Ik heb mijn Fritz!box vervangen door een Opnsense systeem en maak een glasfiber netwerk

Dat is een fors moederbord…. Ik heb hier alleen OPNsense in een virtuele machine achter een V10 experiabox. VLAN6/PPPoE  in Linux opgezet, dus niet uit de glasvezel, maar opnsense dus in de configuratie die op glasvezel zou moeten werken. 

Vreemd dat je mail van abuse krijgt. Ik moet toch echt poort 53 op de PPPoE open zetten om DNS op te kunnen vragen aan de verkeerde kant. Bij zowel dnsmasq als unbound kun je de interfaces opgeven waarop geluisterd wordt.  “unbound” adviseert wel “Alle” maar dat is uiteraard discutabel. 

Dat os-ntpng is een forse uitbreiding, eens kijken wat dat allemaal kan.

Interessant om te delen, volgens mij staat er nog geen OPNsense recept op het forum.

Dat er geluisterd wordt wil nog niet zeggen dat die poort ook open staat. Dus luisteren op alle poorten is niets mis mee. Als de WAN kant dicht staat, dan komt er geen verkeer vanaf WAN terecht bij Unbound.

Het is behoorlijk vergelijkbaar met pfsense. En daar is wel wat over te vinden.

Als de firewall dicht staat kan het natuurlijk geen kwaad, alleen vraag ik me af waarom je bij een router/firewall  services aan de WAN kant wilt aanbieden, anders dan VPN.  Een PiHole constructie  achter een Experia box zou kunnen. Blijft het feit dat de OP een mailtje van abuse kreeg over zowel DNS als NTP. Tenzij er ergens een optie is die ik niet ken  om automatisch firewall regels aan te maken voor actieve services. Ik moest in ieder geval poorten 53 en 123  openen om dns en ntp te bereiken aan de WAN kant.

 De informatie over PfSense is zeker bruikbaar bij OPNsense.

Die abuse melding vind ik wat vreemd. Is dat na een standaard install van Opnsense? Ik gebruik zelf veel pfSense, maar kan me niet voorstellen dat OpnSense deze specifieke instelling anders heeft staan.

Sowieso kan je je thuis-DNS met unbound ook in een container zetten. Dat update wat makkelijker en je zit dan ‘dichter bij de bron’ dan wanneer je afhankelijk bent van de repo’s van opnsense.

Jij hebt de V10 al router/modem neem ik aan. Deze houdt elke UDP poort gesloten. De Opnsens router van mij hangt rechtstreeks op de mediaconverter van de KPN. Ik had geen ervaring met Opnsens en dan zie je dat bepaalde dingen toch anders lopen dan jij denkt. Een voorbeeld is waar en vooral welke DHCP server er gebruikt wordt. Op een schone installatie is dat dus dnsmasq en niet de server die onder de tab “service” staat. Om maar wat te noemen. Achter de Opsens staat een Mikrotik L3/L2 router/switch, maar dat is ook een verhaal op zich 😀

Ja dat is na een frisse install. Hier staat een unbound/adguard stack in een container.

Ze hebben problemen met UDP poorten wat ik kan begrijpen.

Super interessant topic voor onze KPN Community heb je geopend ​@fixnix 

Deel 2.
De Mikrotik CRS112-8p-4s-in gebruik genomen maar dat ging niet zonder slag of stoot.
Je kunt dit stukje vernuft inzetten als L3/L2 (router of switch), waarbij na configureren het echte feest kan beginnen, althans dat dacht ik. De box komt uit de doos in bridgemode, dus dat is goed nieuws. Dus eerst wat lopen prutsen met het ding (niemand die ook maar de gebruikershandleiding leest) en ineens verloor ik elk contact met het kastje.
Het ding liet zich niet pingen -wat achteraf logisch is omdat (igmp/icmp) ping requesten worden geblokkeerd. Middels nmap zag ik dat ie wel bereikbaar was. Ja en dan dan.. ..

Resetten.
Nu hebben de engineers van Mikrotik bedacht om de resetknop verschillende resetmodi toe te dichten.
De procedure kun je hier vinden.

• 3 seconden -- Loading the backup RouterBOOT loader
• 5 seconden -- Resetting the RouterOS configuration
• 10 seconden Enabling CAPs mode (wifi AP’s) of Starting the RouterBOARD in Netinstall mode

It’s alive Jim.

De terminologie soft en hard reset kent men niet wat tot vergipsingen kan leiden op de Mikrotik forums.
Uiteindelijk was ik in staat de CRS112 weer te bereiken. Oja..het admin password staat op de sticker onder het apparaat of op de doos.

Het is een ontzettend uitgebreid apparaatje met ENORM veel mogelijkheden. Hier valt veel over te lezen. Het routing en switching studie project wordt steeds leuker.

----

Deel 3.

Het duurde even maar uiteindelijk is het hele netwerk klaar. Het drukste was ik met de verbinding naar de garage maken.
Middels een buis en op strategische plaatsen een zware betontegel lichten heb ik het tracé kunnen leggen. 
Wat gaten boren hier en daar, en zo was het netwerk klaar om in gebruik genomen te worden.

Via de Mikrotek Cr112 die in bridgemode staat vertrekken de glasvezels en komen uit op een RBxxxx managed switch.
 

E.e.a. moet nog iets beter afgewerkt worden. Rechts staat de Opnsens router. Je ziet er ook 2 SFP+ aansluitingen, maar deze gebruik ik (nog) niet.

 

Een foto van boven.
Je zou denken dat het een enorme energieslurper is, maar dit valt mee.
Idle is ongeveer 30 watt, en dat vind ik acceptabel.
 

De Mikrotik RB xxxx in de garage. De fiber is te lang en moet ik terugtrekken. Linksboven is een Unify Poe injector omdat de Rb niet de juiste voltage kan leveren. Erboven hangt een Ubiquit AC PRO. Wellicht dat ik deze nog ga verplaatsen maar voorlopig is het ok.


Punten waar ik tegenaan gelopen ben:
 

• De poe injectoren van Unify zijn er in verschillende snelheden 100Mb en 1 Gb. Ik had dus de verkeerde.
   
• De RB xxxx komt voorgeconfigureerd met een “fall back” optie, wat inhoud dat de RB xxxx een ander IP adres aan kan nemen mocht er iets fout gaan. Verander dit in STATIC.
   
• Ik heb de Unify controller in Docker, wat je iets meer inzicht geeft in het netwerk. Dit is handig om te zien wat de accespoints doen, zeker als je een mesh of roaming netwerk wilt maken.
   
• 15 Mb snelheid vanaf de garage. Dit kwam doordat het meshnetwerk aan stond. De AP’s probeerden onderling via wifi te verbinden en dat ging problematisch. Mesh op manual zetten was de oplossing.
   
• Foutjes zoals twee dezelfde ip’s configuren. Verkeerd aansluiten van de poe controllers als er 2 naast elkaar hangen. Te veel vertrouwen hebben op een a.i. bot. Zelf nadenken en opzoek i.c.m. met een bot is beter.

Voor nu kan het plezier pas echt beginnen.
Ik hoop dat jullie er wat aan hebben. Het was erg leuk om te doen en de ervaringen te delen.

Toffe update weer om te lezen! Supertof dat je ons mee hebt genomen in het hele aanleg proces ​@fixnix 

Complimenten: ziet er zeer keurig en gestructureerd uit! 

Dank je wel.