Barebone voor Pfsense/Openvpn

Wat wil je doen met je nieuwe systeem?
Pfsense firewall voor gebruik met openvpn

Wat mag het systeem gaan kosten?
Tot ongeveer 500 a 600 euro. Als ik iets meer moet uitgeven voor een systeem dat toekomstbestendiger is, geen probleem.

Zijn er componenten of randapparatuur die je al hebt en mee wil nemen naar je nieuwe systeem?
Sata SSD


Heb je nog bepaalde eisen/wensen?
Mijn huidige desktop is een 4770k. De maximaal beschikbare 250 megabit wordt via de (openvpn-)client (AES-256-CGM SSL) van mijn vpnprovider nu vrijwel gehaald. In eerste instantie zou ik graag een pfsense-computer gebruiken tussen mijn modem die niet in bridge staat, en een switch. De modem wil ik voorlopig niet in bridge laten zetten want dan heb ik geen hotspots meer op mijn mobiel Iedereen hier haalt zijn wifi op dit moment van de modem en een paar accesspoints die er achter zitten. De bedoeling is om dat eerst even zo te laten en om pfsense eerst te proberen achter een switch die aan de pfsense-pc zit. Samengevat, ik wil graag 1 openvpntunnel via de pfsensemachine (of OPNsense, ben ik nog niet uit) delen met de clients die daar achter hangen. Voorwaarde is dat de maximaal beschikbare snelheid benaderd kan worden, op alle clients, en dat dit ook bij een een upgrade van die beschikbare snelheid het geval is. Dan heb ik het niet meteen over 1gbit glas, maar 350 of 400mbit mag geen probleem worden.

Natuurlijk heb ik ook al wel even rond gekeken en dit zijn voor mij de belangrijkste punten.

• Rekenkracht voor openvpn
• Energiezuinig
• Liever een aparte adapter, dus dc-aansluiting
• Fanless
• Twee Intel NIC`s ivm mogelijk pfsense gebruik
• sata voor aansluiten ssd die ik nog heb liggen
• aes-ni support op cpu
• Klein, geen zin in een joekelse kast die 24/7 staat te blazen met actieve koeling

Mogelijke kandidaten die ik in de pricewatch tegenkwam:
pricewatch: Shuttle XPC slim DS77U3
pricewatch: Shuttle XPC Slim DS67U7
pricewatch: Shuttle XPC slim DS77U7
pricewatch: Zotac MI660 nano (moet nog uitkomen, Intel NIC`s?)
pricewatch: Zotac ZBOX MI640 nano (moet nog uitkomen, Intel NIC`s?)


Zelf in elkaar zetten kan ook maar ik betwijfel of ik dan onder de richtprijs uitkom en of het systeem aan bovengestelde wensen kan voldoen.

Wat verwacht je van ons?

Misschien heb je een systeem gebouwd of kant en klaar gekocht voor een soortgelijke toepassing, en wil je je ervaring delen Ik heb nog geen ervaring met softwarematige firewalls instellen en de benodigde hardware die nodig is voor openvpn. De aanleiding voor de aanschaf die ik overweeg, is dat ik nu een paar maanden aan het knoeien ben met raspbian op m`n raspberries (seedbox, samba, kodi etc) en nu draait dus openvpn op m`n pi`s en dat is wel een aanslag op de cpu, waardoor er van de snelheid weinig meer overblijft Daarom leek het me handig om alles achter 1 tunnel te hangen en het rekenwerk te laten doen door een pc die het wel aankan. Als het goed bevalt kan uiteindelijk alles achter de pfsense pc, maar die moet het dan wel aankunnen, en de snelheid kunnen leveren

Tribits schreef op zaterdag 17 februari 2018 @ 14:57:
Voldoende rekenkracht en volledig passief blijft altijd een lastige combinatie. De Shuttle systemen gebruiken daarom ook laptop processoren (U modellen). Nadeel daarvan is dan weer dat de vorige type U generatie slechts twee cores had in tegenstelling tot de desktop varianten. Ik zie op dit moment op de site van Shuttle geen varianten met een coffee lake CPU zoals de i5-8250U. Wat betreft de Zotac zie ik dat eerdere modellen van Realtek NIC's gebruik maakten dus betwijfel ik of deze generatie wel Intel NIC's gaat krijgen.

Als het niet volledig passief moet zijn zou je kunnen overwegen om zelf een systeem te bouwen dat toch nog redelijk stil is en een stuk meer rekenkracht biedt dan de passieve NUCs

#	Product	Prijs	Subtotaal
1	Intel Core i5-8400 Boxed	€ 181,50	€ 181,50
1	Gigabyte Z370N-WIFI	€ 149,95	€ 149,95
1	In Win Chopin Zilver	€ 78,78	€ 78,78
1	Noctua NH-L9i	€ 39,71	€ 39,71
1	Kingston HyperX Fury black HX424C15FBK2/8	€ 92,77	€ 92,77
Bekijk collectie Importeer producten		Totaal	€ 542,71

Ik had het idee dat het aantal cores er minder toe doet omdat openvpn dat (nog) niet zou ondersteunen. De passieve koeling en de voeding via ac-adapter zijn om het echt 100% stil te houden zonder het risico op falende bewegende hardware. Daardoor lever je dan wel weer in op de processorkeuze Daarnaast is een aparte voeding dan meestal ook weer groot en moet die ook weer gekoeld worden. Die Zotacs zijn wel iets goedkoper maar dan val ifsense af, al neig ik wel steeds meer naar opnsense om eerst te proberen. Misschien kom ik uiteindelijk wel weer bij zelfbouw uit. Mijn ervaring met zelfbouw is alleen "Theorie - 1 uur om alles in elkaar te zetten. Praktijk - 4 uur knoeien en een hoop frustratie voordat je beeld hebt". Dus ik wilde die stap graag overstaan en betaal ik liever 100 euro extra voor een strak kastje waar ik alleen nog maar met software hoef te prutsen. Niet de optimale instelling voor een tweaker maar vroeger had ik er de tijd voor en nu wil ik liever iets dat meteen werkt en wat ik alleen maar hoef in te stellen.

Pascal Bouman schreef op zaterdag 17 februari 2018 @ 19:36:
hoeveel cpu kracht is er echt nodig is een redelijk nieuw i5 genoeg ik denk een nuc niet veel kracht zal hebben
ik zit namelijk tedenken aan:

#	Product	Prijs	Subtotaal
1	Intel Core i5-6400T Tray	€ 174,18	€ 174,18
1	ASRock H270M-ITX/ac	€ 104,95	€ 104,95
1	Sharkoon QB One	€ 36,95	€ 36,95
1	Arctic Alpine 11 Passive	€ 10,99	€ 10,99
1	Crucial CT4G4DFS824A	€ 42,-	€ 42,-
1	Mini-box picoPSU 90	€ 37,95	€ 37,95
Bekijk collectie Importeer producten		Totaal	€ 407,02

weet niet of er een apdaptor bij de vodeing komt en de netwerk kaart bedoel je zo iets gewoon moederbord met twee netwerk poorten.(deze samen stelling heeft minderkracht als de ander maar is wel passive)
en mischien heb je 8 gb ram (ik heb nodig geen idee hoeveel je nodig hebt)

Ik denk dat je bedoelt dat een NUC teveel inlevert op de rekenkracht om klein en toch koel te zijn. Dat is ook wel zo, maar een NUC biedt ook een aantal voordelen zoals de omvang en de passieve koeling. Als een proces vooral gebruik maakt van 1 core, en de single core performance van bijvoorbeeld een notebook cpu voldoende is, dan zou dat ideaal zijn om het toch een compact en stil systeempje aan te kunnen schaffen Mijn voorkeur gaat inderdaad uit naar een moederbord met twee Intel NICs zodat elke software er op draait en 8GB ram lijkt me eerst voldoende. Het apparaat krijgt verder geen server taken behalve het afhandelen van al het verkeer en het draaien van een openvpn tunnel. Ik had trouwens nog niet gedacht aan zo`n pico psu, goed idee. Dat in combinatie met een passief gekoelde cpu is ook een optie Kom ik wel weer aan het schroeven Die pricewatch: In Win Chopin Zilver is trouwens wel een mooi kastje

Vorkie schreef op zaterdag 17 februari 2018 @ 19:41:
Zelfbouw project: Firewall / Router / AP (PfSense)

Ik zou dit topic doornemen.

Je hebt zelfs kant en klare appliances uit China die voldoende sized zijn voor jouw eisen.

Ga ik doorlezen, die China oplossingen was ik ook al tegengekomen, maar gaan die >250mbit met AES-256-CGM SSL doen?

Uiteindelijk het volgende bordje aangeschaft.

Laatste versie van opnsense kreeg ik niet draaiend met openvpn forward naar de lan. Met pfsense lukte dat wel. Blijkbaar is die Celeron J3355 voorlopig snel zat , 250mbit met 256 bit aes cbc met 1% snelheidsverlies ofzo, cpu gaat dan wel naar 60%.