pfSense hardware

Blubber schreef op donderdag 03 december 2015 @ 16:39:
Ik ben benieuwd waar andere tweakers pfSense op draaien en wat ze voor die oplossing betaald hebben.

Zelfbouw project: Firewall / Router / AP (PfSense)

Ik heb anderhalf jaar terug dit samengesteld voor in de kantine van m'n vereniging, dat draait zonder problemen een captive portal zo'n 100 gebruikers. Het verbruik is minimaal, alles is passief gekoeld en er zitten geen bewegende onderdelen in.

#	Product	Prijs	Subtotaal
1	Gigabyte GA-C1037UN-EU	€ 72,-	€ 72,-
1	Chieftec IX-01B-90W (IX-01B-90W)	€ 67,38	€ 67,38
1	Crucial Ballistix BLS2CP4G3D1609DS1S00CEU	€ 35,95	€ 35,95
1	GeIL Zenith A3 60GB	€ 50,84	€ 50,84
Bekijk collectie Importeer producten		Totaal	€ 226,17

Met wat recentere hardware zou je zoiets kunnen samenstellen:

#	Product	Prijs	Subtotaal
1	Gigabyte GA-J1900N-D3V	€ 82,-	€ 82,-
1	Chieftec IX-01B-90W (IX-01B-90W)	€ 67,38	€ 67,38
1	Kingston ValueRAM KVR16LS11S6/2	€ 13,44	€ 13,44
1	Corsair Force LS V2 60GB	€ 35,95	€ 35,95
Bekijk collectie Importeer producten		Totaal	€ 198,77

Met name het Chieftec kastje bevast mij erg goed, de ventilatie van dat ding is super. SSD kan je eventueel ook nog op besparen, als je nog ergens een oud laptopschijfje hebt liggen werkt dat natuurlijk ook prima

Het topic dat hierboven is aangehaald bevat ook nog een hoop nuttige informatie, zou ik zeker even doorlezen.

Zotac heeft hier mooie oplossingen voor.

https://www.zotac.com/nl/product/mini_pcs/zbox-ci323-nano

Zoiets, zoek even zelf uit wat je wel/niet nodig hebt.

Ik heb zelf sinds November die Zotac CI-323 en die bevalt uitstekend!

Overkill is underrated

Net lijstje van @Martijn hierboven. Maar kan Pfsense ook niet draaien op een klein USB stickje? Bespaar je weer 20 euro mee.

Ik heb een Zotac CI323 (AES encryption support) gekocht + een reep geheugen voor iets minder dan 200 euro. Ik heb nog een paar SD kaarten liggen en wil er 1 voor mijn pfsense router gebruiken. Nu zag ik dat er een full install was voor HD/SSD en een nanobsd versie voor USB/SD/CF. Als ik het goed begrijp is de full install nodig voor bepaalde addons. Ik wil uiteindelijk Squid, Snort, HVAP en openvpn gebruiken. Lukt dit met enkel een SD kaart? Zo niet wat is een beetje goedkope maar stabiele ssd?

Allleen HAVP kan niet op SD, de rest van je lijstje wel.

Wanneer je niet bang bent voor een klein Chinees avontuur..

http://www.aliexpress.com...SB-for-2/32272832122.html

Voor je requirements zou dit meer dan voldoende moeten zijn!

Ik heb zelf de apu1d. Uit mijn hoofd heb ik zo rond de 200 uitgegeven, ik heb er zelf een kingston ssd bijgekocht. Het is in combinatie met pfsense een fantastische router, met ongelofelijk veel opties. En pfsense wordt regelmatig geupdate.
Klein (ongeveer de maat van de standaard modemrouter ietsje dunner) perfect voor een meterkast.
3 1gbps poorten.
2 usb poorten (ik gebruik hem alleen voor de installatie maar volgens mij kan een externe hd er prima aan)

Passief gekoeld, geen geklooi met stof. Hij kan wel wat warm worden bij forse belasting, denk aan torrent verkeer, de temperatuur is met name afhankelijk van de omgevingstemperatuur dus zomers haalt hij 70 graden wel. Maar met een zuchtje wind daalt de temperatuur direct. Ik heb hem met thermische tape aan een grote aluminium plaat bevestigd en dan raakt hij zijn temperatuur wel goed kwijt.

De apu2c4 is binnenkort leverbaar en als ik nu zou moeten kiezen ging ik daarvoor. Deze heeft een quadcore en ondersteund AES-NI. Ik kan met de apu1d compleet over vpn als het moet maar daar heeft de cpu het wel zwaar mee zonder AES-NI. Ook de bandbreedte redt de apu1d volgens iperf niet tot 1gbps al zou je daar in de praktijk denk ik niet snel tegenaanlopen, de apu is niet de limiterende netwerk component. De bandbreedte is volgens mij ook cpu gelimiteerd, dat zal de quadcore beter doen vermoed ik.

Qua wireless wordt nog niet het allernieuwste aan hardware ondersteund als je een wireless card op het apu board plaatst, dat komt door de FreeBSD basis van pfsense. Maar ik heb er simpelweg een ac-router aangehangen dmv bridging en dan heb je de mogelijkheid tot snel wireless wel.

Voor ~200 kan je in mijn beleving bijna niet beter krijgen. Toekomstbestendig, software wordt veel bijgewerkt, super veel opties. Voor de eerst komende 10 jaar waarschijnlijk meer dan genoeg.

[ Voor 20% gewijzigd door JohnKarma op 30-01-2016 23:23 ]

JohnKarma schreef op zaterdag 30 januari 2016 @ 23:17:
(..)
Voor ~200 kan je in mijn beleving bijna niet beter krijgen. Toekomstbestendig, software wordt veel bijgewerkt, super veel opties. Voor de eerst komende 10 jaar waarschijnlijk meer dan genoeg.

Dat ziet er absoluut netjes uit voor die prijs, al zou ik wanneer je 'VPN' als requirement op je lijstje hebt staan absoluut nog even wachten op de vermelde opvolger ivm aes-ni.

Overigens is het wel jammer dat er realtek op zit.. Met een nette Intel chipset en een paar tientjes duurder was het een ideale optie geweest.

Verder is en blijft het natuurlijk een kwestie van de benodigdheden om te bepalen wat 'goed' is. Voor 98 van de 100 huishoudens zijn de meeste moderne standaard routertjes meer dan voldoende. Voor de overige 2 is voor de helft een fraaie openwrt firmware ook voldoende.

Zelf zocht ik vooral iets dat snel genoeg is om gbit door mn vpn tunnel te duwen voor de VM's die hier draaien met hun storage aan de andere kant op een NASje, meerdere streams (IP camera's), en mn kodi's die zonder gestotter MKVtjes beide kanten op af moeten kunnen spelen. Dat vereist wel de nodige serieuze hardware, maar is met pfsense als softwarelaag wel een haast unieke oplossing voor een consument, aangezien het ook nog een soort van betaalbaar moet blijven..

Overigens red ik nog steeds geen gbit , maar alles wat ik wil gaat momenteel prima, dus ik vind het wel prima zo.. Resultaatje van iperf door de tunnel:

------------------------------------------------------------
Client connecting to 172.19.19.1, TCP port 5001
TCP window size: 40.0 KByte
------------------------------------------------------------
[ 9] local 10.254.253.1 port 18765 connected with 172.19.19.1 port 5001
[ ID] Interval Transfer Bandwidth
[ 9] 0.0-20.0 sec 1.73 GBytes 746 Mbits/sec

mati1983 schreef op zondag 31 januari 2016 @ 17:43:
[...]


Dat ziet er absoluut netjes uit voor die prijs, al zou ik wanneer je 'VPN' als requirement op je lijstje hebt staan absoluut nog even wachten op de vermelde opvolger ivm aes-ni.

Overigens is het wel jammer dat er realtek op zit.. Met een nette Intel chipset en een paar tientjes duurder was het een ideale optie geweest.

Op de APU2C2/4 zitten gewoon Intel nics hoor
http://www.pcengines.ch/apu2c4.htm

De APU1 serie heeft Realtek nics



Overigens is de APU2 al te koop alleen is de 4GB variant een hardloper waardoor deze soms even niet leverbaar is. Wel houd PCEngines de status netjes up-to-date op hun webshop.

Ohh Goed om te weten! Ga ze eens bekijken en als optie in het achterhoofd houden .
Thnx!

jvdburgt1980 schreef op vrijdag 29 januari 2016 @ 09:48:
Ik heb zelf sinds November die Zotac CI-323 en die bevalt uitstekend!

Overkill is underrated

Naar aanleiding van de post hier ook de Zotac CI-323 besteld, maar zelfs met een simpele iperf van intern bedraad netwerk naar mijn pc of laptop kom ik niet boven de 300Mbit uit. Het netwerk raakt ook onbereikbaar bij stresstesten. Hebben jullie nog specifieke instellingen gedaan? Wat staat er aan en uit bij hardware offloading?

Hoi TimDJ, ik heb voor het "stresstesten" geen specifieke tools gebruikt, maar simeplweg mijn beide NASsen via torrent en newsgroups aan het werk gezet, en daaroverheen met mijn PC een speedtest gedaan. Aangezien mijn downloadsnelheid uberhaupt maar 120 mbps is (Ziggo) heb ik nooit gekeken naar de performance van de CI323 bij hogere snelheden zoals 300 mbit. Afhankelijk van de functionaliteiten die aanstaan zoals VPN en IDS komt de cpu-belasting bij mij uit op max 30-40% (wanneer al deze zaken op maximale instellingen aanstaan), maar bij slechts VPN bijv. maar op 12%. Of dit lineair schaalt met hogere snelheden weet ik eerlijk gezegd niet. Mijn LAN netwerk loopt praktisch via een unmanaged switch (die zelf weer is verbonden met de CI323) en daar worden gewoon gigabit-snelheden behaald, maar dit verkeer loopt volgens mij niet via de CI323 (of wel?).

Wat betreft hardware-offloading moet ik even kijken wat mijn instellingen zijn, maar heb ik volgens mij niets veranderd aan de standaardinstellingen. Wat betreft encryptie had ik begrpeen dat je AES-NI bijv. niet hoeft in te stellen, maar dat dit automatisch plaatsvindt.

Dan verdenk ik eerder hele brakke kabels want ik heb een c1037u dat ding is ongeveer hetzelfde en die jakkerd rustig over de 500mbit heen.

Ik heb meerdere kabels en computers geprobeerd. Het zit 'm toch echt in de ci323. Ik heb een bios update gedaan en even een schone installatie van pfSense. Daarmee geen crashes of vastlopers meer.

Nu thuis aangesloten als router en ik kom tot max 360mbit down op een 500mbit lijn. Alle cores draaien dan op 100%. Op het moment dat ik Snort inschakel kom ik tot de 100mbit.

Ik zal nog wat proberen te spelen met hardware offloading settings. Kijken of ik daar verbetering mee kan krijgen.

-----
Ja!! na: "Disable hardware TCP segmentation offload uitzetten kom ik tot de 450Mbit. Geen capaciteit over voor spannende dingen met Snort echter.

[ Voor 13% gewijzigd door TimDJ op 10-02-2016 20:21 ]

Volgens mij moet je wel meer kunnen halen. Ik ben er geen expert in maar je hebt veel mogelijkheden voor tweaken. Zitten als het goed is ook intel nics in...

NoxiuZ schreef op woensdag 10 februari 2016 @ 20:52:
Volgens mij moet je wel meer kunnen halen. Ik ben er geen expert in maar je hebt veel mogelijkheden voor tweaken. Zitten als het goed is ook intel nics in...

Ik ga nog verder proberen. Dacht ook dat het intel nics waren maar het zijn helaas Realteks.

Heb zojuist mn installatie afgemaakt.
http://www.logicsupply.com/nl-en/ml100g-10/

Kostbaar maar wel mooi stuk hardware. (dual NIC)
Heb installatie met pfsense niet kunnen voltooien, maar met OPNsense. (pfsense fork)
Is dat toegestaan in dit topic, forks van?
de NIC's zijn Intel.

moet heel mn netwerkje ervoor ombouwen. (cisco 1801 router moet in bridged modus) Ik ben nog aan het onderzoeken hoe en of ik de vlans die ik nu op mn router heb geconfigged kan behouden.