIT re: your update. You are inappropriately trying to use technology to solve a policy problem. Don't.

ninjazx9r98 schreef op vrijdag 17 november 2023 @ 16:27:
Geen idee of ik er gelukkiger van wordt want je praat in raadsels en grote kans dat we langs elkaar heen praten

Ik ben helemaal niet op zoek naar een oplossing om clients te forceren naar een bepaalde DNS server dmv firewall rules.

Zijn er clients die daar lekker eigenwijs omheen werken, lekker boeiend en ze gaan hun gang maar

nero355 schreef op vrijdag 17 november 2023 @ 16:32:
[...]

IMHO meer iets dat algemeen bekend is op het moment dat je zelf de DNS gaat verzorgen!

[...]

Zou je wel moeten doen, want anders gaat die DNS Server van je steeds nuttelozer worden!

[...]

Dat is echt geen handige houding tegenwoordig...

ninjazx9r98 schreef op vrijdag 17 november 2023 @ 16:27:
[...]
Ik ben helemaal niet op zoek naar een oplossing om clients te forceren naar een bepaalde DNS server dmv firewall rules. Ik geef standaard DNS servers mee vanuit m'n DHCP scope en mocht er behoefte zijn aan een uitzondering dan geef ik dat specifieke device andere DNS servers mee in de static mapping.
Zijn er clients die daar lekker eigenwijs omheen werken, lekker boeiend en ze gaan hun gang maar

Tom Paris schreef op zaterdag 18 november 2023 @ 12:55:
[...]


@nero355 heeft wel gelijk. De meeste clients doen tegenwoordig aan DoH/DoT, of hardcoded DNS servers. Als je dat niet afvangt, zullen de meeste clients AdGuard omzeilen. Als dat geen probleem is, ook goed natuurlijk, maar daar zet je geen AdGuard voor op lijkt me.

Ik heb geen idee wat je aan het doen bent, maar Pi-Hole draait niet onder OPNsense direkt voor zover ik weet dus LigHTTPd of DNSmasq/FTLDNS zouden dan niet in de weg mogen zitten!
:

Comp User schreef op dinsdag 14 november 2023 @ 20:21:
[...]


Pi-hole draaide op een Raspberry Pi 2b, ik heb Unbound aangepast 5335 - had ik kunnen weten aangezien ik dat eerst ook zo had staan - en poort 80 aangepast naar 3000 - waarop ik ook de Login had maar okay - toen ging het als vanzelf.

Flappie schreef op maandag 20 november 2023 @ 21:09:
Nu lees ik overal het advies om een Intel I350 netwerkkaart te plaatsen, maar daar is lastig aan te komen en ze zijn best ook nog wel prijzig als je er aan kunt komen.

Flappie schreef op maandag 20 november 2023 @ 21:09:


Nu lees ik overal het advies om een Intel I350 netwerkkaart te plaatsen, maar daar is lastig aan te komen en ze zijn best ook nog wel prijzig als je er aan kunt komen.

ninjazx9r98 schreef op maandag 20 november 2023 @ 23:50:
[...]

Ik zat met hetzelfde "probleem" en heb na veel zoekwerk waarbij vooral prijzen op allerlei tweedehands sites tegen vielen en vaak flink hoger waren dan je overal leest de gok genomen met een I350-T2 op Amazon.
https://www.amazon.nl/dp/...dt_b_product_details&th=1

zweefjr schreef op dinsdag 21 november 2023 @ 08:28:
Ik gebruik zelf de I340-T2, werkt perfect.