Zelfbouw project: Firewall / Router / AP

duvekot schreef op maandag 17 februari 2025 @ 09:07:
[...]

Daar zou ik wel meer over willen weten ... En dan ook hoe de verbinding naar bijvoorbeeld de modem/end point van de provider werkt in zo'n setup. Heb je daar wat meer documentatie over? (En waarschijnlijk offtopic voor dit topic?)

Dit werkt bij een consumentenverbinding alleen als je dubbel NAT gebruikt.

192.168.1.1 LAN router provider
192.168.1.2 WAN router thuis 1
192.168.1.3 WAN router thuis 2
192.168.1.11 WAN routers thuis shared IP

Aan de LAN kant gebruik je bijvoorbeeld 10.1.1.1 als shared IP. Tussen de routers moet nog een verbinding komen als sync/heartbeat, bijvoorbeeld 10.100.1.x. In geval van virtueel gebruik je daar een vlan voor. Zodra router 2 de sync verliest activeert die op zijn WAN en LAN poorten de virtuele IP's en gaat het verkeer over de B-route. Sync je onderling ook de firewall-states dan merk je er als gebruiker vrij weinig van, misschien een enkele verloren ping.

jadjong schreef op maandag 17 februari 2025 @ 11:07:
[...]

Dit werkt bij een consumentenverbinding alleen als je dubbel NAT gebruikt.

192.168.1.1 LAN router provider
192.168.1.2 WAN router thuis 1
192.168.1.3 WAN router thuis 2
192.168.1.11 WAN routers thuis shared IP

Aan de LAN kant gebruik je bijvoorbeeld 10.1.1.1 als shared IP. Tussen de routers moet nog een verbinding komen als sync/heartbeat, bijvoorbeeld 10.100.1.x. In geval van virtueel gebruik je daar een vlan voor. Zodra router 2 de sync verliest activeert die op zijn WAN en LAN poorten de virtuele IP's en gaat het verkeer over de B-route. Sync je onderling ook de firewall-states dan merk je er als gebruiker vrij weinig van, misschien een enkele verloren ping.

Of twee internetverbindingen met bijv. een GRE-tunnel voor de externe IP's
Maar voor een thuisverbinding lijkt me dat een beetje overkill. Dan kun je m.i. beter de virtuele machine van de OPNSense in HA zetten zodat de VM in z'n geheel wordt overgepakt, maar zelfs dan.

jadjong schreef op maandag 17 februari 2025 @ 08:40:
[...]

Drie virtualisatie-hosts met op elke host een VM die onderling via CARP uitvechten welke actief is en welke standby staat. Als er een host aan staat dan is er ook een router.

Zo heb ik 'm inderdaad ook, XCP-NG met meerdere OPNSense installaties en daarachter de VM's in een eigen netwerk. Werkt super zo en pakt 'm automatisch over bij een herstart na een update bijv. of als de externe verbinding van de ene server wegvalt.

[ Voor 6% gewijzigd door mrdemc op 17-02-2025 11:50 ]

barrymossel schreef op maandag 17 februari 2025 @ 08:34:
Ik denk dat een enkele/dubbele USB ethernet controller erbij kopen eenvoudiger is.

Zie eerdere discussie over USB NIC's voor uitleg waarom dat een slecht idee is

jadjong schreef op maandag 17 februari 2025 @ 11:07:
Dit werkt bij een consumentenverbinding alleen als je dubbel NAT gebruikt.

Dus nutteloos, want alsnog afhankelijk van 1 apparaat...

CARP/VRRP/GVRP/enz. moet je IMHO alleen gebruiken als je een Zakelijk Internet abonnement hebt en dan het liefst inclusief een eigen /29 of /28 of zo

nero355 schreef op maandag 17 februari 2025 @ 15:22:
[...]

Zie eerdere discussie over USB NIC's voor uitleg waarom dat een slecht idee is


[...]

Dus nutteloos, want alsnog afhankelijk van 1 apparaat...

CARP/VRRP/GVRP/enz. moet je IMHO alleen gebruiken als je een Zakelijk Internet abonnement hebt en dan het liefst inclusief een eigen /29 of /28 of zo

Werkt het wel goed met een IPv6 verbinding waarbij je een heel subnet toegewezen krijgt?
Mooie case om de verbinding "native IPv6" te maken

CARP, tja. Dat is hier eigenlijk niet voor bedoeld maar voor grote netwerken (bijv gigantisch LAN) waarbij netwerkbeheer allebei de kanten onder controle heeft (of in nauw contact met netwerkbeheer andere kant). Dan kun je met routing en BGP leuke dingen doen. Met IPv4 en native de public IPv4 op de interface mij niet gezien. Het kan wel, maar het wordt lelijk met NAT of custom scripts.

Daarnaast is er wel ucarp voor Linux (OpenWrt bijvoorbeeld) maar weer niet pfsync of iets van een pf van/naar ipt/nft vertaler.

Daarom gebruik ik gewoon failover routing/policy based routing.

Je zou het wel makkelijk kunnen gebruiken voor IPv6. In mijn geval gaat ook dat niet werken want Freedom levert wel IPv6 maar Odido niet. Tunneling heb ik geen trek in. SixXS zou ik vertrouwen, maar die zijn sinds 2017 gestopt. En terecht.

Ik ben al een tijdje aan het zoeken wat oorzaak van de reboots is op mijn Topton N100 doosje. Ik heb daar Proxmox 8.3 met Opnsense op geinstalleerd. Veel geprobeerd waaronder een andere Nvme. 2x een memtest gedraaid, verschillende installaties geprobeerd (w.o. bare metal OPNsens). In de logfiles is niets nuttigs te zien. Geen waarschuwing vooraf dus. Ik kwam ergens een post tegen dat iemand de Watchdog Timer Control setting op disabled heeft gezet en dat dat het probleem heeft opgelost. Vandaag ook aangepast en het lijkt inderdaad nu (nog) goed te gaan. Een oorzaak zou kunnen liggen aan ' incompaible' geheugen. Ik heb er een Crucial 16BG DDR5-4800 SODIMM in zitten (CT16G48C40S5.M8A1). Heeft iemand soortgelijke ervaringen? en welke memory is ' zeker' compatible met deze Topton N100?

nero355 schreef op maandag 17 februari 2025 @ 15:22:
[...]

Zie eerdere discussie over USB NIC's voor uitleg waarom dat een slecht idee is

Ik begrijp dat het voor een permanente oplossing verre van ideaal is, maar voor tijdelijk en maximaal enkele dagen kan het toch wel?

Villager schreef op maandag 17 februari 2025 @ 16:36:
Ik ben al een tijdje aan het zoeken wat oorzaak van de reboots is op mijn Topton N100 doosje. Ik heb daar Proxmox 8.3 met Opnsense op geinstalleerd. Veel geprobeerd waaronder een andere Nvme. 2x een memtest gedraaid, verschillende installaties geprobeerd (w.o. bare metal OPNsens). In de logfiles is niets nuttigs te zien. Geen waarschuwing vooraf dus. Ik kwam ergens een post tegen dat iemand de Watchdog Timer Control setting op disabled heeft gezet en dat dat het probleem heeft opgelost. Vandaag ook aangepast en het lijkt inderdaad nu (nog) goed te gaan. Een oorzaak zou kunnen liggen aan ' incompaible' geheugen. Ik heb er een Crucial 16BG DDR5-4800 SODIMM in zitten (CT16G48C40S5.M8A1). Heeft iemand soortgelijke ervaringen? en welke memory is ' zeker' compatible met deze Topton N100?

Ik heb exact hetzelfde gehad (vrijwel hetzelfde kastje), maar dan niet met reboots maar random vastlopers van proxmox. Soms binnen een uur, soms duurde het 2 dagen. Deze heb ik: https://nl.aliexpress.com...mMYJ&gatewayAdapt=glo2nld

De oorzaak bij mij was het Crucial geheugen. Ik heb het nu vervangen met een Kingston reepje en geen enkel issue meer gehad de afgelopen 4 weken, dus ik ga ervanuit dat het nu opgelost is.

Villager schreef op maandag 17 februari 2025 @ 16:36:
Ik ben al een tijdje aan het zoeken wat oorzaak van de reboots is op mijn Topton N100 doosje. Ik heb daar Proxmox 8.3 met Opnsense op geinstalleerd. Veel geprobeerd waaronder een andere Nvme. 2x een memtest gedraaid, verschillende installaties geprobeerd (w.o. bare metal OPNsens). In de logfiles is niets nuttigs te zien. Geen waarschuwing vooraf dus. Ik kwam ergens een post tegen dat iemand de Watchdog Timer Control setting op disabled heeft gezet en dat dat het probleem heeft opgelost. Vandaag ook aangepast en het lijkt inderdaad nu (nog) goed te gaan. Een oorzaak zou kunnen liggen aan ' incompaible' geheugen. Ik heb er een Crucial 16BG DDR5-4800 SODIMM in zitten (CT16G48C40S5.M8A1). Heeft iemand soortgelijke ervaringen? en welke memory is ' zeker' compatible met deze Topton N100?

Gelukkig dat ik dit nu lees, had net hetzelfde Crucial geheugen besteld. Meteen maar vervangen voor Kingston Fury Impact KF548S38IB 16GB. Daarnaast ook een Gigabyte GSM2NE3256GNTD M.2 SSD besteld.

duvekot schreef op maandag 17 februari 2025 @ 15:35:
Werkt het wel goed met een IPv6 verbinding waarbij je een heel subnet toegewezen krijgt?

Mooie case om de verbinding "native IPv6" te maken

Nee, want je krijgt de IPv6 Prefix direkt van de "Peer Router" of beter gezegd de Default Gateway van je ISP aan de WAN kant van je Router en die kan je voor zover ik weet niet tweemaal krijgen op twee verschillende Routers

Het wordt daarnaast ook op basis van de IPv6 Link-Local address gedaan en nooit met echte IPv6 adressen zeg maar van wat ik tot nu toe heb gezien qua Nederlandse Consumenten abonnementen.

barrymossel schreef op maandag 17 februari 2025 @ 17:00:
Ik begrijp dat het voor een permanente oplossing verre van ideaal is, maar voor tijdelijk en maximaal enkele dagen kan het toch wel?

Opzich wel, maar dus wel met de kanttekening dat je vage dingen kan verwachten !!

Villager schreef op maandag 17 februari 2025 @ 16:36:
Ik ben al een tijdje aan het zoeken wat oorzaak van de reboots is op mijn Topton N100 doosje.

Ik kwam ergens een post tegen dat iemand de Watchdog Timer Control setting op disabled heeft gezet en dat dat het probleem heeft opgelost.
Vandaag ook aangepast en het lijkt inderdaad nu (nog) goed te gaan.

Een oorzaak zou kunnen liggen aan ' incompaible' geheugen.
Ik heb er een Crucial 16BG DDR5-4800 SODIMM in zitten (CT16G48C40S5.M8A1).

Welke memory is ' zeker' compatible met deze Topton N100?

TigerMooD schreef op maandag 17 februari 2025 @ 19:23:
Ik heb exact hetzelfde gehad (vrijwel hetzelfde kastje), maar dan niet met reboots maar random vastlopers van proxmox. Soms binnen een uur, soms duurde het 2 dagen.

Deze heb ik: https://nl.aliexpress.com...mMYJ&gatewayAdapt=glo2nld

De oorzaak bij mij was het Crucial geheugen. Ik heb het nu vervangen met een Kingston reepje en geen enkel issue meer gehad de afgelopen 4 weken, dus ik ga ervanuit dat het nu opgelost is.

Dat is echt klote zeg...

Crucial geheugen werd hier juist heel veel gebruikt in het verleden met zowat alle merken die je maar kan verzinnen op het gebied van zulke kastjes en deed het prima dus het is best wel maf dat jullie ineens al die problemen hebben...

Kunnen jullie als het goed uitpakt nog effe het exacte model van het WEL goed werkende reepje geheugen posten ?
Wel zo handig voor eventuele toekomstige kopers van hetzelfde model TopTon

nero355 schreef op dinsdag 18 februari 2025 @ 17:44:
[...]

Nee, want je krijgt de IPv6 Prefix direkt van de "Peer Router" of beter gezegd de Default Gateway van je ISP aan de WAN kant van je Router en die kan je voor zover ik weet niet tweemaal krijgen op twee verschillende Routers

Het wordt daarnaast ook op basis van de IPv6 Link-Local address gedaan en nooit met echte IPv6 adressen zeg maar van wat ik tot nu toe heb gezien qua Nederlandse Consumenten abonnementen.

Volgens mij wordt er in een IPv6 PD verzoek toch het mac adres van de interface gebruikt? Dus kan je dat verzoek doen met het MAC adres van de virtuele interface? En dan op basis van het antwoord de verschillende hosts voorzien van hun eigen IPv6 adressen die passen in die Prefix en ook de virtuele interface? Daarmee zou de boel toch wel "overdraagbaar" moeten zijn? En je kan aan de "LAN" z zijde dan ook die netwerken uitgegeven vanuit de virtuele MAC ?
(Of zitten we nu op een niveau van discussie dat we dit in het Het grote IPv6 topic moeten voortzetten)

Kunnen jullie als het goed uitpakt nog effe het exacte model van het WEL goed werkende reepje geheugen posten ?
Wel zo handig voor eventuele toekomstige kopers van hetzelfde model TopTon

Goed idee. Heb er zojuist een reepje Crucial Vengeance 16G in gedaan en de boel weer opgestart. Laat t weten wat t resultaat is met precieze modelnummer.

duvekot schreef op dinsdag 18 februari 2025 @ 17:59:
Volgens mij wordt er in een IPv6 PD verzoek toch het mac adres van de interface gebruikt?

Volgens mij zijn het altijd twee Routers die via Link-Local met elkaar zitten te babbelen en hoe en wat verder weet ik ook niet echt helemaal tot in de laagste Layers zeg maar

Dus kan je dat verzoek doen met het MAC adres van de virtuele interface?

Dan moet je CARP/VRRP/GVRP ook aan de WAN kant doen en volgens mij hadden we het vooral over de LAN kant

En dan op basis van het antwoord de verschillende hosts voorzien van hun eigen IPv6 adressen die passen in die Prefix en ook de virtuele interface?
Daarmee zou de boel toch wel "overdraagbaar" moeten zijn?

Over het algemeen werkt zo'n setup IMHO anders en dan wel als volgt, waarbij ik het effe bij IPv4 zal houden :

Je neemt een /29 die je als volgt verdeelt :
- Router 1 met aan de WAN kant 2.2.2.1 als IP adres
- Router 2 met aan de WAN kant 2.2.2.2 als IP adres
Beide Routers peeren via een Dynamic Routing Protocol met de ISP dus laten we effe zeggen BGP en dan wel eBGP want Externe Routing.

Vervolgens peeren beide Routers ook weer met 2 Routers van de ISP :
- ISP Router 1 met IP 1.1.1.1
- ISP Router 2 met IP 1.1.1.2

In het dit peering gedoe adverteer je uiteraard ook welke "LAN" netwerken jij hebt (Hier zeg ik wat raars, weet ik, maar effe voor het gemak noemen we alles op ons eigen WAN achter onze eigen iBGP Routers gewoon LAN ) en dat die dus bij jou te vinden zijn...

Interne IP adressen van onze Routers in een grote /24 of zo :
- Router 1 met IP adres 3.3.3.2
- Router 2 met IP adres 3.3.3.3

En hier komt die dan : Deze geef je dus een gezamenlijk IP adres 3.3.3.1

(Verder kan je ook prioriteiten aangeven in dit hele verhaal, maar daar gaan we nu effe niks mee doen...)

Hierdoor ben je dus (in theorie) ALTIJD bereikbaar en wel op de volgende manieren :
- 1.1.1.1 <--> 2.2.2.1 <--> 3.3.3.1
- 1.1.1.1 <--> 2.2.2.2 <--> 3.3.3.1
- 1.1.1.2 <--> 2.2.2.1 <--> 3.3.3.1
- 1.1.1.2 <--> 2.2.2.2 <--> 3.3.3.1

Vervolgens kan je wel dit doen denk ik :

En je kan aan de "LAN" z zijde dan ook die netwerken uitgegeven vanuit de virtuele MAC ?

Alleen weet ik effe niet meer of een Virtueel IP adres ook DHCP/SLAAC meuk doet...

(Of zitten we nu op een niveau van discussie dat we dit in het Het grote IPv6 topic moeten voortzetten)

Mwa, kan ook wel hier

nero355 schreef op dinsdag 18 februari 2025 @ 17:44:
Crucial geheugen werd hier juist heel veel gebruikt in het verleden met zowat alle merken die je maar kan verzinnen op het gebied van zulke kastjes en deed het prima dus het is best wel maf dat jullie ineens al die problemen hebben...

Kunnen jullie als het goed uitpakt nog effe het exacte model van het WEL goed werkende reepje geheugen posten ?
Wel zo handig voor eventuele toekomstige kopers van hetzelfde model TopTon

Ik heb uiteindelijk dit Kingston DDR5 SODIMM reepje geplaatst: uitvoering: Kingston KCP548SS8-16

Die werkt tot nu toe zonder enig issue in mijn Topton N100!

Heb pas op Amazon een n100 van HUNSN gekocht, de verkoper gaf aan dat je maar een specifiek type Crucial ram kunt gebruiken omdat ik voor de barebone optie ging.
Ben zelf voor een Crucial CT16G48C40S5 (16 GB 1 x 16 GB DDR5 4800 MHz) gegaan. Daarnaast adviseren ze geen Corsair Vengeance te gebruiken (deze heeft compatibility/stability issues met de 12th generation platform CPU)

For Crucial RAM, except please don't use 23xx year ones, 23xx year ones has the compatibility/stability issues for the 12th generation platform CPU (as attached).

Villager schreef op vrijdag 21 februari 2025 @ 16:52:
[...]

Werk deze Kingston modules nog steeds goed in de N100?

Yep, werkt nog steeds prima (nu al bijna 6 weken zonder crashes).

Ik heb gister voor de lol ook even een andere n100 waar ik toegang toe heb voorzien van proxmox en een corsair stickje, dat duurde 2 uur voordat ik de eerste vastloper te pakken had. De n100 reageert dan helemaal nergens meer op en wordt behoorlijk warm. Een harde herstart is de enige optie, daarna werkt ie wel weer, tot de volgende random crash.

Het issue met het niet verkrijgbaar zijn van Samsung/SKHynix geheugen had ik ook, maar Kingston lijkt een goed alternatief (n=2)!

TigerMooD schreef op zaterdag 22 februari 2025 @ 11:40:
Het issue met het niet verkrijgbaar zijn van Samsung/SKHynix geheugen had ik ook, maar Kingston lijkt een goed alternatief (n=2)!

IMHO draait het uiteindelijk om de gebruikte chips op de RAM module en laat het nou net zo zijn dat andere merken vaak Samsung of SK Hynix modules gebruiken en daar dus ook waarschijnlijk de juiste tussen zitten voor de N100 Barebones

Ik ben nog even wat dieper in het geheugenmodule verhaal gedoken en heb ook Deepseek, iAsk en ChatGPT gebruikt om wat meer duidelijkheid te krijgen. Dit komt er uit:

To determine whether a DDR5 16GB 4800MHz SODIMM uses Samsung or SK Hynix chips, consider the following:
Brand Relationships:

Crucial (Micron): Typically uses Micron's own chips, not Samsung/SK Hynix.

Kingston, Corsair, G.Skill: These brands source chips from multiple suppliers, including Samsung, SK Hynix, or Micron. The specific chips used can vary by production batch.
Identifying Chips:

Physical Inspection: Chips on the module may have markings:

Samsung: "K4" or "SEC" prefixes.

SK Hynix: "H5" or "Hynix" logos.

Part Numbers: Some product codes hint at the manufacturer (e.g., "H9" for SK Hynix in certain Kingston modules).

Example Models:

SK Hynix Chips: Some Kingston Fury Impact DDR5 modules (e.g., KF548S38IB-16) have been reported to use SK Hynix.

Samsung Chips: Corsair Vengeance DDR5 SODIMMs (e.g., CMSX16GX5M1A4800C40) may use Samsung, but verify via reviews.

Key Takeaway:
There’s no guaranteed answer without specific model verification. For Samsung/SK Hynix chips, prioritize brands like Kingston, Corsair, or G.Skill, and cross-check via reviews or manufacturer info. Micron/Crucial modules will not use Samsung/SK Hynix.

Genoemde Corsair Vengeance DDR5 SODIMMs (CMSX16GX5M1A4800C40) heb ik nu dus in gebruik en deze geeft dus ook reboots

[ Voor 4% gewijzigd door Villager op 23-02-2025 17:21 ]

Villager schreef op zondag 23 februari 2025 @ 17:20:
Ik ben nog even wat dieper in het geheugenmodule verhaal gedoken en heb ook Deepseek, iAsk en ChatGPT gebruikt om wat meer duidelijkheid te krijgen.

De code op een chip lezen en opzoeken kan toch iedereen zonder de hulp van die stomme Machine Learning Chatbot neefjes van CLIFFFORD


_{/Flauw GTA V Online Doomsday DLC reference...}

@nero355 ja, maar dan moet je eerst de module kopen. T punt is juist dat er meerdere merken geschikte en ongeschikte modules kunnen hebben.

Villager schreef op zondag 23 februari 2025 @ 17:20:
Ik ben nog even wat dieper in het geheugenmodule verhaal gedoken en heb ook Deepseek, iAsk en ChatGPT gebruikt om wat meer duidelijkheid te krijgen. Dit komt er uit:

To determine whether a DDR5 16GB 4800MHz SODIMM uses Samsung or SK Hynix chips, consider the following:
Brand Relationships:

Crucial (Micron): Typically uses Micron's own chips, not Samsung/SK Hynix.

Kingston, Corsair, G.Skill: These brands source chips from multiple suppliers, including Samsung, SK Hynix, or Micron. The specific chips used can vary by production batch.
Identifying Chips:

Physical Inspection: Chips on the module may have markings:

Samsung: "K4" or "SEC" prefixes.

SK Hynix: "H5" or "Hynix" logos.

Part Numbers: Some product codes hint at the manufacturer (e.g., "H9" for SK Hynix in certain Kingston modules).

Example Models:

SK Hynix Chips: Some Kingston Fury Impact DDR5 modules (e.g., KF548S38IB-16) have been reported to use SK Hynix.

Samsung Chips: Corsair Vengeance DDR5 SODIMMs (e.g., CMSX16GX5M1A4800C40) may use Samsung, but verify via reviews.

Key Takeaway:
There’s no guaranteed answer without specific model verification. For Samsung/SK Hynix chips, prioritize brands like Kingston, Corsair, or G.Skill, and cross-check via reviews or manufacturer info. Micron/Crucial modules will not use Samsung/SK Hynix.

Genoemde Corsair Vengeance DDR5 SODIMMs (CMSX16GX5M1A4800C40) heb ik nu dus in gebruik en deze geeft dus ook reboots

Vraag het Mistral, die levert tenminste bronnen.

Villager schreef op zondag 23 februari 2025 @ 19:08:
Ja, maar dan moet je eerst de module kopen. T punt is juist dat er meerdere merken geschikte en ongeschikte modules kunnen hebben.

Dan e-mail je toch effe de winkel ??

Deze discussie over geheugencompatibiliteit is wel exact waarom ik die AliExpress merken wantrouw. Als de N100 CPU echt maar met zo weinig merken RAM/chips compatible zou zijn, dan zou elke moederbordfabrikant daar last van hebben. Maar kijk naar de memory support lijsten van bijv. ASrock en Asus N100 bordjes, dan zie je hele ruime support. Plus dat je niet hoeft te gokken adhv beperkte support via chat en AI.

Voor mij klinkt dit meer als slechte electronica en/of PCB layout waardoor signaling-problemen ontstaan, of issues in de BIOS. C'T Magazine had al bedenkingen bij de memory settings in de BIOS van CWWK/Topton/etc systemen vorig jaar:

Parameters zoals voor de -Memory Training moet de pc-fabrikant gewoon correct instellen, gewone gebruikers hebben daar niets aan. Zo’n ondoordacht geconfigureerde BIOS is typisch voor veel goedkope pc’s uit China en doet vermoeden dat de ontwikkelaars van het systeem niet echt begrepen wat ze deden.

Tom Paris schreef op maandag 24 februari 2025 @ 16:31:
Deze discussie over geheugencompatibiliteit is wel exact waarom ik die AliExpress merken wantrouw. Als de N100 CPU echt maar met zo weinig merken RAM/chips compatible zou zijn, dan zou elke moederbordfabrikant daar last van hebben. Maar kijk naar de memory support lijsten van bijv. ASrock en Asus N100 bordjes, dan zie je hele ruime support. Plus dat je niet hoeft te gokken adhv beperkte support via chat en AI.

Voor mij klinkt dit meer als slechte electronica en/of PCB layout waardoor signaling-problemen ontstaan, of issues in de BIOS. C'T Magazine had al bedenkingen bij de memory settings in de BIOS van CWWK/Topton/etc systemen vorig jaar:


[...]

Ik heb heel veel N100/N305 en andere Topton PC's gehad (en nog steeds) en alleen problemen gehad met Samsung modules. Verder eigenlijk vrijwel niet. Ik adviseer altijd de Crucial CTXX modules. Ze adviseren om de Corsair Vengeance niet te proberen. Ik heb memtests doorstaan met Kingston, Crucial, G.Skill en Lexar.

TumTum schreef op maandag 24 februari 2025 @ 17:38:
[...]


en alleen problemen gehad met Samsung modules

Daar ga je al, in de post van @Villager raadt de verkoper juist aan om Samsung te kopen...

Tom Paris schreef op maandag 24 februari 2025 @ 17:41:
[...]


Daar ga je al, in de post van @Villager raadt de verkoper juist aan om Samsung te kopen...

Ja, dat zou ik dus niet doen. En al helemaal niet van Samsung. Met de Crucial CTxx zit je altijd goed.

TumTum schreef op maandag 24 februari 2025 @ 17:42:
[...]


Met de Crucial CTxx zit je altijd goed.

Nou ja, kennelijk niet volgens de verkoper.

[ Voor 9% gewijzigd door Tom Paris op 24-02-2025 17:46 ]

Tom Paris schreef op maandag 24 februari 2025 @ 16:31:
Deze discussie over geheugencompatibiliteit is wel exact waarom ik die AliExpress merken wantrouw.

Ik wantrouw alle merken by default dus dat is geen probleem opzich

Als de N100 CPU echt maar met zo weinig merken RAM/chips compatible zou zijn, dan zou elke moederbordfabrikant daar last van hebben.

Het is dan ook het moederbord en niet de CPU die dat bepaalt...

Maar kijk naar de memory support lijsten van bijv. ASrock en Asus N100 bordjes, dan zie je hele ruime support.

Ik vind het ironisch dat je die twee aanhaalt, want vooral ASUS heeft altijd al bekend gestaan als het merk dat super kieskeurig is qua RAM modules

En beiden zitten onder hetzelfde moederbedrijf en hadden daardoor altijd al de net wat minder goede USB poorten op de markt bijvoorbeeld...

TumTum schreef op maandag 24 februari 2025 @ 17:38:
Ik heb heel veel N100/N305 en andere Topton PC's gehad (en nog steeds) en alleen problemen gehad met Samsung modules.

Wel humor dan dat mijn N5105 TopTon weer juist prima werkt met een Samsung module erin

nero355 schreef op maandag 24 februari 2025 @ 22:29:
[...]

Ik wantrouw alle merken by default dus dat is geen probleem opzich


[...]

Het is dan ook het moederbord en niet de CPU die dat bepaalt...


[...]

Ik vind het ironisch dat je die twee aanhaalt, want vooral ASUS heeft altijd al bekend gestaan als het merk dat super kieskeurig is qua RAM modules

En beiden zitten onder hetzelfde moederbedrijf en hadden daardoor altijd al de net wat minder goede USB poorten op de markt bijvoorbeeld...


[...]

Wel humor dan dat mijn N5105 TopTon weer juist prima werkt met een Samsung module erin

De N5105 heeft minder problemen met compatibility. Die werkt ook met mijn Samsung module.

Die reeks is dan ook nog DDR4.

Sanity check please...

Het is weer zo'n dag: barry wil een langer snoer aan een lamp voor in de vouwwagen hangen. Wel zo leuk om dan ook een dimmer eraan te hangen. Een lamp via app dimmen is ook wel handig, alleen wat is dan het makkelijkst (lees: leukst)? En misschien wil ik dan ook wel wat andere domotica toevoegen...

Uiteindelijk ben ik zover dat ik op een of andere manier gewoon Home Assistant wil gaan gebruiken, aangezien ik daarmee bekend ben. Maar dan heb ik wel iets van een netwerk nodig. Zou helemaal handig zijn als dat netwerk ook over wifi beschikt voor de kinderen.

Dus ik had het volgende bedacht: NUC met Proxmox en VM voor Home Assistant en eentje voor OPNSense. Internet via een USB 4/5G modem. Wifi via ingebouwde wifi, of eventueel switch met AP?

Klinkt erg overdreven natuurlijk, maar is wel leuk als ik dit werkend zou krijgen. Maar... wat zie ik allemaal over het hoofd?

barrymossel schreef op zondag 2 maart 2025 @ 11:25:
Sanity check please...

Het is weer zo'n dag: barry wil een langer snoer aan een lamp voor in de vouwwagen hangen. Wel zo leuk om dan ook een dimmer eraan te hangen. Een lamp via app dimmen is ook wel handig, alleen wat is dan het makkelijkst (lees: leukst)? En misschien wil ik dan ook wel wat andere domotica toevoegen...

Uiteindelijk ben ik zover dat ik op een of andere manier gewoon Home Assistant wil gaan gebruiken, aangezien ik daarmee bekend ben. Maar dan heb ik wel iets van een netwerk nodig. Zou helemaal handig zijn als dat netwerk ook over wifi beschikt voor de kinderen.

Dus ik had het volgende bedacht: NUC met Proxmox en VM voor Home Assistant en eentje voor OPNSense. Internet via een USB 4/5G modem. Wifi via ingebouwde wifi, of eventueel switch met AP?

Klinkt erg overdreven natuurlijk, maar is wel leuk als ik dit werkend zou krijgen. Maar... wat zie ik allemaal over het hoofd?

Of je koopt een gl.inet router (Chinees spul) waar OpenWrt op draait. Bijvoorbeeld de Mudi. Dan nog een Raspberry Pi met Home Assistent en je bent klaar.

barrymossel schreef op zondag 2 maart 2025 @ 11:25:
Sanity check please...

Het is weer zo'n dag: barry wil een langer snoer aan een lamp voor in de vouwwagen hangen. Wel zo leuk om dan ook een dimmer eraan te hangen. Een lamp via app dimmen is ook wel handig, alleen wat is dan het makkelijkst (lees: leukst)? En misschien wil ik dan ook wel wat andere domotica toevoegen...

Uiteindelijk ben ik zover dat ik op een of andere manier gewoon Home Assistant wil gaan gebruiken, aangezien ik daarmee bekend ben. Maar dan heb ik wel iets van een netwerk nodig. Zou helemaal handig zijn als dat netwerk ook over wifi beschikt voor de kinderen.

Dus ik had het volgende bedacht: NUC met Proxmox en VM voor Home Assistant en eentje voor OPNSense. Internet via een USB 4/5G modem. Wifi via ingebouwde wifi, of eventueel switch met AP?

Klinkt erg overdreven natuurlijk, maar is wel leuk als ik dit werkend zou krijgen. Maar... wat zie ik allemaal over het hoofd?

Stroom gebruik ... Een continue draaiende PC in de camper kost redelijk wat stroom. Is dat stroom gebruik het waard voor het gemak? Heb je echt Proxmox nodig? Kan je niet met een simpele RPi beginnen? Hoe ga je om met "shutdowns" als de stroom op is? Kan je rechtstreeks vanaf 12V eea van stroom voorzien ? Of moet je omvormer dan altijd aanstaan (met omzetting verlies) etc etc.
Dus kijk vooral naar hoe je eea het zuinigst kan maken. Een eigen "camper lan" kan natuurlijk wel heel handig zijn .. en zeker als je daardoor flexibel bent met je internet ontsluiting etc. Maar let dus goed op verbruik ...heb je bijvoorbeeld zonnepanelen om de accu opgeladen te houden? Ook bij gestegen verbruik? Gaat eea uit als je weg loopt van de camper? Of in deep sleep modus ..

(Voldoende sanity check vragen zo? )

Makkelijk aan en uit te zetten?
Wat gebeurt er bij stroomstoring, disk corrupt, tools mee om te repareren.
ik zou eerder denken aan een laptopje, alles in 1 om te kunnen prutsen.

Inderdaad, stroomverbruik, maar je noemt vouwwagen dus ik deed de aanname dat je aan een stopcontact van de camping verbonden was.

[ Voor 27% gewijzigd door tuxie6 op 02-03-2025 11:36 ]

tuxie6 schreef op zondag 2 maart 2025 @ 11:34:
Makkelijk aan en uit te zetten?
Wat gebeurt er bij stroomstoring, disk corrupt, tools mee om te repareren.
ik zou eerder denken aan een laptopje, alles in 1 om te kunnen prutsen.

Dit is een goed punt.

Om dat te voorkomen heb je diverse opties.

1) Read-only filesystem.

2) Industrial grade microSD kaartjes

3) Een batterij, zoals https://hackaday.io/project/173847-ups-lite

tuxie6 schreef op zondag 2 maart 2025 @ 11:34:
Makkelijk aan en uit te zetten?
Wat gebeurt er bij stroomstoring, disk corrupt, tools mee om te repareren.
ik zou eerder denken aan een laptopje, alles in 1 om te kunnen prutsen.

Stroomstoring is een goeie. Kan me goed voorstellen dat dat een issue kan zijn op een camping. Daar ga ik nog even over nadenken. Want een spare laptop heb ik ook niet liggen...

barrymossel schreef op zondag 2 maart 2025 @ 11:40:
[...]

Stroomstoring is een goeie. Kan me goed voorstellen dat dat een issue kan zijn op een camping. Daar ga ik nog even over nadenken. Want een spare laptop heb ik ook niet liggen...

Tweedehands kosten ze nagenoeg niets. Je hebt ook meteen een scherm en batterij erbij.

barrymossel schreef op zondag 2 maart 2025 @ 11:25:
Wifi via ingebouwde wifi, of eventueel switch met AP?

*sense gebruiken voor WiFi is een slecht idee, de hardware support in FreeBSD is zeer beperkt. Je kunt beter een OpenWrt VM gebruiken. Maar ook dan, de meeste NUCs hebben een Intel WiFi adapter, en die kunnen niet in AP mode. Praktisch gezien zit je dus altijd vast aan een los AP als je het bij de NUC houdt.

Ik zou een OpenWrt device kopen met USB 5G modem, dat is een stuk goedkoper dan een device met ingebouwd modem. En dan een Pi-achtige machine voor HA. Of je installeert HA als Docker container op OpenWrt.

Tom Paris schreef op zondag 2 maart 2025 @ 14:39:
[...]


*sense gebruiken voor WiFi is een slecht idee, de hardware support in FreeBSD is zeer beperkt. Je kunt beter een OpenWrt VM gebruiken. Maar ook dan, de meeste NUCs hebben een Intel WiFi adapter, en die kunnen niet in AP mode. Praktisch gezien zit je dus altijd vast aan een los AP als je het bij de NUC houdt.

Het was mooi geweest als het met 1 device in het geheel had gekund.

Ik zou een OpenWrt device kopen met USB 5G modem, dat is een stuk goedkoper dan een device met ingebouwd modem. En dan een Pi-achtige machine voor HA. Of je installeert HA als Docker container op OpenWrt.

Dan kan ik misschien zelfs nog beter gaan voor een OpenWrt met 4G/5G ingebouwd. Overigens zijn die 5G modems wel érg duur...

Even back to the drawing board...

barrymossel schreef op zondag 2 maart 2025 @ 14:51:
[...]

Het was mooi geweest als het met 1 device in het geheel had gekund.

[...]

Dan kan ik misschien zelfs nog beter gaan voor een OpenWrt met 4G/5G ingebouwd. Overigens zijn die 5G modems wel érg duur...

Even back to the drawing board...

Ik zou niet per definitie voor USB gaan maar voor iets met deze modem https://www.quectel.com/product-selector/ bijvoorbeeld Quectel EC25. Die wordt goed ondersteunt en is FOSS. Zit ook in de Mudi.

Bij de Mudi heb je dus 150 mbit down, 50 mbit up, WLAN, OpenWrt (bijvoorbeeld Wireguard VPN), batterij (helaas niet user serviceable), microSD, status schermpje, killswitch, lader, en zelfs een USB naar ethernet splitter voor je andere device. Waarbij een Raspberry Pico misschien ook wel genoeg is voor Home Assistant. Misschien draait het zelfs op de Mudi (en misschien zijn er ook wel andere alternatieven dan de Mudi).

Wat je ook nog zou kunnen doen is je smartphone met wifi tethering aanzetten. Dan kan je Raspberry daarmee verbinden. Al zou ik persoonlijk zoveel mogelijk wired gaan. Veiliger, minder issues.

[ Voor 4% gewijzigd door Jerie op 02-03-2025 15:03 ]

barrymossel schreef op zondag 2 maart 2025 @ 14:51:
[...]

Het was mooi geweest als het met 1 device in het geheel had gekund.

[...]

Dan kan ik misschien zelfs nog beter gaan voor een OpenWrt met 4G/5G ingebouwd. Overigens zijn die 5G modems wel érg duur...

Even back to the drawing board...

Als je toch iets wil rondom internet .. en als je ook nog rond trekt door Europa . Dan is er helaas niets op dit moment wat kan concurreren met Starlink. Kost je 72 Euro per maand (en te pauzeren per maand) plus eenmalig aanschaf van een antenne ( de mini is 279 ... inclusief ingebouwde wifi en dc voeding)

Ondanks dat Elon nu niet echt een prettig persoon is op dit moment .. is er gewoon niets wat er nu mee kan concurreren .. dat duurt nog wel een tijdje .. en dan is het Besos die als eerste waarschijnlijk wat heeft wat kan concurreren ... Of Chinees ..

Bij 5G zit je altijd vast aan de dekking en afstand vanaf de mast etc .. bij Starlink moet je alleen maar te zorgen voor een vrij zicht rondom naar boven.

@RobertMe @Raven Aangezien jullie ook een Debian-gebaseerde router hebben, maken jullie misschien ook gebruik van een seriele kabel op de console poort van de router.
Wanneer ik met Terminal op Debian of Putty op Windows via de console kabel verbind, dan is het kader van de tekst die getoond wordt, eigenlijk maar super klein (1/4 van het scherm, als ik het vergroot). Ik heb al ge-Googled naar mogelijke oplossingen, maar nog geen passend antwoord gevonden. Misschien hebben jullie ervaring hoe dit aan te passen?

Waarom console toegang, als je SSH hebt, vraag je dan?
Ik heb afgelopen weekend na wat klooien besloten een nieuwe installatie te doen .
Omdat de tekst steeds afgekapt wordt, soms met >>> of gewoon een harde return, is dat niet prettig lees/werkbaar.

Vraag me af of dit nou een host-based (dus de router) of client-based (de laptop) instelling is...

@Yoshimi Ik gebruik SSH, Webmin en heb indien nodig een monitor met meerdere inputs en een USB-switch (zeg maar KVM-switch maar dan zonder het videodeel) om het systeem direct te kunnen bedienen. Plus ik kan er een JetKVM aan hangen dus seriële poort is niet nodig

Maar uhm, in Putty is het standaard 80 columns en 24 rows, dat kan je onder "Window" aanpassen, dit aan de client-zijde. Aan de router-pc zijde zou ik niet zo gauw weten wat te doen, heb wel eens zitten Googlen naar serial console en buiten kan ik niet herinneren ooit iets gelezen te hebben over aantal colums/rows.

Yoshimi schreef op donderdag 6 maart 2025 @ 18:25:
@RobertMe @Raven Aangezien jullie ook een Debian-gebaseerde router hebben, maken jullie misschien ook gebruik van een seriele kabel op de console poort van de router.
Wanneer ik met Terminal op Debian of Putty op Windows via de console kabel verbind, dan is het kader van de tekst die getoond wordt, eigenlijk maar super klein (1/4 van het scherm, als ik het vergroot). Ik heb al ge-Googled naar mogelijke oplossingen, maar nog geen passend antwoord gevonden. Misschien hebben jullie ervaring hoe dit aan te passen?

Waarom console toegang, als je SSH hebt, vraag je dan?
Ik heb afgelopen weekend na wat klooien besloten een nieuwe installatie te doen .
Omdat de tekst steeds afgekapt wordt, soms met >>> of gewoon een harde return, is dat niet prettig lees/werkbaar.

Vraag me af of dit nou een host-based (dus de router) of client-based (de laptop) instelling is...

Ik gebruik inderdaad heel zeldzaam de serial console.

Wat jii beschrijft lijkt mij puur neer te komen op dat de TTY die op de serial port draait "te klein is". En je dus de resolutie van die TTY wilt aanpassen. Hoe? Geen idee. Als je onder een GUI gewoon lokaal een (virtuele) terminal opent (bv Konsole onder KDE) dan doet die de onderliggende TTY wel netjes resizen. Maar over de serial console zal die vast die informatie niet ontvangen.

Oh, en ja, volgens mij is die ook bij mij maar 120 tekens breed of zo.

Edit:
Letterlijk het eerste DuckDuckGo resultaat geeft stty rows ... cols ... uitvoeren als antwoord. Dat resized die de console / terminal naar dat aantal rijen en kolommen.

[ Voor 5% gewijzigd door RobertMe op 06-03-2025 18:40 ]

Thanks allebei, duidelijk verhaal!

In Putty kan je wel instellen dat de tekst mee schaalt in grootte met je venster.
Maar het aantal karakters op 1 lijn ligt vast via seriële console.

Jerie schreef op zondag 2 maart 2025 @ 15:02:
[...]


Ik zou niet per definitie voor USB gaan maar voor iets met deze modem https://www.quectel.com/product-selector/ bijvoorbeeld Quectel EC25. Die wordt goed ondersteunt en is FOSS. Zit ook in de Mudi.

Bij de Mudi heb je dus 150 mbit down, 50 mbit up, WLAN, OpenWrt (bijvoorbeeld Wireguard VPN), batterij (helaas niet user serviceable), microSD, status schermpje, killswitch, lader, en zelfs een USB naar ethernet splitter voor je andere device. Waarbij een Raspberry Pico misschien ook wel genoeg is voor Home Assistant. Misschien draait het zelfs op de Mudi (en misschien zijn er ook wel andere alternatieven dan de Mudi).

Wat je ook nog zou kunnen doen is je smartphone met wifi tethering aanzetten. Dan kan je Raspberry daarmee verbinden. Al zou ik persoonlijk zoveel mogelijk wired gaan. Veiliger, minder issues.

Toch nog even terugkomen hierop. Je zou zelf voor een Quectel EC25 gaan. Cat4 zo te zien. Gisteren eens getest met een Fritzbox 6820 LTE en daarmee haalde ik binnenshuis 5-10Mbps. Telefoon op 5G 250Mbps en 30-50Mbps op 4G(+). Zou ik dan dus baat hebben bij een hogere categorie 4G modem? 5G dekking op een camping verwacht ik niet eerlijk gezegd, maar dat zou ook nog een (dure) optie zijn.

Blijf het al met al een lastige keuze vinden. Extern 4G/5G modem aan een dedicated OpenWRT router lijkt mij hetzelfde als een dergelijk modem aan de NUC met OpenWRT en een los AP. Ik zit dan nog wel met evt. stroomonderbreking. Maar daar valt nog wel wat op te vinden. Andere alternatief is dus een router met ingebouwd modem, maar die Fritzbox is in ieder geval niet afdoende en dat wijt ik o.a. aan de cat4 (al dan niet onterecht).

Ik gebruikte al langere tijd DNS-over-TLS. Maar met de recente ontwikkelingen in de wereld vond ik het een goed idee om van Cloudflare & Google af te stappen en naar Europese alternatieven te schakelen. In OPNsense de boel maar even omgebouwd:



9.9.9.10 853 dns10.quad9.net
185.95.218.42 853 dns.digitale-gesellschaft.ch Digitale Gesellschaft (CH)
146.255.56.98 853 dot1.applied-privacy.net Foundation for Applied Privacy (AT)
194.242.2.2 853 dns.mullvad.net Mullvad (SE)
89.233.43.71 853 unicast.censurfridns.dk CensurfriDNS (DK)

Via https://browserleaks.com/dns kun je testen.
Zie ook: https://european-alternatives.eu/category/public-dns

Het zijn allen ongefilterde DNS servers, het filteren doe ik liever zelf (AdguardHome met OISD lijst).

[ Voor 3% gewijzigd door ThinkPad op 21-03-2025 22:14 ]

ThinkPad schreef op vrijdag 21 maart 2025 @ 22:12:
Ik gebruikte al langere tijd DNS-over-TLS. Maar met de recente ontwikkelingen in de wereld vond ik het een goed idee om van Cloudflare & Google af te stappen en naar Europese alternatieven te schakelen. In OPNsense de boel maar even omgebouwd:

Je had geen zin om een eigen recursieve DNS resolver te gaan draaien?

duvekot schreef op vrijdag 21 maart 2025 @ 22:37:
[...]

Je had geen zin om een eigen recursieve DNS resolver te gaan draaien?

Wellicht doet @ThinkPad het om zijn DNS verkeer op te laten gaan in de meute? Met een eigen recursive resolver kan de ISP meekijken, want unencrypted. En met DoT naar (meerdere) upstream servers kan alleen de upstream server (gedeeltelijk) meekijken. En de authoritive DNS server ziet het (unieke) verkeer dus ook niet, want veel meer DNS verkeer vanaf de (upstream) server. Met grote DNS boeren zoals Cloudflare, Azure DNS, ... wellicht dus ook nog wel een interessant dingetje v.w.b. privacy. Want niet al die sites zullen ook gehost zijn bij..., maar wel de DNS ervan gebruiken.

Note: * RobertMe draait zelf wel een recursive resolver. Maar in combinatie met DoT dat @ThinkPad aangeeft te gebruiken lijkt me dat een prima verklaring.

Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.

ThinkPad schreef op zaterdag 22 maart 2025 @ 06:37:
Ik lees overal dat zelf een recursive resolver draaien erg traag is, mijn cache kan niet op tegen die van publieke resolvers.

"Erg traag" zal vast meevallen? Ja, het kan wat trager zijn. Maar of het merkbaar is?
Daarnaast heeft Unbound trucjes om bv een bijna aflopende TTL/domein alvast opnieuw op te vragen. Als je hem de volgende keer dan daadwerkelijk opvraagt kan die weer gewoon uit het cache komen.

En daarnaast kan die ook verouderde data serveren. Dus als een record bv een minuut over de TTL is dat record wel nog gebruiken als antwoord en tegelijkertijd een query uitvoeren om het cache te updaten.

En je kunt een minimale TTL forceren. Want zijn TTLs van x seconden, of Y minuten, nu echt nodig? Een minimale TTL van bv 5 minuten zal dan ook alweer iets helpen om de boel snel te houden.

En van die upstream servers weet je natuurlijk ook niet wat ze exact doen. Ja, gedeeltelijk zal het cache altijd redelijk up-to-date / gevuld zijn want veel meer gebruikers, maar ook zij zouden natuurlijk kunnen prefetchen, of verlopen records serveren. En bij de onbekendere servers die je nu gebruikt (alle behalve Quad9?) is het natuurlijk ook maar de vraag of je niet semi de enige bent die bepaalde domeinnamen resolved. Ook gezien het buitenlandse partijen zijn, met waarschijnlijk relatief weinig gebruikers, en ze onbekend zijn in NL. Hoeveel NL sites zouden ze dan redelijk constant in het cache hebben?

Ik heb Unbound nu als recursive resolver ingesteld "Serve expired" had ik al aanstaan.
Merk nog niet echt traagheid, we gaan het eens aankijken hoe dit bevalt. Dank voor de tip.

Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?

[ Voor 50% gewijzigd door ThinkPad op 22-03-2025 09:37 ]

ThinkPad schreef op zaterdag 22 maart 2025 @ 09:18:
Volgens mij heb ik nu het best haalbare qua privacy?

Ligt er aan hoe je privacy definieert... DNS queries zijn per definitie inzichtelijk voor iedereen tussen jouw device en de DNS server, DNS kent geen confidentiality. Daarom heb je DoT, DoH, DNSCrypt, etc. Die verpakken standaard DNS queries in een versleutelde tunnel, zodat de queries niet zichtbaar zijn 'op de lijn'.

Met DoT/DoH/DNSCrypt etc heb je dan 'privacy' tov de ISP, maar uiteindelijk weet de DNS server alsnog welke queries jij maakt. Nu je zelf een recursive DNS server draait, is er niet één Cloudflare-achtige partij die jouw DNS queries ziet, maar je ISP kan ze wel weer inzien...

Daarnaast, ook al zou niemand je DNS queries in kunnen zien, zodra je een TLS verbinding opzet naar een website, is het domein zichtbaar in de TLS-handshake. Dus dan ben je je privacy alsnog kwijt. (TLS1.3 met ECH brengt daar weer verandering in).

ThinkPad schreef op zaterdag 22 maart 2025 @ 09:18:
Ook DNSSEC aangezet zodat de DNS-verzoeken niet gemanipuleerd kunnen worden. Volgens mij heb ik nu het best haalbare qua privacy?

DNSSEC is niet bedoeld om privacy te bevorderen, maar wel voor betere beveiliging.
DNSSEC voegt een soort handtekening toe aan de DNS records om ze als echt te verifiëren. Zo kan een rogue DNS server geen valse DNS records serveren.

[ Voor 3% gewijzigd door GoBieN-Be op 23-03-2025 20:19 ]

Paar dagen verder, helaas nog niet echt helemaal overtuigd van het zelf recursive resolven.
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.

Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot

[ Voor 17% gewijzigd door ThinkPad op 27-03-2025 07:37 ]

ThinkPad schreef op dinsdag 25 maart 2025 @ 21:19:
Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot

Je hebt het iig geprobeerd 👍
Ik blijf het wel bijzonder vinden dat de resolving zo lang duurt dat een pagina load er door niet lukt. Je zou bijna verwachten dat er dan ergens iets niet helemaal lekker loopt. Ik weet niet of unbound ergens statistieken bij houdt over hoe snel er antwoord gegeven wordt op dns requests. Want dan zou je daar dus erg langzame tijden moeten zien.

duvekot schreef op donderdag 27 maart 2025 @ 08:20:
[...]

Je hebt het iig geprobeerd 👍
Ik blijf het wel bijzonder vinden dat de resolving zo lang duurt dat een pagina load er door niet lukt. Je zou bijna verwachten dat er dan ergens iets niet helemaal lekker loopt. Ik weet niet of unbound ergens statistieken bij houdt over hoe snel er antwoord gegeven wordt op dns requests. Want dan zou je daar dus erg langzame tijden moeten zien.

@ThinkPad @duvekot

Als je het hebt ingeschakeld in je setting conf file:

unbound-control stats_noreset

Die output kan je in Claude.ai of chatGPT plakken en vragen om een samenvatting. Hij meet per thread je kan er best wat uit halen.

Ik heb een cache, ik serve expired, en ik prefetch, haal de root.hints op. Moet zeggen dat ik altijd sceptisch was over Unbound maar met deze tunning is het behoorlijk rap.

ThinkPad schreef op dinsdag 25 maart 2025 @ 21:19:
Paar dagen verder, helaas nog niet echt helemaal overtuigd van het zelf recursive resolven.
Heb al een aantal keren gehad dat een webpagina niet wilde laden. Daarna nog een keer verversen en hij deed het wel. Ik vermoed een DNS-entry die nog niet gecached was en toch een paar seconden nodig had om te resolven.

Kijk het nog even aan, maar ben bang dat ik toch terug ga naar een externe resolver. Wijziging teruggedraaid, ik forward weer naar de Europese DNS die ik eerder noemde (over DoT). Te vaak gehad dat een pagina pas na een extra keer refreshen werkte. @duvekot

Dat kan te maken hebben gehad met problemen bij een van de root-server's (c-root gehost bij Cogent):
https://lists.dns-oarc.ne...ions/2024-May/022558.html

Wij zagen ook diverse timeouts hierdoor, wat vertraging met zich meebracht in het resolven.

Charlie_Root schreef op maandag 31 maart 2025 @ 10:29:
[...]


Dat kan te maken hebben gehad met problemen bij een van de root-server's (c-root gehost bij Cogent):
https://lists.dns-oarc.ne...ions/2024-May/022558.html

Wij zagen ook diverse timeouts hierdoor, wat vertraging met zich meebracht in het resolven.

Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden

Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.

ThinkPad schreef op maandag 31 maart 2025 @ 10:31:
[...]

Bedankt voor het delen, maar dat lijkt een bericht van een jaar geleden

Ik heb sinds het terugzetten naar Europese DoT servers de issues niet meer waargenomen.

Het waren de zelfde problemen, kon alleen geen recentere link er van vinden.

Net een Shuttle DL30N gekocht, dual Intel 2.5GB nic, passief gekoelde Intel N100 en 16GB DDR5
Leuk doosje voor een routertje.

PFsense wil ik niks van weten, heb even getest met https://nethsecurity.org/ en dat ziet er leuk uit maar teveel betaalde opties.
Dus ik draai nu OPNsense zonder Unbound, maar eens even wat distros proberen, ik vond Sophos ook altijd wel leuk werken maar jammer dat er een limiet van 6GB op de licentie zit.

pfSense CE 2.8 beta is uit, zie de blogpost van Netgate.

Groot nieuws voor de KPN glasvezel gebruikers onder ons:

This version of pfSense CE software includes a new kernel-based PPPoE backend, ``if_pppoe``. This will replace the current MPD-based implementation.
- This new backend is more efficient and enables much faster speeds over PPPoE interfaces.
- This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.
- This backend will be enabled by default on future versions of pfSense software.
- The ``if_pppoe`` backend does not support all advanced features of the MPD implementation. For example, it does not support MLPPP.

Dit is multi-threaded PPPoE! Niet langer de limitatie dat PPPoE maar op één core kan draaien

net op upgrade gedrukt. emmm niks voorbereid, niet eerst de packages verwijderd zoals in de handleiding.
Zweet zweet, zelfs geen backup gemaakt.

pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.

Intel(R) Core(TM) i3-N305 .

nike schreef op woensdag 2 april 2025 @ 19:33:
net op upgrade gedrukt. emmm niks voorbereid, niet eerst de packages verwijderd zoals in de handleiding.
Zweet zweet, zelfs geen backup gemaakt.

pffff ging goed, na een paar minuten draait de beta, en zo te zien gaat alles goed.
Hier ook een KPN 1G lijntje. en verder de gebruikelijke packages: haproxy,acme,nut,openvpn,pfblocker.

Intel(R) Core(TM) i3-N305 .

Hoe is de core verdeling voor PPPoE als je de aanpassing doorvoert en een file van een paar gigabyte binnenhaalt?
This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.

[ Voor 3% gewijzigd door stormfly op 02-04-2025 19:43 ]

Ik heb het aangezet!

Het gaat te snel, voor ik een iso van debian download 3 gig is hij al binnen. dit was tijdens het downloaden met http.

[ Voor 3% gewijzigd door nike op 02-04-2025 19:56 ]

stormfly schreef op woensdag 2 april 2025 @ 19:42:
[...]


Hoe is de core verdeling voor PPPoE als je de aanpassing doorvoert en een file van een paar gigabyte binnenhaalt?
This new PPPoE backend is not active by default in this version, but can be enabled with the global option under System > Advanced on the Networking tab <if_pppoe_option>`.

Even geduld voor echte resultaten

It will actually get faster in 2.8-RELEASE because there was a rework that occurred too late to make the beta cut-off.

Netgate heeft nu een blogpost waarin ze dieper ingaan op PPPoE in pfSense, hoe dit normaal in *BSD werkt en wat hun nieuwe if_pppoe module doet. Paar passages:

Key Features of if_pppoe

• Multi-Core Optimization: Unlike Netgraph, if_pppoe is designed to leverage multiple CPU cores effectively. It uses Receive Side Scaling (RSS) to distribute packets across cores based on protocol, source/destination addresses, and port numbers. This ensures that a single TCP flow stays on one core—minimizing out-of-order packets—while other cores handle concurrent flows.
• Simplified Architecture: By focusing solely on PPPoE, if_pppoe avoids the complexity of supporting arbitrary network functions. This leads to a leaner, faster implementation.
• Concurrent Packet Processing: The driver allows simultaneous packet handling in both receive and transmit directions across multiple CPUs. Exclusive operations (e.g., blocking other CPUs) are limited to rare reconfiguration events.

Performance Gains

On a Netgate 6100, we’ve observed throughput improvements ranging from 25% to 100% in scenarios with multiple simultaneous traffic flows—common in real-world deployments.

Sinds gisteren is er ook een nieuwe versie van de beta om te testen.

Is er al iemand die ervaring heeft met RAM en SSD voor een Topton met N150?
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.

Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?

Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:



De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.

[ Voor 3% gewijzigd door ThinkPad op 01-05-2025 11:47 ]

mohblack schreef op maandag 28 april 2025 @ 22:03:
Is er al iemand die ervaring heeft met RAM en SSD voor een Topton met N150?
Besteld via ali en de verkoper gevraagd maar nog geen reactie ontvangen.

Nee, wel met een Topton N100. Ben na wat minder goeie keuzes uitgekomen op een 16GB Samsung geheugenmodule, zoals de verkoper aangaf, en een WD_Black SN770 nvme drive. Ik draai nu Opnsense bare metal nadat het me niet lukte om Opnsense stabiel te krijgen op Proxmox. Heb ook een N305 en daarop draaide het onder Proxmox als een zonnetje.

[ Voor 17% gewijzigd door Villager op 01-05-2025 16:52 ]

@ThinkPad Misschien een idee dit (ook) in het PiHole-topic te vragen? Unbound komt daar volgens mij vaker voorbij dan hier.

edit: AGH.... kwartje viel net

[ Voor 12% gewijzigd door Raven op 01-05-2025 19:37 ]

Villager schreef op donderdag 1 mei 2025 @ 12:18:
[...]

Nee, wel met een Topton N100. Ben na wat minder goeie keuzes uitgekomen op een Samsung geheugenmodule, zoals de verkoper aangaf, en een WD_Black SN770 nvme drive.

Hier alleen met een CWWK N100, enkele 48GB module van Crucial:
Crucial RAM 48GB DDR5 5600MHz (of 5200MHz of 4800MHz) Laptop Geheugen CT48G56C46S5
Deze 'werkt' maar moest wel een ventilator er op richten om memory errors te voorkomen. Nog steeds niet heel blij mee, maar kon destijds niet meer retour. Draait nu wel meer dan een jaar stabiel.

[ Voor 3% gewijzigd door thof op 01-05-2025 16:40 ]

ThinkPad schreef op donderdag 1 mei 2025 @ 11:13:
Irritatiepuntje waar ik al langer tegenaan loop: hostnames uit DHCP worden niet geregisteerd in Unbound. Hoe krijg ik dat voor elkaar?

Ben vaak aan het prutsen met ESP moduletjes en moet altijd een static DHCP reservation met hostname aanmaken én vervolgens Unbound herstarten om ze via hostname te kunnen benaderen Heb net eentje geflashed met ESPHome firmware en als ik hem open via browser, dan zie ik (in AGH logs) dat Unbound een "NXDOMAIN" teruggeeft:

[Afbeelding]

De optie "Register ISC DHCP4 Leases" onder Unbound > General staat al aan.

[Afbeelding]

ik zit hier thuis ook altijd mee te klooien....
heb je in adguard home de optie aangevinkt van "use private reverse DNS servers" en je Unbound ip adres hier bijstaan (AGH > Settings > DNS settings) ?
er staat letterlijk in de beschrijving dat wanneer je dit niet aanzet, AGH altijd antwoordt met een NXDOMAIN

[ Voor 4% gewijzigd door EverLast2002 op 01-05-2025 17:38 ]

Dat staat al aan. Maar het is geen AGH probleem, want niet al m'n devices gaan langs AGH (praten rechtstreeks met Unbound op de OPNsense) en daar heb ik het issue ook. Het is gewoon een eigenaardigheid van OPNsense/Unbound volgens mij.

ThinkPad schreef op donderdag 1 mei 2025 @ 20:20:
Dat staat al aan. Maar het is geen AGH probleem, want niet al m'n devices gaan langs AGH (praten rechtstreeks met Unbound op de OPNsense) en daar heb ik het issue ook. Het is gewoon een eigenaardigheid van OPNsense/Unbound volgens mij.

kan het iets te maken hebben met .home.arpa waar Unbound zich in verslikt?
zonder home.arpa resolved ie waarschijnlijk wel, en met geeft ie NXDOMAIN.
(ik gebruik zelf ook home.arpa als domein voor het interne netwerk)

Ik zit nu nog even een aantal dynamische leases te pingen/nslookup-en en lijkt nu wel te werken zoals het zou moeten. Vreemd, zal het op een later moment nog eens goed testen met wat IOT-meuk.

Dank voor de reacties,
Na wat verder lezen, zoeken en reply van de Ali store ( generieke antwoord wat al eerder is gepost)
Heb ik gekozen voor een crucial CT module en Kingston SSD.

Ik ga het eerst proberen met proxmox.
Wil de mogelijkheid hebben ook nog wat andere kleine machines erop draaien.
Mocht dat niet goed werken dan gewoon direct op het doosje.
Als het goed is komt de Topton volgende week.
Als het eenmaal draait (of niet) laat ik het weten.

Maakt het uit of je een NVMe of Sata SSD gebruikt als main schijf in een mini PC waar enkel Opnsense op draait?

Vandaag topton ontvangen en proxmox + OPNsense op geïnstalleerd.

Draait nu een uurtje of 6 stabiel icm met:
uitvoering: Kingston NV3 (retail) 1TB
uitvoering: Crucial CT16G56C46S5

Als je OPNsense op Proxmox installeert, is het dan beter om de virtuele netwerkadapters van Proxmox te gebruiken, of doe je passthrough?

stijnos1991 schreef op woensdag 7 mei 2025 @ 11:57:
Als je OPNsense op Proxmox installeert, is het dan beter om de virtuele netwerkadapters van Proxmox te gebruiken, of doe je passthrough?

Beide oplossingen hebben zo hun eigen afhankelijkheden.

Virtueel WAN kan icm PPPOE wat voordeel opleveren.
Virtueel LAN kan makkelijk en sneller zijn icm veel hosts op je Proxmox server.
Passthrough, kan mogelijk een betere performance geven omdat er minder overhead in zit.

Ik gebruik nu Virtueel WAN, passthrough Nic voor mijn IPTV, heb IGMP nog niet goed werkend gekregen met virtuele interfaces.
Virtueel voor mijn LAN.

Ben er tevrede over, afgezien mijn IPTV WAN Interface na een boot niet altijd een IP adres krijgt en mutlicast dan niet werkt. Ik heb nu in monit een scriptje geschreven dat indien dit voorkomt er een DHCP request gedaan wordt.

De discussie is al een paar keer gevoerd met voor- en nadelen.
In kader van makkelijke restore en hardware onafhankelijkheid kies ik voor allemaal virtuele interfaces.

Zucht, weer iets wat ik echt niet begrijp...

Kleine schets van het netwerk:

• Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
• LAN naar switch (op die switch is alles op één poort na VLAN1)
• Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)

De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.

Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...

[ Voor 11% gewijzigd door barrymossel op 17-05-2025 17:15 ]

barrymossel schreef op zaterdag 17 mei 2025 @ 17:09:
Zucht, weer iets wat ik echt niet begrijp...

Kleine schets van het netwerk:

• Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
• LAN naar switch (op die switch is alles op één poort na VLAN1)
• Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)

De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.

Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...

Is het niet makkelijker de switches vaste ip adressen geven buiten de dhcp range van opnsense

tomdh76 schreef op zaterdag 17 mei 2025 @ 17:14:
[...]


Is het niet makkelijker de switches vaste ip adressen geven buiten de dhcp range van opnsense

De switches hadden IN OPNSense een vast IP adres, maar daar kreeg ik die ene switch dus niet te pakken. En toen zag ik dat ie ineens in een andere VLAN zat.

Nu heb ik gisteren het kastje waar de switch in zit even helemaal opnieuw ingericht, maar ik heb geen kabels omgeprikt in de switch. Snap er niks van.

barrymossel schreef op zaterdag 17 mei 2025 @ 17:09:
Zucht, weer iets wat ik echt niet begrijp...

Kleine schets van het netwerk:

• Ziggo modem in bridge naar Proxmox server waarop OPNSense draait (WAN)
• LAN naar switch (op die switch is alles op één poort na VLAN1)
• Van die switch (100% VLAN1) naar tweede switch (op 100% VLAN1 poort)

De tweede switch zat ook altijd in VLAN1. Nu zie ik hem ineens in VLAN9. Alles maar eens herstart en de switch is bereikbaar via z'n IP in VLAN9, maar is helemaal niet zichtbaar in de DHCP leases in OPNSense.

Iemand enig idee wat er hier mis gaat? Laat maar weten als je nog meer informatie wilt weten...

[Afbeelding]

Dit is wel heel vaag beschreven, daarnaast vraag ik me af wat je met vlans doet als je alles in vlan 1 mikt. Dat hoort echt niet zo. Dhcp voor management adressen lijkt me ook niet zo handig.

Edit ;
Met die tekening ben ik helemaal verdwaald. Je AP ook in vlan 1 maar IOT in vlan 9? Misschien even de tekening goed updaten met trunk ports en waar je wel en niet welke vlans tagged.

[ Voor 7% gewijzigd door Charlie_Root op 17-05-2025 17:20 ]

Mijn ervaring met deze switch is dat de management interface regelmatig in een random vlan opduikt.

jadjong schreef op zaterdag 17 mei 2025 @ 17:45:
Mijn ervaring met deze switch is dat de management interface regelmatig in een random vlan opduikt.

Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewoon eens kijken naar twee nieuwe switches?

---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.

[ Voor 12% gewijzigd door barrymossel op 18-05-2025 10:51 ]

barrymossel schreef op zaterdag 17 mei 2025 @ 17:46:
[...]

Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewwon eens kijken naar twee nieuwe switches?

---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.

Dat is hoe het hoort, een static management IP in het juiste vlan. Als er iets in het netwerk stuk is en DHCP dus niet werkt ben je de switch ook kwijt. Knap lastig zoeken.

Je vlan overzicht maakt het iets duidelijker, zou goed moeten zijn.

Ik zag dat de beveiligingsrichtlijnen van NCSC omtrent TLS vernieuwd zijn: link

Ik zat te kijken naar OPNsense om de webinterface te versleutelen conform de NCSC best practices, maar ik krijg de webinterface niet op een sterkere cipher:

In System > Settings > Administration heb ik de volgende ciphers geselecteerd:


Maar die bovenste wil ik eigenlijk eruit hebben, omdat die volgens NCSC als 'voldoende' i.p.v. goed wordt gezien:


Ik gebruik liever alleen de 'goed' settings Als ik hem weglaat krijg ik deze melding in OPNsense:


Ok, nouja blijkbaar móet die aanwezig zijn. Maar na opnieuw openen Firefox zie ik dus dat hij blijft hangen op de AES_128 en niet upgrade naar een nieuwere/betere cipher.

[ Voor 61% gewijzigd door ThinkPad op 03-06-2025 10:04 ]

barrymossel schreef op zaterdag 17 mei 2025 @ 17:46:
[...]

Zou een static IP instellen in de switch zelf dan een oplossing kunnen zijn? Of gewoon eens kijken naar twee nieuwe switches?

---edit---
Schijnbaar werkt dat. Maar ik ga toch eens kijken naar nieuwe switches denk ik.

Aan je screenshots te zien, zijn het tplink switches?

Ik heb zelf een 16 port tplink (geen POE), een 8 port (geen POE) en een 8 port (POE) switch van tplink

Ik heb ook al gemerkt dat deze switches verkeer aannemen vanuit eender welk device eraan hangt in eender welke VLAN. Je kan de mgmt interface ook enkel maar een IP toewijzen in de switch, je moet nergens zeggen welke VLAN.

Dat is imo een enorme design fout in de switches maar ze zijn dan ook wel echt veel goedkoper dan andere managed switches.
Voor de rest geen klagen van dus ik kan er mee leven voor mijn thuisnetwerkje..

silentkiller schreef op dinsdag 3 juni 2025 @ 10:01:
[...]

Aan je screenshots te zien, zijn het tplink switches?

Ik heb zelf een 16 port tplink (geen POE), een 8 port (geen POE) en een 8 port (POE) switch van tplink

Ik heb ook al gemerkt dat deze switches verkeer aannemen vanuit eender welk device eraan hangt in eender welke VLAN. Je kan de mgmt interface ook enkel maar een IP toewijzen in de switch, je moet nergens zeggen welke VLAN.

Dat is imo een enorme design fout in de switches maar ze zijn dan ook wel echt veel goedkoper dan andere managed switches.
Voor de rest geen klagen van dus ik kan er mee leven voor mijn thuisnetwerkje..

Maar lijkt me wel een design fout die "eenvoudig" met een firmware update kan worden opgelost. Vreemd genoeg doen ze dat niet.

Tuurlijk, maar dat is het nadeel van goedkoop denk ik dan
Ik had van de week flink lopen rommelen met de VLAN/PVID instellingen en de poort bleef in de foute VLAN zitten.
backup terug gezet, switch gereboot via het menu -> allemaal geen nut.

Stroom eraf, stroom er terug op en 't werkte terug.

Voor de rest doen de switches het prima (hoewel ik volgende keer ook voor een duurder model ga )