:fill(white):strip_exif()/i/2007222016.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2007820596.jpeg?f=thumbmini)
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)
Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.
Ik heb Unbound nu als recursive resolver ingesteld 
"Serve expired" had ik al aanstaan.
Merk nog niet echt traagheid, we gaan het eens aankijken hoe dit bevalt. Dank voor de tip.
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?
"Serve expired" had ik al aanstaan.Merk nog niet echt traagheid, we gaan het eens aankijken hoe dit bevalt. Dank voor de tip.
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?
[ Voor 50% gewijzigd door ThinkPad op 22-03-2025 09:37 ]
:strip_exif()/u/34750/Trooper.gif?f=community)
/u/59144/aMSN_96.png?f=community)
:strip_icc():strip_exif()/u/1134061/crop5ef734fe74e7c_cropped.jpeg?f=community)
Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden
Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.
Het waren de zelfde problemen, kon alleen geen recentere link er van vinden.:
[...]
Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden
Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.
The cause of the problem is: network down, IP packets delivered via UPS
:strip_exif()/u/16970/crop57cd1ef1eb0d0.gif?f=community)
pfSense CE 2.8 beta is uit, zie de blogpost van Netgate.
Groot nieuws voor de KPN glasvezel gebruikers onder ons:
Groot nieuws voor de KPN glasvezel gebruikers onder ons:
Dit is multi-threaded PPPoE! Niet langer de limitatie dat PPPoE maar op één core kan draaien
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
:strip_exif()/f/image/1LsPBihqALHhrmyEKooCxj7I.png?f=user_large)
Ik heb het aangezet!
Het gaat te snel, voor ik een iso van debian download 3 gig is hij al binnen. dit was tijdens het downloaden met http.
[ Voor 3% gewijzigd door nike op 02-04-2025 19:56 ]
-edit-
Netgate heeft nu een blogpost waarin ze dieper ingaan op PPPoE in pfSense, hoe dit normaal in *BSD werkt en wat hun nieuwe if_pppoe module doet. Paar passages:
Sinds gisteren is er ook een nieuwe versie van de beta om te testen.Key Features of if_pppoe
- Multi-Core Optimization: Unlike Netgraph, if_pppoe is designed to leverage multiple CPU cores effectively. It uses Receive Side Scaling (RSS) to distribute packets across cores based on protocol, source/destination addresses, and port numbers. This ensures that a single TCP flow stays on one core—minimizing out-of-order packets—while other cores handle concurrent flows.
- Simplified Architecture: By focusing solely on PPPoE, if_pppoe avoids the complexity of supporting arbitrary network functions. This leads to a leaner, faster implementation.
- Concurrent Packet Processing: The driver allows simultaneous packet handling in both receive and transmit directions across multiple CPUs. Exclusive operations (e.g., blocking other CPUs) are limited to rare reconfiguration events.
Performance Gains
On a Netgate 6100, we’ve observed throughput improvements ranging from 25% to 100% in scenarios with multiple simultaneous traffic flows—common in real-world deployments.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?
Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen
Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:
/f/image/Ui4twfXhr9ZuXyCeSXkyScx6.png?f=fotoalbum_large)
De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.
/f/image/FjE7fnLc0MPGNoTqTWNboqki.png?f=fotoalbum_large)
Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen
Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft::strip_exif()/f/image/Ui4twfXhr9ZuXyCeSXkyScx6.png?f=user_large)
De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.
:strip_exif()/f/image/FjE7fnLc0MPGNoTqTWNboqki.png?f=user_large)
[ Voor 3% gewijzigd door ThinkPad op 01-05-2025 11:47 ]
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
@ThinkPad Misschien een idee dit (ook) in het PiHole-topic te vragen? Unbound komt daar volgens mij vaker voorbij dan hier.
edit: AGH.... kwartje viel net
edit: AGH.... kwartje viel net
[ Voor 12% gewijzigd door Raven op 01-05-2025 19:37 ]
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
:strip_icc():strip_exif()/u/279104/avatar%2520tweakers%25202.jpg?f=community){kind=avatar}
Server 1: Intel N305 | 48GB RAM | 5*4TB NVME | 4x 2.5GbE
Server 2: Intel N5105 | 64GB RAM | 1TB NVME | 4x 2.5GbE
Server 3: Intel Xeon E5-2670 | 128GB RAM | 512+750GB SATA SSD | 6x10TB HDD | 6x 1GbE [Buiten gebruik]
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
ik zit hier thuis ook altijd mee te klooien....:
Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?
Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen
[Afbeelding]
De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.
[Afbeelding]
heb je in adguard home de optie aangevinkt van "use private reverse DNS servers" en je Unbound ip adres hier bijstaan (AGH > Settings > DNS settings) ?
er staat letterlijk in de beschrijving dat wanneer je dit niet aanzet, AGH altijd antwoordt met een NXDOMAIN
[ Voor 4% gewijzigd door EverLast2002 op 01-05-2025 17:38 ]
:strip_exif()/u/476997/ceetava60x60.gif?f=community)
:strip_icc():strip_exif()/u/157390/crop5decc9d996782_cropped.jpeg?f=community)
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_exif()/u/87698/avatarline.gif?f=community){kind=avatar}
Zucht, weer iets wat ik echt niet begrijp...
Kleine schets van het netwerk:
Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...
:strip_exif()/f/image/rhFs74ItOI5HTQVKp8gZWYT2.png?f=user_large)
Kleine schets van het netwerk:
- Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
- LAN naar switch (op die switch is alles op één poort na VLAN1)
- Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)
Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...
[ Voor 11% gewijzigd door barrymossel op 17-05-2025 17:15 ]
Niet alles zit in VLAN1. Meeste in het netwerk is hier via wifi. Dus daar wordt alles in de juiste VLAN gestopt. Uiteindelijk zitten alleen mijn telefoon, laptop, telefoon vrouw (al twijfel ik daar over
), de APs + switches in VLAN1. De bedrade zaken krijgen gewoon een VLAN toegewezen in de switches.Als je dat zou kunnen uitleggen graag. Maar feit blijft dat het voorheen gewoon goed ging en nu ineens de switch in een ander VLAN zit. Zou toch alleen moeten kunnen als er iets verkeerd is omgeprikt?
:strip_exif()/f/image/KFoF1s34yoBCoF5S2hXsS4jU.png?f=user_large)
:strip_exif()/f/image/N5589toq99ZsOqD7j2D3kKu3.png?f=user_large)
:strip_exif()/f/image/Pi5kzfuUCxSDhxqVDFTZyunI.png?f=user_large)
:strip_exif()/f/image/AaPK2A6KZVYwpfoVUt1ZPI6g.png?f=user_large)
Ik zag dat de beveiligingsrichtlijnen van NCSC omtrent TLS vernieuwd zijn: link
Ik zat te kijken naar OPNsense om de webinterface te versleutelen conform de NCSC best practices, maar ik krijg de webinterface niet op een sterkere cipher:
In System > Settings > Administration heb ik de volgende ciphers geselecteerd:
:strip_exif()/f/image/XoFGWBhNzAjOfLtYZ0xZC55S.png?f=user_large)
Maar die bovenste wil ik eigenlijk eruit hebben, omdat die volgens NCSC als 'voldoende' i.p.v. goed wordt gezien:
:strip_exif()/f/image/BTzARTfCKPdDKwXRCw6Psk3X.jpg?f=fotoalbum_tile)
Ik gebruik liever alleen de 'goed' settings Als ik hem weglaat krijg ik deze melding in OPNsense:
:strip_exif()/f/image/MA629LmIn7cclC3pZ6lSHTQM.jpg?f=fotoalbum_tile)
Ok, nouja blijkbaar móet die aanwezig zijn. Maar na opnieuw openen Firefox zie ik dus dat hij blijft hangen op de AES_128 en niet upgrade naar een nieuwere/betere cipher.
:strip_exif()/f/image/7jIIvCOdEO7oqhqajbIaoV8J.jpg?f=fotoalbum_tile)
Ik zat te kijken naar OPNsense om de webinterface te versleutelen conform de NCSC best practices, maar ik krijg de webinterface niet op een sterkere cipher:
In System > Settings > Administration heb ik de volgende ciphers geselecteerd:
Maar die bovenste wil ik eigenlijk eruit hebben, omdat die volgens NCSC als 'voldoende' i.p.v. goed wordt gezien:
:no_upscale():strip_icc():strip_exif()/f/image/BTzARTfCKPdDKwXRCw6Psk3X.jpg?f=user_large)
Ik gebruik liever alleen de 'goed' settings
Als ik hem weglaat krijg ik deze melding in OPNsense::no_upscale():strip_icc():strip_exif()/f/image/MA629LmIn7cclC3pZ6lSHTQM.jpg?f=user_large)
Ok, nouja blijkbaar móet die aanwezig zijn. Maar na opnieuw openen Firefox zie ik dus dat hij blijft hangen op de AES_128 en niet upgrade naar een nieuwere/betere cipher.
:no_upscale():strip_icc():strip_exif()/f/image/7jIIvCOdEO7oqhqajbIaoV8J.jpg?f=user_large)
[ Voor 61% gewijzigd door ThinkPad op 03-06-2025 10:04 ]
Tuurlijk, maar dat is het nadeel van goedkoop denk ik dan
Ik had van de week flink lopen rommelen met de VLAN/PVID instellingen en de poort bleef in de foute VLAN zitten.
backup terug gezet, switch gereboot via het menu -> allemaal geen nut.
Stroom eraf, stroom er terug op en 't werkte terug.
Voor de rest doen de switches het prima (hoewel ik volgende keer ook voor een duurder model ga)
Ik had van de week flink lopen rommelen met de VLAN/PVID instellingen en de poort bleef in de foute VLAN zitten.
backup terug gezet, switch gereboot via het menu -> allemaal geen nut.
Stroom eraf, stroom er terug op en 't werkte terug.
Voor de rest doen de switches het prima (hoewel ik volgende keer ook voor een duurder model ga
)
:strip_icc():strip_exif()/u/340231/crop575a749578987_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/440790/crop60e0149d5066c_cropped.jpg?f=community)
/u/363743/crop61aa1329d36b8_cropped.png?f=community)
Het gaat hier vaak over de ChangWang bordjes van CCKW of TopTon etc. Ik heb er vandaag een gerepareerd van een defecte BIOS. Het komt nogal nauw qua apparatuur niet elke flasher werkt. Ter naslag om je bios te flashen een howto.
Je hebt deze programmer nodig met een 3,3 volt schakelaar. Mijn collega heef het eerst zelf tientallen malen geprobeerd om te flashen met het andere model CH 347 zonder schakelaar. Maar dat werkt niet, die heeft default 5 volt. Het vreemde is dat een reserve chip die we hadden gekocht ivm lossolderen, W25Q128JVSQ met de 5v programmer wel kan programmeren. Er gaat iets mis met de 5v programmer als je de BIOS chip op het moederboard wilt schrijven, met de getoonde 3,3v programmer gaat dat goed.
/f/image/qo282dN5spzn51pGbY5aMaNw.png?f=fotoalbum_large)
Deze verende pinnen zijn veel fijner dan de standaard zwarte klem. Nu moet ik toegeven dat wij in de zoektocht de klem ook wel "versleten" hadden het plastic brokkelt af. Met deze verende pinnen is het een fluitje van een cent, het is een hol kapje wat exact over het IC heen pas.
SOIC8 208mil 5.8mm is de juiste voor W25Q128JVSQ
/f/image/vgxAHQAlJ3VlrV36bKLH5Q9i.png?f=fotoalbum_large)
Deze bin file moet je dan in het IC programmeren. Je kunt NeoProgrammer gebruiken of flashprom onder MacOS
:strip_exif()/f/image/kf8rKzCVm5gRMVxD5WwcMojQ.png?f=user_large)
En wellicht overbodig: alle componenten moeten van het moederboard af, RAM, NVMe, CMOS 3volt batterij, en de power adapter.
Je hebt deze programmer nodig met een 3,3 volt schakelaar. Mijn collega heef het eerst zelf tientallen malen geprobeerd om te flashen met het andere model CH 347 zonder schakelaar. Maar dat werkt niet, die heeft default 5 volt. Het vreemde is dat een reserve chip die we hadden gekocht ivm lossolderen, W25Q128JVSQ met de 5v programmer wel kan programmeren. Er gaat iets mis met de 5v programmer als je de BIOS chip op het moederboard wilt schrijven, met de getoonde 3,3v programmer gaat dat goed.
:strip_exif()/f/image/qo282dN5spzn51pGbY5aMaNw.png?f=user_large)
Deze verende pinnen zijn veel fijner dan de standaard zwarte klem. Nu moet ik toegeven dat wij in de zoektocht de klem ook wel "versleten" hadden het plastic brokkelt af. Met deze verende pinnen is het een fluitje van een cent, het is een hol kapje wat exact over het IC heen pas.
SOIC8 208mil 5.8mm is de juiste voor W25Q128JVSQ
:strip_exif()/f/image/vgxAHQAlJ3VlrV36bKLH5Q9i.png?f=user_large)
Deze bin file moet je dan in het IC programmeren. Je kunt NeoProgrammer gebruiken of flashprom onder MacOS
En wellicht overbodig: alle componenten moeten van het moederboard af, RAM, NVMe, CMOS 3volt batterij, en de power adapter.
/u/94596/crop643fb12fd4e6d.png?f=community)
@The Zep Man als ik het goed begrijp schrijf jij dat je de flash chip rechtstreeks op een RPi kunt aansluiten? Dus puur vanaf de klem / ..., direct naar de GPIO pins van de RPi? Da's wel nice.
* RobertMe had vorig jaar Bricked bios Yoga Slim 7 Pro opnieuw flashen via EEPROM . Toen ook zo'n programmer besteld, alleen dan zonder 3.3V / 5V switch maar met een extra bordje dat de omzetting doet. Het stukje van @stormfly met een klem die "niet pakt" herken ik ook. Heb toen veel geëxperimenteerd (verschillende Frankenstein biossen in elkaar geprutst) en op het eind mislukte lezen toch wel vaak. Door wat vaagheden (POST die een minuut duurde
, i.p.v. letterlijk 1 of 2 seconden) een paar weken terug opnieuw geflasht, en velrvele pogingen nodig gehad voordat de chip betrouwbaar gelezen was (lees: 2x een lees actie dezelfde file opleverde). En uiteindelijk iets van 20 minuten lang "heel stil gezeten" en de klem er op blijven drukken zonder "een millimeter" te bewegen (en dan lezen, diff met voorgaande keer lezen, zelfde resultaat, en op hoop van zegen schrijven wat ook weer lezen + schrijven + verifyen is en dus vele minuten duurt). Die andere gelinkte klem ziet er mogelijk wel beter uit? Maar ook duurder denk ik dan het hele setje bij elkaar kostte
* RobertMe had vorig jaar Bricked bios Yoga Slim 7 Pro opnieuw flashen via EEPROM . Toen ook zo'n programmer besteld, alleen dan zonder 3.3V / 5V switch maar met een extra bordje dat de omzetting doet. Het stukje van @stormfly met een klem die "niet pakt" herken ik ook. Heb toen veel geëxperimenteerd (verschillende Frankenstein biossen in elkaar geprutst) en op het eind mislukte lezen toch wel vaak. Door wat vaagheden (POST die een minuut duurde
, i.p.v. letterlijk 1 of 2 seconden) een paar weken terug opnieuw geflasht, en velrvele pogingen nodig gehad voordat de chip betrouwbaar gelezen was (lees: 2x een lees actie dezelfde file opleverde). En uiteindelijk iets van 20 minuten lang "heel stil gezeten" en de klem er op blijven drukken zonder "een millimeter" te bewegen (en dan lezen, diff met voorgaande keer lezen, zelfde resultaat, en op hoop van zegen schrijven wat ook weer lezen + schrijven + verifyen is en dus vele minuten duurt). Die andere gelinkte klem ziet er mogelijk wel beter uit? Maar ook duurder denk ik dan het hele setje bij elkaar kostte
De slechte flash heb ik intussen dus ervaring mee
Lenovo gooide het gewoon op "buiten garantie" en wilde me uit coulance nog de "extended warranty" verkopen met een korting zodat ik hem dus "gratis" kon laten maken Terwijl gewoon de "exe" van op hun website de boel had gesloopt en er op internet vele verhalen te vinden zijn van bricked biosen na een update.Nu heb ik dan die losse chip / USB "stick", werkt an zich prima, alleen dan dat de klem (intussen) nogal iffy is (maar die blijft met flashen vanaf RPi natuurlijk ook nodig). En RPis als alternatief heb ik ook nog wel. Zelfs een "originele" ("Model B"), meteen besteld nadat het ding uit kwam vanuit de UK. Vervolgens niks mee gedaan behalve OpenELEC er op
@stormfly , je geeft trouwens aan een nieuwe flash chip besteld te hebben. Maar kun je die solderen? Ben zelf een relatieve leek (laatst mijn defecte subwoofer gefixt, eens een keer een knop op een muis vervangen en wat met ESPjes geprutst). Through hole spul is natuurlijk (heel) eenvoudig. Maar dit surface mounted spul is natuurlijk andere koek. Met mijn gewone bout vast niks aan te beginnen. Heb een TS100.
Goede onderbouwing
@nike, ik heb juist ~2,5 jaar terug de overstap gemaakt van een USG naar volledig zelfbouw (TopTon doosje met Debian). De nieuwe UniFi software was gewoon crap, en een zone based firewall bv, waardoor het ook IPv6 capable was, was onmogelijk (kan intussen wel). Maar nu heb ik ook gewoon veel meer vrijheden. En op mijn router draai ik nu ook gewoon een deel van mijn Docker containers (binnen halen Linux ISOs bv). En wellicht dat ik op een later moment ik mijn servertje en router helemaal samenvoeg. Met hoe het nu draait (Docker containers op de router, gekoppeld aan VLANs etc etc) heb ik dat in principe al en is er geen enkele echte reden waarom iets op het servertje zou moeten en niet op de router zou kunnen. Sowieso al omdat beide dezelfde CPU bevatten (N5105), en het servertje 8GB gesoldeerd RAM heeft dat vol zit
, terwijl de router 2x SODIMM heeft waar intussen de officiële max van 16GB in zit (maar o.a. de ervaringen in dit topic aangeven dan 32GB vaak ook werkt).En in de nabije toekomst (1, 1,5 jaar) komt er wellicht wel weer een "normaler" systeem voor in de plaatst. Met een Intel Core processor, mATX mobo met, mogelijkheid tot 128GB RAM of whatever, .... Software technisch zie ik momenteel geen enkele reden om dat niet te doen. En hardware technisch heeft het ook wat voordelen (geen limiet door netwerk in kopiëren bestaande van router naar server bv
. Maar ook dat het waarschijnlijk weer zuiniger is dan de 8W + 4W die beiden nu gebruiken. En "ongelimiteerde" RAM grote. Mogelijkheid tot een shitload aan opslag (nu gelimiteerd tot 1x NVME en 1x SATA, mATX heb je vaak toch al 2x NVME en 4x SATA. Etc etc). Enige nadeel is dan de grotere form factor en de investering.
Wie kan me helpen met hetvolgende:
Setup:
PC1: OpnSense met Unbound DNS.
PC2: Proxmox: LXC AdGuard Home en andere containers.
Er zijn firewall rules ingesteld in Opnsense zodat alle DNS forced naar Opnsense gaat mocht er een toestel zijn die hardcoded DNS heeft.
AdGuardHome is ingesteld met Quad9 upstream server.
Maar ik zou ook graag hebben dat dit via Unbound gaat en niet meer via Quad9.
Wat heb ik gedaan:
Firewall rules tijdelijk uitgeschakeld.
Nieuwe LXC container waar Unbound in draait opgezet via gekende Proxmox Helper scripts.
In AGH upstream ingesteld van die Unbound > werkt perfect.
Waar loopt het mis:
Zodra ik de firewall rules inschakel zie ik in de querylog in AGH alle requests "refused".
Alias aangemaakt met DNS servers van Opnsense router + IP van AGH.
In de firewall rule dan Destination deze geselecteerd > lukt nog niet.
Mijn vraag: kan dit überhaupt wel wat ik wil opzetten?
Hier screenshots van de firewall.
/f/image/USRgh4EKVgTfcfeZMeHpgtb0.png?f=fotoalbum_large)
/f/image/LUenPf4pTWFwtg9B0zqeec3i.png?f=fotoalbum_large)
/f/image/ratAjplO0QK2xPmwQsEiD6V0.png?f=fotoalbum_large)
Setup:
PC1: OpnSense met Unbound DNS.
PC2: Proxmox: LXC AdGuard Home en andere containers.
Er zijn firewall rules ingesteld in Opnsense zodat alle DNS forced naar Opnsense gaat mocht er een toestel zijn die hardcoded DNS heeft.
AdGuardHome is ingesteld met Quad9 upstream server.
Maar ik zou ook graag hebben dat dit via Unbound gaat en niet meer via Quad9.
Wat heb ik gedaan:
Firewall rules tijdelijk uitgeschakeld.
Nieuwe LXC container waar Unbound in draait opgezet via gekende Proxmox Helper scripts.
In AGH upstream ingesteld van die Unbound > werkt perfect.
Waar loopt het mis:
Zodra ik de firewall rules inschakel zie ik in de querylog in AGH alle requests "refused".
Alias aangemaakt met DNS servers van Opnsense router + IP van AGH.
In de firewall rule dan Destination deze geselecteerd > lukt nog niet.
Mijn vraag: kan dit überhaupt wel wat ik wil opzetten?
Hier screenshots van de firewall.
:strip_exif()/f/image/USRgh4EKVgTfcfeZMeHpgtb0.png?f=user_large)
:strip_exif()/f/image/LUenPf4pTWFwtg9B0zqeec3i.png?f=user_large)
:strip_exif()/f/image/ratAjplO0QK2xPmwQsEiD6V0.png?f=user_large)
@TheCeet
Ik heb het anders ingericht, wel via pfsense, maar volgens mij komt dat redelijk overeen.
eerst 2x firewall op het lan die je wil.
Dan een forward regel naar je adguard./f/image/dK4cg0nnXVgwIqcvWaTBchyG.png?f=fotoalbum_large)
/f/image/vIpxuQQ6IeoNbhSF1i6Lei6G.png?f=fotoalbum_large)
Ik heb het anders ingericht, wel via pfsense, maar volgens mij komt dat redelijk overeen.
eerst 2x firewall op het lan die je wil.
Dan een forward regel naar je adguard.
:strip_exif()/f/image/dK4cg0nnXVgwIqcvWaTBchyG.png?f=user_large)
:strip_exif()/f/image/vIpxuQQ6IeoNbhSF1i6Lei6G.png?f=user_large)
-edit-
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
Hmm, ook interessant! Ik had hem wel voorbij zien komen, maar kan uit de website niet zo goed opmaken wat nou precies "free" is en wanneer je moet betalen. Zie wel dat ze ook ook een URL in het dnscrypt-formaat "DNS Stamp" geven. Dat is fijn, want in de Ubiquiti Network interface voor het instellen van DoH moet je, bij het opgeven van een custom DoH server met custom block lists, de URL in dat formaat opgeven. Alle bekende DNS providers zijn ook gewoon selecteren, maar je kan dan niet configureren met welke blocklist je ze wil laten werken.
Als ik wat meer ervaring heb zal ik deze wel eens delen de Ubiquiti-relateerde topcreeks (die is er vast
)
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
:strip_icc():strip_exif()/u/1053967/crop5e7e486673d9e_cropped.jpeg?f=community)
Oud topic, maar dacht ik post mijn zelfbouw OPNsense box ervaringen hier.
Gebruikte ingredienten: Een Dell Optiplex 3040M, Realtek RTL8125B 2.5gbps (mislukt experiment, zie hieronder), Intel i226 2.5gbps adapter (poging 2).
Ik had deze box gebouwd omdat ik in de eerste instantie een Fortigate 60E van het werk had meegekregen met verlopen licenties, echter uiteindelijk erachter gekomen dat deze throughput issues had dus weer teruggegeven. Die box had ik eerst vervangen met een MFF Optiplex Core 2 Duo, maar kwam erachter dat hij het zwaar had met de 1gbps PPPoE verbinding en het stroomverbruik op zo'n 40-60w lag op idle / load.
Via Tweakers een 3040M op de kop kunnen tikken met een i5-6500T, een Realtek RTL8125B M.2 adapter gekocht op Amazon. Eerst zat ik op een bare-metal OPNSense install, maar merkte al gauw dat de WAN interface er na zo'n 2 dagen uptime eruit knalde. Interface was nog wel up en werd nog gewoon gezien, maar de PPPoE sessie kwam gewoon niet meer op gang en vereiste een reboot. Ik kon steeds zien dat de interface aan het flappen was, wel weer up kwam, maar er gewoon geen data meer overheen ging. Met regelmaat gelezen dat FreeBSD niet zo lekker omgaat met Realtek omdat de driver support niet zo goed gaat, dus als volgende poging had ik Proxmox erop laten draaien met de hoop dat Debian beter kon omgaan met deze adapter. Ik kreeg wel langere uptime tot het probleem zich voordeed, maar nog steeds met dezelfde symptomen: interface passeerde geen verkeer meer.
Dit had ik sinds juni zo gehad op Proxmox, met regelmaat zitten troubleshooten maar uiteindelijk het probleem nooit gevonden en een USB adapter gebruikt, die er ook soms uit klapte. Deze week wilde ik een poging wagen om of ik die interface stabiel kon laten werken, maar ik denk dat er iets is veranderd aan de drivers aan een recente update omdat ik de interface niet meer zag in ip addr, maar wel kon zien dat er tijdens bootup een alias enp3s0 werd toegewezen.
Puntje bij paaltje, uiteindelijk opgegeven en er gisteren een Intel i226 based M2 adapter erin geschroefd omdat ik las dat die wel stabieler werkte op FreeBSD. Nu de boel draaiende op een verse bare metal installatie en de komende periode in de gaten of dit beter werkt. Is het de moeite waard qua stroomverbruik? Best wel! Op idle zit het systeem op circa 10w, en als ik de volledige 1gbps voltrek zit ik op zo'n 28w.
:strip_exif()/f/image/BVBDrZ9z3VKs89jTMIKP8CLS.jpg?f=fotoalbum_large)
:strip_exif()/f/image/wz57aFvu1reFSDIugK938SLE.jpg?f=fotoalbum_large)
Gebruikte ingredienten: Een Dell Optiplex 3040M, Realtek RTL8125B 2.5gbps (mislukt experiment, zie hieronder), Intel i226 2.5gbps adapter (poging 2).
Ik had deze box gebouwd omdat ik in de eerste instantie een Fortigate 60E van het werk had meegekregen met verlopen licenties, echter uiteindelijk erachter gekomen dat deze throughput issues had dus weer teruggegeven. Die box had ik eerst vervangen met een MFF Optiplex Core 2 Duo, maar kwam erachter dat hij het zwaar had met de 1gbps PPPoE verbinding en het stroomverbruik op zo'n 40-60w lag op idle / load.
Via Tweakers een 3040M op de kop kunnen tikken met een i5-6500T, een Realtek RTL8125B M.2 adapter gekocht op Amazon. Eerst zat ik op een bare-metal OPNSense install, maar merkte al gauw dat de WAN interface er na zo'n 2 dagen uptime eruit knalde. Interface was nog wel up en werd nog gewoon gezien, maar de PPPoE sessie kwam gewoon niet meer op gang en vereiste een reboot. Ik kon steeds zien dat de interface aan het flappen was, wel weer up kwam, maar er gewoon geen data meer overheen ging. Met regelmaat gelezen dat FreeBSD niet zo lekker omgaat met Realtek omdat de driver support niet zo goed gaat, dus als volgende poging had ik Proxmox erop laten draaien met de hoop dat Debian beter kon omgaan met deze adapter. Ik kreeg wel langere uptime tot het probleem zich voordeed, maar nog steeds met dezelfde symptomen: interface passeerde geen verkeer meer.
Dit had ik sinds juni zo gehad op Proxmox, met regelmaat zitten troubleshooten maar uiteindelijk het probleem nooit gevonden en een USB adapter gebruikt, die er ook soms uit klapte. Deze week wilde ik een poging wagen om of ik die interface stabiel kon laten werken, maar ik denk dat er iets is veranderd aan de drivers aan een recente update omdat ik de interface niet meer zag in ip addr, maar wel kon zien dat er tijdens bootup een alias enp3s0 werd toegewezen.
Puntje bij paaltje, uiteindelijk opgegeven en er gisteren een Intel i226 based M2 adapter erin geschroefd omdat ik las dat die wel stabieler werkte op FreeBSD. Nu de boel draaiende op een verse bare metal installatie en de komende periode in de gaten of dit beter werkt. Is het de moeite waard qua stroomverbruik? Best wel! Op idle zit het systeem op circa 10w, en als ik de volledige 1gbps voltrek zit ik op zo'n 28w.
:no_upscale():strip_icc():strip_exif()/f/image/BVBDrZ9z3VKs89jTMIKP8CLS.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/wz57aFvu1reFSDIugK938SLE.jpg?f=user_large)
Het is allemaal wel op te lossen, je moet er alleen wel van bewust zijn. Je moet het niet erg vinden om even te repasten en evt. een fan op een fanless systeempje te leggen. En als je wilt "optimaliseren" door je firewall te combineren met proxmox en een sloot VMs / containers, dan kun je eigenlijk beter kiezen voor een systeem wat ontworpen is als server met een ingebouwde ventilator.
Dat laatste geldt ook voor protectli. Als bare metal firewall voldoet de passieve koeling prima, maar als je hem zwaar gaat belasten met proxmox, kun je er beter ook een fan op leggen.
Conclusie: (die hier iedere maand wordt gemaakt en daarna weer genegeerd
) beter je firewall en proxmox server gescheiden houden dan een high-spec firewall kopen waardoor je in de verleiding komt om er van alles bij te draaien.
Net als @eymey heb ik onlangs ook de overstap gemaakt van OPNsense naar Unifi, maar dan de goedkopere UCG-Ultra. Oorspronkelijk wilde ik gewoon de verbeterde firewall functionaliteit in Unifi Network software v9.4 testen, maar ben zo tevreden dat ik voorlopig niet terug ga naar OPNsense.
Unifi UCG-Ultra Cloud Gateway Ultra met Unifi Network 9.4
voordelen:
- volledig geintegreerd in unifi - je hele netwerk beheren vanuit 1 interface
- geen aparte vm/container nodig voor de unifi network app
- inzicht in netwerkverkeer en flows - vind dit overzichtelijker en fijner werken dan in standaard opnsense
- policy based routing heel eenvoudig (verkeer door VPN sturen op basis van source adres, destination hostnames of applicatie protocol)
- wireguard server en clients instellen heel eenvoudig
- zone based firewall overzichtelijk
- uitstekende app voor telefoon/tablet
- goedkoop instapmodel met volledige 1gbit performance en laag verbruik (UCG-Ultra)
- GUI is mooi maar niet altijd logisch (e.g. dhcp management, twee soorten backups - netwerk app en device)
- initieel geheel handmatig instellen, beperkte import van dhcp reserveringen mogelijk
- All eggs in one Ubiquiti basket
- Ubiquiti product lijn is behoorlijk verwarrend, andere modellen met ingebouwde wifi of NVR zijn niet goedkoop.
voordelen:
- veel meer functionaliteit, helemaal dmv de vele beschikbare plugins en uitbreidingen
- open source, geen afhankelijkheid van vendor
- spreiding van risico - netwerk gescheiden beheren van firewall
- netwerk gescheiden beheren van firewall, VLANs beheren op twee plekken
- GUI is niet altijd logisch, zelfs na jaren van gebruik
- geen app voor op telefoon
- minder mooie GUI, werkt erg matig vanaf telefoon
). Ik blijf dit topic volgen in ieder geval.
Een N150 lijkt mij overkill? Heb zelf een N5105 nu al een jaar of 2, 3 en nog 0 issues mee gehad. Of nouja..., ik draai bare metal Debian en meer software er op, en de N5105 mist wat zaken (AVX instructieset bv) waardoor ZFS native encryption (en waar het ook lijkt ook regelmatig ook andere software encryptie met (AES) GCM) zo traag als ... is. Of nouja, niet perse extreem traag, maar wel 100% CPU load en veel trager dan geen encryptie. Er is een (outdated) PR die naast AVX als "hardware accelerated" ook SSE4.1 toevoegt, en dan is het performance verlies maar iets van tientallen MB/s i.p..v honderden. Maar routeren en NATen is voor mij geen enkel probleem.
Alhoewel een slimme netwerk opzet natuurlijk meehelpt
"veel VLANs" zegt niks. Als je zaken isoleert op toepassing etc ga je vast geen Gigabits tussen VLANs pompen. Mijn servertje/NAS zitten ook gewoon in het "prive" VLAN bv, dus daarvoor hoef ik niet te routeren. En PC die Home Assistant "moet" benaderen in het IoT VLAN heeft aan een paar Kbit/s ook wel voldoende. En zelfs dan kan ik me niet indenken dat de N5105 geen Gbit/s aan zou kunnen v.w.b. routeren of NAT.Enige potentiele (zware) bottleneck, en die benoem je dan weer niet
, is PPPoE. Die is natuurlijk niet offloaded waardoor die de CPU zwaar aan het werk zet. Terwijl een consumenten routertje van een paar tientjes "gewoon" hardware offloading heeft voor PPPoE en daar dus geen enkel probleem mee heeft.
mee eens, mijn router is een j4115 (ik heb een odroid h2+), en die heeft geen enkele moeite met pppoe, ook niet op symmetrische gbit snelheden. routeren tussen vlans en vpn encryptie ook geen enkel probleem. (hier overigens ook debian/stable bare metal):
[...]
Een N150 lijkt mij overkill? Heb zelf een N5105 nu al een jaar of 2, 3 en nog 0 issues mee gehad. Of nouja..., ik draai bare metal Debian en meer software er op, en de N5105 mist wat zaken (AVX instructieset bv) waardoor ZFS native encryption (en waar het ook lijkt ook regelmatig ook andere software encryptie met (AES) GCM) zo traag als ... is. Of nouja, niet perse extreem traag, maar wel 100% CPU load en veel trager dan geen encryptie. Er is een (outdated) PR die naast AVX als "hardware accelerated" ook SSE4.1 toevoegt, en dan is het performance verlies maar iets van tientallen MB/s i.p..v honderden. Maar routeren en NATen is voor mij geen enkel probleem.
Alhoewel een slimme netwerk opzet natuurlijk meehelpt
Enige potentiele (zware) bottleneck, en die benoem je dan weer niet
Dat vind ik positief om te lezen nu er sinds ~1,5 week een paar honderd meter (misschien wel kilometer) glasvezel onder de stoep voor de tuin ligt
Aanleg Glaspoort. Letterlijk tientallen individuele vezels (van de woningen) die hier bij elkaar komen en met een overlengte van denk een metertje of 20 in de grond zijn gestopt.
Alhoewel PPPoE in combi met systemd-networkd AFAIK nog steeds niet echt te doen is. Gezien PPPoE een userland ding is willen ze er niet aan, dat AFAIK voor een awkward situatie zorgt dat je het halfbakken moet combineren met de defacto standaard PPPoE implementatie / daemon. Terwijl netplan, NetworkManager, etc gewoon wel PPPoE ondersteunen en onderwater (/transparant voor de gebruiker) die PPPoE daemon starten.
Maar wat ik begrepen heb... "moet PPPoE ook dood". Overblijfsel van DSL tijd waarbij er geen enkele reden is om het te gebruiken met glasvezel behalve "we gebruikten het altijd al" (en dus "het achterliggende netwerk heeft het altijd al vereist en zal het ook voor glasvezel vereisen ondanks totaal overbodig")
Wel grappig eigenlijk. Ik had dus de N100 wel ge-repaste, maar de N305 nog niet. Naar aanleiding van deze 'discussie' heb ik 'm gisteren ook gedaan en meteen het anti-stof gaasje wat tussen de uitblazende fan en de onderplaat zat verwijderd. Bij de lucht inlaat plekken heb ik het uiteraard laten zitten. Systeem draait nu zonder externe fan erop en de CPU temperatuur is van 30 graden naar 32 gegaan. Dank voor deze 'trigger':
[...]
Het is allemaal wel op te lossen, je moet er alleen wel van bewust zijn. Je moet het niet erg vinden om even te repasten en evt. een fan op een fanless systeempje te leggen. En als je wilt "optimaliseren" door je firewall te combineren met proxmox en een sloot VMs / containers, dan kun je eigenlijk beter kiezen voor een systeem wat ontworpen is als server met een ingebouwde ventilator.
Dat laatste geldt ook voor protectli. Als bare metal firewall voldoet de passieve koeling prima, maar als je hem zwaar gaat belasten met proxmox, kun je er beter ook een fan op leggen.
Conclusie: (die hier iedere maand wordt gemaakt en daarna weer genegeerd
/u/179168/bart_avatar_60.png?f=community){kind=avatar}
i7 9700k + Be-Quiet Dark Rock 4 Pro | Gigabyte Z390 Aorus Ultra | Gigabyte RTX5070Ti | Samsung 970 Pro 512GB + 860 EVO 1TB + 860 QVO 4TB | 2x8GB DDR4 3000Mhz | Seasonic Platinum 660W | Fractal Design R6 | Samsung Oddyssey G7 Neo | Edifier M60