Zelfbouw project: Firewall / Router / AP

TumTum schreef op maandag 28 oktober 2024 @ 18:24:
We gaan weer richting ubiquiti zo te zien. Het gaat hier om zelfbouw / custom firewalls.

wian schreef op dinsdag 29 oktober 2024 @ 10:00:
[...]

Mea culpa

Ik krijg vandaag een Cloud Gateway Ultra binnen en zal deze parallel draaien met mijn OPNsense firewall zodat ik een mooie vergelijking kan maken.

Een zelfbouw OPNsense heeft uiteraard meer standaard functionaliteit dan een Unifi gateway, veel meer uitbreidingsmogelijkheden en met die N100/N305 CPUs van tegenwoordig belachelijk veel performance. Ik draai al vele jaren pfSense en sinds enkele jaren OPNsense. Aanvankelijk virtueel samen met andere VMs, maar uiteindelijk op dedicated hardware voor minimale downtime. Gedurende deze tijd had ik eerst veel addons, uitgebreide IDS/IPS, (te)veel VLANs, maar met de laatste herinstallatie van OPNsense ben ik van scratch begonnen (keep it simple stupid!) en gebruik ik nog maar enkele addons.

Ik ben benieuwd of Unifi tegenwoordig kan voorzien in mijn basisbehoeften en of de werking kan tippen aan OPNsense. En natuurlijk of de geintegreerde interface van Unifi de beperkingen compenseert. Weet nog niet of ik die vergelijking in dit topic zal plaatsen in een nieuw topic.

[ Voor 7% gewijzigd door stormfly op 29-10-2024 10:22 ]

stormfly schreef op dinsdag 29 oktober 2024 @ 10:10:
[...]
Ik had ontzettend veel draaien in OPNsense, vele NAT rules, reverse proxy, full DNS interceptie DNScrypt/DoH VPN's etc. Dat heb ik allemaal op een andere manier ingericht:

-reverse proxy -> Cloudflared tunnels, ben je ook direct af van certificaten
-VPN -> Wireguard vervangen door Tailscale met tailock
-DNS interceptie met port 53 redirect zit al in routers van andere merken "DNS Shield"
-Portforwards vervangen door Tailscale tunnels.

wian schreef op dinsdag 29 oktober 2024 @ 10:24:
[...]


Interessant! Waarom ben je van wireguard naar tailscale gegaan? Cloudflared tunnels heb ik ook nog nooit mee gespeeld, waar gebruik je die voor?

Ik moet nog steeds een lichte aversie overwinnen tegen dit soort cloud oplossingen. Hoewel cloudflare en tailscale bekende namen zijn, leg je toch de beveiliging van je thuisnetwerk in externe handen.

stormfly schreef op dinsdag 29 oktober 2024 @ 10:10:
Ik had ontzettend veel draaien in OPNsense, vele NAT rules, reverse proxy, full DNS interceptie DNScrypt/DoH VPN's etc. Dat heb ik allemaal op een andere manier ingericht:

-reverse proxy -> Cloudflared tunnels, ben je ook direct af van certificaten
-VPN -> Wireguard vervangen door Tailscale met tailock
-DNS interceptie met port 53 redirect zit al in routers van andere merken "DNS Shield"
-Portforwards vervangen door Tailscale tunnels.

RobertMe schreef op dinsdag 29 oktober 2024 @ 10:33:
[...]

Daar zit niet meer zelfbouw aan Je bent daarmee toch weer voor een zeeer groot deel afhankelijk van big tech (Cloudflare & Tailscale) die ook niet echt een open / vrij karakter hebben en waarbij je garanties hebt dat wat nu gratis is ook gratis blijft.

[ Voor 6% gewijzigd door stormfly op 29-10-2024 10:37 ]

stormfly schreef op dinsdag 29 oktober 2024 @ 10:32:

Tailscale lock, waarbij een aantal devices in jouw eigen tailnet een signing node zijn, gaf mij de doorslag. Om op mijn tailnet te joinen moet je een device bezitten van mij. Het is geen cloud schakelaartje met "approve" wat een hacker zou kunnen bedienen.

stormfly schreef op dinsdag 29 oktober 2024 @ 10:10:
Is er een alert in te stellen voor een notificatie als er een nieuw topic wordt geopend in "
Forum -> Internet en netwerken -> Netwerken" volgens mij niet @rens-br ?

stormfly schreef op dinsdag 29 oktober 2024 @ 10:32:
[...]
Cloudflare web servers draai ik thuis in een los IP segment wat niet naar het LAN kan. Daar draai ik een cloudflared proxy waardoor deze websites publiek ontsloten zijn via Cloudflare. Mocht de content van de website gehackt worden dan kunnen ze nog niet bij mijn persoonlijke data. Het is een afweging, porten openzetten en zelf een https frontend draaien heeft ook risico's. Ik dacht: bij Cloudflare zijn ze met zoveel grote klanten vast vaker bezig met patching van webservers frontends dan ik met een jong gezin.

[ Voor 9% gewijzigd door wian op 29-10-2024 10:56 . Reden: Cloudflare pages ]

wian schreef op dinsdag 29 oktober 2024 @ 10:48:
[...]


Even kijken of ik het begrijp. De webserver host je thuis in een soort DMZ. Je opent geen poorten meer maar gebruikt cloudflared die een uitgaande verbinding maakt naar cloudflare. Dan in de cloudflare cloud draai je ook nog een reverse proxy - is dat een simpele proxy of een WAP die extra bescherming biedt tegen webserver kwetsbaarheden? Ik neem aan dat hier abonnementskosten aanzitten? Zo ja, wat kost dit?

Achtergrond: op dit moment draait mijn webserver in de cloud en de kosten hiervan stijgen ieder jaar. Is wellicht interessant om die op deze manier weer zelf te hosten.

Edit: ontdek net Cloudflare Pages waarmee je blijkbaar gratis statische content kunt hosten - weer wat te doen dit weekend

wian schreef op dinsdag 29 oktober 2024 @ 10:00:
[...]
Ik krijg vandaag een Cloud Gateway Ultra binnen en zal deze parallel draaien met mijn OPNsense firewall zodat ik een mooie vergelijking kan maken.

[ Voor 26% gewijzigd door danieldk op 30-10-2024 09:14 ]

danieldk schreef op woensdag 30 oktober 2024 @ 07:54:
[...]


Om toch een lans te breken voor zelfbouw: ik heb nooit een Ubiquity router gehad. Ik heb er wel naar gekeken, maar er lijken consistent dezelfde problemen met performance. Ubiquity gebruikt nog steeds relatief zwakke CPU cores, waardoor je als je iets doet dat buiten de (vermoedelijke) hardware acceleratie valt, de performance behoorlijk matig is. Zo doet de nieuwe Cloud Gateway Max blijkbaar 1500-1600 down en 1200-1300 up met PPPoE met IDS uitgeschakeld, dus het haalt geen line speed (heeft immers 2.5Gbe poorten) op PPPoE. Er zijn veel vergelijkbare klachten met IDS, waarbij in realistische scenarios de bandbreedte niet gehaald wordt. In dat geval wordt, hardware-accelaratie voor PPPoE en dergelijk uitgeschakeld omdat er packet inspection gedaan moet worden. En moet alles inclusief PPPoE over de underpowered CPU cores lopen. Ik verwacht ook niet dat je Cake of CoDel op line speed doet. Hetzelfde zie je met de UDM Pro, waar mensen door hoepels moeten springen om half-acceptabele PPPoE snelheden te halen.

Ter vergelijking doet een (goedkoper dan CGM) N5105 box zonder problemen 2.5Gbe line speed PPPoE of SQM. Ook als je er dingen als ZenArmor tegenaan gooit heb je nog steeds goede performance. Ter vergelijking: de N5105 is single-threaded ongeveer 4.5x zo snel als de Cortex A53 1.5GHz in de Cloud Gateway Max. We hebben het bij de Cortex A-53 in de Ultra dan ook over een architectuur uit 2012 die niet eens out-of-order execution doet. Chipsets als de IPQ5322 in the Ultra zijn gemaakt voor 100-150 Euro WiFi thuisrouters, waarbij de gebruiker alleen standaardrouting doet met NAT, wat voorgebakken firewall regels, en misschien PPPoE. Scenarios waar alles over de NPU draait en je dus goede performance haalt met een laag energie-budget. Die A53 cores zijn er dan alleen om Linux en een web interface te draaien. Totaal underpowered voor packet inspection e.d., laat staan voor 2.5Gbe.

Ik begrijp dat Ubiquity fijn is als kant-en-klaar optie met fijne management. Maar OpnSense is verder ook niet heel erg complex en je krijgt voor hetzelfde geld gewoon veel betere performance en meer mogelijkheden met een zelfbouw (of voorgebouwde x86 box als bijv. Protectli).

[ Voor 3% gewijzigd door stormfly op 30-10-2024 09:18 ]

danieldk schreef op woensdag 30 oktober 2024 @ 07:54:
[...]


Om toch een lans te breken voor zelfbouw: ik heb nooit een Ubiquity router gehad. Ik heb er wel naar gekeken, maar er lijken consistent dezelfde problemen met performance. Ubiquity gebruikt nog steeds relatief zwakke CPU cores, waardoor je als je iets doet dat buiten de (vermoedelijke) hardware acceleratie valt, de performance behoorlijk matig is. Zo doet de nieuwe Cloud Gateway Max blijkbaar 1500-1600 down en 1200-1300 up met PPPoE met IDS uitgeschakeld, dus het haalt geen line speed (heeft immers 2.5Gbe poorten) op PPPoE. Er zijn veel vergelijkbare klachten met IDS, waarbij in realistische scenarios de bandbreedte niet gehaald wordt. In dat geval wordt, hardware-accelaratie voor PPPoE en dergelijk uitgeschakeld omdat er packet inspection gedaan moet worden. En moet alles inclusief PPPoE over de underpowered CPU cores lopen. Ik verwacht ook niet dat je Cake of CoDel op line speed doet. Hetzelfde zie je met de UDM Pro, waar mensen door hoepels moeten springen om half-acceptabele PPPoE snelheden te halen.

Ter vergelijking doet een (goedkoper dan CGM) N5105 box zonder problemen 2.5Gbe line speed PPPoE of SQM. Ook als je er dingen als ZenArmor tegenaan gooit heb je nog steeds goede performance. Ter vergelijking: de N5105 is single-threaded ongeveer 4.5x zo snel als de Cortex A53 1.5GHz in de Cloud Gateway Max. We hebben het bij de Cortex A-53 in de Ultra dan ook over een architectuur uit 2012 die niet eens out-of-order execution doet. Chipsets als de IPQ5322 in the Ultra zijn gemaakt voor 100-150 Euro WiFi thuisrouters [1], waarbij de gebruiker alleen standaardrouting doet met NAT, wat voorgebakken firewall regels, en misschien PPPoE. Scenarios waar alles over de NPU draait en je dus goede performance haalt met een laag energie-budget. Die A53 cores zijn er dan alleen om Linux en een web interface te draaien. Totaal underpowered voor packet inspection e.d., laat staan voor 2.5Gbe.

Ik begrijp dat Ubiquity fijn is als kant-en-klaar optie met fijne management. Maar OpnSense is verder ook niet heel erg complex en je krijgt voor hetzelfde geld gewoon veel betere performance en meer mogelijkheden met een zelfbouw (of voorgebouwde x86 box als bijv. Protectli).

[1] De Xiaomi BE6500 Pro heeft dezelfde SoC en kost 108 Euro op Ali (en kun je volgens mij inmiddels ook openwrt-nss op draaien).

Verder heb je uiteraard gelijk hoor

stormfly schreef op dinsdag 29 oktober 2024 @ 10:10:
Ja het is lastig want we hebben het allemaal over routers, misschien past de titel van dit topic niet meer bij de huidige behoefte.

@wian
Misschien is het verstandig om een topic te openen "UniFi versus Zelfbouw project: Firewall / Router / AP" en daar je feedback delen. Dan kunnen we dat weer uitbouwen tot een veel gelezen topic.

danieldk schreef op woensdag 30 oktober 2024 @ 07:54:
Ik heb nooit een Ubiquiti router gehad. Ik heb er wel naar gekeken, maar er lijken consistent dezelfde problemen met performance.

Ubiquiti gebruikt nog steeds relatief zwakke CPU cores, waardoor je als je iets doet dat buiten de (vermoedelijke) hardware acceleratie valt, de performance behoorlijk matig is.

Ter vergelijking doet een (goedkoper dan CGM) N5105 box zonder problemen 2.5Gbe line speed PPPoE of SQM.
Ook als je er dingen als ZenArmor tegenaan gooit heb je nog steeds goede performance.

Ter vergelijking: de N5105 is single-threaded ongeveer 4.5x zo snel als de Cortex A53 1.5GHz in de Cloud Gateway Max. We hebben het bij de Cortex A-53 in de Ultra dan ook over een architectuur uit 2012 die niet eens out-of-order execution doet. Chipsets als de IPQ5322 in the Ultra zijn gemaakt voor 100-150 Euro WiFi thuisrouters [1], waarbij de gebruiker alleen standaardrouting doet met NAT, wat voorgebakken firewall regels, en misschien PPPoE. Scenarios waar alles over de NPU draait en je dus goede performance haalt met een laag energie-budget. Die A53 cores zijn er dan alleen om Linux en een web interface te draaien. Totaal underpowered voor packet inspection e.d., laat staan voor 2.5Gbe.

Ik begrijp dat Ubiquiti fijn is als kant-en-klaar optie met fijne management.

Maar OpnSense is verder ook niet heel erg complex en je krijgt voor hetzelfde geld gewoon veel betere performance en meer mogelijkheden met een zelfbouw (of voorgebouwde x86 box als bijv. Protectli).

[1] De Xiaomi BE6500 Pro heeft dezelfde SoC en kost 108 Euro op Ali (en kun je volgens mij inmiddels ook openwrt-nss op draaien).

stormfly schreef op woensdag 30 oktober 2024 @ 09:16:
Het is jammer dat PPPoE niet in hardware wordt afgehandeld, bij de provider box 14 van KPN vindt dat wel plaats. Het kan wel op hoge snelheden.

Heb nog een N5105 (met OPNsense disk) op zolder liggen zonder taak, als ik met blackfriday een 4Gbps abonnement scoor van KPN dan is er volgens mij maar 1 logische keuze voor de eerste 6 maanden als de korting actief is

Is er recent nog veel gewijzigd aan PPPoE en OPNsense, ik las vlug wat releasenotes dat ze ook naar een hogere freeBSD versie gaan waar mogelijk wat optimalisaties in zitten?

RobertMe schreef op woensdag 30 oktober 2024 @ 09:20:
Weet je zeker dat je het over de juiste apparaten hebt, en niet over een Chinese clone?
Het merk heet namelijk Ubiquiti met een i op het eind en niet een y

danieldk schreef op woensdag 30 oktober 2024 @ 10:47:
Klopt, aan de andere kant is het ook conservatisme en marge-schrapen. Er zijn ook SoCs die niet heel erg veel in prijs verschillen en veel krachtiger zijn, de Filogic 880 heeft bijvoorbeeld Cortex-A73 cores die een stuk vlotter zijn. Blijft nog steeds dat je een flinke regressie hebt zodra je features gebruikt die hardware-acceleratie onmogelijk maken, maar die CPU gaat toch gauw twee keer zo snel zijn. Je zou ook denken dat een bedrijf als Ubiquiti best wat volume heeft en aangepaste SoCs kan krijgen.

Verder denk ik dat er best wat Ubiquiti gebruikers zijn het 50 Euro prijsverschil tussen een IPQ5322 en N100 CPU zouden betalen als de routers daarmee wel snelle PPPoE + IDS hadden.

nero355 schreef op woensdag 30 oktober 2024 @ 15:21:
[...]

Om op bovenstaand thema door te gaan :

Waarom staat er AP als in Accesspoint in de titel eigenlijk

Daar is namelijk heeeel weinig DIY voor te vinden op het omflashen naar OpenWRT van sommige Accesspoints na en dan heb je het eigenlijk wel meteen gehad, waarbij je ook nog eens misschien sommige functionaliteit niet meer kan benutten of eventuele extra poorten verliest

[...]

Het stomme is dus dat de USG reeks alles prima via Offloading kon doen in tegenstelling tot de latere UDR/UDM/UXG/enz. modellen die volledig van A5x cores afhankelijk zijn die zoals je zelf al zegt simpelweg niet snel genoeg zijn en eerder A7x cores of beter hadden moeten zijn

nero355 schreef op woensdag 30 oktober 2024 @ 15:21:
[...]

Om op bovenstaand thema door te gaan :

Waarom staat er AP als in Accesspoint in de titel eigenlijk

Daar is namelijk heeeel weinig DIY voor te vinden op het omflashen naar OpenWRT van sommige Accesspoints na en dan heb je het eigenlijk wel meteen gehad, waarbij je ook nog eens misschien sommige functionaliteit niet meer kan benutten of eventuele extra poorten verliest

danieldk schreef op woensdag 30 oktober 2024 @ 07:54:
[...]


Om toch een lans te breken voor zelfbouw: ik heb nooit een Ubiquity router gehad. Ik heb er wel naar gekeken, maar er lijken consistent dezelfde problemen met performance. Ubiquity gebruikt nog steeds relatief zwakke CPU cores, waardoor je als je iets doet dat buiten de (vermoedelijke) hardware acceleratie valt, de performance behoorlijk matig is. Zo doet de nieuwe Cloud Gateway Max blijkbaar 1500-1600 down en 1200-1300 up met PPPoE met IDS uitgeschakeld, dus het haalt geen line speed (heeft immers 2.5Gbe poorten) op PPPoE. Er zijn veel vergelijkbare klachten met IDS, waarbij in realistische scenarios de bandbreedte niet gehaald wordt. In dat geval wordt, hardware-accelaratie voor PPPoE en dergelijk uitgeschakeld omdat er packet inspection gedaan moet worden. En moet alles inclusief PPPoE over de underpowered CPU cores lopen. Ik verwacht ook niet dat je Cake of CoDel op line speed doet. Hetzelfde zie je met de UDM Pro, waar mensen door hoepels moeten springen om half-acceptabele PPPoE snelheden te halen.

Ter vergelijking doet een (goedkoper dan CGM) N5105 box zonder problemen 2.5Gbe line speed PPPoE of SQM. Ook als je er dingen als ZenArmor tegenaan gooit heb je nog steeds goede performance. Ter vergelijking: de N5105 is single-threaded ongeveer 4.5x zo snel als de Cortex A53 1.5GHz in de Cloud Gateway Max. We hebben het bij de Cortex A-53 in de Ultra dan ook over een architectuur uit 2012 die niet eens out-of-order execution doet. Chipsets als de IPQ5322 in the Ultra zijn gemaakt voor 100-150 Euro WiFi thuisrouters [1], waarbij de gebruiker alleen standaardrouting doet met NAT, wat voorgebakken firewall regels, en misschien PPPoE. Scenarios waar alles over de NPU draait en je dus goede performance haalt met een laag energie-budget. Die A53 cores zijn er dan alleen om Linux en een web interface te draaien. Totaal underpowered voor packet inspection e.d., laat staan voor 2.5Gbe.

Ik begrijp dat Ubiquity fijn is als kant-en-klaar optie met fijne management. Maar OpnSense is verder ook niet heel erg complex en je krijgt voor hetzelfde geld gewoon veel betere performance en meer mogelijkheden met een zelfbouw (of voorgebouwde x86 box als bijv. Protectli).

[1] De Xiaomi BE6500 Pro heeft dezelfde SoC en kost 108 Euro op Ali (en kun je volgens mij inmiddels ook openwrt-nss op draaien).

RobertMe schreef op woensdag 30 oktober 2024 @ 15:32:
DIY AP kan prima.

Ja, het is wellicht wat lastiger om het als AP echt te krijgen. Maar vele wifi adapters voor laptop / desktop kun je prima in AP mode krijgen. En als je bv een TopTon doos hebt met wifi / M.2 slot (met E key?) kun je daar vast een AP van maken. * RobertMe heeft daar 15 jaar geleden wel eens mee lopen kloten. IIRC gaat het niet heel veel verder dan wpa_supplicant en hostapd draaien om de SSIDs uit te zenden (incl WPA verhaal). En verder is het een kwestie van de interfaces per radio/SSID in een bridge plaatsen met de ethernetpoort / VLAN. Prima te doen dus (als je Linux gebruikt? Als je wilt gebruiken op router. Kan me indenken dat OPNSense het niet ingebakken heeft).

Echt niet. De USG kon smart queues(?) ook niet offloaden. En IDS/IPS al helemaal niet (maar dat is natuurlijk ook een latere feature). Dus ook bij de USG zijn er wat (combinaties van) instellingen waarbij hardware offloading volledig uit gaat en je een brakke performance over houdt.

Raven schreef op woensdag 30 oktober 2024 @ 17:16:
* Raven denkt aan het AR9380 kaartje en de CRDA- / Regulatory Domain-toestanden tijdens het opzetten van AP in IPFire.
DIY-genoeg?

wian schreef op woensdag 30 oktober 2024 @ 20:16:
Je hoeft mij niet te overtuigen hoor, ik draai al zelfbouw firewalls sinds Freesco

Maar openwrt zou ik niemand aanraden.

Ja, het is lightweight en snel, dus ook op crappy hardware trek je je 1gbit lijntje dicht, maar het is onoverzichtelijk en de GUI's van de verschillende pakketten hangen als los zand aan elkaar.

Als je dezelfde functionaliteit wilt als een standaard installatie van OPNsense, ben je een week aan het installeren en configureren.

En alles draait als root.

nero355 schreef op woensdag 30 oktober 2024 @ 22:33:
[...]

Klinkt als Atheros brakheid voordat ze door Qualcomm waren overgenomen ??

TheCeet in "Zelfbouw project: Firewall / Router / AP"
Maar die heeft gesoldeerd RAM aan boord, en misschien toekomst gericht niet echt interessant?

Dennis schreef op zondag 3 november 2024 @ 22:39:
Ik dacht vanavond: laat ik nog eens een gok doen om te zien of ik de combi pfSense+FreeRADIUS-EAP-TLS met Ubiquiti Unifi werkend kan krijgen zonder mijn losse routertje met FreeRADIUS 2 die ik daarvoor nog altijd speciaal heb draaien.

En warempel... eerste test meteen succesvol. Heb wel de LDAP-koppeling los moeten laten maar die wil ik uiteindelijk toch gaan uitfaseren dus helemaal prima.

Het enige wat ik nog niet voor elkaar krijg is "EAP-TLS with OCSP support". Iemand die dat toevallig wél werkend heeft? Ik wil dus dat FreeRADIUS een OCSP request uitvoert op mijn eigen certificaten en op basis daarvan bepaalt of een gebruiker al dan niet wordt toegelaten.

Mijn OCSP-server van mijn eigen Certificate Authority (ik draai EJBCA met een Nginx proxy ervoor) werkt feilloos, dus dat is het probleem niet. Ik vermoed ook niet dat het door firewall rules wordt tegengehouden want het is immers poort 80. De logfiles geven daar ook geen indicatie van.

Vrij specifieke vraag maar misschien dat hier iemand dit ook heeft .

TheCeet schreef op zondag 3 november 2024 @ 14:07:
Ik zit te denken om een nieuwe hardware setup aan te schaffen om deze in te stellen als router (Opnsense).
Momenteel draait het hier op een Lenovo M720q met 2e NIC ingebouwd. Maar ik blijf toch problemen hebben met de 24.7 versie, 24.1 draait wel perfect.
De Lenovo zou ik dan willen inrichten als proxmox en daar allerlei containers op inrichten + zelfstudie materiaal.

Ik lees hier al tijdje mee en zie vanalles verschijnen.
Maar wat is nu jullie favoriet hardware router?
Ikzelf kom toe met LAN + WAN poort, want ik heb na de router een Unifi switch hangen.

De Topton's en andere Chinese mini PC's heb ik wat "schrik" voor ivm de hitte die deze genereren en ook het slechte koelpasta verhalen.

Protectli zag ik ook passeren hier recent, en in het bijzonder dan V1210 – 2 Port Intel N5105.
Maar die heeft gesoldeerd RAM aan boord, en misschien toekomst gericht niet echt interessant?

Kabouterplop01 schreef op maandag 4 november 2024 @ 08:51:
Dat is wel vet!
Zie je de GET aankomen op je server? (Ik bedoel dat wordt even tcpdump-en/draadhaaien)

TheCeet schreef op zondag 3 november 2024 @ 14:07:
Ik zit te denken om een nieuwe hardware setup aan te schaffen om deze in te stellen als router (Opnsense).

Ik lees hier al tijdje mee en zie vanalles verschijnen.
Maar wat is nu jullie favoriet hardware router?
Ikzelf kom toe met LAN + WAN poort, want ik heb na de router een Unifi switch hangen.

De Topton's en andere Chinese mini PC's heb ik wat "schrik" voor ivm de hitte die deze genereren en ook het slechte koelpasta verhalen.

Protectli zag ik ook passeren hier recent, en in het bijzonder dan V1210 – 2 Port Intel N5105.
Maar die heeft gesoldeerd RAM aan boord, en misschien toekomst gericht niet echt interessant?

Dennis schreef op maandag 4 november 2024 @ 10:21:
[...]


Als je dit trouwens leuk vindt @Kabouterplop01 dan is het relatief eenvoudig om op te zetten, maar je moet het even weten. Ejbca is open source en kun je zo draaien (ik draai het op een VPS bij TransIP). Enige basiskennis van certificaten is wel handig maar ik heb ook 'learning on the job' gedaan . En veel veiliger dan dit wordt het niet, zeker niet als je dus OCSP succesvol implementeert. Het werkt ook feilloos op Android, Windows, Mac en iOS.

[ Voor 19% gewijzigd door Kabouterplop01 op 04-11-2024 18:12 ]

wian schreef op donderdag 7 november 2024 @ 10:45:
Versie 24.7.8 van OPNsense is nu beschikbaar. Verschillende fixes met betrekking tot Certificate Revocation Lists en intel drivers: "assorted FreeBSD stable patches for Intel ixgbe, igb, igc and e1000 drivers", dus de moeite waard.

nero355 schreef op donderdag 7 november 2024 @ 17:03:
@wian @danieldk

Ik zag het gisteren inderdaad in het Dashboard van mijn OPNsense staan, maar eerlijk gezegd zag ik niks staan wat echt extreem belangrijk was qua security (Als in "Exposed to WAN") dus ik ga gewoon de komende tijd effe een rustig momentje ervoor uitzoeken en dan updaten

Lethalis schreef op vrijdag 8 november 2024 @ 16:26:
Steeds maar willen updaten is ook een ziekte

[Afbeelding]

nero355 schreef op vrijdag 8 november 2024 @ 16:46:
En als er wat gruwelijk mis is gegaan herinstalleer je effe snel, zet je de XML met de Config erin weer terug en ben je weer Up & Running

[ Voor 10% gewijzigd door danieldk op 08-11-2024 20:29 ]

danieldk schreef op vrijdag 8 november 2024 @ 20:05:
Waarom herinstalleren? OPNsense ondersteunt ZFS snapshots.

wian schreef op donderdag 7 november 2024 @ 10:45:
Versie 24.7.8 van OPNsense is nu beschikbaar. Verschillende fixes met betrekking tot Certificate Revocation Lists en intel drivers: "assorted FreeBSD stable patches for Intel ixgbe, igb, igc and e1000 drivers", dus de moeite waard.

stormfly schreef op donderdag 14 november 2024 @ 08:34:
In het kader van leuke china doosjes, ik heb hem zelf niet gekocht maar twijfel ;-) Deze heeft een collega van mij gekocht, stil, koel, 18 watt verbruik met 3 VM's. Voordeel is het SFP slot voor de verglazing van woningen.

https://www.amazon.de/dp/B0DFYF2FHL?th=1 er leuke prijs voor een N100

N100= 188 euro
N305= 280 euro

[Afbeelding]

RobertMe schreef op donderdag 14 november 2024 @ 12:18:
[...]

Ik mag hopen SFP+, en niet SFP? Anders zit je al snel aan de limiet

stormfly schreef op donderdag 14 november 2024 @ 08:34:
In het kader van leuke china doosjes, ik heb hem zelf niet gekocht maar twijfel ;-) Deze heeft een collega van mij gekocht, stil, koel, 18 watt verbruik met 3 VM's. Voordeel is het SFP+ slot voor de verglazing van woningen.

Tom Paris schreef op donderdag 14 november 2024 @ 13:03:
[...]


Bij STH hebben ze deze getest. Het Alder Lake-N platform heeft maar beperkt PCIe-lanes, de SFP+ sloten (of eigenlijk, de X520 NIC) zijn aangesloten op PCIe 2.0 x4 ipv x8. Dat is een bottleneck voor de throughput. Routeren op 10Gbit ga je dus niet halen, hooguit ~7Gbit (en dan negeren we de PPPoE issues even voor het gemak).

[ Voor 7% gewijzigd door wian op 14-11-2024 14:21 ]

wian schreef op donderdag 14 november 2024 @ 14:19:
[...]

Bedoel je deze review?

@stormfly waarom stuur je dit soort speelgoed!? Mijn muis hovert over de bestelknop.

Belgar schreef op donderdag 14 november 2024 @ 14:06:
Is de PPPoE specifiek een OPNsense probleem? Of volg ik het verhaal niet helemaal.

Mijn router draait op linux en ik heb geen problemen met PPPoE doorvoer. Wel dat service linking niet helemaal lekker gaat als de PPPoE route niet opkomt en moet ik met scripts aan de gang om dat weer vlot te trekken.

RobertMe schreef op donderdag 14 november 2024 @ 14:54:
[...]

PPPoE is sowieso een "performance" probleem. Op "echte" routers is dit een taak die vaak hardwarematig gedaan kan worden en dan is het peanuts. Op de software oplossingen is het "niet peanuts" en heb je er een zwaardere CPU voor nodig. Bijkomend nadeel van *BSD ten opzichte van Linux is vervolgens ook nog eens dat BSD PPPoE single threaded afhandelt, daar waar het op Linux wel multithreaded kan / gedaan wordt.

[ Voor 6% gewijzigd door danieldk op 14-11-2024 15:41 ]

stormfly schreef op donderdag 14 november 2024 @ 08:34:
In het kader van leuke china doosjes, ik heb hem zelf niet gekocht maar twijfel ;-) Deze heeft een collega van mij gekocht, stil, koel, 18 watt verbruik met 3 VM's. Voordeel is het SFP+ slot voor de verglazing van woningen.

https://www.amazon.de/dp/B0DFYF2FHL?th=1 er leuke prijs voor een N100

N100= 188 euro
N305= 280 euro

[Afbeelding]

Tom Paris schreef op donderdag 14 november 2024 @ 13:03:
Bij STH hebben ze deze getest. Het Alder Lake-N platform heeft maar beperkt PCIe-lanes, de SFP+ sloten (of eigenlijk, de X520 NIC) zijn aangesloten op PCIe 2.0 x4 ipv x8. Dat is een bottleneck voor de throughput. Routeren op 10Gbit ga je dus niet halen, hooguit ~7Gbit (en dan negeren we de PPPoE issues even voor het gemak).

Tom Paris schreef op donderdag 14 november 2024 @ 14:54:
Koop dan een Wyse 5070, Futro S940 of Lenovo M720/M920 met een X520. Beetje zoeken in V&A en eBay, ben je rond de €100 kwijt voor praktisch dezelfde performance in *sense.

Belgar schreef op donderdag 14 november 2024 @ 16:46:
Ik draai de router in een container en gebruik de commandline voor configuratie (VYOS).

De router container is ook bij volle belasting redelijk zuinig gelukkig.

Belgar schreef op donderdag 14 november 2024 @ 20:18:
De router kun je krijgen direct bij: https://vyos.io/ . Indien je een specifieke versie wil moet je zelf wel compilen. Om gewoon te testen kun je de daily release (gratis precompiled en download) in een VM slepen en werkt het in principe direct uit de doos (hoewel een router per default niets doet natuurlijk ). In proxmox GUI terminal openen naar vyos VM en configureren maar.

[ Voor 9% gewijzigd door nero355 op 15-11-2024 19:02 ]

TheCeet schreef op zaterdag 23 november 2024 @ 16:27:
Ikzelf heb gisteren is snel zitten kijken naar Topton n100 bakje met 8gb RAM en 128gb komt het op 177€.

Denk dat ik deze ga aanschaffen als dedicated opnsense bakje.
En mn lenovo m720q dan inrichten als ‘home servertje’

Belgar schreef op donderdag 14 november 2024 @ 20:18:
@nero355
ik draai op zo'n N100 doosje als hardware (niks speciaals, wel goed gekoeld). Proxmox als container/VM manager.

Proxmox heeft native support (na aanzetten in de config met enkele setting) voor VT-D / VT-I interfaces en je kan per VM hardware virtueel of exclusief toewijzen (allemaal via Proxmox GUI).

De router kun je krijgen direct bij: https://vyos.io/ . Indien je een specifieke versie wil moet je zelf wel compilen. Om gewoon te testen kun je de daily release (gratis precompiled en download) in een VM slepen en werkt het in principe direct uit de doos (hoewel een router per default niets doet natuurlijk ). In proxmox GUI terminal openen naar vyos VM en configureren maar.

Villager schreef op zaterdag 23 november 2024 @ 16:45:
[...]

Welke? Linkje?

EverLast2002 schreef op zaterdag 23 november 2024 @ 16:59:
[...]


Zal wel aan mij liggen, maar waar precies kun je een gratis iso of een vm downloaden?
Ik zoek me scheel op die vyos website...

TheCeet schreef op zaterdag 23 november 2024 @ 17:06:
[...]

Deze:
https://a.aliexpress.com/_EJsVgwv

Dus met black friday nu 20€ korting op.
Lijkt me nog redelijke prijs voor nieuw te zijn, uiteraard kan het goedkoper met andere cpu

Villager schreef op zaterdag 23 november 2024 @ 08:58:
Wat is t stil hier

Niemand aan het kijken voor een nieuw router boxje nu de black friday aanbiedingen er zijn?
Ik wel dus.

Zat ook te kijken naar de doosjes met 2x sfp+, maar die zijn nog best prijzig.
Ook een doosje met 2x lan is bijna net zo duur als eentje met 4. Een N100 met 8Gb en 256 SSD volstaat.

Iemand suggesties?

TheCeet schreef op zaterdag 23 november 2024 @ 17:06:
Deze : https://a.aliexpress.com/_EJsVgwv

Dus met black friday nu 20€ korting op.

TheCeet schreef op zaterdag 23 november 2024 @ 16:27:
Ikzelf heb gisteren is snel zitten kijken naar Topton n100 bakje met 8gb RAM en 128gb komt het op 177€.

Denk dat ik deze ga aanschaffen als dedicated opnsense bakje.
En mn lenovo m720q dan inrichten als ‘home servertje’

TheCeet schreef op zaterdag 23 november 2024 @ 17:06:
Deze:
https://a.aliexpress.com/_EJsVgwv

Dus met black friday nu 20€ korting op.
Lijkt me nog redelijke prijs voor nieuw te zijn, uiteraard kan het goedkoper met andere cpu.

EverLast2002 schreef op zaterdag 23 november 2024 @ 16:59:
Zal wel aan mij liggen, maar waar precies kun je een gratis iso of een vm downloaden?

Ik zoek me scheel op die vyos website...

Villager schreef op zondag 24 november 2024 @ 07:25:
"Ik heb nu al iets van 3 of 4 updates van OPNsense overleefd in ieder geval "

In mijn geval is de update nog wel een keer fout gelopen, zoals bij de laatste update. Het feit dat ik heel makkelijk de laatste goeie VM kan restoren heeft me al vaak gered. Mocht ik een doosje dedicated voor OPNsense aanschaffen dan lijkt me dit ook de weg te gaan toch? OPNsense in een VM op Proxmox?
Wel weer een risico dat ik er weer andere containers bij ga zetten

[ Voor 9% gewijzigd door danieldk op 24-11-2024 08:22 ]

nero355 schreef op zaterdag 23 november 2024 @ 22:14:


[...]

Laatst gekeken naar 120/128/240/250/256 GB M.2 SATA/NVMe SSD's en sinds ik WD Green wel redelijk genoeg vind voor zoiets en weet dat het geen gezeik met Linux geeft en dus ook hopelijk niet met *BSD dacht ik dat het wel een leuke optie zou zijn : Krengen kosten al gauw € 30+

Nou weet ik niet wat 8 GB RAM kost voor zo'n kastje op dit moment, maar € 177 klinkt opzich ook wel als een redelijke deal op voorwaarde dat je een beetje kwaliteit RAM en SSD krijgt


[...]

Mooi gevonden hoor!

Nu nog wat ouders helemaal nieuw kopen lijkt me zonde, tenzij een of andere speciale reden...

Kabouterplop01 schreef op maandag 4 november 2024 @ 18:07:
edit: ik zou beginnen met een tcpdumpje op je OCSP request , dan weet je gelijk waar je moet kijken.
Kijk of het je client uitgaat en of het aankomt op je server. is echt een minuutje werk.
met een filtertje erop op port 80 of van een specifiek src_ip.

good luck and keep us on the altitude

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

[2.7.0-RELEASE][admin@Router-HO.hoogoord.corp.vanl.nl]/usr/local/etc/raddb/certs: openssl ocsp -issuer ca_cert.pem -cert dennis.vanl.pem -text -url http://ocsp.vanl.nl/
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 8AAD02013DB6661E0E26027ED4A594E5BEC76470
          Issuer Key Hash: 7CEB61AFDBCB47B6FD7C5413C385B68284ED4CDF
          Serial Number: 5EECB758AC6C36A1
    Request Extensions:
        OCSP Nonce:
            04107671180993B8F3DF3DAE75016A36F67E
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 7CEB61AFDBCB47B6FD7C5413C385B68284ED4CDF
    Produced At: Nov 24 11:12:43 2024 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 8AAD02013DB6661E0E26027ED4A594E5BEC76470
      Issuer Key Hash: 7CEB61AFDBCB47B6FD7C5413C385B68284ED4CDF
      Serial Number: 5EECB758AC6C36A1
    Cert Status: good
    This Update: Nov 24 11:12:43 2024 GMT
    Next Update: Nov 24 12:12:43 2024 GMT

    Response Extensions:
        OCSP Nonce:
            04107671180993B8F3DF3DAE75016A36F67E
    Signature Algorithm: sha256WithRSAEncryption
         a3:d8:ac:73:19:57:d6:39:4f:61:61:46:81:14:d8:f2:ea:72:
         1a:21:a0:4c:28:5d:a9:85:98:fd:1a:8f:2d:99:58:92:16:21:
         17:84:ce:1d:02:0e:94:ef:c8:d1:31:d9:8d:57:9a:9d:fa:80:
         73:8e:b9:6e:59:5e:64:2b:4e:9b:50:64:9d:8f:2a:4e:a8:38:
         80:d4:f9:80:9d:fa:13:bb:98:73:53:44:7c:5e:34:f4:e2:b0:
         79:f0:0b:41:53:0c:27:a3:da:2f:7b:fc:87:8c:02:70:3a:9b:
         5e:a3:b7:ec:52:c5:4b:82:19:b6:32:c0:9d:9d:a2:7b:26:db:
         30:c2:de:a0:b8:b2:6f:2f:48:6f:90:c4:c9:81:0e:a7:e6:16:
         7d:7d:61:b0:39:c0:e4:81:ba:66:88:33:ea:d5:d2:12:80:fb:
         00:49:49:2b:9d:af:bf:02:88:54:2f:59:b6:a3:9b:a8:4f:68:
         ca:dd:b3:77:22:31:00:5b:57:67:ee:28:fc:52:79:07:78:35:
         ca:18:33:dd:4f:5f:d9:fe:1f:09:81:72:ee:37:dd:d1:e8:25:
         4b:bd:a4:d1:7a:29:bc:2f:76:2a:8d:0a:57:d9:ab:68:db:a1:
         b8:aa:03:4b:93:15:cc:12:db:22:c8:89:55:af:e3:29:e6:65:
         ef:48:83:36:d8:65:92:9b:65:55:a3:81:10:05:ee:22:04:0b:
         37:f0:21:0a:0e:93:e4:c2:36:29:12:28:f3:66:7f:20:d4:70:
         58:54:50:15:da:c9:5c:d8:ae:32:ba:c5:4d:5a:b5:79:f0:ea:
         d5:dd:d5:8d:78:4d:87:81:c8:1b:d6:9f:da:50:e9:39:73:61:
         67:5a:fd:39:3f:85:fe:57:62:71:c7:ee:04:d2:54:d7:49:b0:
         4a:14:4a:36:d5:3d:5b:7a:ac:8c:e4:54:b2:c7:fc:02:df:12:
         3b:c9:fa:93:60:16:61:e1:e0:3d:ff:c5:6d:f8:fe:ef:15:6e:
         d8:6e:b4:8c:f5:9b:80:97:78:39:72:83:8b:6e:01:00:83:10:
         c6:43:94:f0:43:44:b8:02:0b:48:65:5c:c7:c8:81:9f:c2:ee:
         7f:da:0c:38:e0:30:ab:63:6f:9f:aa:0f:b5:a5:9e:4b:38:f0:
         35:c5:af:4b:66:6b:0a:1b:af:2a:40:4e:1b:55:a2:e5:21:68:
         95:9f:07:5d:56:42:cd:ab:76:09:1f:ca:a1:9b:90:e5:3e:30:
         3f:44:d1:f0:f3:04:06:a9:2d:a8:07:de:67:c8:72:5b:a3:0d:
         56:a6:88:8d:72:54:cc:d6:75:95:c7:58:87:5a:6d:3b:63:af:
         a1:c4:a9:d1:ca:4f:b6:de
Response verify OK
dennis.vanl.pem: good
        This Update: Nov 24 11:12:43 2024 GMT
        Next Update: Nov 24 12:12:43 2024 GMT

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Certificate chain - 1 cert(s) untrusted
(TLS) untrusted certificate with depth [1] subject name /C=NL/O=VanL/OU=VanL Security/CN=VanL Users CA G5
(TLS) untrusted certificate with depth [0] subject name /SN=van L/GN=Dennis/CN=dennis.vanl/emailAddress=dennis@vanl.nl
(14) eap_tls: EXPAND %{User-Name}
(14) eap_tls:    --> dennis.vanl
(14) eap_tls: checking certificate CN (dennis.vanl) with xlat'ed value (dennis.vanl)
(14) eap_tls: Starting OCSP Request
(14) eap_tls: ocsp: Using responder URL "http://ocsp.vanl.nl:80/"
(14) eap_tls: ERROR: ocsp: Couldn't verify OCSP basic response
(14) eap_tls: ERROR: (TLS) ocsp: Certificate has been expired/revoked
(14) eap_tls: (TLS) send TLS 1.2 Alert, fatal internal_error
(14) eap_tls: ERROR: (TLS) Alert write:fatal:internal error
(14) eap_tls: ERROR: (TLS) Server : Error in error
(14) eap_tls: ERROR: (TLS) Failed reading from OpenSSL
(14) eap_tls: ERROR: (TLS) error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found
(14) eap_tls: ERROR: (TLS) error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
(14) eap_tls: ERROR: (TLS) System call (I/O) error (-1)
(14) eap_tls: ERROR: (TLS) EAP Receive handshake failed during operation
(14) eap_tls: ERROR: [eaptls process] = fail
(14) eap: ERROR: Failed continuing EAP TLS (13) session.  EAP sub-module failed
(14) eap: Sending EAP Failure (code 4) ID 36 length 4
(14) eap: Failed in EAP select
(14)     [eap] = invalid
(14)   } # authenticate = invalid
(14) Failed to authenticate the user

TheCeet schreef op zondag 24 november 2024 @ 09:15:
[...]

Backbone kost ie 133€.
Dus 44€ goedkoper maar ik ben er zeker van dat je geen DDR5 RAM en goede betrouwbare nvme voor dat geld kan vinden.

Daar twijfel ikzelf ook beetje aan. Liever backbone en goede nvme en ram apart aanschaffen dan het Chinese onbekende erin…

[ Voor 15% gewijzigd door Villager op 24-11-2024 13:41 ]

Kabouterplop01 schreef op zondag 24 november 2024 @ 13:15:
^^ Gaaf! @Dennis

Wat mij triggert is dat volgens mij er niets mis is met je cert, maar eerder met de trust van die andere intermediate:

code:

1 2 3 4 5 6 7 8 9

(14) eap_tls: ERROR: (TLS) ocsp: Certificate has been expired/revoked (14) eap_tls: (TLS) send TLS 1.2 Alert, fatal internal_error (14) eap_tls: ERROR: (TLS) Alert write:fatal:internal error (14) eap_tls: ERROR: (TLS) Server : Error in error (14) eap_tls: ERROR: (TLS) Failed reading from OpenSSL ---- (14) eap_tls: ERROR: (TLS) error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found <<<<< (14) eap_tls: ERROR: (TLS) error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed ---

Het certificate kan niet worden gevalideerd.

Dennis schreef op zondag 24 november 2024 @ 14:23:
[...]

Nou, heb even geprobeerd wat ik zei maar het maakt geen verschil. Op één of andere manier moet ik dan toch zien te achterhalen wat FreeRadius/pfSense onderliggend doet, maar dat is nog geen sinecure vrees ik.

delta1 schreef op zondag 24 november 2024 @ 21:56:
Ik heb nog een oude TP-Link TL-WDR4300 v1 uit februari 2012, die ook al zo lang draait op een oude versie van DD-WRT. Deze router stond dan weer in de DMZ van mijn KPN Experiabox, waardoor de veiligheid van mijn thuisnetwerk volledig afhankelijk is van de DD-WRT-firewall. Dat vind ik al jaren geen prettig idee.

Villager schreef op zondag 24 november 2024 @ 13:13:
[...]


Ik heb de Topton N100 toch wel zonder Ram en Storage gekocht voor €129. Enerzijds om eventuele douanekosten te voorkomen (>€150) en anderzijds om er zeker van te zijn dat ik een goeie memory module en ssd er in kan doen. Heb nog een 500Gb Nvme liggen.
Zal deze er goed in werken? https://www.alternate.nl/...eheugen&utm_term=IENH58N0

Villager schreef op zondag 24 november 2024 @ 07:25:
"Ik heb nu al iets van 3 of 4 updates van OPNsense overleefd in ieder geval "

In mijn geval is de update nog wel een keer fout gelopen, zoals bij de laatste update.

Het feit dat ik heel makkelijk de laatste goeie VM kan restoren heeft me al vaak gered.

Mocht ik een doosje dedicated voor OPNsense aanschaffen dan lijkt me dit ook de weg te gaan toch? OPNsense in een VM op Proxmox?

Wel weer een risico dat ik er weer andere containers bij ga zetten

TheCeet schreef op zondag 24 november 2024 @ 09:15:
Backbone kost ie 133€.

Daar twijfel ikzelf ook beetje aan. Liever backbone en goede nvme en ram apart aanschaffen dan het Chinese onbekende erin…

Dus 44€ goedkoper maar ik ben er zeker van dat je geen DDR5 RAM en goede betrouwbare nvme voor dat geld kan vinden.

Villager schreef op zondag 24 november 2024 @ 13:13:
Ik heb de Topton N100 toch wel zonder Ram en Storage gekocht voor €129.

Enerzijds om eventuele douanekosten te voorkomen (>€150)

Zal deze er goed in werken? https://www.alternate.nl/html/product/1839688?

delta1 schreef op zondag 24 november 2024 @ 21:56:
Ik heb nog een oude TP-Link TL-WDR4300 v1 uit februari 2012, die ook al zo lang draait op een oude versie van DD-WRT. Deze router stond dan weer in de DMZ van mijn KPN Experiabox, waardoor de veiligheid van mijn thuisnetwerk volledig afhankelijk is van de DD-WRT-firewall. Dat vind ik al jaren geen prettig idee.

TheCeet schreef op zondag 24 november 2024 @ 23:11:
[...]

Hoe kom je aan die 129€ als ik mag vragen?

De voorgestelde RAM zou idd moeten werken.
Moet SO-DIMM, DDR5 & 4800MHz zijn.

Ikzelf heb deze op het oog:
Crucial RAM 16GB voor 39€
WD Blue SN580 500GB voor 45€

EverLast2002 schreef op zondag 24 november 2024 @ 22:21:
[...]


In jouw situatie is de firewall tussen DMZ en LAN van de Experiabox toch de scheiding?
Of heb je je hele thuisnetwerk aan de DMZ gekoppeld met de TP-Link ertussen?

delta1 schreef op maandag 25 november 2024 @ 14:49:
[...]


Dat laatste inderdaad. De TP-Link heb ik een vast IP-adres gegeven in de Experiabox, en vervolgens het DMZ veldje in de Experiabox web interface op dat IP-adres gezet. Dus ik ben in de veronderstelling dat alle inkomende verbindingen klakkeloos doorgezet worden naar mijn TP-Link router, en bijbehorende firewall. Maar misschien heb ik dit verkeerd.

Villager schreef op zaterdag 23 november 2024 @ 08:58:
Wat is t stil hier :-)
Niemand aan het kijken voor een nieuw router boxje nu de black friday aanbiedingen er zijn?

EverLast2002 schreef op maandag 25 november 2024 @ 17:41:
[...]


Die constructie is apart maar werkt wel. De reden om dit zo te doen weet jij beter dan wij.
Misschien mist de Experiabox bepaalde functionaliteit die DD-WRT wel heeft?
En de firewall van een Experiabox lijkt me ook redelijk robuust aangezien hele volksstammen er eentje in huis hebben staan.

[ Voor 6% gewijzigd door delta1 op 25-11-2024 19:50 ]

delta1 schreef op maandag 25 november 2024 @ 19:45:
Dit is vrij normaal voor mensen met een DSL aansluiting die een eigen router willen gebruiken.

Een eigen router kan al snel veel meer dan een Experiabox.
Want veel meer dan poorten open zetten en een SSID aanpassen kun je niet.

Ik weet dat er modem/router combinaties bestaan die werken met een KPN DSL verbinding, zoals de FritzBoxen, maar ik wil liever de DIY/opensource kant op.

nero355 schreef op maandag 25 november 2024 @ 22:13:
[...]

Niet echt, want er zijn gewoon xDSL Modem/Routers tekoop die je zo kan neerzetten i.c.m. een KPN xDSL verbinding

[...]

Ik gebruikte altijd een DrayTek xDSL Modem/Router want ook die Fritz!Box dingen zijn best wel kreupel en heel simpel qua webGUI helaas...
Zelfs als je de zogenaamde "Advanced/Expert Mode" aanzet !!

nero355 schreef op maandag 25 november 2024 @ 22:13:
Ook kan je losse xDSL Modems van DrayTek kopen uit de 100 Serie en daar weer je DIY Router op aansluiten

delta1 schreef op dinsdag 26 november 2024 @ 00:17:
[...]


Daarom gaf ik de Fritzbox ook als voorbeeld. Leuk voor de consument die iets meer wil (oprecht), maar die kant en klare xDSL modem/routers hebben altijd brakke, snel gedateerde web interfaces, en je mist op den duur altijd wel wat functionaliteit.

delta1 schreef op dinsdag 26 november 2024 @ 00:17:
Daarom gaf ik de Fritzbox ook als voorbeeld. Leuk voor de consument die iets meer wil (oprecht)

maar die kant en klare xDSL modem/routers hebben altijd brakke, snel gedateerde web interfaces, en je mist op den duur altijd wel wat functionaliteit.

En dan kom je dus praktisch gezien uit op mijn setup. Zo gek is het dus niet

Maar wel handig in kader van ruimte/energie besparing, dus neem ik zeker mee! Ik kwam toevallig eerder de ZyXEL VMG4005-B50A tegen.

nero355 schreef op dinsdag 26 november 2024 @ 18:32:
[...]

Dan is die Fritz!Box wat mij betreft dus de verkeerde keuze


[...]

Dat probleem heb je dus niet met een DrayTek


[...]

Ehm... NEE

Zo'n losse pure Modem is vele malen beter

Overigens kunnen heel veel DrayTek Modem/Router modellen ook in Bridge Mode draaien als dat moet !!


[...]

Check effe Het grote xDSL-topic om zeker te weten dat je een fatsoenlijk ZyXel model met Bonding koopt qua compatibiliteit met de Nederlandse xDSL Centrales/DSLAM's

mrdemc schreef op dinsdag 26 november 2024 @ 18:37:
Draytek is echt het voorbeeld van een brakke (het werkt wel) gedateerde UI

nero355 schreef op dinsdag 26 november 2024 @ 19:16:
[...]

Ik vind het heerlijk :
[Afbeelding: Screenshot DrayTek Multi-PVC Settings]

En om dezelfde reden ben ik heel happy met de OPNsense webGUI

nero355 schreef op dinsdag 26 november 2024 @ 19:16:
[...]

Ik vind het heerlijk :
[Afbeelding: Screenshot DrayTek Multi-PVC Settings]

En om dezelfde reden ben ik heel happy met de OPNsense webGUI

mrdemc schreef op dinsdag 26 november 2024 @ 19:18:
Haha ieder z’n ding

ik vind OPNSense dan weer minder gedateerd aanvoelen, kan altijd beter natuurlijk, maar lekker snel en overzichtelijk met een aanpasbaar thema.
Tot nu toe wat mij betreft het meest prettige UI.

Zwelgje schreef op dinsdag 26 november 2024 @ 19:19:
fijn he Windows Vista met die Aero interface. bevalt goed?

[ Voor 3% gewijzigd door Lethalis op 27-11-2024 07:56 ]

Lethalis schreef op woensdag 27 november 2024 @ 07:26:
Eerlijk gezegd boeit de user interface mij niet. Wat ik wel vervelend bij Draytek vind, is dat je bij elke kleine wijziging de vraag krijgt of hij kan rebooten.

Ik begin zo naderhand old school een Linux router op te zetten met Debian.

En de user interface is heel mooi. Gewoon bash

nero355 schreef op woensdag 27 november 2024 @ 15:17:
[...]

LOL!

Hoewel ik dat eigenlijk ook wel geweldig vind ben ik bang dat je op een gegeven moment het overzicht een beetje kwijtraakt, vooral op het moment dat zo'n bakkie steeds meer gaat doen zoals in jouw geval

Je hebt dan kans dat je opeens denkt van : "Goh... een webGUI zou misschien toch wel fijn zijn ?!"

RobertMe schreef op woensdag 27 november 2024 @ 15:45:
Ik draai nu een heel ruim jaar zelfbouw op basis van Debian en klaar.

En heb nu niet het idee dat ik een UI mis.

99% van netwerk verhaal (VLANs, DHCP, IPv6 incl SLAAC etc, Wireguard, ...) zit in systemd-networkd config files (die sowieso gesplitst moeten zijn per interface, en mijn netwerk interfaces heten letterlijk wan, lan, prive, iot, ...).

Firewall verhaal zit in een file van nft / nftables.

Software die ik er op draai gaat via Docker en moet ik dus voor in de compose file van de "stack" zijn (voor Unbound bv /docker/dns/compose.yaml), of dan evt config files waar nodig (Unbound bv die geen UI heeft) en die staan dan ook in het bijbehorende mapje, /docker/dns/config/unbound/....

nero355 schreef op woensdag 27 november 2024 @ 15:17:
[...]
Hoewel ik dat eigenlijk ook wel geweldig vind ben ik bang dat je op een gegeven moment het overzicht een beetje kwijtraakt, vooral op het moment dat zo'n bakkie steeds meer gaat doen zoals in jouw geval

Je hebt dan kans dat je opeens denkt van : "Goh... een webGUI zou misschien toch wel fijn zijn ?!"

[ Voor 4% gewijzigd door Lethalis op 27-11-2024 16:29 ]

nero355 schreef op woensdag 27 november 2024 @ 15:59:

Hoe zijn die verspreid dan ? Of juist verzameld in één mapje ?

Ik heb namelijk weleens met wat SystemD dingetjes gerommeld en omdat het dan ging om bijvoorbeeld de Interfaces en OpenSSH zat alles in een aparte directory dus als je al die aanpassingen wilt backuppen zit je ook weer alles bij elkaar te rapen...

GioStyle schreef op woensdag 27 november 2024 @ 16:42:
Tegenwoordig hou ik alle aanpassingen bij in Ansible.

nero355 schreef op woensdag 27 november 2024 @ 15:59:
[...]

Hoe zijn die verspreid dan ? Of juist verzameld in één mapje ?

Ik heb namelijk weleens met wat SystemD dingetjes gerommeld en omdat het dan ging om bijvoorbeeld de Interfaces en OpenSSH zat alles in een aparte directory dus als je al die aanpassingen wilt backuppen zit je ook weer alles bij elkaar te rapen...

[...]

Wat ook weer uit 3 secties bestaat IIRC en dan ook nog eens puur text based is en je dus steeds minder overzicht hebt des te groter het wordt denk ik ?!

[...]

Docker en die .yaml files vind ik ook zo'n gedrocht... Moet er niet aan denken...

Dan nog liever alles direkt in het OS installeren en de boel uit /etc/ bij elkaar rapen

RobertMe schreef op woensdag 27 november 2024 @ 17:27:
[...]
Je kunt zo veel "chains" maken als je wilt natuurlijk (net zoals bij iptables), maar je hebt inderdaad 3 standaard "hooks" en dus kom je al vrij snel uit op 3 chains (want een chain kan maar 1 hook hebben). En hooks zijn dan de input/forward/output net zoals bij iptables.
V.w.b. overzicht bewaren. Daarvoor heb ik een 32" 4K scherm Overzicht genoeg.

[ Voor 5% gewijzigd door Lethalis op 27-11-2024 18:15 ]

RobertMe schreef op woensdag 27 november 2024 @ 15:45:
Firewall verhaal zit in een file van nft / nftables.

1

#!/usr/sbin/nft -f

1

sudo sh -c "nft list ruleset > /etc/nftables.conf"

Lethalis schreef op woensdag 27 november 2024 @ 16:27:
Destijds heb ik bijna alles in 1 groot script gezet dat uitgevoerd werd bij het opstarten van het OS.

RobertMe schreef op woensdag 27 november 2024 @ 17:27:
[...]

Je kunt zo veel "chains" maken als je wilt natuurlijk (net zoals bij iptables), maar je hebt inderdaad 3 standaard "hooks" en dus kom je al vrij snel uit op 3 chains (want een chain kan maar 1 hook hebben). En hooks zijn dan de input/forward/output net zoals bij iptables.

Villager schreef op zaterdag 23 november 2024 @ 08:58:
Wat is t stil hier :-)

[ Voor 11% gewijzigd door Uberprutser op 27-11-2024 18:22 ]

Raven schreef op woensdag 27 november 2024 @ 18:18:
[...]

/etc/nftables.conf

[...]

Plus nftables heeft als voordeel dat je geen verschillende tools (iptables / ip6tables) hoeft te gebruiken en je kan regels aanmaken die zowel voor IPv4 als IPv6 gelden, i.p.v. het voor beide afzonderlijk te moeten doen zoals bij iptables / ip6tables.

RobertMe schreef op woensdag 27 november 2024 @ 17:27:
Doe dat maar eens in de UniFi controller met het tabelletje aan "overzicht" waar vrijwel niks in staat en dat je vervolgens moet doorklikken om de "details" te zien (of aan te passen).

Kans is groot dat als ik tzt opnieuw begin / zou beginnen dat toch weer vanalles anders is.

Maar anderzijds: als ik over nu zeg 4, 5 jaar opnieuw begin, kan ik net zo goed from scratch beginnen omdat of aan software kant vanalles veranderd is of ik op basis van ervaringen dingen anders wil doen.

Uberprutser schreef op woensdag 27 november 2024 @ 18:19:
Ik ben gezwicht en ben sinds enkele maanden over op Unifi UCG Max.

Na bijna 20 jaar PFsense e.d. te hebben gedraaid was ik klaar met het gepruts en wilde het meer simpel houden.

In mijn lab heb ik VMware en OPNsense eruit gegooid en nu aan het rommelen met VyOS.