Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 20:38

ThinkPad

Moderator Duurzame Energie & Domotica

L460

Nouja, in principe zou ik het juist niet moeten merken, dat is de hele gedachte erachter om Google DNS als secondary te pakken :D Heb nu de eerste van m'n provider als #1 gezet en 8.8.8.8 als #2.

Moet trouwens zeggen dat ik erg tevreden ben over pfSense. Heb het nu als router draaien in een VM, m'n thuisnetwerk loopt er ook over. De leercurve is behoorlijk steil, maar het werkt wel top moet ik zeggen. Gelukkig zijn er genoeg tutorials op internet te vinden om bijv. een gastnetwerk op te zetten. Heb zojuist een limiter ingesteld op dat gastnetwerk om het af te knijpen naar 5/1,5 :P

Qua resources is het ook extreem zuinig, as we speak zit het op 57Mhz CPU en 193MB RAM :D

ThinkPad wijzigde deze reactie 16-02-2017 15:20 (13%)

Hardware te koop | Gas besparen door CV-tuning | Elektriciteit besparen | Tweakblog


  • Dennis
  • Registratie: februari 2001
  • Laatst online: 23:43
Mooi dat je tevreden bent. Ik ben er zelf ook blij mee, daarom wil ik dus ook mijn thuisrouter (OpenWRT) vervangen door pfSense.

In de cloud ben ik vooral blij met de extra services zoals OpenVPN, FreeRADIUS, Bind en Haproxy. Apache mod_proxy mis ik wel :(.

  • GEi
  • Registratie: december 2012
  • Laatst online: 20:35
Zelf zou ik ook graag toetreden tot de groep pfSense gebruikers. Twijfel echter nog steeds over de hardware die in de 1U behuizing moet komen. Wat er ook gebeurd, de bandbreedte van 1Gbps up/down mag niet worden beperkt. Ben er nog steeds niet uit...

  • Nox
  • Registratie: maart 2004
  • Laatst online: 21:43

Nox

Zeg maar Nox

quote:
GEi schreef op donderdag 16 februari 2017 @ 17:34:
Zelf zou ik ook graag toetreden tot de groep pfSense gebruikers. Twijfel echter nog steeds over de hardware die in de 1U behuizing moet komen. Wat er ook gebeurd, de bandbreedte van 1Gbps up/down mag niet worden beperkt. Ben er nog steeds niet uit...
Een Atom C2000 zou meer dan voldoende moeten zijn daarvoor. Mits je de eisen voor beperking de aankomende 12 maanden ofzo stelt, daarna kan het wel eens hard achteruit gaan... :P

Overlever van KampeerMeet 4.1
Give me your corks!!11
All your Acer belongs to /dev/null


  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

quote:
ThinkPad schreef op donderdag 16 februari 2017 @ 15:02:
Moet trouwens zeggen dat ik erg tevreden ben over pfSense. Heb het nu als router draaien in een VM, m'n thuisnetwerk loopt er ook over. De leercurve is behoorlijk steil, maar het werkt wel top moet ik zeggen.
Mwah, die leercurve vond ik toen wel meevallen (edit: Of bedoel je het VM deel?). Het lastigste was nog ten tijde van v1.2.3 een pc te vinden met compoort om via een nullmodemkabel de NIC's in te stellen zodat de webinterface te gebruiken viel. Daar heb ik uiteindelijk een 386-era laptop met W3.11 voor gebruikt omdat ik geen USB->RS232 kabel kon vinden.

De webinterface vond ik vrij eenvoudig ingericht. De basis dingen waren wel te vinden als je eerder met (htk)routers hebt gewerkt. Voor IPv6 moest er een script aangemaakt worden, maar als je een beetje ervaring met de Linux/BSD console hebt dan is dat ook wel vrij simpel.

Maar om het nou een steile leercurve te noemen, ik vind van niet :P

Wel jammer dat de ath9k driver toen nogal bagger was, anders was ik er wel bij gebleven. Later werd het IPFire, veel betere drivers :) Maar buiten dat, pfSense werkt verder prima :D

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • renedis
  • Registratie: juli 2003
  • Laatst online: 22:32
quote:
GEi schreef op donderdag 16 februari 2017 @ 17:34:
Zelf zou ik ook graag toetreden tot de groep pfSense gebruikers. Twijfel echter nog steeds over de hardware die in de 1U behuizing moet komen. Wat er ook gebeurd, de bandbreedte van 1Gbps up/down mag niet worden beperkt. Ben er nog steeds niet uit...
quote:
Nox schreef op donderdag 16 februari 2017 @ 17:50:
[...]

Een Atom C2000 zou meer dan voldoende moeten zijn daarvoor. Mits je de eisen voor beperking de aankomende 12 maanden ofzo stelt, daarna kan het wel eens hard achteruit gaan... :P
Beetje prijzig om een (oudere) C2xxx bordje neer te zetten voor enkel PfSense.
Het is veel goedkoper om een socket 1151 mini-itx bordje + G4560 met minstens 4GB neer te zetten. Daarnaast is die nog sneller ook. Vooral sneller icm sommige VPN opties die single thread zijn. (G4560 heeft een veel hogere klok snelheid en daarom een hogere throughput op single thread).

  • renedis
  • Registratie: juli 2003
  • Laatst online: 22:32
quote:
ThinkPad schreef op donderdag 16 februari 2017 @ 12:21:
Ik zou graag Google DNS als fallback willen gebruiken, voor als de DNS van m'n provider (Telfort) eruit ligt.
Nu lijkt het erop dat zodra ik 8.8.8.8 invoer, de DNS van m'n provider overschreven wordt.

Ik zou graag die van m'n provider als primary willen, en dan automatisch via DHCP ingevuld laten worden (hij zou in theorie immers kunnen wijzigen) en Google DNS als secondary. Ik wil Google DNS niet als primary, ik heb gemerkt dat dit voor vertraging zorgt op grote sites zoals Facebook die CDN's gebruiken.

Maar hoe vul ik dat hier dan in?
[afbeelding]
In deze situatie krijg ik de DNS (twee stuks) dus automatisch via DHCP toegewezen. Ik heb als #3 en #4 de Google DNS (x.x.x.8 en x.x.4.4) ingevuld, maar dan zet hij ze automatisch naar boven :?
Je moet handmatig de DNS servers van je provider invullen + de Google DNS. Automagisch is niet mogelijk.

Als je wilt dat je clients (gebruik je PfSense DHCP voor je clients?) ook gebruik maakt van deze DNS servers dien je ook een optie te zetten bij "DHCP server".

Zet daarnaast het vinkje uit die ik heb uitgelicht:

------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 20:38

ThinkPad

Moderator Duurzame Energie & Domotica

L460

quote:
renedis schreef op vrijdag 17 februari 2017 @ 09:44:
[...]
Je moet handmatig de DNS servers van je provider invullen + de Google DNS. Automagisch is niet mogelijk.

Als je wilt dat je clients (gebruik je PfSense DHCP voor je clients?) ook gebruik maakt van deze DNS servers dien je ook een optie te zetten bij "DHCP server".

Zet daarnaast het vinkje uit die ik heb uitgelicht:
Heb het inmiddels werkend, dit is hoe ik het nu heb staan: plaatje.
Inderdaad gewoon handmatig ingevuld dus. Wel jammer, want volgens mij kon ik bij DD-WRT / OpenWRT het adres 0.0.0.0 invullen en dan pakte hij het DHCP-adres daarvoor in de plaats meen ik.

Zit nu alleen met een volgend probleem, ik wil dat m'n clients in het gastnetwerk altijd de door mij ingestelde DNS server (OpenDNS) door hun strot gedouwd krijgen, ongeacht wat ze zelf instellen op de client :9 (8.8.8.8 bijv.). Het verkeer ombuigen lijkt te lukken, maar hij pakt nu de primary DNS in pfSense, m'n provider dus. Ik wil daar juist de primary DNS van de DHCP server van die interface pakken, dat lukt nog niet.
Maar die discussie wordt te uitgebreid voor hier (dit topic is meer voor de hardware e.d., niet voor firewall rules toch?), heb de vraag hier uit staan.

Opgelost, ipv redirecten naar 127.0.0.1 heb ik een alias aangemaakt met daarin de adressen van OpenDNS en heb ik die alias als 'NAT IP' gekozen in de NAT rule. Zie ook Reddit post voor de gehele rule.

ThinkPad wijzigde deze reactie 17-02-2017 12:36 (13%)

Hardware te koop | Gas besparen door CV-tuning | Elektriciteit besparen | Tweakblog


  • renedis
  • Registratie: juli 2003
  • Laatst online: 22:32
Iets nieuws gevonden waar van ik het bestaan niet wist; Pi-Hole, kan ook gewoon op Linux draaien.

Iemand hier ervaring mee icm Sophos UTM of PfSense?

Beide hebben eigen ad-blocker opties. In Sophos vind ik die redelijk omslachtig en moet ik vertrouwen op de input van hen. Bij PfSense kan ik een opzet maken met DNSBL, werkt Pi-Hole ook zo?

renedis wijzigde deze reactie 01-03-2017 11:45 (0%)
Reden: typos!1!!!!1!!


  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 20:38

ThinkPad

Moderator Duurzame Energie & Domotica

L460

@renedis Ik heb het een tijdje draaiend gehad in een VM met daarin Ubuntu. Het pakket zelf draaide prima, maar de werking vond ik nogal crappy. Sommige sites laadden niet goed meer en een adblocker op je client zet je dan even uit, refreshed de pagina en dan werkt het. Maar Pi-hole is dan toch minder makkelijk in die zin.

Hardware te koop | Gas besparen door CV-tuning | Elektriciteit besparen | Tweakblog


  • M2M
  • Registratie: juli 2006
  • Laatst online: 18-02 23:05

M2M

medicijnman

Ik weet het niet, de meeste sites waar ik op kom hebben dermate weinig full screen schreeuwende web1.0 gifbling reclames dat het niet hinderend is. Heeft een website dat wel, dan kom ik er gewoon niet meer of gebruik ik firefox met een agressieve ad blocker. In een linux virtual machine, dat dan weer wel. Ik heb iets te veel verhalen gelezen over shady ads met leuke "extras".

Voor de rest heb ik recent mijn pfSensebakkie geupdate naar 2.3. Koste me wel een USB stick maar de oude heeft het 600 dagen volgehouden dus ik mag niet klagen ;). Wel jammer dat ik de teamspeak server niet meer aan de praat krijg zonder de webGUI te slopen...

-_-


  • eymey
  • Registratie: februari 2000
  • Laatst online: 23:22
Mij lijkt een adblocker op een zelf gebouwde firewall/router aan de ene kant wel handig. Maar aan de andere kant ook alleen maar als ik dan wel sites kan whitelisten (mits ik de site voldoende waardeer en er geen bekend onbetrouwbare ad networks door ze worden gebruikt).

Ik ben namelijk wel van het principe dat ik sites die ik waardeer hun inkomstenbron wil gunnen.

  • Boefs
  • Registratie: december 2014
  • Laatst online: 14-02 18:05

Boefs

Buttegeweun

quote:
renedis schreef op woensdag 1 maart 2017 @ 11:45:
Iets nieuws gevonden waar van ik het bestaan niet wist; Pi-Hole, kan ook gewoon op Linux draaien.

Iemand hier ervaring mee icm Sophos UTM of PfSense?

Beide hebben eigen ad-blocker opties. In Sophos vind ik die redelijk omslachtig en moet ik vertrouwen op de input van hen. Bij PfSense kan ik een opzet maken met DNSBL, werkt Pi-Hole ook zo?
Er zijn voor pfSense andere oplossingen om ads te blocken. PFblocker en Squid+Squidguard bijvoorbeeld. Het pfSense forum staat er vol van. Squidguard doet alleen http filtering (https kan wel, maar het lijkt me niet de bedoeling), pfblocker werkt via DNS.

  • hanzer
  • Registratie: september 2007
  • Niet online
quote:
HttpS kan je toch niet filteren?
Zelfs met Squid komt https verkeer er toch door, niet?

  • renedis
  • Registratie: juli 2003
  • Laatst online: 22:32
quote:
Boefs schreef op woensdag 8 maart 2017 @ 13:11:
[...]


Er zijn voor pfSense andere oplossingen om ads te blocken. PFblocker en Squid+Squidguard bijvoorbeeld. Het pfSense forum staat er vol van. Squidguard doet alleen http filtering (https kan wel, maar het lijkt me niet de bedoeling), pfblocker werkt via DNS.
Dat weet ik. Echter vind ik dat persoonlijk verre van ideaal werken.

  • Dannyh
  • Registratie: december 2011
  • Laatst online: 20-02 16:00
.

Dannyh wijzigde deze reactie 09-03-2017 15:37 (101%)


  • basix
  • Registratie: april 2000
  • Laatst online: 20-02 16:10
heeft iemand hier al ervaring met deze nieuwe Qotom serie? (Latest New core I5 5250U 4 LAN Home computer router server support pfsense,linux,firewall,Cent OS 5.4, up to 2.70 Ghz Q355G4)

https://www.aliexpress.co...=2114.12010608.0.0.XFsGIe

  • hanzer
  • Registratie: september 2007
  • Niet online
Op het werk heb ik een 8-tal pfsensen in gebruik.
En erg grote fan, maar voor thuis kan ik maar niet de juiste hardware vinden.

Power heb ik eigenlijk niet nodig, maar wil net zo zuinig mogelijk. Ik heb nood aan 7 poorten en WiFi. Die WiFi doe ik wel apart, maar die 7utp poorten had ik toch graag in 1 toestel (1 stopcontact) gehad. Lijkt niet te vinden. Aparte switch is weer een aparaat (met vlan) en dus weer stopcontact.

Nu heb ik een mikrotik rb2011 in gebruik. Doet alles naar wens, maar wil liever pfsense. 😀

hanzer wijzigde deze reactie 18-03-2017 13:51 (7%)


  • Boefs
  • Registratie: december 2014
  • Laatst online: 14-02 18:05

Boefs

Buttegeweun

quote:
ThinkPad schreef op donderdag 16 februari 2017 @ 12:21:
Ik zou graag Google DNS als fallback willen gebruiken, voor als de DNS van m'n provider (Telfort) eruit ligt.
Nu lijkt het erop dat zodra ik 8.8.8.8 invoer, de DNS van m'n provider overschreven wordt.

Ik zou graag die van m'n provider als primary willen, en dan automatisch via DHCP ingevuld laten worden (hij zou in theorie immers kunnen wijzigen) en Google DNS als secondary. Ik wil Google DNS niet als primary, ik heb gemerkt dat dit voor vertraging zorgt op grote sites zoals Facebook die CDN's gebruiken.

Maar hoe vul ik dat hier dan in?
[afbeelding]
In deze situatie krijg ik de DNS (twee stuks) dus automatisch via DHCP toegewezen. Ik heb als #3 en #4 de Google DNS (x.x.x.8 en x.x.4.4) ingevuld, maar dan zet hij ze automatisch naar boven :?
Beetje late reactie, maar als de DNS Resolver deamon hebt draaien (Unbound) doet pfSense verder niets met ingevulde DNS servers of door DHCP aan de WAN kant toegewezen DNS server adressen. Ideaal.

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

quote:
hanzer schreef op zaterdag 18 maart 2017 @ 13:50:
Op het werk heb ik een 8-tal pfsensen in gebruik.
En erg grote fan, maar voor thuis kan ik maar niet de juiste hardware vinden.

Power heb ik eigenlijk niet nodig, maar wil net zo zuinig mogelijk. Ik heb nood aan 7 poorten en WiFi. Die WiFi doe ik wel apart, maar die 7utp poorten had ik toch graag in 1 toestel (1 stopcontact) gehad. Lijkt niet te vinden. Aparte switch is weer een aparaat (met vlan) en dus weer stopcontact.

Nu heb ik een mikrotik rb2011 in gebruik. Doet alles naar wens, maar wil liever pfsense. 😀
Waarom neem je dan niet een switch met 12V DC input die je aan de 12V lijn van de pc hangt? Is niet een nette oplossing, maar zo bespaar je wel een stopcontact :P

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • Navi
  • Registratie: maart 2007
  • Laatst online: 19-02 12:18
Heb ook een pfSense systeem gebouwd, wilde wel aardig wat power vanwege af en toe veel traffic en ik wil dan ook deep inspection gaan doen met snort, de firewall moet dan uiteraard geen bottleneck worden.

Specificaties:

#ProductPrijsSubtotaal
1Supermicro SuperServer SYS-E300-8D€ 724,71€ 724,71
1Kingston ValueRAM KVR24R17S8K4/16I€ 195,12€ 195,12
1Transcend MSA370 128GB€ 75,19€ 75,19
1Supermicro RSC-RR1U-E8€ 16,59€ 16,59
3Supermicro FAN-0100L4€ 41,28€ 41,28
1Uptimed 10G Dual Port Copper RJ45€ 199,95€ 199,95


De SuperMicro E300-8D is een mooie compacte behuizing met een Intel Xeon D-1518, quad core op 2.2GHZ.
Heeft onboard 6x 1G LAN, 1x IPMI (beheer) en 2x 10G SFP+, heb zelf nog 2x 10G RJ45 toegevoegd met een losse PCI-E kaart. (en de SuperMicro Riser) Ben zo van alle mogelijke connectiviteit voorzien :)

Helaas maakte hij een stuk meer geluid dan ik dacht met de 2 meegeleverde 40mm fans, deze heb ik vervangen voor een ander model van SuperMicro, 3x de FAN-0100L4, ook 40mm maar een stuk stiller!
Je legt hem niet naast je op je bureau maar voor in de meterkast is het prima!

Heb XS4ALL 500/500 glas thuis en dat loopt prima, ook TV gaat goed via de gescheiden VLANS etc.
Snort moet ik nog configureren maar daar ga ik binnenkort aan beginnen.

En natuurlijk de foto's:



  • tony_clifton
  • Registratie: februari 2012
  • Laatst online: 11-02 17:59
Ik dacht ongeveer hetzelfde te doen, met dezelfde hardware.

Wel ga ik pfSense op ESXi installeren, zodat je de mogelijkheid hebt tot snapshots (handig voor een snelle rollback na wijzigingen of updates) en je er ook nog een paar andere servers naast kan draaien. Bv een Wifi-controller of backup locatie.
Ook zou ik Snort heroverwegen naar Suricata aangezien Snort single threaded is, en je met Suricata al je cores (8 omwille van de hyperthreading) kan benutten. Anders is het een beetje zonde van de power en de aanschafprijs vind ik.

Maar heel nette keuze!

  • Frogmen
  • Registratie: januari 2004
  • Niet online
Ik lees hier allemaal positieve verhalen over PF sense maar ClearOS mag ik toch graag ook hier promoten. Net weer een lan party bij onze Scouting groep achter de rug (NVDKO = nacht van de kleine oogjes) en onze ADSL lijn is weer 24 uur maximaal belast met zo'n 85 devices en web filter transparant proxy etc. Dit draait op een oude P4 met 4 gb geheugen en een SSD. Het grappige is dat ik zelfs nog van buitenaf een open VPN kon opzetten :-) Dus nee voor thuis is een zware processor echt niet nodig.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Navi
  • Registratie: maart 2007
  • Laatst online: 19-02 12:18
Dat ligt er maar net aan wat je wilt doen, 500mbps deep packet inspection trekt je P4 niet hoor :)

Maar ziet er mooi uit dat ClearOS, zal het eens bekijken.

Navi wijzigde deze reactie 26-03-2017 14:40 (23%)


  • mkroes
  • Registratie: oktober 2010
  • Laatst online: 21-02 11:37
quote:
tony_clifton schreef op zondag 26 maart 2017 @ 12:53:
Ik dacht ongeveer hetzelfde te doen, met dezelfde hardware.

Wel ga ik pfSense op ESXi installeren, zodat je de mogelijkheid hebt tot snapshots (handig voor een snelle rollback na wijzigingen of updates) en je er ook nog een paar andere servers naast kan draaien. Bv een Wifi-controller of backup locatie.
Ook zou ik Snort heroverwegen naar Suricata aangezien Snort single threaded is, en je met Suricata al je cores (8 omwille van de hyperthreading) kan benutten. Anders is het een beetje zonde van de power en de aanschafprijs vind ik.

Maar heel nette keuze!
Een snapshot (controlepunt) kan ook prima onder hyper-v.

  • Ramon
  • Registratie: juli 2000
  • Laatst online: 23:08
quote:
Navi schreef op zondag 26 maart 2017 @ 11:31:
Heb ook een pfSense systeem gebouwd, wilde wel aardig wat power vanwege af en toe veel traffic en ik wil dan ook deep inspection gaan doen met snort, de firewall moet dan uiteraard geen bottleneck worden.

Specificaties:

#ProductPrijsSubtotaal
1Supermicro SuperServer SYS-E300-8D€ 724,71€ 724,71
1Kingston ValueRAM KVR24R17S8K4/16I€ 195,12€ 195,12
1Transcend MSA370 128GB€ 75,19€ 75,19
1Supermicro RSC-RR1U-E8€ 16,59€ 16,59
3Supermicro FAN-0100L4€ 41,28€ 41,28
1Uptimed 10G Dual Port Copper RJ45€ 199,95€ 199,95


De SuperMicro E300-8D is een mooie compacte behuizing met een Intel Xeon D-1518, quad core op 2.2GHZ.
Heeft onboard 6x 1G LAN, 1x IPMI (beheer) en 2x 10G SFP+, heb zelf nog 2x 10G RJ45 toegevoegd met een losse PCI-E kaart. (en de SuperMicro Riser) Ben zo van alle mogelijke connectiviteit voorzien :)

Helaas maakte hij een stuk meer geluid dan ik dacht met de 2 meegeleverde 40mm fans, deze heb ik vervangen voor een ander model van SuperMicro, 3x de FAN-0100L4, ook 40mm maar een stuk stiller!
Je legt hem niet naast je op je bureau maar voor in de meterkast is het prima!

Heb XS4ALL 500/500 glas thuis en dat loopt prima, ook TV gaat goed via de gescheiden VLANS etc.
Snort moet ik nog configureren maar daar ga ik binnenkort aan beginnen.

En natuurlijk de foto's:
[afbeelding]
[afbeelding]
[afbeelding]
Was het echt nodig om 1200 euro uit te geven? haha 8)7

Voor de helft van de prijs moet je toch dezelfde performance kunnen halen? Koop je er wat losse switches bij voor weinig en klaar.

  • Navi
  • Registratie: maart 2007
  • Laatst online: 19-02 12:18
Haha klopt inderdaad, maar zit nog een verhaaltje achter, we gebruiken dezelfde firewall configuraties in onze datacenters (met 10G uplinks), vandaar dat het betrouwbaar spul moet zijn in rack formfactor ;)

Heb er toen 1 gekocht om uitgebreid te testen en heb die nu thuis in gebruik, werkt prima, daarna zijn er nog een aantal aangeschaft.

  • Hemmen
  • Registratie: december 2009
  • Laatst online: 15-12-2017
Hallelujah!!! 22 pagina's aan reacties. Had niet verwacht dat mijn topic nog actueel/actief zou zijn _/-\o_. Ik zie absurde setups tegen komen. Kun je dan niet beter een goed Fortigate kopen met licenses voor Antivirus/Web filtering/IPS etc... ??? >:)

Hemmen wijzigde deze reactie 30-03-2017 15:46 (40%)


Acties:
  • 0Henk 'm!

  • Tom Paris
  • Registratie: september 2001
  • Laatst online: 00:40
Nadat een tijdje terug al bekend werd dat pfSense 2.4 alleen werkt op 64-bit capable CPUs, heeft Netgate aangekondigd dat pfSense 2.5 alleen zal werken op CPUs met ondersteuning voor AES-NI. Dat is dus einde van de rit voor een hele reeks recente systemen (J1800/J1900).

Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.


Acties:
  • 0Henk 'm!

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

quote:
Tom Paris schreef op maandag 8 mei 2017 @ 22:23:
Nadat een tijdje terug al bekend werd dat pfSense 2.4 alleen werkt op 64-bit capable CPUs, heeft Netgate aangekondigd dat pfSense 2.5 alleen zal werken op CPUs met ondersteuning voor AES-NI. Dat is dus einde van de rit voor een hele reeks recente systemen (J1800/J1900).
IPFire gebruikers hebben daar geen last van:
https://www.facebook.com/IPFire.org/posts/1413182058724910
quote:
Is AES-NI a requirement for everyone?

Yesterday, I read that pfSense won’t support systems that do not have AES-NI from version 2.5 onwards any more. They state, that systems with AES-NI perform better and that this is available in many Intel processors from 2008 and AMD processors from 2010.

I am a little bit surprised by this post when it scrolled along my Twitter timeline and so far I cannot make any sense out of it. Here is why:

AES-NI does not mean performance

In some earlier and related posts on the planet, I have been trying to illustrate this point – so I will keep it short here.

We have come across a number of systems that have AES-NI, but they are overall not faster than a system that does not have these instructions. Our wiki even has a short table with some of these examples. AES throughput rather depends on clock speed of the processor and that can make up for missing AES-NI.

Performance isn’t everything

I run many IPFire installations that are out somewhere in the field and running on rather compact and efficient hardware. They work in an IoT scenario and transfer only a few kilobytes up to maybe a megabyte of traffic a day. That data is going through a VPN, but it does not matter at all if the system has AES-NI to encrypt it or not. It is effectively as fast either way.

However, if VPN performance is an issue, because you are running IPFire in a datacenter and need to have a VPN connection that can transfer up to 10G, then you will need that extra power. But this is not a scenario that everyone who is using IPFire has.

~14% of all IPFire systems actually have AES-NI

As of today and according to fireinfo (which is probably not representative, but a the best source that we have), only about 14% of all known IPFire systems have AES-NI. That’s not a lot. It does not always come with all Intel or AMD processors and it is not necessary. It appears that the majority of IPFire users doesn’t need AES-NI.

Security

For the security of a VPN or where ever AES is used, it does not matter if AES-NI is used or if AES is performed in software (assuming that no implementation has any implementation problems).

Conclusion

So in conclusion, I do not have any technical reasons left over that I could consider. Those I listed above to not justify to me in any way that AES-NI is a must and that people need to have hardware that has it. Some of them even proof the opposite.

And although I also have been complaining a lot about that we have to support a lot of old and outdated hardware – and by that I mean decades old – this seems to be the only reason left: To incentivise people to buy new hardware which is quite conveniently only a click away.

And again, we do that, too. Having some kind of standard hardware makes things easier. However, that does not always make sense for everyone and therefore we leave that decision to you and work on making IPFire run on as many platforms as we possibly can.

And to make that crystal clear: Systems without AES-NI will be supported just as well as those that do have AES-NI.

http://planet.ipfire.org/

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0Henk 'm!

  • M2M
  • Registratie: juli 2006
  • Laatst online: 18-02 23:05

M2M

medicijnman

quote:
Tom Paris schreef op maandag 8 mei 2017 @ 22:23:
Nadat een tijdje terug al bekend werd dat pfSense 2.4 alleen werkt op 64-bit capable CPUs, heeft Netgate aangekondigd dat pfSense 2.5 alleen zal werken op CPUs met ondersteuning voor AES-NI. Dat is dus einde van de rit voor een hele reeks recente systemen (J1800/J1900).
Dat is balen... ik heb geen gigabit throughput nodig en momenteel met 120 Mbit torrentverkeer zit ik aan 10% CPU usage met een J1800.

-_-


  • Polyphemus
  • Registratie: maart 2003
  • Laatst online: 19-02 19:16
Ik zoek me suf naar geschikte hardware voor mijn te maken router.

Heb nog een Supermicro X8SIL-F met een i5-650 (voor AES-NI, gezien de vereiste voor pfSense 2.5), alleen het hele systeem verbruikt idle 75W 8)7

Die ga ik dus niet dag en nacht aan laten staan. Ik heb ook geëxperimenteerd met Sophos UTM en Sophos XG, maar echt zuiniger wordt het niet.

Ik heb een 300/300 glas verbinding, en wil eigenlijk full featured alle toeters en bellen aanzetten, maar ik wil wel lekker zuinig O-)

Iemand een suggestie? J1700's hebben geen AES-NI lees ik, en een nieuw Supermicro bordje kost al snel minimaal 250 ¤ :/

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

@Polyphemus Heb je wel automatisch terugklokken en andere energiebesparende settings aan staan? :S

edit: https://www.servethehome....r-consumption-xeon-x3440/
Daar gebruiken ze weliswaar een andere CPU, maar of dat zoveel uitmaakt bij het idle verbruik? Ik denk dat er nog wel wat te tweaken is. Al is het wel handig als je de rest van de hardware ook even vermeld ;)
quote:
Supermicro X8SIL-F with Intel Core i3-530 Idle Power Consumption

Raven wijzigde deze reactie 20-05-2017 11:06 (151%)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • Polyphemus
  • Registratie: maart 2003
  • Laatst online: 19-02 19:16
quote:
Raven schreef op zaterdag 20 mei 2017 @ 10:55:
@Polyphemus Heb je wel automatisch terugklokken en andere energiebesparende settings aan staan? :S

edit: https://www.servethehome....r-consumption-xeon-x3440/
Daar gebruiken ze weliswaar een andere CPU, maar of dat zoveel uitmaakt bij het idle verbruik? Ik denk dat er nog wel wat te tweaken is. Al is het wel handig als je de rest van de hardware ook even vermeld ;)


[...]
Ik heb er alleen nog een SSD van 60GB in zitten en een NC360T dual NIC (en geheugen uiteraard :P ). Ik zal het bios eens induiken, maar volgens mij staat het al zo efficiënt mogelijk

Ik vind 40W idle nog veel, of ben ik nu een zeurpiet? ;)

  • Frogmen
  • Registratie: januari 2004
  • Niet online
quote:
Polyphemus schreef op zaterdag 20 mei 2017 @ 10:52:
Ik zoek me suf naar geschikte hardware voor mijn te maken router.

Heb nog een Supermicro X8SIL-F met een i5-650 (voor AES-NI, gezien de vereiste voor pfSense 2.5), alleen het hele systeem verbruikt idle 75W 8)7

Die ga ik dus niet dag en nacht aan laten staan. Ik heb ook geëxperimenteerd met Sophos UTM en Sophos XG, maar echt zuiniger wordt het niet.

Ik heb een 300/300 glas verbinding, en wil eigenlijk full featured alle toeters en bellen aanzetten, maar ik wil wel lekker zuinig O-)

Iemand een suggestie? J1700's hebben geen AES-NI lees ik, en een nieuw Supermicro bordje kost al snel minimaal 250 ¤ :/
Tja ik wil alles en het moet zuinig goedkoop zijn, gaat niet samen ergens zal je keuzes moeten maken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Polyphemus
  • Registratie: maart 2003
  • Laatst online: 19-02 19:16
quote:
Frogmen schreef op zaterdag 20 mei 2017 @ 13:34:
[...]


Tja ik wil alles en het moet zuinig goedkoop zijn, gaat niet samen ergens zal je keuzes moeten maken.
Dat snap ik ook wel, daarom zoek ik de balans :/

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

quote:
Polyphemus schreef op zaterdag 20 mei 2017 @ 13:00:
[...]


Ik heb er alleen nog een SSD van 60GB in zitten en een NC360T dual NIC (en geheugen uiteraard :P ). Ik zal het bios eens induiken, maar volgens mij staat het al zo efficiënt mogelijk

Ik vind 40W idle nog veel, of ben ik nu een zeurpiet? ;)
Nu mis je nog het belangrijkste onderdeel m.b.t. stroomverbruik :P , de voeding O-) Als die alles behalve efficiënt is....

40W idle voor iets dat geen mITX-systeem is, mag je volgens mij best blij mee zijn :)

Raven wijzigde deze reactie 20-05-2017 17:51 (12%)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • Polyphemus
  • Registratie: maart 2003
  • Laatst online: 19-02 19:16
quote:
Raven schreef op zaterdag 20 mei 2017 @ 17:50:
[...]

Nu mis je nog het belangrijkste onderdeel m.b.t. stroomverbruik :P , de voeding O-) Als die alles behalve efficiënt is....

40W idle voor iets dat geen mITX-systeem is, mag je volgens mij best blij mee zijn :)
Ik heb net even alleen de voeding gemeten en die gebruikt al 13W idle :D Goede tip.

Langzaam valt het wel op z'n plek dan. Ik kwam nog wat leuke bordjes tegen op basis van de J3355 en de J3455. De eerste heeft twee cores maar is hoger geklokt dan de 4 cores van de tweede. Keuzes, keuzes... ;)

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

quote:
Polyphemus schreef op zaterdag 20 mei 2017 @ 18:32:
[...]


Ik heb net even alleen de voeding gemeten en die gebruikt al 13W idle :D Goede tip.
Ben je toevallig bekend met de PicoPSU serie? Zie eerder genoemde link. Daar gebruiken ze een http://www.mini-box.com/picoPSU-150-XT op dat bordje.

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • SanderH_
  • Registratie: juni 2010
  • Laatst online: 22:43
Ik zit ook al een tijdje te denken om zelf iets te gaan bouwen, maar waarschijnlijk zijn er genoeg kant-en-klare die ook voldoen aan mijn eerder beperkte eisen:
  • Voltrekken van een 200/20 Mbps verbinding
  • Ondersteuning voor VPN
  • Geen energievreter
  • Stabiel OS
Vooral Ubiquiti lijkt mij erg interessant spul te hebben.
Ook MikroTik lijkt me wel interessant, is dit bijvoorbeeld iets? Ik lees overal dat RouterOS voor eerder geavanceerde gebruikers is, maar hoe zit het met de hardware?

En is een dedicated firewall (bijvoorbeeld Watchguard Firebox met een custom OS op) iets, of kan je genoeg doen met de juiste router-hard/software, en is een dedicated firewall dus helemaal niet nodig.

Hier trouwens enkel zeer interessante artikels van Arstechnica:Daar komt pfSense er blijkbaar niet altijd even positief uit (groot performantieverschil tussen builds + instabiel). Deze router modellen zouden qua pure performantie alvast interessant zijn:

pricewatch: Netgear R8000 Nighthawk - AC3200 Router
pricewatch: Ubiquiti EdgeRouter ERPro-8
pricewatch: MikroTik Routerboard RB750Gr3 - hEX

Zelf gebruikt de auteur trouwens een Qotom barebones PC als router die ze allemaal outperformed.

Ikzelf ben erg naar een Ubiquiti EdgeRouter Lite aan het neigen. Zeker in combinatie met zo een Ubiquiti AP waarover iedereen zo lyrisch is.

SanderH_ wijzigde deze reactie 24-05-2017 21:21 (3%)


  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
Ik denk dat je met een pcengines APU2 beter af bent: https://www.pcengines.ch/apu2.htm , zie shop voor distri's of zakelijke import ;)

  • SanderH_
  • Registratie: juni 2010
  • Laatst online: 22:43
@base_

Wat is er zo geweldig aan die PC Engines bordjes? En welk O/S raad je aan?

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
Stabiel, zuinig (6-10W), quad core 1GHz + aes CPU, 3 NIC's, 12V DC power. Ik heb nog alixjes draaien van een jaar of 8 oud van pcengines, die draaien nog prima. Ik heb van mikrotik nog niks gezien dat in de buurt komt voor die prijs. Als os pfsense natuurlijk (zie titel huidige thread ;))

  • Ramon
  • Registratie: juli 2000
  • Laatst online: 23:08
offtopic:
Niet om te spammen, maar ik heb de mijne in de verkoop staan: V&A aangeboden: pfSense router op AMD APU2
O-)

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
@Ramon: je hebt er dan weer niet bij staan waarom je hem wegdoet? Toch niet ontevreden over het ding denk ik?

Acties:
  • +1Henk 'm!

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:07
quote:
SanderH_ schreef op woensdag 24 mei 2017 @ 21:14:
Ook MikroTik lijkt me wel interessant, is dit bijvoorbeeld iets? Ik lees overal dat RouterOS voor eerder geavanceerde gebruikers is, maar hoe zit het met de hardware?
Ik zou qua MikroTik in ieder geval geen RB2011 meer kopen, eerder de RB750Gr3 (geen wifi) of hAP AC (wel wifi).

Voor wat betreft VPN, hou er rekening mee dat MikroTik alleen OpenVPN in TCP mode doet, non-accelerated (dus in de orde van ~20 Mbit/s). Als je IPsec wilt doen is de RB750Gr3 wel weer een goede keuze (accelerated).
quote:
base_ schreef op woensdag 24 mei 2017 @ 21:30:
Ik denk dat je met een pcengines APU2 beter af bent
Ik wil ook zo'n glazen bol.

Ligt er maar helemaal aan wat hij zoekt, ondanks het feit dat hij in het zelfbouw-topic post draagt hij een aantal off-the-shelf suggesties aan. Appels en peren.
quote:
base_ schreef op donderdag 25 mei 2017 @ 13:01:
Ik heb van mikrotik nog niks gezien dat in de buurt komt voor die prijs. Als os pfsense natuurlijk (zie titel huidige thread ;))
Dat staat of valt met verduidelijking van de eisen. Met de RB750Gr3 die hij zelf aandraagt is hij voor de helft van de prijs van een APU klaar. Is een vlotte VPN-verbinding daarentegen een vereiste, dan zou ik inderdaad ook een APU overwegen.

Zou er zelf alleen Linux op draaien, zodat je ook nog iets met die PCIe-slots kan..

  • Ramon
  • Registratie: juli 2000
  • Laatst online: 23:08
quote:
base_ schreef op donderdag 25 mei 2017 @ 16:40:
@Ramon: je hebt er dan weer niet bij staan waarom je hem wegdoet? Toch niet ontevreden over het ding denk ik?
Zeer tevreden over de routing performance. Iets minder over de WiFi performance en sinds ik recent ben verhuist van een studio naar een groter huis met dikke betonnen muren had ik de keuze tussen:

- de Experia Box 8 gebruiken als modem, routing, wifi met redelijk resultaat
- de Experia Box 8 gebruiken als modem, apu voor routing en een AP voor WIFI

Heb ik gekozen voor optie 1 omdat ik het een beetje overkill vind om voor mijn mini netwerkje wat bestaat uit PC, Xbox, telefoon(s), en tablet 3 apparaten te hebben draaien.

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
quote:
Thralas schreef op donderdag 25 mei 2017 @ 18:33:
[...]
Voor wat betreft VPN, hou er rekening mee dat MikroTik alleen OpenVPN in TCP mode doet, non-accelerated (dus in de orde van ~20 Mbit/s). Als je IPsec wilt doen is de RB750Gr3 wel weer een goede keuze (accelerated).
Dat doet de APU dus wel met acceleratie mits je de aes ondersteunde ciphers gebruikt
quote:
[...]
Ik wil ook zo'n glazen bol.
Die apu2 doet precies waar hij om vraagt:
quote:
SanderH_ schreef op woensdag 24 mei 2017 @ 21:14:
  • Voltrekken van een 200/20 Mbps verbinding
  • Ondersteuning voor VPN
  • Geen energievreter
  • Stabiel OS
quote:
Zou er zelf alleen Linux op draaien, zodat je ook nog iets met die PCIe-slots kan..
Wat wou je daarmee doen dan wat met PfSense niet kan?

Wat betreft die Mikrotik: dat is een iets lichtere en goedkopere oplossing, heeft echter wel weinig met PfSense te maken ;)

  • Thralas
  • Registratie: december 2002
  • Laatst online: 22:07
quote:
base_ schreef op donderdag 25 mei 2017 @ 20:51:
Wat wou je daarmee doen dan wat met PfSense niet kan?
Een access point opzetten ;) Daar zijn die PCIe-slots zo mooi voor. Er zijn maar weinig compacte bordjes waar je echt zelf een eigen access point mee kunt bouwen
quote:
Wat betreft die Mikrotik: dat is een iets lichtere en goedkopere oplossing, heeft echter wel weinig met PfSense te maken ;)
SanderH_ had beter een apart topic kunnen starten voor z'n vraag.

Overigens is dit óók niet sec een pfSense-topic, maar alles dat geen zelfbouw is hoort er eigenlijk sowieso niet..

Thralas wijzigde deze reactie 25-05-2017 21:16 (11%)


  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 06-02 22:14
Ik zie hier enkele vragen die een relatie kunnen hebben tot mijn lange ervaring met dit soort topic, en zal dit kort delen met jullie:

1. Ik gebruik 500/500 Mbps glas sinds aanleg ergens vele jaren geleden. 2008 of zo. Momenteel KPN.
2. De volgende routers gebruikt, met slechte ervaring: Apple, asus, netgear, tplink, sitecom, etc noem ze maar op ik heb ze geprobeerd. Ook pfsense had moeite met 500/500, toen.
3. Een van de eerste Ubiquiti ERL in NL kunnen inzetten, via Polen import. Geweldige ervaring was dat. Alles veel sneller. Mooie tijden waren dat. In combinatie met genoemde routers uit 2. maar dan als access point. De netgear R7000 gaf me de beste performance. De ac87u was een echt drama.
4. Problemen met de vele ERL firmware installaties, problemen met UDP, en zeker 3 keer de interne flash moeten vervangen. Gaf mij aanleiding tot de volgende:
5. Mikrotik CCR1007. Een beest van een router. Alle problemen opgelost behalve: vpn lukte niet, buggy firmware, en soms een kabaal met hoog energie gebruik. De meeste cores stonden idle.
6. Ubiquiti UniFi router. Echt bagger na 1 dag retour.
7. Mikrotik routeros VM op een ESXi. Kwam helaas niet verder dan 200/200mbps. Kost ook een licentie.
8. Ubuntu 17 op een ESXi. Wat een geprut met pppoe, vlans, firewall, vpn, nat. Geen doen.
9. Vyos VM op een ESXi. Werkt prima maar toch een gevoel van een extra 'lag' ergens. En een hoop gedoe met CLI only.

Uiteindelijk op:

Mikrotik Hex v3. Werkt perfect. Gezien ie slechts 2.5W verbruikt, mij 600/700mbps geeft, een 180mbps L2TP/IPSec geeft, prima klein apparaatje voor slechts 55 euro.

Wat mij betreft de killer router voor 500/500 abbos. Werkt perfect met mijn UniFi AP's.

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
Die APU/pcengines kan je ook met Pfsense prima een wifi kaartje in prikken, en dan dus ook wifi toevoegen. Die verkopen ze er zelfs bij indien gewenst, vergeet dan niet de pigtail/antenne.

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
Veel van die ervaringen deel ik gedeeltelijk, heb nu een mikrotik 951G-2HnD (van provider) thuis, 200MBit gaat prima maar ik denk niet dat VPN lekker draait (gebruik ik een FreeBSD servertje voor)
Krijg je openvpn (voor onderweg) ook goed aan de gang op die Mikrotik Hex?
Wifi wil ik nooit meer op router, teveel problemen mee gehad, ik gebruik wel aparte access points, meestal hangt router toch niet op een voor wifi handige plek.

edit: pcengines ALIX was 100Mbit NIC's met 800MHz cpu met aes, apu2 is Gigabit NIC's en een quad core 1GHz cpu met aes, nogal een verschil/vooruitgang dus.

base_ wijzigde deze reactie 25-05-2017 21:27 (15%)


  • SanderH_
  • Registratie: juni 2010
  • Laatst online: 22:43
quote:
Thralas schreef op donderdag 25 mei 2017 @ 21:14:
[...]


Een access point opzetten ;) Daar zijn die PCIe-slots zo mooi voor. Er zijn maar weinig compacte bordjes waar je echt zelf een eigen access point mee kunt bouwen


[...]


SanderH_ had beter een apart topic kunnen starten voor z'n vraag.

Overigens is dit óók niet sec een pfSense-topic, maar alles dat geen zelfbouw is hoort er eigenlijk sowieso niet..
Ik overweeg mijn opties gewoon hoor. Ben me ook nog wat aan het inlezen, aangezien er zoveel verschillende mogelijkheden zijn.

En ik had inderdaad ook de indruk dat geen strikt pfSense topic is, zeker aangezien de originele TS uiteindelijk voor een EdgeRouter gekozen heeft ipv zelfbouw :+

Wat me wel interessant lijkt is een 1U behuizing zoals deze aangezien ik op termijn alles (heb ook een ProCurve switch) in een patchbeugel / klein rack wil gooien. Nadeel is dat ik dan wel nog een afzonderlijk access point nodig heb voor mijn WiFi.

En steekt pfSense er echt met kop en schouders bovenuit? Ik zie namelijk ook soms Untangle, Sophos, RouterOS (MikroTik) voorbij komen.

SanderH_ wijzigde deze reactie 25-05-2017 21:30 (10%)


  • dovo
  • Registratie: november 2015
  • Laatst online: 18:39
quote:
base_ schreef op donderdag 25 mei 2017 @ 21:25:
Veel van die ervaringen deel ik gedeeltelijk, heb nu een mikrotik 951G-2HnD (van provider) thuis, 200MBit gaat prima maar ik denk niet dat VPN lekker draait (gebruik ik een FreeBSD servertje voor)
Krijg je openvpn (voor onderweg) ook goed aan de gang op die Mikrotik Hex?
Wifi wil ik nooit meer op router, teveel problemen mee gehad, ik gebruik wel aparte access points, meestal hangt router toch niet op een voor wifi handige plek.

edit: pcengines ALIX was 100Mbit NIC's met 800MHz cpu met aes, apu2 is Gigabit NIC's en een quad core 1GHz cpu met aes, nogal een verschil/vooruitgang dus.
Deze vraag is recent ook voorbijgekomen in [Ervaringen/discussie] MikroTik-apparatuur. De hex v3 kan ik warm aanbevelen, echter gebruik je beter L2TP/IPsec in plaats van openvpn.
quote:
dovo schreef op woensdag 10 mei 2017 @ 22:08:
[...]

Zelf in het bezit van een hex v3
Met openvpn haal ik ~30 mbit. Is wel single threaded, dus in theorie zouden twee clients 30 mbit kunnen pushen.
Ipsec/L2TP haal ik 150+ mbit.
De ingebouwde quick Set laat je trouwens toe om juist een username en password in te vullen en je hebt al direct een werkende config met Ipsec/L2TP voor één user

  • sambaloedjek
  • Registratie: juni 2015
  • Laatst online: 06-02 22:14
Ja klopt wat betreft Hex. L2TP/IPSec met aes cbc geeft meer dan 150mbps. Waanzinnig, als je beseft dat Cisco duizenden euro's vraagt voor zoiets vergelijkbaars. Alleen jammer dat mikrotik de Encryption single-core uitvoert, anders had het nog sneller kunnen zijn. Wel knap dat ze NAT full threaded uitvoeren.

  • Raoul.TLS
  • Registratie: augustus 2008
  • Laatst online: 21-02 14:15
Je kan kijken naar een asus serverbord
P10si en daar een i3 eropmet Ssd en klaar ben je. Esx of esxi en dan een of een cluster van Sophos utm sg of xg en dan een of 2 pihole en een Windows management pc

<GOT>DrOPje #2516


Acties:
  • 0Henk 'm!

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
quote:
dovo schreef op donderdag 25 mei 2017 @ 21:31:
[...]
Deze vraag is recent ook voorbijgekomen in [Ervaringen/discussie] MikroTik-apparatuur. De hex v3 kan ik warm aanbevelen, echter gebruik je beter L2TP/IPsec in plaats van openvpn.
[...]
IPSec heb ik nog nooit gebruikt met mobiele verbindingen (vandaar onderweg...), voor road warriors gebruik ik meestal openvpn, voor vaste verbindingen IPSec.
quote:
sambaloedjek schreef op donderdag 25 mei 2017 @ 21:59:
Ja klopt wat betreft Hex. L2TP/IPSec met aes cbc geeft meer dan 150mbps. Waanzinnig, ...
Da's inderdaad indrukwekkend, wat voor hardware acceleration gebruiken ze daarvoor eigenlijk? Een standaard dual core cpu op 880MHz haalt dat niet voor zover ik weet.
Ik moet nog wat wennen aan de mikrotik interface maar het voelt wel aan als een degelijk router os. Voor mij is PfSense transparanter omdat ik ook veel ervaring met FreeBSD heb.

Acties:
  • 0Henk 'm!

  • dovo
  • Registratie: november 2015
  • Laatst online: 18:39
Geen idee wat voor HW acceleration, staat ook niet direct vermeld op de pagina van mediatek.
Zelf ben ik altijd ook grote fan van openvpn geweest, totdat ik L2TP/IPsec road warrior (nat traversal) werkende kreeg.
Met 4g op de trein is de connectie in ongeveer 1 sec opgestart, terwijl dit bij openvpn mij ongeveer 20 sec duurt. Bij korte wegval heb ik met IPsec dus sneller weer verbinding. Native windows support is ok een pluspunt voor L2TP/IPsec (je moet wel een registry key toevoegen om nat traversal te laten werken).

Acties:
  • 0Henk 'm!

  • base_
  • Registratie: april 2003
  • Laatst online: 00:55
registry key? werkt dat ook op android? ;)

overigens doet openvpn er bij mij ongeveer 3 seconden over om verbinding te voltooien? Zowel pc als android en meestal achter nat.

base_ wijzigde deze reactie 26-05-2017 02:59 (61%)


Acties:
  • 0Henk 'm!

  • Lethalis
  • Registratie: april 2002
  • Niet online
Speciaal een computer bouwen voor PfSense is meestal geldverspilling (voor thuis, op de zaak hebben we gewoon een 1U Dell Server ervoor :+ ).

PfSense draait wel prima virtueel op een bestaande machine met ESXi, KVM, etc. Dat is ook de setup die ik voor thuis overweeg, mocht ik mijn server gaan upgraden (ik heb nu nog geen VT-d).

Anderzijds voel ik ook wel wat voor zo'n Ubiquiti EdgeRouter Lite of zelfs de EdgeRouter X. Klein simpel kastje met prima router software er op en hardware acceleration.

Dan ben ik voor 100 euro of zelfs minder klaar en hoef ik mijn server niet per se te upgraden.
quote:
sambaloedjek schreef op donderdag 25 mei 2017 @ 21:19:
Ik zie hier enkele vragen die een relatie kunnen hebben tot mijn lange ervaring met dit soort topic, en zal dit kort delen met jullie...:

Mikrotik Hex v3. Werkt perfect. Gezien ie slechts 2.5W verbruikt, mij 600/700mbps geeft, een 180mbps L2TP/IPSec geeft, prima klein apparaatje voor slechts 55 euro.

Wat mij betreft de killer router voor 500/500 abbos. Werkt perfect met mijn UniFi AP's.
Klinkt interessant :)

The secret to creativity is knowing how to hide your sources ~ Walking on water and developing software to specification are easy.. as long as both are frozen.


Acties:
  • 0Henk 'm!

  • spone
  • Registratie: mei 2002
  • Niet online
Ik ben na een hoop uitstapjes ook uitgekomen op een Mikrotik hEX RB750Gr3. Draait ondertussen alweer een dik halfjaar perfect stabiel op mijn 500/500 glasverbinding, eveneens in combinatie met Unifi. Enige minpuntjes zijn dat het wat geknutsel is om het in te stellen en dat de ingebouwde OpenVPN nogal beperkt is, dus daar gebruik ik lekker mijn Synology voor.

spone wijzigde deze reactie 26-05-2017 11:14 (5%)

Intel Core i7-6700K | Asus Maximus VIII Hero | GTX 1080 | 16GB 3200 Mhz | Seasonic M12ii Evo 520W | Phanteks Evolv ATX TG | Mac OS X 10.13


Acties:
  • 0Henk 'm!

  • SanderH_
  • Registratie: juni 2010
  • Laatst online: 22:43
quote:
Thralas schreef op donderdag 25 mei 2017 @ 21:14:
[...]

SanderH_ had beter een apart topic kunnen starten voor z'n vraag.
[...]
SanderH_ in "Router upgrade: Ubiquiti, MikroTik of zelfbouw?" ;)

Acties:
  • +2Henk 'm!

  • GEi
  • Registratie: december 2012
  • Laatst online: 20:35
Hierbij ook mijn duit in het zakje. Ik heb zelf een pfSense router gebouwd met onder andere de volgende onderdelen:

#ProductPrijsSubtotaal
1Intel Pentium G4560 Boxed€ 65,-€ 65,-
1ASRock H270M-ITX/ac€ 123,50€ 123,50
1Gelid Solutions PWM 1-to-4 Splitter€ 2,91€ 2,91
1Silverstone NT07 (SST-NT07-115X)€ 22,-€ 22,-
3Gelid Solutions IPX 4 PWM - 40mm Industrial Fan€ 11,50€ 34,50
1Crucial CT2K4G4DFS8213€ 61,-€ 61,-
1Samsung SM961 128GB€ 85,50€ 85,50
Bekijk collectie
Importeer producten
Totaal€ 399,91

Bovenstaande is ingebouwd in een In Win IW-RF100S behuizing.

Ik ben de eerste om toe te geven dat dit zwaar overkill is voor een router. Maar dat heeft een reden. Ik krijg niet zo heel vaak een groen licht om hardware voor de hobby te kopen; als papa van een gezin met jonge kinderen moet je soms ook andere prio's kiezen... Dus na wat vooronderzoek en veel inlezen en ook vragen hier op GoT ben ik tot bovenstaande gekomen. Waarom dan toch deze hardware? Ik wil deze in de toekomst ook anders kunnen inzetten. Bij de aftrap wilde ik een router maken die mijn 1Gbps up en down van Tweak aan kan, en minstens 500Mbps kan verstouwen door een (Open)vpn verbinding. Dat kan bovenstaande wel... Maar ik zou ook wel een keer willen stoeien met Freenas, met Proximus, met Esxi, en ja, dan beperk ik mij wanneer ik voor een 'standaard' router kies; sterker nog, dan voldoet mijn huidige ASUS RT-AC68U nog prima. De hardware is dus vooral geselecteerd met het oog op verbreding van de inzet in de toekomst. De pfSense kan dan eventueel worden gevirtualiseerd.

De bouw was echter nog wel een dingetje. De behuizing is ontworpen voor serverborden, en de Asrock is geen serverbord. Qua passing sloot dat niet echt op elkaar aan... De wifi heb ik verwijderd, evenals de audioaansluitingen. Dat verklaard sommige gereedschappen op onderstaande foto die je niet gauw zal aantreffen wanneer je een zelfbouw in elkaar zet. Verder staat het moederbord een heel klein beetje bol. Niet ideaal, maar ik ben niet bang dat dit schade gaat opleveren in de toekomst; de pootjes in de behuizing zijn nu eenmaal niet langer. En moeten ook niet veel langer zijn, anders kom je qua hoogte weer niet uit. Waarom dan geen server moederbord? Een Supermicro ofzo? Nou, daar heb ik wel naar gekeken, maar die werden met mijn wensenlijstje te duur. Keuzes, keuzes, keuzes...

Work in progress... Van boven Van boven Van voren

Heb weer veel geleerd van deze zelfbouw. De vorige was toch al weer een jaar of 10 geleden. En ik heb punten gescoord bij vrouw en kinderen, want die vonden het er wel heel ingewikkeld uit zien :9 .
Ook een dankwoord aan jullie Tweakers, voor de hulp en support op het forum _/-\o_ .

  • chronoz
  • Registratie: maart 2010
  • Laatst online: 19-02 15:48
Kan ik Pfsense ook gewoon draaien voor thuis in VMware VM achter mijn bridged Ziggo-router? De server heeft gewoon 2 netwerkpoorten, maar ik weet niet of dat dus gaat werken.

Acties:
  • 0Henk 'm!

  • Ballebek
  • Registratie: januari 2000
  • Laatst online: 20:02
quote:
chronoz schreef op zaterdag 8 juli 2017 @ 23:42:
Kan ik Pfsense ook gewoon draaien voor thuis in VMware VM achter mijn bridged Ziggo-router? De server heeft gewoon 2 netwerkpoorten, maar ik weet niet of dat dus gaat werken.
Dat kan prima, zo draai ik het al jaren.
In 6.5 kan je een nieuwe vswitch aanmaken met een portgroup die je aan de interface knoopt waar je modem aan vast zit.

VM dan als eerste interface je modem en als tweede je lan (kan altijd anders maar zo werkt het out of the box zegmaar).

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.


Acties:
  • +1Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

quote:
chronoz schreef op zaterdag 8 juli 2017 @ 23:42:
Kan ik Pfsense ook gewoon draaien voor thuis in VMware VM achter mijn bridged Ziggo-router? De server heeft gewoon 2 netwerkpoorten, maar ik weet niet of dat dus gaat werken.
Je kan zelfs zonder extra interface, dus met 1, draaien met managed switches. Zo gebruik ik het hier ook.

Op de switch waar je Ziggo op aansluit maak je een VLAN aan, bijvoorbeeld 400, de poort waar je dan het Ziggo modem op aansluit zet je middels PVID (native vlan) op 400. De poort waar je dan esx op aangesloten hebt moet dan tagged vlan 400 doorgeven.

Binnen VMware maak je dan een nieuw netwerk aan, met vlan 400 en daar koppel je dan de WAN aan van Pfsense. Verder heb ik de pfsense vm voor de WAN interface een static Mac gegeven ipv automatisch.

Zo draait het hier nu ook en zo kan ik pfsense ook migreren naar een andere host.

Let wel op volgens mij moet op die switch promiscuous mode op aan staan, althans, alle 3 de opties, anders werkte het niet volgens mij, maar weet even niet zeker.

Ook kwam ik erachter dat met de vmxnet3 adapters pfsense soms raar deed, dus deze heb ik teruggezet op e1000, mogelijk lag dat aan het oude systeem, nog niet getest met deze servers.

En zo kan je dus ook meerdere netwerken aanmaken, met die vlans, pfsense heeft er 4 bij mij, dmz, intern, ziggo en guest (lan + WiFi met captive portal)

Acties:
  • +1Henk 'm!

  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 20:38

ThinkPad

Moderator Duurzame Energie & Domotica

L460

Bovenstaande toont veel gelijkenis met hoe ik het heb. Maar dan met VDSL van NLEx en een Draytek Vigor 130 modem in bridge. Mijn host (Intel NUC) heeft ook maar één netwerkkaart dus via een managed switch regel ik de VLANs.

Promiscuos komt mij niet bekend voor en VMXNET3 netwerkadapters werkt hier prima met pfSense (2.3.4 meen ik). Die E1000 schijnt CPU te vreten.

ThinkPad wijzigde deze reactie 09-07-2017 08:28 (15%)

Hardware te koop | Gas besparen door CV-tuning | Elektriciteit besparen | Tweakblog


Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

quote:
ThinkPad schreef op zondag 9 juli 2017 @ 08:27:
Bovenstaande toont veel gelijkenis met hoe ik het heb. Maar dan met VDSL van NLEx en een Draytek Vigor 130 modem in bridge. Mijn host (Intel NUC) heeft ook maar één netwerkkaart dus via een managed switch regel ik de VLANs.

Promiscuos komt mij niet bekend voor en VMXNET3 netwerkadapters werkt hier prima met pfSense (2.3.4 meen ik). Die E1000 schijnt CPU te vreten.
Het was nog vroeg, waarschijnlijk had ik dat ooit ergens eens gebruikt.

Verder heb ik maar eens er VMXnet3 adapters er van gemaakt; backup config, uitschakelen, aanpassen, aanzetten, LAN + WAN configureren, config terugzetten, interfaces aanwijzen, Apply en aangepast (fijn product dat PFSense)

Acties:
  • 0Henk 'm!

  • Ballebek
  • Registratie: januari 2000
  • Laatst online: 20:02
Altijd vmxnet3 gebruiken wanneer het kan.
Alleen sommige oude meuk heeft per se een e1000 nodig of is alleen supported met een e1000 (terwijl vmxnet3 gewoon werkt).

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.


Acties:
  • 0Henk 'm!

  • A1AD
  • Registratie: juli 2013
  • Laatst online: 21-02 11:21
Voor de mensen die een nieuw pfsense systeem aan het bouwen zijn niet vergeten een CPU met AES-NI instructie te voorzien. Het zou een vereiste worden om te mogen upgraden naar 2.5 in de toekomst.

Er is al veel om te doen geweest...

I don't fail. I successfully identify suboptimal methods. iRP


Acties:
  • 0Henk 'm!

  • chronoz
  • Registratie: maart 2010
  • Laatst online: 19-02 15:48
Ik weet niet zoveel van networking, maar ik dacht dat de ESX-host dan het publieke Ziggo-IP zou hebben en er dus geen IP meer is voor de WAN interface van de Pfsense VM?

Wat is het IP van de ESX-host dan in dit scenario? Een IP in de LAN range van Pfsense dus?

Dat zou inderdaad perfect zijn, maar dan weet ik niet hoe ik de ESX-host beheer als de Pfsense niet up komt voor een reden, chicken en egg problem, maar met autostart zou dat te verhelpen moeten zijn.

Zie ik het zo ongeveer goed?

Ik heb wel een managed switch, een kleine NUC met VMware en binnenkort 1 andere wat grotere VMware-server.

Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

quote:
chronoz schreef op zondag 9 juli 2017 @ 10:33:
Ik weet niet zoveel van networking, maar ik dacht dat de ESX-host dan het publieke Ziggo-IP zou hebben en er dus geen IP meer is voor de WAN interface van de Pfsense VM?

Wat is het IP van de ESX-host dan in dit scenario? Een IP in de LAN range van Pfsense dus?

Dat zou inderdaad perfect zijn, maar dan weet ik niet hoe ik de ESX-host beheer als de Pfsense niet up komt voor een reden, chicken en egg problem, maar met autostart zou dat te verhelpen moeten zijn.

Zie ik het zo ongeveer goed?

Ik heb wel een managed switch, een kleine NUC met VMware en binnenkort 1 andere wat grotere VMware-server.
Nee je hebt dan toch vlans, dus jouw esx host krijgt gewoon een ip uit je interne reeks, management netwerk + vm network en pfsense een adapter op vlan ziggo een extern ip adres.

En ja als pfsense faalt kan je er extern niet meer bij, maar intern wel (en dat is geen verschil met een andere Router, down is down :)

Acties:
  • 0Henk 'm!

  • chronoz
  • Registratie: maart 2010
  • Laatst online: 19-02 15:48
Ah duidelijk, dankje. Ik kwam dan even tekort aan netwerkkennis, maar ik zal het proberen als mijn server dinsdag binnenkomt. Ik denk wel dat het moet lukken dan. :)

Acties:
  • 0Henk 'm!

  • Lethalis
  • Registratie: april 2002
  • Niet online
quote:
A1AD schreef op zondag 9 juli 2017 @ 10:22:
Voor de mensen die een nieuw pfsense systeem aan het bouwen zijn niet vergeten een CPU met AES-NI instructie te voorzien. Het zou een vereiste worden om te mogen upgraden naar 2.5 in de toekomst.

Er is al veel om te doen geweest...
Crap. Moet ik straks mijn oude celeron 847 nuc vervangen.

In combinatie met switch en vlans leuk dingetje voor thuis tot nu toe. Als PfSense het er echt niet meer op doet, vraag ik me overigens af of ik het daarbij laat.

Dan maar FreeBSD of Linux zonder GUI.

Voor die ene ipsec verbinding die ik gebruik heb ik niet per se hardware offloading nodig.

The secret to creativity is knowing how to hide your sources ~ Walking on water and developing software to specification are easy.. as long as both are frozen.


Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

quote:
Lethalis schreef op zondag 9 juli 2017 @ 17:18:
[...]

Crap. Moet ik straks mijn oude celeron 847 nuc vervangen.

In combinatie met switch en vlans leuk dingetje voor thuis tot nu toe. Als PfSense het er echt niet meer op doet, vraag ik me overigens af of ik het daarbij laat.

Dan maar FreeBSD of Linux zonder GUI.

Voor die ene ipsec verbinding die ik gebruik heb ik niet per se hardware offloading nodig.
Voor zover duidelijk is 2.4 nog een jaar na uitbrengen van 2.5 supported, volgens mij komt mei 2018 ergens 2.5 uit als ik zo her en der lees, dus 2 jaar verder voordat 2.4 niet meer supported is.

Acties:
  • 0Henk 'm!

  • Zorc
  • Registratie: december 2012
  • Laatst online: 17:57
@Lethalis Het duurt nog wel even voor het zover is en je kan altijd nog naar OPNsense of een linux firewall met GUI (bijvoorbeeld IPFire, IPCop, etc)

Acties:
  • 0Henk 'm!

  • Lethalis
  • Registratie: april 2002
  • Niet online
quote:
ThaNetRunner schreef op zondag 9 juli 2017 @ 17:34:
[...]

Voor zover duidelijk is 2.4 nog een jaar na uitbrengen van 2.5 supported, volgens mij komt mei 2018 ergens 2.5 uit als ik zo her en der lees, dus 2 jaar verder voordat 2.4 niet meer supported is.
Okee, maar dan nog. De kans dat mijn internet sneller is dan een gigabit over 2 jaar is niet zo groot.

Dus als de nuc het dan nog doet, zie ik geen reden om hem te vervangen :p

Ook op mijn werk draaien best wel wat servers PfSense. Die kunnen qua specificaties makkelijk mee, ook al hebben ze geen AES.

Een deel daarvan zal over 2 jaar nog steeds draaien.

Ik zal het morgen in de groep gooien iig :)

The secret to creativity is knowing how to hide your sources ~ Walking on water and developing software to specification are easy.. as long as both are frozen.


Acties:
  • 0Henk 'm!

  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

@Lethalis 2 jaar is precies genoeg zakelijk gezien, daarna is die versie niet meer supported en moet je pas upgraden, want op de zaak ga je geen unsupported Firewalls draaien. Voor privé kan je nog een even door als je dat wilt.

Acties:
  • 0Henk 'm!

  • Lethalis
  • Registratie: april 2002
  • Niet online
quote:
ThaNetRunner schreef op zondag 9 juli 2017 @ 18:43:
@Lethalis 2 jaar is precies genoeg zakelijk gezien, daarna is die versie niet meer supported en moet je pas upgraden, want op de zaak ga je geen unsupported Firewalls draaien. Voor privé kan je nog een even door als je dat wilt.
Mja we houden qua hardware 3 tot 5 jaar aan. Nu zijn de PfSense servers de goedkoopste die we hebben en valt er vast iets te regelen.

Eerst maar eens checken wat de huidige hardware kan en beoordelen om hoeveel servers het gaat.

[update]
Net 3 servers gecontroleerd. 2 van de 3 hebben al hardware AES support en die ene die het niet heeft, is sowieso al toe aan vervanging. Valt dus tot nu toe reuze mee op de zaak. Misschien moet ik mijn NUC thuis over 2 jaar dan ook maar afschrijven en een nieuwe halen. De nieuwe generaties hebben allemaal AES support namelijk, ook de entry level modellen.

Lethalis wijzigde deze reactie 10-07-2017 08:08 (27%)

The secret to creativity is knowing how to hide your sources ~ Walking on water and developing software to specification are easy.. as long as both are frozen.


Acties:
  • +1Henk 'm!

  • SuperKevin
  • Registratie: juni 2001
  • Laatst online: 15:48
Na (te) lang te hebben aangekloot met de Fritzbox 7581 van XS4ALL heb ik besloten om toch ook weer de switch te maken naar pfSense voor thuisgebruik. In zakelijke omgeving heb ik 30+ pfSense routers in gebruik, veelal met deze machine: SuperMicro SuperServer 5018A-FTN4

Ben alleen met de leverancier nu preventief al die machines aan het vervangen ivm de mogelijke CPU issues.

Ik heb besloten om voor deze config te gaan:

#ProductPrijsSubtotaal
1Intel Pentium G4400 Boxed€ 53,49€ 53,49
1ASRock H270M-ITX/ac€ 118,65€ 118,65
1Chenbro SR30169T3€ 124,25€ 124,25
1Kingston ValueRAM KVR24N17S8K2/8€ 71,24€ 71,24
1be quiet! System Power B8 300W€ 36,-€ 36,-
Bekijk collectie
Importeer producten
Totaal€ 403,63


Disks e.d. heb ik allemaal nog zat liggen. Reden dat ik voor die Chenbro behuizing kies is omdat ik mogelijk in de toekomst de machine een upgrade geef om hem nog wat extra taken te geven.

Het staat in bestelling en ik verwacht het morgen of overmorgen binnen. Aankomende avondjes maar weer ff lekker knutselen dus :D

SuperKevin wijzigde deze reactie 11-07-2017 16:58 (7%)
Reden: Toevoeging van info


  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

Even voor de stats freaks onder ons, met welke package kan je mooie stats genereren, pie charts etc? Destination, Welke urls, welke services :)

Die ids en ips zaken zoals snort houden die wel bij, maar, voor zover ik zag, niet met mooie charts.

  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 20:38

ThinkPad

Moderator Duurzame Energie & Domotica

L460

Grafana + InfluxDB? (en evt. Telegraf), maar dat is niet een klik-klik-klaar package voor pfSense, is een aparte applicatie.

Hardware te koop | Gas besparen door CV-tuning | Elektriciteit besparen | Tweakblog


  • KRGT
  • Registratie: september 2001
  • Laatst online: 21:01

KRGT

Have a nice day!

Dank je @ThinkPad ben nog benieuwd of er anderen zijn die deze functionaliteit op de zaak hebben ingericht met deze packages of een andere manier.

We love pie (charts) :p of groene status vinkjes voor management ;)

  • wian
  • Registratie: september 2005
  • Niet online
Heeft hier iemand ervaring met de Qotom Q355G4?

Draadje op pfSense forum: https://forum.pfsense.org/index.php?topic=132528.0

  • SuperKevin
  • Registratie: juni 2001
  • Laatst online: 15:48
quote:
Qua specs ziet het er super uit!

Even aangaande mijn eigen projectje:
Alles draait, echter heb ik nog wel problemen met het downloaden van de firmwares op de STB's.

De IGMP Proxy (i.c.m. XS4ALL) heb ik werkend (onder 2.4.0 BETA), TV werkt perfect en loopt niet vast e.d., echter kan een nieuwe STB de firmware niet ophalen als hij achter de pfSense hangt.

Iemand een idee?

  • Zorc
  • Registratie: december 2012
  • Laatst online: 17:57
Ik heb de Qotom Q355G4, draai er nog geen pfSense op, maar dat is op niet al te lange termijn wel de bedoeling.

  • eymey
  • Registratie: februari 2000
  • Laatst online: 23:22
quote:
SuperKevin schreef op maandag 17 juli 2017 @ 11:01:
[...]


Qua specs ziet het er super uit!

Even aangaande mijn eigen projectje:
Alles draait, echter heb ik nog wel problemen met het downloaden van de firmwares op de STB's.

De IGMP Proxy (i.c.m. XS4ALL) heb ik werkend (onder 2.4.0 BETA), TV werkt perfect en loopt niet vast e.d., echter kan een nieuwe STB de firmware niet ophalen als hij achter de pfSense hangt.

Iemand een idee?
Mijn eerste vermoeden (zonder ervaring te hebben met XS4ALL maar wel met soortgelijke IPTV constructies) is dat je nog een extra static route naar een bepaald subnet of zelfs specifieke host nodig hebt, die via VLAN 4 moet lopen?

  • SuperKevin
  • Registratie: juni 2001
  • Laatst online: 15:48
quote:
eymey schreef op maandag 17 juli 2017 @ 14:47:
[...]


Mijn eerste vermoeden (zonder ervaring te hebben met XS4ALL maar wel met soortgelijke IPTV constructies) is dat je nog een extra static route naar een bepaald subnet of zelfs specifieke host nodig hebt, die via VLAN 4 moet lopen?
Dat dacht ik dus ook, maar ik zie ook met wireshark geen gekke requests naar subnetten vanuit de STB komen. Enkel verkeer wat al reeds naar VLAN4 verloopt...

  • DevaZ
  • Registratie: september 2005
  • Laatst online: 19-02 22:17
quote:
GEi schreef op vrijdag 9 juni 2017 @ 13:41:
Hierbij ook mijn duit in het zakje. Ik heb zelf een pfSense router gebouwd met onder andere de volgende onderdelen:

#ProductPrijsSubtotaal
1Intel Pentium G4560 Boxed€ 65,-€ 65,-
1ASRock H270M-ITX/ac€ 123,50€ 123,50
1Gelid Solutions PWM 1-to-4 Splitter€ 2,91€ 2,91
1Silverstone NT07 (SST-NT07-115X)€ 22,-€ 22,-
3Gelid Solutions IPX 4 PWM - 40mm Industrial Fan€ 11,50€ 34,50
1Crucial CT2K4G4DFS8213€ 61,-€ 61,-
1Samsung SM961 128GB€ 85,50€ 85,50
Bekijk collectie
Importeer producten
Totaal€ 399,91

Bovenstaande is ingebouwd in een In Win IW-RF100S behuizing.

Ik ben de eerste om toe te geven dat dit zwaar overkill is voor een router. Maar dat heeft een reden. Ik krijg niet zo heel vaak een groen licht om hardware voor de hobby te kopen; als papa van een gezin met jonge kinderen moet je soms ook andere prio's kiezen... Dus na wat vooronderzoek en veel inlezen en ook vragen hier op GoT ben ik tot bovenstaande gekomen. Waarom dan toch deze hardware? Ik wil deze in de toekomst ook anders kunnen inzetten. Bij de aftrap wilde ik een router maken die mijn 1Gbps up en down van Tweak aan kan, en minstens 500Mbps kan verstouwen door een (Open)vpn verbinding. Dat kan bovenstaande wel... Maar ik zou ook wel een keer willen stoeien met Freenas, met Proximus, met Esxi, en ja, dan beperk ik mij wanneer ik voor een 'standaard' router kies; sterker nog, dan voldoet mijn huidige ASUS RT-AC68U nog prima. De hardware is dus vooral geselecteerd met het oog op verbreding van de inzet in de toekomst. De pfSense kan dan eventueel worden gevirtualiseerd.

De bouw was echter nog wel een dingetje. De behuizing is ontworpen voor serverborden, en de Asrock is geen serverbord. Qua passing sloot dat niet echt op elkaar aan... De wifi heb ik verwijderd, evenals de audioaansluitingen. Dat verklaard sommige gereedschappen op onderstaande foto die je niet gauw zal aantreffen wanneer je een zelfbouw in elkaar zet. Verder staat het moederbord een heel klein beetje bol. Niet ideaal, maar ik ben niet bang dat dit schade gaat opleveren in de toekomst; de pootjes in de behuizing zijn nu eenmaal niet langer. En moeten ook niet veel langer zijn, anders kom je qua hoogte weer niet uit. Waarom dan geen server moederbord? Een Supermicro ofzo? Nou, daar heb ik wel naar gekeken, maar die werden met mijn wensenlijstje te duur. Keuzes, keuzes, keuzes...

[afbeelding] [afbeelding] [afbeelding] [afbeelding]

Heb weer veel geleerd van deze zelfbouw. De vorige was toch al weer een jaar of 10 geleden. En ik heb punten gescoord bij vrouw en kinderen, want die vonden het er wel heel ingewikkeld uit zien :9 .
Ook een dankwoord aan jullie Tweakers, voor de hulp en support op het forum _/-\o_ .
En het verbruikt uit de wandcontactdoos? is redelijk belangrijk door zijn functie van 24x7...

  • GEi
  • Registratie: december 2012
  • Laatst online: 20:35
Eerlijk? Geen idee... Omdat het hobby is, en ik verder ook geen heel gekke uitgaven doe, kan ik er wel mee leven. Wellicht dat ik voor sec de router functie nog wel een keer aan ander bordje haal. Ik heb nu ook de vpn server, snort en blocker geïnstalleerd, en dat kan deze processor allemaal op zijn slofjes aan. Maar zoals ikin mijn eerdere bericht schreef; dat was ook voorzien.

  • Ballebek
  • Registratie: januari 2000
  • Laatst online: 20:02
Heb een nieuwe pfSense doos sinds deze week; een Cisco FirePower 7000 series. Oude labdoos die is afgeschreven en idle maar een paar watt trekt (tot je verkeer genereert, dan lust ie wel watt).

Heeft een Xeon E3 met 8GB RAM, Intel 8 ports pci-e NIC en 40GB SSD (wordt vervangen door 250GB). Exacte specs weet ik (nog) niet maar gaat mijn meterkast PC vervangen.

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.


  • Anteros
  • Registratie: januari 2009
  • Laatst online: 23:24
Ik ben aan het kijken om een pfsense/opnsense router te maken zonder al te veel poespas en redelijke prestaties (ivm OpenVPN server). Nu kwam ik de Shuttle XPC slim XH110 tegen en deze heeft twee intel NIC's voor een prijs van 200e. Zou deze goed en stabiel kunnen werken? Iemand ervaring met soorgelijke systemen?

Heeft iemand nog een alternatief voor een barebone-achtig systeem met twee NICs welke gewoon goed in NL te verkrijgen is?

Edit: Ik denk dat ik een 'ideale' barebone gevonden heb: http://www.shuttle.eu/products/slim/ds68u/specification/

Twee Intel NICs, een onboard Intel CPU en ook nog eens een mooi en klein kastje...

Wat vinden jullie?

Anteros wijzigde deze reactie 17-08-2017 18:27 (20%)


  • JT
  • Registratie: november 2000
  • Laatst online: 20:03

JT

VETAK y0

Ziet er goed uit :) AES-NI aanwezig op de cpu?

  • Tomba
  • Registratie: mei 2000
  • Laatst online: 20:10

Tomba

Quis custodiet ipsos custodes?

quote:
Ballebek schreef op dinsdag 8 augustus 2017 @ 07:53:
Heb een nieuwe pfSense doos sinds deze week; een Cisco FirePower 7000 series. Oude labdoos die is afgeschreven en idle maar een paar watt trekt (tot je verkeer genereert, dan lust ie wel watt).

Heeft een Xeon E3 met 8GB RAM, Intel 8 ports pci-e NIC en 40GB SSD (wordt vervangen door 250GB). Exacte specs weet ik (nog) niet maar gaat mijn meterkast PC vervangen.

[afbeelding]
Ben je hier al aan begonnen? Leuk LVTtje :D

tomba.tweakblogs.net || Mijn V&A


  • iMars
  • Registratie: augustus 2001
  • Laatst online: 21:18
quote:
JT schreef op donderdag 17 augustus 2017 @ 19:10:
Ziet er goed uit :) AES-NI aanwezig op de cpu?
quote:
Processor
Model: Intel Celeron 3855U (ULV)
System-on-a-chip architecture (SoC): no chipset required
BGA1356 package - directly soldered onto the mainboard
Code name: Skylake-U (6th Generation Intel Core)
Cores / Threads: 2 / 2
Clock rate: 1.6 GHz
L1/L2/L3 Cache: 128 kB / 512 kB / 2048 kB
Memory controller: DDR3L-1600 Dual Channel (1.35V)
TDP wattage: 15 W maximum
Manufacturing process: 14 nm
Maximum Tjunction Temperature: 100°C
Supports 64-bit, VT-x (EPT), VT-d, Enhanced SpeedStep, NX bit, AES-NI, SSE 4.1/4.2
Integrated graphics engine

  • Ballebek
  • Registratie: januari 2000
  • Laatst online: 20:02
quote:
Tomba schreef op vrijdag 18 augustus 2017 @ 10:51:
[...]

Ben je hier al aan begonnen? Leuk LVTtje :D
Draait inmiddels ESXi op met nog wat VMs, alleen is de idle load onder ESXi net boven de 30 watt terwijl het met 3D OS slechts een paar Watt was. Ik vermoed dat dit komt door de Netronome NFP-3240 want de heatsink die erop geplakt zit wordt flink warm. Ben aan het kijken of ik de drivers kan gebruiken onder ESXi zodat ie zich rustig houdt.

Ook is slechts 4GB bruikbaar; de andere 4GB is dedicated voor de bovengenoemde flow processor.
Desalnietemin is het een leuk stukje speelgoed; ben nu bezig met het front LCD, dat is gewoon een USB device die je kan programmeren. :)

Ik weet nog niet of ik 'm blijf gebruiken of vervang, voordeel is wel dat deze doos een Gbit doet van poort naar poort (als switch) dus dat is een grote plus (switch kan nu uit). Heb mijn oude HP NC364T PCI Express Quad Port adapters te koop gezet die uit mijn "oude" meterkast PC komen dus eigenlijk is er no way back nu.

Ballebek wijzigde deze reactie 19-08-2017 09:24 (3%)

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.


  • Tomba
  • Registratie: mei 2000
  • Laatst online: 20:10

Tomba

Quis custodiet ipsos custodes?

quote:
Ballebek schreef op zaterdag 19 augustus 2017 @ 09:23:
[...]

Draait inmiddels ESXi op met nog wat VMs, alleen is de idle load onder ESXi net boven de 30 watt terwijl het met 3D OS slechts een paar Watt was. Ik vermoed dat dit komt door de Netronome NFP-3240 want de heatsink die erop geplakt zit wordt flink warm. Ben aan het kijken of ik de drivers kan gebruiken onder ESXi zodat ie zich rustig houdt.

Ook is slechts 4GB bruikbaar; de andere 4GB is dedicated voor de bovengenoemde flow processor.
Desalnietemin is het een leuk stukje speelgoed; ben nu bezig met het front LCD, dat is gewoon een USB device die je kan programmeren. :)

Ik weet nog niet of ik 'm blijf gebruiken of vervang, voordeel is wel dat deze doos een Gbit doet van poort naar poort (als switch) dus dat is een grote plus (switch kan nu uit). Heb mijn oude HP NC364T PCI Express Quad Port adapters te koop gezet die uit mijn "oude" meterkast PC komen dus eigenlijk is er no way back nu.
Leuk device hoor, wat voor Xeon zit er precies in? En wat verbruikt hij zo'n beetje?

Fijne kaartjs trouwens die nc364t's, heb er zelf ook 1 in mijn Hyper-V server (waar mijn Sophos UTM VM op draait) zitten :)

tomba.tweakblogs.net || Mijn V&A


  • Rozz
  • Registratie: april 2000
  • Laatst online: 15-02 21:50

Rozz

I'm an Apogian!!

Ik hoop van jullie ervaring gebruik te kunnen maken.

Thuis heb ik een 500/500 glas van KPN en download met mn Syno van alles en nog wat (Couchpotato, Sonarr, e.d.) via SSL ik haal dan rond de 40-50MB/s, niet slecht dus.
Speedtest op desktop laat geregeld 510/610 zien! (TP-Link TL-SG3210 Managed Switch ipv Experia Box)
Van buiten log ik geregeld in via VPN op mn Asus AC3200 en kan ik zo mn netwerk in, ook geen probleem dus.

Waar ik tegen aan loop, is snelheid van de VPN (ExpressVPN) als ik de Asus hiermee instel, dan gaat mijn snelheid terug naar 60/50 (speedtest) en NAS 6MB/s

Zonde van mn 500/500 abbo toch ;)
Al snel kwam ik als leek op VPN er achter dat snelheid afhankelijk is van de CPU, dus als test heb ik ExpressVPN op mn desktop gedaan en de rest "normaal" toen haalde ik opeens rond de 160/160, das al wat beter.

Toen deze thread gevonden en al snel de conclusie getrokken dat ik maar zelf een router moet gaan zoeken, via diverse fora kwam ik ook terecht bij de Qotoms minipc`s en PfSense.

Nog verder uitspitten kwam ik erachter dat je VPN tunnels kan bundelen voor snelheids winst, he, das leuk, kan ik toch die 500/500 volledig VPNnen?
PfSense Forum; meerdere VPN tunnels bundelen
Dan de hardware, misschien vreselijk overkill voor 1 VPN tunnel maar als ik wil gaan bundelen? en toekomst bestendig zijn, kwam ik uit op bijvoorbeeld deze: QOTOM-Q370G4 I7 4500U

Nu mijn vraag aan jullie, zijn er hier mensen die ook VPN`s hebben gebundeld? en geeft dit gewenste snelheidswinst? gekozen hardware goed?
Hoor graag jullie advies/tips ;)

Asus Maximus VII Hero, Core i7-4790K@4,8Ghz, 16GB-DDR3-2400, Samsung 256Gb PRO, Asus GTX1070 SLI, Windows + Hackintosh OS


  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 20:38

ThinkPad

Moderator Duurzame Energie & Domotica

L460

@Rozz VPN vreet CPU, wat ik van de posts in dit topic begrijp is dat je processor 'AES-NI' moet ondersteunen. Op die manier kan hij het een stuk beter behappen = meer snelheid.

Hardware te koop | Gas besparen door CV-tuning | Elektriciteit besparen | Tweakblog


  • Rozz
  • Registratie: april 2000
  • Laatst online: 15-02 21:50

Rozz

I'm an Apogian!!

Thanks, daar was ik reeds achter gekomen en genoemde cpu heeft dit...
Ark Intel Specs i7-4500U

Asus Maximus VII Hero, Core i7-4790K@4,8Ghz, 16GB-DDR3-2400, Samsung 256Gb PRO, Asus GTX1070 SLI, Windows + Hackintosh OS

Pagina: 1 ... 5 6 7 Laatste


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*