Zelfbouw project: Firewall / Router / AP

[ Voor 3% gewijzigd door kmichael op 26-01-2015 19:52 ]

JT schreef op maandag 26 januari 2015 @ 18:43:
[...]

Heb je hier bewijs van met een stroommeter met verbonden clients? Met een vpn user verbonden kom ik met een Athlon 5350 en ATX voeding niet onder de 25w Ik vind dit bijzonder optimistisch klinken

[ Voor 7% gewijzigd door Ramon op 31-01-2015 12:20 ]

[ Voor 3% gewijzigd door Hakker op 20-02-2015 00:30 ]

• Super Micro X10SBA-L ( Intel® Celeron™ J1900)
• Pico PSU
• Seasonic Power adapter
• 4GB geheugen
• Samsung 120GB SSD
• Chenbro RM12800 19" 1U behuizing

[ Voor 10% gewijzigd door smooky op 04-04-2015 20:24 ]

Verwijderd schreef op maandag 04 mei 2015 @ 12:50:
hallo

ik zou ook wat hulp willen ik ben van plan om binnenkort een pfsense box te bouwen met de volgende hardware

Gigabyte GA-J1900N-D3V
Corsair XMS CMX8GX3M2A1333C9
250/500 GB harde schijf
case MS-Tech CI-70

Ik ben nieuw op dit gebied en zou graag willen weten of deze setup goed is voor me verbinding ik heb een 200/20 verbinding van ziggo. En zou graag pfsense gebruiken voor vpn en het scannen van bestanden met behulp van clamav antivirus. Begrijp ik het dan goed dat deze case een in geboude voeding heeft dat ik dus geen voeding hoef erbij te kopen en een schijf van 2.5 inch?

ik hoor graag van jullie

Ballebek schreef op zondag 24 mei 2015 @ 09:54:
Persoonlijk heb ik OpenVPN nooit goed werkend gekregen met L2L onder pfSense (of dat het na een update niet meer werkte)...

Tom Paris schreef op vrijdag 04 september 2015 @ 18:59:
Waarom geen switch gebruiken?

[ Voor 4% gewijzigd door MdO82 op 04-09-2015 19:23 ]

1
2

172.16.1.0/24   link#2  U   141     1500    vtnet1
172.16.1.200    link#2  UHS     748606  16384   lo0

[ Voor 9% gewijzigd door Dennis op 07-09-2015 10:30 ]

Niels.68 schreef op zondag 18 oktober 2015 @ 13:17:
Het plaatsen van deze opzet is vooral als tegenhanger van de J1900 bordjes welke "afgekraakt" worden vanwege het missen van AES.

Verwijderd schreef op zaterdag 3 december 2016 @ 08:10:
[...]

Kan je al meer zeggen over de performance en het stroomverbruik? Ik weet wat de TDP van de chip is, maar ben zeer benieuwd hoe zich dat vertaalt naar daadwerkelijk verbruik

DennusB schreef op woensdag 14 december 2016 @ 10:48:
[...]


Jep.. schrik niet van de optie's als je het de eerste keer start hehe.
En UPNP, tja echt handig is het niet met een PS4/XBO en dat soort dingen in huis

BluRay schreef op dinsdag 10 januari 2017 @ 21:07:
[...]


Nee.. twee nics is voldoende. In het verleden heb ik een ML110 met twee nics gehad met daarop PfSense. Je zet in ESXI op je LAN vSwitch een managementadres dat binnen het zelfde subnet valt als je LAN en je kan er altijd bij. Ook als PfSense uit staat. Verkeer komt niet langs je PfSense VM.

DennusB schreef op donderdag 9 februari 2017 @ 10:08:
[...]


Enig nadeel van UTM blijft dat ze geen UPNP support hebben. M'n Playstation 4 ging er helemaal van over de zeik als ie online moest, idem voor NetFlix... heb jij daar geen last van?

[ Voor 8% gewijzigd door Tomba op 09-02-2017 10:28 ]

MGB-hero schreef op donderdag 9 februari 2017 @ 09:38:
[...]


Op welke hardware draait de Sophos nu? En hoe is de performance?

Ik moet nog steeds nieuwe hardware halen maar nergens is te vinden wat er nodig is om met IPS een beetje normale snelheid te behalen.

ThinkPadd schreef op donderdag 9 februari 2017 @ 12:02:
[...]
Ik ga binnenkort twee Ubiquiti accespoints bestellen en als het goed is, kan ik dan zo aan een SSID een VLAN hangen.

Vooral met een managed switch wordt het er een stuk eenvoudiger op, om dit soort zaken snel op te kunnen delen en in te richten. En met virtuele netwerkkaarten in ESXi ben je ook erg flexibel. Ik zou nu bijv. ook een andere VM op kunnen zetten die in het juiste virtuele netwerk hangen en dan kan ik de ene VM offline brengen en een andere online. Downtime is dan minimaal.

[ Voor 29% gewijzigd door ThinkPad op 16-02-2017 12:23 ]

ThinkPadd schreef op donderdag 16 februari 2017 @ 12:21:
Ik zou graag Google DNS als fallback willen gebruiken, voor als de DNS van m'n provider (Telfort) eruit ligt.
Nu lijkt het erop dat zodra ik 8.8.8.8 invoer, de DNS van m'n provider overschreven wordt.

Ik zou graag die van m'n provider als primary willen, en dan automatisch via DHCP ingevuld laten worden (hij zou in theorie immers kunnen wijzigen) en Google DNS als secondary. Ik wil Google DNS niet als primary, ik heb gemerkt dat dit voor vertraging zorgt op grote sites zoals Facebook die CDN's gebruiken.

Maar hoe vul ik dat hier dan in?
[afbeelding]
In deze situatie krijg ik de DNS (twee stuks) dus automatisch via DHCP toegewezen. Ik heb als #3 en #4 de Google DNS (x.x.x.8 en x.x.4.4) ingevuld, maar dan zet hij ze automatisch naar boven

Supermicro X8SIL-F with Intel Core i3-530 Idle Power Consumption

[ Voor 151% gewijzigd door Raven op 20-05-2017 11:06 ]

MaxTheKing schreef op zondag 29 oktober 2017 @ 15:06:
[...]


Ik draai zelf ESXi 6.5 op mijn server, en daarin pfSense als een VM. Draaide pfSense eerst als barebone, maar dit heeft een aantal nadelen. Ten eerste kun je geen snapshots maken, dus als een upgrade iets in de war brengt, kun je heel pfSense opnieuw gaan installeren. Ook zijn de meeste moderne systemen zwaar overkill voor pfsense. 1 core en 512MB RAM is meer dan genoeg, tenzij je dingen met Snort en Squid etc. wilt gaan doen, maar dat is een ander verhaal. Dus mijn aanbeveling is om het virtueel te draaien, geeft veel meer flexibiliteit, en je kunt snapshots gebruiken, dus als je iets doet waardoor het niet meer werkt, kun je zo de snapshot terugzetten.

iMars schreef op woensdag 15 november 2017 @ 22:42:
@ThinkPad @MaxTheKing @Tomba Een vraagje aan jullie, aangezien jullie de firewall op een VM draaien.

Mijn huidige situatie is: [Ziggo Modem in bridge]--[MikroTik]--[Switch]--> rest van netwerk.

Mijn switch is een "domme" 8 poorts Gbit switch, welke sowieso omgeruild gaat worden voor een managed switch. Mijn ESXi server heeft maar 1 Gbit poort (geen mogelijkheid omdat te veranderen omdat het een mini-pc is).

Inprincipe voldoet de MikroTik, maar merk dat ik meer wil. En zit al een langere tijd te "geilen" op al die firewalls hier (Al helemaal die van @pauloo7 ). Nu heb ik geen zin om een dedicated firewall te maken, dus zat ik te denken aan VM.

Is dat aan te raden? Ziggo op een eigen VLAN naar de virtuele firewall, en vanaf de firewall op een andere vlan mijn netwerk in?

iMars schreef op donderdag 16 november 2017 @ 18:50:
[...]

Meer het feit dat ik te veel loop te klooien met vpn's en andere niet-standaard zaken.
Ik had laatst m'n config geëxporteerd en opnieuw geïmporteerd en daarna mijn vpn niet meer aan de praat gekregen. Configs vergeleken, exact gelijk. Ligt natuurlijk niet aan Mikrotik (951G-2HnD), maar aan mijn kunde... maar ik wil kijken wat er nog meer op de markt is qua mogelijkheden, zonder gelijk dure routers/hardware te kopen

[ Voor 10% gewijzigd door EWK op 25-03-2018 13:40 ]

Vorkie schreef op vrijdag 30 maart 2018 @ 18:56:
https://www.netgate.com/b...elease-now-available.html

Release 2.4.3 is uitgekomen

[ Voor 48% gewijzigd door Vorkie op 02-04-2018 15:54 ]

Verwijderd schreef op zaterdag 9 juni 2018 @ 21:12:
[...]


Heb je inmiddels de temp al omlaag kunnen krijgen? Ik heb de koelpasta vervangen, echter niet heel dik gesmeerd, maar de temp blijft rond de 60 graden zitten.

[ Voor 6% gewijzigd door CollisionNL op 25-06-2018 09:07 . Reden: Extra foto ]

Proc schreef op maandag 6 augustus 2018 @ 11:26:
Het lijkt erop dat er ook een Q570G6 is geïntroduceerd die beschikt over een i7-6500U processor; op sommige punten in de tekst staat dat het gaat om een i5-6200U, maar op andere punten staat weer dat het gaat om een i7-6500U en als ik naar de specificaties van een i7-6500U kijk dan komt het overeen met de beschrijving.

Weet iemand misschien met wat meer zekerheid of het model Q570G6 inderdaad om een i7-6500U gaat?

Heeft iemand trouwens ervaring met dit i5-7200U model van Minisys in combinatie met bij voorkeur Sophos UTM 9 of pfSense?

manusjevanalles schreef op maandag 6 augustus 2018 @ 11:50:
[...]


De apu2 heeft ook AES-NI. Die Qotom kan ik niet voor onder de €200 vinden inclusief ram en SSD. Ik kan ook geen UPS als verzendoptie vinden, alleen DHL en FedEx. Verder wel een interessante optie.

mati1983 schreef op woensdag 8 augustus 2018 @ 15:15:
thnx! net een Q375G4 besteld. Zal mij benieuwen...

Raven schreef op woensdag 8 augustus 2018 @ 20:00:
[...]

Mijn singlecore Atom N270 router-pc (die inmiddels al bijna 10 jaar dienst doet) komt zonder instellingen te optimaliseren voor dergelijke snelheden met 2 wget-downloads tegelijk (op de router-pc zelf) al tegen de 900Mbps en dat met maar 40% CPU load. Had nooit verwacht dat dat ding het bij kon benen

Wat ik mij afvraag, zijn er ergens reviews van die Ali-systemen? Zo'n systeem is eigenlijk best wel interessant, helemaal als je er ook nog eens ESXi op kan draaien.

iMars schreef op vrijdag 10 augustus 2018 @ 09:53:
[...]

Heb je in dit topic gezocht?

[ Voor 74% gewijzigd door mati1983 op 13-08-2018 21:55 ]

mati1983 schreef op maandag 13 augustus 2018 @ 19:43:
M'n Qotom is net binnen gekomen (binnen een week, nice), zometeen even migreren
Mocht een update heel lang duren, dan ging er ergens iets niet helemaal volgens plan..

--------------------------------
Update 21:45

Nou, daar was ik weer :-)

Wat een gehannes.
Even los van het feit dat ik van de eettafelstoel af stuiterde terwijl ik in de meterkast bezig was, liep ik tegen aardig wat dingetjes aan. Dat de volgorde van de interfaces fysiek niet helemaal logisch was wist ik al, maar op die van mij is dat kennelijk, van links naar rechts: igb3, igb0, igb1, igb2. Jawel. Je moet het maar bedenken. Ik kreeg ook geen lease vanaf mijn provider. Doordat die nog het mac van mijn vorige router erin had staan, moest dat ding eerst tig tellen van de stroom af.

Hoe dan ook, we draaien!

Nog wel een vraagje:
[afbeelding]

De temperatuur blijft stijf op 27,9 staan. Had al even in het bios gekeken, dat klopt sowieso niet.. Maar dat ie stil staat klopt ook niet natuurlijk Iemand enig idee hoe ik dit weer werkend krijg?

NB: 6% cpu load bij een redelijke download is ook wel leuker om te zien dan 90+ % zoals mijn apu2 deed..

mati1983 schreef op dinsdag 14 augustus 2018 @ 23:36:
hw.acpi.thermal.tz1.temperature: 29.9C
hw.acpi.thermal.tz0.temperature: 27.9C

statisch allebei..

[ Voor 18% gewijzigd door MuVo op 15-08-2018 14:46 ]

Ankh schreef op zaterdag 25 augustus 2018 @ 10:24:
Over 2 dagen zijn er aanbiedingen bij AliExpress bij o.a. Minisys en Qotom. Kwam deze tegen:
https://nl.aliexpress.com...6fZ6PEpE&isOrigTitle=true

Helaas kan ik nergens vinden hoe de performance is van de i3-5005u (Q335G4). Wil de Adblocker ook gebruiken namelijk :-)

Dennis schreef op woensdag 22 augustus 2018 @ 15:53:
Zijn hier mensen die ervaring hebben met de configuratie van Airplay/Bonjour/Avahi/mDNS in pfSense waarbij dat werkt over meerdere VLANs?

Ik gebruik nu OpenWRT en heb meerdere VLANs (veilig en onveilig) maar mijn AppleTV zit in een andere VLAN dan mijn mobiel en dat werkt niet goed. Soms werkt het wel met audio, maar uiteindelijk geeft het steeds problemen.

[ Voor 26% gewijzigd door Vorkie op 25-08-2018 11:22 ]

ComTech schreef op woensdag 26 september 2018 @ 22:00:
[...]


De Ub lite nu sinds het weekend in gebruik en moet zeggen bereik is echt wel beter vooral op de 5 Ghz.
Grote voordeel wat ik nu zie is dat ik geen verbindingsproblemen meer heb.
Heb een 3 tal foscam camera's welke regelmatig de verbinding kwijt raken maar tot nu toe nog niet gehad met de Unifi.
De TPlink draait nu nog even als router maar ben PfSense aan het installeren en testen (op m'n server welke ESXi draait).
Ik twijfel nog of dat verstandig is of losse hardware aanschaffen voor PfSense (een Qotom) nadeel vind ik toch de prijs.
Welke heb jij en wat koste die totaal?

[ Voor 23% gewijzigd door MuVo op 17-10-2018 13:30 ]

Vorkie schreef op zondag 11 november 2018 @ 11:52:
Dhcp scope geef je dns server optie mee met ip adres van pfsense?

Vorkie schreef op zondag 11 november 2018 @ 11:52:
Daarna floating rule een allow dns naar pfsense als eerste en daarna een block dns naar alles.

Vorkie schreef op zondag 11 november 2018 @ 11:52:
Snap namelijk niet wat je bedoeld met.
Wanneer is dns servers opvoer in de dhcp server.

[ Voor 20% gewijzigd door Ronald_O op 11-11-2018 13:05 ]

Mozart schreef op vrijdag 4 januari 2019 @ 20:51:
Deze vraag heb ik in dit topic eerder al gesteld. Gaat wel over een andere variant maar ik denk dat het antwoord hetzelfde is. Check de specs van het device goed en lees het antwoord op mijn vraag: https://gathering.tweakers.net/forum/view_message/57486666

[ Voor 27% gewijzigd door CurlyMo op 05-01-2019 13:10 ]

[ Voor 11% gewijzigd door Tom Paris op 07-01-2019 20:32 ]

wian schreef op maandag 7 januari 2019 @ 13:12:
Ik twijfel om zo'n fitlet2 te bestellen. Mijn doel is een zeer stabiele pfSense firewall te hebben, die weinig onderhoud nodig heeft en dus weinig downtime. De afgelopen kerstvakantie heb ik veel gerommeld en mijn ubiquiti USG weer vervangen door een virtuele pfSense. Dat werd niet in dank afgenomen thuis: geen internet, geen telefoon, geen TV. Dan merk je dat je thuis eigenlijk ook geen downtime meer wil hebben.

Op zich draait pfSense virtueel perfect. Dat draai ik al jaren. Maar het idee dat je zo'n unbreakable fitlet2 installeert met 5 jaar garantie en daarna alleen nog downtime bij een upgrade/reboot spreekt toch wel aan.

Btw; schaamteloze crosspost omdat het beter in dit draadje past: je kunt nu ook pihole functionaliteit implementeren op pfSense met pfBlockerNG. Scheelt weer een VM die je moet onderhouden. Je hebt nu nog het “pfBlockerNG-devel” package nodig, maar werkt gewoon stabiel.

BigEagle schreef op zondag 17 februari 2019 @ 21:02:
[...]


Mijn vraag hoef ik niet meer te posten in de OPNSense community: ik ben erachter het probleem gekomen...

Een test met twee losse TPLink switches gaf geen problemen: routed IPTV werkte gewoon. Het moest dus aan mijn bestaande Unifi configuratie liggen. Tijdens het "gasduinen" in het Tweakers forum kwam ik dit tegen. Ik kon mij herinneren dat ik IGMP snooping overal had aangezet (ooit jaar geleden gedaan, geen idee waarom ). Zou het dan toch??? Ja, dat was dus zo: het IGMP snooping stond aan op VLAN 4. Nadat deze was uitgezet werkte IPTV.

Ik heb nu dus een werkende opstelling met KPN glasvezel, OPNSense (op Qotom), OpenVPN, Unifi switches en accesspoints en routed IPTV (op 2 ontvangers).

Beeld werkt nu al dik een uur zonder problemen. Ook interactive TV en opname terugkijken werken.

Ballebek schreef op zaterdag 4 mei 2019 @ 08:32:
[...]

Ik denk dat dit de replacement gaat worden voor mijn HP Microservers; heb alleen nog Openhab en OPNSense hier in huis draaien dus dit is dan meer dan voldoende. Staat in de meterkast dus als ie even moet werken dan hoor ik de fans toch niet.

The power consumption at the wall was measured with a 4K display being driven through the HDMI port. In the graphs below, we compare the idle and load power of the Shuttle XPC slim DH370 with other low power PCs evaluated before. For load power consumption, we ran the AIDA64 System Stability Test with various stress components, as well as our custom Prime95 / Furmark loading scripts, and noted the maximum sustained power consumption at the wall.

MuVo schreef op maandag 2 september 2019 @ 13:46:
----

[ Voor 2% gewijzigd door Omaha2002 op 23-05-2020 17:31 . Reden: Toevoeging screenshot ]

nero355 schreef op donderdag 28 mei 2020 @ 15:47:
[...]

Zoiets : https://www.techtesters.eu/pic/ASRZ97EXTREME6/303.JPG
_{Thnx @Foritain voor de foto!}
Zat vroeger bij mijn AsRock Extreme4 Z97 dus als je het echt nergens kan vinden dan kan ik wel effe gaan graven in mijn voorraad of ik die nog steeds heb!

De AsRock A300 kastjes hebben deze ook geloof ik...

* Raven heeft hardware voor router-pc v3 liggen

[ Voor 4% gewijzigd door Raven op 30-05-2020 15:22 ]

[ Voor 54% gewijzigd door MichaelNL op 09-06-2020 18:41 ]

[ Voor 34% gewijzigd door Microkid op 19-06-2020 16:28 ]

[ Voor 10% gewijzigd door Workaholic op 21-06-2020 10:23 ]

[ Voor 71% gewijzigd door MuVo op 27-07-2020 11:37 ]

[ Voor 62% gewijzigd door Workaholic op 14-09-2020 17:47 ]

purge schreef op maandag 14 september 2020 @ 19:00:
Wat mij opvalt is dat je verbinding maakt met de cloudflare server in Duitsland (DUS). Waar ik bijv. naar Amsterdam ga.

Verder heb je nu een dns request lopen van: cliënt > pihole > pfsense(dnsrequest) en forward naar > 1.1.1.1
En daadwerkelijk je netwerk pakketten: cliënt(192.168.2.) > pfsense(lan?) > pihole > pfsense(iotnotsecure) > 1.1.1.1 en daarna het antwoord terug via dezelfde weg. Nu maak je gebruik van de dns van de pihole en pfsense.

Volgens mij kan je dan beter de dns van de pihole direct naar 1.1.1.1 laten gaan ipv naar de adressen van de pfsense. (En zoals eerder gezegd is dan ook voor je interne hosts de dn/dhcp door de pihole laten doen)

Verder maak je gebruik op je pfsense van DNS/TLS. Ik heb geen idee of door het gebruik van TCP voor DNS requests dan ook je MTU/MSS relevant is. Maar dat kan nooit kwaad om te controleren.

Ik hoop dat deze reactie niet al te off-topic is. Aangezien het meer over netwerk en/of software instellingen gaat.

[ Voor 21% gewijzigd door Workaholic op 14-09-2020 20:24 ]

Kabouterplop01 schreef op dinsdag 15 september 2020 @ 22:33:
@Workaholic
[...]

NAT doen we allemaal, een port forward heb je alleen nodig als je van de buitenkant iets wil benaderen. als je dus 53tcp/udp forward zou dat voor een dns server kunnen zijn. (Ik raad het sterk af. Er zijn genoeg DNS rommel machines op het internet, DNS providers en ISP's hebben al moeite om ze goed te beveiligen laat staan jij of ik.)

[ Voor 18% gewijzigd door Workaholic op 15-09-2020 22:35 ]

[ Voor 68% gewijzigd door Rayures op 29-05-2024 11:25 . Reden: bios mod + nvme ]

ik222 schreef op zondag 11 oktober 2020 @ 22:36:
[...]

Dat de IPTV gateway sinds een paar weken als offline wordt weergegeven klopt, dat heb ik ook maar is verder geen probleem. Men lijkt bij KPN op die routers simpelweg niet meer op pings te reageren, dat is alles. Eventueel kun je in pfSense die ICMP gateway monitoring uitschakelen zoals ik heb gedaan, dan ben je van die offline melding af maar hoe dan ook heeft het dus geen invloed.

Multicast streams die ergens rond de 10 minuten stoppen heeft vaak te maken met een missende firewall regel voor IGMP inkomend op WAN VLAN 4.

Zie je echt geen enkele melding in je firewall / igmpproxy log op het moment dat het gebeurt? En inderdaad, welke switches gebruik je?

[ Voor 15% gewijzigd door Theone098 op 12-10-2020 08:49 ]

ik222 schreef op maandag 12 oktober 2020 @ 07:03:
Dat is handig inderdaad, dan is er iets makkelijker te kijken wat er mogelijk mis gaat.

/Edit: Check ook even de laatste post in dit topic [Ubiquiti & IPTV] Ervaringen & Discussie

Het wegvallen na 260s zou mogelijk iets in die switches zijn (al dan niet na een update?)

[ Voor 8% gewijzigd door wicked_fool op 12-10-2020 10:11 . Reden: IP options stonden niet aan op WAN interfaces ]

Tomba schreef op dinsdag 3 november 2020 @ 11:55:
[...]

Dit is dus exact waar ik (en velen met mij) een probleem mee hebben
(PS Ik adviseer je sowieso om die Netwerk Optimalisatie uit te zetten, dat doet meer kwaad dan goed)

maar goed genoeg offtopic nu


[...]

Wat een ontzettend gaaf ding zeg, die zal wel goed performen! Bevalt ie nog steeds goed?

[ Voor 4% gewijzigd door Mich op 04-11-2020 19:12 ]

Rayures schreef op dinsdag 19 januari 2021 @ 09:07:
[...]


product:
https://www.aliexpress.com/item/1005001280532331.html

shipping:

[...]

[ Voor 18% gewijzigd door MuVo op 29-01-2021 09:26 ]

MuVo schreef op vrijdag 29 januari 2021 @ 10:58:
[...]


Mijn bericht klopt. Maar ik heb ook bufferbloat op pfsense zonder de Codel aanpassingen. Pas met de optimalisatie met codel heb ik geen bufferbloat. Maar ik blijf hit detection problemen in games ondervinden. Zoals je zegt blijf je natuurlijk houden door dat je afhankelijk bent van een game.

Ik vroeg me af of het originele signaal op de lijn toch invloed blijft uitoefenen ook al is de lijn daarna met Pfsense verbeterd. In de zin van: Is het bron signaal in het eerste stadium al matig, de verbetering die ik toepast verbeterd het matige signaal niet, ik beïnvloed alleen het matige signaal.

Pietsnot56 schreef op zondag 31 januari 2021 @ 11:50:
Yanling 4 poorts /Pfsense 2.4.5-p1 (+- = Protectli FW4B):

[ Voor 4% gewijzigd door PerlinNoise op 01-02-2021 12:05 ]

[ Voor 3% gewijzigd door Raven op 14-03-2021 18:15 ]

Robbiedobbie schreef op woensdag 17 maart 2021 @ 14:34:
Ik zit de afgelopen week ook voor het eerst te kloten met pfsense op 1 van die partaker china pctjes bedoeld voor dit soort zaken.

Nu draai ik pfsense binnen een vm op esxi (Ik wil later ook zaken als homeassistant op zelfde pc draaien), en ben ik bezig om de management interface van esxi ook op het netwerk beschikbaar te krijgen, maar dit wil maar niet lukken (Heb sowieso een van de poorten als dedicated backup voor die interface aangehouden, dat leek me wel zo verstandig ).

De situatie is als volgt:

Omdat mijn netwerk momenteel nog opgesplitst wordt op de plek waar de router komt te staan, en daar geen plek is voor een switch, heb ik een aantal van de physical lanpoorten elk een losse virtual switch binnen esxi gegeven. Deze poorten hebben elk een portgroup met vlan trunk gekregen, en zijn allemaal als interfaces in de pfsense vm toegedeeld aan een bridge, zodat ik deze als switch kan gebruiken.

Om de bridge helemaal gaande te krijgen heb ik ook nog de volgende system tunables gezet:

code:

1 2	net.link.bridge.pfil_member 0 net.link.bridge.pfil_bridge 1

De bridge hangt dus direct als LAN interface, welke een static ipv4 (10.200.10.1/24) heeft toegewezen gekregen.

Voor de esxi management heb ik een virtual switch zonder physical poorten die ik later voor alle vm koppelingen wil gebruiken. Hier heb ik 2 portgroups op, eentje hangt als interface aan de pfsense vm met trunking enabled, en 1tje is gekoppeld aan een VMKernel NIC met dhcp actief, en draait op vlan 3000.

In pfsense heb ik die vlan gekoppeld aan een "esxiManagement" interface welke een static ipv4 (10.200.200.1/24) met nu tijdelijk ook een dhcp server om te testen. Ik heb na lang kloten maar even op de LAN interface (dus de bridge) EN op de esxiManagement interface een pass rule ingesteld op ipv4+ipv6 op alle protocollen, met source any en destination any. Ik zie binnen de esxi management dat de VMKernel een ipv4 toegewezen krijgt (10.200.200.2).

Binnen de interfaces werkt alles zoals het moet, maar het wil niet lukken om tussen deze 2 netwerken te routen. Wel zie ik in de routes dat deze binnen pfsense automatisch al ingesteld staan. Ook kan ik de apparaten terugvinden in de ARP table, en kan ik vanaf pfsense pingen naar 10.200.200.2 vanaf de esxi interface. Ga ik vanaf de LAN interface proberen werkt ook het pingen niet.
Ik zie geen blocks in de syslog van de firewall.

Iemand een idee wat hier nog fout kan gaan?

1
2

net.link.bridge.pfil_member = 0
net.link.bridge.pfil_bridge = 0

MuVo schreef op woensdag 17 maart 2021 @ 15:06:
[...]

Volgende twee parameters heb ik als volgt ingesteld, uitgaande dat je al je regels vanaf de bridge interface managed:

code:

1 2	net.link.bridge.pfil_member = 0 net.link.bridge.pfil_bridge = 0

Tom Paris schreef op woensdag 17 maart 2021 @ 15:54:
@Robbiedobbie Zou je misschien wat screenshots kunnen plaatsen, oa van je netwerksetup in ESXi? Ik kan het moeilijk visualiseren adhv je post

nero355 schreef op donderdag 18 maart 2021 @ 15:36:
@Robbiedobbie Welke setting dan

Samplex schreef op zondag 25 april 2021 @ 17:24:
[...]

@edhollan ik zie bij banggood die Priority Direct Mai er niet tussen staan. Waar staat deze?

Ankh schreef op woensdag 23 juni 2021 @ 13:18:
[...]

Maar tmobile heeft toch pppoe?
Wat voor bakkies zijn het?

Tom Paris schreef op dinsdag 6 juli 2021 @ 21:20:
Eerder zei je "Fysiek met 1 NIC = geen enkele MC stream komt op gang", dat is nu dus ook "Virtueel met Trunk"

Dan blijf ik er bij dat er waarschijnlijk iets verkeerd zit in je switch. Als de vSwitch van je hypervisor er tussen zit gaat het kennelijk wel goed, dus die doet nog iets met je queries/joins.

[ Voor 37% gewijzigd door stormfly op 06-07-2021 21:34 ]

[ Voor 25% gewijzigd door A1AD op 11-07-2021 19:55 ]

[ Voor 3% gewijzigd door stormfly op 16-07-2021 11:39 ]

[ Voor 33% gewijzigd door purge op 17-07-2021 15:48 ]

purge schreef op zaterdag 17 juli 2021 @ 15:34:
En zoiets?
[Afbeelding]

Let wel op dat de action staat op Alias Native. Dan kan je hem direct gebruiken als alias in jouw firewall rules.
pfBlocker maakt automatisch een (url) alias aan met de naam pfB_NL_v4. Waarbij in dit geval NL is wat ingevuld is in het veld Name.

Of je zet de action op iets anders (bijv. permit inbound) en vul je eronder bij Advanced inbound firewall rules wat dingen in die je open wilt hebben. Zelf gebruik ik een alias omdat ik dan de rules netjes bij elkaar heb.

De tab GeoIP hoef je niet te gebruiken. De standaard config, niets dus
Al zou je hier wel andere dingen zoals, Top Spammers, in kunnen stellen.

[ Voor 40% gewijzigd door stormfly op 17-07-2021 21:36 ]

purge schreef op zaterdag 17 juli 2021 @ 15:34:
En zoiets?
[Afbeelding]

Let wel op dat de action staat op Alias Native. Dan kan je hem direct gebruiken als alias in jouw firewall rules.
pfBlocker maakt automatisch een (url) alias aan met de naam pfB_NL_v4. Waarbij in dit geval NL is wat ingevuld is in het veld Name.

Of je zet de action op iets anders (bijv. permit inbound) en vul je eronder bij Advanced inbound firewall rules wat dingen in die je open wilt hebben. Zelf gebruik ik een alias omdat ik dan de rules netjes bij elkaar heb.

De tab GeoIP hoef je niet te gebruiken. De standaard config, niets dus
Al zou je hier wel andere dingen zoals, Top Spammers, in kunnen stellen.

sambaloedjek schreef op maandag 9 augustus 2021 @ 19:55:
[...]


Voor te switchen met line-rate, zonder CPU (software) interventie.


[...]


MTik hardware heeft (meerdere) dedicated switch chips. OPN/Pfsense niet; alles in software, via CPU. Denk aan IPTV vlan multicast bridging met MEERDERE IP-TVboxes. Dat verkeer wil je niet over je CPU laten gaan. Met een MTik kun je dit verkeer binnen 1 switch chip laten lopen zonder impact op andere switch-chip ports.