Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.
"Erg traag" zal vast meevallen? Ja, het kan wat trager zijn. Maar of het merkbaar is?ThinkPad schreef op zaterdag 22 maart 2025 @ 06:37:
Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.
Daarnaast heeft Unbound trucjes om bv een bijna aflopende TTL/domein alvast opnieuw op te vragen. Als je hem de volgende keer dan daadwerkelijk opvraagt kan die weer gewoon uit het cache komen.
En daarnaast kan die ook verouderde data serveren. Dus als een record bv een minuut over de TTL is dat record wel nog gebruiken als antwoord en tegelijkertijd een query uitvoeren om het cache te updaten.
En je kunt een minimale TTL forceren. Want zijn TTLs van x seconden, of Y minuten, nu echt nodig? Een minimale TTL van bv 5 minuten zal dan ook alweer iets helpen om de boel snel te houden.
En van die upstream servers weet je natuurlijk ook niet wat ze exact doen. Ja, gedeeltelijk zal het cache altijd redelijk up-to-date / gevuld zijn want veel meer gebruikers, maar ook zij zouden natuurlijk kunnen prefetchen, of verlopen records serveren. En bij de onbekendere servers die je nu gebruikt (alle behalve Quad9?) is het natuurlijk ook maar de vraag of je niet semi de enige bent die bepaalde domeinnamen resolved. Ook gezien het buitenlandse partijen zijn, met waarschijnlijk relatief weinig gebruikers, en ze onbekend zijn in NL. Hoeveel NL sites zouden ze dan redelijk constant in het cache hebben?
Ik heb Unbound nu als recursive resolver ingesteld
"Serve expired" had ik al aanstaan.
Merk nog niet echt traagheid, we gaan het eens aankijken hoe dit bevalt. Dank voor de tip.
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?
Merk nog niet echt traagheid, we gaan het eens aankijken hoe dit bevalt. Dank voor de tip.
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?
[ Voor 50% gewijzigd door ThinkPad op 22-03-2025 09:37 ]
Ligt er aan hoe je privacy definieert... DNS queries zijn per definitie inzichtelijk voor iedereen tussen jouw device en de DNS server, DNS kent geen confidentiality. Daarom heb je DoT, DoH, DNSCrypt, etc. Die verpakken standaard DNS queries in een versleutelde tunnel, zodat de queries niet zichtbaar zijn 'op de lijn'.ThinkPad schreef op zaterdag 22 maart 2025 @ 09:18:
Volgens mij heb ik nu het best haalbare qua privacy?
Met DoT/DoH/DNSCrypt etc heb je dan 'privacy' tov de ISP, maar uiteindelijk weet de DNS server alsnog welke queries jij maakt. Nu je zelf een recursive DNS server draait, is er niet één Cloudflare-achtige partij die jouw DNS queries ziet, maar je ISP kan ze wel weer inzien...
Daarnaast, ook al zou niemand je DNS queries in kunnen zien, zodra je een TLS verbinding opzet naar een website, is het domein zichtbaar in de TLS-handshake. Dus dan ben je je privacy alsnog kwijt. (TLS1.3 met ECH brengt daar weer verandering in).
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
DNSSEC is niet bedoeld om privacy te bevorderen, maar wel voor betere beveiliging.ThinkPad schreef op zaterdag 22 maart 2025 @ 09:18:
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?
DNSSEC voegt een soort handtekening toe aan de DNS records om ze als echt te verifiëren. Zo kan een rogue DNS server geen valse DNS records serveren.
[ Voor 3% gewijzigd door GoBieN-Be op 23-03-2025 20:19 ]
Paar dagen verder, helaas nog niet echt helemaal overtuigd van het zelf recursive resolven.
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.
Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.
Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot
[ Voor 17% gewijzigd door ThinkPad op 27-03-2025 07:37 ]
Je hebt het iig geprobeerd 👍ThinkPad schreef op dinsdag 25 maart 2025 @ 21:19:
Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot
Ik blijf het wel bijzonder vinden dat de resolving zo lang duurt dat een pagina load er door niet lukt. Je zou bijna verwachten dat er dan ergens iets niet helemaal lekker loopt. Ik weet niet of unbound ergens statistieken bij houdt over hoe snel er antwoord gegeven wordt op dns requests. Want dan zou je daar dus erg langzame tijden moeten zien.
@ThinkPad @duvekotduvekot schreef op donderdag 27 maart 2025 @ 08:20:
[...]
Je hebt het iig geprobeerd 👍
Ik blijf het wel bijzonder vinden dat de resolving zo lang duurt dat een pagina load er door niet lukt. Je zou bijna verwachten dat er dan ergens iets niet helemaal lekker loopt. Ik weet niet of unbound ergens statistieken bij houdt over hoe snel er antwoord gegeven wordt op dns requests. Want dan zou je daar dus erg langzame tijden moeten zien.
Als je het hebt ingeschakeld in je setting conf file:
unbound-control stats_noreset
Die output kan je in Claude.ai of chatGPT plakken en vragen om een samenvatting. Hij meet per thread je kan er best wat uit halen.
Ik heb een cache, ik serve expired, en ik prefetch, haal de root.hints op. Moet zeggen dat ik altijd sceptisch was over Unbound maar met deze tunning is het behoorlijk rap.
Dat kan te maken hebben gehad met problemen bij een van de root-server's (c-root gehost bij Cogent):ThinkPad schreef op dinsdag 25 maart 2025 @ 21:19:
Paar dagen verder, helaas nog niet echt helemaal overtuigd van het zelf recursive resolven.
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.
Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot
https://lists.dns-oarc.ne...ions/2024-May/022558.html
Wij zagen ook diverse timeouts hierdoor, wat vertraging met zich meebracht in het resolven.
The cause of the problem is: network down, IP packets delivered via UPS
Bedankt voor het delen, maar dat lijkt een bericht van een jaar geledenCharlie_Root schreef op maandag 31 maart 2025 @ 10:29:
[...]
Dat kan te maken hebben gehad met problemen bij een van de root-server's (c-root gehost bij Cogent):
https://lists.dns-oarc.ne...ions/2024-May/022558.html
Wij zagen ook diverse timeouts hierdoor, wat vertraging met zich meebracht in het resolven.
Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.
Het waren de zelfde problemen, kon alleen geen recentere link er van vinden.ThinkPad schreef op maandag 31 maart 2025 @ 10:31:
[...]
Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden
Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.
The cause of the problem is: network down, IP packets delivered via UPS
Net een Shuttle DL30N gekocht, dual Intel 2.5GB nic, passief gekoelde Intel N100 en 16GB DDR5
Leuk doosje voor een routertje.
PFsense wil ik niks van weten, heb even getest met https://nethsecurity.org/ en dat ziet er leuk uit maar teveel betaalde opties.
Dus ik draai nu OPNsense zonder Unbound, maar eens even wat distros proberen, ik vond Sophos ook altijd wel leuk werken maar jammer dat er een limiet van 6GB op de licentie zit.
Leuk doosje voor een routertje.
PFsense wil ik niks van weten, heb even getest met https://nethsecurity.org/ en dat ziet er leuk uit maar teveel betaalde opties.
Dus ik draai nu OPNsense zonder Unbound, maar eens even wat distros proberen, ik vond Sophos ook altijd wel leuk werken maar jammer dat er een limiet van 6GB op de licentie zit.
pfSense CE 2.8 beta is uit, zie de blogpost van Netgate.
Groot nieuws voor de KPN glasvezel gebruikers onder ons:
Groot nieuws voor de KPN glasvezel gebruikers onder ons:
Dit is multi-threaded PPPoE! Niet langer de limitatie dat PPPoE maar op één core kan draaienThis version of pfSense CE software includes a new kernel-based PPPoE backend, ``if_pppoe``. This will replace the current MPD-based implementation.
- This new backend is more efficient and enables much faster speeds over PPPoE interfaces.
- This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.
- This backend will be enabled by default on future versions of pfSense software.
- The ``if_pppoe`` backend does not support all advanced features of the MPD implementation. For example, it does not support MLPPP.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
net op upgrade gedrukt. emmm niks voorbereid, niet eerst de packages verwijderd zoals in de handleiding.
Zweet zweet, zelfs geen backup gemaakt.
pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.
Intel(R) Core(TM) i3-N305 .
Zweet zweet, zelfs geen backup gemaakt.
pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.
Intel(R) Core(TM) i3-N305 .
-edit-
Hoe is de core verdeling voor PPPoE als je de aanpassing doorvoert en een file van een paar gigabyte binnenhaalt?nike schreef op woensdag 2 april 2025 @ 19:33:
net op upgrade gedrukt. emmm niks voorbereid, niet eerst de packages verwijderd zoals in de handleiding.
Zweet zweet, zelfs geen backup gemaakt.
pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.
Intel(R) Core(TM) i3-N305 .
This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.
[ Voor 3% gewijzigd door stormfly op 02-04-2025 19:43 ]
:strip_exif()/f/image/1LsPBihqALHhrmyEKooCxj7I.png?f=user_large)
Ik heb het aangezet!
Het gaat te snel, voor ik een iso van debian download 3 gig is hij al binnen. dit was tijdens het downloaden met http.
[ Voor 3% gewijzigd door nike op 02-04-2025 19:56 ]
-edit-
Even geduld voor echte resultatenstormfly schreef op woensdag 2 april 2025 @ 19:42:
[...]
Hoe is de core verdeling voor PPPoE als je de aanpassing doorvoert en een file van een paar gigabyte binnenhaalt?
This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.
It will actually get faster in 2.8-RELEASE because there was a rework that occurred too late to make the beta cut-off.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Netgate heeft nu een blogpost waarin ze dieper ingaan op PPPoE in pfSense, hoe dit normaal in *BSD werkt en wat hun nieuwe if_pppoe module doet. Paar passages:
Sinds gisteren is er ook een nieuwe versie van de beta om te testen.Key Features of if_pppoe
- Multi-Core Optimization: Unlike Netgraph, if_pppoe is designed to leverage multiple CPU cores effectively. It uses Receive Side Scaling (RSS) to distribute packets across cores based on protocol, source/destination addresses, and port numbers. This ensures that a single TCP flow stays on one core—minimizing out-of-order packets—while other cores handle concurrent flows.
- Simplified Architecture: By focusing solely on PPPoE, if_pppoe avoids the complexity of supporting arbitrary network functions. This leads to a leaner, faster implementation.
- Concurrent Packet Processing: The driver allows simultaneous packet handling in both receive and transmit directions across multiple CPUs. Exclusive operations (e.g., blocking other CPUs) are limited to rare reconfiguration events.
Performance Gains
On a Netgate 6100, we’ve observed throughput improvements ranging from 25% to 100% in scenarios with multiple simultaneous traffic flows—common in real-world deployments.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Is er al iemand die ervaring heeft met RAM en SSD voor een Topton met N150?
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.
Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?
Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen
Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:
/f/image/Ui4twfXhr9ZuXyCeSXkyScx6.png?f=fotoalbum_large)
De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.
Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen

/f/image/Ui4twfXhr9ZuXyCeSXkyScx6.png?f=fotoalbum_large)
De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.
/f/image/FjE7fnLc0MPGNoTqTWNboqki.png?f=fotoalbum_large)
[ Voor 3% gewijzigd door ThinkPad op 01-05-2025 11:47 ]
Nee, wel met een Topton N100. Ben na wat minder goeie keuzes uitgekomen op een 16GB Samsung geheugenmodule, zoals de verkoper aangaf, en een WD_Black SN770 nvme drive. Ik draai nu Opnsense bare metal nadat het me niet lukte om Opnsense stabiel te krijgen op Proxmox. Heb ook een N305 en daarop draaide het onder Proxmox als een zonnetje.mohblack schreef op maandag 28 april 2025 @ 22:03:
Is er al iemand die ervaring heeft met RAM en SSD voor een Topton met N150?
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.
[ Voor 17% gewijzigd door Villager op 01-05-2025 16:52 ]
@ThinkPad Misschien een idee dit (ook) in het PiHole-topic te vragen? Unbound komt daar volgens mij vaker voorbij dan hier.
edit: AGH.... kwartje viel net
edit: AGH.... kwartje viel net
[ Voor 12% gewijzigd door Raven op 01-05-2025 19:37 ]
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Hier alleen met een CWWK N100, enkele 48GB module van Crucial:Villager schreef op donderdag 1 mei 2025 @ 12:18:
[...]
Nee, wel met een Topton N100. Ben na wat minder goeie keuzes uitgekomen op een Samsung geheugenmodule, zoals de verkoper aangaf, en een WD_Black SN770 nvme drive.
Crucial RAM 48GB DDR5 5600MHz (of 5200MHz of 4800MHz) Laptop Geheugen CT48G56C46S5
Deze 'werkt' maar moest wel een ventilator er op richten om memory errors te voorkomen. Nog steeds niet heel blij mee, maar kon destijds niet meer retour. Draait nu wel meer dan een jaar stabiel.
[ Voor 3% gewijzigd door thof op 01-05-2025 16:40 ]
Server 1: Intel N305 | 48GB RAM | 5*4TB NVME | 4x 2.5GbE
Server 2: Intel N5105 | 64GB RAM | 1TB NVME | 4x 2.5GbE
Server 3: Intel Xeon E5-2670 | 128GB RAM | 512+750GB SATA SSD | 6x10TB HDD | 6x 1GbE [Buiten gebruik]
ik zit hier thuis ook altijd mee te klooien....ThinkPad schreef op donderdag 1 mei 2025 @ 11:13:
Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?
Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderenHeb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:
[Afbeelding]
De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.
[Afbeelding]
heb je in adguard home de optie aangevinkt van "use private reverse DNS servers" en je Unbound ip adres hier bijstaan (AGH > Settings > DNS settings) ?
er staat letterlijk in de beschrijving dat wanneer je dit niet aanzet, AGH altijd antwoordt met een NXDOMAIN
[ Voor 4% gewijzigd door EverLast2002 op 01-05-2025 17:38 ]
Dat staat al aan. Maar het is geen AGH probleem, want niet al m'n devices gaan langs AGH (praten rechtstreeks met Unbound op de OPNsense) en daar heb ik het issue ook. Het is gewoon een eigenaardigheid van OPNsense/Unbound volgens mij.
kan het iets te maken hebben met .home.arpa waar Unbound zich in verslikt?ThinkPad schreef op donderdag 1 mei 2025 @ 20:20:
Dat staat al aan. Maar het is geen AGH probleem, want niet al m'n devices gaan langs AGH (praten rechtstreeks met Unbound op de OPNsense) en daar heb ik het issue ook. Het is gewoon een eigenaardigheid van OPNsense/Unbound volgens mij.
zonder home.arpa resolved ie waarschijnlijk wel, en met geeft ie NXDOMAIN.
(ik gebruik zelf ook home.arpa als domein voor het interne netwerk)
Ik zit nu nog even een aantal dynamische leases te pingen/nslookup-en en lijkt nu wel te werken zoals het zou moeten. Vreemd, zal het op een later moment nog eens goed testen met wat IOT-meuk.
Dank voor de reacties,
Na wat verder lezen, zoeken en reply van de Ali store ( generieke antwoord wat al eerder is gepost)
Heb ik gekozen voor een crucial CT module en Kingston SSD.
Ik ga het eerst proberen met proxmox.
Wil de mogelijkheid hebben ook nog wat andere kleine machines erop draaien.
Mocht dat niet goed werken dan gewoon direct op het doosje.
Als het goed is komt de Topton volgende week.
Als het eenmaal draait (of niet) laat ik het weten.
Na wat verder lezen, zoeken en reply van de Ali store ( generieke antwoord wat al eerder is gepost)
Heb ik gekozen voor een crucial CT module en Kingston SSD.
Ik ga het eerst proberen met proxmox.
Wil de mogelijkheid hebben ook nog wat andere kleine machines erop draaien.
Mocht dat niet goed werken dan gewoon direct op het doosje.
Als het goed is komt de Topton volgende week.
Als het eenmaal draait (of niet) laat ik het weten.
Maakt het uit of je een NVMe of Sata SSD gebruikt als main schijf in een mini PC waar enkel Opnsense op draait?
Vandaag topton ontvangen en proxmox + OPNsense op geïnstalleerd.
Draait nu een uurtje of 6 stabiel icm met:
uitvoering: Kingston NV3 (retail) 1TB
uitvoering: Crucial CT16G56C46S5
Draait nu een uurtje of 6 stabiel icm met:
uitvoering: Kingston NV3 (retail) 1TB
uitvoering: Crucial CT16G56C46S5
Als je OPNsense op Proxmox installeert, is het dan beter om de virtuele netwerkadapters van Proxmox te gebruiken, of doe je passthrough?
Beide oplossingen hebben zo hun eigen afhankelijkheden.stijnos1991 schreef op woensdag 7 mei 2025 @ 11:57:
Als je OPNsense op Proxmox installeert, is het dan beter om de virtuele netwerkadapters van Proxmox te gebruiken, of doe je passthrough?
Virtueel WAN kan icm PPPOE wat voordeel opleveren.
Virtueel LAN kan makkelijk en sneller zijn icm veel hosts op je Proxmox server.
Passthrough, kan mogelijk een betere performance geven omdat er minder overhead in zit.
Ik gebruik nu Virtueel WAN, passthrough Nic voor mijn IPTV, heb IGMP nog niet goed werkend gekregen met virtuele interfaces.
Virtueel voor mijn LAN.
Ben er tevrede over, afgezien mijn IPTV WAN Interface na een boot niet altijd een IP adres krijgt en mutlicast dan niet werkt. Ik heb nu in monit een scriptje geschreven dat indien dit voorkomt er een DHCP request gedaan wordt.
De discussie is al een paar keer gevoerd met voor- en nadelen.
In kader van makkelijke restore en hardware onafhankelijkheid kies ik voor allemaal virtuele interfaces.
In kader van makkelijke restore en hardware onafhankelijkheid kies ik voor allemaal virtuele interfaces.
Zucht, weer iets wat ik echt niet begrijp...
Kleine schets van het netwerk:
Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...
Kleine schets van het netwerk:
- Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
- LAN naar switch (op die switch is alles op één poort na VLAN1)
- Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)
Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...
:strip_exif()/f/image/rhFs74ItOI5HTQVKp8gZWYT2.png?f=user_large)
[ Voor 11% gewijzigd door barrymossel op 17-05-2025 17:15 ]
Is het niet makkelijker de switches vaste ip adressen geven buiten de dhcp range van opnsensebarrymossel schreef op zaterdag 17 mei 2025 @ 17:09:
Zucht, weer iets wat ik echt niet begrijp...
Kleine schets van het netwerk:De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.
- Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
- LAN naar switch (op die switch is alles op één poort na VLAN1)
- Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)
Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...
De switches hadden IN OPNSense een vast IP adres, maar daar kreeg ik die ene switch dus niet te pakken. En toen zag ik dat ie ineens in een andere VLAN zat.tomdh76 schreef op zaterdag 17 mei 2025 @ 17:14:
[...]
Is het niet makkelijker de switches vaste ip adressen geven buiten de dhcp range van opnsense
Nu heb ik gisteren het kastje waar de switch in zit even helemaal opnieuw ingericht, maar ik heb geen kabels omgeprikt in de switch. Snap er niks van.
Dit is wel heel vaag beschreven, daarnaast vraag ik me af wat je met vlans doet als je alles in vlan 1 mikt. Dat hoort echt niet zo. Dhcp voor management adressen lijkt me ook niet zo handig.barrymossel schreef op zaterdag 17 mei 2025 @ 17:09:
Zucht, weer iets wat ik echt niet begrijp...
Kleine schets van het netwerk:De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.
- Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
- LAN naar switch (op die switch is alles op één poort na VLAN1)
- Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)
Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...
[Afbeelding]
Edit ;
Met die tekening ben ik helemaal verdwaald. Je AP ook in vlan 1 maar IOT in vlan 9? Misschien even de tekening goed updaten met trunk ports en waar je wel en niet welke vlans tagged.
[ Voor 7% gewijzigd door Charlie_Root op 17-05-2025 17:20 ]
The cause of the problem is: network down, IP packets delivered via UPS
Niet alles zit in VLAN1. Meeste in het netwerk is hier via wifi. Dus daar wordt alles in de juiste VLAN gestopt. Uiteindelijk zitten alleen mijn telefoon, laptop, telefoon vrouw (al twijfel ik daar overCharlie_Root schreef op zaterdag 17 mei 2025 @ 17:18:
[...]
Dit is wel heel vaag beschreven, daarnaast vraag ik me af wat je met vlans doet als je alles in vlan 1 mikt. Dat hoort echt niet zo.
Als je dat zou kunnen uitleggen graag. Maar feit blijft dat het voorheen gewoon goed ging en nu ineens de switch in een ander VLAN zit. Zou toch alleen moeten kunnen als er iets verkeerd is omgeprikt?Dhcp voor management adressen lijkt me ook niet zo handig.
Switch 1Charlie_Root schreef op zaterdag 17 mei 2025 @ 17:18:
[...]
Edit ;
Met die tekening ben ik helemaal verdwaald. Je AP ook in vlan 1 maar IOT in vlan 9? Misschien even de tekening goed updaten met trunk ports en waar je wel en niet welke vlans tagged.
/f/image/KFoF1s34yoBCoF5S2hXsS4jU.png?f=fotoalbum_large)
:strip_exif()/f/image/N5589toq99ZsOqD7j2D3kKu3.png?f=user_large)
Switch 2
/f/image/Pi5kzfuUCxSDhxqVDFTZyunI.png?f=fotoalbum_large)
:strip_exif()/f/image/AaPK2A6KZVYwpfoVUt1ZPI6g.png?f=user_large)
U vraagt wij draaien. VLAN9 is ook waar ineens de tweede switch op zit. Alle andere VLANS zijn gasten en IoT en gaan via wifi.
Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewoon eens kijken naar twee nieuwe switches?jadjong schreef op zaterdag 17 mei 2025 @ 17:45:
Mijn ervaring met deze switch is dat de management interface regelmatig in een random vlan opduikt.
---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.
[ Voor 12% gewijzigd door barrymossel op 18-05-2025 10:51 ]
Dat is hoe het hoort, een static management IP in het juiste vlan. Als er iets in het netwerk stuk is en DHCP dus niet werkt ben je de switch ook kwijt. Knap lastig zoeken.barrymossel schreef op zaterdag 17 mei 2025 @ 17:46:
[...]
Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewwon eens kijken naar twee nieuwe switches?
---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.
Je vlan overzicht maakt het iets duidelijker, zou goed moeten zijn.
The cause of the problem is: network down, IP packets delivered via UPS
Ik zag dat de beveiligingsrichtlijnen van NCSC omtrent TLS vernieuwd zijn: link
Ik zat te kijken naar OPNsense om de webinterface te versleutelen conform de NCSC best practices, maar ik krijg de webinterface niet op een sterkere cipher:
In System > Settings > Administration heb ik de volgende ciphers geselecteerd:
:strip_exif()/f/image/XoFGWBhNzAjOfLtYZ0xZC55S.png?f=user_large)
Maar die bovenste wil ik eigenlijk eruit hebben, omdat die volgens NCSC als 'voldoende' i.p.v. goed wordt gezien:
:strip_exif()/f/image/BTzARTfCKPdDKwXRCw6Psk3X.jpg?f=fotoalbum_tile)
Ik gebruik liever alleen de 'goed' settings
Als ik hem weglaat krijg ik deze melding in OPNsense:
:strip_exif()/f/image/MA629LmIn7cclC3pZ6lSHTQM.jpg?f=fotoalbum_tile)
Ok, nouja blijkbaar móet die aanwezig zijn. Maar na opnieuw openen Firefox zie ik dus dat hij blijft hangen op de AES_128 en niet upgrade naar een nieuwere/betere cipher.
Ik zat te kijken naar OPNsense om de webinterface te versleutelen conform de NCSC best practices, maar ik krijg de webinterface niet op een sterkere cipher:
In System > Settings > Administration heb ik de volgende ciphers geselecteerd:
:strip_exif()/f/image/XoFGWBhNzAjOfLtYZ0xZC55S.png?f=user_large)
Maar die bovenste wil ik eigenlijk eruit hebben, omdat die volgens NCSC als 'voldoende' i.p.v. goed wordt gezien:
:strip_exif()/f/image/BTzARTfCKPdDKwXRCw6Psk3X.jpg?f=fotoalbum_tile)
Ik gebruik liever alleen de 'goed' settings
:strip_exif()/f/image/MA629LmIn7cclC3pZ6lSHTQM.jpg?f=fotoalbum_tile)
Ok, nouja blijkbaar móet die aanwezig zijn. Maar na opnieuw openen Firefox zie ik dus dat hij blijft hangen op de AES_128 en niet upgrade naar een nieuwere/betere cipher.
:strip_exif()/f/image/7jIIvCOdEO7oqhqajbIaoV8J.jpg?f=fotoalbum_tile)
[ Voor 61% gewijzigd door ThinkPad op 03-06-2025 10:04 ]
Aan je screenshots te zien, zijn het tplink switches?barrymossel schreef op zaterdag 17 mei 2025 @ 17:46:
[...]
Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewoon eens kijken naar twee nieuwe switches?
---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.
Ik heb zelf een 16 port tplink (geen POE), een 8 port (geen POE) en een 8 port (POE) switch van tplink
Ik heb ook al gemerkt dat deze switches verkeer aannemen vanuit eender welk device eraan hangt in eender welke VLAN. Je kan de mgmt interface ook enkel maar een IP toewijzen in de switch, je moet nergens zeggen welke VLAN.
Dat is imo een enorme design fout in de switches maar ze zijn dan ook wel echt veel goedkoper dan andere managed switches.
Voor de rest geen klagen van dus ik kan er mee leven voor mijn thuisnetwerkje..
Maar lijkt me wel een design fout die "eenvoudig" met een firmware update kan worden opgelost. Vreemd genoeg doen ze dat niet.silentkiller schreef op dinsdag 3 juni 2025 @ 10:01:
[...]
Aan je screenshots te zien, zijn het tplink switches?
Ik heb zelf een 16 port tplink (geen POE), een 8 port (geen POE) en een 8 port (POE) switch van tplink
Ik heb ook al gemerkt dat deze switches verkeer aannemen vanuit eender welk device eraan hangt in eender welke VLAN. Je kan de mgmt interface ook enkel maar een IP toewijzen in de switch, je moet nergens zeggen welke VLAN.
Dat is imo een enorme design fout in de switches maar ze zijn dan ook wel echt veel goedkoper dan andere managed switches.
Voor de rest geen klagen van dus ik kan er mee leven voor mijn thuisnetwerkje..
Tuurlijk, maar dat is het nadeel van goedkoop denk ik dan
Ik had van de week flink lopen rommelen met de VLAN/PVID instellingen en de poort bleef in de foute VLAN zitten.
backup terug gezet, switch gereboot via het menu -> allemaal geen nut.
Stroom eraf, stroom er terug op en 't werkte terug.
Voor de rest doen de switches het prima (hoewel ik volgende keer ook voor een duurder model ga
)
Ik had van de week flink lopen rommelen met de VLAN/PVID instellingen en de poort bleef in de foute VLAN zitten.
backup terug gezet, switch gereboot via het menu -> allemaal geen nut.
Stroom eraf, stroom er terug op en 't werkte terug.
Voor de rest doen de switches het prima (hoewel ik volgende keer ook voor een duurder model ga
Voor onze nieuwbouw woning ben ik ook op zoek naar een zelfbouw fw oplossing. In het verleden als eens met OPNsense oplossing getest toen liep ik tegen de PPPoE single thread issues aan waardoor het niet lukte om 1Gb te halen. Nu zie ik dat deze inmiddels opgelost zijn. Voor onze nieuwbouw woning wil ik dus kijken naar een 4Gb (KPN) of 8Gb (Odido) lijn (ik weet het, dat is overkill)… nu zag ik op Ali dit systeem met 2x 10GB Nics: https://nl.aliexpress.com...65-468e-866f-c3119a54d68f
Heeft iemand hier ervaring mee om hiermee een 1Gb+ glaslijn goed aan de praat te krijgen? Dit systeem maakt gebruik van: 2x Marvell AQC113 10G LAN. Helaas kan ik daar maar weinig info over vinden. Hopelijk kan iemand me hier helpen en heeft hier ervaring mee
Heeft iemand hier ervaring mee om hiermee een 1Gb+ glaslijn goed aan de praat te krijgen? Dit systeem maakt gebruik van: 2x Marvell AQC113 10G LAN. Helaas kan ik daar maar weinig info over vinden. Hopelijk kan iemand me hier helpen en heeft hier ervaring mee
'Opgelost' is het alleen in pfSense, die heeft nu multi-threaded PPPoE. OPNsense blijft single thread, en heb je dus nog steeds hoge single core performance nodig. Ik weet niet wat dat betekent voor 4Gbps, maar Odido heeft sowieso geen PPPoE.Murrays schreef op zondag 3 augustus 2025 @ 11:28:
In het verleden als eens met OPNsense oplossing getest toen liep ik tegen de PPPoE single thread issues aan waardoor het niet lukte om 1Gb te halen. Nu zie ik dat deze inmiddels opgelost zijn.
In de specificaties staat:Murrays schreef op zondag 3 augustus 2025 @ 11:28:
Dit systeem maakt gebruik van: 2x Marvell AQC113 10G LAN. Helaas kan ik daar maar weinig info over vinden. Hopelijk kan iemand me hier helpen en heeft hier ervaring mee
Unix-based OS like pfSense, OPNsense and so on do not have drivers for this Marvell LAN.
[ Voor 27% gewijzigd door Tom Paris op 03-08-2025 13:34 ]
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Hmmm ik las een workaround in de update thread dat het ook mogelijk was multi thread te realiseren met OPNsense nu. Ik weet dat Ododi geen PPPoE heeft maar ik zoek gewoon het juiste systeem om dit goed te kunnen draaien. Deze valt al af.. heb het helaas zelf niet gelezen bij de Ali advertentie…Tom Paris schreef op zondag 3 augustus 2025 @ 13:31:
[...]
'Opgelost' is het alleen in pfSense, die heeft nu multi-threaded PPPoE. OPNsense blijft single thread, en heb je dus nog steeds hoge single core performance nodig. Ik weet niet wat dat betekent voor 4Gbps, maar Odido heeft sowieso geen PPPoE.
[...]
In de specificaties staat:
[...]
Weet je zeker dat je die snelheden gaat halen met nieuwbouw? Ik heb hier namelijk maximaal 1Gbps.Murrays schreef op zondag 3 augustus 2025 @ 15:15:
[...]
Hmmm ik las een workaround in de update thread dat het ook mogelijk was multi thread te realiseren met OPNsense nu. Ik weet dat Ododi geen PPPoE heeft maar ik zoek gewoon het juiste systeem om dit goed te kunnen draaien. Deze valt al af.. heb het helaas zelf niet gelezen bij de Ali advertentie…
Met 1Gbps is PPPoE sowieso geen probleem.
Ja Odido biedt sowieso 8Gbps aan maar ook een 2Gbps.. maar dan zou ik nog kunnen kiezen voor een 4x 2.5gb kastje. Voor KPN moet ik inderdaad nog even kijken of het wel aangeboden wordtTumTum schreef op zondag 3 augustus 2025 @ 16:45:
[...]
Weet je zeker dat je die snelheden gaat halen met nieuwbouw? Ik heb hier namelijk maximaal 1Gbps.
Met 1Gbps is PPPoE sowieso geen probleem.
KPN legt alleen nog XGS-PON aan, geen AON.TumTum schreef op zondag 3 augustus 2025 @ 16:45:
[...]
Weet je zeker dat je die snelheden gaat halen met nieuwbouw? Ik heb hier namelijk maximaal 1Gbps.
Met 1Gbps is PPPoE sowieso geen probleem.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Niet persé. Als er in de buurt plek is op AON dan gebeurd dat ook nog zover ik weet.Tom Paris schreef op zondag 3 augustus 2025 @ 18:11:
[...]
KPN legt alleen nog XGS-PON aan, geen AON.
Zie dit bericht met uitleg:
Economics in "[KPN XGS-PON] Eigen router/ONT gebruiken"
Het gaat hier vaak over de ChangWang bordjes van CCKW of TopTon etc. Ik heb er vandaag een gerepareerd van een defecte BIOS. Het komt nogal nauw qua apparatuur niet elke flasher werkt. Ter naslag om je bios te flashen een howto.
Je hebt deze programmer nodig met een 3,3 volt schakelaar. Mijn collega heef het eerst zelf tientallen malen geprobeerd om te flashen met het andere model CH 347 zonder schakelaar. Maar dat werkt niet, die heeft default 5 volt. Het vreemde is dat een reserve chip die we hadden gekocht ivm lossolderen, W25Q128JVSQ met de 5v programmer wel kan programmeren. Er gaat iets mis met de 5v programmer als je de BIOS chip op het moederboard wilt schrijven, met de getoonde 3,3v programmer gaat dat goed.
/f/image/qo282dN5spzn51pGbY5aMaNw.png?f=fotoalbum_large)
Deze verende pinnen zijn veel fijner dan de standaard zwarte klem. Nu moet ik toegeven dat wij in de zoektocht de klem ook wel "versleten" hadden het plastic brokkelt af. Met deze verende pinnen is het een fluitje van een cent, het is een hol kapje wat exact over het IC heen pas.
SOIC8 208mil 5.8mm is de juiste voor W25Q128JVSQ
/f/image/vgxAHQAlJ3VlrV36bKLH5Q9i.png?f=fotoalbum_large)
Deze bin file moet je dan in het IC programmeren. Je kunt NeoProgrammer gebruiken of flashprom onder MacOS
:strip_exif()/f/image/kf8rKzCVm5gRMVxD5WwcMojQ.png?f=user_large)
En wellicht overbodig: alle componenten moeten van het moederboard af, RAM, NVMe, CMOS 3volt batterij, en de power adapter.
Je hebt deze programmer nodig met een 3,3 volt schakelaar. Mijn collega heef het eerst zelf tientallen malen geprobeerd om te flashen met het andere model CH 347 zonder schakelaar. Maar dat werkt niet, die heeft default 5 volt. Het vreemde is dat een reserve chip die we hadden gekocht ivm lossolderen, W25Q128JVSQ met de 5v programmer wel kan programmeren. Er gaat iets mis met de 5v programmer als je de BIOS chip op het moederboard wilt schrijven, met de getoonde 3,3v programmer gaat dat goed.
/f/image/qo282dN5spzn51pGbY5aMaNw.png?f=fotoalbum_large)
Deze verende pinnen zijn veel fijner dan de standaard zwarte klem. Nu moet ik toegeven dat wij in de zoektocht de klem ook wel "versleten" hadden het plastic brokkelt af. Met deze verende pinnen is het een fluitje van een cent, het is een hol kapje wat exact over het IC heen pas.
SOIC8 208mil 5.8mm is de juiste voor W25Q128JVSQ
/f/image/vgxAHQAlJ3VlrV36bKLH5Q9i.png?f=fotoalbum_large)
Deze bin file moet je dan in het IC programmeren. Je kunt NeoProgrammer gebruiken of flashprom onder MacOS
:strip_exif()/f/image/kf8rKzCVm5gRMVxD5WwcMojQ.png?f=user_large)
En wellicht overbodig: alle componenten moeten van het moederboard af, RAM, NVMe, CMOS 3volt batterij, en de power adapter.
Bij gebrek daaraan: je kan ook een Raspberry Pi met een 40-pin connector gebruiken in combinatie met flashrom. Die heeft het juiste voltage (3,3V) op diens GPIO-pinnen, waarmee die onderteuning heeft voor het betreffende protocol (SPI). De pinout vind je hier (pin 19, 21, 23, 24 voor dataoverdracht, pin 1 en 39 voor voeding van de chip).stormfly schreef op donderdag 14 augustus 2025 @ 15:29:
Je hebt deze programmer nodig met een 3,3 volt schakelaar.
[ Voor 13% gewijzigd door The Zep Man op 14-08-2025 15:50 ]
Yar har, wind in your back, lads, wherever you go!
@The Zep Man als ik het goed begrijp schrijf jij dat je de flash chip rechtstreeks op een RPi kunt aansluiten? Dus puur vanaf de klem / ..., direct naar de GPIO pins van de RPi? Da's wel nice.
* RobertMe had vorig jaar Bricked bios Yoga Slim 7 Pro opnieuw flashen via EEPROM . Toen ook zo'n programmer besteld, alleen dan zonder 3.3V / 5V switch maar met een extra bordje dat de omzetting doet. Het stukje van @stormfly met een klem die "niet pakt" herken ik ook. Heb toen veel geëxperimenteerd (verschillende Frankenstein biossen in elkaar geprutst) en op het eind mislukte lezen toch wel vaak. Door wat vaagheden (POST die een minuut duurde
, i.p.v. letterlijk 1 of 2 seconden) een paar weken terug opnieuw geflasht, en velrvele pogingen nodig gehad voordat de chip betrouwbaar gelezen was (lees: 2x een lees actie dezelfde file opleverde). En uiteindelijk iets van 20 minuten lang "heel stil gezeten" en de klem er op blijven drukken zonder "een millimeter" te bewegen (en dan lezen, diff met voorgaande keer lezen, zelfde resultaat, en op hoop van zegen schrijven wat ook weer lezen + schrijven + verifyen is en dus vele minuten duurt). Die andere gelinkte klem ziet er mogelijk wel beter uit? Maar ook duurder denk ik dan het hele setje bij elkaar kostte
* RobertMe had vorig jaar Bricked bios Yoga Slim 7 Pro opnieuw flashen via EEPROM . Toen ook zo'n programmer besteld, alleen dan zonder 3.3V / 5V switch maar met een extra bordje dat de omzetting doet. Het stukje van @stormfly met een klem die "niet pakt" herken ik ook. Heb toen veel geëxperimenteerd (verschillende Frankenstein biossen in elkaar geprutst) en op het eind mislukte lezen toch wel vaak. Door wat vaagheden (POST die een minuut duurde

Dat kan ja. Zo flash je bijv. ook OpenWrt op de KPN Experia Wifi en KPN SuperWifi 1.RobertMe schreef op donderdag 14 augustus 2025 @ 16:04:
@The Zep Man als ik het goed begrijp schrijf jij dat je de flash chip rechtstreeks op een RPi kunt aansluiten? Dus puur vanaf de klem / ..., direct naar de GPIO pins van de RPi? Da's wel nice.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Klopt. Wat je nodig hebt is een apparaat dat als SPI host kan werken. Een Pi kan dit. Er is geen andere hardware nodig. Wat jumper cables en een testklem zijn voldoende. Opensource software doet de rest.RobertMe schreef op donderdag 14 augustus 2025 @ 16:04:
@The Zep Man als ik het goed begrijp schrijf jij dat je de flash chip rechtstreeks op een RPi kunt aansluiten? Dus puur vanaf de klem / ..., direct naar de GPIO pins van de RPi? Da's wel nice.
Werkt ook goed om slechte flashes mee te herstellen. Dat kan via een testklem en op sommige desktopmoederborden ook via een undocumented header.
[ Voor 12% gewijzigd door The Zep Man op 14-08-2025 17:48 ]
Yar har, wind in your back, lads, wherever you go!
De slechte flash heb ik intussen dus ervaring meeThe Zep Man schreef op donderdag 14 augustus 2025 @ 17:46:
[...]
Klopt. Wat je nodig hebt is een apparaat dat als SPI host kan werken. Een Pi kan dit. Er is geen andere hardware nodig. Wat jumper cables en een testklem zijn voldoende. Opensource software doet de rest.
Werkt ook goed om slechte flashes mee te herstellen. Dat kan via een testklem en op sommige desktopmoederborden ook via een undocumented header.

Nu heb ik dan die losse chip / USB "stick", werkt an zich prima, alleen dan dat de klem (intussen) nogal iffy is (maar die blijft met flashen vanaf RPi natuurlijk ook nodig). En RPis als alternatief heb ik ook nog wel. Zelfs een "originele" ("Model B"), meteen besteld nadat het ding uit kwam vanuit de UK. Vervolgens niks mee gedaan behalve OpenELEC er op
@stormfly , je geeft trouwens aan een nieuwe flash chip besteld te hebben. Maar kun je die solderen? Ben zelf een relatieve leek (laatst mijn defecte subwoofer gefixt, eens een keer een knop op een muis vervangen en wat met ESPjes geprutst). Through hole spul is natuurlijk (heel) eenvoudig. Maar dit surface mounted spul is natuurlijk andere koek. Met mijn gewone bout vast niks aan te beginnen. Heb een TS100.
Ja dat had ik wel gedurfd met een regelbare Weller, ik heb een handvol verschillende puntjes. Heb wat YT bekeken en dan beide zijde alle 4 de pootjes vertinnen, opwarmen links-rechts-links-rechts en dan gaat hij zweven. Daarna met een stift met een dunnere punt even op 2 pootjes vastzetten en dan de overige pootjes door laten vloeien. Dat was mijn plan ;-) maar gelukkig is het niet nodig want het blijft wel gepriegel.RobertMe schreef op donderdag 14 augustus 2025 @ 18:18:
[...]
@stormfly , je geeft trouwens aan een nieuwe flash chip besteld te hebben. Maar kun je die solderen? Ben zelf een relatieve leek (laatst mijn defecte subwoofer gefixt, eens een keer een knop op een muis vervangen en wat met ESPjes geprutst). Through hole spul is natuurlijk (heel) eenvoudig. Maar dit surface mounted spul is natuurlijk andere koek. Met mijn gewone bout vast niks aan te beginnen. Heb een TS100.
Zijn er ook al mensen die nadenken om hun PFsense of Opensense doosje te vervangen voor een unify cloud fiber.
Zeker ook gezien de specs https://store.ui.com/us/e...-fiber/products/ucg-fiber
Wat ik dan nog zou missen is haproxy dus daar zou ik een aparte lxc container voor moeten bouwen.
Maar ja ik draai al zolang zelf pfsense met zoveel rules en vlans etc... dat het nog een hele klus word om het over te zetten.
Maar iets nieuws is ook leuk, en ik heb al switchen en AP's van unify.
Zeker ook gezien de specs https://store.ui.com/us/e...-fiber/products/ucg-fiber
Wat ik dan nog zou missen is haproxy dus daar zou ik een aparte lxc container voor moeten bouwen.
Maar ja ik draai al zolang zelf pfsense met zoveel rules en vlans etc... dat het nog een hele klus word om het over te zetten.
Maar iets nieuws is ook leuk, en ik heb al switchen en AP's van unify.
-edit-
Goede onderbouwing
@nike, ik heb juist ~2,5 jaar terug de overstap gemaakt van een USG naar volledig zelfbouw (TopTon doosje met Debian). De nieuwe UniFi software was gewoon crap, en een zone based firewall bv, waardoor het ook IPv6 capable was, was onmogelijk (kan intussen wel). Maar nu heb ik ook gewoon veel meer vrijheden. En op mijn router draai ik nu ook gewoon een deel van mijn Docker containers (binnen halen Linux ISOs bv). En wellicht dat ik op een later moment ik mijn servertje en router helemaal samenvoeg. Met hoe het nu draait (Docker containers op de router, gekoppeld aan VLANs etc etc) heb ik dat in principe al en is er geen enkele echte reden waarom iets op het servertje zou moeten en niet op de router zou kunnen. Sowieso al omdat beide dezelfde CPU bevatten (N5105), en het servertje 8GB gesoldeerd RAM heeft dat vol zit

En in de nabije toekomst (1, 1,5 jaar) komt er wellicht wel weer een "normaler" systeem voor in de plaatst. Met een Intel Core processor, mATX mobo met, mogelijkheid tot 128GB RAM of whatever, .... Software technisch zie ik momenteel geen enkele reden om dat niet te doen. En hardware technisch heeft het ook wat voordelen (geen limiet door netwerk in kopiëren bestaande van router naar server bv
Veiligheid. Een configuratiefout of kwetsbaarheid kan je duur komen te staan als je alles samenvoegt op één machine en één OS. Zelf zou ik een *sense VM in ESXi/Proxmox als 'bare minimum' beschouwen vmb veiligheid en beschikbaarheid, heb je mogelijkheden genoeg om daarnaast Linux VMs en containers te draaien geïsoleerd van je router.RobertMe schreef op zaterdag 16 augustus 2025 @ 14:10:
geen enkele echte reden waarom iets op het servertje zou moeten en niet op de router zou kunnen
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Dat kan net zo goed gebeuren als je ze wel apart hebt. Ook dan kun je bv in de firewall een configuratiefout maken waardoor alles open staat.Tom Paris schreef op zaterdag 16 augustus 2025 @ 14:46:
[...]
Veiligheid. Een configuratiefout of kwetsbaarheid kan je duur komen te staan als je alles samenvoegt op één machine en één OS.
En alles is al dusdanig ingericht dat ik bij het starten van een nieuwe Docker container ook weer de firewall moet nalopen/aanpassen (tot het punt dat containers die "offline" zouden moeten werken vervolgens niet starten omdat ze initieel wel een bestand moeten downloaden maar dat niet werkt). Dus sure, met een configuratiefout kan het mis gaan, maar dat kan ook bij een gescheiden systeem. En door alles by default zo restrictief mogelijk te doen en daarna "op maat" dingen aan te passen / toe te staan neemt dat ook al veel weg.
Proxmox ben ik bekend mee en juist van af aan het stappen. Voegt IMO niks toe. Ik wil gewoon een OS hebben waarop ik software kan draaien, geen hypervisor waar ik vervolgens een LXC of VM op moet zetten om daarin weer exact dezelfde software te draaien die ook op een gewone server zonder VM had gekund.Zelf zou ik een *sense VM in ESXi/Proxmox als 'bare minimum' beschouwen vmb veiligheid en beschikbaarheid, heb je mogelijkheden genoeg om daarnaast Linux VMs en containers te draaien geïsoleerd van je router.
En of het met Proxmox nu zoveel veiliger wordt? Juist zaken als de netwerk configuratie in Proxmox op zetten lijken mij nogal fout gevoelig waardoor je weer tegen het initiële punt aan loopt "een configuratiefout en de boel is lek".
Edit / aanvulling:
Docker draait in mijn geval ook met de setting op met zijn vingers van de firewall af te blijven. En "port forwards" in Docker geef ik uiteraard ook niet op (die wel kinda zouden werken doordat Docker gewoon doodleuk een transparante TCP / UDP proxy start. Dus een proxy proces op de host dat luistert op de opgegeven poort en doorstuurt naar de opgegeven poort van de container. Alleen zou zelfs in dat geval dus weer de firewall niet zijn aangepast en dus het binnenkomende verkeer nog steeds gedropt worden).
[ Voor 13% gewijzigd door RobertMe op 16-08-2025 15:32 ]
Persoonlijk ga ik nooit meer mijn *sense router virtualiseren.
Elke keer als ik de host wil updaten, ligt het internet er uit.
Het het kan best wel eens handig zijn als er iets met je host is, dat je altijd nog internet heb.
Maar ja bij mij is het nu even zwaar overkill, mijn pfsense draait op een chinees doosje een n305 met alleen de firewall. wel super stabiel en snel Ik had eerst een atom ding, maar ik kwam met speed testen nooit boven de 1G. dat had te maken dat ik altijd speedtesten deed via vlans en dat trok hij niet. nu wel.
Maar alles in het unify eco systeem trek mij ook wel.
Elke keer als ik de host wil updaten, ligt het internet er uit.
Het het kan best wel eens handig zijn als er iets met je host is, dat je altijd nog internet heb.
Maar ja bij mij is het nu even zwaar overkill, mijn pfsense draait op een chinees doosje een n305 met alleen de firewall. wel super stabiel en snel Ik had eerst een atom ding, maar ik kwam met speed testen nooit boven de 1G. dat had te maken dat ik altijd speedtesten deed via vlans en dat trok hij niet. nu wel.
Maar alles in het unify eco systeem trek mij ook wel.
-edit-
Wie kan me helpen met hetvolgende:
Setup:
PC1: OpnSense met Unbound DNS.
PC2: Proxmox: LXC AdGuard Home en andere containers.
Er zijn firewall rules ingesteld in Opnsense zodat alle DNS forced naar Opnsense gaat mocht er een toestel zijn die hardcoded DNS heeft.
AdGuardHome is ingesteld met Quad9 upstream server.
Maar ik zou ook graag hebben dat dit via Unbound gaat en niet meer via Quad9.
Wat heb ik gedaan:
Firewall rules tijdelijk uitgeschakeld.
Nieuwe LXC container waar Unbound in draait opgezet via gekende Proxmox Helper scripts.
In AGH upstream ingesteld van die Unbound > werkt perfect.
Waar loopt het mis:
Zodra ik de firewall rules inschakel zie ik in de querylog in AGH alle requests "refused".
Alias aangemaakt met DNS servers van Opnsense router + IP van AGH.
In de firewall rule dan Destination deze geselecteerd > lukt nog niet.
Mijn vraag: kan dit überhaupt wel wat ik wil opzetten?
Hier screenshots van de firewall.
/f/image/USRgh4EKVgTfcfeZMeHpgtb0.png?f=fotoalbum_large)
/f/image/LUenPf4pTWFwtg9B0zqeec3i.png?f=fotoalbum_large)
Setup:
PC1: OpnSense met Unbound DNS.
PC2: Proxmox: LXC AdGuard Home en andere containers.
Er zijn firewall rules ingesteld in Opnsense zodat alle DNS forced naar Opnsense gaat mocht er een toestel zijn die hardcoded DNS heeft.
AdGuardHome is ingesteld met Quad9 upstream server.
Maar ik zou ook graag hebben dat dit via Unbound gaat en niet meer via Quad9.
Wat heb ik gedaan:
Firewall rules tijdelijk uitgeschakeld.
Nieuwe LXC container waar Unbound in draait opgezet via gekende Proxmox Helper scripts.
In AGH upstream ingesteld van die Unbound > werkt perfect.
Waar loopt het mis:
Zodra ik de firewall rules inschakel zie ik in de querylog in AGH alle requests "refused".
Alias aangemaakt met DNS servers van Opnsense router + IP van AGH.
In de firewall rule dan Destination deze geselecteerd > lukt nog niet.
Mijn vraag: kan dit überhaupt wel wat ik wil opzetten?
Hier screenshots van de firewall.
/f/image/USRgh4EKVgTfcfeZMeHpgtb0.png?f=fotoalbum_large)
/f/image/LUenPf4pTWFwtg9B0zqeec3i.png?f=fotoalbum_large)
/f/image/ratAjplO0QK2xPmwQsEiD6V0.png?f=fotoalbum_large)
Het zou best kunnen werken, maar ik denk dat het niet aan je firewall ligt.TheCeet schreef op zaterdag 23 augustus 2025 @ 21:05:
Wie kan me helpen met hetvolgende:
Setup:
PC1: OpnSense met Unbound DNS.
PC2: Proxmox: LXC AdGuard Home en andere containers.
Er zijn firewall rules ingesteld in Opnsense zodat alle DNS forced naar Opnsense gaat mocht er een toestel zijn die hardcoded DNS heeft.
AdGuardHome is ingesteld met Quad9 upstream server.
Maar ik zou ook graag hebben dat dit via Unbound gaat en niet meer via Quad9.
Wat heb ik gedaan:
Firewall rules tijdelijk uitgeschakeld.
Nieuwe LXC container waar Unbound in draait opgezet via gekende Proxmox Helper scripts.
In AGH upstream ingesteld van die Unbound > werkt perfect.
Waar loopt het mis:
Zodra ik de firewall rules inschakel zie ik in de querylog in AGH alle requests "refused".
Alias aangemaakt met DNS servers van Opnsense router + IP van AGH.
In de firewall rule dan Destination deze geselecteerd > lukt nog niet.
Mijn vraag: kan dit überhaupt wel wat ik wil opzetten?
Een firewall werkt op de ip en port laag. Als je refuseds krijgt op je AGH dan denk ik dat de firewall werkt, je krijgt immers antwoord van je AGH, dat betekent dat je requests aankomen op de AGH (dus er is IP connectivity) en de applicatie geeft antwoord (de port staat open en is bereikbaar)
Ik gok dat je op je AGH moet checken
@TheCeet werkt AGH + Unbound wel goed als je het AGH IP hard in je client/PC zet? Heb je die setup onafhankelijk getest zonder PBR/re-direct rules?
https://www.reddit.com/r/...edirect_all_dns_requests/
https://forum.opnsense.org/index.php?topic=9245.0
Ik denk dat je nog wat rules mist, vooral de verplichte inverted rules, die heb jij wel staan maar naar 127.0.0.1? Nou ja de links zijn eerste google hits mijn advies. Wis alle config, test eest of AGH en Unbound samen als set goed werken zonder enige vorm van redirect en dan bouw je de redirect opnieuw. Als je Unbound wilt uitsluiten van de redirect, want die moet immers naar de root servers, dan moet je die met een regel boven de redirect 1:1 door laten gaan. FW rules werken top down
https://www.reddit.com/r/...edirect_all_dns_requests/
https://forum.opnsense.org/index.php?topic=9245.0
Ik denk dat je nog wat rules mist, vooral de verplichte inverted rules, die heb jij wel staan maar naar 127.0.0.1? Nou ja de links zijn eerste google hits mijn advies. Wis alle config, test eest of AGH en Unbound samen als set goed werken zonder enige vorm van redirect en dan bouw je de redirect opnieuw. Als je Unbound wilt uitsluiten van de redirect, want die moet immers naar de root servers, dan moet je die met een regel boven de redirect 1:1 door laten gaan. FW rules werken top down
@TheCeet
Ik heb het anders ingericht, wel via pfsense, maar volgens mij komt dat redelijk overeen.
eerst 2x firewall op het lan die je wil.
Dan een forward regel naar je adguard./f/image/dK4cg0nnXVgwIqcvWaTBchyG.png?f=fotoalbum_large)
Ik heb het anders ingericht, wel via pfsense, maar volgens mij komt dat redelijk overeen.
eerst 2x firewall op het lan die je wil.
Dan een forward regel naar je adguard.
/f/image/dK4cg0nnXVgwIqcvWaTBchyG.png?f=fotoalbum_large)
/f/image/vIpxuQQ6IeoNbhSF1i6Lei6G.png?f=fotoalbum_large)
-edit-
@stormfly
Ja dat werkt perfect.
AGH IP manueel in iPhone gezet > alles DNS gaat keurig via Unbound.
Het loopt pas mis als ik die firewall rules inschakel.
Dan lukt Unbound gedeelte niet meer + als ik test met 1.1.1.1 manueel in iPhone komt er ook geen data meer door.
Ik denk niet dat het aan AGH gedeelte ligt, maar wel aan de FW rules. En daar ontbreek ik toch wat kennis.
Het blijft voor mij 1 grote leerschool dit.
Ja dat werkt perfect.
AGH IP manueel in iPhone gezet > alles DNS gaat keurig via Unbound.
Het loopt pas mis als ik die firewall rules inschakel.
Dan lukt Unbound gedeelte niet meer + als ik test met 1.1.1.1 manueel in iPhone komt er ook geen data meer door.
Ik denk niet dat het aan AGH gedeelte ligt, maar wel aan de FW rules. En daar ontbreek ik toch wat kennis.
Het blijft voor mij 1 grote leerschool dit.
Dan doet je firewall het goed en is er iets wat je in de rules moet bekijken.
Wat zegt je logfile? *status> systemlogs> tabje firewall
Ik zie dat je een specifieke richting "in" toe laat, maar moet er ook een terugweg worden allowed?
Wat zegt je logfile? *status> systemlogs> tabje firewall
Ik zie dat je een specifieke richting "in" toe laat, maar moet er ook een terugweg worden allowed?
[ Voor 27% gewijzigd door Kabouterplop01 op 24-08-2025 22:15 ]
Ja ik ga wat documentatie opzoeken zodat het toch nog slim komt. Momenteel tast ik wat in het duister
Je kan het ook simpeler maken. Adguard Home container uitzetten.
In OPNsense -> Unbound DNS -> Blocklist -> enable en een paar blocklists aanvinken onder "Type of DNSBL". Met OISD Big ben je in principe al klaar, maar je kan ook de AdGuard lijst aanvinken. Grote voordeel hiervan is dat je voor je basis netwerkvoorzieningen niet meer afhankelijk bent van een extra server. Nadeel is dat je geen mooie statistiekjes hebt.
In OPNsense -> Unbound DNS -> Blocklist -> enable en een paar blocklists aanvinken onder "Type of DNSBL". Met OISD Big ben je in principe al klaar, maar je kan ook de AdGuard lijst aanvinken. Grote voordeel hiervan is dat je voor je basis netwerkvoorzieningen niet meer afhankelijk bent van een extra server. Nadeel is dat je geen mooie statistiekjes hebt.
AGH kan ook prima op OPNsense draaien, is gewoon een 3rd party plugin voor! Mimugmail repository: https://www.routerperformance.net/opnsense-repo/
AGH draait hier ook in OPNsense, op een custom port (53530 ofzo). Unbound op default 53. En dan een NAT rule om clients te forceren naar die custom AGH port. En in AGH kun je dan 127.0.0.1:53 opgeven als upstream. Werkt prima.
AGH draait hier ook in OPNsense, op een custom port (53530 ofzo). Unbound op default 53. En dan een NAT rule om clients te forceren naar die custom AGH port. En in AGH kun je dan 127.0.0.1:53 opgeven als upstream. Werkt prima.
[ Voor 18% gewijzigd door ThinkPad op 28-08-2025 23:07 ]
Bedankt voor de tips.
Ga ik zeker eens bekijken!
Heb toch liefst AGH omwille van de UI en de statistieken.
Ga ik zeker eens bekijken!
Heb toch liefst AGH omwille van de UI en de statistieken.
Ik heb AGH gewoon op 53 op Opnsense draaien en voor bepaalde informatie naar unbound forward icm een alternative port, dan voornamelijk de reverse lookup, of interne FQDN die ik gebruik.
Werkt perfect moet ik zeggen, al krijg ik nog wel errors met de DNS als ik een verbinding heb met mijn OpenVPN. Daar moet ik nog tijd aan besteden.
Ik wil ook een 2de AGH neerzetten en dan de config laten repliceren, zodat ik niet afhankelijk ben van 1 DNS server.
Maar de setup werkt wel goed en eigenlijk beter dan de unbound en dan blocklists.
Werkt perfect moet ik zeggen, al krijg ik nog wel errors met de DNS als ik een verbinding heb met mijn OpenVPN. Daar moet ik nog tijd aan besteden.
Ik wil ook een 2de AGH neerzetten en dan de config laten repliceren, zodat ik niet afhankelijk ben van 1 DNS server.
Maar de setup werkt wel goed en eigenlijk beter dan de unbound en dan blocklists.
[ Voor 18% gewijzigd door Rolfie op 29-08-2025 09:18 ]
Ja maar ik wil gewoon meer controle.
Als er nu iemand op zijn/haar toestel DNS server aanpast naar 1.1.1.1 kunnen ze daar gebruik van maken.
Dus ik wil alles forceren richting de eigen DNS server IP's. Vooral omdat ik merk dat de Android TV toch forced Google DNS wil bezoeken ipv mijn eigen DNS.
Als er nu iemand op zijn/haar toestel DNS server aanpast naar 1.1.1.1 kunnen ze daar gebruik van maken.
Dus ik wil alles forceren richting de eigen DNS server IP's. Vooral omdat ik merk dat de Android TV toch forced Google DNS wil bezoeken ipv mijn eigen DNS.
Toevallig heb ik daar onlangs niet alleen over na gedacht, maar ook de stap echt gemaakt. Van OPNSense, gevirtualiseerd in een KVM VM op een Proxmox server, naar een UCG-Fiber!nike schreef op zaterdag 16 augustus 2025 @ 13:39:
Zijn er ook al mensen die nadenken om hun PFsense of Opensense doosje te vervangen voor een unify cloud fiber.
Zeker ook gezien de specs https://store.ui.com/us/e...-fiber/products/ucg-fiber
Wat ik dan nog zou missen is haproxy dus daar zou ik een aparte lxc container voor moeten bouwen.
Maar ja ik draai al zolang zelf pfsense met zoveel rules en vlans etc... dat het nog een hele klus word om het over te zetten.
Maar iets nieuws is ook leuk, en ik heb al switchen en AP's van unify.
Net als @RobertMe had ik voorheen ook een Unifi Security Gateway, in 2018, nadat ik ook al switches en AP's van Ubiquiti had gekocht. Maar ik was vrij snel erg teleurgesteld over de slechte instelbaarheid van basic dingen (vooral qua DHCP en DNS en andere zaken). En toen ben ik me gaan verdiepen in OPNSense. Toen ook een Shuttle DH310 met Core i3-8100 CPU en 16 GB RAM gekocht.
Die gevirtualiseerde OPNSense, samen met een Home Assistant OS VM en wat LXC containers op die Shuttle heeft sinds begin 2019, dus ruim 6 jaar, rete stabiel gedraaid! Enige downtime was vanwege upgrades, paar keer in huis verplaatsen vanwege grondige herindeling van de meterkast, etc.
Een paar maanden terug begon de NVME SSD jn de Shuttle SMART errors te geven (hij was dik door zijn gespecificeerde aantal geschreven terabytes heen) en ook de fannetjes op het koelblok begonnen steeds meer lawaai te maken en ik kreeg het niet meer gefixt met schoonmaken. Toen heb ik dus met veel speurwerk passende fannetjes ( 2x 6 CM, 1 CM dik én met PWM ) gevonden en ook een nieuwe SSD ingebouwd, Proxmox opnieuw geinstalleerd en de VMs en LXC containers geimporteerd.
Inmiddels wilde ik echter eigenlijk ook wel eens op zoek naar wat nieuws als vervanging voor de Shuttle, het liefst ook iets waar ik mijn glasvezel met SFP+ module direct in kwijt kon, ipv de losse TP-link mediaconverter. Maar kwam er al vrij snel achter, ook via het zuinige server topic, dat de spoeling qua zuinige netwerkkaarten met SFP+ poorten behoorlijk dun was (of erg duur).
Inmiddels had de Unifi Cloud Gateway - fiber zich aangediend en waren de reviews die ik erover heb gezien lovend. Ook de Unifi Network applicatie van de controller was inmiddels flink uitgebreid met veel meer instelbaarheid en features, Wireguard, etc. En gezien mijn ervaring met het repareren van de Shuttle en het internet dat ik er toen ook uit moest gooien, ookal duurde het hooguit een half dagje, leek het me ook wel weer 'leuk' om internettoegang gewoon weer op aparte hardware te doen.
Afgelopen week heb ik de daadwerkelijke migratie van OPNSense naar de UCG-Fiber gedaan. Ik loop nog wel tegen wat dingen aan die nu op de UCG toch meer moeite lijken te gaan kosten of 'tegen vallen' qua customizability. Bijvoorbeeld:
- Ingebouwde Ad Blocking via DNS alleen gebaseerd op (te agressieve) propietary block list, terwijl ik de voorkeur aan OISD geef. Dat heb ik nu opgelost door NextDNS als DNS-servers te gaan gebruiken, daar OISD te kiezen en NextDNS via DOH vanuit de UCG in te stellen. Misschien ooit nog een Pi-hole containertje, maar dan heeft het thuisnetwerk toch weer een afhankelijkheid op de server.
- Interface voor registreren van interne hostnames of vastzetten van IP's in DHCP nog wel wat omslachtig, maar functioneel.
- Wireguard server voor site to site tunnel tussen de Fritzbox van mijn ouders en mijn netwerk, plus wireguard voor 'road warriors' moet ik nog aan beginnen/uitzoeken.
- Stroomverbruik van de UCG-Fiber toch wat tegenvallend hoog (rond de 8 watt), wat deels gecompenseerd wordt door ~5W reductie in verbruik doordat de Shuttle 1 NIC en 1 VM minder actief heeft.
- MTU van 1500 voor de PPPoE tunnel moet nog steeds 'hacky' met custom scripts, ipv dat je dit gewoon kan instellen.
Voordeel is wel dat ik mijn hele netwerk nu in één beheer interface heb, wat ook prettiger is als er ooit wat met mij mocht gebeuren en iemand in onze omgeving die niet helemaal digibeet is, maar ook niet per se verstand heeft van mijn Proxmox setup, zou mijn gezin moeten helpen bij issues. Ook is de Shuttle, zeker met het recente onderhoud, weer klaar voor nog wat jaartjes mee gaan met meer reserve capaciteit.
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
Als je tevreden bent met alleen de OISD - Big blocklist (ik ook!) kun je ook gratis ControlD gebruiken (gevonden op OISD).
Super eenvoudige en lightweight manier om OISD DNS filtering toe te passen op routers/firewalls zonder plugins.
Ben benieuwd naar je ervaringen. Heb een tijdje terug de stap gemaakt naar een UCGUltra (en weer terug naar OPNsense), maar blijft toch aantrekkelijk om alles in unifi te hebben. Single pane of glass en minder tijd kwijt aan beheer.
code:
1
2
3
4
5
6
7
| IPv4 76.76.2.32 76.76.10.32 IPv6 2606:1a40::32 2606:1a40:1::32 |
Super eenvoudige en lightweight manier om OISD DNS filtering toe te passen op routers/firewalls zonder plugins.
Ben benieuwd naar je ervaringen. Heb een tijdje terug de stap gemaakt naar een UCGUltra (en weer terug naar OPNsense), maar blijft toch aantrekkelijk om alles in unifi te hebben. Single pane of glass en minder tijd kwijt aan beheer.
[ Voor 20% gewijzigd door wian op 29-08-2025 15:43 ]
Dit is een kwestie van firewall regels, staat los van je DNS server / adblock tool.TheCeet schreef op vrijdag 29 augustus 2025 @ 10:15:
Ja maar ik wil gewoon meer controle.
Als er nu iemand op zijn/haar toestel DNS server aanpast naar 1.1.1.1 kunnen ze daar gebruik van maken.
Dus ik wil alles forceren richting de eigen DNS server IP's. Vooral omdat ik merk dat de Android TV toch forced Google DNS wil bezoeken ipv mijn eigen DNS.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Hmm, ook interessant! Ik had hem wel voorbij zien komen, maar kan uit de website niet zo goed opmaken wat nou precies "free" is en wanneer je moet betalen. Zie wel dat ze ook ook een URL in het dnscrypt-formaat "DNS Stamp" geven. Dat is fijn, want in de Ubiquiti Network interface voor het instellen van DoH moet je, bij het opgeven van een custom DoH server met custom block lists, de URL in dat formaat opgeven. Alle bekende DNS providers zijn ook gewoon selecteren, maar je kan dan niet configureren met welke blocklist je ze wil laten werken.wian schreef op vrijdag 29 augustus 2025 @ 15:38:
Als je tevreden bent met alleen de OISD - Big blocklist (ik ook!) kun je ook gratis ControlD gebruiken (gevonden op OISD).
code:
1 2 3 4 5 6 7 IPv4 76.76.2.32 76.76.10.32 IPv6 2606:1a40::32 2606:1a40:1::32
Super eenvoudige en lightweight manier om OISD DNS filtering toe te passen op routers/firewalls zonder plugins.
Ben benieuwd naar je ervaringen. Heb een tijdje terug de stap gemaakt naar een UCGUltra (en weer terug naar OPNsense), maar blijft toch aantrekkelijk om alles in unifi te hebben. Single pane of glass en minder tijd kwijt aan beheer.
Als ik wat meer ervaring heb zal ik deze wel eens delen de Ubiquiti-relateerde topcreeks (die is er vast
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
Oud topic, maar dacht ik post mijn zelfbouw OPNsense box ervaringen hier.
Gebruikte ingredienten: Een Dell Optiplex 3040M, Realtek RTL8125B 2.5gbps (mislukt experiment, zie hieronder), Intel i226 2.5gbps adapter (poging 2).
Ik had deze box gebouwd omdat ik in de eerste instantie een Fortigate 60E van het werk had meegekregen met verlopen licenties, echter uiteindelijk erachter gekomen dat deze throughput issues had dus weer teruggegeven. Die box had ik eerst vervangen met een MFF Optiplex Core 2 Duo, maar kwam erachter dat hij het zwaar had met de 1gbps PPPoE verbinding en het stroomverbruik op zo'n 40-60w lag op idle / load.
Via Tweakers een 3040M op de kop kunnen tikken met een i5-6500T, een Realtek RTL8125B M.2 adapter gekocht op Amazon. Eerst zat ik op een bare-metal OPNSense install, maar merkte al gauw dat de WAN interface er na zo'n 2 dagen uptime eruit knalde. Interface was nog wel up en werd nog gewoon gezien, maar de PPPoE sessie kwam gewoon niet meer op gang en vereiste een reboot. Ik kon steeds zien dat de interface aan het flappen was, wel weer up kwam, maar er gewoon geen data meer overheen ging. Met regelmaat gelezen dat FreeBSD niet zo lekker omgaat met Realtek omdat de driver support niet zo goed gaat, dus als volgende poging had ik Proxmox erop laten draaien met de hoop dat Debian beter kon omgaan met deze adapter. Ik kreeg wel langere uptime tot het probleem zich voordeed, maar nog steeds met dezelfde symptomen: interface passeerde geen verkeer meer.
Dit had ik sinds juni zo gehad op Proxmox, met regelmaat zitten troubleshooten maar uiteindelijk het probleem nooit gevonden en een USB adapter gebruikt, die er ook soms uit klapte. Deze week wilde ik een poging wagen om of ik die interface stabiel kon laten werken, maar ik denk dat er iets is veranderd aan de drivers aan een recente update omdat ik de interface niet meer zag in ip addr, maar wel kon zien dat er tijdens bootup een alias enp3s0 werd toegewezen.
Puntje bij paaltje, uiteindelijk opgegeven en er gisteren een Intel i226 based M2 adapter erin geschroefd omdat ik las dat die wel stabieler werkte op FreeBSD. Nu de boel draaiende op een verse bare metal installatie en de komende periode in de gaten of dit beter werkt. Is het de moeite waard qua stroomverbruik? Best wel! Op idle zit het systeem op circa 10w, en als ik de volledige 1gbps voltrek zit ik op zo'n 28w.
:strip_exif()/f/image/BVBDrZ9z3VKs89jTMIKP8CLS.jpg?f=fotoalbum_large)
Gebruikte ingredienten: Een Dell Optiplex 3040M, Realtek RTL8125B 2.5gbps (mislukt experiment, zie hieronder), Intel i226 2.5gbps adapter (poging 2).
Ik had deze box gebouwd omdat ik in de eerste instantie een Fortigate 60E van het werk had meegekregen met verlopen licenties, echter uiteindelijk erachter gekomen dat deze throughput issues had dus weer teruggegeven. Die box had ik eerst vervangen met een MFF Optiplex Core 2 Duo, maar kwam erachter dat hij het zwaar had met de 1gbps PPPoE verbinding en het stroomverbruik op zo'n 40-60w lag op idle / load.
Via Tweakers een 3040M op de kop kunnen tikken met een i5-6500T, een Realtek RTL8125B M.2 adapter gekocht op Amazon. Eerst zat ik op een bare-metal OPNSense install, maar merkte al gauw dat de WAN interface er na zo'n 2 dagen uptime eruit knalde. Interface was nog wel up en werd nog gewoon gezien, maar de PPPoE sessie kwam gewoon niet meer op gang en vereiste een reboot. Ik kon steeds zien dat de interface aan het flappen was, wel weer up kwam, maar er gewoon geen data meer overheen ging. Met regelmaat gelezen dat FreeBSD niet zo lekker omgaat met Realtek omdat de driver support niet zo goed gaat, dus als volgende poging had ik Proxmox erop laten draaien met de hoop dat Debian beter kon omgaan met deze adapter. Ik kreeg wel langere uptime tot het probleem zich voordeed, maar nog steeds met dezelfde symptomen: interface passeerde geen verkeer meer.
Dit had ik sinds juni zo gehad op Proxmox, met regelmaat zitten troubleshooten maar uiteindelijk het probleem nooit gevonden en een USB adapter gebruikt, die er ook soms uit klapte. Deze week wilde ik een poging wagen om of ik die interface stabiel kon laten werken, maar ik denk dat er iets is veranderd aan de drivers aan een recente update omdat ik de interface niet meer zag in ip addr, maar wel kon zien dat er tijdens bootup een alias enp3s0 werd toegewezen.
Puntje bij paaltje, uiteindelijk opgegeven en er gisteren een Intel i226 based M2 adapter erin geschroefd omdat ik las dat die wel stabieler werkte op FreeBSD. Nu de boel draaiende op een verse bare metal installatie en de komende periode in de gaten of dit beter werkt. Is het de moeite waard qua stroomverbruik? Best wel! Op idle zit het systeem op circa 10w, en als ik de volledige 1gbps voltrek zit ik op zo'n 28w.
:strip_exif()/f/image/BVBDrZ9z3VKs89jTMIKP8CLS.jpg?f=fotoalbum_large)
:strip_exif()/f/image/wz57aFvu1reFSDIugK938SLE.jpg?f=fotoalbum_large)
Met pfSense kun je het verbruik verder terugdringen Sinds 2.8 kan pfSense namelijk PPPoE multi-threaded verwerken, waardoor de workload over alle cores wordt uitgesmeerd ipv single-thread op 1 core die maximaal in turbo-modus moet. Ik heb een Pentium J5005, die ik via PowerD op 'minimum' zet. CPU komt dan niet boven 900Mhz uit, maar nog steeds geen enkel probleem met volledige 1Gbps bandbreedte.VikeeVeekie schreef op zondag 21 september 2025 @ 13:52:
Is het de moeite waard qua stroomverbruik? Best wel! Op idle zit het systeem op circa 10w, en als ik de volledige 1gbps voltrek zit ik op zo'n 28w.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Helemaal mee eens, en een simpele manier om hem koeler en stiller en zuiniger te laten werken,Tom Paris schreef op zondag 21 september 2025 @ 21:30:
[...]
Met pfSense kun je het verbruik verder terugdringen Sinds 2.8 kan pfSense namelijk PPPoE multi-threaded verwerken, waardoor de workload over alle cores wordt uitgesmeerd ipv single-thread op 1 core die maximaal in turbo-modus moet. Ik heb een Pentium J5005, die ik via PowerD op 'minimum' zet. CPU komt dan niet boven 900Mhz uit, maar nog steeds geen enkel probleem met volledige 1Gbps bandbreedte.
maar het kan van invloed zijn op je openvpn capaciteit heb ik ondervonden, verder heb ik er niet veel van gemerkt dat de cores op hun langzaamste snelheid draaien.
OpenVPN is inderdaad nog single-threaded, tenzij je DCO gebruikt. DCO is niet bij alle providers beschikbaar, denk dat daar met OpenVPN 2.7 (nu in beta) verandering in zal komen.tuxie6 schreef op maandag 22 september 2025 @ 00:24:
[...]
Helemaal mee eens, en een simpele manier om hem koeler en stiller en zuiniger te laten werken,
maar het kan van invloed zijn op je openvpn capaciteit heb ik ondervonden, verder heb ik er niet veel van gemerkt dat de cores op hun langzaamste snelheid draaien.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Mag ik vragen hoe na drie jaar je ervaringen zijn met dit merk? Ze hebben aantrekkelijk geprijsde hardware maar sta toch een beetje huiverig tegenover een minder bekend Chinees merk. Wil ik iets soortgelijks van bijvoorbeeld Protectli ben ik al minimaal 50% duurder uit. Plus HSIPC levert een aantal modellen ook als rackmount waar m’n voorkeur naar uitgaat.nike schreef op donderdag 7 april 2022 @ 17:49:
[...]
yes vandaag binnen gehad.
PFsense 2.6.0 staat er standaard op, maar ik heb hem maar voor de zekerheid opnieuw geinstalleerd.
2,5g poorten worden goed ondersteund, ik heb aleen geen 2,5g switch.
stroom verbruik nu idle is 6,4w en voelt goed aan. van de week omgooien.
Nou de eerste indrukken:
Zojuist opnieuw pfsense geinstalleerd, mijn oude pfsense (een i5) de config een backup van gemaakt.
Deze bewerkt zodat de nics overeen komen en de backup ingelezen in de nieuwe pc.
Alles draaid weer als een zonnetje.
Ik heb wel het idee dat de gui iets trager aan voelt.... maar ik heb geen gewone install. ik draai echt alles, zoals vpn/haproxy/snort/ etc etc.
Komende dagen lekker testen.
Ik heb sinds enkele jaren een vergelijkbaar systeem. Gekocht op Amazon, geen idee welk merk het precies was, maar inderdaad een stuk goedkoper dan Protectli.
En daar heb ik heb geen seconde spijt van. Ik gebruik OpenBSD als OS en dat draait stabiel en probleemloos.
En daar heb ik heb geen seconde spijt van. Ik gebruik OpenBSD als OS en dat draait stabiel en probleemloos.
Protectli is een stuk duurder dan een TopTon/Qotom/CWWK op aliexpress bestellen, maar er is wel een verschil. Ik heb verschillende aliexpress firewalls gehad en daarna een protectli. Eerste grote verschil is de prijs. Je betaalt het dubbele voor een protectli firewall. Daar krijg je wel iets voor terug:
1. kwaliteit. de huidige protectli firewalls (v serie en vp serie) hebben custom ontworpen hardware. Het wordt nog steeds in China geproduceerd maar op specificaties van protectli. Ik heb een TopTon N150 vergeleken met een protectli vault v1410 en de protectli heeft een beter doordachte en duidelijk hogere kwaliteit behuizing. De bovenkant van de metalen behuizing maakt direct contact met de CPU, SSD en RAM voor een uitstekende hitte overdracht. Bij de TopTon zit er een dikke laag goedkope pasta over de CPU om contact te maken met de behuizing. De SSD en het geheugen maken geen contact met de behuizing, er zit een gat van 1-2 centimeter. Die worden dan ook heel snel warm. Met proxmox werd de SSD zo warm dat de performance flink naar beneden ging. Je kunt een fan op de TopTon leggen, maar de behuizing zit potdicht, dus er is binnen geen airflow. Je krijgt de temperatuur pas echt omlaag als je de behuizing open laat en direct lucht tegen de SSD en RAM blaast. De protectli had dit probleem niet. De behuizing werd goed warm, maar de SSD ging nooit throttelen en als je aan de buitenkant een ventilator plaatst zie je direct een groot verschil. Er zijn ook andere kleine verschillen, zoals een power connector die je kunt vastschroeven.
2. support. ten eerste is er uitgebreide documentatie op de protectli site. Ten tweede onderhouden ze coreboot die je makkelijk kunt flashen met een scriptje of zelf kunt compilen. Dan weet je dus zeker dat er geen vage modules of kwetsbaarheden in de bios van je firewall zitten. ik had de protectli 2e hands gekocht en kreeg netjes support adhv het serienummer zonder facturen te hoeven overleggen oid.
1. kwaliteit. de huidige protectli firewalls (v serie en vp serie) hebben custom ontworpen hardware. Het wordt nog steeds in China geproduceerd maar op specificaties van protectli. Ik heb een TopTon N150 vergeleken met een protectli vault v1410 en de protectli heeft een beter doordachte en duidelijk hogere kwaliteit behuizing. De bovenkant van de metalen behuizing maakt direct contact met de CPU, SSD en RAM voor een uitstekende hitte overdracht. Bij de TopTon zit er een dikke laag goedkope pasta over de CPU om contact te maken met de behuizing. De SSD en het geheugen maken geen contact met de behuizing, er zit een gat van 1-2 centimeter. Die worden dan ook heel snel warm. Met proxmox werd de SSD zo warm dat de performance flink naar beneden ging. Je kunt een fan op de TopTon leggen, maar de behuizing zit potdicht, dus er is binnen geen airflow. Je krijgt de temperatuur pas echt omlaag als je de behuizing open laat en direct lucht tegen de SSD en RAM blaast. De protectli had dit probleem niet. De behuizing werd goed warm, maar de SSD ging nooit throttelen en als je aan de buitenkant een ventilator plaatst zie je direct een groot verschil. Er zijn ook andere kleine verschillen, zoals een power connector die je kunt vastschroeven.
2. support. ten eerste is er uitgebreide documentatie op de protectli site. Ten tweede onderhouden ze coreboot die je makkelijk kunt flashen met een scriptje of zelf kunt compilen. Dan weet je dus zeker dat er geen vage modules of kwetsbaarheden in de bios van je firewall zitten. ik had de protectli 2e hands gekocht en kreeg netjes support adhv het serienummer zonder facturen te hoeven overleggen oid.
Ik ben het helemaal met je eens!wian schreef op maandag 6 oktober 2025 @ 08:52:
Protectli is een stuk duurder dan een TopTon/Qotom/CWWK op aliexpress bestellen, maar er is wel een verschil. Ik heb verschillende aliexpress firewalls gehad en daarna een protectli. Eerste grote verschil is de prijs. Je betaalt het dubbele voor een protectli firewall. Daar krijg je wel iets voor terug:
1. kwaliteit. de huidige protectli firewalls (v serie en vp serie) hebben custom ontworpen hardware. Het wordt nog steeds in China geproduceerd maar op specificaties van protectli. Ik heb een TopTon N150 vergeleken met een protectli vault v1410 en de protectli heeft een beter doordachte en duidelijk hogere kwaliteit behuizing. De bovenkant van de metalen behuizing maakt direct contact met de CPU, SSD en RAM voor een uitstekende hitte overdracht. Bij de TopTon zit er een dikke laag goedkope pasta over de CPU om contact te maken met de behuizing. De SSD en het geheugen maken geen contact met de behuizing, er zit een gat van 1-2 centimeter. Die worden dan ook heel snel warm. Met proxmox werd de SSD zo warm dat de performance flink naar beneden ging. Je kunt een fan op de TopTon leggen, maar de behuizing zit potdicht, dus er is binnen geen airflow. Je krijgt de temperatuur pas echt omlaag als je de behuizing open laat en direct lucht tegen de SSD en RAM blaast. De protectli had dit probleem niet. De behuizing werd goed warm, maar de SSD ging nooit throttelen en als je aan de buitenkant een ventilator plaatst zie je direct een groot verschil. Er zijn ook andere kleine verschillen, zoals een power connector die je kunt vastschroeven.
2. support. ten eerste is er uitgebreide documentatie op de protectli site. Ten tweede onderhouden ze coreboot die je makkelijk kunt flashen met een scriptje of zelf kunt compilen. Dan weet je dus zeker dat er geen vage modules of kwetsbaarheden in de bios van je firewall zitten. ik had de protectli 2e hands gekocht en kreeg netjes support adhv het serienummer zonder facturen te hoeven overleggen oid.
Maar je kunt zeker iets doen om het beter te krijgen. Ik heb een Topton N100 met baremetal OPNSense en heb recent de CPU ge-repaste. Dat heeft de CPU temperatuur van ruim 50 graden gemiddeld naar rond de 42 graden teruggebracht. Van de dikke klodder naar subtiel aangebracht. Dat zorgt ook voor minder hitte intern. Heb er nog wel steeds een Fan op liggen.
Ik heb ook een Topton N305 met Proxmox met 3 VM's en een stuk of 10 containers. Die heeft wel een interne fan aan de onderzijde. Maar ook daar heb ik alsnog een fan op liggen.
Dus het is een afweging voor iedereen of je het geld er voor over hebt om een Protectli te kopen met de kwaliteitsvoordelen of met een beetje aanpassen prima vooruit te kunnen met de Toptons.
Ik zat specifiek aan het merk HSIPC te denken vandaar mijn vraag aan @nike , had van hun een rackmount model in gedachten: https://www.amazon.nl/dp/...c_wl_lv_ov_lig_dp_it&th=1
Maar als ik jullie reacties zo lees schuift de Protectli toch naar boven op mijn lijstje (stond er ook al als optie op). Het heeft gelukkig geen haast.
Maar als ik jullie reacties zo lees schuift de Protectli toch naar boven op mijn lijstje (stond er ook al als optie op). Het heeft gelukkig geen haast.
Het is allemaal wel op te lossen, je moet er alleen wel van bewust zijn. Je moet het niet erg vinden om even te repasten en evt. een fan op een fanless systeempje te leggen. En als je wilt "optimaliseren" door je firewall te combineren met proxmox en een sloot VMs / containers, dan kun je eigenlijk beter kiezen voor een systeem wat ontworpen is als server met een ingebouwde ventilator.Villager schreef op maandag 6 oktober 2025 @ 09:28:
[...]
Ik ben het helemaal met je eens!
Maar je kunt zeker iets doen om het beter te krijgen. Ik heb een Topton N100 met baremetal OPNSense en heb recent de CPU ge-repaste. Dat heeft de CPU temperatuur van ruim 50 graden gemiddeld naar rond de 42 graden teruggebracht. Van de dikke klodder naar subtiel aangebracht. Dat zorgt ook voor minder hitte intern. Heb er nog wel steeds een Fan op liggen.
Ik heb ook een Topton N305 met Proxmox met 3 VM's en een stuk of 10 containers. Die heeft wel een interne fan aan de onderzijde. Maar ook daar heb ik alsnog een fan op liggen.
Dus het is een afweging voor iedereen of je het geld er voor over hebt om een Protectli te kopen met de kwaliteitsvoordelen of met een beetje aanpassen prima vooruit te kunnen met de Toptons.
Dat laatste geldt ook voor protectli. Als bare metal firewall voldoet de passieve koeling prima, maar als je hem zwaar gaat belasten met proxmox, kun je er beter ook een fan op leggen.
Conclusie: (die hier iedere maand wordt gemaakt en daarna weer genegeerd
Net als @eymey heb ik onlangs ook de overstap gemaakt van OPNsense naar Unifi, maar dan de goedkopere UCG-Ultra. Oorspronkelijk wilde ik gewoon de verbeterde firewall functionaliteit in Unifi Network software v9.4 testen, maar ben zo tevreden dat ik voorlopig niet terug ga naar OPNsense.eymey schreef op vrijdag 29 augustus 2025 @ 10:44:
[...]
Toevallig heb ik daar onlangs niet alleen over na gedacht, maar ook de stap echt gemaakt. Van OPNSense, gevirtualiseerd in een KVM VM op een Proxmox server, naar een UCG-Fiber!
Net als @RobertMe had ik voorheen ook een Unifi Security Gateway, in 2018, nadat ik ook al switches en AP's van Ubiquiti had gekocht. Maar ik was vrij snel erg teleurgesteld over de slechte instelbaarheid van basic dingen (vooral qua DHCP en DNS en andere zaken). En toen ben ik me gaan verdiepen in OPNSense. Toen ook een Shuttle DH310 met Core i3-8100 CPU en 16 GB RAM gekocht.
Die gevirtualiseerde OPNSense, samen met een Home Assistant OS VM en wat LXC containers op die Shuttle heeft sinds begin 2019, dus ruim 6 jaar, rete stabiel gedraaid! Enige downtime was vanwege upgrades, paar keer in huis verplaatsen vanwege grondige herindeling van de meterkast, etc.
Een paar maanden terug begon de NVME SSD jn de Shuttle SMART errors te geven (hij was dik door zijn gespecificeerde aantal geschreven terabytes heen) en ook de fannetjes op het koelblok begonnen steeds meer lawaai te maken en ik kreeg het niet meer gefixt met schoonmaken. Toen heb ik dus met veel speurwerk passende fannetjes ( 2x 6 CM, 1 CM dik én met PWM ) gevonden en ook een nieuwe SSD ingebouwd, Proxmox opnieuw geinstalleerd en de VMs en LXC containers geimporteerd.
Inmiddels wilde ik echter eigenlijk ook wel eens op zoek naar wat nieuws als vervanging voor de Shuttle, het liefst ook iets waar ik mijn glasvezel met SFP+ module direct in kwijt kon, ipv de losse TP-link mediaconverter. Maar kwam er al vrij snel achter, ook via het zuinige server topic, dat de spoeling qua zuinige netwerkkaarten met SFP+ poorten behoorlijk dun was (of erg duur).
Inmiddels had de Unifi Cloud Gateway - fiber zich aangediend en waren de reviews die ik erover heb gezien lovend. Ook de Unifi Network applicatie van de controller was inmiddels flink uitgebreid met veel meer instelbaarheid en features, Wireguard, etc. En gezien mijn ervaring met het repareren van de Shuttle en het internet dat ik er toen ook uit moest gooien, ookal duurde het hooguit een half dagje, leek het me ook wel weer 'leuk' om internettoegang gewoon weer op aparte hardware te doen.
Afgelopen week heb ik de daadwerkelijke migratie van OPNSense naar de UCG-Fiber gedaan. Ik loop nog wel tegen wat dingen aan die nu op de UCG toch meer moeite lijken te gaan kosten of 'tegen vallen' qua customizability. Bijvoorbeeld:Over het algemeen denk ik dat ik er (nog) geen spijt van heb dat ik de overstap heb geprobeerd, maar we zullen het de komende tijd zien of ik zelfbouw met OPNSense toch best wel zal gaan missen of niet.
- Ingebouwde Ad Blocking via DNS alleen gebaseerd op (te agressieve) propietary block list, terwijl ik de voorkeur aan OISD geef. Dat heb ik nu opgelost door NextDNS als DNS-servers te gaan gebruiken, daar OISD te kiezen en NextDNS via DOH vanuit de UCG in te stellen. Misschien ooit nog een Pi-hole containertje, maar dan heeft het thuisnetwerk toch weer een afhankelijkheid op de server.
- Interface voor registreren van interne hostnames of vastzetten van IP's in DHCP nog wel wat omslachtig, maar functioneel.
- Wireguard server voor site to site tunnel tussen de Fritzbox van mijn ouders en mijn netwerk, plus wireguard voor 'road warriors' moet ik nog aan beginnen/uitzoeken.
- Stroomverbruik van de UCG-Fiber toch wat tegenvallend hoog (rond de 8 watt), wat deels gecompenseerd wordt door ~5W reductie in verbruik doordat de Shuttle 1 NIC en 1 VM minder actief heeft.
- MTU van 1500 voor de PPPoE tunnel moet nog steeds 'hacky' met custom scripts, ipv dat je dit gewoon kan instellen.
Voordeel is wel dat ik mijn hele netwerk nu in één beheer interface heb, wat ook prettiger is als er ooit wat met mij mocht gebeuren en iemand in onze omgeving die niet helemaal digibeet is, maar ook niet per se verstand heeft van mijn Proxmox setup, zou mijn gezin moeten helpen bij issues. Ook is de Shuttle, zeker met het recente onderhoud, weer klaar voor nog wat jaartjes mee gaan met meer reserve capaciteit.
Unifi UCG-Ultra Cloud Gateway Ultra met Unifi Network 9.4
voordelen:
- volledig geintegreerd in unifi - je hele netwerk beheren vanuit 1 interface
- geen aparte vm/container nodig voor de unifi network app
- inzicht in netwerkverkeer en flows - vind dit overzichtelijker en fijner werken dan in standaard opnsense
- policy based routing heel eenvoudig (verkeer door VPN sturen op basis van source adres, destination hostnames of applicatie protocol)
- wireguard server en clients instellen heel eenvoudig
- zone based firewall overzichtelijk
- uitstekende app voor telefoon/tablet
- goedkoop instapmodel met volledige 1gbit performance en laag verbruik (UCG-Ultra)
- GUI is mooi maar niet altijd logisch (e.g. dhcp management, twee soorten backups - netwerk app en device)
- initieel geheel handmatig instellen, beperkte import van dhcp reserveringen mogelijk
- All eggs in one Ubiquiti basket
- Ubiquiti product lijn is behoorlijk verwarrend, andere modellen met ingebouwde wifi of NVR zijn niet goedkoop.
voordelen:
- veel meer functionaliteit, helemaal dmv de vele beschikbare plugins en uitbreidingen
- open source, geen afhankelijkheid van vendor
- spreiding van risico - netwerk gescheiden beheren van firewall
- netwerk gescheiden beheren van firewall, VLANs beheren op twee plekken
- GUI is niet altijd logisch, zelfs na jaren van gebruik
- geen app voor op telefoon
- minder mooie GUI, werkt erg matig vanaf telefoon
@Eric70 ik heb vele mini pc's gehad als pfsense router. doe je veel met vlans zou ik geen J processor nemen.
Elke n150+ is prima.
Af en toe eens de backup downloaden, en mocht het mis gaan, even opnieuw installeren op andere hardware, de nics in het config bestandje goed zetten, en je bent zo weer up and running.
En mijn advies: draai je firewall op bare metal, en niks anders er op/bij.
Ook ik ben over gegaan op een cloud gateway fiber en heb pfsense uit gezet.
De firewall rulesen zones was voor mij wel even wennen, maar ben er nu wel aardig uit.
Ik mis nog wat dingen, maar kijk dat nog even aan.
(haproxy, pfblocker) hiervoor nu npmanager en de rules van unify zelf.
Elke n150+ is prima.
Af en toe eens de backup downloaden, en mocht het mis gaan, even opnieuw installeren op andere hardware, de nics in het config bestandje goed zetten, en je bent zo weer up and running.
En mijn advies: draai je firewall op bare metal, en niks anders er op/bij.
Ook ik ben over gegaan op een cloud gateway fiber en heb pfsense uit gezet.
De firewall rulesen zones was voor mij wel even wennen, maar ben er nu wel aardig uit.
Ik mis nog wat dingen, maar kijk dat nog even aan.
(haproxy, pfblocker) hiervoor nu npmanager en de rules van unify zelf.
-edit-
Een N150 lijkt mij overkill? Heb zelf een N5105 nu al een jaar of 2, 3 en nog 0 issues mee gehad. Of nouja..., ik draai bare metal Debian en meer software er op, en de N5105 mist wat zaken (AVX instructieset bv) waardoor ZFS native encryption (en waar het ook lijkt ook regelmatig ook andere software encryptie met (AES) GCM) zo traag als ... is. Of nouja, niet perse extreem traag, maar wel 100% CPU load en veel trager dan geen encryptie. Er is een (outdated) PR die naast AVX als "hardware accelerated" ook SSE4.1 toevoegt, en dan is het performance verlies maar iets van tientallen MB/s i.p..v honderden. Maar routeren en NATen is voor mij geen enkel probleem.nike schreef op maandag 6 oktober 2025 @ 19:18:
@Eric70 ik heb vele mini pc's gehad als pfsense router. doe je veel met vlans zou ik geen J processor nemen.
Elke n150+ is prima.
Af en toe eens de backup downloaden, en mocht het mis gaan, even opnieuw installeren op andere hardware, de nics in het config bestandje goed zetten, en je bent zo weer up and running.
En mijn advies: draai je firewall op bare metal, en niks anders er op/bij.
Alhoewel een slimme netwerk opzet natuurlijk meehelpt
Enige potentiele (zware) bottleneck, en die benoem je dan weer niet
mee eens, mijn router is een j4115 (ik heb een odroid h2+), en die heeft geen enkele moeite met pppoe, ook niet op symmetrische gbit snelheden. routeren tussen vlans en vpn encryptie ook geen enkel probleem. (hier overigens ook debian/stable bare metal)RobertMe schreef op maandag 6 oktober 2025 @ 19:32:
[...]
Een N150 lijkt mij overkill? Heb zelf een N5105 nu al een jaar of 2, 3 en nog 0 issues mee gehad. Of nouja..., ik draai bare metal Debian en meer software er op, en de N5105 mist wat zaken (AVX instructieset bv) waardoor ZFS native encryption (en waar het ook lijkt ook regelmatig ook andere software encryptie met (AES) GCM) zo traag als ... is. Of nouja, niet perse extreem traag, maar wel 100% CPU load en veel trager dan geen encryptie. Er is een (outdated) PR die naast AVX als "hardware accelerated" ook SSE4.1 toevoegt, en dan is het performance verlies maar iets van tientallen MB/s i.p..v honderden. Maar routeren en NATen is voor mij geen enkel probleem.
Alhoewel een slimme netwerk opzet natuurlijk meehelpt"veel VLANs" zegt niks. Als je zaken isoleert op toepassing etc ga je vast geen Gigabits tussen VLANs pompen. Mijn servertje/NAS zitten ook gewoon in het "prive" VLAN bv, dus daarvoor hoef ik niet te routeren. En PC die Home Assistant "moet" benaderen in het IoT VLAN heeft aan een paar Kbit/s ook wel voldoende. En zelfs dan kan ik me niet indenken dat de N5105 geen Gbit/s aan zou kunnen v.w.b. routeren of NAT.
Enige potentiele (zware) bottleneck, en die benoem je dan weer niet, is PPPoE. Die is natuurlijk niet offloaded waardoor die de CPU zwaar aan het werk zet. Terwijl een consumenten routertje van een paar tientjes "gewoon" hardware offloading heeft voor PPPoE en daar dus geen enkel probleem mee heeft.
Dat vind ik positief om te lezen nu er sinds ~1,5 week een paar honderd meter (misschien wel kilometer) glasvezel onder de stoep voor de tuin ligtborft schreef op maandag 6 oktober 2025 @ 21:43:
[...]
mee eens, mijn router is een j4115 (ik heb een odroid h2+), en die heeft geen enkele moeite met pppoe, ook niet op symmetrische gbit snelheden. routeren tussen vlans en vpn encryptie ook geen enkel probleem. (hier overigens ook debian/stable bare metal)
Aanleg Glaspoort. Letterlijk tientallen individuele vezels (van de woningen) die hier bij elkaar komen en met een overlengte van denk een metertje of 20 in de grond zijn gestopt.
Alhoewel PPPoE in combi met systemd-networkd AFAIK nog steeds niet echt te doen is. Gezien PPPoE een userland ding is willen ze er niet aan, dat AFAIK voor een awkward situatie zorgt dat je het halfbakken moet combineren met de defacto standaard PPPoE implementatie / daemon. Terwijl netplan, NetworkManager, etc gewoon wel PPPoE ondersteunen en onderwater (/transparant voor de gebruiker) die PPPoE daemon starten.
Maar wat ik begrepen heb... "moet PPPoE ook dood". Overblijfsel van DSL tijd waarbij er geen enkele reden is om het te gebruiken met glasvezel behalve "we gebruikten het altijd al" (en dus "het achterliggende netwerk heeft het altijd al vereist en zal het ook voor glasvezel vereisen ondanks totaal overbodig")
Wel grappig eigenlijk. Ik had dus de N100 wel ge-repaste, maar de N305 nog niet. Naar aanleiding van deze 'discussie' heb ik 'm gisteren ook gedaan en meteen het anti-stof gaasje wat tussen de uitblazende fan en de onderplaat zat verwijderd. Bij de lucht inlaat plekken heb ik het uiteraard laten zitten. Systeem draait nu zonder externe fan erop en de CPU temperatuur is van 30 graden naar 32 gegaan. Dank voor deze 'trigger'wian schreef op maandag 6 oktober 2025 @ 10:41:
[...]
Het is allemaal wel op te lossen, je moet er alleen wel van bewust zijn. Je moet het niet erg vinden om even te repasten en evt. een fan op een fanless systeempje te leggen. En als je wilt "optimaliseren" door je firewall te combineren met proxmox en een sloot VMs / containers, dan kun je eigenlijk beter kiezen voor een systeem wat ontworpen is als server met een ingebouwde ventilator.
Dat laatste geldt ook voor protectli. Als bare metal firewall voldoet de passieve koeling prima, maar als je hem zwaar gaat belasten met proxmox, kun je er beter ook een fan op leggen.
Conclusie: (die hier iedere maand wordt gemaakt en daarna weer genegeerd) beter je firewall en proxmox server gescheiden houden dan een high-spec firewall kopen waardoor je in de verleiding komt om er van alles bij te draaien.
Zelfde ervaring hier met een J4105/J5005. Dell Wyse 5070 Extended doet ongeveer 7 Gbps NAT. Zo'n 5070 of een Fujitsu S940 met een netwerkkaart naar keuze (bijv. X520, als je de ONT wil vervangen), en je bent voor minder dan €100 klaar. Dan heb je enterprise hardware met regelmatige BIOS updates.borft schreef op maandag 6 oktober 2025 @ 21:43:
[...]
mee eens, mijn router is een j4115 (ik heb een odroid h2+), en die heeft geen enkele moeite met pppoe, ook niet op symmetrische gbit snelheden. routeren tussen vlans en vpn encryptie ook geen enkel probleem. (hier overigens ook debian/stable bare metal)
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Probleempje met OPNSense en Wireguard hier, sinds vandaag werkt het opeens niet meer. Het heeft bijna 2 jaar prima gefunctioneerd en gebruikte het dagelijks. Lag een beetje achter met updates, dus net helemaal uptodate gebracht naar 25.7.
Net nog even de handleiding 3x nagelopen, maar alles ziet er goed uit... alleen de normalization rule mistte ik, die heb ik toegevoegd. Nieuwe peers gegenereerd voor het geval de keys niet meer kloppen, maar krijg gewoon geen handshake meer, heel vreemd.
Iemand enig idee wat ik kan checken?
EDIT: dangit, ik denk probeer eens een andere app (gebruik WG Tunnel op Android ipv autotunneling), officiële WG app getest. Die werkte wel! Daarna weer WG Tunnel geprobeerd, die werkt opeens ook?! Ik begrijp het niet meer...
Net nog even de handleiding 3x nagelopen, maar alles ziet er goed uit... alleen de normalization rule mistte ik, die heb ik toegevoegd. Nieuwe peers gegenereerd voor het geval de keys niet meer kloppen, maar krijg gewoon geen handshake meer, heel vreemd.
Iemand enig idee wat ik kan checken?
EDIT: dangit, ik denk probeer eens een andere app (gebruik WG Tunnel op Android ipv autotunneling), officiële WG app getest. Die werkte wel! Daarna weer WG Tunnel geprobeerd, die werkt opeens ook?! Ik begrijp het niet meer...
[ Voor 17% gewijzigd door Sp33dFr34k op 20-10-2025 22:11 ]
i7 9700k + Be-Quiet Dark Rock 4 Pro | Gigabyte Z390 Aorus Ultra | Gigabyte RTX5070Ti | Samsung 970 Pro 512GB + 860 EVO 1TB + 860 QVO 4TB | 2x8GB DDR4 3000Mhz | Seasonic Platinum 660W | Fractal Design R6 | Samsung Oddyssey G7 Neo | Edifier M60