Zelf bouwen van een router, dos and don'ts

Maar wat is je doel met het bouwen van de router? Is het puur om te "spelen" en alles uit te proberen, of ga je dat ding ook écht gebruiken met een bepaald doel?

Als je een "server" voor meer dan alleen pfSense wil gebruiken, raad ik je sterk aan om te kijken naar virtualisatie. PfSense is prima geschikt als router, maar het onderliggende OS is niet gemaakt met de bedoeling om er vanalles mee te gaan doen.

Je kan bijvoorbeeld makkelijk een computer neerzetten met een paar NIC's en daar ESXi of Hyper-V op zetten. Dan kan je weer verschillende VM's maken waarvan één pfSense.

Het risico van applicaties draaien op je router is dat je bij verkeerd configureren die applicaties ook aan de "buitenkant" beschikbaar maakt met alle eventuele gevolgen van dien.

Ik zou juist een router helemaal lostrekken van de rest van de systemen (eventueel in een VM) en op die manier zorgen voor een fysieke scheiding tussen interne en externe netwerken.

Ik moest hier ook meteen denken aan een vm installatie,

Vergeet niet dat je hier een redelijk stevige machine voor moet hebben, en dat je stroomrekening ook omhoog gaat, nu wel makkelijk bij je ouders, echter als jij op jezelf gaat wonen kijk je er toch met andere ogen naar

Voor thuis kan je met een i5 en voldoende geheugen afhankelijk van het aantal VM's prima uit de voeten. Als je er ook een managed switch bij hebt kan je met een netwerk kaart toch routeren. PfSense is leuk je zou ook prima naar ClearOS kunnen kijken ben ik zelf erg gecharmeerd van en kan je voor je specifieke taken configureren. Ze hebben ook een virtualisatie platform (ClearVM) maar daar heb ik geen ervaring mee.

Ik heb sinds een poos ook een router op basis van pfSense draaien. Draait uitstekend en werkt zeer snel. Maar of het nou leuk was om er mee te spelen en het te configureren? Niet echt. Ik ben wel twee weken bezig ('s avonds) geweest met de configuratie ervan, o.a. om de WLAN bridge aan de praat te krijgen. Daarom ben ik nu gewoon erg blij dat het werkt en dat ik er vanaf kan blijven... Ik ben ook erg blij dat het op eigen fysieke hardware draait, zodat ik zonder downtime met RPi's en andere hardware kan spelen. Kijk je kan natuurlijk lekker met VM's aan de slag op een leuk servertje, maar ik zou lekker je router op een eigen fysiek stuk hardware zetten.

Niet om te zeggen dat het niet kan, het kan prima, maar het brengt extra risico met zich mee als je door een kleine misconfiguratie je netwerkconfiguratie om zeep helpt bijvoorbeeld.

Lekker onhandig een router in je server.
Als je even een zware job op die server hebt draaien ligt meteen je netwerk eruit.
Scheiding van functies is een heel verstandige zet.

Zeker gezien de prijzen van routers is het niet slim dat door een server te laten doen.

En als je eens naar je stroom rekening gaat kijken is het veel slimmer een losse router en een losse raspberry pi te hebben.

Verder zou ik niet weten wat je met pfsense meer of beter zou kunnen doen dan met een goede kant en klare router.

Ben(V) schreef op zaterdag 30 januari 2016 @ 11:16:
Lekker onhandig een router in je server.
Als je even een zware job op die server hebt draaien ligt meteen je netwerk eruit.
Scheiding van functies is een heel verstandige zet.

Gewoon aparte nics voor je pfsense vm gebruiken en je hebt dat niet. Sterker nog, je kan zelfs processorkracht reserveren voor je pfsense vm.

Zeker gezien de prijzen van routers is het niet slim dat door een server te laten doen.

Hangt een beetje vanaf. Sommige mensen draaien sowieso al thuis een server. Een taakje erbij kost nauwelijks meer energie.

En als je eens naar je stroom rekening gaat kijken is het veel slimmer een losse router en een losse raspberry pi te hebben.

En wat wil je dan precies met die losse router en raspberry pi doen?

Verder zou ik niet weten wat je met pfsense meer of beter zou kunnen doen dan met een goede kant en klare router.

Je hebt veel meer mogelijkheden en je hebt zelf beter de controle in handen. Bij een kant en klare router zijn de mogelijkheden beperkt door de fabrikant. Bij een kant en klare router ben je ook van de fabrikant afhankelijk voor updates. Pfsense is opensource en volgens mij is de ondersteuning daar beter dan bij de gemiddelde fabrikant.

Hij wil kodi draaien en dus is een raspberry pi daar een prima oplossing voor.
Veel meer mogelijkheden is een dooddoener, wat dan?

Pfsense is misschien beter dan de gemiddelde router maar niet beter dan een goede router.

Verder is een windows server veel ontvankelijker voor hacking dan een dedicated router, juist omdat een windows server veel meer kan en moet kunnen.
Dit beperk je wel door VM's te gebruiken maar dat levert ook weer meer gecompliceerdheid op en beveiliging is daar niet bij gebaat.

Je router is de toegang tot het internet en je moet daar je beveiliging concentreren en niet delen met andere functionaliteiten.
Maar dat is slecht mijn mening en voor een speel omgeving maakt het natuurlijk allemaal niets uit.

Ben(V) schreef op zaterdag 30 januari 2016 @ 11:40:

Pfsense is misschien beter dan de gemiddelde router maar niet beter dan een goede router.

En daar sla je nu de plank volledig mis, ik ga er dan even vanuit dat jij de consumenten routers bedoelt en niet de enterprise versies zoals Cisco / Brocade etc.

Een standaard router is meestal gebaseerd op een ARM of ander type mini cpu, een pfsense machine baseer je op X86 hardware.

De standaard Cisco / Sitecom etc consumentenspul komt niet eens in de buurt van de performance van een X86 router, pfsense o.a. is ook gemaakt voor mensen die iets meer met hun netwerk willen dan een poortje forwarden.

Nog steeds geen argumenten wat zo'n pfsense meer zou kunnen.

Een router hoeft maar net zo snel te zijn als zijn specificaties aangeven, daar koop je hem op.

De maximale snelheid die een Pfsense aan zou kunnen is 1Gb/s (10GB is onbetaalbaar), want sneller is je netwerkkaart gewoon niet en in de praktijk heeft het weinig zin om meer dan de snelheid van je internet verbinding te kunnen routeren.

Tenzij je binnen het lan wilt routeren, maar dat is over het algemeen niet zo zinvol, kun je beter met vlans gaan werken.
Layer 3 is voor de meeste mensen te ingewikkelt.

Een arm cpu kan tegenwoordig op z'n sloffen 1Gb/s routeren dus een x86 daar voor gebruiken is volkomen overkill en vreet stroom.

Maar ik ben het wel met je eens dat veel consumenten routers zoals asus, d-link, netgear en tp-link in de afdeling kwaliteit en ondersteuning wel wat gebreken vertonen.
Nadat ze een nieuw model uitbrengen stopt bij die fabrikanten geheid het uitbrengen van updates en security patches.

Ik heb zelf een draytek router en ik denk dat pfsense zeker niet beter is en uitaard veel minder gebruikers vriendelijk.

jimmy87 schreef op zaterdag 30 januari 2016 @ 14:41:
[...]


En daar sla je nu de plank volledig mis, ik ga er dan even vanuit dat jij de consumenten routers bedoelt en niet de enterprise versies zoals Cisco / Brocade etc.

Een standaard router is meestal gebaseerd op een ARM of ander type mini cpu, een pfsense machine baseer je op X86 hardware.

De standaard Cisco / Sitecom etc consumentenspul komt niet eens in de buurt van de performance van een X86 router, pfsense o.a. is ook gemaakt voor mensen die iets meer met hun netwerk willen dan een poortje forwarden.

Fout.

De general purpose CPU in een consumentenrouter (of trouwens overgrote deel van enterprise-spul) heeft inderdaad maar een fractie van de performance van een x86 CPU.

Maar...

Die CPU is zo goed als niet betrokken bij het overgrote deel van de werk van zo'n router. Dat gaat allemaal via dedicated logic, dus feitelijk via co-processors die zeer beperkte taken aankunnen maar die taken zeer efficient uit kunnen voeren. Dat betekent veel throughput en vooral zeer lage latencies.


Nu, dat wil niet zeggen dat pakweg een Core i5 het werk niet zou kunnen doen van een consumentenrouter. Natuurlijk kan hij dat met twee vingers in z'n neus, maar hij doet het minder efficient (qua stroomverbruik, warmte en mogelijk latencies) dat een dedicated ARM-, MIPS-, of wat dan ook (zelfs x86) routerchip.

De meerwaarde van een zware general-purpose CPU is dat het per definitie alles aankan. Met dedicated logic ben je afhankelijk van de functionaliteiten die erin gebakken zitten. Typisch voorbeeld: ik ken een routerchip _{naam ga ik even niet noemen, vertrouwelijkheid enzo} die probleemloos op volle line speed (GbE) TCP en UDP-verkeer kan routeren. Maar geen ander soort verkeer. Als je er PPTP-tunnel overheen probeert te gooien, gaat alles richting de ondermaatse CPU van dat ding en zakt snelheid in tot <1Mbps
Met een general purpose CPU heb je daar geen last van, zolang wat je wilt softwarematig ondersteund is kun je het evengoed doen, dus als je TCP op 1Gbps kunt doen, kun je PPTP of wat dan ook net zo goed met 1Gbps doen. Die flexibiliteit, en niet de performance an sich, is de meerwaarde van een GPCPU.

dion_b schreef op zaterdag 30 januari 2016 @ 22:22:
[...]

Fout.

De general purpose CPU in een consumentenrouter (of trouwens overgrote deel van enterprise-spul) heeft inderdaad maar een fractie van de performance van een x86 CPU.

Maar...

Die CPU is zo goed als niet betrokken bij het overgrote deel van de werk van zo'n router. Dat gaat allemaal via dedicated logic, dus feitelijk via co-processors die zeer beperkte taken aankunnen maar die taken zeer efficient uit kunnen voeren. Dat betekent veel throughput en vooral zeer lage latencies.


Nu, dat wil niet zeggen dat pakweg een Core i5 het werk niet zou kunnen doen van een consumentenrouter. Natuurlijk kan hij dat met twee vingers in z'n neus, maar hij doet het minder efficient (qua stroomverbruik, warmte en mogelijk latencies) dat een dedicated ARM-, MIPS-, of wat dan ook (zelfs x86) routerchip.

De meerwaarde van een zware general-purpose CPU is dat het per definitie alles aankan. Met dedicated logic ben je afhankelijk van de functionaliteiten die erin gebakken zitten. Typisch voorbeeld: ik ken een routerchip _{naam ga ik even niet noemen, vertrouwelijkheid enzo} die probleemloos op volle line speed (GbE) TCP en UDP-verkeer kan routeren. Maar geen ander soort verkeer. Als je er PPTP-tunnel overheen probeert te gooien, gaat alles richting de ondermaatse CPU van dat ding en zakt snelheid in tot <1Mbps
Met een general purpose CPU heb je daar geen last van, zolang wat je wilt softwarematig ondersteund is kun je het evengoed doen, dus als je TCP op 1Gbps kunt doen, kun je PPTP of wat dan ook net zo goed met 1Gbps doen. Die flexibiliteit, en niet de performance an sich, is de meerwaarde van een GPCPU.

Je hebt helemaal gelijk

Ben(V) schreef op zaterdag 30 januari 2016 @ 11:16:
Verder zou ik niet weten wat je met pfsense meer of beter zou kunnen doen dan met een goede kant en klare router.

Spelen met jails
torrents, nzbget, owncloud, spotweb en nog veel meer.
http://dreamcat4.github.io/finch/