Zelfbouw project: Firewall / Router / AP

Hi allen,

Weet niet zo goed of ik de vraag ook in dit topic kan stellen

Ik heb sinds kort OPNSense draaien en had een firewall rule gemaakt om alles van "Unsafe countries" inkomend te blokkeren.

Dus een firewall rule op WAN inkomend, protocol any, destination "WAN address" en dan op "block".
Dit werkt op 1 of andere manier niet.
Als ik onder Destination "WAN address" vervang door "Any" werkt het wel.

Waarom werkt "WAN address" hier niet?

Flappie schreef op dinsdag 27 februari 2024 @ 20:24:
Hi allen,

Weet niet zo goed of ik de vraag ook in dit topic kan stellen

Ik heb sinds kort OPNSense draaien en had een firewall rule gemaakt om alles van "Unsafe countries" inkomend te blokkeren.

Dus een firewall rule op WAN inkomend, protocol any, destination "WAN address" en dan op "block".
Dit werkt op 1 of andere manier niet.
Als ik onder Destination "WAN address" vervang door "Any" werkt het wel.

Waarom werkt "WAN address" hier niet?

Voor de firewall rules moet je even om NAT heen kijken.
WAN address is in dit geval je firewall zelf. Any is vanzelfsprekend alles.

Ben vanavond en aankomend weekend bezig met dit systeem. Onbekend merk, wel een redelijke behuizing.

Ik zag een tijd terug tijdens de Choice days op Ali een 8GB DDR5 module van puskill. Voor mij een onbekend merk. Maar waarom ook niet? Voor 15 euro leuk om te proberen. Die ingebouwd en tot nu toe geen errors. Memtest is nu bij Pass 3.

Temperatuur ligt rond de 63C tijdens de memtest. De behuizing zal ook rond de 50/60 graden zijn tijdens zo’n test. Vrij warm dus. Ik gebruik dan altijd een USB koeler. Bij normaal gebruik is het niet nodig schat ik zo in.

Daarnaast een P3 nvme van 25 euro met 500GB.

Het systeem komt dan uit op 169 euro inclusief BTW. Adapter die erbij zit voelt goedkoop aan en is Delta namaak denk ik.

De bios is ontzettend uitgebreid. Ben benieuwd of dit positief of juist negatief is. De aankoop was een gokje. De behuizing is wel erg mooi. Mooier dan op foto’s.

ThinkPad schreef op vrijdag 1 maart 2024 @ 08:49:
Wat de cheapass adapter van jouw model betreft: wat is de inputrange wat hij accepteert qua voltage?
Mijn Nexcom machientje heeft een vrij brede inputrange, ik gebruik een oude Lenovo 20V adapter om hem te voeden.

Ff op je werk/kringloop een laptopadapter scoren?

Best kans dat hij met een goede adapter ook nog weer iets zuiniger wordt, ik zag daarin nog wel 2-3W verschil.

Ik heb een paar Leicke adapters liggen. Zal dit weekend eens kijken hoe efficiënt het kan.

Proxmox - Idle - Powertop:
Ik kom uit op schommelingen tussen 7.9W tot 8.9W met de Leicke adapter.
Temperatuur rond de 30 a 32 graden.


De BIOS zelf is in orde. Instellingen nagelopen en wat dingen uitgeschakeld (SATA / Mini PCI etc.)
Verder staat alles default en turbo enabled.

NVMe snelheid valt wat tegen. Read / write ligt tussen de 850 en 890MB/s. Is uiteraard wel ruim voldoende voor een N100 PC'tje. PCIe 3.0 X1 voor zover ik kan zien.

Het is een leuk systeem. Maar ik adviseer toch om voor de 'duurdere' variant te gaan van Topton. Het blauwe systeem past precies tussen de 'goedkope' en 'goede' behuizing in.

Iemand die mij kan helpen? ik draai Opnsense.
Dhcp range van 192.168.1.10 tot 192.168.1.254
Ik heb een paar managede switches handmatig op de switch zelf een IP gegeven onder de 10.
De rest, laptop, telefoons etc krijgt van de dhcp server een IP toegewezen.
Ik heb in Opnsense een heel lijstje aan apparaten een static mapping gegeven IN de dhcp range, dit in de veronderstelling dat opnsense zelf zo slim is adh van de mac adressen dat die betreffende adressen "gekoppeld" zitten. Maar als ik online dit opzoek, lees ik veel berichten dat die static mapping bedoeld is voor IP adressen buiten de dhcp range. Weet iemand 100% zeker hoe dit nu zit?

Dit is de mijn huidige mapping:

Dacuuu schreef op zondag 3 maart 2024 @ 18:03:
Iemand die mij kan helpen? ik draai Opnsense.
Dhcp range van 192.168.1.10 tot 192.168.1.254
Ik heb een paar managede switches handmatig op de switch zelf een IP gegeven onder de 10.
De rest, laptop, telefoons etc krijgt van de dhcp server een IP toegewezen.
Ik heb in Opnsense een heel lijstje aan apparaten een static mapping gegeven IN de dhcp range, dit in de veronderstelling dat opnsense zelf zo slim is adh van de mac adressen dat die betreffende adressen "gekoppeld" zitten. Maar als ik online dit opzoek, lees ik veel berichten dat die static mapping bedoeld is voor IP adressen buiten de dhcp range. Weet iemand 100% zeker hoe dit nu zit?

Dit is de mijn huidige mapping:
[Afbeelding]

In de documentatie van OPNsense staat er niets over, maar zowel OPNsense als PfSense gebruiken ISC DHCP, dus grote kans dat het gelijk is. Bij de buren staat er wel wat over in de documentatie.

https://docs.netgate.com/...cp/mappings-in-pools.html

Oftewel beter om het buiten de lease range te plaatsen.

mrdemc schreef op zondag 3 maart 2024 @ 18:09:
[...]


In de documentatie van OPNsense staat er niets over, maar zowel OPNsense als PfSense gebruiken ISC DHCP, dus grote kans dat het gelijk is. Bij de buren staat er wel wat over in de documentatie.

https://docs.netgate.com/...cp/mappings-in-pools.html

Oftewel beter om het buiten de lease range te plaatsen.

Jou link legt het duidelijk uit ja, thnx. Ja ik draai deze setup al een jaar. Tot ik afgelopen week een laptop aansloot met kabel, die kreeg het IP adres van een pc die in het gereserveerde lijstje staat. Die pc uit het lijstje stond op dat moment uit, en was al dagen niet aan geweest. Maar toch had ik met de laptop die dat ip adres kreeg veel problemen, toen ik de laptop handmatig een ip gaf waren alle problemen weg, toen ik daarna de fixed ip uit de lijst haalde bij opnense, en de laptop weer dhcp instelde waren de problemen ook over.

En toen begon ik te lezen hoe de static ip nou werkte bij opnsense, dat werkte anders als ik in mijn hoofd had.

OPNsense is aan het migrereren naar Kea DHCP.

ISC distributes TWO full-featured, open source, standards-based DHCP server distributions: Kea DHCP and ISC DHCP. Kea includes all the most-requested features, is far newer, and is designed for a more modern network environment. ISC announced the End of Life for the older ISC DHCP system in 2022.

Het gedrag lijkt daar beter te zijn.
https://kea.readthedocs.i...address-reservation-types
https://kea.readthedocs.i...tml#reservation4-conflict

This mechanism allows the server to fully recover from a case where reservations conflict with existing leases; however, this procedure takes roughly as long as the value set for renew-timer. The best way to avoid such a recovery is not to define new reservations that conflict with existing leases. Another recommendation is to use out-of-pool reservations; if the reserved address does not belong to a pool, there is no way that other clients can get it.

Maar geen idee of OPNsense dat ook zo implementeert in hun model.

[ Voor 3% gewijzigd door GoBieN-Be op 04-03-2024 13:13 ]

GoBieN-Be schreef op maandag 4 maart 2024 @ 13:13:
OPNsense is aan het migrereren naar Kea DHCP.

[...]

Het gedrag lijkt daar beter te zijn.
https://kea.readthedocs.i...address-reservation-types
https://kea.readthedocs.i...tml#reservation4-conflict

[...]

Maar geen idee of OPNsense dat ook zo implementeert in hun model.

Klopt, vanaf versie 24.1 (community editie, business editie is nog niet zo ver) heb je de keuze ook om gebruik te maken van Kea DHCP en handmatig over te schakelen. Zie ook https://docs.opnsense.org...p.html#context-and-future

mrdemc schreef op maandag 4 maart 2024 @ 13:43:
[...]


Klopt, vanaf versie 24.1 (community editie, business editie is nog niet zo ver) heb je de keuze ook om gebruik te maken van Kea DHCP en handmatig over te schakelen. Zie ook https://docs.opnsense.org...p.html#context-and-future

Nu zie ik het ja! Er komt een tijd dat iedereen over MOET. Ben benieuwd hoe dat verloopt.

GoBieN-Be schreef op maandag 4 maart 2024 @ 13:13:
OPNsense is aan het migrereren naar Kea DHCP.

[...]

Het gedrag lijkt daar beter te zijn.
https://kea.readthedocs.i...address-reservation-types
https://kea.readthedocs.i...tml#reservation4-conflict

[...]

Maar geen idee of OPNsense dat ook zo implementeert in hun model.

Als ik dit zo lees, zou het met KEA wel moeten lukken, ip adressen reserveren in de dhcp range.

[ Voor 38% gewijzigd door Dacuuu op 04-03-2024 15:46 ]

Ik ben aardig aan het inleren geslagen zodat ik IPv6 aan de praat krijg op m'n OPNsense firewall en dat is inmiddels gelukt. Ik snap nog niet alles, zeker niet in relatie tot de KPN implementatie en daarom even de status om te checken of ik dit stukje nu goed heb gedaan.
1. Ik heb DHCPv6 op de WAN interface geactiveerd met in de basic configuratie 'Request only an IPv6 prefix' en 'Use IPv4 connectivity' aangevinkt. 'Prefix delegation size' op 48. Ik krijg dan een WAN_DHCP6 gateway entry er bij met een fe80: adres.
2. Ik heb DCHPv6 op de LAN interface aangezet en krijg daar een 2a02: adres (van KPN??). ik heb even een slag geslagen naar de range (::baba - ::ffff). Hier snap ik nog niet helemaal van wat nu echt nodig is. Maar voor dit moment pakt ie het :-)
3. Router advertisement staat op 'managed' en 'Advertise Default Gateway' aangevinkt.

Nog even aan het zoeken geweest naar de juiste FW rules, maar na het aanpassen van de IPv4 'Lan net to all' naar IPv4+IPv6 en een verborgen setting onder Firewall>Settings>Advanced n.l. 'Allow IPv6', ging het IPv6 verkeer over het interne netwerk. Ook nog een DNS rule aangemaakt voor Ipv4+IPv6 en een serie IPv6 ICMP rules aangemaakt op de WAN interface (Direction: IN, is dat goed?).

Ben nu aan het kijken hoe ik zowel de DHCP range alsook vaste IP adressen kan instellen. Vandaar ook de keuze voor DHCPv6 en niet voor SLAAC op de LAN zijde.
Ik las iets over dat je in je IPv6 adressen ook je huidige IPv4 adres ter herkenning kunt laten terugkomen. Dus .127 naar ::127. Dit stukje moet ik nog even verder uitzoeken, want dat lampje gaat nog niet branden.

Er zijn overigens weinig goeie voorbeelden te vinden, dus je moet echt leren hoe IPv6 in elkaar zit. Gaat nog wel wat tijd overheen voordat ik het onder de knie heb, maar dat geeft niet. Heb geen haast, zolang het IPv4 netwerk nog goed blijft werken :-).

[ Voor 10% gewijzigd door Villager op 04-03-2024 19:20 ]

@Villager Leuk detail is dat niet alle clients met DHCPv6 overweg kunnen. Android is daar een van de bekendste van... SLAAC werkt overigens prima mits je wat zaken in de RA goed regelt. Ik heb IPv6 destijds via een Hurricane Electric (HE) tunnel gebruikt; toen het nog geen gemeengoed was bij providers. HE had destijds een (eenvoudig) certificeringstraject. Zo te zien hebben ze die nog.

---

@TumTum Zijn er, behalve de behuizing/koelribben, verder nog concrete verschillen tussen die Topton doosjes?

ijdod schreef op maandag 4 maart 2024 @ 21:26:
@Villager Leuk detail is dat niet alle clients met DHCPv6 overweg kunnen. Android is daar een van de bekendste van... SLAAC werkt overigens prima mits je wat zaken in de RA goed regelt. Ik heb IPv6 destijds via een Hurricane Electric (HE) tunnel gebruikt; toen het nog geen gemeengoed was bij providers. HE had destijds een (eenvoudig) certificeringstraject. Zo te zien hebben ze die nog.

---

@TumTum Zijn er, behalve de behuizing/koelribben, verder nog concrete verschillen tussen die Topton doosjes?

Nee, het is een Topton moederbord. Indeling is iets anders in vergelijking met #3. De beste optie is #1 ivm lanes voor nvme. Die is wat luxer.

@TumTum Merci. Dat was me niet opgevallen (ook omdat mijn usecase een enkele NVME zou zijn).

GoBieN-Be schreef op maandag 4 maart 2024 @ 13:13:
OPNsense is aan het migrereren naar Kea DHCP.

pfSense is ook aan het migreren naar Kea:

Kea DHCP Server has been added as an opt-in feature preview for IPv4 and IPv6 DHCP service. Kea will eventually replace the ISC DHCPD daemon which is EOL.

Nadeel is dat het nog niet feature complete is (en dat zeggen ze zelf ook maar moest ik op de harde manier achter komen). Ik was overgeschakeld naar Kea maar toen werkte mijn lokale DNS niet meer. pfSense heeft een feature om de hostname die pfSense via DHCP registreert te resolven. Maar dat is nog niet beschikbaar met Kea.

tMb schreef op dinsdag 5 maart 2024 @ 09:08:
[...]


pfSense is ook aan het migreren naar Kea:

[...]


Nadeel is dat het nog niet feature complete is (en dat zeggen ze zelf ook maar moest ik op de harde manier achter komen). Ik was overgeschakeld naar Kea maar toen werkte mijn lokale DNS niet meer. pfSense heeft een feature om de hostname die pfSense via DHCP registreert te resolven. Maar dat is nog niet beschikbaar met Kea.

Kwestie van handmatig opvoeren in DNS, maar wel irritant inderdaad.

In m'n eerdere post schreef ik: "Ik krijg dan een WAN_DHCP6 gateway entry er bij met een fe80: adres".
Ik las ergens op Tweakers "Een fe80-iets adres is niet publiek routeerbaar is daar heb je buiten je netwerk niks aan. Beetje vergelijkbaar met de 192.168.x-adressen"
vraag 1: Waarom heeft de WAN_DHCP6 dan nu een niet routerbaar fe80: adres gekregen?

Ik schreef ook: "Ik heb DCHPv6 op de LAN interface aangezet en krijg daar een 2a02: adres (van KPN??)."
Vraag 2: Waar komt dat adres 2a02: vandaan". Ik heb het zelf nergens ingesteld.

Ik keek vanmorgen naar het IPv6 adres van een Android box en daar zag ik een adres wat begon met fdbc:.
Vraag 3: waar komt dat adres dan weer vandaan?
Ik merk op die box ook meer vertraging dan voorheen, dus mogelijk heeft dat hier mee te maken.

Kortom, nog veel zaken die ik niet snap en hoop dat iemand me even weer een stapje verder kan helpen :-)

Villager schreef op dinsdag 5 maart 2024 @ 17:26:
In m'n eerdere post schreef ik: "Ik krijg dan een WAN_DHCP6 gateway entry er bij met een fe80: adres".
Ik las ergens op Tweakers "Een fe80-iets adres is niet publiek routeerbaar is daar heb je buiten je netwerk niks aan. Beetje vergelijkbaar met de 192.168.x-adressen"
vraag 1: Waarom heeft de WAN_DHCP6 dan nu een niet routerbaar fe80: adres gekregen?

Omdat dat standaard is. Elk apparaat genereert een link local address. Zo kunnen apparaten lokaal altijd babbelen. Ook als er geen prefixes gecommuniceerd zijn etc. Mogelijk dat iets als Matter, dat ook IPv6 gebruikt, ook alleen deze link local adressen gebruikt. Hoeft an zich ook niet heel bijzonder te zijn. Een router / gateway kan bv zijn link local address gebruiken als "via" adres. En dat werkt dan gewoon altijd. Normaliter met bv IPv4 + DHCP wordt de gateway dan gecommuniceerd als bv 192.168.1.1, bij IPv6 zal dit het link local address zijn.
Overigens schreef je meen ik ook dat je IPv6 op de WAN uit had gezet? Dat wil je waarschijnlijk aan zetten. Anders kan de router zelf niet via IPv6 met internet communiceren (als in: internetverkeer dat de router zelf genereert, bv updates downloaden).

Ik schreef ook: "Ik heb DCHPv6 op de LAN interface aangezet en krijg daar een 2a02: adres (van KPN??)."
Vraag 2: Waar komt dat adres 2a02: vandaan". Ik heb het zelf nergens ingesteld.

DHCPv6 PD. De router stuurt een DHCPv6 broadcast bericht naar buiten op de WAN poort en de ISP communiceert een prefix terug. Waarschijnlijk heb je op de LAN interface ook een prefix ID opgegeven. Die prefix (door ISP aangeleverd) gecombineerd met het zelf opgegeven prefix ID vormt vervolgens de prefix die uitgestuurd wordt op de (LAN) interface waarbij middels SLAAC automatisch een uniek IPv6 adres gegenereerd wordt binnen de prefix.

Ik keek vanmorgen naar het IPv6 adres van een Android box en daar zag ik een adres wat begon met fdbc:.
Vraag 3: waar komt dat adres dan weer vandaan?
Ik merk op die box ook meer vertraging dan voorheen, dus mogelijk heeft dat hier mee te maken.

fdbc:: valt sowieso binnen de ULA (Unique Local Address) range, zijnde fc00::/7. ULAs zijn daarbij de echte IPv6 variant van de private ranges van IPv4 (192.168.0.0/16 etc). Waarom de Android box die gebruikt durf ik echter niet te zeggen. Normaal heb je wel een apparaat nodig dat ook zo'n prefix adverteert (middels een Router Advertisement / RA). Zou me overigens ook niks verbazen als (juist dit) uit Matter komt en je de Android Box als Matter hub geconfigureerd hebt of een andere Matter hub hebt.

Kortom, nog veel zaken die ik niet snap en hoop dat iemand me even weer een stapje verder kan helpen :-)

Meer info, en waar je mogelijk beter geholpen kunt worden, vindt je hier: Het grote IPv6 topic

RobertMe schreef op dinsdag 5 maart 2024 @ 18:09:
[...]

Omdat dat standaard is. Elk apparaat genereert een link local address. Zo kunnen apparaten lokaal altijd babbelen. Ook als er geen prefixes gecommuniceerd zijn etc. Mogelijk dat iets als Matter, dat ook IPv6 gebruikt, ook alleen deze link local adressen gebruikt. Hoeft an zich ook niet heel bijzonder te zijn. Een router / gateway kan bv zijn link local address gebruiken als "via" adres. En dat werkt dan gewoon altijd. Normaliter met bv IPv4 + DHCP wordt de gateway dan gecommuniceerd als bv 192.168.1.1, bij IPv6 zal dit het link local address zijn.
Overigens schreef je meen ik ook dat je IPv6 op de WAN uit had gezet? Dat wil je waarschijnlijk aan zetten. Anders kan de router zelf niet via IPv6 met internet communiceren (als in: internetverkeer dat de router zelf genereert, bv updates downloaden).


[...]

DHCPv6 PD. De router stuurt een DHCPv6 broadcast bericht naar buiten op de WAN poort en de ISP communiceert een prefix terug. Waarschijnlijk heb je op de LAN interface ook een prefix ID opgegeven. Die prefix (door ISP aangeleverd) gecombineerd met het zelf opgegeven prefix ID vormt vervolgens de prefix die uitgestuurd wordt op de (LAN) interface waarbij middels SLAAC automatisch een uniek IPv6 adres gegenereerd wordt binnen de prefix.


[...]

fdbc:: valt sowieso binnen de ULA (Unique Local Address) range, zijnde fc00::/7. ULAs zijn daarbij de echte IPv6 variant van de private ranges van IPv4 (192.168.0.0/16 etc). Waarom de Android box die gebruikt durf ik echter niet te zeggen. Normaal heb je wel een apparaat nodig dat ook zo'n prefix adverteert (middels een Router Advertisement / RA). Zou me overigens ook niks verbazen als (juist dit) uit Matter komt en je de Android Box als Matter hub geconfigureerd hebt of een andere Matter hub hebt.


[...]

Meer info, en waar je mogelijk beter geholpen kunt worden, vindt je hier: Het grote IPv6 topic

Thanks mate! Goeie uitleg.
Het grote IPv6 topic. Ja daar was ik al aan begonnen. Ben nog wel even zoet met de 504 pagina's door te lezen. :-)

Villager schreef op dinsdag 5 maart 2024 @ 18:20:
Het grote IPv6 topic.
Ja daar was ik al aan begonnen.

Ben nog wel even zoet met de 504 pagina's door te lezen. :-)

Zou ik niet doen, want een hoop is puur geklets en totaal niet relevant voor de "Core IPv6 Kennis" zeg maar

Wat je beter kan doen is de Search gebruiken bovenaan dat topic i.c.m. de Wikipedia IPv6 pagina's en dan kom je er wel uit denk ik

Ampcom / Horaco hebben nu ook goedkopere 9 Poort switches. De firmware is vrijwel identiek aan de firmware van zijn kleinere broertje: TumTum in "Zelfbouw project: Firewall / Router / AP"
Prijs was tijdens de choice days 65 euro. Dus 15 euro extra t.o.v. de 4 Ethernet + 2 SFP Switch. Je kunt ze nu vinden tussen de 72 en 80 euro. Volledig web managed.





Ik ben nog druk aan het testen geweest met de kleinere Horaco switch en ik adviseer om de adapter te vervangen als je met SFPs gaat werken. De adapter kan aardig warm worden en er zijn meldingen van andere gebruikers over dit probleem. De meegeleverde adapter is 12V en 1A. Ik heb gekozen voor de Leicke 12V 1.5A (Amazon link). Input is identiek aan de 1A uitvoering (0.5A). Deze kan ook gebruik worden voor de 9-poorts switch. Die heeft ook een 12V 1A adapter.

Verder schijnt er ook een vrij nieuwe fabrikant te zijn met een vergelijkbare managed 9 poort switch met goede firmware support en iets betere componenten. Die heb ik ook aangevraagd om te testen. Dan kan ik een leuke vergelijking maken. Adapter van dat apparaat is 12V 2A. Ik kom daar binnenkort op terug.

TumTum schreef op zaterdag 9 maart 2024 @ 15:06:
Ampcom / Horaco hebben nu ook goedkopere 9 Poort switches. De firmware is vrijwel identiek aan de firmware van zijn kleinere broertje: TumTum in "Zelfbouw project: Firewall / Router / AP"
Prijs was tijdens de choice days 65 euro. Dus 15 euro extra t.o.v. de 4 Ethernet + 2 SFP Switch. Je kunt ze nu vinden tussen de 72 en 80 euro. Volledig web managed.

[Afbeelding]

[Afbeelding]

Ik ben nog druk aan het testen geweest met de kleinere Horaco switch en ik adviseer om de adapter te vervangen als je met SFPs gaat werken. De adapter kan aardig warm worden en er zijn meldingen van andere gebruikers over dit probleem. De meegeleverde adapter is 12V en 1A. Ik heb gekozen voor de Leicke 12V 1.5A (Amazon link). Input is identiek aan de 1A uitvoering (0.5A). Deze kan ook gebruik worden voor de 9-poorts switch. Die heeft ook een 12V 1A adapter.

Verder schijnt er ook een vrij nieuwe fabrikant te zijn met een vergelijkbare managed 9 poort switch met goede firmware support en iets betere componenten. Die heb ik ook aangevraagd om te testen. Dan kan ik een leuke vergelijking maken. Adapter van dat apparaat is 12V 2A. Ik kom daar binnenkort op terug.

Wat is het verbruik hiervan? Behalve uiteraard "minder dan 12W"

RobertMe schreef op zaterdag 9 maart 2024 @ 15:11:
[...]

Wat is het verbruik hiervan? Behalve uiteraard "minder dan 12W"

Vergelijkbaar met de andere Horaco. Voeding en hardware is ook zo goed als identiek. Dus tussen de 1 a 2W zonder connected devices en daarna komt er een paar watt bovenop per poort die je gebruikt. Super efficient.

@thof Welke hardware revisie heb jij staan als je de admin page opent? Volgens mij heb jij vrijwel dezelfde.

[ Voor 12% gewijzigd door TumTum op 09-03-2024 15:19 ]

TumTum schreef op zaterdag 9 maart 2024 @ 15:17:
[...]


Vergelijkbaar met de andere Horaco. Voeding en hardware is ook zo goed als identiek. Dus tussen de 1 a 2W zonder connected devices en daarna komt er een paar watt bovenop per poort die je gebruikt. Super efficient.

En dat ook nog eens voor die prijs. Bij Ubiquiti, waar ik nu switches & APs van heb, mag je €450+ aftikken voor 8x 2,5Gbit/s en 2x SFP+. Zit er bij hen wel PoE op, maar dat kost natuurlijk geen €400 .
En mijn oude USW 16-150W trekt ~20W met een stuk of 6 gepatchte poorten waarvan 1 PoE levert aan een UAP AC Lite en 1 gebruikte SFP poort. En die doet dan uiteraard niet eens 2,5Gbit/s.

En nu zal Ubiquiti uiteraard nog wat voordelen hebben buiten PoE, zoals support, centraal beheer, uitgebreidere (managed) features (802.1x om poort te configureren op basis van aangesloten apparaat / autorisatie is iets dat ik nu gebruik en mogelijk ontbreekt op zo'n goedkope Chinese. Naast dat de goedkoopste van Ubiquiti een Enterprise model is met L3 switching (/routing) mogelijkheden). Maar dan nog is het een extreem verschil.

RobertMe schreef op zaterdag 9 maart 2024 @ 15:25:
[...]

En dat ook nog eens voor die prijs. Bij Ubiquiti, waar ik nu switches & APs van heb, mag je €450+ aftikken voor 8x 2,5Gbit/s en 2x SFP+. Zit er bij hen wel PoE op, maar dat kost natuurlijk geen €400 .
En mijn oude USW 16-150W trekt ~20W met een stuk of 6 gepatchte poorten waarvan 1 PoE levert aan een UAP AC Lite en 1 gebruikte SFP poort. En die doet dan uiteraard niet eens 2,5Gbit/s.

En nu zal Ubiquiti uiteraard nog wat voordelen hebben buiten PoE, zoals support, centraal beheer, uitgebreidere (managed) features (802.1x om poort te configureren op basis van aangesloten apparaat / autorisatie is iets dat ik nu gebruik en mogelijk ontbreekt op zo'n goedkope Chinese. Naast dat de goedkoopste van Ubiquiti een Enterprise model is met L3 switching (/routing) mogelijkheden). Maar dan nog is het een extreem verschil.

Dat klopt. Je ziet ook een enorme toename in China. Dit geeft wel een boost aan de ontwikkeling en prijzen. Er is geen goedkoper of vergelijkbaar alternatief in NL en/of op Tweakers. Ik heb destijds 1 QNAP en 1 Zyxel 2.5G Switch gekocht. De Zyxel zit nog in de doos. Allebei de switches verbruiken meer energie, zijn unmanaged en nieuw tussen de 80 en 100 euro.

RobertMe schreef op zaterdag 9 maart 2024 @ 15:25:
En dat ook nog eens voor die prijs.

Bij Ubiquiti, waar ik nu switches & APs van heb, mag je €450+ aftikken voor 8x 2,5Gbit/s en 2x SFP+.
Zit er bij hen wel PoE op, maar dat kost natuurlijk geen €400 .
En mijn oude USW 16-150W trekt ~20W met een stuk of 6 gepatchte poorten waarvan 1 PoE levert aan een UAP AC Lite en 1 gebruikte SFP poort. En die doet dan uiteraard niet eens 2,5Gbit/s.

Ubiquiti UniFi is dan ook zwaar overpriced en voor een eerlijke vergelijking kan je beter met MikroTik of Netgear of zelfs sommige HP modellen vergelijken IMHO

En nu zal Ubiquiti uiteraard nog wat voordelen hebben buiten PoE, zoals support, centraal beheer, uitgebreidere (managed) features (802.1x om poort te configureren op basis van aangesloten apparaat / autorisatie is iets dat ik nu gebruik en mogelijk ontbreekt op zo'n goedkope Chinese.

Centraal alles beheren klinkt leuk, totdat je opeens wel heel vaak via SSH aan het inloggen bent om allerlei meuk in te stellen die wel in het OS van de apparatuur aanwezig is maar niet via die stomme UniFi Controller webGUI in te stellen is !!

Naast dat de goedkoopste van Ubiquiti een Enterprise model is met L3 switching (/routing) mogelijkheden). Maar dan nog is het een extreem verschil.

Op het moment dat er hier dingen beginnen te overlijden komt er dan ook gewoon een produkt van een concurrent, want ik ben wel een beetje klaar met die puinhoop van ze

nero355 schreef op zaterdag 9 maart 2024 @ 15:35:
[...]

Ubiquiti UniFi is dan ook zwaar overpriced en voor een eerlijke vergelijking kan je beter met MikroTik of Netgear of zelfs sommige HP modellen vergelijken IMHO

Mwa, toen ik in 2017 kocht vond ik dat nog wel meevallen. Tuurlijk was het duur ten opzichte van consumenten spul. Maar je kocht dan wel wat enterprisy like. Nu betaal je voor grotere switches met 2,5Gbit/s (+ SFP+) ineens tegen de €1000, ja daag.

[...]

Centraal alles beheren klinkt leuk, totdat je opeens wel heel vaak via SSH aan het inloggen bent om allerlei meuk in te stellen die wel in het OS van de apparatuur aanwezig is maar niet via die stomme UniFi Controller webGUI in te stellen is !!

En welke aanpassingen doe jij dan op APs of switches die niet in de WebUI zitten? Ik log zeeer zelden via SSH in op deze apparaten. Laatste keer is denk ik geweest toen ik op een poort 802.1X heb ingeschakeld en je via SSH meer (debug) info kunt zien v.w.b. het Radius verhaal.
En de Ubiquiti routers ben ikzelf niet verder dan een USG gekomen die vorig jaar na 6 jaar dienst vervangen is door zelfbouw. En daar kon je ook al niet echt via SSH zaken. Uiteraard wel uiteindelijk via de config.gateway.json, maar die moest dan via de controller.
En de ER4 bij familie doet het prima. Geen centraal beheer, en in de webinterface de mogelijkheid om de volledige config tree aan te passen . Maar eigenlijk SSH ik daar eerder naar. Maar die zit ook niet in UISP of zo.

TumTum schreef op zaterdag 9 maart 2024 @ 15:06:
Ampcom / Horaco hebben nu ook goedkopere 9 Poort switches. De firmware is vrijwel identiek aan de firmware van zijn kleinere broertje: TumTum in "Zelfbouw project: Firewall / Router / AP"
Prijs was tijdens de choice days 65 euro. Dus 15 euro extra t.o.v. de 4 Ethernet + 2 SFP Switch. Je kunt ze nu vinden tussen de 72 en 80 euro. Volledig web managed.

[Afbeelding]

[Afbeelding]

Ik ben nog druk aan het testen geweest met de kleinere Horaco switch en ik adviseer om de adapter te vervangen als je met SFPs gaat werken. De adapter kan aardig warm worden en er zijn meldingen van andere gebruikers over dit probleem. De meegeleverde adapter is 12V en 1A. Ik heb gekozen voor de Leicke 12V 1.5A (Amazon link). Input is identiek aan de 1A uitvoering (0.5A). Deze kan ook gebruik worden voor de 9-poorts switch. Die heeft ook een 12V 1A adapter.

Verder schijnt er ook een vrij nieuwe fabrikant te zijn met een vergelijkbare managed 9 poort switch met goede firmware support en iets betere componenten. Die heb ik ook aangevraagd om te testen. Dan kan ik een leuke vergelijking maken. Adapter van dat apparaat is 12V 2A. Ik kom daar binnenkort op terug.

Hier heb ik er op 1 februari dus 2 van gekocht. Op 9 februari door de douane gegaan en daarna zijn ze verdwenen. Ze zaten in één pakket. Inmiddels een dispuut lopen, maar moet helaas nog 55 dagen wachten totat de kopersbescherming afloopt. Moet het dus nog ff uitzitten.

Villager schreef op zaterdag 9 maart 2024 @ 15:49:
[...]


Hier heb ik er op 1 februari dus 2 van gekocht. Op 9 februari door de douane gegaan en daarna zijn ze verdwenen. Ze zaten in één pakket. Inmiddels een dispuut lopen, maar moet helaas nog 55 dagen wachten totat de kopersbescherming afloopt. Moet het dus nog ff uitzitten.

Kan nog komen. Kan soms 2 maanden duren. Deze was binnen 5 dagen binnen via Choice. Maar ik heb ook meegemaakt dat het fout ging en heel lang duurde.

TumTum schreef op zaterdag 9 maart 2024 @ 16:07:
[...]


Kan nog komen. Kan soms 2 maanden duren. Deze was binnen 5 dagen binnen via Choice. Maar ik heb ook meegemaakt dat het fout ging en heel lang duurde.

Zou wel fijn zijn. Vraag me wel af waar ze dan zouden kunnen liggen en waarom ze daar dan liggen. Bij de douane zijn ze weg en bij PostNL nog niet aangekomen

Villager schreef op zaterdag 9 maart 2024 @ 16:10:
[...]


Zou wel fijn zijn. Vraag me wel af waar ze dan zouden kunnen liggen en waarom ze daar dan liggen. Bij de douane zijn ze weg en bij PostNL nog niet aangekomen

Het is wel AliExpress. Soms laten ze zelf pakketjes heel lang liggen in hun "overslag". Ik heb ook al eens meegemaakt dat er een paar weken zit tussen "douane" en "bij PostNL".

Anderzijds heb ik ook al eens iets voor €10,xx besteld wat met ik meen 5 dagen levering kwam, en dat was ook zo snel. En kwam ook daadwerkelijk uit China. Het kan dus snel gaan, maar het zal standaard heel lang duren als er niks bij vermeld wordt over snelle levering.

RobertMe schreef op zaterdag 9 maart 2024 @ 15:44:
En welke aanpassingen doe jij dan op APs of switches die niet in de WebUI zitten?

DNAT/SNAT is een bekende natuurlijk!

Maar ook bepaalde logging en dergelijke...
Echt totaal niet handig gewoon!

En de Ubiquiti routers ben ikzelf niet verder dan een USG gekomen die vorig jaar na 6 jaar dienst vervangen is door zelfbouw. En daar kon je ook al niet echt via SSH zaken. Uiteraard wel uiteindelijk via de config.gateway.json, maar die moest dan via de controller.

Dat is ook zo'n gezeik : Alles qua aanpassingen gaat maar in één richting!

En de ER4 bij familie doet het prima. Geen centraal beheer, en in de webinterface de mogelijkheid om de volledige config tree aan te passen . Maar eigenlijk SSH ik daar eerder naar. Maar die zit ook niet in UISP of zo.

Edge-"Zijn we nou wel of niet EOL ?!"-Routers


/RANT

Nu weer zoiets vaags met OPNsense (of nouja Unbound eigenlijk).

Een ping binnenshuis naar router.home.arpa (wat de FQDN is van mijn OPNsense) router geeft als reply mijn WAN-ip (ping op WAN heb ik overigens aan staan). Een nslookup gedaan op router.home.arpa en dan zie ik de IP-adressen van álle interfaces die ik in OPNsense heb.

Zien jullie ook de IP-adressen van meerdere interfaces als je een nslookup doet op de FQDN van je OPNsense bak? Blijkt een Unbound dingetje te zijn...

Als ik het aan wil passen dan moet ik Unbound instellen dat hij alleen op de LAN-interface luistert en dan bij andere VLAN's het LAN-ip als DNS moeten opgeven? Hij staat nu op 'listen all interfaces (recommended)'.

Edit: Een betere oplossing gevonden: Het vinkje "Do not register system A/AAAA records" aanzetten bij Services: Unbound DNS: General
en dan zelf een A-record aanmaken met het IP waar ik hem naar wil laten resolven (IP van LAN interface in mijn geval) onder Services: Unbound DNS: Overrides. Dat werkt (voor mijn denkwijze iig.) veel logischer.

[ Voor 42% gewijzigd door ThinkPad op 13-03-2024 23:07 ]

Beste allen

Onlangs een HUNSN firewall gekocht, een N100 modelletje. Doel: Proxmox met OPNsense, unifi, pihole en HomeAssistant. Met name de laatste lekker snel laten lopen, ik merk toch veel vertraging op (bewegings)triggers. Met het huidige systeem ben ik al boven tegen de tijd dat de lichten aanspringen.

Maar het ding wordt wel erg warm. Vandaag maakte ik een shutdown mee (ik zat wat te kijken naar logs, maar kan daar geen wijs uit worden). Omdat hij bijna niet aan te raken is vermoed ik dat koeling goed kan werken.
Ik denk dat een externe ventilator het handigst is, gezien het geringe formaat. Ik heb lopen zoeken naar externe ventilatoren om te plaatsen bovenop een NUC, maar tot dusverre niet veel succes. Wie van jullie heeft hier ervaring mee / tips? De maat van schroef tot schroef (er zijn 4 boutjes op de NUC om iets op te plaatsen, zal wel VESA zijn) is 7 cm. Het lijkt me ideaal om hier een fan op te zetten?

oltk schreef op vrijdag 15 maart 2024 @ 16:48:
Beste allen

Onlangs een HUNSN firewall gekocht, een N100 modelletje. Doel: Proxmox met OPNsense, unifi, pihole en HomeAssistant. Met name de laatste lekker snel laten lopen, ik merk toch veel vertraging op (bewegings)triggers. Met het huidige systeem ben ik al boven tegen de tijd dat de lichten aanspringen.

Maar het ding wordt wel erg warm. Vandaag maakte ik een shutdown mee (ik zat wat te kijken naar logs, maar kan daar geen wijs uit worden). Omdat hij bijna niet aan te raken is vermoed ik dat koeling goed kan werken.
Ik denk dat een externe ventilator het handigst is, gezien het geringe formaat. Ik heb lopen zoeken naar externe ventilatoren om te plaatsen bovenop een NUC, maar tot dusverre niet veel succes. Wie van jullie heeft hier ervaring mee / tips? De maat van schroef tot schroef (er zijn 4 boutjes op de NUC om iets op te plaatsen, zal wel VESA zijn) is 7 cm. Het lijkt me ideaal om hier een fan op te zetten?

Is die fysiek warm of geven de sensoren aan dat die warm is? Het is een passief gekoeld systeem dus de behuizing "moet" (hand)warm zijn. Als de behuizing niet warm is maar de sensoren wel een hoge temperatuur aangeven controleer dan ook of het systeem goed in elkaar zit. Ervaringen van dit soort systemen waarbij de koeling niet in orde is zijn er voldoende. Dus geen / veel te weinig koelpasta bv. Dan heb je gewoon lucht tussen de CPU en het koelblok (/is de behuizing). En lucht geleid warmte nogal slecht .

RobertMe schreef op vrijdag 15 maart 2024 @ 16:57:
[...]

Is die fysiek warm of geven de sensoren aan dat die warm is? Het is een passief gekoeld systeem dus de behuizing "moet" (hand)warm zijn. Als de behuizing niet warm is maar de sensoren wel een hoge temperatuur aangeven controleer dan ook of het systeem goed in elkaar zit. Ervaringen van dit soort systemen waarbij de koeling niet in orde is zijn er voldoende. Dus geen / veel te weinig koelpasta bv. Dan heb je gewoon lucht tussen de CPU en het koelblok (/is de behuizing). En lucht geleid warmte nogal slecht .

Ik kan niet controleren of er voldoende koelpasta tussen zit. Maar het apparaat is dus niet goed aan te raken -zo warm. Er zit een 32GB vengeance geheugenkaart in die wellicht ook wat te optimistisch was

edit. Klein sensorprogrammaatje geinstalleerd (xsensor) en die zegt:
nvme-pci-0100
Adapter: PCI adapter
Composite: +82.8°C (low = -273.1°C, high = +84.8°C) (crit = +84.8°C)

[ Voor 9% gewijzigd door oltk op 15-03-2024 17:08 ]

oltk schreef op vrijdag 15 maart 2024 @ 17:03:
edit. Klein sensorprogrammaatje geinstalleerd (xsensor) en die zegt:
nvme-pci-0100
Adapter: PCI adapter
Composite: +82.8°C (low = -273.1°C, high = +84.8°C) (crit = +84.8°C)

Dat is alles? Want dit is alleen voor de NVME SSD. En ja, die is extreem warm (bijna het dubbele van wat ik zelf zie in mijn twee N5105 mini PCs).
Als dit alles is (je geen CPU temperatuur etc ziet) is het echter de vraag of de NVME drive het probleem is, of iets anders het probleem is en zo warm, en daardoor de NVME drive ook warm wordt / zijn warmte niet kwijt kan.

Heb je ook al eens naar het CPU verbruik gekeken, met top of htop (htop moet je waarschijnlijk installeren, top zit denk ik in standaard proxmox installatie).

Edit:
Je geeft aan dat het doel is Proxmox met .... Maar staat dat er nu ook op? Of iets anders?

Edit2:
xsensors is zoals ik al dacht een "X11 wrapper om lm_sensors". Oftewel een grafische tool oftewel geen Proxmox installatie of een VM met iets van UI in Proxmox. Dat tweede kan sowieso niet betrouwbaar zijn lijkt me.

[ Voor 15% gewijzigd door RobertMe op 15-03-2024 17:21 ]

RobertMe schreef op vrijdag 15 maart 2024 @ 17:18:
[...]

Dat is alles? Want dit is alleen voor de NVME SSD. En ja, die is extreem warm (bijna het dubbele van wat ik zelf zie in mijn twee N5105 mini PCs).
Als dit alles is (je geen CPU temperatuur etc ziet) is het echter de vraag of de NVME drive het probleem is, of iets anders het probleem is en zo warm, en daardoor de NVME drive ook warm wordt / zijn warmte niet kwijt kan.

Heb je ook al eens naar het CPU verbruik gekeken, met top of htop (htop moet je waarschijnlijk installeren, top zit denk ik in standaard proxmox installatie).

Edit:
Je geeft aan dat het doel is Proxmox met .... Maar staat dat er nu ook op? Of iets anders?

Edit2:
xsensors is zoals ik al dacht een "X11 wrapper om lm_sensors". Oftewel een grafische tool oftewel geen Proxmox installatie of een VM met iets van UI in Proxmox. Dat tweede kan sowieso niet betrouwbaar zijn lijkt me.

ahh..

ik heb meer:
Adapter: ISA adapter
Package id 0: +61.0°C (high = +105.0°C, crit = +105.0°C)
Core 4: +60.0°C (high = +105.0°C, crit = +105.0°C)
Core 5: +60.0°C (high = +105.0°C, crit = +105.0°C)
Core 6: +60.0°C (high = +105.0°C, crit = +105.0°C)
Core 7: +60.0°C (high = +105.0°C, crit = +105.0°C)

acpitz-acpi-0
Adapter: ACPI interface
temp1: +27.8°C (crit = +110.0°C)

nvme-pci-0100
Adapter: PCI adapter
Composite: +74.8°C (low = -273.1°C, high = +84.8°C)
(crit = +84.8°C)
Sensor 1: +74.8°C (low = -273.1°C, high = +65261.8°C)
Sensor 2: +86.8°C (low = -273.1°C, high = +65261.8°C)

stormfly schreef op vrijdag 15 maart 2024 @ 17:26:
[...]


Als hij te heet is om aan te raken dan is de warmte afvoer van je CPU naar de behuizing zeer waarschijnlijk goed. De vraag is dan wel; wat vreet zoveel CPU dat hij zo heet wordt, ik haal dat alleen als ik hem stress test met specifieke tooltjes? HUNSN stuurt vaak een bodem ventilator mee, heb je die erbij gevraagd/gekregen?


Er zijn wat fans voorbij gekomen in dit topic met een USB 5V stekkertje, die zou ik er los op leggen

Ik heb jouw post gevonden. En ook andere USB gestekkerde ventilatoren. Even nu puzzelen hoe ik m ga neerzetten / hangen in de meterkast. Jouw oplossing is niet helemaal haalbaar bij mij
Overigens: ProXmoX zegt over de CPU belasting het volgende:

Out.of.Control schreef op maandag 26 februari 2024 @ 18:51:
@TumTum Ah, op die fiets. Ik heb deze besteld:
https://amzn.eu/d/0B2BcBh

En inmiddels binnen en geïnstalleerd. Draait als een zonnetje, haalt zo te zien met gemak 1 Gbps met PPPoE (met OpenBSD als OS). Nu maar eens kijken of hij ook stabiel draait, al heb ik op dit moment geen reden om daar aan te twijfelen.
CPU temperatuur ligt rond de 38 a 39 graden, dat lijkt me ook prima.

Na wat prutsen met kabels (want een pinout van de COM poort heb ik niet kunnen vinden) werkt de COM-poort ook prima als serial console. In het BIOS zie ik ook een optie om die om te leiden naar de COM-poort, maar dat heb ik nog niet geprobeerd. Valt me in ieder geval mee dat die erop zit.

En blijkbaar waren de 64 GB exemplaren op, want ik heb een exemplaar ontvangen met 128 GB opslag

oltk schreef op vrijdag 15 maart 2024 @ 17:34:
[...]


Ik heb jouw post gevonden. En ook andere USB gestekkerde ventilatoren. Even nu puzzelen hoe ik m ga neerzetten / hangen in de meterkast. Jouw oplossing is niet helemaal haalbaar bij mij
Overigens: ProXmoX zegt over de CPU belasting het volgende:

[Afbeelding]

Bestel anders bij HUNSN een fan. Kost een paar euro.

Zie ook:
TumTum in "Zelfbouw project: Firewall / Router / AP"

Is een fan niet symptoombestrijding? Als dit systeem idle een 60° CPU heeft (en de SSD nog warmer) en je de behuizing niet vast kunt pakken moet / "mag" dit toch niet verkocht worden als passief systeem? Dus of het design is gewoon ruk en het had geen passief systeem moeten zijn, of het is een maandagochtend productie. ("Hopelijk" dus het laatste).

Edit/aanvulling:
Of het systeem is slecht geplaatst. Als die in een (af)gesloten ruite staat zonder goede airflow kan dit natuurlijk ook. Maar als die bij wijze van op een bureau staat (of vrij in zeg een meterkast die zeg een grade of 20 is) mag dit toch niet.

[ Voor 27% gewijzigd door RobertMe op 15-03-2024 18:18 ]

RobertMe schreef op vrijdag 15 maart 2024 @ 18:15:
Is een fan niet symptoombestrijding? Als dit systeem idle een 60° CPU heeft (en de SSD nog warmer) en je de behuizing niet vast kunt pakken moet / "mag" dit toch niet verkocht worden als passief systeem? Dus of het design is gewoon ruk en het had geen passief systeem moeten zijn, of het is een maandagochtend productie. ("Hopelijk" dus het laatste).

Edit/aanvulling:
Of het systeem is slecht geplaatst. Als die in een (af)gesloten ruite staat zonder goede airflow kan dit natuurlijk ook. Maar als die bij wijze van op een bureau staat (of vrij in zeg een meterkast die zeg een grade of 20 is) mag dit toch niet.

Idle 60c is niet goed nee. Ik heb maximaal 46 graden met een ventilator. Dit systeem is vrij goed, maar wel compact en daarom is airflow wel handig. Ik heb nog geen problemen ervaren met de temps.

RobertMe schreef op vrijdag 15 maart 2024 @ 18:15:
Is een fan niet symptoombestrijding? Als dit systeem idle een 60° CPU heeft (en de SSD nog warmer) en je de behuizing niet vast kunt pakken moet / "mag" dit toch niet verkocht worden als passief systeem? Dus of het design is gewoon ruk en het had geen passief systeem moeten zijn, of het is een maandagochtend productie. ("Hopelijk" dus het laatste).

Het schrijven/lezen van de NvME zal ook bepalend zijn voor het moment waarop je de temperatuur meet.
Die SSD's zijn tegenwoordig vaak zo heet, dat zie ik bij mij ook en daar blaast een fan tegenaan. Ik denk dat dit vooral komt door de snelle chips die in gebruik zijn, in mijn geval een Samsung.

Het vergt nog wat meer onderzoek:
idle 60gr en een vrij koele behuizing -> vaak duidt dit op een slechte overgang van CPU naar metalen behuizing

running 60graden en een warme/hete behuizing -> dan lijkt de overgang tussen CPU en metalen behuizing in orde. Dat kan ontstaan door load vanuit de VM's.

Je zou dit eigenlijk echt idle willen testen in een open ruimte op tafel, geen VM's / Docker starten en dan eens meten.

Edit/aanvulling:
Of het systeem is slecht geplaatst. Als die in een (af)gesloten ruite staat zonder goede airflow kan dit natuurlijk ook. Maar als die bij wijze van op een bureau staat (of vrij in zeg een meterkast die zeg een grade of 20 is) mag dit toch niet.

Klopt tussen twee planken in de meterkast wordt het hier ook warm, vandaar de ventilatoren.

[ Voor 3% gewijzigd door stormfly op 15-03-2024 18:47 ]

oltk schreef op vrijdag 15 maart 2024 @ 21:45:
[...]

TumTum, heb je een linkje naar deze fan voor mij? Ik zoek me suf op de Hunsn site & googlen levert ook niets op

Je kunt ze een bericht sturen op basis van je bestelling met de klachten.

stormfly schreef op vrijdag 15 maart 2024 @ 18:38:
Het schrijven/lezen van de NvME zal ook bepalend zijn voor het moment waarop je de temperatuur meet.
Die SSD's zijn tegenwoordig vaak zo heet, dat zie ik bij mij ook en daar blaast een fan tegenaan. Ik denk dat dit vooral komt door de snelle chips die in gebruik zijn, in mijn geval een Samsung.

FYI : De NVMe SSD Controller die Samsung gebruikt op hun NVMe SSD modellen is een bekende heethoofd dus dat die vreselijk warm wordt is eigenlijk "normaal" te noemen

TumTum schreef op vrijdag 15 maart 2024 @ 18:21:
Idle 60c is niet goed nee. Ik heb maximaal 46 graden met een ventilator.

Ik heb nog geen problemen ervaren met de temps.

Dat is dan ook een Appels vs. Peren vergelijking en zou je eerder hiermee moeten vergelijken :

oltk schreef op vrijdag 15 maart 2024 @ 21:00:
Overigens heb ik nu een gewone usb fan (tafelmodel) omgekeerd richting firewall hangen, en de temperatuur is nu stabiel op circa 48 graden.

Wat dan weer redelijk hetzelfde te noemen is hoewel we beide fans niet volledig kennen qua afmetingen/toerental op het gemeten moment samen met allerlei andere variabelen, maar goed... het is iets !!

Dus: N100 verkopen met alleen passieve koeling is eigenlijk niet OK.

Als ik dit topic zou eens bekijk de laatste 6 maanden of zo dan lijkt dat inderdaad eigenlijk wel de conclusie te zijn!

@oltk heb je al eens een memtest gedaan? Misschien ook handig met een fan erop gericht.

TumTum schreef op zaterdag 16 maart 2024 @ 06:50:
@oltk heb je al eens een memtest gedaan? Misschien ook handig met een fan erop gericht.

Geen memtest. Ik zag wel heel veel memerrors in de logs van proxmox, maar dat was een minuut voordat de firewall uit ging vanwege > 85 graden.

Nu de hele nacht een ventilator erop en stabiel op 48 graden, aanraakbaar warm. De logs zijn heel normale eventlogs van de VM's (ik draai nu alleen Homeassistent. OPNsense vanwege de WAF nog even niet )

Inmiddels reactie van HUNSN dat ze mijn verzoek voor fan komende maandag behandelen. En dat het nu weekend is

oltk schreef op zaterdag 16 maart 2024 @ 09:42:
[...]


Geen memtest. Ik zag wel heel veel memerrors in de logs van proxmox, maar dat was een minuut voordat de firewall uit ging vanwege > 85 graden.

Nu de hele nacht een ventilator erop en stabiel op 48 graden, aanraakbaar warm. De logs zijn heel normale eventlogs van de VM's (ik draai nu alleen Homeassistent. OPNsense vanwege de WAF nog even niet )

Inmiddels reactie van HUNSN dat ze mijn verzoek voor fan komende maandag behandelen. En dat het nu weekend is

Ik had laatst een samsung 16G module in een N100 systeem die op een of andere manier niet goed compatible was. Die werd heel warm en tijdens de memtest kwamen er errors naar voren. Toen vervangen voor een 8G module die ik had liggen en alles was in orde. De goedkoopste Crucial DDR5 modules doen het altijd goed in de systemen. Die adviseer ik ook.

oltk schreef op vrijdag 15 maart 2024 @ 20:53:
[...]


Dát zoek ik!

Ik heb er denk ik nog een liggen. Had er per ongeluk twee besteld. Morgen even kijken.

tMb schreef op zondag 11 februari 2024 @ 12:46:
[...]
Ja ik ga zeker vergelijken. Het huidige stroomverbruik van m'n server/router is 26,9W gemiddeld gemeten over 5 dagen met een Innr SP120 smart plug. Dat is een i5-6500 met 16GB ram (65W TDP), 240GB SATA SSD en een Intel I350-T2 NIC.

Heb m'n nieuwe server/router inmiddels een tijdje draaien en heb nu ook het verbruik gemeten. Het is een Lenovo Thinkstation m720q mini form factor met een i5-9400T, 24 GB DDR4 geheugen (1x8 en 1x16) en 256gb M.2 NVME opslag. De interne NIC heb ik aangevuld met een HPE 331t PCIe netwerkkaart met 4 aansluitingen.

Gemiddeld 17,3w gemeten over 1 dag. Bijna 10w gemiddeld zuiniger dan m'n vorige machine

tMb schreef op zondag 17 maart 2024 @ 17:10:
[...]


Heb m'n nieuwe server/router inmiddels een tijdje draaien en heb nu ook het verbruik gemeten. Het is een Lenovo Thinkstation m720q mini form factor met een i5-9400T, 24 GB DDR4 geheugen (1x8 en 1x16) en 256gb M.2 NVME opslag. De interne NIC heb ik aangevuld met een HPE 331t PCIe netwerkkaart met 4 aansluitingen.

Gemiddeld 17,3w gemeten over 1 dag. Bijna 10w gemiddeld zuiniger dan m'n vorige machine

Met 37 cent de kWh bespaar je nu 30€ per jaar.

Ik heb zulke berekeningen wel eens gemaakt, maar kwam altijd niet echt positief uit, ik richtte mij daarom meer op de performance verbetering, want vaak zijn die systeempjes een euro of 100/150, dus ben je 3/5 jaar verder alvorens je op die manier bespaard.

:-)

Het lagere verbruik is een leuke extra, zeker niet de reden waarom ik een nieuwe server heb ingericht. Ik wilde een backup/stand-by voor m’n server omdat ik steeds afhankelijker werd van wat er op draait (pfSense, Home Assistant) en niet wil dat het een dag uit de lucht is omdat ik een component moet vervangen.

oltk schreef op zaterdag 16 maart 2024 @ 09:42:
[...]


Geen memtest. Ik zag wel heel veel memerrors in de logs van proxmox, maar dat was een minuut voordat de firewall uit ging vanwege > 85 graden.

Nu de hele nacht een ventilator erop en stabiel op 48 graden, aanraakbaar warm. De logs zijn heel normale eventlogs van de VM's (ik draai nu alleen Homeassistent. OPNsense vanwege de WAF nog even niet )

Inmiddels reactie van HUNSN dat ze mijn verzoek voor fan komende maandag behandelen. En dat het nu weekend is

Heb je nu nog een fan nodig?

Kapitein187 schreef op zondag 17 maart 2024 @ 22:47:
[...]


Heb je nu nog een fan nodig?

Dat hoor ik hopelijk morgen!
edit: Ik kreeg vannacht het volgende bericht:

-- This item supports 12V 4 pin fan.
The cable spec. is a customized 1.25 DuPont female 4pin.
-- Dear ..., if there is a need, i will help you, i will help to appy a customized fan kits for you for free with our manager. Hoping it is okay for you? And may you help to confirm your shipping address is same as before?

Netjes . Ik heb nog wel gevraagd hoe ik de DuPont kabel moet aansluiten
edit 2: mogelijk dat ze hier een interne fan bedoelen? Daar is in dit kleine apparaat echt geen ruimte voor

edit 3: mail HUNSN
May you also track it via below,
<...7 days>
Hoping it is okay for you?
Wish you could receive it soon.
-- For the fan kits, this item supports 12V 4 pin 4010 fan.
The cable spec. is a customized 1.25 DuPont female 4pin.
(as attached.)
Pleaes kindly noted, if installed the internal fan, the M.2 2280 NVME SSD heat sink will not be supported. 2 choose 1, for there is no space.
Be well and have a nice day.
Sincerely,
Elena
HUNSN Customer Service
<foto HUNSN>

[ Voor 98% gewijzigd door oltk op 19-03-2024 07:36 ]

RobertMe schreef op zaterdag 9 maart 2024 @ 16:52:
[...]

Het is wel AliExpress. Soms laten ze zelf pakketjes heel lang liggen in hun "overslag". Ik heb ook al eens meegemaakt dat er een paar weken zit tussen "douane" en "bij PostNL".

Anderzijds heb ik ook al eens iets voor €10,xx besteld wat met ik meen 5 dagen levering kwam, en dat was ook zo snel. En kwam ook daadwerkelijk uit China. Het kan dus snel gaan, maar het zal standaard heel lang duren als er niks bij vermeld wordt over snelle levering.

Ongelofelijk. Vandaag pas de switches ontvangen. Bizar.
2 februari besteld.
8 februari aangekomen in NL
9 februari door de douane
en daarna was het stil. Status: 'In afwachting van transit naar het eindafleverkantoor'

Had al een geschil lopen en ik steeds mailen. Was nog steeds 'in onderzoek'.
Gisteren opeens 'ontvangen door lokale bezorger' en vandaag door DHL afgeleverd.
Eind goed, al goed.

Ik heb een gelijkaardige ervaring.
Ik vermoed dat die "door douane" melding eigenlijk niet klopt.
De shipping was Ali Express Saver, en dat is duidelijk langzamer dan Ali Express Standard.

Villager schreef op dinsdag 19 maart 2024 @ 19:15:
[...]


Ongelofelijk. Vandaag pas de switches ontvangen. Bizar.
2 februari besteld.
8 februari aangekomen in NL
9 februari door de douane
en daarna was het stil. Status: 'In afwachting van transit naar het eindafleverkantoor'

Had al een geschil lopen en ik steeds mailen. Was nog steeds 'in onderzoek'.
Gisteren opeens 'ontvangen door lokale bezorger' en vandaag door DHL afgeleverd.
Eind goed, al goed.

Is nog vrij snel voor een ‘normale’ verzendmethode. Goed dat je ze binnen hebt.

Xikestor/Seekswan/Seek

De switches lijken qua hardware identiek aan die van Horaco / Ampcom. Het verbruik is vergelijkbaar.

De adapters zijn wel beter: 12V 2A. De kleine switch heeft 12V 1A nodig. Maar zoals eerder aangegeven vind ik dat te krap. Dus het is netjes dat ze een 12V 2A meeleveren. De Leicke 12V 1.5A zou ook moeten voldoen en is misschien een betere optie. De grotere switch is 12V en 2A. Bij Horaco en Ampcom is dit 12V 1A.

In eerste instantie lijkt het overeen te komen met de firmware op de Ampcom en Horaco switches. Alhoewel Xikestor wel wat fixes heeft doorgevoerd, een eigen logo heeft toegevoegd en updates beschikbaar stelt etc. Wisselen tussen Chinees en Engels gaat soepel en de webinterface werkt snel genoeg.

De voorkeur gaat dus uit naar deze switch op dit moment. Ik heb gevraagd om nieuwere firmware versies. Die kan ik toetsen op malware of bijzondere zaken. Goede firewall rules zijn sowieso belangrijk met dit soort apparaten. Er zitten ook pootjes bij van rubber. Die kun je erop plakken. Dit is niet het geval bij Horaco.

Nieuwprijs 4+2 is tussen de 42 en 46 euro.
Nieuwprijs 8+1 is tussen de 65 en 70 euro.

[ Voor 4% gewijzigd door TumTum op 20-03-2024 21:16 ]

TumTum schreef op woensdag 20 maart 2024 @ 21:12:
Xikestor/Seekswan/Seek

De switches lijken qua hardware identiek aan die van Horaco / Ampcom. Het verbruik is vergelijkbaar.

De adapters zijn wel beter: 12V 2A. De kleine switch heeft 12V 1A nodig. Maar zoals eerder aangegeven vind ik dat te krap. Dus het is netjes dat ze een 12V 2A meeleveren. De Leicke 12V 1.5A zou ook moeten voldoen en is misschien een betere optie. De grotere switch is 12V en 2A. Bij Horaco en Ampcom is dit 12V 1A.

In eerste instantie lijkt het overeen te komen met de firmware op de Ampcom en Horaco switches. Alhoewel Xikestor wel wat fixes heeft doorgevoerd, een eigen logo heeft toegevoegd en updates beschikbaar stelt etc. Wisselen tussen Chinees en Engels gaat soepel en de webinterface werkt snel genoeg.

De voorkeur gaat dus uit naar deze switch op dit moment. Ik heb gevraagd om nieuwere firmware versies. Die kan ik toetsen op malware of bijzondere zaken. Goede firewall rules zijn sowieso belangrijk met dit soort apparaten. Er zitten ook pootjes bij van rubber. Die kun je erop plakken. Dit is niet het geval bij Horaco.

Nieuwprijs 4+2 is tussen de 42 en 46 euro.
Nieuwprijs 8+1 is tussen de 65 en 70 euro.

[Afbeelding]

[Afbeelding]

[Afbeelding]

[Afbeelding]

[Afbeelding]

Hoe gaan ze om met VLAN's? Forwarden ze alle tagged 802.1Q frames?

Ja, VLAN support zit erop en je kunt ook VLAN IDs meegeven. Maar dit kan ook op de Horaco switches + clones/rebrands.

RobertMe schreef op woensdag 20 maart 2024 @ 21:22:
[...]

Liever nog dat er VLAN support op zit. Maar dat zal wel niet

Dat denk ik ook niet, er is wel een managed en un-managed variant. Ik zie geen 802.1Q staan. https://nl.aliexpress.com/item/1005006249994219.html

Ik ben zelf erg fan van deze switch. uitvoering: ZyXEL 8-Port 2.5G PoE Unmanaged Switch with 10G Uplink Heb een 2e besteld om in mijn huis betaalbaar een 2.5Gbps netwerk aan te leggen. Via UI.com is dat gewoon veel te duur, of letterlijk veel te groot voor de ruimte in mijn meterkast. Deze switch heeft POE++ op 8 porten en 2.5Gbps inclusief vlan forwarding. Kleine TPlink TL-SG108E van 28euro ernaast voor de specifieke VLAN untagged porten. Dan ben ik toch heel betaalbaar naar een 2.5Gbps POE netwerk gegaan.

[ Voor 51% gewijzigd door stormfly op 20-03-2024 21:43 ]

TumTum schreef op woensdag 20 maart 2024 @ 21:31:
[...]


Die vraag is eerder al gesteld. Dit kan gewoon.
[Afbeelding]

Dat is wel tof, dan is deze switch met een POE injector een nog voordeligere optie om naar een 2.5Gbps netwerk te gaan.

stormfly schreef op woensdag 20 maart 2024 @ 21:44:
[...]


Dat is wel tof, dan is deze switch met een POE injector een nog voordeligere optie om naar een 2.5Gbps netwerk te gaan.

Ze hebben deze switch ook met PoE, maar nog unmanaged. Ik heb de vraag wel gesteld of ze die ook managed kunnen maken. Ik zie namelijk geen reden om het niet te doen als ze toch voorzien zijn van dezelfde hardware. Maar dat is nog even geduld hebben. Ik ga zelf denk ik voor een TP-link voor PoE. 2.5G apparaten heb ik nog niet (voor PoE) en het moet vrij efficient en betrouwbaar zijn.

TumTum schreef op woensdag 20 maart 2024 @ 22:03:
[...]


Ze hebben deze switch ook met PoE, maar nog unmanaged. Ik heb de vraag wel gesteld of ze die ook managed kunnen maken. Ik zie namelijk geen reden om het niet te doen als ze toch voorzien zijn van dezelfde hardware. Maar dat is nog even geduld hebben. Ik ga zelf denk ik voor een TP-link voor PoE. 2.5G apparaten heb ik nog niet (voor PoE) en het moet vrij efficient en betrouwbaar zijn.

uitvoering: TP-Link TL-SG108-M2 dan heb je alleen deze unmanaged variant zonder POE? Zou je dan niet beter die Zyxel kunnen nemen die ik noemde, die is ook unmanged maar met POE++ uitvoering: ZyXEL 8-Port 2.5G PoE Unmanaged Switch with 10G Uplink

Stap je door naar een POE variant van TP-Link schiet je direct naar 379euro uitvoering: TP-Link Omada 8-Port 2.5GBASE-T and 2-Port 10GE SFP+ Smart Switch.... Dan heb ik liever 2 Zyxels één boven en één beneden als "backbone" voor hetzelfde bedrag.

[ Voor 19% gewijzigd door stormfly op 20-03-2024 22:12 ]

stormfly schreef op woensdag 20 maart 2024 @ 22:10:
[...]


uitvoering: TP-Link TL-SG108-M2 dan heb je alleen deze unmanaged variant zonder POE? Zou je dan niet beter die Zyxel kunnen nemen die ik noemde, die is ook unmanged maar met POE++ uitvoering: ZyXEL 8-Port 2.5G PoE Unmanaged Switch with 10G Uplink

Stap je door naar een POE variant van TP-Link schiet je direct naar 379euro uitvoering: TP-Link Omada 8-Port 2.5GBASE-T and 2-Port 10GE SFP+ Smart Switch.... Dan heb ik liever 2 Zyxels één boven en één beneden als "backbone" voor hetzelfde bedrag.

SG-105PE in dit geval. Is iets uitgebreider.

uitvoering: TP-Link TL-SG105PE

[ Voor 5% gewijzigd door TumTum op 20-03-2024 22:15 ]

TumTum schreef op woensdag 20 maart 2024 @ 21:33:
Ze hebben ergens een site met updates. De vraag is alleen waar.. Ik kon het niet zo snel vinden. In de reviews geven mensen wel aan dat ze het vanaf de website kunnen downloaden. Ik heb het even nagevraagd.

Misschien interessant om ook te weten is of je kan "Crossflashen" of hoe je dat ook noemt

Dus de firmware van Merk A op produkt van Merk B flashen omdat het toch uiteindelijk dezelfde hardware is onderhuids...

Je noemt meerdere merken dus mocht er één ineens wegvallen dan is zo'n optie wel zo fijn!

TumTum schreef op woensdag 20 maart 2024 @ 22:13:
SG-105PE in dit geval. Is iets uitgebreider.

uitvoering: TP-Link TL-SG105PE

Vroeger had je van zowel Netgear als TP-Link meerdere Switches voor een soortgelijke prijs met vrijwel dezelfde features :
- 105
- 105E - VLAN Support
- 105PE - PoE + VLAN Support
- 108
- 108E - VLAN Support
- 108PE - PoE + VLAN Support

Helaas is ondertussen Netgear het net wat anders gaan doen dus nu is het vooral TP-Link waar je het van moet hebben!

TumTum schreef op woensdag 20 maart 2024 @ 21:12:
Xikestor/Seekswan/Seek

De switches lijken qua hardware identiek aan die van Horaco / Ampcom. Het verbruik is vergelijkbaar.

De adapters zijn wel beter: 12V 2A. De kleine switch heeft 12V 1A nodig. Maar zoals eerder aangegeven vind ik dat te krap. Dus het is netjes dat ze een 12V 2A meeleveren. De Leicke 12V 1.5A zou ook moeten voldoen en is misschien een betere optie. De grotere switch is 12V en 2A. Bij Horaco en Ampcom is dit 12V 1A.

In eerste instantie lijkt het overeen te komen met de firmware op de Ampcom en Horaco switches. Alhoewel Xikestor wel wat fixes heeft doorgevoerd, een eigen logo heeft toegevoegd en updates beschikbaar stelt etc. Wisselen tussen Chinees en Engels gaat soepel en de webinterface werkt snel genoeg.

De voorkeur gaat dus uit naar deze switch op dit moment. Ik heb gevraagd om nieuwere firmware versies. Die kan ik toetsen op malware of bijzondere zaken. Goede firewall rules zijn sowieso belangrijk met dit soort apparaten.

En hoe zie je die firewall rules om te voorkomen dat er eventueel data wordt gelekt naar China voor je?
De switch kan toch gewoon eventueel onderschepte data via de default gateway naar een IP adres sturen? Daar kun je met een firewall rules toch niet aan tegenhouden? Kun je dat toelichten?

Villager schreef op donderdag 21 maart 2024 @ 14:09:
[...]


En hoe zie je die firewall rules om te voorkomen dat er eventueel data wordt gelekt naar China voor je?
De switch kan toch gewoon eventueel onderschepte data via de default gateway naar een IP adres sturen? Daar kun je met een firewall rules toch niet aan tegenhouden? Kun je dat toelichten?

Je kunt toch prima een regel maken die outbound verkeer vanaf het IP adres van de switch blokkeert? Net zoals je dat met IoT devices kan/moet doen. Best practice is sowieso om de management interface in een apart VLAN met beperkte connectiviteit te stoppen voor security.

Tom Paris schreef op donderdag 21 maart 2024 @ 14:59:
[...]


Je kunt toch prima een regel maken die outbound verkeer vanaf het IP adres van de switch blokkeert? Net zoals je dat met IoT devices kan/moet doen. Best practice is sowieso om de management interface in een apart VLAN met beperkte connectiviteit te stoppen voor security.

Maar het ip adres is toch alleen voor de webinterface? Switching gebeurt bij deze switch toch op Mac adres niveau en daar kun je volgens mij niks mee in OPNsense o.i.d. of begrijp ik t nu niet goed?

Villager schreef op donderdag 21 maart 2024 @ 16:10:
[...]

Maar het ip adres is toch alleen voor de webinterface? Switching gebeurt bij deze switch toch op Mac adres niveau en daar kun je volgens mij niks mee in OPNsense o.i.d. of begrijp ik t nu niet goed?

Maar dan zou de switch dus 'on the fly' MAC en IP moeten gaan spoofen naar een waarde die wel outbound verkeer mag initiëren. Niet onmogelijk, maar dat zou een complexe backdoor zijn om in te bouwen. Hangt natuurlijk helemaal van je eigen risico-inschatting af of je zo ver wil gaan.

Persoonlijk zou ik me meer zorgen maken over een security gat dat onbewust in de firmware terecht is gekomen, maar niet gepatched gaat worden. Daar zijn de Chinezen niet uniek in, ook grote namen laten hier veel liggen. Zo krijg je botnets, en dat is met goede firewall-regels redelijk te beperken.

Villager schreef op donderdag 21 maart 2024 @ 14:09:
[...]


En hoe zie je die firewall rules om te voorkomen dat er eventueel data wordt gelekt naar China voor je?
De switch kan toch gewoon eventueel onderschepte data via de default gateway naar een IP adres sturen? Daar kun je met een firewall rules toch niet aan tegenhouden? Kun je dat toelichten?

Ik moet nog even kijken hoe dit precies zit. De firmware heb ik net binnen. Je hoeft de switch geen gateway te geven. Maar je kunt er wel voor zorgen dat het subnet niet naar buiten toe mag via de gateways. Dat is een kwestie van rules maken. De vraag is even of de management interface alleen actief is op het default VLAN of niet. Anders zou je kunnen gaan werken met VLANS voor je interne netwerken en het default VLAN met firewall rules dichttimmeren. Ik zie wel opties, maar ook dit moet ik testen. Los van de firmware analyse.

Tom Paris schreef op donderdag 21 maart 2024 @ 16:47:
[...]


Maar dan zou de switch dus 'on the fly' MAC en IP moeten gaan spoofen naar een waarde die wel outbound verkeer mag initiëren. Niet onmogelijk, maar dat zou een complexe backdoor zijn om in te bouwen. Hangt natuurlijk helemaal van je eigen risico-inschatting af of je zo ver wil gaan.

Persoonlijk zou ik me meer zorgen maken over een security gat dat onbewust in de firmware terecht is gekomen, maar niet gepatched gaat worden. Daar zijn de Chinezen niet uniek in, ook grote namen laten hier veel liggen. Zo krijg je botnets, en dat is met goede firewall-regels redelijk te beperken.

Terechte zorg, maar dat artikel gaat over routers en die hangen rechtstreeks aan internet. Dat doen deze switches niet. Verder is de functionaliteit van switches beperkter. Misschien moet ik gewoon eens aan de slag met Wireshark in een beperkte opstelling om te kijken wat er allemaal naar buiten gaat.

Villager schreef op donderdag 21 maart 2024 @ 17:01:
[...]

Terechte zorg, maar dat artikel gaat over routers en die hangen rechtstreeks aan internet. Dat doen deze switches niet. Verder is de functionaliteit van switches beperkter. Misschien moet ik gewoon eens aan de slag met Wireshark in een beperkte opstelling om te kijken wat er allemaal naar buiten gaat.

Dat heb ik al gedaan, met de destination zelfs de wireshark PC. Niets te zien met de Horaco switches. De Ampcom en Seeker switches moet ik nog checken.

TumTum schreef op donderdag 21 maart 2024 @ 17:21:
[...]


Dat heb ik al gedaan, met de destination zelfs de wireshark PC. Niets te zien met de Horaco switches. De Ampcom en Seeker switches moet ik nog checken.

Super! Kan ik dat ook weer afstrepen. Dank voor het delen.

Villager schreef op donderdag 21 maart 2024 @ 14:09:
[...]


En hoe zie je die firewall rules om te voorkomen dat er eventueel data wordt gelekt naar China voor je?
De switch kan toch gewoon eventueel onderschepte data via de default gateway naar een IP adres sturen? Daar kun je met een firewall rules toch niet aan tegenhouden? Kun je dat toelichten?

Villager schreef op donderdag 21 maart 2024 @ 14:09:
[...]


En hoe zie je die firewall rules om te voorkomen dat er eventueel data wordt gelekt naar China voor je?
De switch kan toch gewoon eventueel onderschepte data via de default gateway naar een IP adres sturen? Daar kun je met een firewall rules toch niet aan tegenhouden? Kun je dat toelichten?

Om iets via de default gateway naar China te sturen moet je ook een IP hebben in de range die de default gateway accepteert. Als de switch 1 IP heeft dan is het voldoende om alleen dat IP te blokkeren.

Villager schreef op donderdag 21 maart 2024 @ 17:01:
[...]

Terechte zorg, maar dat artikel gaat over routers en die hangen rechtstreeks aan internet. Dat doen deze switches niet. Verder is de functionaliteit van switches beperkter. Misschien moet ik gewoon eens aan de slag met Wireshark in een beperkte opstelling om te kijken wat er allemaal naar buiten gaat.

Iets hogere barrière omdat je een stepping stone in het netwerk nodig hebt, maar het principe blijft hetzelfde. Zie bijv. deze CVE voor een Netgear switch.

Daarnaast, het gaat niet op de functionaliteit maar om de software. De switch draait op Linux, met standaard componenten als busybox. Dat is al genoeg voor sommige botnet-scenario's.

Tom Paris schreef op donderdag 21 maart 2024 @ 17:51:
[...]


Iets hogere barrière omdat je een stepping stone in het netwerk nodig hebt, maar het principe blijft hetzelfde. Zie bijv. deze CVE voor een Netgear switch.

Daarnaast, het gaat niet op de functionaliteit maar om de software. De switch draait op Linux, met standaard componenten als busybox. Dat is al genoeg voor sommige botnet-scenario's.

Weer wat geleerd. Thanks!

Blijft het niet lastig om malware te injecteren in echt verkeer, zoals werd gesuggereerd?
Switching gebeurt door de switch chips (van Realtek?) die dit performance wise prima aan kunnen. Maar het zijn echt one trick ponies. Vervolgens zit er wel een CPU in, die bv de management UI draait en de switch chips configureert etc. Om dus malware te verpakken in het echte verkeer zou de CPU dat moeten doen, maar die heeft daar helemaal niet de performance voor. Om verkeer te analyseren en te manglen naar iets anders.

TumTum schreef op donderdag 21 maart 2024 @ 17:21:
[...]


Dat heb ik al gedaan, met de destination zelfs de wireshark PC. Niets te zien met de Horaco switches. De Ampcom en Seeker switches moet ik nog checken.

Hoe zit het overigens met de firewalls die in china zijn gemaakt? de HUNSN, TopTon etc doosjes? zijn die nog op een of andere manier te controleren of testen?

oltk schreef op donderdag 21 maart 2024 @ 19:13:
[...]


Hoe zit het overigens met de firewalls die in china zijn gemaakt? de HUNSN, TopTon etc doosjes? zijn die nog op een of andere manier te controleren of testen?

Lastig, maar daarvoor kun je eventueel een UEFI rootkit scanner gebruiken. Heb destijds die van ESET gebruikt en kon niets vinden. UEFI malware werd vooral gevonden bij grote merken uit o.a. China, zoals ASUS, Gigabyte etc. De meeste endpoint oplossingen kunnen ook UEFI uitlezen en malicious code of files detecteren.

Firmware analyse:
Ik kan zo snel geen gekke dingen vinden in de Seeker firmware qua IP-adressen / URLs etc. Malware scans zijn ook in orde. Maar moet nog even verder kijken.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77

RF_V1.9_SKS3200M-8GPY1XF_0103.bin DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 24762 0x60BA CRC32 polynomial table, big endian 71875 0x118C3 HTML document header 72232 0x11A28 HTML document footer 72880 0x11CB0 HTML document header 75955 0x128B3 HTML document footer 75988 0x128D4 HTML document header 76206 0x129AE HTML document footer 76595 0x12B33 HTML document header 78514 0x132B2 HTML document footer 78920 0x13448 PNG image, 249 x 98, 8-bit/color RGBA, non-interlaced 80709 0x13B45 Zlib compressed data, default compression 82676 0x142F4 PNG image, 53 x 44, 8-bit/color RGBA, non-interlaced 83828 0x14774 PNG image, 52 x 44, 8-bit/color RGBA, non-interlaced 85502 0x14DFE PNG image, 35 x 25, 8-bit/color RGBA, non-interlaced 85774 0x14F0E PNG image, 22 x 18, 8-bit/color RGB, non-interlaced 86420 0x15194 PNG image, 194 x 127, 8-bit colormap, non-interlaced 86536 0x15208 Zlib compressed data, default compression 86740 0x152D4 PNG image, 194 x 127, 8-bit colormap, non-interlaced 86849 0x15341 Zlib compressed data, default compression 87056 0x15410 PNG image, 30 x 14, 8-bit/color RGBA, non-interlaced 88482 0x159A2 PNG image, 30 x 14, 8-bit/color RGBA, non-interlaced 89908 0x15F34 GIF image data, version "89a", 31 x 15 90055 0x15FC7 GIF image data, version "89a", 8 x 8 90879 0x162FF GIF image data, version "89a", 8 x 8 91729 0x16651 GIF image data, version "89a", 16 x 16 91854 0x166CE GIF image data, version "89a", 16 x 16 91990 0x16756 HTML document header 93678 0x16DEE HTML document footer 93758 0x16E3E HTML document header 96854 0x17A56 HTML document footer 140539 0x224FB HTML document header 142078 0x22AFE HTML document header 155741 0x2605D HTML document footer 156243 0x26253 HTML document footer 196375 0x2FF17 HTML document header 197036 0x301AC HTML document footer 258090 0x3F02A HTML document header 258628 0x3F244 HTML document footer 258779 0x3F2DB HTML document header 258943 0x3F37F HTML document footer 258952 0x3F388 HTML document header 258974 0x3F39E HTML document footer 259067 0x3F3FB HTML document header 260408 0x3F938 HTML document footer 260455 0x3F967 HTML document header 260479 0x3F97F HTML document footer 263431 0x40507 HTML document header 263455 0x4051F HTML document footer 274147 0x42EE3 HTML document header 274171 0x42EFB HTML document footer 276508 0x4381C HTML document header 277608 0x43C68 HTML document footer 282356 0x44EF4 HTML document header 282866 0x450F2 HTML document footer 292064 0x474E0 HTML document header 293661 0x47B1D HTML document footer 293730 0x47B62 HTML document header 294113 0x47CE1 HTML document footer 297969 0x48BF1 HTML document header 299153 0x49091 HTML document footer 301875 0x49B33 HTML document header 303169 0x4A041 HTML document footer 440990 0x6BA9E HTML document header 443207 0x6C347 HTML document footer 455706 0x6F41A HTML document header 456461 0x6F70D HTML document footer 535495 0x82BC7 HTML document header 537597 0x833FD HTML document footer 539180 0x83A2C HTML document header 539624 0x83BE8 HTML document footer 803909 0xC4445 AES S-Box 808255 0xC553F HTML document header 808874 0xC57AA HTML document footer 906905 0xDD699 Base64 standard index table

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77

RF_V1.9_SKS3200M-4GPY2XF_0103.bin DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 24762 0x60BA CRC32 polynomial table, big endian 71924 0x118F4 HTML document header 72281 0x11A59 HTML document footer 72929 0x11CE1 HTML document header 76004 0x128E4 HTML document footer 76037 0x12905 HTML document header 76255 0x129DF HTML document footer 76644 0x12B64 HTML document header 78563 0x132E3 HTML document footer 78969 0x13479 PNG image, 249 x 98, 8-bit/color RGBA, non-interlaced 80758 0x13B76 Zlib compressed data, default compression 82725 0x14325 PNG image, 53 x 44, 8-bit/color RGBA, non-interlaced 83877 0x147A5 PNG image, 52 x 44, 8-bit/color RGBA, non-interlaced 85551 0x14E2F PNG image, 35 x 25, 8-bit/color RGBA, non-interlaced 85823 0x14F3F PNG image, 22 x 18, 8-bit/color RGB, non-interlaced 86469 0x151C5 PNG image, 194 x 127, 8-bit colormap, non-interlaced 86585 0x15239 Zlib compressed data, default compression 86789 0x15305 PNG image, 194 x 127, 8-bit colormap, non-interlaced 86898 0x15372 Zlib compressed data, default compression 87105 0x15441 PNG image, 30 x 14, 8-bit/color RGBA, non-interlaced 88531 0x159D3 PNG image, 30 x 14, 8-bit/color RGBA, non-interlaced 89957 0x15F65 GIF image data, version "89a", 31 x 15 90104 0x15FF8 GIF image data, version "89a", 8 x 8 90928 0x16330 GIF image data, version "89a", 8 x 8 91778 0x16682 GIF image data, version "89a", 16 x 16 91903 0x166FF GIF image data, version "89a", 16 x 16 92039 0x16787 HTML document header 93727 0x16E1F HTML document footer 93807 0x16E6F HTML document header 96903 0x17A87 HTML document footer 140488 0x224C8 HTML document header 142027 0x22ACB HTML document header 155690 0x2602A HTML document footer 156192 0x26220 HTML document footer 196624 0x30010 HTML document header 197285 0x302A5 HTML document footer 258090 0x3F02A HTML document header 258628 0x3F244 HTML document footer 258779 0x3F2DB HTML document header 258943 0x3F37F HTML document footer 258952 0x3F388 HTML document header 258974 0x3F39E HTML document footer 259067 0x3F3FB HTML document header 260408 0x3F938 HTML document footer 260455 0x3F967 HTML document header 260479 0x3F97F HTML document footer 263431 0x40507 HTML document header 263455 0x4051F HTML document footer 274148 0x42EE4 HTML document header 274172 0x42EFC HTML document footer 276509 0x4381D HTML document header 277609 0x43C69 HTML document footer 282357 0x44EF5 HTML document header 282867 0x450F3 HTML document footer 292065 0x474E1 HTML document header 293662 0x47B1E HTML document footer 293731 0x47B63 HTML document header 294114 0x47CE2 HTML document footer 297970 0x48BF2 HTML document header 299154 0x49092 HTML document footer 301876 0x49B34 HTML document header 303170 0x4A042 HTML document footer 440970 0x6BA8A HTML document header 443187 0x6C333 HTML document footer 455706 0x6F41A HTML document header 456461 0x6F70D HTML document footer 533668 0x824A4 HTML document header 535770 0x82CDA HTML document footer 537353 0x83309 HTML document header 537797 0x834C5 HTML document footer 803909 0xC4445 AES S-Box 809312 0xC5960 HTML document header 809931 0xC5BCB HTML document footer 906905 0xDD699 Base64 standard index table

[ Voor 88% gewijzigd door TumTum op 21-03-2024 20:11 ]

oltk schreef op donderdag 21 maart 2024 @ 19:13:
[...]


Hoe zit het overigens met de firewalls die in china zijn gemaakt? de HUNSN, TopTon etc doosjes? zijn die nog op een of andere manier te controleren of testen?

Protectli heeft Coreboot beschikbaar voor hun devices (open source BIOS implementatie). De hardware is gelijk aan de Ali-doosjes, maar ik weet niet hoe het met flashen zit.

TumTum schreef op woensdag 20 maart 2024 @ 21:33:
[...]


Ze hebben ergens een site met updates. De vraag is alleen waar.. Ik kon het niet zo snel vinden. In de reviews geven mensen wel aan dat ze het vanaf de website kunnen downloaden. Ik heb het even nagevraagd.

Ik heb hier wel een topic over de Horaco gevonden - misschien staat dat meer informatie.

Comp User schreef op vrijdag 22 maart 2024 @ 11:48:
[...]


Ik heb hier wel een topic over de Horaco gevonden - misschien staat dat meer informatie.

Zo te zien niet. Horaco updates moet je ook bij Horaco zelf aanvragen. Zou leuk zijn als iemand een custom opensource firmware kan maken voor deze devices.

TumTum schreef op vrijdag 22 maart 2024 @ 12:53:
[...]


Zo te zien niet. Horaco updates moet je ook bij Horaco zelf aanvragen. Zou leuk zijn als iemand een custom opensource firmware kan maken voor deze devices.

Er wordt wel aan OpenWrt gewerkt, maar zeker de Chinese switches lijken allemaal met een gemankeerde bootloader te komen. Zal niet makkelijk worden en zeker niet snel.

https://forum.openwrt.org...ed-managed-switches/57875
https://forum.openwrt.org/t/hasivo-switches/151758

Tom Paris schreef op donderdag 21 maart 2024 @ 16:47:
Daar zijn de Chinezen niet uniek in, ook grote namen laten hier veel liggen. Zo krijg je botnets, en dat is met goede firewall-regels redelijk te beperken.

Ik vind het altijd grappig als men over "enge hackers" uit China/Rusland/enz. begint en het zogenaamd brave "Team Amerika" die allemaal tegenhoudt, terwijl dit de daadwerkelijke realiteit is : ernstoud in "[Caiway Glasvezel] Ervaringen & Discussie - Deel 2"


#GoFixYourOwnShitFirst!

nero355 schreef op vrijdag 22 maart 2024 @ 17:51:
[...]

Ik vind het altijd grappig als men over "enge hackers" uit China/Rusland/enz. begint en het zogenaamd brave "Team Amerika" die allemaal tegenhoudt, terwijl dit de daadwerkelijke realiteit is : ernstoud in "[Caiway Glasvezel] Ervaringen & Discussie - Deel 2"


#GoFixYourOwnShitFirst!

Je bent appels en peren aan het vergelijken?

De "Chinese spyware" opmerkingen zijn gericht op (connected) hardware die je thuis plaatst en of een backdoor "voor China" zijn of juist lokaal informatie verzamelen en "naar China" sturen.
De post waar je naar linkt is gaat over iets totaal anders. Namelijk verkeer vanaf internet dat op een (thuis-)IP aanklopt om te kijken of er toevallig SSH, HFTP(S) of iets dergelijks open staat
Er is dus totaal geen relatie tussen beiden, want de een is "onveiligheid" van binnenuit en hardware die je zelf gekocht hebt. En de ander is de "onveiligheid" van buitenaf / internet.
De voorbeelden die @TumTum aanhaalt zijn dus veep beter. Een lekke en/of fout geconfigureerde Ubiquiti router bv is een apparaat dat je zelf thuis hebt staan, bv..