Zelfbouw project: Firewall / Router / AP

duvekot schreef op vrijdag 21 maart 2025 @ 22:37:
[...]

Je had geen zin om een eigen recursieve DNS resolver te gaan draaien?

Wellicht doet @ThinkPad het om zijn DNS verkeer op te laten gaan in de meute? Met een eigen recursive resolver kan de ISP meekijken, want unencrypted. En met DoT naar (meerdere) upstream servers kan alleen de upstream server (gedeeltelijk) meekijken. En de authoritive DNS server ziet het (unieke) verkeer dus ook niet, want veel meer DNS verkeer vanaf de (upstream) server. Met grote DNS boeren zoals Cloudflare, Azure DNS, ... wellicht dus ook nog wel een interessant dingetje v.w.b. privacy. Want niet al die sites zullen ook gehost zijn bij..., maar wel de DNS ervan gebruiken.

Note: * RobertMe draait zelf wel een recursive resolver. Maar in combinatie met DoT dat @ThinkPad aangeeft te gebruiken lijkt me dat een prima verklaring.

Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.

ThinkPad schreef op zaterdag 22 maart 2025 @ 06:37:
Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.

"Erg traag" zal vast meevallen? Ja, het kan wat trager zijn. Maar of het merkbaar is?
Daarnaast heeft Unbound trucjes om bv een bijna aflopende TTL/domein alvast opnieuw op te vragen. Als je hem de volgende keer dan daadwerkelijk opvraagt kan die weer gewoon uit het cache komen.

En daarnaast kan die ook verouderde data serveren. Dus als een record bv een minuut over de TTL is dat record wel nog gebruiken als antwoord en tegelijkertijd een query uitvoeren om het cache te updaten.

En je kunt een minimale TTL forceren. Want zijn TTLs van x seconden, of Y minuten, nu echt nodig? Een minimale TTL van bv 5 minuten zal dan ook alweer iets helpen om de boel snel te houden.

En van die upstream servers weet je natuurlijk ook niet wat ze exact doen. Ja, gedeeltelijk zal het cache altijd redelijk up-to-date / gevuld zijn want veel meer gebruikers, maar ook zij zouden natuurlijk kunnen prefetchen, of verlopen records serveren. En bij de onbekendere servers die je nu gebruikt (alle behalve Quad9?) is het natuurlijk ook maar de vraag of je niet semi de enige bent die bepaalde domeinnamen resolved. Ook gezien het buitenlandse partijen zijn, met waarschijnlijk relatief weinig gebruikers, en ze onbekend zijn in NL. Hoeveel NL sites zouden ze dan redelijk constant in het cache hebben?

Ik heb Unbound nu als recursive resolver ingesteld "Serve expired" had ik al aanstaan.
Merk nog niet echt traagheid, we gaan het eens aankijken hoe dit bevalt. Dank voor de tip.

Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?

[ Voor 50% gewijzigd door ThinkPad op 22-03-2025 09:37 ]

ThinkPad schreef op zaterdag 22 maart 2025 @ 09:18:
Volgens mij heb ik nu het best haalbare qua privacy?

Ligt er aan hoe je privacy definieert... DNS queries zijn per definitie inzichtelijk voor iedereen tussen jouw device en de DNS server, DNS kent geen confidentiality. Daarom heb je DoT, DoH, DNSCrypt, etc. Die verpakken standaard DNS queries in een versleutelde tunnel, zodat de queries niet zichtbaar zijn 'op de lijn'.

Met DoT/DoH/DNSCrypt etc heb je dan 'privacy' tov de ISP, maar uiteindelijk weet de DNS server alsnog welke queries jij maakt. Nu je zelf een recursive DNS server draait, is er niet één Cloudflare-achtige partij die jouw DNS queries ziet, maar je ISP kan ze wel weer inzien...

Daarnaast, ook al zou niemand je DNS queries in kunnen zien, zodra je een TLS verbinding opzet naar een website, is het domein zichtbaar in de TLS-handshake. Dus dan ben je je privacy alsnog kwijt. (TLS1.3 met ECH brengt daar weer verandering in).

ThinkPad schreef op zaterdag 22 maart 2025 @ 09:18:
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?

DNSSEC is niet bedoeld om privacy te bevorderen, maar wel voor betere beveiliging.
DNSSEC voegt een soort handtekening toe aan de DNS records om ze als echt te verifiëren. Zo kan een rogue DNS server geen valse DNS records serveren.

[ Voor 3% gewijzigd door GoBieN-Be op 23-03-2025 20:19 ]

Paar dagen verder, helaas nog niet echt helemaal overtuigd van het zelf recursive resolven.
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.

Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot

[ Voor 17% gewijzigd door ThinkPad op 27-03-2025 07:37 ]

ThinkPad schreef op dinsdag 25 maart 2025 @ 21:19:
Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot

Je hebt het iig geprobeerd 👍
Ik blijf het wel bijzonder vinden dat de resolving zo lang duurt dat een pagina load er door niet lukt. Je zou bijna verwachten dat er dan ergens iets niet helemaal lekker loopt. Ik weet niet of unbound ergens statistieken bij houdt over hoe snel er antwoord gegeven wordt op dns requests. Want dan zou je daar dus erg langzame tijden moeten zien.

duvekot schreef op donderdag 27 maart 2025 @ 08:20:
[...]

Je hebt het iig geprobeerd 👍
Ik blijf het wel bijzonder vinden dat de resolving zo lang duurt dat een pagina load er door niet lukt. Je zou bijna verwachten dat er dan ergens iets niet helemaal lekker loopt. Ik weet niet of unbound ergens statistieken bij houdt over hoe snel er antwoord gegeven wordt op dns requests. Want dan zou je daar dus erg langzame tijden moeten zien.

@ThinkPad @duvekot

Als je het hebt ingeschakeld in je setting conf file:

unbound-control stats_noreset

Die output kan je in Claude.ai of chatGPT plakken en vragen om een samenvatting. Hij meet per thread je kan er best wat uit halen.

Ik heb een cache, ik serve expired, en ik prefetch, haal de root.hints op. Moet zeggen dat ik altijd sceptisch was over Unbound maar met deze tunning is het behoorlijk rap.

ThinkPad schreef op dinsdag 25 maart 2025 @ 21:19:
Paar dagen verder, helaas nog niet echt helemaal overtuigd van het zelf recursive resolven.
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.

Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot

Dat kan te maken hebben gehad met problemen bij een van de root-server's (c-root gehost bij Cogent):
https://lists.dns-oarc.ne...ions/2024-May/022558.html

Wij zagen ook diverse timeouts hierdoor, wat vertraging met zich meebracht in het resolven.

Charlie_Root schreef op maandag 31 maart 2025 @ 10:29:
[...]


Dat kan te maken hebben gehad met problemen bij een van de root-server's (c-root gehost bij Cogent):
https://lists.dns-oarc.ne...ions/2024-May/022558.html

Wij zagen ook diverse timeouts hierdoor, wat vertraging met zich meebracht in het resolven.

Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden

Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.

ThinkPad schreef op maandag 31 maart 2025 @ 10:31:
[...]

Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden

Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.

Het waren de zelfde problemen, kon alleen geen recentere link er van vinden.

Net een Shuttle DL30N gekocht, dual Intel 2.5GB nic, passief gekoelde Intel N100 en 16GB DDR5
Leuk doosje voor een routertje.

PFsense wil ik niks van weten, heb even getest met https://nethsecurity.org/ en dat ziet er leuk uit maar teveel betaalde opties.
Dus ik draai nu OPNsense zonder Unbound, maar eens even wat distros proberen, ik vond Sophos ook altijd wel leuk werken maar jammer dat er een limiet van 6GB op de licentie zit.

pfSense CE 2.8 beta is uit, zie de blogpost van Netgate.

Groot nieuws voor de KPN glasvezel gebruikers onder ons:

This version of pfSense CE software includes a new kernel-based PPPoE backend, ``if_pppoe``. This will replace the current MPD-based implementation.
- This new backend is more efficient and enables much faster speeds over PPPoE interfaces.
- This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.
- This backend will be enabled by default on future versions of pfSense software.
- The ``if_pppoe`` backend does not support all advanced features of the MPD implementation. For example, it does not support MLPPP.

Dit is multi-threaded PPPoE! Niet langer de limitatie dat PPPoE maar op één core kan draaien

net op upgrade gedrukt. emmm niks voorbereid, niet eerst de packages verwijderd zoals in de handleiding.
Zweet zweet, zelfs geen backup gemaakt.

pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.

Intel(R) Core(TM) i3-N305 .

nike schreef op woensdag 2 april 2025 @ 19:33:
net op upgrade gedrukt. emmm niks voorbereid, niet eerst de packages verwijderd zoals in de handleiding.
Zweet zweet, zelfs geen backup gemaakt.

pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.

Intel(R) Core(TM) i3-N305 .

Hoe is de core verdeling voor PPPoE als je de aanpassing doorvoert en een file van een paar gigabyte binnenhaalt?
This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.

[ Voor 3% gewijzigd door stormfly op 02-04-2025 19:43 ]

Ik heb het aangezet!

Het gaat te snel, voor ik een iso van debian download 3 gig is hij al binnen. dit was tijdens het downloaden met http.

[ Voor 3% gewijzigd door nike op 02-04-2025 19:56 ]

stormfly schreef op woensdag 2 april 2025 @ 19:42:
[...]


Hoe is de core verdeling voor PPPoE als je de aanpassing doorvoert en een file van een paar gigabyte binnenhaalt?
This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.

Even geduld voor echte resultaten

It will actually get faster in 2.8-RELEASE because there was a rework that occurred too late to make the beta cut-off.

Netgate heeft nu een blogpost waarin ze dieper ingaan op PPPoE in pfSense, hoe dit normaal in *BSD werkt en wat hun nieuwe if_pppoe module doet. Paar passages:

Key Features of if_pppoe

• Multi-Core Optimization: Unlike Netgraph, if_pppoe is designed to leverage multiple CPU cores effectively. It uses Receive Side Scaling (RSS) to distribute packets across cores based on protocol, source/destination addresses, and port numbers. This ensures that a single TCP flow stays on one core—minimizing out-of-order packets—while other cores handle concurrent flows.
• Simplified Architecture: By focusing solely on PPPoE, if_pppoe avoids the complexity of supporting arbitrary network functions. This leads to a leaner, faster implementation.
• Concurrent Packet Processing: The driver allows simultaneous packet handling in both receive and transmit directions across multiple CPUs. Exclusive operations (e.g., blocking other CPUs) are limited to rare reconfiguration events.

Performance Gains

On a Netgate 6100, we’ve observed throughput improvements ranging from 25% to 100% in scenarios with multiple simultaneous traffic flows—common in real-world deployments.

Sinds gisteren is er ook een nieuwe versie van de beta om te testen.

Is er al iemand die ervaring heeft met RAM en SSD voor een Topton met N150?
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.

Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?

Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:



De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.

[ Voor 3% gewijzigd door ThinkPad op 01-05-2025 11:47 ]

mohblack schreef op maandag 28 april 2025 @ 22:03:
Is er al iemand die ervaring heeft met RAM en SSD voor een Topton met N150?
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.

Nee, wel met een Topton N100. Ben na wat minder goeie keuzes uitgekomen op een 16GB Samsung geheugenmodule, zoals de verkoper aangaf, en een WD_Black SN770 nvme drive. Ik draai nu Opnsense bare metal nadat het me niet lukte om Opnsense stabiel te krijgen op Proxmox. Heb ook een N305 en daarop draaide het onder Proxmox als een zonnetje.

[ Voor 17% gewijzigd door Villager op 01-05-2025 16:52 ]

@ThinkPad Misschien een idee dit (ook) in het PiHole-topic te vragen? Unbound komt daar volgens mij vaker voorbij dan hier.

edit: AGH.... kwartje viel net

[ Voor 12% gewijzigd door Raven op 01-05-2025 19:37 ]

Villager schreef op donderdag 1 mei 2025 @ 12:18:
[...]

Nee, wel met een Topton N100. Ben na wat minder goeie keuzes uitgekomen op een Samsung geheugenmodule, zoals de verkoper aangaf, en een WD_Black SN770 nvme drive.

Hier alleen met een CWWK N100, enkele 48GB module van Crucial:
Crucial RAM 48GB DDR5 5600MHz (of 5200MHz of 4800MHz) Laptop Geheugen CT48G56C46S5
Deze 'werkt' maar moest wel een ventilator er op richten om memory errors te voorkomen. Nog steeds niet heel blij mee, maar kon destijds niet meer retour. Draait nu wel meer dan een jaar stabiel.

[ Voor 3% gewijzigd door thof op 01-05-2025 16:40 ]

ThinkPad schreef op donderdag 1 mei 2025 @ 11:13:
Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?

Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:

[Afbeelding]

De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.

[Afbeelding]

ik zit hier thuis ook altijd mee te klooien....
heb je in adguard home de optie aangevinkt van "use private reverse DNS servers" en je Unbound ip adres hier bijstaan (AGH > Settings > DNS settings) ?
er staat letterlijk in de beschrijving dat wanneer je dit niet aanzet, AGH altijd antwoordt met een NXDOMAIN

[ Voor 4% gewijzigd door EverLast2002 op 01-05-2025 17:38 ]

Dat staat al aan. Maar het is geen AGH probleem, want niet al m'n devices gaan langs AGH (praten rechtstreeks met Unbound op de OPNsense) en daar heb ik het issue ook. Het is gewoon een eigenaardigheid van OPNsense/Unbound volgens mij.

ThinkPad schreef op donderdag 1 mei 2025 @ 20:20:
Dat staat al aan. Maar het is geen AGH probleem, want niet al m'n devices gaan langs AGH (praten rechtstreeks met Unbound op de OPNsense) en daar heb ik het issue ook. Het is gewoon een eigenaardigheid van OPNsense/Unbound volgens mij.

kan het iets te maken hebben met .home.arpa waar Unbound zich in verslikt?
zonder home.arpa resolved ie waarschijnlijk wel, en met geeft ie NXDOMAIN.
(ik gebruik zelf ook home.arpa als domein voor het interne netwerk)

Ik zit nu nog even een aantal dynamische leases te pingen/nslookup-en en lijkt nu wel te werken zoals het zou moeten. Vreemd, zal het op een later moment nog eens goed testen met wat IOT-meuk.

Dank voor de reacties,
Na wat verder lezen, zoeken en reply van de Ali store ( generieke antwoord wat al eerder is gepost)
Heb ik gekozen voor een crucial CT module en Kingston SSD.

Ik ga het eerst proberen met proxmox.
Wil de mogelijkheid hebben ook nog wat andere kleine machines erop draaien.
Mocht dat niet goed werken dan gewoon direct op het doosje.
Als het goed is komt de Topton volgende week.
Als het eenmaal draait (of niet) laat ik het weten.

Maakt het uit of je een NVMe of Sata SSD gebruikt als main schijf in een mini PC waar enkel Opnsense op draait?

Vandaag topton ontvangen en proxmox + OPNsense op geïnstalleerd.

Draait nu een uurtje of 6 stabiel icm met:
uitvoering: Kingston NV3 (retail) 1TB
uitvoering: Crucial CT16G56C46S5

Als je OPNsense op Proxmox installeert, is het dan beter om de virtuele netwerkadapters van Proxmox te gebruiken, of doe je passthrough?

stijnos1991 schreef op woensdag 7 mei 2025 @ 11:57:
Als je OPNsense op Proxmox installeert, is het dan beter om de virtuele netwerkadapters van Proxmox te gebruiken, of doe je passthrough?

Beide oplossingen hebben zo hun eigen afhankelijkheden.

Virtueel WAN kan icm PPPOE wat voordeel opleveren.
Virtueel LAN kan makkelijk en sneller zijn icm veel hosts op je Proxmox server.
Passthrough, kan mogelijk een betere performance geven omdat er minder overhead in zit.

Ik gebruik nu Virtueel WAN, passthrough Nic voor mijn IPTV, heb IGMP nog niet goed werkend gekregen met virtuele interfaces.
Virtueel voor mijn LAN.

Ben er tevrede over, afgezien mijn IPTV WAN Interface na een boot niet altijd een IP adres krijgt en mutlicast dan niet werkt. Ik heb nu in monit een scriptje geschreven dat indien dit voorkomt er een DHCP request gedaan wordt.

De discussie is al een paar keer gevoerd met voor- en nadelen.
In kader van makkelijke restore en hardware onafhankelijkheid kies ik voor allemaal virtuele interfaces.

Zucht, weer iets wat ik echt niet begrijp...

Kleine schets van het netwerk:

• Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
• LAN naar switch (op die switch is alles op één poort na VLAN1)
• Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)

De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.

Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...

[ Voor 11% gewijzigd door barrymossel op 17-05-2025 17:15 ]

barrymossel schreef op zaterdag 17 mei 2025 @ 17:09:
Zucht, weer iets wat ik echt niet begrijp...

Kleine schets van het netwerk:

• Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
• LAN naar switch (op die switch is alles op één poort na VLAN1)
• Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)

De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.

Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...

Is het niet makkelijker de switches vaste ip adressen geven buiten de dhcp range van opnsense

tomdh76 schreef op zaterdag 17 mei 2025 @ 17:14:
[...]


Is het niet makkelijker de switches vaste ip adressen geven buiten de dhcp range van opnsense

De switches hadden IN OPNSense een vast IP adres, maar daar kreeg ik die ene switch dus niet te pakken. En toen zag ik dat ie ineens in een andere VLAN zat.

Nu heb ik gisteren het kastje waar de switch in zit even helemaal opnieuw ingericht, maar ik heb geen kabels omgeprikt in de switch. Snap er niks van.

barrymossel schreef op zaterdag 17 mei 2025 @ 17:09:
Zucht, weer iets wat ik echt niet begrijp...

Kleine schets van het netwerk:

• Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
• LAN naar switch (op die switch is alles op één poort na VLAN1)
• Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)

De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.

Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...

[Afbeelding]

Dit is wel heel vaag beschreven, daarnaast vraag ik me af wat je met vlans doet als je alles in vlan 1 mikt. Dat hoort echt niet zo. Dhcp voor management adressen lijkt me ook niet zo handig.

Edit ;
Met die tekening ben ik helemaal verdwaald. Je AP ook in vlan 1 maar IOT in vlan 9? Misschien even de tekening goed updaten met trunk ports en waar je wel en niet welke vlans tagged.

[ Voor 7% gewijzigd door Charlie_Root op 17-05-2025 17:20 ]

Mijn ervaring met deze switch is dat de management interface regelmatig in een random vlan opduikt.

jadjong schreef op zaterdag 17 mei 2025 @ 17:45:
Mijn ervaring met deze switch is dat de management interface regelmatig in een random vlan opduikt.

Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewoon eens kijken naar twee nieuwe switches?

---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.

[ Voor 12% gewijzigd door barrymossel op 18-05-2025 10:51 ]

barrymossel schreef op zaterdag 17 mei 2025 @ 17:46:
[...]

Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewwon eens kijken naar twee nieuwe switches?

---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.

Dat is hoe het hoort, een static management IP in het juiste vlan. Als er iets in het netwerk stuk is en DHCP dus niet werkt ben je de switch ook kwijt. Knap lastig zoeken.

Je vlan overzicht maakt het iets duidelijker, zou goed moeten zijn.

Ik zag dat de beveiligingsrichtlijnen van NCSC omtrent TLS vernieuwd zijn: link

Ik zat te kijken naar OPNsense om de webinterface te versleutelen conform de NCSC best practices, maar ik krijg de webinterface niet op een sterkere cipher:

In System > Settings > Administration heb ik de volgende ciphers geselecteerd:


Maar die bovenste wil ik eigenlijk eruit hebben, omdat die volgens NCSC als 'voldoende' i.p.v. goed wordt gezien:


Ik gebruik liever alleen de 'goed' settings Als ik hem weglaat krijg ik deze melding in OPNsense:


Ok, nouja blijkbaar móet die aanwezig zijn. Maar na opnieuw openen Firefox zie ik dus dat hij blijft hangen op de AES_128 en niet upgrade naar een nieuwere/betere cipher.

[ Voor 61% gewijzigd door ThinkPad op 03-06-2025 10:04 ]

barrymossel schreef op zaterdag 17 mei 2025 @ 17:46:
[...]

Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewoon eens kijken naar twee nieuwe switches?

---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.

Aan je screenshots te zien, zijn het tplink switches?

Ik heb zelf een 16 port tplink (geen POE), een 8 port (geen POE) en een 8 port (POE) switch van tplink

Ik heb ook al gemerkt dat deze switches verkeer aannemen vanuit eender welk device eraan hangt in eender welke VLAN. Je kan de mgmt interface ook enkel maar een IP toewijzen in de switch, je moet nergens zeggen welke VLAN.

Dat is imo een enorme design fout in de switches maar ze zijn dan ook wel echt veel goedkoper dan andere managed switches.
Voor de rest geen klagen van dus ik kan er mee leven voor mijn thuisnetwerkje..

silentkiller schreef op dinsdag 3 juni 2025 @ 10:01:
[...]

Aan je screenshots te zien, zijn het tplink switches?

Ik heb zelf een 16 port tplink (geen POE), een 8 port (geen POE) en een 8 port (POE) switch van tplink

Ik heb ook al gemerkt dat deze switches verkeer aannemen vanuit eender welk device eraan hangt in eender welke VLAN. Je kan de mgmt interface ook enkel maar een IP toewijzen in de switch, je moet nergens zeggen welke VLAN.

Dat is imo een enorme design fout in de switches maar ze zijn dan ook wel echt veel goedkoper dan andere managed switches.
Voor de rest geen klagen van dus ik kan er mee leven voor mijn thuisnetwerkje..

Maar lijkt me wel een design fout die "eenvoudig" met een firmware update kan worden opgelost. Vreemd genoeg doen ze dat niet.

Tuurlijk, maar dat is het nadeel van goedkoop denk ik dan
Ik had van de week flink lopen rommelen met de VLAN/PVID instellingen en de poort bleef in de foute VLAN zitten.
backup terug gezet, switch gereboot via het menu -> allemaal geen nut.

Stroom eraf, stroom er terug op en 't werkte terug.

Voor de rest doen de switches het prima (hoewel ik volgende keer ook voor een duurder model ga )