PfSense Builds

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Iemand hier nog goeie tips voor pfsense builds. Ik kan gerust iets op de kop tikken, maar als iemand nog goeie tips weet voor iets passief, Core i3, 4-8GB ram en minimaal 2 nics ? Passief is geen must maar highly appreciated.

Amazon heeft wel wat leuke bakjes, maar dat zijn dan ook allemaal dezelfde.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

mijn opnsense draait op een n3160: https://tweakers.net/pricewatch/689497/ ... ificaties/

doe ik thuisgebruik mee (surfen, streamen, downloaden, router-on-a-stick met meerdere vlans, aes-ni staat aan, vpn, suricata, geoblock regeltjes, ....)
cpu zit meestal op 10% en zelden hoger als 70 a 80 (in een vorige versie van opnsense was er wel een issue met suricata dat cpu en mem hogging deed, maar dat lijkt in de laatste release ook weer terug gefixt)

draait heerlijk, is best zuinig en stil (maargoed, geluid maakt mij iets minder uit gezien hij op een zoldertje in het rack staat),
en is gevoed met een externe 12v voeding (wat ik een absolute plus vond... tot ik net besef dat ik die niet op mijn aankomende pdu kan zetten zo)
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Los van de Aliexpress bakjes (e.g. Minisys J3160) vond ik de Shuttle DS77U wel wat hebben. Niet veel ethernet poorten, maar OK prijs (en garantie) + power.
Als het wat lawaai (volgens je wensen blijkbaar niet) mag maken kan je ook naar de Supermicro servers kijken (Xeon D of Atom CPU), maar dat is waarschijnlijk overkill.

Zelf draai ik pfSense in een VM (Esxi met 10Gbit/s poort voor router).
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ik ben ook nog aant zoeken naar iets "betaalbaars".

Ik raad wel aan dat je uitkijkt dat de processor AES-NI ondersteunt, maw hardware encryptie ondersteuning.
De nieuwe pfSense 2.5 release ging eerst enkel functioneren op zulke processors, maar ze hebben ingebonden en nu is het optioneel.
Je kan echter verwachten dat 2.6 mogelijk die requirement wel terug gaat invoeren, en dan ben je gezien.
Het helpt ook echt wel met de throughput van VPN tunnels.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Daarom dat ik ook minimaal een i3 wil hebben. Aes-ni support en voldoende power op 500Mbit throughput te halen met wat Security features erbij. Budget is +/- 400 EUR Max.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

NuKeM schreef:Los van de Aliexpress bakjes (e.g. Minisys J3160)
belangrijk verschil tussen al die j3160 ali bakjes en mijn nederlandse n3160 bakjes is dat de n-serie gewoon op de belgisch/europese markt te krijgen is, en wat meer ondersteuning heeft voor een aantal zaken.
naar performance zijn ze echter geloof ik wel gelijk... maar wie haalt zijn fw hardware nu van ali ? :P
Sasuke schreef:Daarom dat ik ook minimaal een i3 wil hebben. Aes-ni support en voldoende power op 500Mbit throughput te halen
de n3160 heeft aes-ni support. naar througput zal je wss moeten kijken welke throughput het belangrijkst is.... wan? vpn? vlans?

ik haal over mijn vlans (router on a stick config) een 400 a 500 up/down gelijktijdig over dezelfde nic door opnsense heen.
granted, daar doet hij enkel de fw rules op het verkeer en geen intrusion detection, maar voor een zuinige firewall (toch niet onbelangrijk) vind ik dat best heel mooi. (laagste i3 tdp 35w, de n3160 6w)
de beperking lijkt me dan ook mogelijks de gigabit nic, gezien je met 400 a 500 in de beide richtingen aan een gigabit zit.
de cpu is in ieder geval niet aan 100% bezig als ik die transfers doe :)
voor wan zijde kan ik dat helaas met een 100mbit lijntje niet testen, gezien ik "maar" max 100 kan dichttrekken
silencer
Elite Poster
Elite Poster
Berichten: 4027
Lid geworden op: 08 jul 2008, 02:07
Uitgedeelde bedankjes: 172 keer
Bedankt: 102 keer

Apu2c4 is geen optie ? Draait hier Pfsense onder een esxi 6.5 APU2C4 host.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ik dacht origineel ook eerst aan een apu build, maar dan moet je gelijk met een serial interface werken,
dus ben uiteindelijk gegaan voor een build waar ik gewoon vanaf usb op kon booten en installeren :)

maar hebben de apu bordjes dan aes-ni support? (oprecht niet op gelet toenik ze overwoog)
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Apu2c4 heeft niet genoeg power om 500Mbit wan met snort en reverse proxy e.d. te doen. Het zal vermoedelijk dan toch maar een qotom i3 of i5 worden, ietsje duurder, maar dan heb je ook wel wat.

Bedoeling is om mijn home ESXi server weg te doen, geen servers meer in huis. Heb nu toch genoeg infra in datacenters draaien en de lijnen thuis zijn sterk genoeg om alles dan maar buitenshuis te draaien (buiten de nas). En mijn zuinige home build met i5-6400t is ook niet krachtig genoeg meer om en de verschillende vm’s en de pfsense te draaien. Max throughout nu is 420 ... voldoende, maar die mag/moet dus weg :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

De N3160 ziet er qua prijs wel ok uit, maar heeft voor mij te weinig ethernet poorten.
Zijn er ook soortgelijke modellen met 4 (of zelfs 6) poorten?
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef:De N3160 ziet er qua prijs wel ok uit, maar heeft voor mij te weinig ethernet poorten.
dan zit je wel in een hogere prijscategorie helaas (al is het bordje en de cpu dan ook wel nog een stuk krachtiger)
ik zou dan kijken naar de asrock-rack serie: https://www.asrockrack.com/general/prod ... ifications
goedkoopste dat ik die zo 1-2-3 kan vinden is een kleine 340 euro bij maxict (inclusief btw en verzending).

ietsje goedkoper is mss een jetway, die kan je voor een goede 315 vinden (zonder verzending), maar daar heb ik verder geen ervaringen mee.
geen idee dus of het een goede koop is. (wel meer als genoeg ethernetpoorten, dat is jetway hun ding wel: https://www.mini-itx.de/Mainboards/Jetw ... 10582.html )
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Dat is idd het grote probleem.
Meer poorten is direct ook krachtiger toestel.
Dat heb ik niet direct nodig.
Ik snap de logica wel, maar ik zou graag een tweetal wan poorten hebben, en een tweetal (of meer) lan poorten.
Minstens 1 van die lan poorten zou toch een trunk met een hele resem vlans moeten verwerken; dus het argument "meer poorten vereisen zwaardere cpu" gaat niet geheel op in dit geval; ik tel nu al een 15tal vlans (ja, huis/lab hobbynetwerkje).
Een alternatief zou zijn 2 kleinere modellen te steken, eentje voor inter-vlan traffiek, en eentje als edge firewall.

Mijn budget ligt (hopelijk) tegen de 250 max, incl 4 poorten en aes-ni (en liefst een vga poortje en usb voor de install te vergemakkelijken).
De reden is dat ik er ook een tweetal ga nodig hebben, naw.
Plus nog minstens een tweetal kleinere devices (waarbij indien nodig 2 poorten genoeg zijn; hoewel ik er altijd graag minstens 3 heb, 1 wan, 2 lan waarvan 1 op de mgmt vlan en 1 als trunk) voor extra locaties.
Dat doet de rekening toch wel wat stijgen, en ik ben niet van plan 1000+ in dit project te steken; eerder max 500.

PS1: Ik neem overigens aan dat de geciteerde prijzen hier incl casing en power adapters etc zijn?

PS2: om mijn prijsverwachtingen wat te kaderen: ik heb er een paar maand geleden gevonden met casing, 4 lans, etc voor nog geen 150 op ali; alleen hadden die geen aes-ni.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Zelf draai ik dus ook pfSense met Snort (en zeer veel regels), pfBocker-NG, permanente OpenVPN cliënt naar backup site, OpenVPN server voor remote access en dan nog wat traffic monitoring tools en andere (apcupsd, Avahi, Darkstat, ntopNG,...).
Ik heb mijn CPU-usage nog nooit hoog weten gaan (draait in VM op Xeon D 1518 systeem met twee of vier toegewezen cores dacht ik).
Natuurlijk is de belasting op mijn (thuis)netwerk beperkt (internet IPS en wat continu routen tussen VLANs bv. van Ipcam vlan naar server in andere vlan).

Met Snort neem je best wel een CPU die op één thread goed scoort omdat Snort niet multi-threaded is (Suricata wel).

Voor 400€ zou ik een custom build maken met idd i3 en zorgen dat je een Intel NIC op de kop kunt tikken met bv. 4 ethernet poorten.
splinterbyte
Elite Poster
Elite Poster
Berichten: 1755
Lid geworden op: 16 jun 2006, 18:34
Locatie: Rivierenland
Uitgedeelde bedankjes: 176 keer
Bedankt: 83 keer

Splitter schreef:...
de beperking lijkt me dan ook mogelijks de gigabit nic, gezien je met 400 a 500 in de beide richtingen aan een gigabit zit....
gbit NICs zijn toch doorgaans full duplex ? :)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef:Een alternatief zou zijn 2 kleinere modellen te steken, eentje voor inter-vlan traffiek, en eentje als edge firewall.

Mijn budget ligt (hopelijk) tegen de 250 max, incl 4 poorten en aes-ni (en liefst een vga poortje en usb voor de install te vergemakkelijken).
de door mij aangehaalde bordjes zijn mobo+cpu, maar dus nog geen case, ram, of disk. (kan je allemaal zo goedkoop of duur maken als je wil)
veel hangt ook af van de form factor dat je wil, als je een 1u rackmodel wil (zoals mij) dan ga je al minder kunnen uitbreiden.
ben je tevreden met een 2u of gewone toren ofzo, kan je natuurlijk gewoon een extra nic steken en heb je die extra poorten.
bij deze een screenshotje van een mogelijke combinatie... maar ietsje boven je vooropgesteld budget en maar 3 nics:
samengesteld.png
je kan ongetwijfeld wel betere combinaties vinden als je even zoekt, en waarschijnlijk ook ietsje lager dan de maxict prijs.
splinterbyte schreef:
Splitter schreef:...
de beperking lijkt me dan ook mogelijks de gigabit nic, gezien je met 400 a 500 in de beide richtingen aan een gigabit zit....
gbit NICs zijn toch doorgaans full duplex ? :)
nog nooit echt getest, maar is er ook maar 1 onboard realtek nic dat 1gbps in beide richtingen simultaan haalt?
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Nu snap ik hoe jij die zo goedkoop kon vinden :-)

Die prijsverschillen zijn absurd.
Het zal nog effe wachten worden tot aes-ni processors wat goedkoper worden denk ik.
Want ik kan het prijsverschil met een max 150 euro ali unit (all in, geen aes-ni, 4 ports) echt niet verantwoorden.
splinterbyte
Elite Poster
Elite Poster
Berichten: 1755
Lid geworden op: 16 jun 2006, 18:34
Locatie: Rivierenland
Uitgedeelde bedankjes: 176 keer
Bedankt: 83 keer

Splitter schreef: realtek
ah...

ik blijf voor pfsense voorlopig bij m'n single intel NIC oude/goedkope i7 laptop met vlan trunk gekoppeld aan managed switch...
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 610
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 48 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

Ik ben voor het werk al een tijdje aan het kijken naar vervangers van onze self-built D525 PFsense bakken.
Ik kwam miniserver.it tegen waar je bv de small utm 3 hebt met een Celeron J3455 (quad core mét AES-NI) voor €389 zonder disk.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Volgens de huidige deals op Alliexpress kan je een J3160 (AES-NI) met 4 Intel i210 nics kopen voor minder dan 150€
Dat scheelt weer bij de douane als je daaronder blijft, ik denk dat je hem dan (als je douane 'pech' hebt) voor rond de 200€ hebt :)
splinterbyte
Elite Poster
Elite Poster
Berichten: 1755
Lid geworden op: 16 jun 2006, 18:34
Locatie: Rivierenland
Uitgedeelde bedankjes: 176 keer
Bedankt: 83 keer

die small utm3 ziet er wel leuk uit maar haalt volgens de performance table nog niet eens 700mbps...
CCatalyst
Elite Poster
Elite Poster
Berichten: 8271
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

NuKeM schreef:Volgens de huidige deals op Alliexpress kan je een J3160 (AES-NI) met 4 Intel i210 nics kopen voor minder dan 150€
Dat scheelt weer bij de douane als je daaronder blijft, ik denk dat je hem dan (als je douane 'pech' hebt) voor rond de 200€ hebt :)
Zo'n toestel mag onder HTS 8517620000 gedeclareerd worden en dat is altijd 0% invoerrechten, ongeacht het bedrag.

21% BTW blijft wel te betalen uiteraard.
Edward Valckx
Elite Poster
Elite Poster
Berichten: 1116
Lid geworden op: 23 nov 2005, 17:11
Uitgedeelde bedankjes: 54 keer
Bedankt: 100 keer

ITnetadmin schreef:De N3160 ziet er qua prijs wel ok uit, maar heeft voor mij te weinig ethernet poorten.
Zijn er ook soortgelijke modellen met 4 (of zelfs 6) poorten?
Je kan pfSense ook heel eenvoudig draaien op een (oudere) PC met slechts één netwerkpoort. Koop gewoon een managed switch, en gebruik VLANs! Dat bespaart je heel wat geld, en je hebt veel meer keuze qua hardware.

Bvb:
VLAN1 = NORMAAL LAN
VLAN2 = GUEST LAN
VLAN3 = WAN EDPnet
VLAN4 = WAN Telenet

Switch:
Poort 1 = EDPnet modem (VLAN3 untagged)
Poort 2 = Telenet modem (VLAN4 untagged)
Poort 3 = Ubiquiti Unifi Access Point (VLAN1 untagged, VLAN2 tagged)
Poort 4 = PC1 (VLAN1 untagged)
Poort 5 = PC2 (VLAN1 untagged)
Poort 6 = Printer (VLAN1 untagged)
Poort 7 = PS4 (VLAN2 untagged)
Poort 8 = pfSense of Proxmox PC (VLAN1 untagged, VLAN2 tagged, VLAN3 tagged, VLAN4 tagged)

Ikzelf draai Proxmox (=VMware alternatief) op die PC, en pfSense is gewoon een virtual machine hierop (de andere virtual machines zijn bvb FreePBX, Unifi Controller, Medusa, SABnzbd, motioneye, minecraft server, enz). Héél flexibel!
splinterbyte
Elite Poster
Elite Poster
Berichten: 1755
Lid geworden op: 16 jun 2006, 18:34
Locatie: Rivierenland
Uitgedeelde bedankjes: 176 keer
Bedankt: 83 keer

idd zo doe ik het ook, met KVM (wat proxmox ook doet) op een andere lokatie
elke interface van je pfsense hang je aan een bridge die dan in vlan x zit, je kan dan ook meerdere interfaces aan dezelfde bridge hangen, handig als je meerdere telenet public IPs wil gebruiken (met modem only) op je pfsense, zonder al te veel kabels.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ik had in den beginne ook een gevirtualiseerde opnsense, maar ik vond het toch handiger/eenvoudiger/veiliger/leuker om die terug fysiek te maken.
ik heb dus wan in naar de opnsense en dan lan out naar de edgeswitch, met (momenteel) 7 vlans.
vlans worden wel allemaal over de opnsense gerouteerd zodat ik ook volledige controle heb over het verkeer tussen en binnen de vlans.
(ik ben nog een goede manier aan het zoeken om een deel van de vlans wel naar elkaar toe te laten over de switch, maar tot op heden nog niet echt geluk mee gehad)

maar idd als je al 2 wan aansluitingen hebt, moet je al minstens 3 nics hebben om dat te doen zonder het via de switch te doen,
terwijl je via de switch en/of virtualisatie een pak minder nics nodig hebt.
maar ik stel me dan altijd de vraag of de veiligheid gelijkwaardig is (om maar te zwijgen van random "even een kabeltje wisselen" mensen)
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Ik heb me toch maar een qotom i5-7200u met 6 nics besteld op Amazon.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Dan had ik zeker ook even gekeken naar Protectli, zouden goed zijn en zeer goede support bieden.
yaris
Premium Member
Premium Member
Berichten: 564
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 34 keer
Recent bedankt: 1 keer

Sasuke schreef:Ik heb me toch maar een qotom i5-7200u met 6 nics besteld op Amazon.
Als je zon bakje met wifi neemt, is dit makkelijk in te stellen als AP ?
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Hangt van de software af. Als dat via pfSense moet is dat zeker niet aan te bevelen, matige Wifi support + max N, m.a.w. niet doen met pfSense. Andere software zoals OpenWrt kan het dan weer wel goed.
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Splitter schreef:(om maar te zwijgen van random "even een kabeltje wisselen" mensen)
Op uw thuisnetwerk? Momenteel nog verbouwingen aan de gang, maar dat gaat bij mij toch allemaal netjes in een kastje en op slot. Daar moet niemand die binnen is aan komen :).
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

op thuisnetwerk idd niet echt last van, maar ik hou het toch steeds graag in het achterhoofd
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Edward Valckx schreef:
ITnetadmin schreef:De N3160 ziet er qua prijs wel ok uit, maar heeft voor mij te weinig ethernet poorten.
Zijn er ook soortgelijke modellen met 4 (of zelfs 6) poorten?
Je kan pfSense ook heel eenvoudig draaien op een (oudere) PC met slechts één netwerkpoort. Koop gewoon een managed switch, en gebruik VLANs! Dat bespaart je heel wat geld, en je hebt veel meer keuze qua hardware.
Eh, ik denk niet dat je mijn posts goed gelezen hebt.
Ik ben geen voorstander van zomaar wan netwerken op een switch te gooien zonder dat die eerst een firewall passeerden.
Verder komen er ook vlans, meer dan 10 zelfs.
Maar ik wil ook een lan poort die gewoon in de mgmt lan steekt voor makkelijkere toegang.
Dan zitten we al aan 4.
De extra 2 optionele poortjes zouden handig zijn om in bepaalde gevallen de switches te bypassen voor tests of andere dingen.

De prijsquote die ik plaatste van een ali unit was overigens met 4 poorten, alleen had die geen aes-ni, en laat dat feature nu blijkbaar handenvol geld kosten.

PS: voor de duidelijkheid: ik zoek appliances, geen mobos of full size pc kasten. Desnoods voor mijn units een 1U router/switch casing maar belangrijk is dat alles passief gekoeld is vanwege noise.


@yaris:
Naar AP toe zou ik geen pfsense gebruiken. Dat ding is gemaakt om een goeie router te spelen, maar is beperkt naar wifi toe.
Koop je daar een goeie dedicated AP voor, of vind jezelf een routertje dat je kan omtoveren met dd-wrt of dergelijke.
yaris
Premium Member
Premium Member
Berichten: 564
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 34 keer
Recent bedankt: 1 keer

Bedankt voor de info. Pfsense is voor mij interessant omdat je er snort en nog een boel andere plugins op kan installeren. Ook deftige openvpn support.
Ik heb nu een mikrotik en ben er heel tevreden over. Alleen laat ik nu mijn logs via netflow doorsturen en werkt openvpn niet.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Sorry vor het halve hijacken van je topic; laat alvast weten of je nog vragen hebt en wat het uiteindelijk geworden is.

Een van de leuke dingen aan pfsense is de gigantisch goeie certificate management, die je kan gebruiken voor oa vpns.
Ik heb zelfs gelezen over een bedrijf die hun certificate authority server van MS eruit gesmeten hadden wegens te veel miserie en gewoon pfsense intern runnen, enkel en alleen daarvoor.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6011
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 826 keer
Bedankt: 507 keer
Recent bedankt: 3 keer

Ikzelf ben ook wel 'in the market' voor iets van hardware waar ik opnsense kan op draaien. Feit is dat m'n huidige router (USG) zo goed als geen updates meer krijgt, en featurewise ook wel blijft steken (effectief slechtste stuk van de hele Unifi suite, imho).

Wat wel belangrijk is, is dat het zuinig is - 't is niet de bedoeling om een pc 24/7 te laten draaien, iets dat weinig verbruikt zou ideaal zijn. Iemand enige aanraders qua hardware?
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

devilkin schreef:Iemand enige aanraders qua hardware?
zoals mij, draaien op een n3160 bordje is vrij zuinig.
alternatief is een apu bordje, ook zuinig... maar je moet wel rekening houden dat je dan geen vga of hdmi hebt (enkel serial)
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6011
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 826 keer
Bedankt: 507 keer
Recent bedankt: 3 keer

Wat voor iets heb je in use?

Sent from my ONEPLUS A6003 using Tapatalk
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

devilkin schreef:Wat voor iets heb je in use?
ikzelf heb persoonlijk dit bordje: https://tweakers.net/pricewatch/689497/ ... 160tn.html
daar heb ik dan 4gb ram ingeduwd en een 100gb ssd'tje.
en dat is dan gevoed met een standaard 12v stroomadapter zoals je er meestal wel ergens in huis een paar hebt liggen van random devices :)


een goedkoper bordje is dit: https://tweakers.net/pricewatch/1366882 ... n-d3v.html
maar het prijsverschil zal zich dan weer wegwerken in het feit dat je voor dit bordje zowiezo wel een voeding moet kopen ipv een adapter te gebruiken.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Zoals hierboven gezegd, raad ik ten stelligste aan om iets te nemen dat aes-ni ondersteunt (hardware encryption).
pfSense 2.5 is afgestapt van de verplichting om het te hebben, maar ik denk dat 2.6 dat wel terug zal invoeren.
Dus future proof gewijs...

Dat maakt spijtig genoeg ook de hele affaire een stuk duurder.
Zonder aes-ni kon ik op ali een J1900 vinden met 4 netwerkpoorten die voor geen 200 euro hier was, ram, hdd, en casing inclusief.
Met aes-ni vind ik noppes onder de 300 euro.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin: de n3160 ondersteunt aes-ni :)

Gigabyte GA-N3160N-D3V : 93 euro
4gb ram: 35 euro
120gb ssd: 25 euro (ja, echt... black friday zeker? of zijn de prijzen zo hard gedaald...)
case: 30 euro
voeding: geen idee, ik ga niet elk component zoeken (pak dat het het verschil is tussen dit bordje en het andere bordje)

totaal: een 245 euro voor een volledig systeem

het probleem dat jij hebt is dat je een pak meer netwerkpoorten wil, en die ga je moeilijker vinden.
maar als je een grotere case neemt, en een pci-e netwerkkaart erinplugt is ook dat weer opgelost.

de andere optie is een pc-engines bordje, dan zit je ook onder de 300 euro (als je wat zoekt) en dan heb je 3 a 4 netwerkpoorten,
en aes-ni (mits de juiste versie)
bv: https://www.miniserver.it/firewall/apu- ... c-4gb.html

maar, pc-engines bordjes zijn effectieve appliance bordjes: geen grafische aansluiting, enkel serial. en ik vind ze persoonlijk,
euh, "Kwalitatief Uitermate Teleurstellend", maar dat kan ook aan mij liggen ? :)
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Splitter schreef:ITnetadmin: de n3160 ondersteunt aes-ni :)
Dat klopt idd; ik wou het belang ervan alleen nog effe benadrukken.
Splitter schreef:het probleem dat jij hebt is dat je een pak meer netwerkpoorten wil, en die ga je moeilijker vinden.
maar als je een grotere case neemt, en een pci-e netwerkkaart erinplugt is ook dat weer opgelost.
Dan zit je meestal met issues naar passieve koeling toe.
Splitter schreef:de andere optie is een pc-engines bordje, dan zit je ook onder de 300 euro (als je wat zoekt) en dan heb je 3 a 4 netwerkpoorten,
en aes-ni (mits de juiste versie)
bv: https://www.miniserver.it/firewall/apu- ... c-4gb.html
Dat levert dan weer geen VGA poort op, zoals je zelf ook zei.

Het bakje hieronder bv heb ik al ns gebruikt voor een vzw, maar het ondersteunt dus geen AES-NI; verder heeft het wel 4 ports, VGA en serieel, en heb je het met 4GB ram en een 120GB SSD voor nog geen 150$ (of 170$ voor de 8GB ram variant)
Daarom dat ik de meerprijs voor een AES-NI chip zo duur vind: niks onder de 300 dat ik kan terugvinden (of ik moest heel blind zijn).
https://www.aliexpress.com/item/3281077 ... d81e7c57-4
Deze J1900 zit in dezelfde prijsklasse, met de duurste variant (J1900, 8GB ram, 120GB SSD) voor 185$.
https://www.aliexpress.com/item/3279467 ... d81e7c57-5
Plaats reactie

Terug naar “Netwerken en Security”