Ik gebruik al jaren pfsense. Gewoon achter de Experiabox. En de ontvangers zitten ook gewoon aan de Experiabox. Alle andere apparaten zitten achter de pfsense. WiFi op de Experiabox uit, werkt prima.

Heeft u glasvezel? 

ik wil het niet achter de experiabox. ik wil de experiabox helemaal vervangen en de plugins op de pfsense gebruiken. Ik heb eerder al een config gemaakt waar ik de vlans eerst door een managed switch liet splitsen maar dit werkte niet goed met de tvboxen opnemen en andere functies op de tvboxen werkte niet meer dus wou ik het nu helemaal via de pfsense regelen.

Ik wil ook wel de experiabox eerst gebruiken alleen ik weet dan niet echt hoe het zit met portforwarden. moet je dan nog NAT gebruiken of wordt het nieuwe firewall rules aanmaken op de pfsense en dan op de experiabox portforwarden. en met de dhcp server dan krijgt de pfsense 192.168.2.1 van de experibox en dan 192.168.2.2/192.168.2.253 op de pfsense moet nog een regel aanmaken voor de IPTV om het van de wan naar lan te laten gaan over de pfsense ? Dit zijn de vragen die ik heb als ik met de config van Nick83 ga werken.

laat maar ik weet het denk ik al ga morgen testen.

Ik gebruik zelf een pfsense zonder Experiabox. Ik had veel instabiliteit issues met de Experiabox zoals uitval van de internet verbinding en relatief lage snelheid. Met de pfsense haal ik nu strak mijn internetsnelheid (500Mbit) en geen last meer gehad van instabiliteit.

 
Ik heb alleen internet (dus geen TV en telefonie). Ik heb daarom op de WAN interface maar 1 VLAN assignment hoeven aanmaken (voor VLAN 6 die wordt gebruikt voor internet). Verder op de WAN interface de PPPoE als IPv4 configuration type geselecteerd (op mijn verbinding wordt IPv6 nog niet ondersteund) en voor de authenticatie op de PPPoE interface als username/password 'internet' gebruikt. Dat is in essentie alles om de verbinding tot stand te brengen.

Werkt erg fijn m.n. i.c.m. Suricata voor IPS maar er zijn nog legio andere plugins beschikbaar.

Waarop heb je pfSense draaien? Fysieke hardware of virtuele machine?

Fysieke hardware, zo’n Qotom mini Pc. Ik heb wel een aantal VM’s draaien op een Intel NUC (EXSi) maar deze heeft helaas maar een enkele NIC. Ik heb even geëxperimenteerd met een USB NIC, maar dat is niet echt een goed alternatief (m.b.t. stabiliteit).

Mocht je overigens wel de beschikking hebben over een host met twee separate NIC’s dan verwacht ik hier geen issues mee. Zolang de pfsense installatie maar een AES-NI compatible platform ziet.

Ik heb hier ook een tijdje pfsense op een vm gedraaid. Maar ik vond het niets. Ik rommel nogal eens aan het systeem, waarvoor die dus wel eens uit moet. Dan ligt pfsense en dus mn hele netwerk ook plat. Niet handig. Heb nu pfsense op een aparte pc draaien. Maar dat vreet eigenlijk ook veel te veel stroom natuurlijk. Dus ik loop wel met plannen om ook zo'n Qotom of Protectli Vault te kopen ofzo.

Herkenbaar, ik had pfsense voor 'the time being' tijdelijk op een oude HP Z600 draaien en dat is inderdaad niet leuk voor de energierekening. De Qotom gebruikt max. 60W (12V/5A) maar zit daar ver onder. Hij geeft nauwelijks warmte af (volgens monitoring ca. 27 Graden). Ik heb ook van die 8-poort Unifi switches en die zijn echt +40 Graden.

Ik heb een 150/150 glasvezel abo, en soms ook alleen mobiel, dat is dan nog een factor 10 minder snelheid. Maar ook met 500/500 zou je nog wel met simpele managed switch WAN VLAN’s kunnen scheiden ook al zit je dan wel net op de grens. Dan heb je maar 1 ethernet poort nodig op het board waar de router (VM) op draait.

Heb in totaal 4 miniITX boards liggen (2 ervan dual Gbit ethernet), maar alle 4 ongebruikt. 1 die direct op 12V kan, is backup/redundant, ook daarop draai ik de router als VM. Dan is het ongewijzigd te verschuiven van de ene VM host naar de andere VM host. Alleen wat trucs met snapshots en storage, maar alles is in principe op afstand te regelen.

De echte lol / low-power is dat datzelfde principe ook op een Raspberrypi 3B+ kan. Is net voldoende kwa topsnelhied voor mijn abo 150+150=300Mbps halfduplex, past binnen USB2 ethernet van die 3B+. Helaas is pfsense niet vrij verkrijgbaar voor ARM, opnsense lijkt van wel, maar heb ik verder niet in detail naar gekeken.

Er bestaat wel een Raspberry pfsense GitHub projectje. Dat is mogelijk wel interessant. Of anders ESXi voor ARM? Die is sinds kort uit. Maar dat is wel meteen resource intensief. Vraag mij af of dat überhaupt een beetje presteert op een SD-kaartje. Maar dat gezegd hebbende, de netto bandbreedte die je uiteindelijk overhoud is uiteraard ook afhankelijk van de services die je activeert binnen pfsense. Als je bijv. IPS en pfBlocker aanzet vraagt dat best wel wat resources en haal je mogelijk die 150 Mbit niet eens. 

Bij elke linux distro zit QEMU/libvirt/KVM, dus ook voor ARM CPU’s. Alle 64-bit RaspberryPi’s kunnen een (ander) OS in virtuele machine draaien. VMware (ESXi) heb ik vroeger wel gebruikt voor PC’s, maar op gegeven moment hadden ze alleen maar meer iets waarvoor je moest betalen en voor het geld kon je ook een de basis onderdelen van een PC kopen. Tegenwoordig gebruik ik KVM.

Je kan RaspberryPi van SSD via USB SATA adaptor draaien, is wereld van verschil met SD-card. Een RPi4 met 8GB en SSD is tot heel wat zaken tegelijk instaat, Youtube enz staat er vol mee.

Ik realiseerde me dat in ieder geval FreeBSD eigenlijk opensource is (en pfSense ook voor zover ik weet) alleen is door de BSD licentie niemand verplicht om wijzigingen en verbeteringen aan de software ook te openbaren. Zal doorgaans wel gebeuren, maar het wordt dus echt zelf bouwen. Ik heb in ieder geval FreeBSD 13.0 aarch64 draaien in een VM, zie https://lists.freebsd.org/pipermail/freebsd-snapshots/2020-December/000787.html

Iemand ervaringen met deze firewall?

netgate SG-1100

Geen ervaring mee, maar dat is de instapper van Netgate en deze biedt niet echt veel meerwaarde t.o.v. de Unify Edge Router. Hij heeft meer mogelijkheden, maar hoe meer functies je aanzet des te meer moeite hij heeft om de volledige bandbreedte te faciliteren. De bandbreedte waarmee geadverteerd wordt is gebaseerd op download only. Voor mixed usage mag je netto ca. 250Mb bandbreedte verwachten. Voor een 500Mb lijn zul je dus een stapje hoger in rang moeten (SG-2100). Anders even googlen op “netgate firewall comparison sheet” ofzo.

Heb ook geen ervaring met die netgate SG1100, maar heb er wel een paar keer in detail naar gekeken vanwege dat die op ExpressoBin gebaseerd is. Die had ik bijna een gekocht vanwege z’n MiniPCIe slot, maar dat paste bij nader inzien niet optimaal bij een bepaald MiniPCIe kaartje.  Ik sluit me verder aan bij wat gielemans al aangeeft. Maar kijk vooral wat je beoogd, kwa prijs, processing capaciteit, energieverbruik, aanschafgemak, aanpasbaarhed, enz.

Ik ben van plan om een Protectli Vault aan te schaffen voor mn pfsense installatie:

https://protectli.com/

Volgens mij veel meer waar voor je geld.

Heb een vergelijkbare oplossing. Idd meer waar voor je geld maar ook een hogere drempel t.o.v. de ‘kant en klare’ oplossingen. Tippie; kies er wel een fatsoenlijke processor bij.

Wat bedoel je daar mee? Die koop je er niet bij, die zit er in.

Ja klopt, maar je kunt ze kopen met een i3 t/m i7. CPU performance is m.n. van belang als je gebruik gaat maken van IPS (Intrusion Prevention), uitgebreide ACL’s, VPN etc. Een i5 is veelal de sweetspot.

Dat zijn desktop processors die veel stroom gebruiken. Die wil je helemaal niet hebben in zo'n kastje.

Het zijn voornamelijk labels die Intel gebruikt, er is een enorm scala aan generaties, implementaties, enz. Je kan aan het ontwerp van de koeling wel ongeveer afleiden hoeveel het energie verbruik maximaal zal zijn. Fanless valt dan aardig mee, en hopelijk is de software/clocktree zo georganiseerd dat het systeem grootste gedeelte van de tijd idle is, en puur acteert op de hoeveelheid data I/O.

Een algemene overeenkomst tussen die netgate en die protectli is dat het een vrij algemeen platform is met een extra netwerkswitch als toevoeging, dus die helpt in principe niet voor routing en firewalling, maar natuurlijk gunstig geintegreerd voor het geval je meer dan 1 LAN IP subnet wilt met elk 1 Gbps full-duplex snelheden. Een bijgeleverd OS zal prima support voor die switch hebben, maar als je zelf b.v. een ander OS er op zet, ben ik daar niet zo zeker van, kan zijn dat je iets vanaf source-code moet bouwen (of ‘stuurprogramma installeren’).

Dat zijn vanzelfsprekend de low power laptop varianten ervan. Uit ervaring kan ik je melden dat het energieverbruik meevalt (passieve koeling). Durf zelfs te beweren dat het minder warmte genereert als de Experiabox met adapter. Meestal staat de CPU op zo’n 1 a 2% te draaien maar op de momenten dat je de power nodig hebt is het fijn dat de CPU genoeg ademruimte heeft. Ik heb allerlei services aanstaan waaronder IPS, uitgebreide ACL’s en twee VPN’s en haal altijd dik 500Mb up/down.

Heeft u het al op kunnen lossen? Ik probeer namelijk iptv/telefonie werkend te krijgen op de LAN interface waaraan een switch is verbonden

gielemans! Jij hebt met dit simpele zinnetje de dag gered!

Heb de KPN monteur voor niets langs laten komen, glasvezel kastje en verbinding waren allemaal in orde.

Maar nog steeds geen internet. Dus moest het aan pfSense liggen. Na uren klooten en googlen eindelijk weer up and running. Vlan6 werkte niet, totdat ik zag dat de interface op DHCP authenticatie stond.

Waar kan ik dat kratje bier heensturen :))

Ola, ikzelf ben ook van plan de pfsense-route te gaan, maar ik ben een netwerk-leek. Goed geïnformeerde consument op het gebied van computers, ik leer snel, maar veel van wat hierboven staat is redelijk abracadabra.

Als ik het goed heb, sluit je een (zeg) Protectli met Pfsense direct aan op je aansluiting, en vervolgens hang je daarachter je WAN-oplossing? Wat zou je daarvoor kunnen gebruiken? Op dit moment huur ik een Fritzbox 7950, maar het lijkt mij niet echt wat om die alleen voor de wifi te houden.

Is er ergens een duidelijke stap voor stap handleiding om eea met KPN werkend te krijgen?