Zelfbouw project: Firewall / Router / AP

Ik heb bij mijn TopTon N5100 een adapter gekregen zogezegd van LITE-ON.
Maar als ik dat type nummer opzocht was dat voor een andere voeding met ander voltage.
Dus ik vermoed dat ze gewone fake stickers op de voedingen doen.

Ik heb mijn voeding vervangen door een Leicke. Die is tenminste echt voorzien van de juiste certificering voor Europa. Is de kwaliteit beter, misschien niet, maar tenminste kan de verzekeraar mij niet met de vinger wijzen.

Ook bespaarde ik zo'n 10 a 15% op het verbruik door de Leicke adpater.

Als je in OPNsense wil gaan spelen met ZenArmor en IDS/IPS dan zorg je maar beter voor voldoende RAM. Bij mijn eerste testen met ZenArmor liep mijn OPNsense niet lekker door slechts 6GB RAM, dan heb ik meer geplaatst en alles werkt nu goed.

Ik draai nu ongeveer anderhalf jaar pfSense op een Topton met N6005 processor, die is heel iets langzamer dan een N100 en draait prima met een KPN 1Gbit PPPoE verbinding. Wel de net.isr tunables aangepast. Geheugengebruik 2GB van de 4GB. Geen IDS/IPS.

Adapter heb ik vervangen door een FSP adapter die ik nog had liggen.

Ik draai sinds afgelopen oktober OPNsense op een topton N100 met meebestelde 16 GB ram en 256 M2; draait 1 Gbps voluit met zenarmor en ips actief.

Verdere addons zij de UniFi controller en Adguard.

Een 2e identieke config draait bij mijn ouders, maar die weigert UniFi (404) vooralsnog, nieuwe installatie, terugzetten vanuit een backup - met mijn config weliswaar -, herinstalleren, maakt allemaal niet uit, UniFi vertikt het.

Ik kom er maar niet achter waar het bij hun fout gaat ; ik blijf het vervelend vinden, zeker omdat al het andere wel gewoon werkt - ook bij hun 1 Gbps glasvezel.

Ik geloof dat ik maar weer een pi bij hun ga inzetten met daarop dan de UniFi controller en dan misschien domoticz ernaast zetten, maar dat is eigenlijk niet gepland.

RobertMe schreef op dinsdag 16 januari 2024 @ 21:08:
Tsja, ik heb een paar maanden terug nog Debian met ZFS on root geïnstalleerd op een antieke laptop uit 2007, met een Intel Core2Duo CPU en 2GB RAM, HDD dan uiteraard wel vervangen door een SSD, en dat draaide an zich prima.
Of in ieder geval niet slechter dan Arch met gewoon ext4.

NOFI, maar dat is echt totaal niet handig, want als je ZFS gebruikt is altijd het advies om minimaal 8 GB RAM te hebben!

Op het moment dat het maar 4 of 2 GB RAM betreft gaan er bepaalde zaken flink achteruit !!

Hoe en wat precies zal je in het ZFS Topic of DIY NAS Topic moeten opzoeken, want ik weet de exacte details niet meer helaas, omdat te lang geleden en zo...

Comp User schreef op woensdag 17 januari 2024 @ 15:09:
Een 2e identieke config draait bij mijn ouders, maar die weigert UniFi (404) vooralsnog, nieuwe installatie, terugzetten vanuit een backup - met mijn config weliswaar -, herinstalleren, maakt allemaal niet uit, UniFi vertikt het.

Ik kom er maar niet achter waar het bij hun fout gaat ; ik blijf het vervelend vinden, zeker omdat al het andere wel gewoon werkt - ook bij hun 1 Gbps glasvezel.

Ik zou daar niet eens UniFi inzetten en lekker spulletjes van de ISP laten gebruiken!

Ik geloof dat ik maar weer een pi bij hun ga inzetten met daarop dan de UniFi controller.

Een Raspberry Pi 3B is IMHO de beste UniFi Controller die je maar kan hebben!

nero355 schreef op woensdag 17 januari 2024 @ 21:20:
[...]

NOFI, maar dat is echt totaal niet handig, want als je ZFS gebruikt is altijd het advies om minimaal 8 GB RAM te hebben!

Op het moment dat het maar 4 of 2 GB RAM betreft gaan er bepaalde zaken flink achteruit !!

Hoe en wat precies zal je in het ZFS Topic of DIY NAS Topic moeten opzoeken, want ik weet de exacte details niet meer helaas, omdat te lang geleden en zo...

Als ik mij niet vergis is de vuistregel 8GB + (1GB per TB opslag), dit met deduplicatie en andere ZFS-features aan.

Leuke deal voor 500GB NVMe met de prijs van mid vorig jaar (29,90):
https://www.amazon.nl/dp/B0B25LQQPC

Aanrader voor @Le Enfant! i.p.v. 128GB.

TumTum schreef op dinsdag 16 januari 2024 @ 18:23:
[...]


N100 is ruim voldoende. Je zou ook nog kunnen kijken voor een N5105. Je hebt geen aparte koeling nodig als je opnsense direct op het device zet. Mijn N5105 is altijd rond de 38 tot 40 graden qua cpu temp zonder fan.

— model in je link is goed —

Je kunt ram meebestellen, maar het kan duurder uitvallen door de btw en de kwaliteit kan twijfelachtig zijn. Ik ga zelf voor Crucial DDR5 (de goedkoopste). Lifetime limited garantie is dan mooi meegenomen.

Je kunt gebruik maken van ZFS en ram is nog steeds goedkoop. Daarom doe ik minimaal 16GB. 8 voor het OS en 8 voor de cache. 128GB NVMe is voldoende, maar het prijsverschil is minimaal. Het is een afweging.

Mocht je memory willen uitbreiden, dan moet je de module vervangen en dat kost meer geld.

Ik heb advies gevraagd mbt de adapter en de meegeleverde adapters zijn prima. Je kunt hem vervangen, maar is niet noodzakelijk. Gewoon goed testen en dan is het prima. Mocht je twijfelen over de kwaliteit, dan kun je kiezen voor bijv. een Leicke. Niet geweldig, maar een prima alternatief. Maar dit is wss niet nodig.

Ik heb net de N100 gekocht met 8GB RAM en 128GB opslag. Het is de bedoeling dat Pfsense baremetal er op draait en ik zie niet echt een reden waarom ik meer geheugen en opslag zou nodig hebben.

Alvast bedankt voor de hulp!

Le Enfant! schreef op donderdag 18 januari 2024 @ 16:19:
[...]

Ik heb net de N100 gekocht met 8GB RAM en 128GB opslag. Het is de bedoeling dat Pfsense baremetal er op draait en ik zie niet echt een reden waarom ik meer geheugen en opslag zou nodig hebben.

Alvast bedankt voor de hulp!

Even nadenken of je dan ZFS of UFS als filesystem kiest, ZFS kan beter tegen spontane poweroutages maar heeft als drawback de 8G behoefte. UFS heeft deze eis niet.

pfSense heeft het zelf niet beschreven, onderstaand komt van deze link.

ZFS depends heavily on memory, so you need at least 8GB to start. In practice, use as much as you can get for your hardware/budget. To prevent data corruption, we recommend the use of high quality ECC RAM. If you use a dedicated cache and/or log disk, you should use an enterprise class SSD.

Raven schreef op donderdag 18 januari 2024 @ 09:09:
Als ik mij niet vergis is de vuistregel 8GB + (1GB per TB opslag), dit met deduplicatie en andere ZFS-features aan.

Dan wel ja

Ik heb m'n router met bare metal OPNsense op ZFS draaien met een 250GB SSD en 4GB RAM en draait als een zonnetje, performance (1Gbit glasvezel Odido) ook niks op aan te merken. Heb er verder alleen Adguardhome als plugin op draaien. 44% RAM usage geeft het OPNsense dashboard aan.

Dus die harde ondergrens van 8GB lijkt mij overkill?

[ Voor 23% gewijzigd door ThinkPad op 23-01-2024 08:28 ]

ThinkPad schreef op donderdag 18 januari 2024 @ 20:07:
Ik heb m'n router op ZFS draaien met een 250GB SSD en 4GB RAM en draait als een zonnetje, performance (1Gbit glasvezel) ook niks op aan te merken. OPNsense draait bare metal, heb er verder alleen Adguardhome op draaien. 44% RAM usage geeft het OPNsense dashboard aan.

Dus die harde ondergrens van 8GB lijkt mij overkill?

Het is geen harde ondergrens en afhankelijk van je ZFS configuratie. Proxmox maakt optimaal gebruik van de ZFS functionaliteiten en daarom is 8GB een minimum.

Ik kwam deze net tegen (G48S) voor 140 euro.
https://nl.aliexpress.com/item/1005006314369741.html

1x DDR5, 1x NVMe, i226V 4x, N100
Lijkt op een nieuw model.

ThinkPad schreef op donderdag 18 januari 2024 @ 20:07:
Ik heb m'n router op ZFS draaien met een 250GB SSD en 4GB RAM en draait als een zonnetje, performance (1Gbit glasvezel) ook niks op aan te merken. OPNsense draait bare metal, heb er verder alleen Adguardhome op draaien. 44% RAM usage geeft het OPNsense dashboard aan.

Dus die harde ondergrens van 8GB lijkt mij overkill?

Ligt eraan hoeveel features van je ZFS nog actief zijn op dat moment...

Nogmaals :

Ik kan het je niet meer zo uit het blote hoofd vertellen, maar je kan het allemaal vinden in het ZFS Topic

nero355 schreef op woensdag 17 januari 2024 @ 21:20:
[...]


[...]

Ik zou daar niet eens UniFi inzetten en lekker spulletjes van de ISP laten gebruiken!


[...]

Een Raspberry Pi 3B is IMHO de beste UniFi Controller die je maar kan hebben!

Er draaien backups over en weer tussen 2 nas apparaten, daarbij komt dat ik toch al degene ben die voor updates etc ingeroepen word, dus het is voor mij makkelijker als op beide locaties een zo goed als identieke opstelling draait - ook met oog op security setting / updates.

Vwb die pi, dat ben ik deels met jou eens, maar het ging / gaat mij meer omdat het op de ene installatie wel en op de andere niet wil werken - dat had dus net zo goed andersom gekund of met bv Adguard.

UniFi is nu eenmaal beter af te richten vwb WiFi dan een AiO device van de provider (het liefste zou ik het hele WiFi dumpen, maar je zit met tablet / Harmony (voor zolang het nog ondersteunt word), laptops zonder ethernet, dus dat is lastig om uit te bannen).

Villager schreef op zondag 14 januari 2024 @ 13:43:
Mogelijk stel ik deze vraag nu op de verkeerde plek, maar zag geen andere groep waar ik dit kwijt kan.

Ik heb nu dus OPNsense draaien. Helemaal tevreden, maar zoek toch weer een nieuwe uitdaging. Ik heb op m'n tweede Proxmox systeem een Debian container draaien met de ELK stack. Nu wil ik graag de logdata van OPNsense daar naar toe schrijven. Elasticsearch heeft ook een pfsense/opnsense plugin. Als je die installeert, dan moet je ook een agent installeren. Dat heb ik ook gedaan voor 3 linux systemen en een Windows systeem. Logdata daarvan komt ook netjes binnen. Maar de instructies voor het configureren van de OPNsense agent zijn erg minimaal en onduidelijk. En het lukt me dus ook (nog) niet.
Iemand die dit draaiend heeft?

Toch nog even terugkomen op m'n vraag van eerder. Misschien kan iemand hier nog inspiratie uit halen. Ik heb immers al veel hulp van jullie allemaal gekregen!
Een ELK server bleek toch een te ingewikkelde omgeving voor het doel waar ik het voor wilde gebruiken. Ik had eerder al meerdere pogingen gedaan om Graylog aan de praat te krijgen, maar dat lukte steeds niet. Toch maar weer geprobeerd en na enkele dagen stoeien met behulp van de Graylog documentatie (die zeker niet duidelijk en compleet is) en goed Googlen, uiteindelijk een draaiende setup voor elkaar gekregen.
Ook uiteindelijk Rsyslog op m'n Ubuntu en Debian omgevingen zo kunnen configureren dat de loginformatie allemaal naar de Graylog server werden weggeschreven. Schouderklopje voor mezelf!
En meteen al het nut ervan kunnen gebruiken op OPNsense. Ik had namelijk heel veel error meldingen en heb dat nu kunnen terugbrengen naar nul.
95% veroorzaakt door de CDROM die nog in mijn VM setup zat.



Had ik ook met de syslog data kunnen bereiken, maar dit werkt toch wel even wat makkelijker. Nu de errors in Home Assistant nog terugbrengen en dan werken aan een mooi dashboard. Alerts naar Gmail en Telegram heb ik al aan de praat. Kortom: superblij hiermee.
Eerste opzet van een dashboard is ook gelukt.

[ Voor 16% gewijzigd door Villager op 20-01-2024 17:02 ]

Comp User schreef op vrijdag 19 januari 2024 @ 19:18:
UniFi is nu eenmaal beter af te richten vwb WiFi dan een AiO device van de provider.

Ik heb de KPN SuperWiFi meuk van dichtbij kunnen bekijken en eerlijk is eerlijk : "It just works!" voor de gemiddelde consument die totaal n00b is als het om WiFi gaat en gewoon wil dat alles fatsoenlijk werkt!

Bij Ziggo kan je dit setje voor € 99 bestellen geloof ik : uitvoering: TP-Link AC1200 Whole Home Mesh Wifi-systeem Deco M4 (3-pack)
Sluit het allemaal bekabeld aan en KLAAAAR!!!

Tenzij je natuurlijk van die prachtige In Wall modellen overal wilt plaatsen, want dan wordt het een heel ander verhaal...

Ik heb een tijd terug zo’n TopTon unit gekocht met een Intel Celeron N5105 en 64GB ram en wat ssd. Top unit, super zuinig en zat performance.

Helaas heb ik bij het installeren een makkelijke vertrouwde keuze gemaakt: VMWare. Ik draai een VMWare ESXI 8 hypervisor met 2 VM’s. OPNSense en HomeAssistant.
Ik gebruik VT-d om 4 hardware NICs naar OPNSense te gooien, en 1 NIC is de management interface van ESXI.
HomeAssistant heeft een virtuele NIC naar OPNSense.

Werkt top, maar VMWare ESXI gaat bergaf waarschijnlijk?….

Iemand een aanrader voor een opvolger? Echt VMs, geen containers. Ik hoor Proxmox wel eens vallen?
Ik zou wel graag een open source oplossing hebben zodat ik niet opnieuw in dezelfde situatie terecht kom, haha.
En stabiliteit gaat bij mij boven alles behalve security voor domotica.

[ Voor 13% gewijzigd door _eLMo_ op 23-01-2024 14:39 ]

Volgens mij is het nog helemaal niet 100% zeker dat VMware gaat stoppen met ESXi Free...
Daarnaast lijkt mij dit meer een vraag voor Zuinige ESXi Server

_eLMo_ schreef op dinsdag 23 januari 2024 @ 14:36:
Ik heb een tijd terug zo’n TopTon unit gekocht met een Intel Celeron N5105 en 64GB ram en wat ssd. Top unit, super zuinig en zat performance.

Helaas heb ik bij het installeren een makkelijke vertrouwde keuze gemaakt: VMWare. Ik draai een VMWare ESXI 8 hypervisor met 2 VM’s. OPNSense en HomeAssistant.
Ik gebruik VT-d om 4 hardware NICs naar OPNSense te gooien, en 1 NIC is de management interface van ESXI.
HomeAssistant heeft een virtuele NIC naar OPNSense.

Werkt top, maar VMWare ESXI gaat bergaf waarschijnlijk?….

Iemand een aanrader voor een opvolger? Echt VMs, geen containers. Ik hoor Proxmox wel eens vallen?
Ik zou wel graag een open source oplossing hebben zodat ik niet opnieuw in dezelfde situatie terecht kom, haha.
En stabiliteit gaat bij mij boven alles behalve security voor domotica.

Proxmox is een apart topic voor Het grote Proxmox VE topic

En ja heel stabiel, gratis, en veel mooiere interne backup mogelijkheden.

De discussie over alternatieven voor ESXi vindt ook plaats in het grote ESXi/vSphere topic

Ik sluit me bij @stormfly aan wat betreft Proxmox.

Sowieso vroeg ik mezelf laatst al eens af hoe oud mijn Shuttle DH310 setup met Proxmox (en OPNSense, HA en wat containers) eigenlijk alweer is.

Blijkt dat ie alweer 5 jaar draait. Met nog nooit enig probleem of enige onstabiliteit

eymey schreef op dinsdag 23 januari 2024 @ 15:14:
Ik sluit me bij @stormfly aan wat betreft Proxmox.

+1

Ik zag iets dergelijks al lang geleden aankomen sinds Adobe een soortgelijk geintje heeft geflikt!

Sowieso vroeg ik mezelf laatst al eens af hoe oud mijn Shuttle DH310 setup met Proxmox (en OPNSense, HA en wat containers) eigenlijk alweer is.

Blijkt dat ie alweer 5 jaar draait. Met nog nooit enig probleem of enige onstabiliteit

Neem nog eens 5 jaar de tijd om ons te laten weten hoe het ervoor staat, want 5 jaar is eigenlijk niks IMHO

Zo heb ik een 16 jaar oud DFI moederbord aan iemand verkocht en die was stomverbaasd over het feit dat die zonder enig probleem was opgestart en zelfs een beetje OC'en nog steeds prima ging!

nero355 schreef op dinsdag 23 januari 2024 @ 15:52:
[...]

Neem nog eens 5 jaar de tijd om ons te laten weten hoe het ervoor staat, want 5 jaar is eigenlijk niks IMHO

Zo heb ik een 16 jaar oud DFI moederbord aan iemand verkocht en die was stomverbaasd over het feit dat die zonder enig probleem was opgestart en zelfs een beetje OC'en nog steeds prima ging!

Mja, op zich heb je natuurlijk een punt (hier ook nog een Sony TV uit 2009 die maar niet dood wil gaan, terwijl de CFL backlight waarschijnlijk al dik door de 27000 uren heen is). Maar in "computer land" is het natuurlijk best lang (en zeker als je bij bedrijven kijkt, hoe snel die apparatuur afschrijven). En PC of NAS heb ik gemiddeld vaak al binnen 4 jaar ofzo een upgrade gegeven.

Maar die Shuttle blijft maar 24/7 ongemerkt z'n werk doen (op OS en BIOS upgrades na dan ). In een meterkast waar het gemiddeld 24-25 graden of zo is.

eymey schreef op dinsdag 23 januari 2024 @ 16:30:
[...]
Maar die Shuttle blijft maar 24/7 ongemerkt z'n werk doen (op OS en BIOS upgrades na dan ). In een meterkast waar het gemiddeld 24-25 graden of zo is.

Zolang die temperatuur constant is heeft die er weinig onder te lijden. Warme gangen in een datacenter gaan hier ruim overheen.

Hmm, irritante bug in OPNsense: als WAN even weg is, dan moet ik Unbound herstarten voor ik weer DNS kan resolven (ping naar 1.1.1.1 werkte bijv. nog wel).

Ik kwam erachter toen ik wat aan het reorganiseren was in m'n meterkast en de glasvezel patch even los had liggen. Ik lees er meer berichten over, maar speelt blijkbaar nog steeds. Er was dus nog wel een link op de WAN-poort, maar m'n ONT had dus geen glas-link. Misschien dat het anders is als de WAN fysiek disconnected is op OPNsense.

ThinkPad schreef op woensdag 24 januari 2024 @ 21:05:
Hmm, irritante bug in OPNsense: als WAN even weg is, dan moet ik Unbound herstarten voor ik weer DNS kan resolven (ping naar 1.1.1.1 werkte bijv. nog wel).

Ik kwam erachter toen ik wat aan het reorganiseren was in m'n meterkast en de glasvezel patch even los had liggen. Ik lees er meer berichten over, maar speelt blijkbaar nog steeds. Er was dus nog wel een link op de WAN-poort, maar m'n ONT had dus geen glas-link. Misschien dat het anders is als de WAN fysiek disconnected is op OPNsense.

Gebruik je de provider DNS dmv het vinkje " Use System Nameservers" of gebruik je de DNS root servers voor lookups? In het eerste geval zie ik wel relatie met je provider IP/DHCP/PPPoE, in het tweede geval niet.

Ah ja, onder System > Settings > General heb ik als 1e DNS de primary van Odido staan (is toch de snelste en kortste route) en daarna twee publieke servers. Zou best kunnen dat het daarmee te maken heeft inderdaad

Maar wel irritant dat handmatige interventie nodig is voordat het weer werkt

[ Voor 16% gewijzigd door ThinkPad op 24-01-2024 21:34 ]

Een tijd geleden heb ik heir gepost over mijn PFsense experiment - nu stap ik binnenkort over van KPN naar Odido... nu leer ik dat ik het dan over VLAN300 moet instellen (integenstelling tot KPN met PPPoE).

PPPoE gebruikt maar 1 core wet mij toen verteld.
Hoe zit het dan met VLAN300? gebuikt dat wel alle cores?

Ik had vorige keer veel issues met een N100 mobo - en naar het zien dat PFsense 2 updates heeft gerreleased wil ik het weer proberen.
Gisteren de nieuwe N100 mobo binnengekregen en even met windows 10 gexperimenteerd - en wat blijkt de ssd die ik gebnruikte was langzamerhand aan het dood gaan. Nu denk ik dat dat ook het issue was van het vorige experiment.
Want ja, alles nieuw behalve de ssd hahhaha

Dit is de nas. Vandaag in ontvangst genomen. Memtest loopt nu. Er zit geen temp sensor op de lexar ddr4 module denk ik. Verdere specs zal ik later toelichten.

Beluga schreef op donderdag 25 januari 2024 @ 18:11:
Een tijd geleden heb ik heir gepost over mijn PFsense experiment - nu stap ik binnenkort over van KPN naar Odido... nu leer ik dat ik het dan over VLAN300 moet instellen (integenstelling tot KPN met PPPoE).

PPPoE gebruikt maar 1 core wet mij toen verteld.
Hoe zit het dan met VLAN300? gebuikt dat wel alle cores?

Vlan tagging is zo simpel dat een 48 poort switch dit op alle poorten doet met een 200Mhz telraam uit de Griekse oudheid.

Beluga schreef op donderdag 25 januari 2024 @ 18:11:
Een tijd geleden heb ik heir gepost over mijn PFsense experiment - nu stap ik binnenkort over van KPN naar Odido... nu leer ik dat ik het dan over VLAN300 moet instellen (integenstelling tot KPN met PPPoE).

PPPoE gebruikt maar 1 core wet mij toen verteld.
Hoe zit het dan met VLAN300? gebuikt dat wel alle cores?

Mijn eerste 2 router-pc's waren Intel Atom based (N270 en daarna N2800), VLAN zorgde niet voor zware CPU load

edit:
@Beluga Dit was op een van de Atom-pc's (de N2800 geloof ik):

Verbinding dichttrekken met 2 wget-downloads tegelijk en de Atom kon het zonder problemen bijbenen.

[ Voor 16% gewijzigd door Raven op 25-01-2024 18:57 ]

jadjong schreef op donderdag 25 januari 2024 @ 18:46:
[...]

Vlan tagging is zo simpel dat een 48 poort switch dit op alle poorten doet met een 200Mhz telraam uit de Griekse oudheid.

Hahhha oke sick!

Raven schreef op donderdag 25 januari 2024 @ 18:50:
[...]

Mijn eerste 2 router-pc's waren Intel Atom based (N270 en daarna N2800), VLAN zorgde niet voor merkbare CPU load

Top!

Dank voor de responce!
Maar nu weet ik nog steeds niet de verschillen
Ik gok dat het dan ook wel goed komt hahah


hopelijk heb ik dit soort praktijken tegen die tijd niet meer

[ Voor 39% gewijzigd door Beluga op 25-01-2024 19:00 ]

Raven schreef op donderdag 25 januari 2024 @ 18:59:
[...]

Als oude Atoms (respectievelijk uit 2008 en 2011) het bij kunnen benen, dan zal een wat modernere CPU geen probleem zijn

Ik ben benieuwd
Helaas zit ik nog 3 maanden vast aan KPN

Raven schreef op donderdag 25 januari 2024 @ 19:04:
[...]

Yikes , ik had Debian ooit eens vanaf een USB stick draaiende, volgens mij hetzelfde gezien. Daarna WD Green SSD erin.

N100 zei je? Hier wat benchmarks ter vergelijking met de Atom van router-pc v2 (daarna werd het een i3-8100T): https://technical.city/en...Processor-N100#benchmarks
De N100 is wel ietsje beter , qua benchmarks dan.

Thnx!
Ja das wel lekker lekker!

[ Voor 45% gewijzigd door Beluga op 25-01-2024 19:06 ]

Beluga schreef op donderdag 25 januari 2024 @ 19:04:
Helaas zit ik nog 3 maanden vast aan KPN

"Lucky you!"

Ruilen voor Caiway/Delta

jadjong schreef op donderdag 25 januari 2024 @ 18:46:
Vlan tagging is zo simpel dat een 48 poort switch dit op alle poorten doet met een 200Mhz telraam uit de Griekse oudheid.

Heel gek vind ik die vraag niet, want heel wat Routers hebben een MIPS CPU die daar Offloading Chips voor nodig heeft !!

nero355 schreef op vrijdag 26 januari 2024 @ 00:21:
[...]

"Lucky you!"

Ruilen voor Caiway/Delta

Uhmmm ik gok nee?

hahhah

Kleine update... het is niet mijn ssd... heb nog geen pfsense geinstalleerd.. maar wil eerst stabilitijd in het algemeen testen. (W10 en W11 blijven steeds uit het niets rebooten - en doet mij denken aan de laatste keer dat ik PFSense probeerde, en ook de rare scherm gliches)
Nu vermoed ik het RAM, misschien is N100 erg kritisch op wat voor RAM je gebruikt?
Dusch maar even een RAM van de QVL lijst besteld.

Als het nu niet lukt gaat alles weer retour hahahha

Korte review van de NAS.
Link naar foto's: TumTum in "Zelfbouw project: Firewall / Router / AP"

Het is de T-bao R1, ook wel de Aoostar R1. Het verbruik ligt rond de 30W idle met 2 actieve 8TB disks.
De disks zijn niet erg zuinig. Ik heb nog wat spares liggen, dus vandaar.
uitvoering: HGST Ultrastar He8 (SATA, 4Kn ISE), 8TB

Ze zijn niet stil en de trillingen hoor je goed. Dit is vrijwel niet te voorkomen. De warme lucht wordt netjes afgevoerd naar boven. De temperatuur schommelt tussen de 35 en 50 graden.

Update: Met WD Red Plus disks is het een stuk stiller! Ik ga die dus een tijdje gebruiken.
Meting komt uit op 20W. Disks zijn ook nog eens veel zuiniger.

De R1 wordt inmiddels geleverd met de i226-V. Er zijn dus meerdere revisies.
Specs: 2x i226-v, 1x usb C, 1x SD, 1x HDMI, 1x Displayport, 2x USB 2.0 en 2x USB 3.0.

Patriot P300 512G


NICs


Toevoeging: geen vage drivers. Alles vanaf de intel en ms catalog site voor Windows 11.

[ Voor 8% gewijzigd door TumTum op 26-01-2024 22:48 ]

@TumTum een Windows-based router? Interessant

andru123 schreef op zaterdag 27 januari 2024 @ 16:03:
@TumTum een Windows-based router? Interessant

Windows based? Het is maar net wat je wilt gebruiken. Ik gebruik Windows om de hardware te controleren en benchmarks te draaien. Daarna gaat ie weer leeg en kan er Proxmox, OPNsense, UnRAID etc. op.

Ik twijfel zelf tussen UnRAID en Proxmox. Het is natuurlijk ideaal om een NAS en router in 1 te hebben.

[ Voor 12% gewijzigd door TumTum op 27-01-2024 17:05 ]

andru123 schreef op zaterdag 27 januari 2024 @ 16:03:
@TumTum een Windows-based router? Interessant

Wat is er mis met Internet delen aanzetten in Windows?

Vorkie schreef op zaterdag 27 januari 2024 @ 17:08:
[...]


Wat is er mis met Internet delen aanzetten in Windows?

Theoretisch gezien zou je Hyper-V kunnen installeren en daar je router op kunnen zetten. Ik ben alleen niet zo'n fan van Hyper-V. Je hebt in Windows ook een role (RRAS), maar ook dat gebruik ik liever niet

TumTum schreef op zaterdag 27 januari 2024 @ 17:13:
[...]


Theoretisch gezien zou je Hyper-V kunnen installeren en daar je router op kunnen zetten. Ik ben alleen niet zo'n fan van Hyper-V. Je hebt in Windows ook een role (RRAS), maar ook dat gebruik ik liever niet

Ligt helemaal aan je use-case, niets mis met Hyper-V, als het ook je werkplek is.

In Hyper-V kan je dan je NAS en PFSense op installeren en zo dus in all-in-one machine ervan maken.

Voor dedicated - ESXi / Proxmox.

Daarboven op kan je lekker je VM's/dockers bouwen, zoals Virtual DSM in Docker, heb je gewoon een Synology

Ik zie op de doos “NAS + router” en dan zag ik Windows. Ik heb in hier nog nooit Windows router gezien. Als er is een, zou ik het dan gebruiken!
Maar is het niet verstandig een firewall op een hele aparte PC te hebben?

andru123 schreef op zaterdag 27 januari 2024 @ 17:39:
Ik zie op de doos “NAS + router” en dan zag ik Windows. Ik heb in hier nog nooit Windows router gezien. Als er is een, zou ik het dan gebruiken!
Maar is het niet verstandig een firewall op een hele aparte PC te hebben?

Nou, installeer Windows Server met RRAS. Wel leuk om intern mee te spelen. Kan routes maken, NAT, VPN tunnels etc.

https://www.transip.co.uk...rver-windows-server-2019/

TumTum schreef op zaterdag 27 januari 2024 @ 17:03:
[...]

Ik twijfel zelf tussen UnRAID en Proxmox. Het is natuurlijk ideaal om een NAS en router in 1 te hebben.

Grote voordeel van Unraid vind ik dat het "out of the box" docker en VM ondersteund. Met proxmox heb je een extra VM nodig om docker te gebruiken. UniFi, domoticz en alle *arr's draaien vrolijk in docker op mn Unraid bakkie (intel N100). Oh ja, en BlueIris draait daar ook nog op in een VM 💪

WimNL schreef op maandag 29 januari 2024 @ 10:25:
[...]


Grote voordeel van Unraid vind ik dat het "out of the box" docker en VM ondersteund. Met proxmox heb je een extra VM nodig om docker te gebruiken. UniFi, domoticz en alle *arr's draaien vrolijk in docker op mn Unraid bakkie (intel N100). Oh ja, en BlueIris draait daar ook nog op in een VM 💪

Je hebt met Proxmox niet perse een VM nodig om Docker containers te draaien. Het is immers gewoon Debian, waar je Docker op kunt installeren.

Alleen wordt Proxmox in de markt gezet als hypervisor waarbij je dus gevirtualiseerde / geisoleerde besturingssystemen draait (VM of LXC). En binnen die filosofie past Docker niet (op de hypervisor). En de Proxmox tooling kan / doet er dus ook niks mee. Het zit niet in de WebUI geïntegreerd, er worden geen backups van gemaakt, .... Maar je hoeft maar een sudo apt install ... te doen om Docker te draaien op Proxmox.

RobertMe schreef op maandag 29 januari 2024 @ 11:26:
[...]

Je hebt met Proxmox niet perse een VM nodig om Docker containers te draaien. Het is immers gewoon Debian, waar je Docker op kunt installeren.

Alleen wordt Proxmox in de markt gezet als hypervisor waarbij je dus gevirtualiseerde / geisoleerde besturingssystemen draait (VM of LXC). En binnen die filosofie past Docker niet (op de hypervisor). En de Proxmox tooling kan / doet er dus ook niks mee. Het zit niet in de WebUI geïntegreerd, er worden geen backups van gemaakt, .... Maar je hoeft maar een sudo apt install ... te doen om Docker te draaien op Proxmox.

Dat is ongeveer waar het op neer komt. Niet out-of-the-box, zoals hij aangaf. Ik zal de NAS ook installeren met UnRAID. Dat past beter bij de setup. Ik zal hem niet inzetten als router.

Ik vond op AliExpress voor €7,93 een USB 2.5Gbps netwerk adapter.
In de recensies heeft iemand een teardown gedaan en foto gepost dat er een RTL8156BG in zit, die zou koeler blijven dan de RTL8156.

Ik heb de USB-A variant besteld, twee keer. Eén voor aan m'n Synology DS214+ (via deze driver) en de andere voor aan m'n ESXi 8 thuisserver. Netwerkkabel er rechtstreeks tussen en profit?

N.B. Bij één heb je gratis verzending, bij twee stuks is het €3,72 verzendkosten. Achteraf beter in twee aparte orders kunnen doen

Edit: Yep ook bij mij een RTL8156BG: ThinkPad in "Zelfbouw project: Firewall / Router / AP"

[ Voor 27% gewijzigd door ThinkPad op 01-03-2024 08:52 ]

ThinkPad schreef op maandag 29 januari 2024 @ 22:29:
Ik vond op AliExpress voor €7,93 een USB 2.5Gbps netwerk adapter.

leuk, 2,5gb usb adapter cost 25-30 minimaal. Ook claimt hij energie besparende maatregelen (Aspm, EEE) te ondersteunen. Normaal gesproken USB conversie vergt extra vermogen en is niet efficient. Maar toch benieuwd.

2,5gbit maakt zin alleen als je van een NVME SSD naar SSD kopiert. SATA disk is 600 mbit max. Waar voor 2500 mbit pijp?Tenzij je all-NVME-SSD NAS heeft… maakt geen zin eigenlijk.

SATA is 6Gbps max, dus je kan prima met een SATA SSD, zelfs met sommige HDDs, een 2.5Gbps verbinding vol krijgen.

Als het goed is komt OPNsense 24.1 deze week (edit: later deze morgen krijg ik net als antwoord van OPNsense) uit, alleen jammer dat ik vandaag m'n netwerkdozen opnieuw ga installeren van mn lab. Wel volledig over op 25 en 100Gbps (naar internet 2x 10Gbps ipv de single 1Gbit nu) na noodgedwongen tijdelijk op enkel Gbit gezeten te hebben... Vreselijk als je data tussen verschillende VLANs aan het duwen bent.

[ Voor 67% gewijzigd door Uberprutser op 30-01-2024 08:38 ]

ThinkPad schreef op maandag 29 januari 2024 @ 22:29:
Ik vond op AliExpress voor €7,93 een USB 2.5Gbps netwerk adapter.
In de recensies heeft iemand een teardown gedaan en foto gepost dat er een RTL8156BG in zit, die zou koeler blijven dan de RTL8156.

Ik heb de USB-A variant besteld, twee keer. Eén voor aan m'n Synology DS214+ (via deze driver) en de andere voor aan m'n ESXi 8 thuisserver. Netwerkkabel er rechtstreeks tussen en profit?

N.B. Bij één heb je gratis verzending, bij twee stuks is het €3,72 verzendkosten. Achteraf beter in twee aparte orders kunnen doen

Voor de driver installatie van ESXI heb je nog even de tijd :-), maar denk er aan dat je dit nodig zal hebben om een Realtec USB nic aan de praat te krijgen:
https://communities.vmwar...ocumentation/ta-p/2998944

wat is momenteel zo wat een interessante opnsense box die energiezuinig is? De homeserver draait maar zou die niet graag als router gebruiken...

zierbeek schreef op dinsdag 30 januari 2024 @ 14:56:
wat is momenteel zo wat een interessante opnsense box die energiezuinig is? De homeserver draait maar zou die niet graag als router gebruiken...

Er zijn er best wat (lees ook terug in het topic) maar is vooral wat verwacht je ervan?
Als je bare metal draait is de keuze eindeloos, alleen of je Gbit of toch liever 2.5Gbit wil is dan de vraag.

Gisteren OPNsense 24.1 bare metal geinstalleerd en had wat issues met VLANs.
Native VLAN op trunk ging prima maar alle VLANs die ik had geconfigureerd zag ik niet terug in de CLI op beide servers. Nog een keer vanaf scratch begonnen en alles zonder problemen.

zierbeek schreef op dinsdag 30 januari 2024 @ 14:56:
wat is momenteel zo wat een interessante opnsense box die energiezuinig is? De homeserver draait maar zou die niet graag als router gebruiken...

Je vraag is wel echt ontzettend summier. Wat heb je zelf al gevonden? Wat kwam je tegen? etc.

Er is een N100 met DDR4 en DDR5.

Is de DDR5 een nieuwer variant? En ga je het verschil merken. Prijs verschil is ongeveer 50€.

Remco Tr schreef op vrijdag 2 februari 2024 @ 10:30:
Er is een N100 met DDR4 en DDR5.

Is de DDR5 een nieuwer variant? En ga je het verschil merken. Prijs verschil is ongeveer 50€.

Verschil merk je niet als dedicated router. Kun je de link eens delen? Misschien wel meer/andere nadelen.

TumTum schreef op vrijdag 2 februari 2024 @ 10:58:
[...]


Verschil merk je niet als dedicated router. Kun je de link eens delen? Misschien wel meer/andere nadelen.

Waarschijnlijk heb ik het niet goed gezien. Zie de DDR4 variant niet meer. Wel is er verschil tussen de M.2 NVMe. Deze vind je in x2 en x4. Dat zal voor alleen Opnsense weinig verschil maken of er moeten nog meer verschillen of verbeteringen op het bordje zitten.

x2
https://nl.aliexpress.com...%3Asearch%7Cquery_from%3A

x4
https://nl.aliexpress.com...8389&gatewayAdapt=glo2nld

Het zuinigste N100 systeem tot nu toe is Firebat (maxoss in "Het grote zuinige server topic - deel 3" ), maar dat heeft “maar” 2 netwerk porten. ( genoeg voor een firewall, denk ik) @zierbeek

andru123 schreef op vrijdag 2 februari 2024 @ 14:56:
Het zuinigste N100 systeem tot nu toe is Firebat (maxoss in "Het grote zuinige server topic - deel 3" ), maar dat heeft “maar” 2 netwerk porten. ( genoeg voor een firewall, denk ik) @zierbeek

De Firebat wilde ik voor opnsense gebruiken, maar gebruik het dingetje nu voor libreelec 👌
Draait zeer stabiel en is overkill voor hetgeen hij doet.
Niet gebruikt voor opnsense, omdat hij 2* 1Gb poorten heeft van realtek. Draai opnsense nu in een vm onder Unraid op een itx n100 boardje. Ook redelijk zuinig: schommelt omstreeks de 24W. Draait dan ook nog BlueIris op in een vm.

Gewoon zo'n topcon systeem oid nemen met 4* 2,5 Gb intel i226. Veel zuiniger wordt het niet...

WimNL schreef op zaterdag 3 februari 2024 @ 01:24:
De Firebat wilde ik voor opnsense gebruiken, maar gebruik het dingetje nu voor libreelec 👌
Draait zeer stabiel en is overkill voor hetgeen hij doet.
Niet gebruikt voor opnsense, omdat hij 2* 1Gb poorten heeft van realtek. Draai opnsense nu in een vm onder Unraid op een itx n100 boardje. Ook redelijk zuinig: schommelt omstreeks de 24W. Draait dan ook nog BlueIris op in een vm.

Gewoon zo'n topcon systeem oid nemen met 4* 2,5 Gb intel i226. Veel zuiniger wordt het niet...

24W voor een n100
Firebat zit tussen 3-5W met dezelfde N100…
Waarom realtek niet geschikt?

andru123 schreef op zaterdag 3 februari 2024 @ 02:28:
[...]
24W voor een n100
Firebat zit tussen 3-5W met dezelfde N100…
Waarom realtek niet geschikt?

Dat is gewoon niet waar. Die resultaten met alleen al een N100 kloppen niet. Ik heb de T9 Plus en is vrijwel identiek qua hardware. 16GB ram, N100, 2x 1Gbps. T9 kan alsnog zonder problemen de 20W of hoger aantikken. De zuinigste die ik heb is de ZX01 met 12GB ram en 1 nic en ook die kan veel verbruiken.

TumTum schreef op zaterdag 3 februari 2024 @ 07:31:
Dat is gewoon niet waar. Die resultaten met alleen al een N100 kloppen niet. Ik heb de T9 Plus en is vrijwel identiek qua hardware. 16GB ram, N100, 2x 1Gbps. T9 kan alsnog zonder problemen de 20W of hoger aantikken. De zuinigste die ik heb is de ZX01 met 12GB ram en 1 nic en ook die kan veel verbruiken.

ik heb zelf niet gemeten, misschien kan @maxoss dat bevestigen. Van wat ik zie, je hebt geen Firebat maar een andere systeem “die vrij identiek” is. Alles op Ali is vrij identiek Helaas noem je geen nummers om te vergelijken, de meting van Firebat is in idle met allerlij optimizaties. Ik heb geen idee hoe stabiel Firebat is, maar op zuinigheid het lijkt wel het beste.

andru123 schreef op zaterdag 3 februari 2024 @ 16:08:
[...]
ik heb zelf niet gemeten, misschien kan @maxoss dat bevestigen. Van wat ik zie, je hebt geen Firebat maar een andere systeem “die vrij identiek” is. Alles op Ali is vrij identiek Helaas noem je geen nummers om te vergelijken, de meting van Firebat is in idle met allerlij optimizaties. Ik heb geen idee hoe stabiel Firebat is, maar op zuinigheid het lijkt wel het beste.

Zal hem straks even starten. Hardware is 1:1 en ik adviseer iedereen hier om het niet als router te gebruiken. Koop dan iets beter spul. De N100 zit idle vaak al hoger (los van de overige componenten) tenzij je gaat tunen of een leeg headless os hebt. Dat kan ook met Topton of ieder ander merk. Firebat T8 is gewoon een naampje en die pc’s worden ook onder een andere naam verkocht.

Ik heb namelijk wat issues gehad met de T9 i.c.m. power settings in linux (beide T9 pc’s) Eerder al aangegeven. Helaas niet inzetbaar in mijn netwerk en de nics zijn matig.

Resultaten:
Boot wattage: 8 tot 12W
Powered on: 12 tot 17W (gemiddeld 16)
Idle: 8W tot 12W
Powered off: 0.7W
Apparaten/NICs aangesloten: 0
OS: Windows
Ik heb geen benchmark gedraaid. Maar met aangesloten apparaten, UTP etc. kom je al direct boven de 20W bij hoog CPU verbruik.

Mijn ervaring is dan ook dat de N100 vrijwel altijd boven de 8W komt. De processor is ook niet extreem zuinig en daar kun je meer artikelen over vinden. De T8 zit ook tussen de 8 en 12W idle. Toevoeging: Door dingen aan te passen, weg te halen of te kiezen voor Linux (geen router) en te tunen, kun je natuurlijk iets besparen. Met de T9 zal het verbruik dan ook flink omlaag gaan. Dit is alleen vrij lastig voor een router.

[ Voor 21% gewijzigd door TumTum op 03-02-2024 17:18 . Reden: Zaken toegevoegd / duidelijker gemaakt. ]

We vergelijken normaal wel het idle verbruik. Eventeel zonder en met VM's en of containers actief.

GoBieN-Be schreef op zaterdag 3 februari 2024 @ 17:31:
We vergelijken normaal wel het idle verbruik. Eventeel zonder en met VM's en of containers actief.

Zoals hierboven aangegeven. Zonder tuning/TDP aanpassingen en verwijderen van componenten: 8W voor de T9 Plus idle. Dit is na 10 minuten niets doen zonder iets aangesloten.

VS

X86-P5-N100 Router:
TumTum in "Zelfbouw project: Firewall / Router / AP"

Zie eigenlijk stock geen verschil tussen die 2.
Alhoewel. Die laatste is gedaan met Toetsenbord USB 2.0, HDMI, Netwerkkabel

Ik denk dat de X86-P5-N100 efficienter is qua energieverbruik als router.

[ Voor 16% gewijzigd door TumTum op 03-02-2024 17:52 ]

Bedankt voor de uitleg, duidelijk verhaal. U raadt dus specifiek voor firewallgebruik een ander model aan. Ik heb niet eens ervaring met n100, het lijkt er ook op dat realtek nics werken volgens synoniem in "Zelfbouwproject: Firewall / Router / AP"
Maar als andere boxen veel beter zijn, wil je dat natuurlijk wel.
Jammer dat er geen gepinnde berichten zijn of een overzicht dat regelmatig wordt bijgewerkt met de nieuwste/beste modellen.

[ Voor 16% gewijzigd door andru123 op 03-02-2024 20:27 ]

andru123 schreef op zaterdag 3 februari 2024 @ 20:24:
Bedankt voor de uitleg, duidelijk verhaal. U raadt dus specifiek voor firewallgebruik een ander model aan. Ik heb niet eens ervaring met n100, het lijkt er ook op dat realtek nics werken volgens synoniem in "Zelfbouwproject: Firewall / Router / AP"
Maar als andere boxen veel beter zijn, wil je dat natuurlijk wel.
Jammer dat er geen gepinnde berichten zijn of een overzicht dat regelmatig wordt bijgewerkt met de nieuwste/beste modellen.

Het zijn leuke pc’tjes om mee te spelen. Maar over het algemeen erg brak qua bios, firmware en drivers. De i225-v B3 of i226-v zijn qua adapters een stuk beter. Ik denk namelijk dat je de cwwk/topton devices ook zo kan tunen, maar dat je uiteindelijk performance moet inleveren of dat het gewoon niet kan, omdat een router vrijwel altijd bezig/actief is.

De i3 N305 heb ik ook lager gekregen, maar daarvoor lever je wel performance in. Dus als je kijkt naar zuinigheid, dan maakt het niet veel uit of je kiest voor een topton, t8, t9 etc. Wel is het handig om componenten uit te schakelen in de bios waar mogelijk.

andru123 schreef op zaterdag 3 februari 2024 @ 20:24:
Jammer dat er geen gepinnde berichten zijn of een overzicht dat regelmatig wordt bijgewerkt met de nieuwste/beste modellen.

Dat is inderdaad wel een beetje jammer : Hemmen in "Zelfbouw project: Firewall / Router / AP"

andru123 schreef op zaterdag 3 februari 2024 @ 02:28:
[...]
24W voor een n100
Firebat zit tussen 3-5W met dezelfde N100…
Waarom realtek niet geschikt?

Intel schijnt stabieler te zijn. Daarom heb ik er nu ook een intel i350T4 inzitten. Heb namelijk geen zin om het wiel opnieuw uit te vinden. Op de internationale forums (Opnsense) wordt die kaart hoog aangeschreven. Net zoals de i226.

24W vind ik heel netjes. Zit 32Gb ram in, 2* 6Tb schijven en 1Gb nvme.
Op het systeem draaien meerdere dockers (oa domoticz) en BlueIris in een VM (neemt 24/7 op) en dan nog opnsense in een VM. Alle 4 poorten zijn aangesloten en worden ook belast. Mijn systeem gaat nooit idle.

Gister mijn N100 NAS bord binnen, bestelt omdat ik nog DDR5 en een kast met voeding had liggen. Inmiddels is mijn netwerk helemaal over naar OPNSense. Performance is aardig.

Met IDS aan trekt het mijn hele gigabit verbinding alsnog vol. Blijkbaar was IDS er mee gestopt. Moet ik nog maar even naar kijken.

Wireguard over 5G haal ik bijna 200mbit down 40 up.

Niet verkeerd

[ Voor 16% gewijzigd door Anoniem: 407645 op 06-02-2024 05:14 ]

ThinkPad schreef op maandag 29 januari 2024 @ 22:29:
Ik vond op AliExpress voor €7,93 een USB 2.5Gbps netwerk adapter.
In de recensies heeft iemand een teardown gedaan en foto gepost dat er een RTL8156BG in zit, die zou koeler blijven dan de RTL8156.

Ik heb de USB-A variant besteld, twee keer.
[...]

Gisteren ontvangen, zojuist eens getest. Wordt herkend met VID/PID 0BDA:8156 (rev. 3104) en in apparaatbeheer als "Realtek Gaming USB 2.5GbE Family Controller" (onder W10 gelijk herkend zonder drivers te moeten installeren).

Met iperf3 netjes 2Gbit/s. Een filecopy over SMB gaat met zo'n 165-210MB/s. Twee adapters rechtstreeks verbonden met een CAT6 kabel.

Edit: behuizing even opengewipt en er zit idd. een RTL8156G in.

[ Voor 13% gewijzigd door ThinkPad op 08-02-2024 15:51 ]

Ik heb ook eentje besteld, komt normaal morgen ofzo toe.

Is 8GB ram genoeg voor ZFS Opnsense?

icm:
Crowdsec
Suricata
Zenamor
Wireguard

Remco Tr schreef op donderdag 8 februari 2024 @ 20:25:
Is 8GB ram genoeg voor ZFS Opnsense?

icm:
Crowdsec
Suricata
Zenamor
Wireguard

waarom zou je ZFS willen op een Firewall? lekker bij UFS blijven kan je dat geheugen lekker inzetten voor andere zaken

ZFS heeft wel een andere usecase dan op een firewall te gebruiken (in mijn optiek, convince me otherwise)

Zwelgje schreef op donderdag 8 februari 2024 @ 20:28:
[...]


waarom zou je ZFS willen op een Firewall? lekker bij UFS blijven kan je dat geheugen lekker inzetten voor andere zaken

ZFS heeft wel een andere usecase dan op een firewall te gebruiken (in mijn optiek, convince me otherwise)

ZFS is lekker makkelijk backuppen, gewoon een send & receive
* RobertMe draait Debian met ZFS on root als router / firewall.

Zwelgje schreef op donderdag 8 februari 2024 @ 20:28:
[...]


waarom zou je ZFS willen op een Firewall? lekker bij UFS blijven kan je dat geheugen lekker inzetten voor andere zaken

ZFS heeft wel een andere usecase dan op een firewall te gebruiken (in mijn optiek, convince me otherwise)

De enige reden dat ik ZFS heb gekozen voor mijn fysieke N5105 is dat ZFS beter tegen een spontane stroomstoring kan, en er toch al 16G ram in deze node zat

Voor mijn OPNsense VM heb ik voor UFS gekozen, juist om het geheugen gebruik zo laag mogelijk te houden.

stormfly schreef op donderdag 8 februari 2024 @ 20:36:
[...]


De enige reden dat ik ZFS heb gekozen voor mijn fysieke N5105 is dat ZFS beter tegen een spontane stroomstoring kan, en er toch al 16G ram in deze node zat

Voor mijn OPNsense VM heb ik voor UFS gekozen, juist om het geheugen gebruik zo laag modelijk te houden.

exact dit ja

Remco Tr schreef op donderdag 8 februari 2024 @ 20:25:
Is 8GB ram genoeg voor ZFS Opnsense?

icm:
Crowdsec
Suricata
Zenamor
Wireguard

Ik kan het niet helemaal inschatten, ik draai op ZFS en met Suricata+Wireguard c.a. 1.5gb ram. Heel incidenteel een spike tot 25% CPU maar over het algemeen 5% idle. Heb ook niet echt full load getest, maar het lijkt erop dat er genoeg headroom is. Ligt dus aan Crowdsec en Zenamor in jouw geval.

[ Voor 8% gewijzigd door Anoniem: 407645 op 08-02-2024 23:17 ]

ZenArmor eet wel veel ja. Met 6GB RAM kwam ik niet toe met ZFS + Suricate + ZenArmor + WireGuard

[ Voor 28% gewijzigd door GoBieN-Be op 09-02-2024 00:25 ]

ThinkPad schreef op donderdag 8 februari 2024 @ 11:59:Met iperf3 netjes 2Gbit/s. Een filecopy over SMB gaat met zo'n 165-210MB/s. Twee adapters rechtstreeks verbonden met een CAT6 kabel.

Wat is het verbruik idle/load? Gaat het in slaap, is EEE aan? Wordt warm?

andru123 schreef op vrijdag 9 februari 2024 @ 04:40:
[...]
Wat is het verbruik idle/load? Gaat het in slaap, is EEE aan? Wordt warm?

Nee wordt niet echt warm. Ik kan nog wel een foto maken met de warmtecamera evt.

De rest zou ik niet weten hoe ik dat moet meten, ik hoor het graag van je

ThinkPad schreef op vrijdag 9 februari 2024 @ 07:26:De rest zou ik niet weten hoe ik dat moet meten, ik hoor het graag van je

Als je deze aansluit, gaat het systeemverbruik omhoog. Het verschil is dan het verbruik.

Vraagje: Ik probeer een Ubuntu container (.70) met PiVPN (Wireguard) er op te benaderen met de cliënt op m'n telefoon. Ik ben aan het stoeien met de Firewall rule. Ik heb naar voorbeeld van 'The Network Guy' die zoiets beschrijft in 'Allow remote access to web server on VLAN 10 using NAT port forwarding' een aangepaste versie opgezet, maar krijg geen connectie. Wat doe ik niet goed of wat vergeet ik nog hierbij?
Poort staat bewust op 51821.

[ Voor 11% gewijzigd door Villager op 09-02-2024 21:08 ]

Heb je, of is er automatisch ook een firewall(geen NAT) regel aangemaakt die dit verkeer toestaat?
Ik weet niet meer of dit standaard gebeurd bij PfSense.

ThinkPad schreef op vrijdag 9 februari 2024 @ 07:26:
[...]

Nee wordt niet echt warm. Ik kan nog wel een foto maken met de warmtecamera evt.

De rest zou ik niet weten hoe ik dat moet meten, ik hoor het graag van je

Heb je geen (simpele) usb meter tester van Alie thuisliggen die de werking toevallig niet verstoord?

Villager schreef op vrijdag 9 februari 2024 @ 16:06:
Misschien nog wel van belang hierbij: Ik heb dus WireGuard ook op OPNsense op poort 51820 draaien. Dat wil ik eigenlijk ook hiernaast actief houden. Vandaar de keuze om voor de wireguard container poort 51821 te gebruiken. Dit zou toch moeten kunnen? Of niet?

Ik heb op de WG server 'sudo nmap localhost' gedraaid en daar zie ik poort 51821 niet bij staan als open poort. Denk dat ik nog de PiVPN configuratie nog een keer moet draaien.

De client connect wel. Ik zie 'm als ik 'PiVPN -c' doe. Maar bytes send en received blijven op 0 staan.
Dat betekent dat de firewall rule in OPNsense goed is, toch?

[ Voor 12% gewijzigd door Villager op 09-02-2024 17:08 ]

Villager schreef op vrijdag 9 februari 2024 @ 16:39:
[...]


Ik heb op de WG server 'sudo nmap localhost' gedraaid en daar zie ik poort 51821 niet bij staan als open poort. Denk dat ik nog de PiVPN configuratie nog een keer moet draaien.

nmap doet een tcp test, kan ook vrijwel niet anders omdat TCP wel een handshake gebruikt, voordat er data verstuurd kan worden. Echter gebruikt Wireguard geen TCP maar UDP. Dus de Wireguard client stuurt semi willekeurig een pakketje, en de server stuurt semi willekeurig een pakketje ("terug"). Maar er is dus geen ("vaste") verbinding onderhandelt op TCP/IP / UDP/IP, want het is UDP/IP, en die doet niet aan het onderhandelen van een verbinding. Een nmap gaat je dus niet helpen om te achterhalen of de poort "open" staat. En daarnaast, zelfs als je een UDP pakketje stuurt, dan gooit Wireguard alle ongeldige pakketjes weg. Het is dus niet zo dat de server antwoord met een "dit is een ongeldig pakketje". Dit uit veiligheidsoogpunt. Zo kan een "aanvaller" niet zien of jij bv Wireguard draait.

De client connect wel. Ik zie 'm als ik 'PiVPN -c' doe. Maar bytes send en received blijven op 0 staan.

Geen idee wat PiVPN -c doet, maar als het hetzelfde laat zien als wg show staat daar ook wanneer er voor het laatst verkeer is uitgewisseld. Dan weet je sowieso of die verbonden is of niet.
En owja, Wireguard "verbind" niet met de server. Als er verkeer over ee tunnel gestuurd moet worden, dan stuurt die verkeer, klaar. Er is geen "zij deze credentials geldig? En ik wil nu verbinden", om pas daarna daadwerkelijk iets te sturen. Op het moment dat (het apparaat) verkeer over de tunnel wilt sturen doet Wireguard dat verkeer versleutelen en versturen naar de server. Hopelijk komt er dan verkeer terug, en als dat niet zo is "klopt iets niet". En het aantal opties bij "klopt iets niet" is (on)eindig. Het kan simpelweg zijn dat het server adres niet klopt, maar ook dat het keypair niet klopt, of de preshared key, of door esn andere reden er uberhaupt geen communicatie met de server mogelijk is (bv ontbrekende port forward of wat dan ook).

Dat betekent dat de firewall rule in OPNsense goed is, toch?

Ik denk het niet perse, tenzij je bevestiging ziet dat er daadwerkelijk het laatst op dat moment verkeer is uitgewisseld.

Een aantal tips:
Gezien je PiVPN op een zelfstandig apparaat hebt draaien, kun je dan wel verbinding maken als je verbonden bent met het thuisnetwerk? En als endpoint dan dus het interne IP adres gebruiken.
Als bovenstaande werkt, test dan vanaf een telefoon via 4G (of PC / laptop die met hotspot van telefoon verbind die over 4G gaat). Uiteraard wel met aangepast endpoint naar het externe IP adres. Werkt het dan wel, maar niet als je met wifi verbonden bent kan het ook zijn dat hairpin NAT in OPNSense niet goed gaat.
Mijn favoriet, zo debug ik 90% van mijn netwerk problemen: ben niet bang om tcpdump te gebruiken. Dan zie je ook (enigszins) hoe ver verkeer komt etc. Daarbij wel niet vergeten dat in ieder geval onder Linux tcpdump inhaakt op de netwerkkaart(en) en "daardoor" "voor" de firewall (nftables / iptables) zit. Het kan dus alsnog zijn dat je verkeer in tcpdump ziet dat door de firewall gedropt wordt. Dan denk je dat het aankomt, maar eigenlijk dus toch niet.

@Villager, ik had de edit op de eerste post gemist.

NAT hairpin, of NAT loopback, of NAT reflection (? OPNSense naam?) heeft betrekking op verkeer vanaf het LAN dat vervolgens verbinding probeert op te zetten naar het externe IP van de router (alsof die via internet binnen komt). Zonder NAT hairpin wordt de port forward dan niet toegepast, met NAT hairpin dus wel.

Leuke (IPv4) quirk dus. Simpel gezegd zou je het kunnen zien als een semi "waarom zou je vanaf het interne netwerk een apparaat binnen het interne netwerk willen benaderen via het WAN IP van de router?".
En met IPv6 bestaat dat probleem natuurlijk niet. Want alle interne apparaten krijgen een publiekelijk IP adres. En als je vanaf het interne netwerk het IPv6 adres benaderd wordt dat gewoon * plop * intern gerouteerd geswitchd doordat het een adres in het eigen subnet is. En van buiten het eigen netwerk (/over het internet) wordt het naar jouw router gerouteerd die het doorgestuurd (letterlijk, zonder destination NAT / DNAT / "port forwarding") naar dat apparaat.

En hopelijk heb ik je daarmee meteen getriggerd om te migreren naar 2024 en IPv6 toe te passen.

Villager schreef op vrijdag 9 februari 2024 @ 19:25:
Voor iedereen die het lastig vindt om Wireguard draaiend te krijgen op OPNsense en daarop de clients te configureren (wat in mijn ogen erg omslachtig is) kan ik PiVPN aanbevelen.
Heb een Debian container aangemaakt in Proxmox. Het PiVPN configuratiescript gedraaid (zelf even voor Googlen). Daarna kun je met 'pivpn add' een client configuratie aanmaken door alleen de naam van de client op te geven. Met 'pivpn -qr' krijg je dan een QR code. Die scannen en klaar. Kind kan de was doen :-)
Wel even de juiste NAT rule aanmaken in OPNsense

Ik zou je VPN lekker op je router houden i.p.v. in een VM. Stukje security.

En dan:
https://www.wireguardconfig.com/

Deze gebruiken, kwestie van je huidige gegevens daar in vullen en je hebt er een hele waslijst aan QR codes.

Doe je er 100, heb je 100QR's klaar liggen zeg maar.

[ Voor 4% gewijzigd door Vorkie op 09-02-2024 19:40 ]

Villager schreef op vrijdag 9 februari 2024 @ 15:55:
Ik heb naar voorbeeld van 'The Network Guy' die zoiets beschrijft

Als ik je hele verhaal goed heb gevolgd dan lijkt het me een beter idee om die gast voortaan te negeren en gewoon de documentatie van alle betrokken software goed te lezen en die zelf zo goed mogelijk proberen te begrijpen, want...

Villager schreef op vrijdag 9 februari 2024 @ 16:06:
Misschien nog wel van belang hierbij: Ik heb dus WireGuard ook op OPNsense op poort 51820 draaien.
Dat wil ik eigenlijk ook hiernaast actief houden. Vandaar de keuze om voor de wireguard container poort 51821 te gebruiken.

Dit zou toch moeten kunnen? Of niet?

Dat kan dus niet op het moment dat je beiden via het Internet op je WAN Interface bereikbaar wilt krijgen!

Hierbij hebben we het over de meest simpele super basic Poortmapping kennis waarbij het al mis is gegaan!

Villager schreef op vrijdag 9 februari 2024 @ 16:39:
Ik heb op de WG server 'sudo nmap localhost' gedraaid en daar zie ik poort 51821 niet bij staan als open poort. Denk dat ik nog de PiVPN configuratie nog een keer moet draaien.

Dan begrijp je niet goed wat je aan het doen bent !!

Met dat commando ben je met NMAP de Localhost Interface a.k.a. 127.0.0.1 aan het scannen en die verbindt sowieso niet met de buitenwereld

En daarbij komt dan inderdaad nog het TCP vs. UDP verhaal dat @RobertMe eerder heeft uitgelegd...

Villager schreef op vrijdag 9 februari 2024 @ 17:44:
Kun je dit nog even uileggen? "dat hairpin NAT in OPNSense niet goed gaat"?
Bedoel je dat het van het IP adres wat wireguard gebruikt naar het lokale subnet 192.168.2.0 niet goed gaat?
En hoe lost ik dat op?

edit: denk dat ik het gevonden heb.

Las ergens:

Did you look under Firewall -> Settings -> Advanced

Make sure that:

Reflection for port forwards
Reflection for 1:1
Automatic outbound NAT for Reflection

are all checked,

Die stonden allemaal uit. Heb ik zelf gedaan doordat ik eerder problemen had (met iets anders)
Alle 3 de vinkjes aangezet en nu werkt het.

Many thanks!

Reverse NAT
NAT Loopback
Hairpin NAT

Of hoe je het ook wilt noemen is eigenlijk een hele ranzige hack die je liever niet op je netwerk wilt hebben dus tof dat het werkt, maar eigenlijk kan je het beter meteen uitzetten...

Villager schreef op vrijdag 9 februari 2024 @ 19:25:
Voor iedereen die het lastig vindt om Wireguard draaiend te krijgen op OPNsense en daarop de clients te configureren (wat in mijn ogen erg omslachtig is) kan ik PiVPN aanbevelen.

Heb een Debian container aangemaakt in Proxmox.
Het PiVPN configuratiescript gedraaid vanaf de officiële website mag ik hopen ?!.

Daarna kun je met 'pivpn add' een client configuratie aanmaken door alleen de naam van de client op te geven. Met 'pivpn -qr' krijg je dan een QR code. Die scannen en klaar. Kind kan de was doen :-)

Er bestaan ook meerdere prachtige webGUI oplossingen voor die i.c.m. heel veel Clients een veel fijnere overzichtelijkere weergave van je Server kunnen zijn

Vorkie schreef op vrijdag 9 februari 2024 @ 19:39:
Ik zou je VPN lekker op je router houden i.p.v. in een VM. Stukje security.

IMHO maakt dat niet zoveel uit in dit geval en is geheel van je eigen wensen afhankelijk

En dan:
https://www.wireguardconfig.com/

Deze gebruiken, kwestie van je huidige gegevens daar in vullen en je hebt er een hele waslijst aan QR codes.

Doe je er 100, heb je 100QR's klaar liggen zeg maar.

Of je gebruikt dus zo'n webGUI gewoon

Vorkie schreef op vrijdag 9 februari 2024 @ 19:39:
[...]


Ik zou je VPN lekker op je router houden i.p.v. in een VM. Stukje security.

Ik had Wireguard dus op OPNsense geconfigureerd, maar daar had ik het probleem dat OPNsense niet meer wilde rebooten/afluiten. Moest dan steeds een harde reset geven. Ook bij het opstarten bleef hij wel 1 minuut 'hangen' op 'Configuring Wireguard' voordat er doorgestart werd. Geen foutmeldingen te zien.
Nu ik Wireguard heb uitgeschakeld gaat de reboot weer vlotjes en is er geen harde reset meer nodig.

Villager schreef op zaterdag 10 februari 2024 @ 08:38:
[...]


Ik had Wireguard dus op OPNsense geconfigureerd, maar daar had ik het probleem dat OPNsense niet meer wilde rebooten/afluiten. Moest dan steeds een harde reset geven. Ook bij het opstarten bleef hij wel 1 minuut 'hangen' op 'Configuring Wireguard' voordat er doorgestart werd. Geen foutmeldingen te zien.
Nu ik Wireguard heb uitgeschakeld gaat de reboot weer vlotjes en is er geen harde reset meer nodig.

In 24.1 van 30 januari is WG verplaatst naar de kernel ipv als losse applicatie, misschien verhelpt dat jouw probleem.

stormfly schreef op zaterdag 10 februari 2024 @ 08:56:
[...]


In 24.1 van 30 januari is WG verplaatst naar de kernel ipv als losse applicatie, misschien verhelpt dat jouw probleem.

Dank je voor het meedenken! De harde rest is nu inderdaad niet meer nodig, maar nog steeds een freeze van 1 minuut bij opstarten op 'Configuring WireGuard VPN'. Dus zet 'm weer uit op OPNsense.

Villager schreef op zaterdag 10 februari 2024 @ 09:48:
[...]


Dank je voor het meedenken! De harde rest is nu inderdaad niet meer nodig, maar nog steeds een freeze van 1 minuut bij opstarten op 'Configuring WireGuard VPN'. Dus zet 'm weer uit op OPNsense.

Heb je echt de guide van OPNsense stap voor stap doorgenomen? Die is vrij uitgebreid met allemaal kleine stapjes in tekst.

Ik herken het gedrag niet wat je schets in mijn omgeving.