Zelfbouw project: Firewall / Router / AP

stormfly schreef op donderdag 14 augustus 2025 @ 15:29:
Je hebt deze programmer nodig met een 3,3 volt schakelaar.

[ Voor 13% gewijzigd door The Zep Man op 14-08-2025 15:50 ]

RobertMe schreef op donderdag 14 augustus 2025 @ 16:04:
@The Zep Man als ik het goed begrijp schrijf jij dat je de flash chip rechtstreeks op een RPi kunt aansluiten? Dus puur vanaf de klem / ..., direct naar de GPIO pins van de RPi? Da's wel nice.

RobertMe schreef op donderdag 14 augustus 2025 @ 16:04:
@The Zep Man als ik het goed begrijp schrijf jij dat je de flash chip rechtstreeks op een RPi kunt aansluiten? Dus puur vanaf de klem / ..., direct naar de GPIO pins van de RPi? Da's wel nice.

[ Voor 12% gewijzigd door The Zep Man op 14-08-2025 17:48 ]

The Zep Man schreef op donderdag 14 augustus 2025 @ 17:46:
[...]


Klopt. Wat je nodig hebt is een apparaat dat als SPI host kan werken. Een Pi kan dit. Er is geen andere hardware nodig. Wat jumper cables en een testklem zijn voldoende. Opensource software doet de rest.

Werkt ook goed om slechte flashes mee te herstellen. Dat kan via een testklem en op sommige desktopmoederborden ook via een undocumented header.

Lenovo gooide het gewoon op "buiten garantie" en wilde me uit coulance nog de "extended warranty" verkopen met een korting zodat ik hem dus "gratis" kon laten maken Terwijl gewoon de "exe" van op hun website de boel had gesloopt en er op internet vele verhalen te vinden zijn van bricked biosen na een update.

RobertMe schreef op donderdag 14 augustus 2025 @ 18:18:
[...]

@stormfly , je geeft trouwens aan een nieuwe flash chip besteld te hebben. Maar kun je die solderen? Ben zelf een relatieve leek (laatst mijn defecte subwoofer gefixt, eens een keer een knop op een muis vervangen en wat met ESPjes geprutst). Through hole spul is natuurlijk (heel) eenvoudig. Maar dit surface mounted spul is natuurlijk andere koek. Met mijn gewone bout vast niks aan te beginnen. Heb een TS100.

jadjong schreef op zaterdag 16 augustus 2025 @ 13:39:
Nee.

RobertMe schreef op zaterdag 16 augustus 2025 @ 14:10:
geen enkele echte reden waarom iets op het servertje zou moeten en niet op de router zou kunnen

Tom Paris schreef op zaterdag 16 augustus 2025 @ 14:46:
[...]


Veiligheid. Een configuratiefout of kwetsbaarheid kan je duur komen te staan als je alles samenvoegt op één machine en één OS.

Zelf zou ik een *sense VM in ESXi/Proxmox als 'bare minimum' beschouwen vmb veiligheid en beschikbaarheid, heb je mogelijkheden genoeg om daarnaast Linux VMs en containers te draaien geïsoleerd van je router.

[ Voor 13% gewijzigd door RobertMe op 16-08-2025 15:32 ]

TheCeet schreef op zaterdag 23 augustus 2025 @ 21:05:
Wie kan me helpen met hetvolgende:

Setup:
PC1: OpnSense met Unbound DNS.
PC2: Proxmox: LXC AdGuard Home en andere containers.
Er zijn firewall rules ingesteld in Opnsense zodat alle DNS forced naar Opnsense gaat mocht er een toestel zijn die hardcoded DNS heeft.

AdGuardHome is ingesteld met Quad9 upstream server.
Maar ik zou ook graag hebben dat dit via Unbound gaat en niet meer via Quad9.

Wat heb ik gedaan:
Firewall rules tijdelijk uitgeschakeld.
Nieuwe LXC container waar Unbound in draait opgezet via gekende Proxmox Helper scripts.
In AGH upstream ingesteld van die Unbound > werkt perfect.

Waar loopt het mis:
Zodra ik de firewall rules inschakel zie ik in de querylog in AGH alle requests "refused".
Alias aangemaakt met DNS servers van Opnsense router + IP van AGH.
In de firewall rule dan Destination deze geselecteerd > lukt nog niet.

Mijn vraag: kan dit überhaupt wel wat ik wil opzetten?

[ Voor 27% gewijzigd door Kabouterplop01 op 24-08-2025 22:15 ]

[ Voor 18% gewijzigd door ThinkPad op 28-08-2025 23:07 ]

[ Voor 18% gewijzigd door Rolfie op 29-08-2025 09:18 ]

nike schreef op zaterdag 16 augustus 2025 @ 13:39:
Zijn er ook al mensen die nadenken om hun PFsense of Opensense doosje te vervangen voor een unify cloud fiber.
Zeker ook gezien de specs https://store.ui.com/us/e...-fiber/products/ucg-fiber
Wat ik dan nog zou missen is haproxy dus daar zou ik een aparte lxc container voor moeten bouwen.
Maar ja ik draai al zolang zelf pfsense met zoveel rules en vlans etc... dat het nog een hele klus word om het over te zetten.

Maar iets nieuws is ook leuk, en ik heb al switchen en AP's van unify.

• Ingebouwde Ad Blocking via DNS alleen gebaseerd op (te agressieve) propietary block list, terwijl ik de voorkeur aan OISD geef. Dat heb ik nu opgelost door NextDNS als DNS-servers te gaan gebruiken, daar OISD te kiezen en NextDNS via DOH vanuit de UCG in te stellen. Misschien ooit nog een Pi-hole containertje, maar dan heeft het thuisnetwerk toch weer een afhankelijkheid op de server.
• Interface voor registreren van interne hostnames of vastzetten van IP's in DHCP nog wel wat omslachtig, maar functioneel.
• Wireguard server voor site to site tunnel tussen de Fritzbox van mijn ouders en mijn netwerk, plus wireguard voor 'road warriors' moet ik nog aan beginnen/uitzoeken.
• Stroomverbruik van de UCG-Fiber toch wat tegenvallend hoog (rond de 8 watt), wat deels gecompenseerd wordt door ~5W reductie in verbruik doordat de Shuttle 1 NIC en 1 VM minder actief heeft.
• MTU van 1500 voor de PPPoE tunnel moet nog steeds 'hacky' met custom scripts, ipv dat je dit gewoon kan instellen.

1
2
3
4
5
6
7

IPv4
76.76.2.32
76.76.10.32

IPv6
2606:1a40::32
2606:1a40:1::32

[ Voor 20% gewijzigd door wian op 29-08-2025 15:43 ]

TheCeet schreef op vrijdag 29 augustus 2025 @ 10:15:
Ja maar ik wil gewoon meer controle.
Als er nu iemand op zijn/haar toestel DNS server aanpast naar 1.1.1.1 kunnen ze daar gebruik van maken.
Dus ik wil alles forceren richting de eigen DNS server IP's. Vooral omdat ik merk dat de Android TV toch forced Google DNS wil bezoeken ipv mijn eigen DNS.

wian schreef op vrijdag 29 augustus 2025 @ 15:38:
Als je tevreden bent met alleen de OISD - Big blocklist (ik ook!) kun je ook gratis ControlD gebruiken (gevonden op OISD).

code:

1 2 3 4 5 6 7

IPv4 76.76.2.32 76.76.10.32 IPv6 2606:1a40::32 2606:1a40:1::32

Super eenvoudige en lightweight manier om OISD DNS filtering toe te passen op routers/firewalls zonder plugins.

Ben benieuwd naar je ervaringen. Heb een tijdje terug de stap gemaakt naar een UCGUltra (en weer terug naar OPNsense), maar blijft toch aantrekkelijk om alles in unifi te hebben. Single pane of glass en minder tijd kwijt aan beheer.

VikeeVeekie schreef op zondag 21 september 2025 @ 13:52:
Is het de moeite waard qua stroomverbruik? Best wel! Op idle zit het systeem op circa 10w, en als ik de volledige 1gbps voltrek zit ik op zo'n 28w.

Tom Paris schreef op zondag 21 september 2025 @ 21:30:
[...]


Met pfSense kun je het verbruik verder terugdringen Sinds 2.8 kan pfSense namelijk PPPoE multi-threaded verwerken, waardoor de workload over alle cores wordt uitgesmeerd ipv single-thread op 1 core die maximaal in turbo-modus moet. Ik heb een Pentium J5005, die ik via PowerD op 'minimum' zet. CPU komt dan niet boven 900Mhz uit, maar nog steeds geen enkel probleem met volledige 1Gbps bandbreedte.

tuxie6 schreef op maandag 22 september 2025 @ 00:24:
[...]


Helemaal mee eens, en een simpele manier om hem koeler en stiller en zuiniger te laten werken,
maar het kan van invloed zijn op je openvpn capaciteit heb ik ondervonden, verder heb ik er niet veel van gemerkt dat de cores op hun langzaamste snelheid draaien.

nike schreef op donderdag 7 april 2022 @ 17:49:
[...]


yes vandaag binnen gehad.
PFsense 2.6.0 staat er standaard op, maar ik heb hem maar voor de zekerheid opnieuw geinstalleerd.
2,5g poorten worden goed ondersteund, ik heb aleen geen 2,5g switch.

stroom verbruik nu idle is 6,4w en voelt goed aan. van de week omgooien.

Nou de eerste indrukken:
Zojuist opnieuw pfsense geinstalleerd, mijn oude pfsense (een i5) de config een backup van gemaakt.
Deze bewerkt zodat de nics overeen komen en de backup ingelezen in de nieuwe pc.
Alles draaid weer als een zonnetje.
Ik heb wel het idee dat de gui iets trager aan voelt.... maar ik heb geen gewone install. ik draai echt alles, zoals vpn/haproxy/snort/ etc etc.
Komende dagen lekker testen.

wian schreef op maandag 6 oktober 2025 @ 08:52:
Protectli is een stuk duurder dan een TopTon/Qotom/CWWK op aliexpress bestellen, maar er is wel een verschil. Ik heb verschillende aliexpress firewalls gehad en daarna een protectli. Eerste grote verschil is de prijs. Je betaalt het dubbele voor een protectli firewall. Daar krijg je wel iets voor terug:

1. kwaliteit. de huidige protectli firewalls (v serie en vp serie) hebben custom ontworpen hardware. Het wordt nog steeds in China geproduceerd maar op specificaties van protectli. Ik heb een TopTon N150 vergeleken met een protectli vault v1410 en de protectli heeft een beter doordachte en duidelijk hogere kwaliteit behuizing. De bovenkant van de metalen behuizing maakt direct contact met de CPU, SSD en RAM voor een uitstekende hitte overdracht. Bij de TopTon zit er een dikke laag goedkope pasta over de CPU om contact te maken met de behuizing. De SSD en het geheugen maken geen contact met de behuizing, er zit een gat van 1-2 centimeter. Die worden dan ook heel snel warm. Met proxmox werd de SSD zo warm dat de performance flink naar beneden ging. Je kunt een fan op de TopTon leggen, maar de behuizing zit potdicht, dus er is binnen geen airflow. Je krijgt de temperatuur pas echt omlaag als je de behuizing open laat en direct lucht tegen de SSD en RAM blaast. De protectli had dit probleem niet. De behuizing werd goed warm, maar de SSD ging nooit throttelen en als je aan de buitenkant een ventilator plaatst zie je direct een groot verschil. Er zijn ook andere kleine verschillen, zoals een power connector die je kunt vastschroeven.

2. support. ten eerste is er uitgebreide documentatie op de protectli site. Ten tweede onderhouden ze coreboot die je makkelijk kunt flashen met een scriptje of zelf kunt compilen. Dan weet je dus zeker dat er geen vage modules of kwetsbaarheden in de bios van je firewall zitten. ik had de protectli 2e hands gekocht en kreeg netjes support adhv het serienummer zonder facturen te hoeven overleggen oid.

Villager schreef op maandag 6 oktober 2025 @ 09:28:
[...]

Ik ben het helemaal met je eens!
Maar je kunt zeker iets doen om het beter te krijgen. Ik heb een Topton N100 met baremetal OPNSense en heb recent de CPU ge-repaste. Dat heeft de CPU temperatuur van ruim 50 graden gemiddeld naar rond de 42 graden teruggebracht. Van de dikke klodder naar subtiel aangebracht. Dat zorgt ook voor minder hitte intern. Heb er nog wel steeds een Fan op liggen.
Ik heb ook een Topton N305 met Proxmox met 3 VM's en een stuk of 10 containers. Die heeft wel een interne fan aan de onderzijde. Maar ook daar heb ik alsnog een fan op liggen.
Dus het is een afweging voor iedereen of je het geld er voor over hebt om een Protectli te kopen met de kwaliteitsvoordelen of met een beetje aanpassen prima vooruit te kunnen met de Toptons.

eymey schreef op vrijdag 29 augustus 2025 @ 10:44:
[...]
Toevallig heb ik daar onlangs niet alleen over na gedacht, maar ook de stap echt gemaakt. Van OPNSense, gevirtualiseerd in een KVM VM op een Proxmox server, naar een UCG-Fiber!

Net als @RobertMe had ik voorheen ook een Unifi Security Gateway, in 2018, nadat ik ook al switches en AP's van Ubiquiti had gekocht. Maar ik was vrij snel erg teleurgesteld over de slechte instelbaarheid van basic dingen (vooral qua DHCP en DNS en andere zaken). En toen ben ik me gaan verdiepen in OPNSense. Toen ook een Shuttle DH310 met Core i3-8100 CPU en 16 GB RAM gekocht.

Die gevirtualiseerde OPNSense, samen met een Home Assistant OS VM en wat LXC containers op die Shuttle heeft sinds begin 2019, dus ruim 6 jaar, rete stabiel gedraaid! Enige downtime was vanwege upgrades, paar keer in huis verplaatsen vanwege grondige herindeling van de meterkast, etc.

Een paar maanden terug begon de NVME SSD jn de Shuttle SMART errors te geven (hij was dik door zijn gespecificeerde aantal geschreven terabytes heen) en ook de fannetjes op het koelblok begonnen steeds meer lawaai te maken en ik kreeg het niet meer gefixt met schoonmaken. Toen heb ik dus met veel speurwerk passende fannetjes ( 2x 6 CM, 1 CM dik én met PWM ) gevonden en ook een nieuwe SSD ingebouwd, Proxmox opnieuw geinstalleerd en de VMs en LXC containers geimporteerd.

Inmiddels wilde ik echter eigenlijk ook wel eens op zoek naar wat nieuws als vervanging voor de Shuttle, het liefst ook iets waar ik mijn glasvezel met SFP+ module direct in kwijt kon, ipv de losse TP-link mediaconverter. Maar kwam er al vrij snel achter, ook via het zuinige server topic, dat de spoeling qua zuinige netwerkkaarten met SFP+ poorten behoorlijk dun was (of erg duur).

Inmiddels had de Unifi Cloud Gateway - fiber zich aangediend en waren de reviews die ik erover heb gezien lovend. Ook de Unifi Network applicatie van de controller was inmiddels flink uitgebreid met veel meer instelbaarheid en features, Wireguard, etc. En gezien mijn ervaring met het repareren van de Shuttle en het internet dat ik er toen ook uit moest gooien, ookal duurde het hooguit een half dagje, leek het me ook wel weer 'leuk' om internettoegang gewoon weer op aparte hardware te doen.

Afgelopen week heb ik de daadwerkelijke migratie van OPNSense naar de UCG-Fiber gedaan. Ik loop nog wel tegen wat dingen aan die nu op de UCG toch meer moeite lijken te gaan kosten of 'tegen vallen' qua customizability. Bijvoorbeeld:

• Ingebouwde Ad Blocking via DNS alleen gebaseerd op (te agressieve) propietary block list, terwijl ik de voorkeur aan OISD geef. Dat heb ik nu opgelost door NextDNS als DNS-servers te gaan gebruiken, daar OISD te kiezen en NextDNS via DOH vanuit de UCG in te stellen. Misschien ooit nog een Pi-hole containertje, maar dan heeft het thuisnetwerk toch weer een afhankelijkheid op de server.
• Interface voor registreren van interne hostnames of vastzetten van IP's in DHCP nog wel wat omslachtig, maar functioneel.
• Wireguard server voor site to site tunnel tussen de Fritzbox van mijn ouders en mijn netwerk, plus wireguard voor 'road warriors' moet ik nog aan beginnen/uitzoeken.
• Stroomverbruik van de UCG-Fiber toch wat tegenvallend hoog (rond de 8 watt), wat deels gecompenseerd wordt door ~5W reductie in verbruik doordat de Shuttle 1 NIC en 1 VM minder actief heeft.
• MTU van 1500 voor de PPPoE tunnel moet nog steeds 'hacky' met custom scripts, ipv dat je dit gewoon kan instellen.

Over het algemeen denk ik dat ik er (nog) geen spijt van heb dat ik de overstap heb geprobeerd, maar we zullen het de komende tijd zien of ik zelfbouw met OPNSense toch best wel zal gaan missen of niet.

Voordeel is wel dat ik mijn hele netwerk nu in één beheer interface heb, wat ook prettiger is als er ooit wat met mij mocht gebeuren en iemand in onze omgeving die niet helemaal digibeet is, maar ook niet per se verstand heeft van mijn Proxmox setup, zou mijn gezin moeten helpen bij issues. Ook is de Shuttle, zeker met het recente onderhoud, weer klaar voor nog wat jaartjes mee gaan met meer reserve capaciteit.

• volledig geintegreerd in unifi - je hele netwerk beheren vanuit 1 interface
• geen aparte vm/container nodig voor de unifi network app
• inzicht in netwerkverkeer en flows - vind dit overzichtelijker en fijner werken dan in standaard opnsense
• policy based routing heel eenvoudig (verkeer door VPN sturen op basis van source adres, destination hostnames of applicatie protocol)
• wireguard server en clients instellen heel eenvoudig
• zone based firewall overzichtelijk
• uitstekende app voor telefoon/tablet
• goedkoop instapmodel met volledige 1gbit performance en laag verbruik (UCG-Ultra)

• GUI is mooi maar niet altijd logisch (e.g. dhcp management, twee soorten backups - netwerk app en device)
• initieel geheel handmatig instellen, beperkte import van dhcp reserveringen mogelijk
• All eggs in one Ubiquiti basket
• Ubiquiti product lijn is behoorlijk verwarrend, andere modellen met ingebouwde wifi of NVR zijn niet goedkoop.

• veel meer functionaliteit, helemaal dmv de vele beschikbare plugins en uitbreidingen
• open source, geen afhankelijkheid van vendor
• spreiding van risico - netwerk gescheiden beheren van firewall

• netwerk gescheiden beheren van firewall, VLANs beheren op twee plekken
• GUI is niet altijd logisch, zelfs na jaren van gebruik
• geen app voor op telefoon
• minder mooie GUI, werkt erg matig vanaf telefoon

nike schreef op maandag 6 oktober 2025 @ 19:18:
@Eric70 ik heb vele mini pc's gehad als pfsense router. doe je veel met vlans zou ik geen J processor nemen.
Elke n150+ is prima.
Af en toe eens de backup downloaden, en mocht het mis gaan, even opnieuw installeren op andere hardware, de nics in het config bestandje goed zetten, en je bent zo weer up and running.
En mijn advies: draai je firewall op bare metal, en niks anders er op/bij.

RobertMe schreef op maandag 6 oktober 2025 @ 19:32:
[...]

Een N150 lijkt mij overkill? Heb zelf een N5105 nu al een jaar of 2, 3 en nog 0 issues mee gehad. Of nouja..., ik draai bare metal Debian en meer software er op, en de N5105 mist wat zaken (AVX instructieset bv) waardoor ZFS native encryption (en waar het ook lijkt ook regelmatig ook andere software encryptie met (AES) GCM) zo traag als ... is. Of nouja, niet perse extreem traag, maar wel 100% CPU load en veel trager dan geen encryptie. Er is een (outdated) PR die naast AVX als "hardware accelerated" ook SSE4.1 toevoegt, en dan is het performance verlies maar iets van tientallen MB/s i.p..v honderden. Maar routeren en NATen is voor mij geen enkel probleem.

Alhoewel een slimme netwerk opzet natuurlijk meehelpt "veel VLANs" zegt niks. Als je zaken isoleert op toepassing etc ga je vast geen Gigabits tussen VLANs pompen. Mijn servertje/NAS zitten ook gewoon in het "prive" VLAN bv, dus daarvoor hoef ik niet te routeren. En PC die Home Assistant "moet" benaderen in het IoT VLAN heeft aan een paar Kbit/s ook wel voldoende. En zelfs dan kan ik me niet indenken dat de N5105 geen Gbit/s aan zou kunnen v.w.b. routeren of NAT.

Enige potentiele (zware) bottleneck, en die benoem je dan weer niet , is PPPoE. Die is natuurlijk niet offloaded waardoor die de CPU zwaar aan het werk zet. Terwijl een consumenten routertje van een paar tientjes "gewoon" hardware offloading heeft voor PPPoE en daar dus geen enkel probleem mee heeft.

borft schreef op maandag 6 oktober 2025 @ 21:43:
[...]


mee eens, mijn router is een j4115 (ik heb een odroid h2+), en die heeft geen enkele moeite met pppoe, ook niet op symmetrische gbit snelheden. routeren tussen vlans en vpn encryptie ook geen enkel probleem. (hier overigens ook debian/stable bare metal)

wian schreef op maandag 6 oktober 2025 @ 10:41:
[...]

Het is allemaal wel op te lossen, je moet er alleen wel van bewust zijn. Je moet het niet erg vinden om even te repasten en evt. een fan op een fanless systeempje te leggen. En als je wilt "optimaliseren" door je firewall te combineren met proxmox en een sloot VMs / containers, dan kun je eigenlijk beter kiezen voor een systeem wat ontworpen is als server met een ingebouwde ventilator.

Dat laatste geldt ook voor protectli. Als bare metal firewall voldoet de passieve koeling prima, maar als je hem zwaar gaat belasten met proxmox, kun je er beter ook een fan op leggen.

Conclusie: (die hier iedere maand wordt gemaakt en daarna weer genegeerd ) beter je firewall en proxmox server gescheiden houden dan een high-spec firewall kopen waardoor je in de verleiding komt om er van alles bij te draaien.

borft schreef op maandag 6 oktober 2025 @ 21:43:
[...]


mee eens, mijn router is een j4115 (ik heb een odroid h2+), en die heeft geen enkele moeite met pppoe, ook niet op symmetrische gbit snelheden. routeren tussen vlans en vpn encryptie ook geen enkel probleem. (hier overigens ook debian/stable bare metal)

[ Voor 17% gewijzigd door Sp33dFr34k op 20-10-2025 22:11 ]

Boomster schreef op zaterdag 15 november 2025 @ 08:38:
Goedemorgen allemaal,

ik ben zoekende binnen pfsense. Het volgende wil ik graag voor elkaar krijgen:

- ik heb homeassistant binnen synology als vmmachine draaien
- het adres voor homeassistant is: 192.168.2.104

wat wil ik?
- ik wil graag voorkomen dat ik iedere keer het ip adres moet invullen. Het zou fijn zijn als ik dit adres kan markeren als bijv: /homeassistant
- dit voorkomt vervelende typfouten en werkt een stuk fijner.

Weten jullie hoe ik het IP adres kan omzeten naar een andere target in de adresbalk van de browser?

Boomster schreef op zaterdag 15 november 2025 @ 08:38:
Goedemorgen allemaal,

ik ben zoekende binnen pfsense. Het volgende wil ik graag voor elkaar krijgen:

- ik heb homeassistant binnen synology als vmmachine draaien
- het adres voor homeassistant is: 192.168.2.104

wat wil ik?
- ik wil graag voorkomen dat ik iedere keer het ip adres moet invullen. Het zou fijn zijn als ik dit adres kan markeren als bijv: /homeassistant
- dit voorkomt vervelende typfouten en werkt een stuk fijner.

Weten jullie hoe ik het IP adres kan omzeten naar een andere target in de adresbalk van de browser?

[ Voor 22% gewijzigd door barrymossel op 15-11-2025 12:30 . Reden: toevoeging ]

barrymossel schreef op zaterdag 15 november 2025 @ 12:19:
[...]

Kun je niet gewoon de HA een statisch IP geven (heb je waarschijnlijk al gedaan) en daar bij de static IP settings een hostname (bijv. homeassistant) definiëren? In de general settings van pfsense staat waarschijnlijk een domain (bijv. netwerkvanboomster). Dan zou HA in principe via http://homeassistant.netwerkvanboomster:8123 te benaderen moeten zijn.

---edit---
Als je die poort niet wilt gebruiken kun je kijken naar een reverse proxy en een dns override. Op je Synology bijvoorbeeld Nginx Proxy Manager installeren. In je DNS server (ik gebruik Unbound) een override maken voor host: homeassistant en domain: netwerkvanboomster. Deze override richting IP Nginx laten wijzen. En dan in Nginx het domein homeassistant.netwerkvanboomster laten verwijzen naar 192.168.2.104 met poort 8123.

---disclaimer---
Zo zou ik het doen, maar ik ben verre van een netwerk specialist. Ik heb zeker ook die laatste niet getest.

[ Voor 4% gewijzigd door scorpio op 19-11-2025 17:40 ]

GoBieN-Be schreef op woensdag 19 november 2025 @ 19:23:

Ik zou in jouw geval misschien beginnen met OPNsense zonder zelf VLAN's te maken.
Om eerst de OPNsense netwerkconfiguratie en firewall regels te leren kennen.
Dan pas daarna complexer maken met eigen VLAN's op je netwerk.

[ Voor 5% gewijzigd door scorpio op 20-11-2025 16:45 ]

scorpio schreef op donderdag 20 november 2025 @ 16:44:
[...]


Dat ga ik inderdaad maar eerst eens doen..niet direct noodzaak voor Vlan..wel wens...
Als de netwerkconfiguratie en firewall eenmaal goed is geregeld..kan k van leren..dan verder kijken..hoe en wat

Stap voor stap..

[ Voor 43% gewijzigd door scorpio op 20-11-2025 18:30 ]

scorpio schreef op donderdag 20 november 2025 @ 17:07:
heb net een managed switch besteld,,goedkoop nu...kan k niet laten liggen .misschien nog 1 voor in woonkamer.
Kan k iig beginnen wanneer er klaar voor ben.
Dacht echt dat de minipc de vlans kon maken en ik met 2 utp kabels met verschillende vlans vreder kon..dan dus de woonkamer op 1 vlan ...mijn pc/hobby kamer op de andere vlan
[Afbeelding]

En dan de switch die k bedoelde op 1 dezelfde vlan unmanaged switch maar nu dus managed besteld ..kan daar dus mee verder .

Maar een managed switch in woonkamer weet k nog niet zeker (te weinig kennis) of k daar wel een managed switch nodig ben ,, de RAX120 staat er , tv , denon versterker, psp 5 , Synology NAS....
ff een puzzel wat ik waarop ga zetten , zal wel makkelijker zijn daar wel ook M switch te plaatsen dus hihi

huidige ik is een beetje een chaoot maar t komt goed ...meestal

K post hier wel sommige stapjes ..helpt me te ordenen en hoor direct als k t verkeerd heb en/of beter kan
zal straks na het eten wel ff iets op papier tekenen hoe t nu zit..wie weet welk advies iemand kan geven als ie dat ziet

scorpio schreef op donderdag 20 november 2025 @ 20:23:
Met moet je goed beveiligen bedoel je.. Die gaat je goed beveiligen of... je moet hem goed beveiligen... Indien t laatste... Hoe? Opnsense gaat/kan dat toch?

[ Voor 13% gewijzigd door scorpio op 21-11-2025 16:55 ]

scorpio schreef op vrijdag 21 november 2025 @ 16:52:
lees net dat je van de ene Vlan niet op de andere kan komen.
Wordt ff een puzzel want ik wil de NAS kunnen benaderen via de PC..
maar de NAS ook met Plex op TV gebruiken
Of ik moet PC/NAS EN TV op 1 Vlan (bekabeld) zetten maar dan kunnen familieleden niet meer via hun mobieltje (wifi) bv foto's naar de tv sturen ?

K moet nog veel lez(r)en

Bedenk me net ..kan natuurlijk altijd de TV dan tijdelijk op wifi zetten

commentator schreef op vrijdag 21 november 2025 @ 16:57:
[...]

ja dat is het doel he dat apparaten niet bij elkaar kunnen komen.
Je kunt wel een regel in de firewall maken waardoor dat wel kan of dat juist maar 1 apparaat dat kan

[ Voor 4% gewijzigd door scorpio op 21-11-2025 17:03 ]

scorpio schreef op vrijdag 21 november 2025 @ 16:52:
lees net dat je van de ene Vlan niet op de andere kan komen.

[ Voor 43% gewijzigd door scorpio op 21-11-2025 18:50 ]

RobertMe schreef op donderdag 20 november 2025 @ 20:51:
[...]

Ik neem aan dat @TumTum doelt op "plaats geen Chinese crap maar vervang het door een Amerikaans merk". Beetje de vraag "wie wil je dat je mogelijk bespioneert" (/me heeft ook allemaal UniFi op de router na. Chinees van Ali / Amazon / ... voelt dan toch "raar" / "onveilig")

Tom Paris schreef op vrijdag 21 november 2025 @ 21:47:
De echte Tweaker koopt een switch waar 'ie OpenWrt op kan flashen...

duvekot schreef op vrijdag 21 november 2025 @ 21:57:
[...]

Heb je een lijstje met voorbeelden en prijzen?

TumTum schreef op vrijdag 21 november 2025 @ 21:35:
[...]


Dit is wel een beetje uit de context. De firmware van die switches is enorm brak. Je moet ze dus goed isoleren. Dat staat los van de spionage discussie. Dat maak jij ervan.

Tom Paris schreef op vrijdag 21 november 2025 @ 22:03:
[...]
https://toh.openwrt.org/?features=type_switch&view=all

scorpio schreef op zondag 23 november 2025 @ 13:49:
K zie soms door de bomen/diagrammen/uitleg/instructiefilmpjes het bos/netwerk niet meer.

Kan iemand me uitleggen of doorverwijzen naar een goede uitleg/video

1 Ik wil graag (zie schema) weten hoe ik straks na installatie minipc met OpnSense en daarop 2 of 3 Vlans heb gecreëerd sommige afzonderlijke apparaten toegang geef tot elkaar

Bv....Mijn PC (Vlan2) moet ook naar NAS (Vlan3 ) en vice versa
Is dat via regels in firewall of trunk in te stellen..
Of wel (zie tekening) utp1 v/d minipc wordt WAN ..UTP2 naar Vlan2 (richting hobbykamer) maar daar wil ik via managed switch weer zaken scheiden via elk eigen utp..(PC , Acces point wifi, printer,)


2 ik heb nu ook de NAS afgesloten v/h internet maar kan Plex dan niet eerder gebruiken dan wanneer ik weer internet toegang geef..al wii ik plex alleen op LAN gebruiken..
Kan ik dat straks instellen in de router/firewall?

Misschien iemand die al een soortgelijk systeem heeft en dat kan/wil delen met me?
Of weet welk yt vid of site ik naartoe kan?

Misschien moet ik gewoon wachten tot alles er is en wijst het zich vanzelf maar k mag me graag voorbereiden/inlezen/leren

[Afbeelding]

Nu eerst naar verjaardag Kkind

scorpio schreef op zondag 23 november 2025 @ 13:49:
K zie soms door de bomen/diagrammen/uitleg/instructiefilmpjes het bos/netwerk niet meer.

Kan iemand me uitleggen of doorverwijzen naar een goede uitleg/video

1 Ik wil graag (zie schema) weten hoe ik straks na installatie minipc met OpnSense en daarop 2 of 3 Vlans heb gecreëerd sommige afzonderlijke apparaten toegang geef tot elkaar

Bv....Mijn PC (Vlan2) moet ook naar NAS (Vlan3 ) en vice versa
Is dat via regels in firewall of trunk in te stellen..
Of wel (zie tekening) utp1 v/d minipc wordt WAN ..UTP2 naar Vlan2 (richting hobbykamer) maar daar wil ik via managed switch weer zaken scheiden via elk eigen utp..(PC , Acces point wifi, printer,)


2 ik heb nu ook de NAS afgesloten v/h internet maar kan Plex dan niet eerder gebruiken dan wanneer ik weer internet toegang geef..al wii ik plex alleen op LAN gebruiken..
Kan ik dat straks instellen in de router/firewall?

Misschien iemand die al een soortgelijk systeem heeft en dat kan/wil delen met me?
Of weet welk yt vid of site ik naartoe kan?

Misschien moet ik gewoon wachten tot alles er is en wijst het zich vanzelf maar k mag me graag voorbereiden/inlezen/leren

[Afbeelding]

Nu eerst naar verjaardag Kkind

[ Voor 21% gewijzigd door scorpio op 02-12-2025 11:57 ]

scorpio schreef op dinsdag 2 december 2025 @ 11:37:
Update:

Inmiddels alles binnen maar k kom er nog niet helemaal uit.
Installeren OpnSense was een eitje en k kom ook in de ui

Maar k wil hem het liefst nu eerst tussen de Zyxel router (odido) en mijn netwerk hebben om vandaaruit alles rustig in te stellen.

Heb deze beste man zijn vid gevolgd en ging (dacht ik) ook allemaal goed.
Hij gaat uit van de mini pc na odido router als Bridge
K heb dus odido gelaten zoals was ..glasvezel>ont>utp>wan
Vanuit de odido 1e Lan poort naar de mini pc en vanuit de minipc >utp>Lan

Maar een maal ertussen gezet kreeg ik geen netwerk..geen internet en kon uiteraard de OPNSense pc ook niet meer bereiken.

Of moet ik iets in de Zyxel aanpassen?

K zal eens een andere tutorial opzoeken..

Wordt vervolgd

Update ..heb gevonden ..k neem hier rustig de tijd voor maar zal uiteindelijk goedkomen
[Afbeelding]

Tom Paris schreef op vrijdag 21 november 2025 @ 21:47:
De echte Tweaker koopt een switch waar 'ie OpenWrt op kan flashen...

barrymossel schreef op dinsdag 2 december 2025 @ 14:34:
[...]

Kun je die Zyxel wel in bridge mode zetten?? https://community.odido.n...bridge-mode-zetten-344116 en https://community.odido.n...bridge-mode-zetten-365997

Dus gewoon modem er tussenuit en dan VLAN 300. (Als je het kunt ontcijferen: https://forum.opnsense.org/index.php?topic=45027.0)

HowsMyApple schreef op dinsdag 2 december 2025 @ 19:44:
@scorpio Ik heb ook Odido, ook een mini-pc (met gevisualiseerde OPNsense) en ook de Zyxel modem ertussenuit gehaald.
Mijn hoofd zit te vol met snot en ik ben te koortsig om fatsoenlijk je verhaal te kunnen lezen, maar mocht je wat gerichte vragen hebben over hoe ik iets heb ingesteld mag je me gerust een pm sturen.

vDorst schreef op dinsdag 2 december 2025 @ 15:02:
[...]

Deze Realtek chipset RTL8372/8373(N)-switches, is al een open firmware in de maak.
Deze Realtek zijn que energie-verbruik wel beter dan eentje waarom je OpenWRT kan zetten.

Tom Paris schreef op dinsdag 2 december 2025 @ 20:27:
[...]
OpenWrt heeft al een behoorlijke tijd ondersteuning voor Realtek-bases switches, binnenkort ook voor switches van Microchip.

Zenix schreef op zondag 14 december 2025 @ 21:34:
Deze is wat zuiniger dan een mini pc, maar zeker niet traag.
https://nl.aliexpress.com/item/1005007987542975.html

En SODIMM voor de TopTon router kan ik gewoon uit oudere laptops halen Zit nu 2x 8 in. Maar 2x 16 kan ik ook nog wel ergens vandaan toveren als het echt nodig zou zijn.

[ Voor 7% gewijzigd door RobertMe op 14-12-2025 21:59 ]

RobertMe schreef op zondag 14 december 2025 @ 21:53:
[...]

Pics Numbers or it didn't happen.

[ Voor 12% gewijzigd door Zenix op 14-12-2025 23:31 ]

Zenix schreef op zondag 14 december 2025 @ 22:50:
[...]


Ik heb hem nog niet, maar ben benieuwd doet 5W en is redelijk vergelijkbaar YouTube: NanoPi R6S - 2.35Gbps Throughput with only 5W of Power Consumption bijvoorbeeld. Hij schijnt zelfs 3.5Gbps aan Wireguard te kunnen https://forum.openwrt.org/t/a-wireguard-comparison-db/187586

Er zit ook een 8-core SoC in waarvan één cluster is uitgeschakeld, ga wel kijken of die ik nog aan de de praat kan krijgen

RobertMe schreef op maandag 15 december 2025 @ 09:20:
En hoe zit het met hardware offloading? Volgens mij is dat iets dat alleen MediaTek kan? V.w.b. routing / NAT (/firewall?) offloading?

RobertMe schreef op maandag 15 december 2025 @ 09:20:
En Qualcomm heeft dan weer een instructieset voor het encryptie algoritme van Wireguard. Maar dat gaat vast gepaard met een gesloten "driver".

Tom Paris schreef op maandag 15 december 2025 @ 12:16:
[...]


Niet. Dit soort SoC's zijn general purpose designs, ze zijn niet ontworpen met hardware offloading. Ze kunnen prima dienst doen in een router, maar dan is alle packet processing op basis van brute rekenkracht. Hardware offloading zit doorgaans alleen in SoC's die specifiek ontworpen zijn voor netwerk-toepassingen. Alle grote designers hebben hardware offloading in hun netwerk-SoCs (Qualcomm, Broadcom, MediaTek, NXP, etc.), maar iedereen behalve MediaTek houdt de drivers closed source. (Hoewel Qualcomm met hun WiFi 7 generatie een deeltje open source lijkt te gaan maken.)

[...]


Heb je hier een bron van?

RobertMe schreef op maandag 15 december 2025 @ 12:48:
Nouja, ze bestaan dus wel. Alleen worden ze (waarschijnlijk) niet toegepast op dit soort SBCs. Terwijl, nouja, de SBCs / doosjes toch vaak verkocht worden als "router". En volgens mij ook MediaTek regelmatig opduikt in dit soort systemen

Tom Paris schreef op maandag 15 december 2025 @ 14:05:
[...]


Nou, ja en nee. Zoals gezegd, voor open source ondersteuning van hardware accelerators voor packet processing moet je bij MediaTek zijn. Hun SoCs voor netwerktoepassingen zitten in de Filogic serie, met de MT7988 (Filogic 880) als topmodel. Die heeft 'slechts' een quad-core Corex-A73, want 'waarom zou je veel rekenkracht nodig hebben in je router als je een hardware accelerator hebt'. Je zou een Banana Pi BPI-R4 best als server + router in kunnen zetten, maar dan gaat de CPU snel je bottleneck zijn denk ik. Vergelijk dat met een Rockchip RK3588S in een NanoPi, dat is quad-core Cortex-A76 + quad-core Cortex-A55. Hele ander klasse. Er zijn wel MediaTek SoCs met meer en modernere ARM cores, maar dan mis je weer de accelerator.

RobertMe schreef op maandag 15 december 2025 @ 14:35:
[...]

Thanks voor de uitleg. Ik ben niet zo bekend met ARM. Dus ik kom niet verder dan "meer cores is beter" Weet wel dat er "series" in zijn (de A73, A76, A55 zoals je noemt) maar of daar echt grote verschillen in zijn (qua prestaties, ondersteunde instructiesets, ...) weet ik niet.

Maar advies voor (ook) general purpose gebruik is dus om niet te richten op een systeem dat wel offloading heeft omdat die juist weer (te) zwak zijn voor general purpose.

Weet dan ook nog niet precies wat ik wil. Of ik of voor een combi apparaat wil gaan. Of toch gewoon echt een (goed) zuinige router met een wat meer performance server. Met wat ik nu heb draaien kan een combi device prima (zonder virtualisatie, i.t.t. wat velen in dit topic dan doen een Proxmox met een *Sense VM bv). Maar als ik voor < 3W (idle / low usage) een losse router kan neer zetten is dat ook het overwegen waard. Anders neig ik meer naar een < 10W combi oplossing. Waarbij de combi oplossing mogelijk / waarschijnlijk gewoon een (m)ATX systeem zou worden en er bv in de toekomst nog een SFP+ slot op zou kunnen en dat soort dingen. Met nu weer bv een Radxa of die NanoPI mist die SFP+ optie, voor in de toekomst, weer.
Anderzijds kan een combi oplossing weer mogelijk tricky zijn in dat een beetje gebruik meteen leidt tot een veel hoger verbruik. Terwijl dat met zo'n NanoPI dan mee valt, als die 2,8W idle doet vs 5W als die 2,5Gbit/s dicht trekt. Een general purpose (x86) systeem gaat mogelijk meer dan ~2,2W extra verbruiken als die 2,5Gbit/s moet routeren / NATen.

scorpio schreef op dinsdag 2 december 2025 @ 20:13:
[...]

Dank je wel 👌 en rustig aan... Eerst maar ff beter worden.. Beterschap en zodra je wat beter bent kunnen we contact opnemen en een manier zoeken om 't samen te doen? Of misschien heb je een paar stappen die k alvast ter voorbereiding al kan doen.

K heb dus opnsense er iig op.. Maar kan er makkelijk opnieuw en schoon op.

Beterschap en nogmaals dank je