Zelfbouw project: Firewall / Router / AP

.bart schreef op donderdag 2 maart 2023 @ 18:54:
[...]

Nice! En jij draait OPNsense of pfSense? Prijsverschil is inderdaad wel groot.

OPNsense, maar nog weinig mee gedaan. pfSense kan ook met een dev build en een upgrade naar pfSense+. Of wachten op de 2.7CE release.

De verkoper gaf aan dat ze alleen i225 nics konden leveren. I226 was voor mij dus een verrassing. Uiteindelijk erg blij mee.

i226 schijnt iets zuiniger te zijn. En de eerste revisies van de i225 waren niet vrij van problemen.

Videopac schreef op donderdag 2 maart 2023 @ 19:49:
i226 schijnt iets zuiniger te zijn. En de eerste revisies van de i225 waren niet vrij van problemen.

Ook de i226 is niet 100%, Intel is zelfs andere firmware aan het distribueren voor de chips. Dat is wel het voordeel van een 'echt' merk tov een Topton-achtig kastje, meer zekerheid tav BIOS/firmware updates. Zeker bij een Intel NUC zit je gegarandeerd op de eerste rij...

Tom Paris schreef op donderdag 2 maart 2023 @ 20:36:
[...]


Ook de i226 is niet 100%, Intel is zelfs andere firmware aan het distribueren voor de chips. Dat is wel het voordeel van een 'echt' merk tov een Topton-achtig kastje, meer zekerheid tav BIOS/firmware updates. Zeker bij een Intel NUC zit je gegarandeerd op de eerste rij...

Worden die firmware niet ook weer via bv Linux ingeladen? Dat is dan uiteraard wel "vertraagd" @runtime i.p.vm direct door het bios, maar lijkt mij dat dat wel kan? In ieder geval gebeurt dit met Intel GPUs, Intel wifi & Bluetooth adapters/chips en met Realtek ethernet adapters/chips. Op bv Debian kun je die installeren via de firmware-* packages en die worden dan tijdens boot ingeladen (staat ook in dmesg vermeld).

RobertMe schreef op donderdag 2 maart 2023 @ 20:49:
[...]

Worden die firmware niet ook weer via bv Linux ingeladen? Dat is dan uiteraard wel "vertraagd" @runtime i.p.vm direct door het bios, maar lijkt mij dat dat wel kan? In ieder geval gebeurt dit met Intel GPUs, Intel wifi & Bluetooth adapters/chips en met Realtek ethernet adapters/chips. Op bv Debian kun je die installeren via de firmware-* packages en die worden dan tijdens boot ingeladen (staat ook in dmesg vermeld).

Ik weet niet of dit kan / al gebeurt voor Intel NICs, maar wat ik wel weet is dat FreeBSD altijd gruwelijk achterloopt met dit soort dingen en veel afhangt van de specifieke distro. Helaas dat Intel momenteel zijn reputatie van stabiliteit en performance niet waar kan maken met de 2.5Gbit lijn.

Is er dan een verschil tussen i225-v en i225-lm? Dat wordt mij niet duidelijk als ik op het net zoek.

.bart schreef op donderdag 2 maart 2023 @ 22:19:
Is er dan een verschil tussen i225-v en i225-lm? Dat wordt mij niet duidelijk als ik op het net zoek.

De -LM ondersteunt AMT op vPro systemen. Niet relevant voor *sense dus

Goedemorgen allemaal,

ik heb vandaag weer even tijd om aan mijn config te werken.
Ik heb inmiddels, met jullie hulp, internet werkend.
Echter de TV (KPN) is nog een dingetje.
Wanneer ik de VLAN4 interface ga configureren, lukt het om deze als DHCP in te zetten.

Echter wanneer ik de advanced setting van de DHCP server op deze inerface wil aanpassen met de 'send options' en de 'request options' wil PFSENSE+ deze niet opslaan.
Wanneer ik deze vernadering erinzet, geeft het log de volgende melding.

Netgate pfSense Plus is restoring the configuration /cf/conf/backup/config-1677825697.xml @ 2023-03-03 07:56:54

De aangepaste setting onder deze waarden van de DHCP server blijven er niet instaan.

Geeft iemand een idee waarom PFSENSE+ deze settings niet slikt en vanzelf weer een andere config erin zet?

Tom Paris schreef op donderdag 2 maart 2023 @ 20:36:
[...]


Ook de i226 is niet 100%, Intel is zelfs andere firmware aan het distribueren voor de chips. Dat is wel het voordeel van een 'echt' merk tov een Topton-achtig kastje, meer zekerheid tav BIOS/firmware updates. Zeker bij een Intel NUC zit je gegarandeerd op de eerste rij...

Drivers inderdaad. Is geen probleem in FreeBSD als ik kijk naar pfSense en OPNsense met de i225-v issues uit het verleden. Mocht er echt een probleem zijn die alleen op te lossen is met een bios update, dan kun je prima aankloppen bij Topton. De support is erg snel (verbazingwekkend) en vriendelijk.

Ik wacht wel met het vervangen van mijn 1Gb router totdat er stabiele 2,5Gb NIC’s zijn. Echter prestatiewinst is er nu toch nog niet (of trekken jullie je Gb internet regelmatig volledig dicht?).

Videopac schreef op vrijdag 3 maart 2023 @ 11:12:
Ik wacht wel met het vervangen van mijn 1Gb router totdat er stabiele 2,5Gb NIC’s zijn. Echter prestatiwinst is er nu toch nog niet (of trekken jullie je Gb internet regelmatig volledig dicht?).

Het probleem met 2,5Gb NIC's is voor mij meer een "betaalbaar" manageable switch die 2,5Gb kan runnen. Dus zolang dit er niet doorkomt denk ik dat ik voorlopig ook bij mijn HP T620 Plus blijf en pfS run tot hij er mee stopt ;-)

De i225 NICs ondersteunen ook VLANs? Als im het goed heb, heb je de igc driver nodig, maar die staat hier niet vermeld: https://man.freebsd.org/c...SD+13.1-RELEASE+and+Ports

Echter bij de man page van de driver wordt wel verwezen naar vlan(4): https://man.freebsd.org/c...&arch=default&format=html

Jahoor, ik laat een trunk met meerdere vlan's over 1 vd i225v's lopen

Luc45 schreef op zaterdag 4 maart 2023 @ 21:03:
Jahoor, ik laat een trunk met meerdere vlan's over 1 vd i225v's lopen

Bedankt!

Videopac schreef op donderdag 2 maart 2023 @ 15:51:
Wat is het voordeel van een Intel NUC t.o.v. een Topton?

Dat ik daar meer vertrouwen in heb dan in Topton of een ander Ali/Banggood/enz. merk

Voor de helft van het geld heb je een Topton N5105 (meer dan snel genoeg) en die Bluetooth en wifi van de NUC heb je niet nodig op een router.

BT en WiFi waren niet eens een punt van discussie, maar het correct monteren van koeling zeer zeker wel bij de Topton en daar heb ik ooit zo'n serieus slechte trauma van opgelopen dat ik merken die dat niet goed kunnen als de pest mijd!

_{Iets met een € 1100 kostende PowerColor videokaart van een vriend en incorrecte spacers en hoeveelheid koelpasta en zo... triest... ZEER TRIEST!!!}

TumTum schreef op donderdag 2 maart 2023 @ 18:51:
Grappig, ik heb een Topton gekocht met dezelfde processor en i226v nics voor 158 euro. Ik zou zelf niet voor de NUC gaan door dit gigantische prijsverschil.

.bart schreef op donderdag 2 maart 2023 @ 18:54:
Prijsverschil is inderdaad wel groot.

Intel NUC's zijn dan eigenlijk ook het leukst om later tweedehands van iemand over te nemen op het moment dat je voorbij de € 200 gaat als aanschafprijs

Videopac schreef op donderdag 2 maart 2023 @ 19:49:
i226 schijnt iets zuiniger te zijn. En de eerste revisies van de i225 waren niet vrij van problemen.

Tom Paris schreef op donderdag 2 maart 2023 @ 20:36:
Ook de i226 is niet 100%, Intel is zelfs andere firmware aan het distribueren voor de chips. Dat is wel het voordeel van een 'echt' merk tov een Topton-achtig kastje, meer zekerheid tav BIOS/firmware updates. Zeker bij een Intel NUC zit je gegarandeerd op de eerste rij...

Mja, eerlijk is eerlijk : Intel is al lang geen heilige meer qua NIC's helaas, maar je hebt wel meer kans op goed werkende drivers en firmware, echter is FreeBSD daar weer een uitzondering op gebleken... ironie all over the place!

RobertMe schreef op donderdag 2 maart 2023 @ 20:49:
Worden die firmware niet ook weer via bv Linux ingeladen?

Dat is dan uiteraard wel "vertraagd" @runtime i.p.vm direct door het bios, maar lijkt mij dat dat wel kan?
In ieder geval gebeurt dit met Intel GPUs, Intel wifi & Bluetooth adapters/chips en met Realtek ethernet adapters/chips. Op bv Debian kun je die installeren via de firmware-* packages en die worden dan tijdens boot ingeladen (staat ook in dmesg vermeld).

Ik zie dat vaak genoeg langskomen onder Kubuntu op mijn laptop, maar ik heb het idee dat er verder niks effectief mee gebeurt

Heb jij weleens echt de firmware van een apparaat geüpgrade zien worden ??

En zit die feature ook in OpenWRT bijvoorbeeld ?
Onder FreeBSD zal je er niet zoveel aan hebben gok ik, zelfs met de Linux Compatibility meuk erbij geïnstalleerd

Boomster schreef op vrijdag 3 maart 2023 @ 08:05:
Echter wanneer ik de advanced setting van de DHCP server op deze inerface wil aanpassen met de 'send options' en de 'request options' wil PFSENSE+ deze niet opslaan.
Wanneer ik deze vernadering erinzet, geeft het log de volgende melding.

code:

1	Netgate pfSense Plus is restoring the configuration /cf/conf/backup/config-1677825697.xml @ 2023-03-03 07:56:54

De aangepaste setting onder deze waarden van de DHCP server blijven er niet instaan.

Geeft iemand een idee waarom PFSENSE+ deze settings niet slikt en vanzelf weer een andere config erin zet?

Ik zou eens goed op je syntax letten en als het echt niet lukt dan effe proberen om die configuratie direct in een config file of je config XML file te zetten

TumTum schreef op vrijdag 3 maart 2023 @ 09:28:
Drivers inderdaad. Is geen probleem in FreeBSD als ik kijk naar pfSense en OPNsense met de i225-v issues uit het verleden. Mocht er echt een probleem zijn die alleen op te lossen is met een bios update, dan kun je prima aankloppen bij Topton.
De support is erg snel (verbazingwekkend) en vriendelijk.

Klinkt alsof je daadwerkelijk praktijkervaring hebt dus we horen graag van je wat er toen speelde!

Videopac schreef op vrijdag 3 maart 2023 @ 11:12:
Ik wacht wel met het vervangen van mijn 1Gb router totdat er stabiele 2,5Gb NIC’s zijn.
Echter prestatiwinst is er nu toch nog niet (of trekken jullie je Gb internet regelmatig volledig dicht?).

Ergens in het Caiway Topic was er iemand die grofweg 100 Mbps meer uit zijn 1 Gbps aansluiting kreeg op het moment dat hij zijn ASUS Router van 1 Gbps WAN naar 2,5 Gbps WAN had overgezet

Dat is echter geen PPPoE aansluiting dus ik weet niet wat je ermee opschiet i.c.m. een KPN abonnement...

bntjah schreef op vrijdag 3 maart 2023 @ 11:14:
Het probleem met 2,5Gb NIC's is voor mij meer een "betaalbaar" manageable switch die 2,5Gb kan runnen.

Wat houdt voor jou betaalbaar in

Dat lijkt voor iedereen weer anders te zijn als het om hun LAN wensen gaat

Dus zolang dit er niet doorkomt denk ik dat ik voorlopig ook bij mijn HP T620 Plus blijf en pfS run tot hij er mee stopt ;-)

Sowieso een goed plan!

nero355 schreef op zaterdag 4 maart 2023 @ 22:28:
[...]

Ik zie dat vaak genoeg langskomen onder Kubuntu op mijn laptop, maar ik heb het idee dat er verder niks effectief mee gebeurt

Heb jij weleens echt de firmware van een apparaat geüpgrade zien worden ??

Heb jij een videokaart / wifi chip / ethernet chip / ... met een vorm van persistent opslag? Volgens mij is dat nooit het geval. Firmware zit, bv, in het bios ingebakken die dat ASAP doet inladen zodat het ding functioneert. Vervolgens kan Linux, waarschijnlijk, dus zo'n firmware weer gewoon "overschrijven". Dat is ook waarmee het mee begon nu: voor nieuwe firmware heb je nieuw BIOS nodig.
Zelfde geldt ook weer voor CPUs. Alleen heet het dan "microcode". Die zit in het BIOS ingebakken en bv voor heartbleed en zo had je bv een BIOS update nodig. Of je deed gewoon fixen dat de juiste microcode @runtime werd ingeladen. Microcode moet dan alleen heel vroeg worden ingeladen. Daarom dat je onder Linux dit meteen in de bootloader fixt door een initrd die wordt uitgevoerd voor de echte initrd.

En zit die feature ook in OpenWRT bijvoorbeeld ?

Geen idee. Gezien het een Linux kernel feature is is het natuurlijk de vraag of het uit is te zetten en of OpenWRT het uit zet. Daarnaast moet je dan ook nog de firmware files installeren / geinstalleerd hebben. En die passen vast ook niet op de opslag van een routertje.

Onder FreeBSD zal je er niet zoveel aan hebben gok ik, zelfs met de Linux Compatibility meuk erbij geïnstalleerd

Grote vraag is dan of de firmware files OS specifiek zijn. Ik ga er vanuit van niet, v.w.b. echt de firmware blob. FreeBSD is vervolgens vrij om ervoor te kiezen om wel of niet in een driver code in te bakken die die blob doorduwt naar het stuk hardware als zijnde "hier is een (nieuw) firmware". Daar zal in zoverre weinig Linux Compatibility aan te pas hoeven te komen gok ik zo. Want het inladen van de firmwares is iets dat de driver doet. En FreeBSD zal vast niet de drivers / kernel modules van Linux gebruiken.

[...]

Ergens in het Caiway Topic was er iemand die grofweg 100 Mbps meer uit zijn 1 Gbps aansluiting kreeg op het moment dat hij zijn ASUS Router van 1 Gbps WAN naar 2,5 Gbps WAN had overgezet

Dat is echter geen PPPoE aansluiting dus ik weet niet wat je ermee opschiet i.c.m. een KPN abonnement...

Da's toch logisch. Een provider levert in principe 1Gbit/s op IP niveau (OSI 3?). Terwijl een 1 Gbit/s poort de limiet op ethernet niveau heeft (OSI 2?). Oftewel: door de beperking op de verschillende lagen heb je een stuk overhead "door" de extra laag die dus niet door de beperking van de onderste (ethernet) laag past. Door een 2,5Gbit/s poort te gebruiken is die beperking er niet meer en kun je wel 1Gbit/s aan IP pakketjes er doorheen duwen. Omdat die 1Gbit/s aan IP dan bv 1,5 Gbit/s aan ethernet oplevert dat wel door die 2,5Gbit/s poort "past" maar niet door de 1Gbit/s poort. Dezelfde situatie is er ook bij Ziggo met het nieuwe modem met 2,5Gbit/s poort. Heeft toentertijd zelfs de frontpage gehaald als zijnde "er zijn Ziggo klanten die een snelheid van 1100 Mbit/s melden waar ze daarvoor maar 980Mbit/s haalden". Maar dat waren dus allemaal klanten die in beta zaten met een modem met 2,5Gbit/s poort.

RobertMe schreef op zaterdag 4 maart 2023 @ 22:56:
[...]

Heb jij een videokaart / wifi chip / ethernet chip / ... met een vorm van persistent opslag? Volgens mij is dat nooit het geval.

Absoluut wel Niet voor alle toepassingen is dit flash (zeker niet voor 'consumer-grade' chips), maar bijv. een Intel X520 NIC heeft firmware upgrades die je zelf kunt flashen.

RobertMe schreef op zaterdag 4 maart 2023 @ 22:56:
Heb jij een videokaart / wifi chip / ethernet chip / ... met een vorm van persistent opslag?
Volgens mij is dat nooit het geval.

In principe kan je een hoop dingen flashen terwijl het OS gewoon doordraait, zoals een SSD of een RAID dan wel HBA Controller

Firmware zit, bv, in het bios ingebakken die dat ASAP doet inladen zodat het ding functioneert. Vervolgens kan Linux, waarschijnlijk, dus zo'n firmware weer gewoon "overschrijven".

Dat is ook waarmee het mee begon nu: voor nieuwe firmware heb je nieuw BIOS nodig.

Videokaarten hebben ook een eigen BIOS die je kan flashen en zelfs in sommige gevallen mixen qua merk BIOS dat je flasht dus iets van een universele BIOS voor die dingen zou een optie kunnen zijn...

In het geval van Intel dan wel AMD iGPU/APU modellen is dat waarschijnlijk ook wel zo ?!

Zelfde geldt ook weer voor CPUs. Alleen heet het dan "microcode".
Die zit in het BIOS ingebakken en bv voor heartbleed en zo had je bv een BIOS update nodig.
Of je deed gewoon fixen dat de juiste microcode @runtime werd ingeladen. Microcode moet dan alleen heel vroeg worden ingeladen. Daarom dat je onder Linux dit meteen in de bootloader fixt door een initrd die wordt uitgevoerd voor de echte initrd.

Dat is waarschijnlijk het meest bekende verhaal van de afgelopen 10 jaar of zo en juist omtrent dat probleem heb ik er niet zoveel van gemerkt behalve hier een daar een melding tijdens het opstarten of ik a.u.b. eens gauw wilde kijken of er een nieuwe BIOS/UEFI is uitgebracht waarin het probleem is aangepakt...

Geen idee. Gezien het een Linux kernel feature is is het natuurlijk de vraag of het uit is te zetten en of OpenWRT het uit zet. Daarnaast moet je dan ook nog de firmware files installeren / geinstalleerd hebben. En die passen vast ook niet op de opslag van een routertje.

Tegenwoordig zie je vaak al gauw wat meer opslag aanwezig zijn dus het zou wel kunnen in principe, maar wordt het ook gedaan

Grote vraag is dan of de firmware files OS specifiek zijn. Ik ga er vanuit van niet, v.w.b. echt de firmware blob.
FreeBSD is vervolgens vrij om ervoor te kiezen om wel of niet in een driver code in te bakken die die blob doorduwt naar het stuk hardware als zijnde "hier is een (nieuw) firmware". Daar zal in zoverre weinig Linux Compatibility aan te pas hoeven te komen gok ik zo. Want het inladen van de firmwares is iets dat de driver doet. En FreeBSD zal vast niet de drivers / kernel modules van Linux gebruiken.

Men gebruikte vroeger in ieder geval vaak een compacte Red Hat omgeving dus alles daarvan was ook aanwezig IIRC

Da's toch logisch. Een provider levert in principe 1Gbit/s op IP niveau (OSI 3?). Terwijl een 1 Gbit/s poort de limiet op ethernet niveau heeft (OSI 2?). Oftewel: door de beperking op de verschillende lagen heb je een stuk overhead "door" de extra laag die dus niet door de beperking van de onderste (ethernet) laag past. Door een 2,5Gbit/s poort te gebruiken is die beperking er niet meer en kun je wel 1Gbit/s aan IP pakketjes er doorheen duwen. Omdat die 1Gbit/s aan IP dan bv 1,5 Gbit/s aan ethernet oplevert dat wel door die 2,5Gbit/s poort "past" maar niet door de 1Gbit/s poort. Dezelfde situatie is er ook bij Ziggo met het nieuwe modem met 2,5Gbit/s poort. Heeft toentertijd zelfs de frontpage gehaald als zijnde "er zijn Ziggo klanten die een snelheid van 1100 Mbit/s melden waar ze daarvoor maar 980Mbit/s haalden". Maar dat waren dus allemaal klanten die in beta zaten met een modem met 2,5Gbit/s poort.

Allemaal prima, maar ik vraag me dus alleen af welk effect het gebruik van PPPoE heeft in zo'n geval, want het genoemde voorbeeld is net als die Ziggo aansluiting puur DHCP aanzetten en inprikken op een kleine VLAN Tagging optie na

Gezien we het hier hebben over CPU's dan wel SoC's die wel of niet de 1 Gbps via PPPoE kunnen volpompen en zo...

nero355 schreef op zaterdag 4 maart 2023 @ 22:28:


[...]

Ik zou eens goed op je syntax letten en als het echt niet lukt dan effe proberen om die configuratie direct in een config file of je config

Dat is uiteindelijk na heel veel gepiel ook hetgeen wat ik gedaan heb.
Nu draait de PFSENSE+ met PFblockerng als een zonnetje.
Nu de openvpn nog configureren om vai vpn in mijn netwerk te komen.
Zal daar nog eens een goede Tut voor op zoeken.

RobertMe schreef op zaterdag 4 maart 2023 @ 22:56:


Da's toch logisch. Een provider levert in principe 1Gbit/s op IP niveau (OSI 3?). Terwijl een 1 Gbit/s poort de limiet op ethernet niveau heeft (OSI 2?). Oftewel: door de beperking op de verschillende lagen heb je een stuk overhead "door" de extra laag die dus niet door de beperking van de onderste (ethernet) laag past. Door een 2,5Gbit/s poort te gebruiken is die beperking er niet meer en kun je wel 1Gbit/s aan IP pakketjes er doorheen duwen. Omdat die 1Gbit/s aan IP dan bv 1,5 Gbit/s aan ethernet oplevert dat wel door die 2,5Gbit/s poort "past" maar niet door de 1Gbit/s poort. Dezelfde situatie is er ook bij Ziggo met het nieuwe modem met 2,5Gbit/s poort. Heeft toentertijd zelfs de frontpage gehaald als zijnde "er zijn Ziggo klanten die een snelheid van 1100 Mbit/s melden waar ze daarvoor maar 980Mbit/s haalden". Maar dat waren dus allemaal klanten die in beta zaten met een modem met 2,5Gbit/s poort.

Helaas, je haalt dingen door elkaar; Gbit is op laag 1 de fysieke laag.
Alle andere lagen hebben te maken met de protocolsoort die de overhead veroorzaakt. Effectief is een Gbit een Gbit, ook al heb je aan de andere kant van de lijn dan net iets minder throughput.
Wat zou kunnen met die betatest is dat de policers (laag 2) en de shapers (laag 3) niet op het profiel van de testers zaten. Als je dan een 2,5 GBit NIC hebt ben je gelimiteerd aan wat op de providers edge staat, zowel hardwarematig als softwarematig.

Gisterenavond van wat oude hardware maar weer een pfsense router gemaakt.

Een Lian Li HTPC kast, AMD Athlon 3000G, AM320 mobo en een Intel PRO/1000 PT Quad port NIC.

Vandaag alle basis instellingen + suricata in pfsense geïnstalleerd en de Dream Machine SE tijdelijk uitgeschakeld. Unifi instellingen in de Cloudkey Gen2+ geladen en de AP's , switches en camera's geconfigureerd.

Het eerste wat mij op valt dat mijn wifi een stuk sneller is dan met de UDM SE, van gem. 300Mbps naar 500Mbps.

Deze week maar verder spelen

Uiteindelijk is het gelukt om mijn PFSENSE+ stabiel te maken en te krijgen.
Ik heb nu PFBLOCKERNG draaien, wat prima werkt.
Daarnaast heb ik een VPN opgezet middels openvpn. Ik heb deze zo geconfigureerd dat al het verkeer via de tunnel gaat, waardoor het lijkt dat ik vanuit huis het internet op ga. Ik ben voorbereid voor de regels die de grootste streamprovider mogelijk gaat instellen om het delen van accounts aan banden te leggen.
Een groot voordeel van deze setup icm met always-on VPN op de telefoon, is dat deze ook ALTIJD aan is. Zonder onderbrekingen, alleen wanneer ik van wifi naar 5g wissel is hij even onderbroken, natuurlijk.

Nu zien hoe de setup zich gaat houden iver langere tijd gemeten.
Het is wel fijn dat al mijn devices die via de vpn gekoppeld zijn ook adblock hebben.

Nu nog uitzoeken of ik youtube reclames kan blokkeren.

anyone ideas?

#boomsterisblij 😃

Boomster schreef op woensdag 8 maart 2023 @ 06:42:

anyone ideas?

#boomsterisblij 😃

Plaats overal waar je langer dan een uur bent laadkabels voor de telefoon, VPN trekt de batterij leeg doordat de verbinding niet in standby/low power gaat.

jadjong schreef op woensdag 8 maart 2023 @ 06:59:
[...]

Plaats overal waar je langer dan een uur bent laadkabels voor de telefoon, VPN trekt de batterij leeg doordat de verbinding niet in standby/low power gaat.

Dat valt tot nu toe erg mee. overnacht is mijn telefoon 9% leeggelopen. Hopelijk blijft dat zo.

stormfly schreef op woensdag 8 maart 2023 @ 07:34:
[...]


Kan zijn dat je nu andere kanalen of 80 ipv 40Mhz gebruikt. Of je UDM SE had het zwaar? Volgens mij zou deze wel meer dan 1G met inspectie moeten halen?

Wat wil je met suricata bereiken? Die tools, net als van de UDx lijn van UniFi werken in mijn optiek niet. Je krijgt een melding, en in 90% is het uiteindelijk een false positive.

Als je een veilig netwerk wilt zou ik eerder denken aan een publieke DNS aanbieder met malware filter. Dan komt de verbinding nooit tot stand. Bij suricata heb je volgens mij altijd 1x een sessie gehad voordat hij kan gaan blokkeren.

Ben benieuwd naar jullie suricata visie? Misschien mis ik iets wat ik wel graag zou gebruiken. Vorig jaar heb in het uitgeschakeld en dat scheelde best wat warmte.

Ik had met de UDM SE ook 80Mhz aanstaan, daar kan het dan niet aan liggen vermoed ik.
Ik haalde met IPS/IDS aan 943Mbps down en 925Mbps up. Met Pfsense 935Mbps en 899Mbps.
CPU verbruik rond de 31% bij speedtest, anders rond 5 tot 11%.

Ik heb bij de UDM SE geen enkele false positive gehad.

Als DNS gebruik ik op het moment 1.1.1.1 en 1.0.0.1 en niet die van de provider.

Wat me ook opvalt is dat Protect sneller reageert bij de Cloudkey Gen2+, ik kan alle detections normaal afspelen en bij de UDM SE duurde het een eeuwigheid, vooral sinds de laatste update van Protect.

Boomster schreef op woensdag 8 maart 2023 @ 06:42:
Nu nog uitzoeken of ik youtube reclames kan blokkeren.
#boomsterisblij 😃

Dat gaat je niet lukken.

[Voor 11% gewijzigd door Pierre op 08-03-2023 08:52]

Pierre schreef op woensdag 8 maart 2023 @ 08:52:
[...]

Dat gaat je niet lukken.

ben ik ook bang voor...

@Boomster 2 dingen, kijk eens naar Wireguard ipv OpenVPN, die is veel lichter/sneller. En youtube ads blokkeren gaat je inderdaad niet lukken. Je kunt wel gebruik maken van "alternatieve services", maar letterlijk de ads van youtube.com blokkeren, nope...

Sp33dFr34k schreef op woensdag 8 maart 2023 @ 09:06:
@Boomster 2 dingen, kijk eens naar Wireguard ipv OpenVPN, die is veel lichter/sneller.

Niet alleen dat, maar Wireguard heeft ook geen / minder issues met roamen. @Boomster gaf aan dat de verbinding een paar seconden weg is bij switchen tussen wifi & telefoonnetwerk, bij Wireguard zou dat helemaal niet moeten spelen. Dit doordat het UDP is en endpoints transparant van IP adres kunnen veranderen en op basis van het eerste pakketje van de telefoon op het nieuwe IP adres meteen alle nieuwe pakketten naar de telefoon ook naar dat nieuwe IP gestuurd worden. Daar waar OpenVPN dus een volledig nieuwe verbinding moet opzetten en de handshake doorlopen etc.

Sp33dFr34k schreef op woensdag 8 maart 2023 @ 09:06:
@Boomster 2 dingen, kijk eens naar Wireguard ipv OpenVPN, die is veel lichter/sneller. En youtube ads blokkeren gaat je inderdaad niet lukken. Je kunt wel gebruik maken van "alternatieve services", maar letterlijk de ads van youtube.com blokkeren, nope...

Deze staat idd nog op mijn todo lijstje. experimenteren.
Alleen nog ff een betrouwbare tut zien te vinden. idee?

Ik wil een PfSense FW opzetten en heb een vraag over de hardware.

Ik heb minstens 3 ethernetpoorten nodig: 1 voor WAN, 1 voor LAN (mijn pc), en 1 voor een router waarop telefoon/apparaten van vrouwlief/IoT/etc gaan. Dit om mijn pc gescheiden te houden van soms twijfelachtige apparaten. Dit beperkt de keuze in barebones.

De meest geschikte kandidaten die ik zie zijn:
• Model B hieruit met I226 NIC
• Deze met Celeron N5105.

De tweede lijkt mij prima, met 8 GB RAM en 128GB NVMe. De I225 is voor nu beter qua PfSense ondersteuning las ik. Bij de tweede link staat I225/I226, dus dat is mij niet helemaal duidelijk.

Ik zag tevens wat verhalen over slechte koeling bij sommige modellen (model C in een van de bovenstaande links). Open deur, maar er zijn geen betere, niet-Chineze opties zonder 3x in prijs omhoog te gaan begrijp ik?

Je kunt natuurlijk ook met meerdere VLANs werken op je LAN interface ?

[Voor 4% gewijzigd door arjanw848 op 09-03-2023 00:01]

Lol op die fake unleesbaar CE, UL certificaten op ali pagina. Tenminste power adapter lijkt echt

Ik ga stuk!

DoinkDeClown schreef op woensdag 8 maart 2023 @ 20:44:
Ik wil een PfSense FW opzetten en heb een vraag over de hardware.

Ik heb minstens 3 ethernetpoorten nodig: 1 voor WAN, 1 voor LAN (mijn pc), en 1 voor een router waarop telefoon/apparaten van vrouwlief/IoT/etc gaan. Dit om mijn pc gescheiden te houden van soms twijfelachtige apparaten. Dit beperkt de keuze in barebones.

waarom een router achter een router? kan je niet gewoon beter een switch gebruiken en het met vlan's oplossen? scheelt je ook weer een netwerkkaart en een router

DoinkDeClown schreef op woensdag 8 maart 2023 @ 20:44:

De meest geschikte kandidaten die ik zie zijn:
• Model B hieruit met I226 NIC
• Deze met Celeron N5105.

Ik draai hier nu een poosje proxmox en pfSense op de Model B met 32GB RAM en 500GB NVMe. Helaas doet pfSense CE het alleen als je de NIC virtualiseerd, maar onder pfSense plus werkt de driver wel. Helaas moet je met CE beginnen voor je naar de plus editie kan upgraden voor zover ik weet.

Boomster schreef op woensdag 8 maart 2023 @ 06:42:
Nu nog uitzoeken of ik youtube reclames kan blokkeren.

anyone ideas?

Pierre schreef op woensdag 8 maart 2023 @ 08:52:
Dat gaat je niet lukken.

Sp33dFr34k schreef op woensdag 8 maart 2023 @ 09:06:
En youtube ads blokkeren gaat je inderdaad niet lukken.

Echt wel!

Je kunt wel gebruik maken van "alternatieve services", maar letterlijk de ads van youtube.com blokkeren, nope...

Als jij onderstaande bedoelt dan zijn we het met elkaar eens :

- Firefox + uBlock Origin = Geen advertenties op YouTube
Dus onder Android/*BSD/Linux/Windows de simpelste oplossing!
- Alternatieve optie met elke willekeurige browser als je geen uBlock Origin kan installeren : DuckDuckGo.com Video Search
- Android TV kastjes + Alternatieve App (Zie bijvoorbeeld de TS van het Nvidia Shield TV Console Topic) waar AdBlocking in zit = Geen advertenties op YouTube
- Android tablet/telefoon = Effe zoeken naar de laatste trend daarop nu ze YouTube Vanced offline hebben gehaald...
- LG TV met WebOS + Developer Mode + YouTube AdFree = Geen advertenties op YouTube
Moet je wel de Developer Mode Session elke 49 uur of korter verversen, maar daar krijg je een kant en klare cronjob voor in de tool die je ervoor download of je bakt zelf wat in elkaar met behulp van de juiste link met daarin je sessie

Kortom : Opties genoeg!

stormfly schreef op woensdag 8 maart 2023 @ 07:34:
Kan zijn dat je nu andere kanalen of 80 ipv 40Mhz gebruikt. Of je UDM SE had het zwaar? Volgens mij zou deze wel meer dan 1G met inspectie moeten halen?

Ligt eraan of je nog PPPoE erbij gooit!

Wat wil je met suricata bereiken? Die tools, net als van de UDx lijn van UniFi werken in mijn optiek niet. Je krijgt een melding, en in 90% is het uiteindelijk een false positive.

Heel veel mensen weten niet eens wat ze ermee aan moeten inderdaad!

Of het betrouwbaar is of niet durf ik niet te zeggen...

Als je een veilig netwerk wilt zou ik eerder denken aan een publieke DNS aanbieder met malware filter.

Pi-Hole + Unbound en dan gewoon met dergelijke lijsten aanvullen lijkt me dan de betere optie, want niet afhankelijk van een extern bedrijf!

Dan komt de verbinding nooit tot stand. Bij suricata heb je volgens mij altijd 1x een sessie gehad voordat hij kan gaan blokkeren.

Je kan ze natuurlijk combineren, want pfBlockerNG kan grofweg hetzelfde!

Ben benieuwd naar jullie suricata visie?
Misschien mis ik iets wat ik wel graag zou gebruiken. Vorig jaar heb in het uitgeschakeld en dat scheelde best wat warmte.

IMHO iets waar je eerst flink over moet lezen en daarna ermee aan de slag kan gaan i.c.m. een heleboel finetuning

stormfly schreef op woensdag 8 maart 2023 @ 07:37:
Nog een tip is om met geo blocking te werken.
(Maxmind) en dan voor je VPN alleen Nederlandse adressen toe te laten.

Maar dan heb je toch ook weer Suricata nodig of toch niet

_AcS_ schreef op woensdag 8 maart 2023 @ 08:49:
Als DNS gebruik ik op het moment 1.1.1.1 en 1.0.0.1 en niet die van de provider.

@xbeam heeft een keer mooi uitgelegd waarom dat geen goed idee is tegenwoordig

Wat me ook opvalt is dat Protect sneller reageert bij de Cloudkey Gen2+, ik kan alle detections normaal afspelen en bij de UDM SE duurde het een eeuwigheid, vooral sinds de laatste update van Protect.

Dat is best wel gek, want beiden zouden ondertussen dezelfde firmware als de basis moeten hebben : 3.x.x en hoger!

RobertMe schreef op woensdag 8 maart 2023 @ 09:18:
Niet alleen dat, maar Wireguard heeft ook geen / minder issues met roamen. @Boomster gaf aan dat de verbinding een paar seconden weg is bij switchen tussen wifi & telefoonnetwerk, bij Wireguard zou dat helemaal niet moeten spelen. Dit doordat het UDP is en endpoints transparant van IP adres kunnen veranderen en op basis van het eerste pakketje van de telefoon op het nieuwe IP adres meteen alle nieuwe pakketten naar de telefoon ook naar dat nieuwe IP gestuurd worden.
Daar waar OpenVPN dus een volledig nieuwe verbinding moet opzetten en de handshake doorlopen etc.

OpenVPN gebruikt standaard ook UDP dus dan is het eerder de rest van de opbouw eromheen dan UDP opzich denk ik

Boomster schreef op woensdag 8 maart 2023 @ 16:53:
Alleen nog ff een betrouwbare tut zien te vinden. idee?

pfSense in een VM installeren en zelf ontdekken en doen en niet constant afhankelijk zijn van anderen ?!

@shades684 wat is het verbruik? Temperatuur?

Verbruik heb ik momenteel niet, zal er eens een shelly plug tussen duwen om te kijken

[Voor 10% gewijzigd door shades684 op 09-03-2023 16:53]

nero355 schreef op donderdag 9 maart 2023 @ 16:39:
[..geoblock..]
Maar dan heb je toch ook weer Suricata nodig of toch niet

Nope. Gewoon pfBlockerNG. Wijst zich vanzelf.

Na een lange tijd pfSense als vm onder unraid te hebben gedraaid wil ik deze op eigen hardware gaan draaien om verschillende redenen. Heb me eens verdiept in OPNsense vs pfSense en besloten dat ik OPNsense eens wil gaan proberen. Ik kom momenteel alleen niet uit het volgende probleem:

Ik gebruik een Intel Pentium G4560 CPU, dual core met 4 threads, 16GB ram, en een Intel 1000PT dual gbit kaartje. Op een KPN Glasvezel gbit aansluiting.



Zie het resultaat... Download laat het dik afweten, upload zit strak waar het moet zitten. Kabels tussen de glas converter van KPN naar de patchkast vervangen, 2 verschillende kabels vanaf de meterkast naar de hobbykamer geprobeerd, en vanaf de muur hier ook 2 verschillende kabels geprobeerd naar de bak zelf.

en eerste instantie had ik "Disable hardware checksum offload, disable hardware tcp segmentation offload, disable hardware large receive offload" uitgevinkt. En "VLAN hardware filtering" aangezet omdat die intel dat geloof ik wel moet kunnen, maar die terug naar standaard is ook niet de oplossing. MTU van de wan op 1508 gezet zoals ik hier ergens gelezen had en dan wil speedtest al helemaal niet starten... (staat zonder wat in te vullen op 1492)

Heeft iemand eenig idee in welke richting ik dit moet zoeken?

@GoldenBatt Dat zou kunnen wijzen op een oude pppoe manier dan is de mss 1452 (8 bytes pppoe overhead + 20 bytes ip header overhead +20 Bytes tcp header overhead)
standaard is 1500 -48 is 1452... Kijk eens of je dat ergens kunt instellen en dan opnieuw proberen.

GoldenBatt schreef op donderdag 9 maart 2023 @ 18:11:
Ik gebruik een Intel Pentium G4560 CPU, dual core met 4 threads, 16GB ram, en een Intel 1000PT dual gbit kaartje. Op een KPN Glasvezel gbit aansluiting.

[Afbeelding]

Die afbeelding mag ook kleiner hoor!

Zie het resultaat... Download laat het dik afweten, upload zit strak waar het moet zitten. Kabels tussen de glas converter van KPN naar de patchkast vervangen, 2 verschillende kabels vanaf de meterkast naar de hobbykamer geprobeerd, en vanaf de muur hier ook 2 verschillende kabels geprobeerd naar de bak zelf.

en eerste instantie had ik "Disable hardware checksum offload, disable hardware tcp segmentation offload, disable hardware large receive offload" uitgevinkt. En "VLAN hardware filtering" aangezet omdat die intel dat geloof ik wel moet kunnen, maar die terug naar standaard is ook niet de oplossing. MTU van de wan op 1508 gezet zoals ik hier ergens gelezen had en dan wil speedtest al helemaal niet starten... (staat zonder wat in te vullen op 1492)

Heeft iemand eenig idee in welke richting ik dit moet zoeken?

Ik zou eerst eens iPerf3 door je bakkie heen knallen om zeker te weten dat je hardware in orde is en daarna pas weer met de MTU en PPPoE gaan rommelen!

RobertMe schreef op zaterdag 18 februari 2023 @ 18:24:
Zit even op AliExpress te neuzen naar TopTon N5105 I226 systemen. Zie dan o.a. deze: https://nl.aliexpress.com/item/1005004822965821.html en daarbij staat een console port vermeld. Dus dan verwacht ik dat dit een nieuwer? model is waarbij je dus via een serial console toegang kunt krijgen? Dat zou wel nice zijn.

@TumTum, op het plaatje dat jij hierboven bij het i3 systeem heb gezet staat ook een vijfde RJ45 aansluiting. Kun jij toevallig bevestigen dat dat inderdaad om een console poort gaat en je hiermee dus via een serial console toegang kunt krijgen tot het OS?

Kogel is door de kerk, deze zojuist besteld (N5105 met i226). Zonder RAM & SSD want zou ik nog moeten hebben liggen en voor dat geld koop je hier merk spul en een grotere SSD.
Vervolgens ga ik er gewoon Debian opzetten. Laatst met wat zoeken deze blogpost tegen gekomen van iemand die alles met systemd-networkd regelt v.w.b. het IPv6 verhaal incl. prefix delegation (tijdje terug werd ik, ik meen door @Raven, gewezen op radvd in dit topic, maar dat lijkt best quirky te zijn als de prefix zou veranderen etc). Post gaat dan ook nog eens over Ziggo, dus kan het zo copy/pasten

Verder komt dan uiteraard nog Wireguard er op te draaien, zowel als "server" (voor telefoon buiten de deur etc) als als "client" (om met een VPN boer te verbinden). PiHole erbij. Wellicht de UniFi Controller hier op zetten. En dan een stuk of 6 VLANs meen ik dat ik heb intern. Leuke uitdaging dus voor een "programmer by day".

"Druppel" is dat ik wederom wat dingen wil regelen in mijn huidige UniFi Security Gateway die "niet" kunnen. IPv6 gaat half via UI. Wireguard uiteraard al niet. Policy based routing (VLAN X moet over VPN naar buiten) ook niet. En nu wil ik ook nog IPv6 toepassen op dat VLAN aan de VPN tunnel, en dan het subnet vanaf de VPN opsplitsen in kleinere subnets en dan weer een deel routeren naar een Docker host en dan alles ook nog alles goed dichttimmeren in de firewall. En daar heb ik geen zin in om dat allemaal uit te zoeken om te doen in de JSON config file.
Dus dan maar een nieuwe router (jeukte al langer). Dan valt het firewall verhaal al lekker makkelijk op te lossen met nftables en wat interface based rules (iifname private oifname != vpn drop bv i.p.v. met IPs/subnets werken, geen not equals hebben, ...). Policy based routing valt te doen via systemd-networkd met custom routing tabellen op basis van de interface (i.p.v. met firewall marks). Moet dan helemaal goed komen dus.

RobertMe schreef op donderdag 9 maart 2023 @ 19:09:
[...]

"Druppel" is dat ik wederom wat dingen wil regelen in mijn huidige UniFi Security Gateway die "niet" kunnen. IPv6 gaat half via UI. Wireguard uiteraard al niet.

Heel herkenbaar, draai de unifi controller nu in een lxc container en mijn wireguard draait onder pfSense.

Mag ik vragen waarom je voor plain debian gaat i.p.v. proxmox? Ik heb zelf lang zitten twijfellen maar het idee dat ik op een dag als ik pfSense beu ben, zomaar naar opnsense kan overstappen heeft voor mij uiteindelijk de doorslag gegeven. (Dat en de optie tot migreren en backup te maken voor als ik het stuk maak)

Kabouterplop01 schreef op donderdag 9 maart 2023 @ 18:43:
@GoldenBatt Dat zou kunnen wijzen op een oude pppoe manier dan is de mss 1452 (8 bytes pppoe overhead + 20 bytes ip header overhead +20 Bytes tcp header overhead)
standaard is 1500 -48 is 1452... Kijk eens of je dat ergens kunt instellen en dan opnieuw proberen.

Dit al snel geprobeerd, maar dat lijkt niet te werken. Glasvezel is hier ook pas in 2019 opgeleverd en vermoede al ergens dat deze vlieger niet opging. Oude pfSense stond ook altijd op 1500 uit mijn hoofd.

nero355 schreef op donderdag 9 maart 2023 @ 18:45:
[...]

Die afbeelding mag ook kleiner hoor!


[...]

Ik zou eerst eens iPerf3 door je bakkie heen knallen om zeker te weten dat je hardware in orde is en daarna pas weer met de MTU en PPPoE gaan rommelen!

Sorry, die afmeting stond standaard in de img text en had het niet zo snel door, heb hem al gehalveerd

iPerf3 is een goeie, nooit veel mee gedaan maar gaan eens even zoeken en testen. Al vermoed ik ergens dat dit niet het geval moet zijn, de bak waar unraid op draait zit ook een G4560 in, daar haalde ik ondanks de virtualisatie laag en andere belasting er bij ook wel 500mbit. Eens zien of we kunnen achterhalen waar het aan ligt


Update @nero355

Iperf was ook minder een succes. Daarna eens een reset gedaan en de interfaces omgedraaid. Dus de wan poort was nu plots lan en andersom. Maar precies het zelfde (down langzaam, up volle snelheid)


Upload naar opnsense, cpu usage host total: 62.73


Download vanaf opnsense, cpu useage host total 8.83

Beide poorten draaien gbit, ik ga nog eens even wat verder zoeken want ergens gaat er iets niet helemaal lekker...

[Voor 24% gewijzigd door GoldenBatt op 09-03-2023 21:12]

shades684 schreef op donderdag 9 maart 2023 @ 19:39:
Mag ik vragen waarom je voor plain debian gaat i.p.v. proxmox? Ik heb zelf lang zitten twijfellen maar het idee dat ik op een dag als ik pfSense beu ben, zomaar naar opnsense kan overstappen heeft voor mij uiteindelijk de doorslag gegeven. (Dat en de optie tot migreren en backup te maken voor als ik het stuk maak)

Tsja, Proxmox. Ik gebruik het nu op mijn (3 jaar oude) server / NAS. Maar vind het niet perse toegevoegde waarde hebben. Draai in principe alles in Docker. Gevolg is dat ik nu op Proxmox allemaal LXCs heb die in de verschillende VLANs hangen en daarin Docker draaien. LXC is daarbij eigenlijk puur om Docker in een VLAN te duwen. Dus voelde nogal als overkill. Proxmox zelf doe ik ook niks mee. Toevallig een of twee maanden terug eens wat door de GUI geklikt en wat statistieken bekeken. Dat heb ik in die drie jaar dus nog nooit eerder gedaan.
Met BF een Chinese mini PC met N5105 gekocht en al een aantal zaken daar naartoe over gezet. Draait nu ook plain Debian. Met wat onderzoeken uitgevogeld hoe Docker te latwn doen wat ik wil (bridge die over specifieke interface routeert naar buiten toe) en klaar. Draait ZFS on root dus ik kan gewoon het volledige OS snapshotten en send & receiven naar een ander systeem (Proxmox bak dus ).

Dus tsja, waarim geen Proxmox: de reden waarom ik het nu heb draaien gaat al niet/minder op voor een router. En de echte reden heb ik intussen ook al anders opgelost. Maar uiteraard moet je wel van een uitdaging houden om het allemaal uit te puzzelen. Anders is een *sense als router en bv een Proxmox voor scheiding over VLANs inderdaad de betere optie.

Ik had zeer zwakke upload bij mijn OPNsense test.
Ik heb om te testen eerst IDS/IPS en ZenArmor weer uit gezet.
Snelheden zijn nu goed, dus moet dat later weer testen.

RobertMe schreef op donderdag 9 maart 2023 @ 19:09:
Kogel is door de kerk, deze zojuist besteld (N5105 met i226). Zonder RAM & SSD want zou ik nog moeten hebben liggen en voor dat geld koop je hier merk spul en een grotere SSD.
Vervolgens ga ik er gewoon Debian opzetten. Laatst met wat zoeken deze blogpost tegen gekomen van iemand die alles met systemd-networkd regelt v.w.b. het IPv6 verhaal incl. prefix delegation (tijdje terug werd ik, ik meen door @Raven, gewezen op radvd in dit topic, maar dat lijkt best quirky te zijn als de prefix zou veranderen etc).

Dit is ook wel interessant : https://blog.g3rt.nl/systemd-networkd-vlans-howto.html

Misschien lost dat mijn probleem op met services/deamons die worden gestart VOORDAT de VLAN Interface UP is en je een hoop tweaks moet toepassen om daar een beetje omheen te werken en dan nog steeds niet altijd een betrouwbare config hebt!

_{Daarbij gaat het om een Raspberry Pi 3B met RaspBian trouwens...}

Wellicht de UniFi Controller hier op zetten.

Ik neem aan dat je dit bericht al hebt gezien of in ieder geval zal opvallen : shades684 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"

shades684 schreef op vrijdag 10 maart 2023 @ 09:13:
Misschien niet belangrijk voor degene die de n5105 of n6005 als bare bone router gebruiken maar ik liep er tegenaan dat die processoren geen avx ondersteunen waardoor je mongo 5 niet kan gebruiken.

Dat houd in dat je bijvoorbeeld de laatste versie van graylog niet aan de praat krijgt en in de toekomst de Unifi controller ook niet, mochten die overgaan naar een nieuwe versie van mongo.

Dat is best wel minder als het straks echt die kant op gaat...

GoldenBatt schreef op donderdag 9 maart 2023 @ 19:56:
iPerf3 is een goeie, nooit veel mee gedaan maar gaan eens even zoeken en testen. Al vermoed ik ergens dat dit niet het geval moet zijn, de bak waar unraid op draait zit ook een G4560 in, daar haalde ik ondanks de virtualisatie laag en andere belasting er bij ook wel 500mbit. Eens zien of we kunnen achterhalen waar het aan ligt


Update @nero355

Iperf was ook minder een succes. Daarna eens een reset gedaan en de interfaces omgedraaid. Dus de wan poort was nu plots lan en andersom. Maar precies het zelfde (down langzaam, up volle snelheid)

[Afbeelding]
Upload naar opnsense, cpu usage host total: 62.73

[Afbeelding]
Download vanaf opnsense, cpu useage host total 8.83

Beide poorten draaien gbit, ik ga nog eens even wat verder zoeken want ergens gaat er iets niet helemaal lekker...

Ik vrees dat je een brakke NIC te pakken hebt

GoBieN-Be schreef op vrijdag 10 maart 2023 @ 01:16:
Ik had zeer zwakke upload bij mijn OPNsense test.
Ik heb om te testen eerst IDS/IPS en ZenArmor weer uit gezet.
Snelheden zijn nu goed, dus moet dat later weer testen.

Noem eens wat software versies en gebruikte hardware en zo

Ik ben nu al een dag aan het klooien om pfsense geconfigureerd te krijgen met wireguard, dit is een uitdaging.
Ik om er niet uit.
Ik wil dus via wireguard op mijn pfsense komen en dan met het ipadres van mijn pfsense bak het internet op.
Dit is dus GEEN split tunnel.

Ik krijg het niet voor elkaar. Vooralsnog is Openvpn iets makkelijker te configureren.
Toch wil ik het niet opgeven. Iemand een goede video op YouTube of site waar het wordt uitgelegd?

nero355 schreef op vrijdag 10 maart 2023 @ 14:57:
[...]

Ik vrees dat je een brakke NIC te pakken hebt


[...]

Noem eens wat software versies en gebruikte hardware en zo

Nee, die Nic heb ik eerder gebruikt, dat leek hem niet te zijn. Ik gooi het op een bugje ofzo. Had eerder lopen kloten om energie verbruik omlaag te krijgen (cpu continu op max aantal mhz te draaien) en heb dingen lopen uitsluiten door keer te booten zonder de nic. Had al vele dingen geprobeerd en wou een schoon beginnen voor het troubleshooten, en heb later een nieuwe installatie gedaan, en weg was mijn probleem. Vraag me niet hoe, maar ondertussen heb ik netjes 930Mbps down en 940Mbps up.

Kwam ook genoeg info tegen op internet van mensen die beetje zelfde probleem hadden, maar dat als ze de "parent interface" (dus de nic waar de vlans op draaide" een assignment gaf en die op enabled zou zetten het probleem ook opgelost moest wezen. Maar dat werkte ook niet. (en is wellicht ook al gefixt met bugfix oid)

Op naar de volgende stap, iptv werkend krijgen met eigen stb vlan zodat de vrouw weer gelukkig is

GoBieN-Be hinte wellicht op idee dat ik eens kon kijken naar IDS/IPS wellicht? Die had ik nog uitstaan.

nero355 schreef op vrijdag 10 maart 2023 @ 14:57:
[...]

Dit is ook wel interessant : https://blog.g3rt.nl/systemd-networkd-vlans-howto.html

Misschien lost dat mijn probleem op met services/deamons die worden gestart VOORDAT de VLAN Interface UP is en je een hoop tweaks moet toepassen om daar een beetje omheen te werken en dan nog steeds niet altijd een betrouwbare config hebt!

Zou zomaar kunnen. Alhoewel de meeste services sowieso zouden moeten wachten op network-online. En ik mag toch aannemen dat "alternatieve" methodes daar ook rekening mee houden (dus bv Debians antieke /etc/network/interfaces). Kan mij dan weer wel indenken dat het niet altijd goed gaat als je een dynamischer systeem gebruikt, zoals NetworkManager. Die dus veel meer gericht is op roamen etc.

[...]

Ik neem aan dat je dit bericht al hebt gezien of in ieder geval zal opvallen : shades684 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"

Heb ik vanmorgen gelezen ja. Maar... toevallig eerder deze week de UniFi Controller over gezet van de grote bak naar bovengenoemde mini PC. En draait dus gewoon (maar zou dan blijkbaar ook pas gaan spelen als Ubiquiti upgrade naar een nieuwere Mongo versie, en gezien het update beleid van Ubiquiti... Kans is groter dat ik dan al 3 servers verder ben).

Boomster schreef op vrijdag 10 maart 2023 @ 15:41:
Ik ben nu al een dag aan het klooien om pfsense geconfigureerd te krijgen met wireguard, dit is een uitdaging.
Ik om er niet uit.
Ik wil dus via wireguard op mijn pfsense komen en dan met het ipadres van mijn pfsense bak het internet op.
Dit is dus GEEN split tunnel.

Ik krijg het niet voor elkaar. Vooralsnog is Openvpn iets makkelijker te configureren.
Toch wil ik het niet opgeven. Iemand een goede video op YouTube of site waar het wordt uitgelegd?

Er is gewoon documentatie over te vinden bij pfSense zelf :
- https://docs.netgate.com/...n/wireguard/settings.html
- https://docs.netgate.com/.../wireguard/configure.html

Al eens naar gekeken

nero355 schreef op vrijdag 10 maart 2023 @ 16:21:
[...]

Er is gewoon documentatie over te vinden bij pfSense zelf :
- https://docs.netgate.com/...n/wireguard/settings.html
- https://docs.netgate.com/.../wireguard/configure.html

Al eens naar gekeken

zeker.
echter: ik heb nu mijn telefoon verbonden met PFsense via wireguard.
alleen komt er geen verkeer doorheen.
Ik zoek me nu rot naar de goede regels.
lastig.

Ik heb OPNsense baremetal op een N5100.
Snelheden waren in het begin goed.

Maar na van alles tweaken en inschakelen Suricata (IDS) en inschakelen Sensei ZenArmor was mijn upload plots maar 0,7Mbps meer, terwijl mijn download nog steeds de verwachte 290Mbps was.

Ik heb dan Suricata IDS, CrowdSec en Sensei ZenArmor uitgeschakeld en snelheden waren terug goed.

Ik denk dat ik eens ga testen met Proxmox op mijn N5100 en dan OPNsense in een VM, dit om wellicht nog meer energiebesparing te kunnen doen en wat beter zicht op eventuele problemen (console toegang VM).

[Voor 23% gewijzigd door GoBieN-Be op 10-03-2023 17:24]

nero355 schreef op donderdag 9 maart 2023 @ 16:39:

@xbeam heeft een keer mooi uitgelegd waarom dat geen goed idee is tegenwoordig

Korte uitleg.
Omdat wij geen Amerika zijn en de DNS van je provider door wetgeving/verplichte wassing met andere klanten meer privacy bied dan bijv cloudflare en consorten. daarnaast is overduidelijk waarom Google een gratis DNS aanbiedt en dat is niet voor jouw privacy maar juist omdat alles over willen weten en verkopen. Mede hierdoor is 8.8.8.8 in strijd is met GDPR net zoals Google fonts trouwens

[Voor 17% gewijzigd door xbeam op 12-03-2023 01:17]

xbeam schreef op zaterdag 11 maart 2023 @ 17:13:
Korte uitleg.
Omdat wij geen Amerika zijn en de DNS van je provider door wetgeving/verplichte wassing met andere klanten meer privacy bied dan bijv cloudflare en consorten en daarnaast is de enige reden dat Google een gratis DNS aanbied is juist omdat alles over willen weten en verkopen waardoor 8.8.8.8 in strijd is met GDPR net zoals Google fonts

[YouTube: Tweakers Digital Meet-up Privacy & Security - Bert Hubert]

@_AcS_ dus

Goed punt, maar waarom zijn 8.8.8.8 etc dan nog niet geblokkeerd in Europa?

nero355 schreef op zaterdag 11 maart 2023 @ 18:34:
[...]

@_AcS_ dus

Ik had het aangepast

Videopac schreef op zaterdag 11 maart 2023 @ 19:24:
Goed punt, maar waarom zijn 8.8.8.8 etc dan nog niet geblokkeerd in Europa?

Waarom wel? Google doet niets strafbaars het is privacy technische gewoon niet verstandig en daardoor zakelijk niet zomaar niet toegestaan om 8.8.8.8 te gebruiken.

[Voor 48% gewijzigd door xbeam op 12-03-2023 01:36]

Goedemiddag specialisten


Ik wil mijn thuisnetwerk beter instellen. Om dit a). veiliger en b). beter schaalbaar te maken,

Mijn idee is om een NUC te plaatsen met VMWare (of andere hypervisor) en daarop pfsense of OPNsense te draaien. En evt. nog wat fileserver / mail / VPN servers. En evt. de Domoticz server als VM erop te plaatsen.

Voornaamste doel is dus Firewalling en netwerk reguleren (met VLAN 's?) .
Ik wil dan:

* netwerk voor mij / mijn vrouw: kantoor > deze moet ik ook voorrang/bandbreedte kunnen geven,
* netwerk: thuis (de standaard rommel, TV, internet, Playstation van de kinderen, telefoons, etc.
* apart netwerk voor domotica (?) > ivm remote acces
* apart netwerk voor "rommel" (IP camera 's etc) > ook open poorten tbv remote acces
* netwerk voor gasten
* netwerk voor VPN / DMZ / remote access (?)


Huidige setup:
- Ziggo box met wifi
- deels bekabeld naar gigabit switches en één Ubiquiti UniFi AP

Like so:




En dan moet het ongeveer zo worden:



Twee vragen:
1. is bovenstaande opzet een goed plan, of compleet poep?
2. Zou het kunnen werken (onderstaande kopen) met deze hardware:
- één goeie bare metal box met 2x LAN en 1x Wifi AP onboard als vervanging van de Ziggo AP
- twee managed switches


EDIT: ik zie denk ik meteen al een probleem met de wifi clients in het 'normale' VLAN en kantoor VLAN netwerk
VLAN 192.168.3.x en VLAN 192.168.10.x worden over hetzelfde AP aangeboden. Dus dat zouden dan twee netwerken over hetzelfde AP zijn. Dat gaat denk ik niet werken want dat kunnen AP 's niet.. (of wel?)

[Voor 75% gewijzigd door bord4kop op 13-03-2023 19:57]

bord4kop schreef op maandag 13 maart 2023 @ 15:55:


EDIT: ik zie denk ik meteen al een probleem met de wifi clients in het 'normale' VLAN en kantoor VLAN netwerk

En dat is?

Ook ik ben aan het rondkijken.
ik heb een kan 1000/1000 Gbit/s verbinding en wil naast dat ik de volle snelheid zowel down als up kan trekken ook ips/ids draaien zonder snelheidsverlies.

Wat voor processor heb je dan minimaal nodig?

bord4kop schreef op maandag 13 maart 2023 @ 15:55:
Goedemiddag specialisten


Ik wil mijn thuisnetwerk beter instellen. Om dit a). veiliger en b). beter schaalbaar te maken,

Mijn idee is om een NUC te plaatsen met VMWare (of andere hypervisor) en daarop pfsense of OPNsense te draaien. En evt. nog wat fileserver / mail / VPN servers. En evt. de Domoticz server als VM erop te plaatsen.

Voornaamste doel is dus Firewalling en netwerk reguleren (met VLAN 's?) .
Ik wil dan:

* netwerk voor mij / mijn vrouw: kantoor > deze moet ik ook voorrang/bandbreedte kunnen geven,
* netwerk: thuis (de standaard rommel, TV, internet, Playstation van de kinderen, telefoons, etc.
* apart netwerk voor domotica (?) > ivm remote acces
* apart netwerk voor "rommel" (IP camera 's etc) > ook open poorten tbv remote acces
* netwerk voor gasten
* netwerk voor VPN / DMZ / remote access (?)


Huidige setup:
- Ziggo box met wifi
- deels bekabeld naar gigabit switches en één Ubiquiti UniFi AP

Like so:

[Afbeelding]


En dan moet het ongeveer zo worden:

[Afbeelding]

Twee vragen:
1. is bovenstaande opzet een goed plan, of compleet poep?
2. Zou het kunnen werken (onderstaande kopen) met deze hardware:
- één goeie bare metal box met 2x LAN en 1x Wifi AP onboard als vervanging van de Ziggo AP
- twee managed switches


EDIT: ik zie denk ik meteen al een probleem met de wifi clients in het 'normale' VLAN en kantoor VLAN netwerk
VLAN 192.168.3.x en VLAN 192.168.10.x worden over hetzelfde AP aangeboden. Dus dat zouden dan twee netwerken over hetzelfde AP zijn. Dat gaat denk ik niet werken want dat kunnen AP 's niet.. (of wel?)

Meerdere VLANs op een wifi-toegangspunt kan prima met OpenWrt.

Videopac schreef op dinsdag 14 maart 2023 @ 10:04:
[...]

Meerdere VLANs op een wifi-toegangspunt kan prima met OpenWrt.

Ok, dank!
Ik ben van plan om de Unifi te gebruiken en de onboard wifi in de NUC.
en misschien de Ziggo box ook als ik die op een appart VLAN krijgen (<= uitzoeken)

Ben inmiddels verder gegaan;
De hardware is besteld, ESXi op USB staat klaar.


En dit is het lijstje met netwerken:




Zover ik heb begrepen moet ik 5 Vlans maken. Volgens mij is met de huidige IP reeks alles gescheiden.
Voor de zekerheid -en duidelijkheid- heb ik de DMZ reeks een compleet andere reeks gegeven.

En dan moet ik straks die VLANS zo configureren dat ze routeren naar -uiteindelijk- de interne poort van de Firewall.
Dat doe ik met 5 scopes (met 5 gateways).

Nu nog ff uitzoeken hoe het ook weer zat met VLANS, Tagged, etc. (dus wat leesvoer, te beginnen o.a. hier, Hier, hier )

Vraagje, is het mogelijk om met OPNsense je bak meteen aan te sluiten via de FTU of de NT zodat er geen traditionele modem aan te pas hoeft te komen? Of vraag ik nu iets heel geks?

Cybergamer schreef op dinsdag 14 maart 2023 @ 19:42:
Vraagje, is het mogelijk om met OPNsense je bak meteen aan te sluiten via de FTU of de NT zodat er geen traditionele modem aan te pas hoeft te komen?

AON/GPON/XGS-PON

Of vraag ik nu iets heel geks?

Eerder iets dat al heel vaak is uitgelegd en je in principe ook wel zelf kan vinden!

nero355 schreef op dinsdag 14 maart 2023 @ 19:55:
Eerder iets dat al heel vaak is uitgelegd en je in principe ook wel zelf kan vinden!

Ik geloof dat ik toch lang genoeg meedraai op GoT om dat zelf ook wel te bedenken... Ow wacht! Dat heb ik gedaan!

Vandaar dat ik mijn vraag hier stel voor wat duidelijkheid, ik ben er helemaal niet in thuis namelijk (draai net een maand of 2 OPNSense icm AdGuard op een leuk boxje en ben nog druk lerende). En de verschillen in die glasvezelkaarten zeggen mij niets.... Maar dank je wel voor de keywords!

[Voor 8% gewijzigd door Cybergamer op 14-03-2023 20:32]

Cybergamer schreef op dinsdag 14 maart 2023 @ 20:29:
[...]


Ik geloof dat ik toch lang genoeg meedraai op GoT om dat zelf ook wel te bedenken... Ow wacht! Dat heb ik gedaan!

Vandaar dat ik mijn vraag hier stel voor wat duidelijkheid, ik ben er helemaal niet in thuis namelijk (draai net een maand of 2 OPNSense icm AdGuard op een leuk boxje en ben nog druk lerende). En de verschillen in die glasvezelkaarten zeggen mij niets.... Maar dank je wel voor de keywords!

Maar als je zelf niet weet wat voor aansluiting je nu hebt, hoe moeten wij de vraag dan kunnen beantwoorden? Vermeld dan op zijn minst welke apparatuur je nu van de glasvezelboer hebt. Zodat de kenners op basis daarvan weten (of kunnen opzoeken) welke techniek van toepassing is.

RobertMe schreef op dinsdag 14 maart 2023 @ 20:34:
[...]

Maar als je zelf niet weet wat voor aansluiting je nu hebt, hoe moeten wij de vraag dan kunnen beantwoorden? Vermeld dan op zijn minst welke apparatuur je nu van de glasvezelboer hebt. Zodat de kenners op basis daarvan weten (of kunnen opzoeken) welke techniek van toepassing is.

Wat is daar nou de lol aan? Ik ben aan het kijken wat voor opties ik allemaal heb. XD

Nee, serieus. Ik denk er over na om van Ziggo naar KPN over te gaan, maar ik wil geen zotte dingen gaan doen op dat netwerk. Met Ziggo heb ik gewoon het modem in bridge mode staan, maar als ik over ga wil ik gewoon eens kijken of het mogelijk is om het modem over te slaan.

En met de keywords van @nero355 denk ik wel dat ik er een beter zicht op krijg. Eigenlijk is dit nog allemaal vrij nieuw voor mij. Maar erg leuk om te leren!

Cybergamer schreef op dinsdag 14 maart 2023 @ 20:39:
[...]


Wat is daar nou de lol aan? Ik ben aan het kijken wat voor opties ik allemaal heb. XD

Nee, serieus. Ik denk er over na om van Ziggo naar KPN over te gaan, maar ik wil geen zotte dingen gaan doen op dat netwerk. Met Ziggo heb ik gewoon het modem in bridge mode staan, maar als ik over ga wil ik gewoon eens kijken of het mogelijk is om het modem over te slaan.

En met de keywords van @nero355 denk ik wel dat ik er een beter zicht op krijg. Eigenlijk is dit nog allemaal vrij nieuw voor mij. Maar erg leuk om te leren!

Nouja, het eerste ding is dan dus: kun je überhaupt glasvlezel aansluiten op het OPNSense systeem? Als in: zit er een SFP / SFP+ slot in waar je een glasvezel module in kunt plaatsen? Als je dat niet hebt dan ontkom je dus sowieso niet er aan om "iets dat glasvezel omzet naar UTP" te gebruiken, wat one way or another dus al geleverd wordt door de provider.

En wat ook nog eens speelt is dat volgens mij alle providers traditioneel AON hebben aangelegd. En dan hoef je maar de juiste glasvezel module te kopen, in de router te stoppen, en klaar (evt VLANs configureren etc). Maar nieuwe netwerken zijn PON / XGS-PON. En dan is de glasvezel techniek op zichzelf "complexer" in dat er op 1 vezel meerdere klanten zitten. Alleen heeft bv elke klant een eigen "kleur". Dat betekend dus dat elke "ontvanger" moet weten welke signalen die wel en niet mag ontvangen (en die signalen zijn AFAIK ook versleuteld, dus de "ontvanger" moet ook de sleutel daarvoor hebben). Dus dat maakt het verhaal uberhaupt een stuk complexer om de apparatuur van de provider te vervangen. Als die mogelijkheid er uberhaupt al is. Want volgens mij is dat niet echt het geval. Hoogstens dat je een provider "alles in 1 modem/router" (dus glasvezel in, 4x ethernet + wifi uit) kunt vervangen door een door de provider aangeleverd "modem" dat puur glasvezel => WAN doet alla bridge mode. En in dat geval kun je je OPNSense box dus gewoon aansluiten aangezien je een doodnormale RJ45 aansluiting / ethernet kabel hebt.

RobertMe schreef op dinsdag 14 maart 2023 @ 20:50:
[...]
En in dat geval kun je je OPNSense box dus gewoon aansluiten aangezien je een doodnormale RJ45 aansluiting / ethernet kabel hebt.

Ow, dus als ik het goed begrijp kan ik de OPNSense gewoon aansluiten op dat zgn. NT kastje van KPN zodra ik de modem als Bridge werkende heb? Dat klinkt simpel genoeg.

[Voor 3% gewijzigd door Cybergamer op 14-03-2023 20:58]

Cybergamer schreef op dinsdag 14 maart 2023 @ 20:39:
[...]


Wat is daar nou de lol aan? Ik ben aan het kijken wat voor opties ik allemaal heb. XD

Nee, serieus. Ik denk er over na om van Ziggo naar KPN over te gaan, maar ik wil geen zotte dingen gaan doen op dat netwerk. Met Ziggo heb ik gewoon het modem in bridge mode staan, maar als ik over ga wil ik gewoon eens kijken of het mogelijk is om het modem over te slaan.

En met de keywords van @nero355 denk ik wel dat ik er een beter zicht op krijg. Eigenlijk is dit nog allemaal vrij nieuw voor mij. Maar erg leuk om te leren!

In principe krijg je een ONT of mediaconverter (afhankelijk van de type aansluiting) die de glasvezel overzet naar een ethernet aansluiting welke over de FTU wordt geplaatst. Vanuit daar wordt de Experiabox router aangesloten van de provider (of Fritzbox als je daarvoor kiest). Deze Experiabox kun je vervangen met elke andere router die VLAN op WAN ondersteund. Los daarvan is het technisch mogelijk om de glasvezel rechtstreeks aan te sluiten op een router die dat ondersteund, maar dan heb je wel de juiste instellingen en hardware daarvoor nodig. KPN heeft een tool online waarop je het kunt aanvragen om eigen hardware te gebruiken en waarbij ze ook de juiste technische gegevens leveren over het type signaal. Je dient dan wel een patchcover te hebben voor over de FTU heen om op een juiste manier de aansluiting naar de router te krijgen.

[Voor 5% gewijzigd door mrdemc op 14-03-2023 21:08]

@mrdemc Dank je wel voor de heldere uitleg (en jullie ook @RobertMe en @nero355!).

Ik denk dat ik hier wel verder mee kom. Altijd leuk een nieuw projectje!

Valt niet helemaal onder zelfbouw en misschien is het eigenlijk irrelevant geworden voor dit draadje, maar misschien hebben anderen er iets aan:

Mijn hele netwerk bestaat uit spul van Ubiquiti UniFi. Als router heb ik een UniFi Security Gateway. Met deze USG (met wat standaard firewall rules, DPI aan, IDS/IPS uit) haal ik de volledige snelheid met mijn Gbit glasvezellijn van KPN. In speedtests haal ik 930/930 Mbit/s. Echter is het verbruik van deze router 8,5W. Ik vind dat nogal veel en heb gezocht naar een zuinigere variant, waaronder zelfbouw. In eerste instantie kwam ik de Topton doosjes tegen, maar het verbruik is ongeveer gelijk aan de USG, dus daar viel geen/weinig winst te halen. Daarna kwam ik de NanoPi R4S/R6S tegen. Zijn zeer zuinig met 2 a 3W aan verbruik, maar het is een prijzige optie, en er is nog geen officiële ondersteuning van OpenWRT voor de R6S. Heeft me toch doen twijfelen. Uiteindelijk kwam ik de Edgerouter X tegen. Voor een paar tientjes heb je er al één en je kan er prima OpenWRT op draaien. Echter haal ik niet meer de volledige snelheid: ik zit momenteel op 890/920 Mbit/s (met hardware offload, zonder hardware offload zijn de snelheden rond de 400/400 Mbit/s), maar ik ben erg blij met het verbruik, slechts 2,2W.

Nu weer wat verder met mijn projectje:

bord4kop schreef op maandag 13 maart 2023 @ 15:55:
Goedemiddag specialisten


Ik wil mijn thuisnetwerk beter instellen. Om dit a). veiliger en b). beter schaalbaar te maken,

Mijn idee is om een NUC te plaatsen met VMWare (of andere hypervisor) en daarop pfsense of OPNsense te draaien. En evt. nog wat fileserver / mail / VPN servers....

en daarna:

bord4kop schreef op dinsdag 14 maart 2023 @ 17:18:
[...]

... hardware aangeschaft .. verder met ontwerp..

Nu heb ik alles in Excel gezet. En ook uitgetekend;




Ik denk dat het aardig klopt (ofnie!?)

Op deze manier heb ik een management (v)LAN
En een (soort virtuele) DMZ waarin ik de FW en VPN kan plaatsen.

De VLAN 's 00 en 10 zijn netjes gescheiden en alleen op de vSwitches aanwezig.
En in theorie moet ik met een range in VLAN10 intern management kunnen uitvoeren.
En vandaar ook naar VLAN00 -> om de VMWARE host / Netwerk management te kunnen uitvoeren.

Of kan ik daar nooit komen vanachter een fysieke switch?.. hmmm
dat mot ik nog ff uitzoeken...

VLANS 20 t/m 50 kunnen niet bij elkaar kijken en moeten geconfigureerd worden op de vSwichtes en op de fysieke switches.
Dan kan ik met 4 DHCP scopes (met eigen gateways en DNS) de clients in de diverse VLANs bedienen. Zonder dat ze elkaar zien of kunnen irriteren.

Maar misschien doe ik het wel compleet fout, dan hoor ik het graag!

Je hebt geen vSwitch nodig om vlans te scheiden, dat kan met Port Groups.

GioStyle schreef op woensdag 15 maart 2023 @ 15:11:
... de Edgerouter X tegen. Voor een paar tientjes heb je er al één en je kan er prima OpenWRT op draaien. ... maar ik ben erg blij met het verbruik, slechts 2,2W.

Leuk verbruik, maar het is niet "paar tientjes", maar 60$? uitvoering: Ubiquiti EdgeRouter X
En, je heb ook een apart WiFi router nodig?

andru123 schreef op woensdag 15 maart 2023 @ 17:39:
[...]

Leuk verbruik, maar het is niet "paar tientjes", maar 60$? uitvoering: Ubiquiti EdgeRouter X
En, je heb ook een apart WiFi router nodig?

Een Ubiquiti Edgerouter X kost nieuw €60 en een NanoPi R6S kost je ruim over de €200. Ik heb mijn Edgerouter X van Marktplaats vandaan voor inderdaad slechts een paar tientjes. Ik moet er wel bij zeggen dat een R6S 2.5Gbit poorten heeft, terwijl de Edgerouter X slechts 1Gbit poorten heeft, dus niet echt heel vergelijkbaar, maar het gebrek aan ondersteuning voor OpenWRT gaf wel de doorslag om niet voor de R6S te gaan.

Ik heb geen aparte WiFi router, maar losse access points. De Edgerouter X is nu mijn router, de rest van mijn netwerk is nog steeds UniFi (PoE switch, ap's, camera's, Cloudkey etc.).

GioStyle schreef op woensdag 15 maart 2023 @ 18:02:
Ik heb geen aparte WiFi router, maar losse access points. De Edgerouter X is nu mijn router, de rest van mijn netwerk is nog steeds UniFi (PoE switch, ap's, camera's, Cloudkey etc.).

En wat is verbruik van een AP? Die naast de Edgerouter staat? Ik vraag omdat ik zoek een zuinige router/WiFi, en bijv Asus Ax-3000 (die ook een custom rom aan kan), verbruikt 6W. Wel Asus-Wrt (weet ik niet of OpenWrt er op kan)

Ik gebruik hier meerdere Ubiquiti UniFi 6 Lites om volledige WiFi dekking in huis te krijgen. Het verbruik ligt tussen de 4 en 5W per stuk. Hiervoor had ik Ubiquiti UniFi AP AC LR's, als ik me het goed herinner lag het verbruik van die ap rond de 3,5W.

GioStyle schreef op woensdag 15 maart 2023 @ 18:27:
Ik gebruik hier meerdere Ubiquiti UniFi 6 Lites om volledige WiFi dekking in huis te krijgen. Het verbruik ligt tussen de 4 en 5W per stuk. Hiervoor had ik Ubiquiti UniFi AP AC LR's, als ik me het goed herinner lag het verbruik van die ap rond de 3,5W.

Interessant, volgens specs op tweakers, verbruikt Lite 12W. Maar met 4W is een prima keuze, ik weet geen enkele andere WiFi6 router die minder verbruikt.

andru123 schreef op woensdag 15 maart 2023 @ 18:35:
Interessant, volgens specs op tweakers, verbruikt Lite 12W. Maar met 4W is een prima keuze, ik weet geen enkele andere WiFi6 router die minder verbruikt.

Die 12 Watt is waarschijnlijk het maximale verbruik op het moment dat zo'n ding onder 100% LOAD staat te stampen en valt prima binnen de limiet van PoE 802.3af @ 15 Watt

andru123 schreef op woensdag 15 maart 2023 @ 18:35:
[...]

Interessant, volgens specs op tweakers, verbruikt Lite 12W. Maar met 4W is een prima keuze, ik weet geen enkele andere WiFi6 router die minder verbruikt.

Als je hier de specificaties bekijkt staat er:

Max. power consumption 12W

Dit gaat om een theoretisch maximum verbruik. Tijdens opstarten of intensief gebruik heb ik een ap nog nooit boven de 6W gezien.

Hierbij mijn power metingen voor de topton 5105 met proxmox met momenteel
1 lxc container met de unifi controller
2 vms waarbij 1 met pfsense en 1 met ubuntu met daarbinnen docker (acme, haproxy, mqtt, zigbee2mqtt, home assistant, mariadb etc)



Ondertussen heb ik 3
ethernetpoorten in gebruik, waarvan 2 op passthrough direct naar pfsense. Gisteren deed ik namelijk een reboot en kreeg niets meer een IP adres, waardoor zelfs mijn unifi AP's er mee ophielden, erg lastig debuggen als je computers thuis alleen nog maar wifi doen. De extra poort lijkt ongeveer 1.5W te gebruiken, wat me doet vermoeden dat het base systeem dus ongeveer 5W gebruikt.

Nu eerst eens mijn acme en haproxy van docker naar pfsense overhevelen en dan kijken of we het stroom gebruik misschien nog wat terug kunnen dringen

Weten jullie misschien in welke categorie V&A ik een APU1D4 kan plaatsen?

shades684 schreef op woensdag 15 maart 2023 @ 20:54:
Hierbij mijn power metingen voor de topton 5105 met proxmox met momenteel
1 lxc container met de unifi controller
2 vms waarbij 1 met pfsense en 1 met ubuntu met daarbinnen docker (acme, haproxy, mqtt, zigbee2mqtt, home assistant, mariadb etc)

[Afbeelding]

Ondertussen heb ik 3
ethernetpoorten in gebruik, waarvan 2 op passthrough direct naar pfsense. Gisteren deed ik namelijk een reboot en kreeg niets meer een IP adres, waardoor zelfs mijn unifi AP's er mee ophielden, erg lastig debuggen als je computers thuis alleen nog maar wifi doen. De extra poort lijkt ongeveer 1.5W te gebruiken, wat me doet vermoeden dat het base systeem dus ongeveer 5W gebruikt.

Nu eerst eens mijn acme en haproxy van docker naar pfsense overhevelen en dan kijken of we het stroom gebruik misschien nog wat terug kunnen dringen

5W lijkt mij relatief onzuinig eerlijk gezegd. Ik heb een mini PCtje met N5105 en die loopt met Debian Bookworm op 2 - 2,5W. Uiteraard wel maar 1, 1Gbit/s, NIC. Maar jij poogt ook de NICs er vanaf te trekken. Wat ik daarbij wel zag is dat Proxmox een (extreem) onstabiel gebruik veroorzaakt. Iets waar Debian Bookworm geen last van had. Mede daarom voor een kaal systeem gegaan.

En meer ontopic. Ik heb een TopTon systeempje onderweg, om een USG te vervangen. Had wel een zuiniger systeem verwacht, maar afgaande op de post van @GioStyle houd ik mijn hart intussen enigszins vast.

@RobertMe

Mijn ervaring is dat wanneer je een hypervisor draait met daarop VM's dat dat altijd leidt tot meer overhead (en dus meer stroomverbruik). Je kan dat inderdaad voorkomen door zoveel mogelijk bare metal te draaien. Door de jaren heen ben ik van Hyper-V (Windows) naar KVM/QEMU (Debian) naar Docker (Debian) gegaan. Elke verandering resulteerde in minder verbruik. Daarnaast wordt hier vaak pfSense gebruikt wat gebaseerd is op FreeBSD. Echter staat FreeBSD ook niet bekend om zijn zuinigheid, maar is meer gericht op performance.

Wil je een zo'n zuinig mogelijk router creëren met je Topton systeem, dan denk ik dat je Debian als basis moet nemen en kijken of je binnen Debian een router kan opzetten door middel van DNSmasq/iptables.

Op basis van 5w en 70cent kost het je 30euro op jaar basis...

Zuinig zijn en 100w+ systemen vermijden kan ik heel goed begrijpen, maar dit valt toch enigszins mee?

GioStyle schreef op woensdag 15 maart 2023 @ 22:13:
@RobertMe

Mijn ervaring is dat wanneer je een hypervisor draait met daarop VM's dat dat altijd leidt tot meer overhead (en dus meer stroomverbruik). Je kan dat inderdaad voorkomen door zoveel mogelijk bare metal te draaien.

Ik doelde op een kaal systeem. Gewoon installeren en klaar. Geen VMs noch LXC. Hetzelfde gedrag zag ik overigens ook als ik de i915 (GPU) firmware installeerde onder Debian. Dus probleem leek zich in die regionen te bevinden.

Wil je een zo'n zuinig mogelijk router creëren met je Topton systeem, dan denk ik dat je Debian als basis moet nemen en kijken of je binnen Debian een router kan opzetten door middel van DNSmasq/iptables.

PiHole en nftables ook goed? PiHole is dan uiteraard gebaseerd op DNSMasq. Maar zoals het er nu op lijkt ga ik een poging doen om alles met systemd-networkd te doen. Al helemaal nadat ik gezien heb dat met een paar regels dan IPv6 RA aan de praat te krijgen is en dat ook gewoon goed werkt. I.t.t. losstaande radvd die faalt als de prefix vanuit de ISP veranderd (en je script moet draaien om dan alle config files bij te werken , waar dus statische adressen in staan). En daarnaast kan systemd-networkd blijkbaar ook als DHCP server dienst doen. Aangezien ik toch PiHole (+ Unbound) ga draaien is PiHole voor DHCP natuurlijk ook een optie. Maar heb/wil ook secundaire DNS hebben. Dus de voordelen van PiHole als DNS vervallen dan een beetje. Dus dan liever alles gewoon centraal in systemd-networkd regelen.
En v.w.b. iptables: dat is dus oud. nftables is de opvolger en ben ik sinds kort wat mee bezig. Werkt echt veel fijner. En ja, sommige distros leveren wel nog iptables (Debian ook to name one) maar dat is ook vaak een wrapper over nft. Dus de iptables commandos worden (heen en weer) vertaalt naar nft. Er zit zelfs een iptables-translate bij die je exact zo gebruikt als iptables, alleen dan het nft commando output.

Dit systeempje vervangt bij mij zowel een USG als een raspberry pi. Ik vermoed dat het stroomverbruik van die 2 apparaten overeen komen met het enkele syssteem wat ik nu heb, maar daar heb ik helaas geen metingen van.

Misschien valt er ergens nog een aantal Watt te halen, ik heb al een aantal instelling in de BIOS aangepast en de scaling governor op powersave gezet,dat zit al bij deze metingen. Maar stabiel is belangrijker dan enorm zuinig (hoewel dat het wel leuk is als het lukt)

sir_knudde schreef op woensdag 15 maart 2023 @ 21:41:
Weten jullie misschien in welke categorie V&A ik een APU1D4 kan plaatsen?

IMHO gewoon een moederbord dus in categorie: Moederborden maar gezien de SoC Onboard kan je ook categorie: Singleboardcomputers proberen

shades684 schreef op donderdag 16 maart 2023 @ 09:23:
Dit systeempje vervangt bij mij zowel een USG als een raspberry pi. Ik vermoed dat het stroomverbruik van die 2 apparaten overeen komen met het enkele syssteem wat ik nu heb, maar daar heb ik helaas geen metingen van.

De Raspberry Pi 2B en 3B waren verdomd goed wat betreft de Performance/Verbruik verhouding dus daar ga je denk ik niet gauw aan komen, maar wat

hussie01 schreef op woensdag 15 maart 2023 @ 22:21:
Zuinig zijn en 100w+ systemen vermijden kan ik heel goed begrijpen, maar dit valt toch enigszins mee?

al zei ben ik het helemaal mee eens!

[Voor 23% gewijzigd door nero355 op 16-03-2023 15:58]

Voor de liefhebbers:

Die dingen worden steeds kleiner zeg

Voor degenen die liever lezen dan filmpje kijken: Crazy Small Router Firewall and Virtualization Node iKoolCore R1 Review 4x 2.5GbE

[Voor 43% gewijzigd door Raven op 20-03-2023 19:40]

hussie01 schreef op woensdag 15 maart 2023 @ 22:21:
Op basis van 5w en 70cent kost het je 30euro op jaar basis...

Zuinig zijn en 100w+ systemen vermijden kan ik heel goed begrijpen, maar dit valt toch enigszins mee?

5W aan continu verbruik kost hier op jaarbasis nog geen €4. Het gaat dan ook allang niet meer om besparen voor het geld, maar om efficiëntie. Als een taak (internet routeren) door een apparaat gedaan wordt welke 8,5W verbruikt, terwijl een soortgelijk apparaat slechts 2,2W verbruikt, dan kies ik voor het laatste...

Raven schreef op maandag 20 maart 2023 @ 19:39:
Voor de liefhebbers:
[YouTube: This CRAZY SMALL 2.5GbE Node will Change Everything]
Die dingen worden steeds kleiner zeg

Voor degenen die liever lezen dan filmpje kijken: Crazy Small Router Firewall and Virtualization Node iKoolCore R1 Review 4x 2.5GbE

Ik ben zelf voor het grotere mini-pc model gegaan. Al is het maar omdat ik daar zelf RAM en M.2 in kan plaatsen met normale standaard maten. En geen fan uiteraard.