Welke snelheid mag ik verwachten van een 4 Gbit/s abonnement?

Precies zoals ik al aangaf, via het modem is nog steeds niet correct.

Het werken met pfSense is voor mij geen probleem. Ik heb al vaker pfSense gebruikt. Ik heb ook ervaring met Mikrotik routers en OpenWRT. Ik ben ook behoorlijk ervaren met Linux. Ik heb jaren als UNIX-ontwikkelaar gewerkt en flink wat ervaring met TCP/IP-socket programmering in C en Java. Ik heb er dus alle vertrouwen in dat ik het aan de praat krijg met pfSense. Het enige echte risico is dat die N150 processor van de mini PC toch niet snel genoeg blijkt te zijn om de PPPoE encapsulatie te doen met de volle 4 Gbit/s. Dat risico neem ik maar, in het ergste geval kan ik altijd nog de box 14 gebruiken daarvoor en de rest van de functionaliteit door die mini PC te laten doen. Nadeel is dan alleen wel dat je een router achter een router hebt en weer een extra apparaat hebt staan.

Als ik het aan de praat krijg met pfSense of OPNSense, dan zal ik hier een korte write-up doen, van wat je moet instellen. Dat combineren van VLAN 6 en PPPoE moet ik nog wel even uitzoeken, van hoe dat moet in pfSense of OPNSense.

De reden dat ik dit wil is dat ik meerdere netwerken naast elkaar wil opzetten. Het netwerk 192.168.1.0/24 voor thuisgebruik (Netflix, browsen e.d., gamen van mijn zoon, alles gelimiteerd op 1 Gbit/s), 192.168.2.0/24 voor een development netwerk, 192.168.4.0/24 voor mijn publieke servers (een wetenschapswebsite over chemie, wiskunde, natuurkunde, een eigen GIT-repository met numeriek/wiskundige software en nog wat kleiner spul) en op 192.168.3.0/24 een test/acceptatie netwerk, waarin ik dingen kan testen, voordat ik ze overzet naar het 192.168.4.0 netwerk. Het 192.168.1.0 netwerk staat helemaal los van de rest, vanuit het 192.168.2.0 netwerk kan ik naar 192.168.3.0 en 192.168.4.0, maar omgekeerd staat het dicht. Vanuit 192.168.3.0 kan ik naar 192.168.4.0, maar omgekeerd niet. Dit soort configuratie kan prima in pfSense, maar niet in gangbare consumentenrouters (Mikrotik uitgezonderd).

En wees niet bezorgd, ik ga niet met de ONT aan de gang. Dat is me te veel gedoe en levert weinig tot geen extra flexibiliteit op. Die ONT werkt prima en geeft me een uitstekende bruikbare ethernet-koppeling. Dus, voor mij gewoon een ethernet-based router, die ik in prik op de ONT van KPN.

Ik heb het nu met pfSense aan de praat. Om dit voor elkaar te krijgen moet je pfSense installeren op een systeempje met in ieder geval 2 ethernetpoorten. Ik heb dus via Amazon een mini PC genomen met twee 10 Gbps poorten en twee 2.5 Gbps poorten. Bij installeren zou ik de machine met de ene poort eerst even op een bestaande router aansluiten, met internetverbinding. Dat wordt later de fysieke WAN poort. Tijdens installatie kun je op de andere poort een LAN configureren met standaard adressen (bijv. 192.168.1.1 voor de router). Standaard heb je daarop ook al DHCP, dus je kunt na installatie direct een PC aansluiten en het internet op (eerst dus nog via de Box 14).

Tijdens mijn installatie heb ik de eerste 10 Gbps poort aangesloten op de 10 Gbps LAN poort van de KPN Box 14.

Op de pfSense router hebben de 10 Gbps poorten de namen ix0 en ix1 en de 2.5 Gbps poorten hebben namen igc0 en igc1. Op andere hardware kunnen de interface poorten andere namen hebben. Dat is afhankelijk van de hardware en de gebruikte drivers. In mijn mini PC zitten twee X550 poorten en twee Intel V226 poorten. Beide worden uitstekend ondersteund door FreeBSD, het OS waarop pfSense draait.

Als je pfSense eenmaal hebt geinstalleerd, sluit dan een PC bedraad aan op de poort die je als LAN poort hebt geconfigureerd en check of je het internet op kunt, via pfSense dat op zijn beurt aan de Box 14 hangt.

Nu kun je de Box 14 er tussen uit halen en de WAN poort direct op de ONT aansluiten. De LAN poort houd je verbonden met de PC, waarvandaan je via de web interface van pfSense kunt benaderen op 192.168.1.1. Standaard username/wachtwoord is admin/pfsense. Irritant dingetje waar ik tegen aan liep is dat mijn Windows PC geen netwerkverbinding op pakt als de router, waarmee ik hem verbind geen toegang heeft tot internet. Ik krijg dan helemaal geen netwerk interface, hoewel het LAN-deel wel werkt. Om die reden heb ik er maar een Linux-PC aangehangen en die krijgt wel een IP-adres van de router op netwerk 192.168.1.x.

Als allereerste moet je een VLAN opzetten. Ga hiervoor binnen de GUI van pfSense via het menu aan de bovenkant van het scherm naar Interfaces --> Assignments. Je krijgt dan een scherm, waarin je interface assignments staan (WAN + LAN staan er in). Daar heb je ook een link “VLANs” staan. Klik daarop en klik op de Add button. Vervolgens stel je als parent interface de poort in waar je WAN op zit (nin mijn geval ix0). VLAN tag moet je op 6 zetten. Zet in de description wat het is, bijv. “KPN Internet”. VLAN priority kun je leeg laten. Save vervolgens de gegevens. 

Vervolgens moet je een PPP opzetten. Gebruik weer het menu Interfaces --> Assignments. Op dat scherm heb je ook een link “PPPs”. Klik daar op en klik op de Add-button. Stel voor Link Type “PPPoE” in (via pull-down menu) en voor de interface “ix0.6”. Kies dus niet “ix0”, maar “ix0.6”. Die laatste heb je alleen als je een VLAN 6 hebt opgezet, zoals hierboven beschreven. Save de instelling.

Ga tenslotte weer naar Interfaces --> Assignments. Op dat scherm zit je als het goed is een WAN interface met daarachter een poort (wellicht ix0). Verander deze naar PPPOE0(ix0.6) via het pull-down menu. Save de instelling. Klik daarna op de WAN-link en je krijgt een scherm met general configuration. IPv$ configuration type moet staan op PPPoE en IPv6 configuration type kun je zetten op DHCP6. MTU moet je 1492 zetten. MSS moet je ook op 1492 zetten. De pfSense software haalt daar standaard 40 bytes van af voor IPv4 en 60 bytes voor IPv6.

Verder naar beneden op het scherm heb je PPPoE configuration. Daar moet je een username en wachtwoord invullen. Ik heb internet/internet ingevuld en dat werkt. Het schijnt dat KPN hier verder niets mee doet, zolang er maar wat staat.

Alle andere velden heb ik gelaten zoals ze zijn en het geheel gesaved en daarna een apply gedaan. 

Daarna heb ik internet via het Fiber 4 Gbit/s abonnement. Het werkt stabiel, zonder Box 14. Voordeel van het machientje dat ik heb is dat hij lekker klein is en vrijwel niet warm wordt. Meestal doet het kastje niet zo veel, alleen als je volle bak download of upload doet heeft het kastje het wat drukker. Ik heb helaas verder geen apparaat met 10 Gbit/s aansluiting, alleen een PC met 2,5 GBit/s netwerkkaart en als ik die aansluit op mijn pfSense doosje, dan haal ik strak 2330 Mbit/s download en upload. Dat is volle bak voor een 2,5 Gbit/s ethernetlink (het is iets minder dan 2500 Mbit/s, vanwege wat protocoloverhead voor TCP/IP). Met iperf3 vanaf mijn Linux machine haal ik snelheden van 2,34 Gbit/s. Gebruikte commando’s zijn

• iperf3 -c iperf.weserve.nl -p 5002 -P 30 -4 
• iperf3 -c iperf.weserve.nl -p 5002 -P 30 -4 -R

Nog een puntje van verbetering. Met versie 2.8.1 is er in pfSense een nieuwe PPP-driver beschikbaar gekomen, met de naam if_pppoe. Standaard staat deze nog uit en wordt gebruik gemaakt van de oude driver. Met de nieuwe if_pppoe kan de PPP-encapsulatie gebruik maken van meer dan 1 core van de CPU. Je haalt dan een hogere snelheid en voor 4 Gbit/s links kan dat echt wel uitmaken. 

Je kunt dit instellen via het menu system --> advanced --> networking en daar if_pppoe aanvinken.  Voor de rest kun je de bestaande pppoe instellingen blijven gebruiken. Je moet de wijziging saven en een apply doen en daarna een reboot doen van de router.

In mijn situatie maakte het niet veel verschil, ik ging van 2230 Mbit/s naar 2250 Mbit/s, maar dat komt omdat ik vanaf een PC test met een 2,5 Gbit/s ethernetkaart. Ik denk dat met gebruik van if_pppoe je op een N100 of N150 processortje je echt aardig in de buurt van 4 Gbit/s kunt komen.

Wat ik wel zag is dat met de oude driver de load maximaal 26% was op de pfSense-box (bij volle bak speedtesten). Dit houdt in dat 1 core helemaal bezet is en een andere core een klein beetje (de N150 heeft 4 cores en volle belasting van 1 core is dus 25% CPU load in pfSense). Met de if_pppoe driver zie ik bij een volle bak speed test de load meer fluctueren, soms tot bijna 40% en op andere momenten maar zo’n 12%. Er wordt in ieder geval dus meer gebruik gemaakt van meer dan 1 core en dat is een goed teken.

En is dat met of zonder IPS/IDS?

Dit is zonder IPS of IDS.

Naar mijn idee is dat een beetje overkill voor een thuisnetwerkje. Ik heb wel scheiding van netwerken, elk op verschillende poorten van de pfSense box, met eigen fysieke switches per netwerkje en verkeer tussen de verschillende netwerkjes geblokkeerd. Ik heb dus netwerkjes 192.168.1.x, 192.168.2.x en 192.168.3.x.