Wat is een goede router voor DHCP, DNS, VPN, Portforwarding?

Als je je netwerk toch al goed aanpakt, waarom een router ipv een firewall ? geeft net even wat meer mogelijkheden. vanuit isp in bridge, public-ip op je wan interface op je firewall en je kan je gang gaan.

Kijk eens naar pfsense.
Die kan native bind draaien.

Kan op iedere x86 hardware, maar als je het mooi wil doen, koop je er een dedicated doosje voor.
https://store.netgate.com/

theduke1989 schreef op zaterdag 25 april 2020 @ 19:24:
@unezra pfsense als ik naar YouTube kijk. Moet je best wel wst kracht hebben wst duur is.

Het is een van de goedkopere oplossingen.
Voor iedere performante firewall betaal je de nodige €.

Zo te zien gaat dit om een thuissituatie, daar heb je niet een heel zware firewall voor nodig. Voor het achterliggend netwerk zou ik gewoon een switch kopen, niet proberen dat te integreren met je firewall.

Firewall en router kunnen prima samen in 1 apparaat. DHCP en DNS gaat ook prima. Juist die combinatie is pfsense ideaal voor. (OpnSense kan ook, maar de UI van bind is daar minder ver ontwikkeld.)

@unezra En wat als 't ook nog eens energie zuinig moet zijn?

Will_M schreef op zaterdag 25 april 2020 @ 19:29:
@unezra En wat als 't ook nog een energie zuinig moet zijn?

Idem.

Ik heb een dedicated Deciso doosje, origineel met OpnSense, nu met pfSense.
Het ding doet 8W in productie.

(That is, hij draait nog niet actief, maar tijdens inrichten zat ik op zo'n 8W.)

@theduke1989 ik mis een stukje eigen inzet. Op je vraag wat een goede router is zijn verschillende antwoorden mogelijk, afhankelijk van je wensen, eisen en bijvoorbeeld bandbreedte van je WAN verbinding.

Waarom je drop-outs zou krijgen door een Pi-Hole installatie omdat deze DHCP en DNS doet snap ik ook niet. Waarom denk je dat dit de oorzaak zou zijn? Enkel de DNS requests en je DHCP pakketjes gaan nml. naar de Pi-Hole (en terug), niet *al* je verkeer.

Tsja, kan zo veel... je zal wat meer moeten bedenken qua behoefte voor dat je weet wat je nodig hebt.

OpnSense (of als je geen goede community wil met vieze commerciële druk: pfSense) draait op zo'n beetje alles x86 en sommige ARM bordjes.

VyOS is CLI-only maar werkt op 't meeste x86 prima. OpenWRT ditto, kan je ook op zwaardere hardware draaien voor betere performance. Sophos UTM kan het ook.

Wil je een commercieel product: Deciso verkoopt commercieel ondersteunde hardware en software (Netgate ook, maar of je dat bedrijf moet willen...), je kan ook een ding van Sophos nemen, die UTM is net als *sense gewoon BSD met een WebUI.

Wil je een 'appliance', dan zou je naar een USG of EdgeRouter kunnen kijken.

Als je liever iets hebt wat in het MKB gebruikt worden maar het niet 'beter' doet maar wel meer kost: kijk naar spul van FortiNet of Sonicwall of small business cisco spul.

Je moet echt meer uitzoeken voor dat je weet wat je nodig hebt:

- Wat kan en ken je
- Wat voor technologie wil je
- Wat voor ondersteuning wil je
- Wat voor levensduur verwacht je
- Wat voor functionaliteit verwacht je

Stel dat Je Linux + weinig OS kennis + commercieel ondersteund + ~4 jaar support + NAT, DHCP, DNS, VLAN wil met basis stateful en stateless firewalls, dan kom je bijv. vrij snel op iets van Ubiquiti uit.

Stel dat je BSD + een beetje kennis + WebUI + community support + langer dan 5 jaar support + NAT, DHCP, DNS, VLAN, IDP, IPS, policy routing enz. wil dan kom je op een OpnSense, pfSense of Sophos UTM uit.

Stel dat je niet zo zeer veel verschil in de software ziet maar wel goede hardware voor een niet te hoge prijs wil met relatief goede single threaded performance (bijv. voor crypto in OpenVPN), dan kom je op een mobile i5 of mobile i7 based SBC uit, bijvoorbeeld een Qotom Q355G4 type model. Dan heb je een goede CPU, goede Intel i2xx series netwerkcontrollers, meer dan genoeg RAM, en opties voor HDD's en SSD's als je lokaal wil auditen, capturen, loggen enz voor ongeveer 200 euro. En daar kan je dan alle genoemde software op draaien (behalve UniFi/EdgeOS).

theduke1989 schreef op zaterdag 25 april 2020 @ 22:54:
@MisteRMeesteR Ik wil sowieso een oplossing wat goed toepasbaar is op de huidige situatie wat ik heb. En de situatie wat binnen Juni-Juli gaat komen, waarbij het hele apartement dus zo wordt voorzien van bekabeling en netwerk.

Je hebt genoeg machines zoals https://de.aliexpress.com...earchText=pfsense+mini+pc waarbij je een kleine machine hebt met dedicated PFSENSE. Hoe betrouwbaar dat is een vraag apart. Momenteel wou ik een router rond de 100, 150,- wat de meeste oplossingen biedt, waarbij de Rpi en alle andere niet zoveel meer op moeten werken.

Ook zou het dan natuurlijk tof zijn, als het in een 19'' rackmount kastkan, zodat het netjes weggewerkt kan worden.

@johnkeates Appliance betaal je vaak voor de support, die support wil ik niet betalen. Daarnaast betaal je bij Appliance ook vaak voor meer features. Dat had ik al in gedachte, maar dan kom je niet erg ver met Juniper, Fortigate, Barracuda etc. Allemaal waarvoor je nog dubbelop moet betalen.

Let wel op dat als je kiest om pfSense te draaien je een CPU met AES-NI nodig hebt en als je redelijke netwerkperformance wil je Intel of Broadcom netwerk chips moet hebben. Op Aliexpress staan een heleboel 'kastjes' maar er zijn eigenlijk niet zo veel ODMs die het spul daadwerkelijk maken, 80% koopt van de resterende 20% de 'echte' hardware en labelt het zelf (zoals Protectli bijv. doet) terwijl ze wel even 50% op de prijs toevoegen.

Als je niet te veel wil uitgeven en je niet meer dan 150 hebt kan je een nieuwe SBC of embedded server vergeten, tenzij je zonder AES kan draaien en je niet meer dan 200Mbit verwacht te trekken. Dan kan je namelijk een J1900-based systeempje nemen, die kosten geen drol maar hebben ook niet bepaalde de beste throughput. Op dat punt kan je dan ook een Intel NUC nemen (bijv. NUC5CPYH) met wat goedkoop RAM en dan heb je voor onder de 150 euro ook hardware die het prima gaat doen. Dan heb je alleen wel een managed (L2) switch nodig om dat je dan je WAN en je LAN op 1 poort laat lopen. Dat gaat qua performance prima als je niet hoger dan 500Mbit hoeft te gaan. Voor een netwerkpoort maakt het niet uit wat er op IP-niveau gebeurt, die ziet alleen maar ethernet frames langskomen.

Je AC87VG van 220+ euro is trouwens ook een DSL modem. Je zal dus ook een los DSL modem op je nieuwe gateway moeten aansluiten. En als je VoIP gebruikt met de analoge poorten of DECT verbinding heb je ook een ATA of DECT basisstation nodig. Als je de AC87VG er tussen laat heb je dus geen NAT of DHCP nodig, want dat gaat die AC87VG dan al doen, tenzij je die in bridge mode kan zetten (en de VoIP over een eigen PTM gaat).

Onder aan de streep moet je ook je upload/download bij je setup betrekken: als je niet verwacht constant 1Gbit traffic te verwerken zou je ook voor ~110 euro een USG kunnen nemen: pricewatch: Ubiquiti Unifi Security Gateway (USG) dat sluit leuk aan op je AP AC's en dan heb je alles in een ecosystem zitten (behalve je switch).

[ Voor 7% gewijzigd door johnkeates op 25-04-2020 23:09 ]

theduke1989 schreef op zaterdag 25 april 2020 @ 19:24:
@kosz ik zit er aan te denken. Maar was vergeten mijn budget erbij te doen.

Ik zie nog steeds geen (hard) budget. Ik adviseer een tweedehands SonicWALL.

Ik heb sinds 2009 (!) dezelfde NSA 240 en sindsdien uitgebreid met een SonicPoint N en een NDR. Momenteel een NSA 4600 liggen met meer poorten en 10 GbE

Zit hier niets tussen @theduke1989 ?
https://tweakers.net/netw...PVdJRKkhMTw3OrEpVsjI1qAUA

De verbinding is wel belangrijk omdat je dan met de snelheden zit die de router/firewal kan verwerken.

Kijk ook eens hier: https://www.smallnetbuilder.com/tools/finders/router/view.

[ Voor 40% gewijzigd door PcDealer op 26-04-2020 00:04 ]

theduke1989 schreef op maandag 27 april 2020 @ 16:31:
@PcDealer zijn de meeste producten wel nieuw. Maar ik vermoed dat een switch en router of firewall wel gewoon 2de hands gekocht kunnen worden.

Voor de switch had ik een Netgear 16ports, met 8PoE poorten voor €162,- Netgear JGS516PE L2 managed switch.

Een soort van mini computers zijn ook handig ervoor (let erop dat je 2 poorten hebt voor WAN / LAN (is wel zo makkelijk). Dit zijn kleine kastjes en halen de 100 Mbit wel met VPN. Het ligt er aan wat voor processor er in zit. Die jij liet zien zou ik persoonlijk te traag vinden.

Voorbeeld mini PC
Voorbeeld 2 mini PC
Voorbeeld 3 mini PC (Ziet er goed uit)

[ Voor 41% gewijzigd door Luxicon op 27-04-2020 19:15 ]

Ikzelf heb gekozen voor een SonicWall NSA thuis, ik weet echter niet of die binnen je budget valt en of je voldoende kennis hebt voor het instellen daarvan. Het voordeel van SonicWall of een andere NGFW (Next Generation FireWall) (zoals een Cisco ASA, Watchguard, Fortinet, e.d.) zijn de zeer uitgebreide mogelijkheden op zowel firewall (met DPI e.d.) gebied als op routing gebied.

Voor uitgebreide DNS en DHCP mogelijkheden is het eigenlijk beter om dit te offloaden naar een server, zoals Windows Server 2019.

Ik heb een Qtom met I5, 8 Gb en 256GB SSD waarop ik VMware draai en pfSense en Pi-hole (op een debian server lite met Docker) als virtuele machines. Zoiets als dit. Ik weet niet of die 1 Gb aan netwerk voltrekt want zoveel haalt mijn internetaansluiting niet. Maar ik heb nog nooit iets vertraging gemerkt en die i5 heeft AES-NI aan boord.

Het zou trouwens ook met Proxmox i.p.v. VMware moeten werken maar daar heb ik nog geen tijd voor gehad om het uit te proberen.

dennisdennis12 schreef op maandag 27 april 2020 @ 20:20:
Voor uitgebreide DNS en DHCP mogelijkheden is het eigenlijk beter om dit te offloaden naar een server, zoals Windows Server 2019.

Welk zou je dan offloaden?

[ Voor 41% gewijzigd door PcDealer op 27-04-2020 21:19 ]

theduke1989 schreef op maandag 27 april 2020 @ 21:37:
@synoniem ik zat er ook naar te kijken. Hoe goed is dat ze doen?

Het is niet echt moeilijk. Je kan de installatie usbstick met VMware gelijk als bootdisk gebruiken omdat het installatiebestand voor het installeren in het geheugen geladen wordt. Daarna kun je via de webinterface vm's installeren vanaf een isobestand. Je installeert de lichtste versie van debian server met alleen openssh-server en gebruikt het installatiescript van docker om Pi-hole in een dockercontainer te kunnen draaien.
pfSense moet je niet vergeten rules in te stellen anders komt er geen verkeer in of uit. Het heeft een installatiewizard en er is vrij veel documentatie.

PcDealer schreef op maandag 27 april 2020 @ 21:19:
[...]

Welk zou je dan offloaden?

Het volledige dns en dhcp, maar voor thuisgebruik zal waarschijnlijk bijna niemand dat nodig hebben.

dennisdennis12 schreef op dinsdag 28 april 2020 @ 07:40:
[...]


Het volledige dns en dhcp, maar voor thuisgebruik zal waarschijnlijk bijna niemand dat nodig hebben.

Maar wat wil je hiermee bereiken dan? Ik zie het niet.

Neem PFsense / OPnSense als voorbeeld, deze hebben gewoon een volledige DHCP en DNS server inclusief dynamische registraties, waarom zou je de voorkeur op een hele Windows Server zetten als een Next-Gen FW (zoals PFsense/OPNsense) de lading ook dekt?

Misschien is een Mikrotik Router iets voor je?
Kan alles wat je beschrijft voor een relatief kleine prijs.

Vorkie schreef op dinsdag 28 april 2020 @ 08:11:
[...]

Maar wat wil je hiermee bereiken dan? Ik zie het niet.

Neem PFsense / OPnSense als voorbeeld, deze hebben gewoon een volledige DHCP en DNS server inclusief dynamische registraties, waarom zou je de voorkeur op een hele Windows Server zetten als een Next-Gen FW (zoals PFsense/OPNsense) de lading ook dekt?

Normaal gesproken worden NGFW's toegepast binnen bedrijven. Grotere bedrijven hebben vaak de behoefte aan geavanceerdere mogelijkheden, o.a. AD (Active Directory), waardoor het veel handiger is om DNS en DHCP ook te hosten op de server. Tevens is het veel eenvoudiger om te zorgen voor een failover, als je de DNS en DHCP host op een (gevirtualiseerde) server.


Voor thuis gebruik is dat inderdaad overkill (ik laat het thuis ook gewoon mijn Sonicwall afhandelen).


@theduke1989
Die XTM's zijn al behoorlijk oud en zijn bijna EOL. Als je toch zou kiezen voor zo'n XTM, kies dan wel voor de krachtigere XTM26.

[ Voor 7% gewijzigd door dennisdennis12 op 28-04-2020 09:49 ]

theduke1989 schreef op zaterdag 25 april 2020 @ 13:34:
Momenteel heb ik veel last van drop-outs nadat ik Pihole en Unbound heb geinstalleerd. Doordat alles via de Pi-hole gaat DHCP, en DNS kan ik niet echt veel doen.

Op mijn huidige modem/router ASUS DSL AC87VG heb ik geen opties voor DNS en dat soort zaken, dus alles moet vanuit PiHole. Dit wil ik dus nu aanpassen.

MisteRMeesteR schreef op zaterdag 25 april 2020 @ 22:31:
Waarom je drop-outs zou krijgen door een Pi-Hole installatie omdat deze DHCP en DNS doet snap ik ook niet. Waarom denk je dat dit de oorzaak zou zijn?

De vraag van @MisteRMeesteR is naar mijn idee nog steeds niet beantwoord, en ik snap het ook niet.

Ten eerste al niet waarom je unbound er tussen getweakt hebt, en ten tweede niet wat je dan precies zou willen doen op router/firewall met DNS en DHCP wat in de huidige constellatie niet kan.

Ik heb al jaren een Fritz modem/router en dan een PiHole ernaast voor DNS en DHCP. Destijds heb ik mijn dnsmasq configuratie gewoon over gekopieerd met alle vaste leases en de toewijzing van DNS-servers en gateways (verschillende gateways voor verschillende VPNs die in verschillende landen uitkomen, sommige machines gaan ook gewoon direct het internet op). De Fritz doet dus niet veel meer dan WiFi en een verbinding maken, en heel soms gebruik ook de VPN.

Dat je alles netjes afwerken wilt, dat snap ik. Dat je consolideren wilt qua hardware snap ik ook. Maar de redenen die je opgeeft waarom je dat wilt doen, dat snap ik niet.

Ik zou het jammer vinden dat je veel geld en moeite stopt in iets dat je in principe veel simpeler kunt oplossen, alleen maar omdat je geen goede diagnose stelt (kunt stellen) van je huidige probleem. Deze vraag viel me namelijk ook op.

theduke1989 schreef op dinsdag 28 april 2020 @ 16:43:
@Kraz ik zit te kijken inderdaad, dit zijn allemaal routers of?

Yup!
Wel heeft Mikrotik een hoge instap qua manier van instellen en het kan soms wat lastiger zijn dan wat je gewend bent.

Als goed Mikrotik alternatief zou ik zeker ook de edgerouters van Ubiquiti in overweging nemen; die zijn namelijk ook behoorlijk uitgebreid maar wat eenvoudiger om in te stellen. Of een USG van unifi.

[ Voor 5% gewijzigd door dennisdennis12 op 28-04-2020 18:35 ]