Permalänk

ny router edgemax vs pfsense

Goddag i värmen

Då min nuvarande router som kör pfsense börjar bli till åren och saknar stöd för AES-NI behöver den snart bytas ut.

Anledningen till funderingen är inte netgates beslut att kräva aes-stöd i framtiden utan helt enkelt att min nuvarande hårdvara inte riktigt räcker till, den klarar bland annat inte att köra vpn med någon vettig hastighet :), Vi snackar rätt gammal core2duo .

Jag har kört pfsense i några år, innan dess körde jag smoothwall rätt länge så det är mest där min erfarenhet finns.

Nu har jag börjat titta på en edgemax router istället. En ER-4 kostar under 2k och jag tror jag har svårt att bygga en egen lösning till bättre pris.

Mitt behov är ganska normal hemma-routing på en 100/100 lina.
Extra behov är att jag har två externa ip:n som jag vill fördela på två helt separerade interna nät.
Det ena interna nätet ska dessutom ha ett par olika vlan.
Vi har även ip-tele, men dock inte nån ip-teve idagsläget.

Inte jättekonstiga grejer således. Jag har inget krav att routern ska kunna driva poe-enheter eller ap. Det har jag andra enheter som gör redan.

Räcker en ER-4 för mina behov?
Eller finns det ett ännu bättre alternativ?

Jag "framtidssäkrar" gärna när det gäller komponenter som routern, men jag kan inte komma på något extra möjligt framtida behov att lägga till. Enda är väl iofs att en uppgradering till 1000/1000 av linan inom livstiden för en ny router är sannolik.

Vad säger ni där ute?

Permalänk
Medlem

@hjälpsam: Om du vill ha vettig hastighet så ska du kolla bortom OpenVPN (se Wireguard). AES-NI hjälper till viss del men då OpenVPN verkar ha problem att komma upp i högre hastigheter än 220 Mb/s. (Har själv provat på 1gbit linan)

Men framtiden ser ljus ut och nu finns de på flera plattformar och har blivit accepterade i Google's Google's Summer of Code och flera kernel utvecklare för distro's har velat implementera det native i sin distro.

Permalänk
Medlem

Jag är inte säker om du kan komma up i bra VPN hastighet med ER-4 men annars verkar den ganska bra och framtidssäker. Skulle satsa på den.

Skickades från m.sweclockers.com

Permalänk
Skrivet av JeanC:

@hjälpsam: Om du vill ha vettig hastighet så ska du kolla bortom OpenVPN

Ibland kan man välja, ibland inte, tyvärr. Utan att egentligen vara alls insatt i problematiken så hoppas jag ändå att prestandaproblemen med OpenVPN kommer att lösas nån gång i framtiden. Antingen inom openVPN, eller att det kommer att alternativ som accepteras av de stora aktörerna.

Skrivet av Djayy:

Jag är inte säker om du kan komma up i bra VPN hastighet med ER-4 men annars verkar den ganska bra och framtidssäker. Skulle satsa på den.

Den verkar kunna leverera runt 50Mb/s om jag läst rätt (med openvpn), Inte så illa för vad den kostar. Men kanske i minsta laget ändå...

Min nuvarande router hanterar det någorlunda enbart på grund av en klockfrekvens på över 3ghz men bra blir det inte ändå och det duger bara till surfning eller en remote session. Nått mer och den går i taket.

@TekLager
Not sure if you removed the post yourself or you got moderated ;). Still appreciate your feedback even if I do not agree with you completely . (I don't agree that a proprietary solution has a shorter lifespan, in general I'd say its the opposite if looking outside the consumer grade level products, and compare to the often unstable nature of open source projects. PfSense however has been a stable product for years, but the changes of late makes me wonder what is going on inside Netgate. But in the end that probably wont matter anyway, either they will come out on top or there will be another fork )

Anyway, I have been looking at your products as well as they sure are a viable option (along with minisys, qotom & others). Too bad there isn't an apu option with higher clocked cpu's as that would make it an excellent choice (and yes I believe I understand why there isn't one, both heat and power usage would go up more than the added added value of the higher core frequency).

Det känns som att valet står mellan en "rimlig" produkt som klarar allt utom openVPN i hög hastighet (som till exempel ER-4 och APU2C4) alternativt gå "all-in" på en högre klockad I3:a eller liknande, priset sticker iväg en bra bit men å andra sidan kan jag återanvända en hel del komponenter och en del går att hitta begagnat dessutom.

Sen läste jag precis en tråd om att köra openVPN på en egen maskin bakom brandväggen. Så där är en variant till att läsa in sig på

Ibland hade nog livet varit enklare om man varit den spontana typen som inte tvunget måste analysera allt i förväg

Permalänk
Medlem

@hjälpsam: Jag skulle säga som så här.
Det är bättre att Ha möjligheten till att köra full hastighet på OpenVPN-anslutningen än inte alls.

Den här SFF-burken hittade jag precis nu : https://www.blocket.se/hassleholm/HP_Compaq_Elite_8300_SFF_79...
Visserligen kanske du behöver komplettera med ett extra nätverkskort men prestandan i slutändan med en i5-3570 lär ju räcka till och bli över.
Det är lite halvknepigt läge att få till Allt man vill i en burk och ska jag vara ärlig så tror jag inte det går heller, iallafall inte för min del.
Jag vill t.ex kunna ha UniFI-gränssnittet som binder ihop alla enheter på ett snyggt sätt och som man även kan konfigurera allt med hjälp av, jag vill även ha hårdvaran som min pfSense-maskin har för att kunna orka med att dra hela min nätverkstrafik igenom en OpenVPN-anslutning med tillhörande pfblockerng, IPS och DPI.

https://www.dustin.se/product/5011076435/usg-xg-8-unifi-secur...
Ovanstående är jag ju grymt nyfiken på men har lite svårt att rättfärdiga priset och skulle jag välja den så får jag inte pfblockerng i mjukvaran.
Detta är en djungel. =D

Just ja, storlek!
Eftersom du funderar på en ER4 så kanske enheten inte får vara så mycket större?

Visa signatur

Marantz NR1605, Rotel RB1090, Ino Audio piPs
SMSL SP200 THX Achromatic Audio Amplifier 888, SMSL M400, Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060, ATH-M40x, Sennheiser HD660S, DROP X KOSS ESP/95X, Koss KPH30i, DROP X HiFiMan HE4XX

Permalänk
Skrivet av backspace:

Det är bättre att Ha möjligheten till att köra full hastighet på OpenVPN-anslutningen än inte alls.

Jo så kan man ju uttrycka sig
Jag skulle gärna se till så att jag har möjlighet till att i framtiden köra i (närheten av)GB hastighet via VPN, men jag kan inte riktigt bestämma mig om jag ska investera i det nu eller inte.

Skrivet av backspace:

Den här SFF-burken hittade jag precis nu : https://www.blocket.se/hassleholm/HP_Compaq_Elite_8300_SFF_79...
Visserligen kanske du behöver komplettera med ett extra nätverkskort men prestandan i slutändan med en i5-3570 lär ju räcka till och bli över.

Utan att bli för långrandig kan jag säga att den typen av dator är nog det enda jag absolut INTE vill ha till router & brandvägg. Prestanda- och pris-mässigt hamnar de nog däremot helt rätt.

Skrivet av backspace:

Just ja, storlek!
Eftersom du funderar på en ER4 så kanske enheten inte får vara så mycket större?

I just det här fallet har storleken inte så stor betydelse, har ett midichassie idag och det får plats utan problem. Det jag däremot är säker på att jag vill ha är en dedikerad burk som bara agerar router & brandvägg (plus eventuella tillhörande tjänster).

Största anledningen till att jag tittade på ER-4:an är att den var den billigaste enheten i sortimentet som verkade uppfylla mina önskemål. Att den är liten, tyst och strömsnål är naturligtvis en bonus.

Synd bara att det är svårt att hitta info om den, men antagligen är alla som köpt den helt enkelt nöjda och sitter inte på forum och skriver en massa dynga.

Permalänk
teklager

@hjälpsam: my post got "moderated" into /dev/null I broke a forum rule. I'm not allowed to link to the webshop unless I'm directly asked, so if you want any details of a specific router we have, you need to ask

For those who missed my post. I argued that Open Source hardware has longer lifespan than consumer grade, vendor-locked commodity routers.

@hjälpsam i see your point, but I strongly disagree with you :-). From my perspective Open Source operating systems (pfSense, OPNSense, OpenWRT, etc) give you MUCH better functionality than any commodity, vendor-locked hardware out there. With these systems you get frequent security updates, and bugfixes. You can also decide to install different OS if the one you have doesn't meet your needs. With vendor-firmware you don't have these benefits.
Another important difference is that you get full access to the source code, meaning that you know your router doesn't have any intentional backdoors implanted by the vendor/government. Every year we see news about hardcoded backdoors or static password on consumer routers. You don't hear this about open source.

Consumer hardware has it's benefits, but it's not something I would recommend to power-users, and this is SweClockers after all

Visa signatur

I'm running https://TekLager.se/ - we build Open Source routers in Sweden :-)
(Sorry for writing in English! My Swedish is still not fantastic...)

Permalänk

OK. så till slut bestämde jag mig för att gå på all-in varianten Eller i varje fall nära på.
En kompakt strömsnål men ändå tillräckligt kraftfull för att klara sig några år.
Nu har jag en Qotom Q555G6 liggandes här på skrivbordet.

Innehållet är
Intel 7th Gen Core i5 processor i5-7200U Kaby Lake 2.5GHz, up to 3.1GHz Dual core
https://ark.intel.com/products/95443/Intel-Core-i5-7200U-Proc...-

6 x Intel I211-AT NIC. Vet inte varför det sitter 6 portar på dom, men kanske att jag kommer att använda hälften .

8gb ram och en 120gb mSATA.

Köpte den tom från ali och handlade minnet på tradera och ssd:n här i Sverige (eller möjligen Danmark).
Valde faktiskt varianten med antenner även om jag kommer att skruva bort wifi:t från den. Prisskillnaden var ju bara några kronor så "kan vara bra att ha" .

Den var lite pillig att få igång, biosen i den bootar inte från vilken usb-pinne som helst verkar det som. Men efter lite googlande insåg jag att det var det som var problemet och då var det ju bara att testa lite olika pinnar och hittade rätt snart en som funkade .

Min tanke nu är att installera proxmox på den och sedan köra pfsence virtualiserat + en vm med TP Link Omada controller som styr mitt wifi här hemma.

Så nästa steg är den nya utmaningen att lära sig begripa proxmox
Är det nån här som kör pfsence (eller opensence för den delen) virtualiserat under proxmox och har några tips är jag väldigt intresserad

Permalänk
Medlem

@hjälpsam: jag har precis själv köpt en liten box som jag tänkt köra pFsense på. Men undrar varför man skulle vilja köra pFsense virtualiserat jämfört med inte virtualiserat. Vad är fördelen och nackdelen?
Jag är helt ny på pFsense förresten.

Visa signatur

Citera för svar!

Permalänk

@Nima2001: Vet inte om jag har något bra svar

Fördelarna (för mig) är möjlighten att köra fler tjänster på samma hårdvara och att det är relativt enkelt att ta backup på allt och att flytta över till annan hårdvara om något skulle hända.

Dessutom tänker jag så här, den minipc:n jag valt har inte ipmi eller annan möjlighet till fjärråtkomst, genom att använda proxmox och installera pfSence som en virtuell maskin får jag lite av de funktionerna med övervakning som då saknas.

Nackdelarna är ju så klart ett extra lager med komplexitet (dvs proxmox), sen är jag nybörjare på proxmox så det är ju såklart en nackdel i sig

Permalänk
Medlem

Snubblade in i denna tråd, blev nyfiken hur det gick, jag kör nämligen proxmox och funderar på pf sense som en vm.

Visa signatur

2,4 Ghz och en espressobryggare från KRUPPS.

Permalänk
Medlem

Byggde en opnsense route förra året.

Jag hade inget krav på att hårdvaran skulle vara superminimalistisk vilket gör att det går att bygga väldigt budget.

Det jag gjorde var att köpa billigaste x86_64 hårdvaran som gick att köpa nytt för ett år sedan + 2 intel nics. Kör i en fractal design 1100 låda som är liten men är ju inte en minirouter.

Extremt mycket billigare än de små x86_64 hårdvarorna och mycket kraftfullare.

Jag skulle aldrig få för mig att köra en router virtualiserat, extra lager komplexitet. Min kvm maskin hemma t.ex. har ingen redundans och kommer aldrig att få vilket är fallet för de flesta hemma virtualiseringslösningar.

Permalänk

När det väl är uppe och snurrar gör det igen skillnad om det är virtualiserat eller inte.
pfSense/OpenSense är stabila mjukvaror och de bara snurrar på (om man inte gjort något alltför dumt).

Jag är väldigt nöjd med min lösning, det enda som jag skulle vilja göra annorlunda är att uppgradera minnet til 16gb, då skulle jag kunna slänga in en eller ett par VM:ar till i samma kärra. Men eftersom behovet ine är akut ligger jag lågt och vänta på att det ska dyka upp ett bra pris nån gång i farmtiden.

Motiveringen för min del att köra virtualiserat under proxmox är att kunna använda servern till mer än bara pfSense, att lära mig mera om proxmox, och att utnyttja proxmox till att även virtualisera delar av nätverket. Men det är mina anledningar

Det finns självklart flera vettiga anledningar till att inte göra som jag gjort också

Permalänk
Medlem

@hjälpsam: Du skulle inte kunna tänka dig att skriva en liten guide på hur du installerade Proxmox och sen PFsense/OPNsense på Qotom-boxen?

Jag har skaffat en liknade box, och skulle gärna pröva att virtualisera OPNsense för att kunna köra andra tjänster också.

Jag funderar t.ex. på hur man lägger upp nätveket: Kommer Proxmox ansluta till internet genom brandväggen i sin underliggande VM? Efter OPNsense är igång och man har sitt LAN, hur kommer man åt och hanterar Proxmox?

Permalänk

@sju:

Nu var det ju ett tag sedan jag satte upp det så att skriva en guide såhär i efterhand är nog ingen bra ide Jag lär glömma hälften. - Men faktiskt är det inte så komplicerat.
OK - med inte komplicerat menar jag inte att man utan att ha läst på har allt uppe och snurrar på en förmidag, jag har säkert lagt några hundra timmar på research av både vilken hårdvara som passade mig och vilken mjukvara jag skulle använda. Och sen så klart hur jag skulle konfigurera allt ihop.

Det första rådet är att ta en sak i sänder, börja med att leka med proxmox, lär dig lite om hur det funkar. Hur man gör nätverk. Ska du köra kluster (dvs länka ihop flera proxmox-hostar) så lek med det också.
Anteckna massvis hela tiden.

När du känner att du fattar hur det funkar går du vidare till att göra en "testinstallation" av pfsense bakom din nuvarande brandvägg så att allt du håller på med är på "insidan". Det finns en liten nackdel med att göra så och det är att pfsense gui kan bli väldigt laggigt för att den försöker hela tiden hämta info från nätet om status, men med lite tålamod så funkar det bra. (det är nån port man ska forwarda för att det ska funka ok, har glömt vilken).

När det gäller det virtuella nätverket så var det en av de saker som tog mig rätt lång tid att förstå hur det funkar, men till slut så kopplade det även i mitt huvud (det är inte svårt egentligen - men när man inte begriper så ...)

Bilden nedan visar hur jag har det uppsatt i proxmox.
de portar som börjar på enp* är de fysiska nätverksportarna i servern. där har jag på
port 1 WAN, inkommande port till pfsense
port 2&3 LAN, två portar ihopkopplade för ökad bandbredd (bond2) från pfsense (enbart för att jag kunde )
port 5 är klusternätverket, där går en separat kabel mellan mina proxmoxservar på ett eget subnät med fasta IP:n
port 6 är ett "management network" dvs det är den port som själva proxmoxhosten pratar på det interna nätverket dvs jag ansluter till 192.168.1.10 i webbläsaren till den. Det här behöver egentligen inte vara en fysisk port eftersom pfsense körs på samma server så det skulle likaväl vara en virtuell port. Men eftersom jag satte upp proxmox innan jag körde pfsense på den så behövdes den då, sen har jag bara låtit den vara kvar.

Sen är de virtuella delarna vilket är vad de olika virtuella maskinerna på hosten ser, så till exempel ser min pfsense vmbr1 som den använder till WAN, och vmbr2 som den använder till LAN.

Att jag kör dubbla WAN och att jag kör flera olika vlan syns inte här, det är gjort helt och hållet inuti pfsense (och VLAN så klart också i de olika switcharna runt om i huset).

När det gäller att installera proxmox och pfsense har jag så långt det gått enbart utgått ifrån respektive dokumentation när jag har gjort själva installationen. MEN innan dess har jag läst andra guider och kollat på en del videor på tuben för att förstå vad de olika konfigurationsaltenativen innebär. Men som sagt - när det var dags för installation gick jag rätt strikt efter instruktionerna på respektive sajt.

pfsense har skitbra dokumentation, proxmox är lite sämre. Det är en hel del fortfarande som beskriver hur man gör i shell istället för i GUI:t vilket är lite dumt eftersom det mesta BÖR göras i GUI:t numera .

Mitt första konfigurationstips är att om du kör proxmox på 8gb och använder zfs att du begränsar mängden minne zfs använder : kolla under punkten Limit ZFS Memory Usage på https://pve.proxmox.com/wiki/ZFS_on_Linux

Mitt andra tips är att följa dokumentationen, och gör så lite som möjligt för att det ska funka. Alla "kan vara bra att ha" - funktioner behövs antagligen inte

Permalänk
Medlem