pfSense hårdvara och konfigurering

pfSense hårdvara och konfigurering

Håller på att planera upp nätverket i huset och har tänkt att byta ut den klassiska wifi-routern som vi har nu.

Vad finns det idag för rimliga alternativ att köpa i Sverige för en hemmarouter att köra pfSense på? Kör en mindre server hemma, är det istället bättre att köpa till ett m2-kort för nätverk och köra det i en VM eller är en separat burk att föredra?
Har idag cirka 10 enheter uppkopplade och switch finns.
Anslutningen är på 1Gbit.

Är det någon som dessutom har tips på hur man på bästa sätt sätter upp detta hade det varit varmt välkommet.

Jag kan tycka om att ha en fysisk brandvägg som huvud brandvägg där min klient trafik går igenom. Sen har jag en server där jag har flera virtuella brandväggar som viss trafik går via istället.

Budget? Vad anses som rimliga?

https://www.komplett.se/product/1008776/datorutrustning/dator...

eller

https://www.komplett.se/product/1111987/datorutrustning/dator...

Router-on-a-stick fungerar i de flesta med trunk portar och vlan aware switch. Blir endast fel om du har synkron bandbredds utnyttjande, vanlig filladdning är asynkron då kan du komma upp i nära 1 gig men om du samtidigt vill ladda upp chokar du kabeln och kan max utnyttja 500 mbit ned och 500 mbit upp. Isåfall blir det att lägga tyill ett interface och antingen köra port budnle eller ett internt interface och ett externt.

Jag kör router-on-a-stick på en gammal Intel Atom D525, 2GB RAM och ett Realtek Gigabit-kort. Fungerar utmärkt. Har 250mbit internet-lina.

@LicKeN
Vill du kan du köra samma sak virtuellt i din server med ett virtuellt VMXNET-NIC i pFsense-VM:en.

Jag kör en sån här med opnsense

Supermicro CSE-815 1U Rack Server Mainboard X9SCI-LN4F Compatible CPUs i3,#200
Xeon E3 Socket LGA1155

Jag rekommenderar också en fysisk maskin, det blir alltid lägen där det inte är någon bra idé att ha sin brandvägg virtualiserad och det blir jobbigt med uppkoppling nere så fort du vill pilla nått med servern.

Om du ska köra en VM skulle jag föreslå att köra med en intel nic med två portar i passthrough, jag har testat på flera olika maskiner och har bara fått ut ungefär 250 mbit/s åt vardera med VMXNET eller intel nicar i ESXi innan cpu-lasten slot i taket, detta med en E3 och en E5 cpu.

Intressant, ska läsa mer om Router-on-a-stick. Har en lite äldre Nuc över med i5-4250u som förmodligen fungerar bra i så fall. Kan man köra ett nätverkskort över usb3 eller är det expansionskort som är att föredra?

Skickades från m.sweclockers.com

Skrivet av LicKeN:

Intressant, ska läsa mer om Router-on-a-stick. Har en lite äldre Nuc över med i5-4250u som förmodligen fungerar bra i så fall. Kan man köra ett nätverkskort över usb3 eller är det expansionskort som är att föredra?

Skickades från m.sweclockers.com

Både pfsense och vmware är ju inte särskilt förlåtande gällande hårdvara, finns det ens usb3 till ethernet med intelkretsar, och så då också fungerar för dessa? Annars så finns det alternativ till både pfsense och vmware.

Skrivet av filbunke:

Både pfsense och vmware är ju inte särskilt förlåtande gällande hårdvara, finns det ens usb3 till ethernet med intelkretsar, och så då också fungerar för dessa? Annars så finns det alternativ till både pfsense och vmware.

Det var det jag var lite tyckte mig minnas och varför jag letade ny lite enklare hårdvara. Då blir det kanske att testa hur det blir rent prestandamässigt med router-on-a-stick på nucen mot min nuvarande R7000 med asusmerlin.

Skickades från m.sweclockers.com

Jag har kört pfsense på en nuc under några år, dock bara med den inbyggda intel nicen och vlan taggning, det fungerade jättebra men vill du kunna routa 1gbps full duplex räcker ju inte en nic. Däremot är det inte ett problem då de flesta mest drar ner data och det blir en väldigt liten begränsning. Har du däremot tänkt segmentera nätverket internt och kommer ha trafik mellan vlanen så kan det bli en klar flaskhals.

Skickades från m.sweclockers.com

I Sverige så finns TekLager som fungerar som återförsäljare/integratör för små burkar som går att köra pfSense/OPNsense på.

Kör baremetal dvs inte virtualiserat, det blir betydligt lättare.
Kör intel nic försök hålla dig borta från realtek.
Ta en cpu som kan hantera aes-ni, så får du hårdvarustöd för tex openvpn, dessutom kommer pfsense ev sluta stödja cpu utan aesni.

Förslag på maskin qutom q355g4. i5:a med aes ni, 4x intel kort, fläktlös liten under 3000:-

http://www.qotom.net/product/29.html

Skickades från m.sweclockers.com

Hur är det med formfaktor, vill du ha en så kompakt enhet som möjligt eller spelar det ingen roll? Går egentligen att köra t.ex. pfSense eller OPNSense på de mesta.

Skulle dock rekommentera att välja en CPU med AES-NI om man vill köra VPN.

Dell, HP och Lenovo har ju en uppsjö med olika SFF modeller, får man tag på något sådant begagnat är det ju bara att trycka i ett nätverkskort.

Jag kör själv en Supermicro 1U (Intel E3-1220 V2 och 16Gb RAM) vilket knappt behöver sträcka på sina ben på min 1Gbit (FD) lina.

Själv så kör jag en garderobsdator med pfSense på(i5 3450 8 GB ram med intels nic i) som köpte på en loppmarknad för 500 kr ! När vi oxo bor i en brf där elen ingår i hyran gör inte saker precis sämre ! OpenVPN funkar tillfredsställande för våra behov hos Telia på en 250/250 lina

Skrivet av pv2b:

I Sverige så finns TekLager som fungerar som återförsäljare/integratör för små burkar som går att köra pfSense/OPNsense på.

Är det någon av deras förinstallerade som skulle fungera vettigt på en 600-lina? Tycker de käns väldigt klena.

Edit: Skrollade ännu längre ner och hittade i5/i7

Skickades från m.sweclockers.com

Skrivet av Otori:

Är det någon av deras förinstallerade som skulle fungera vettigt på en 600-lina? Tycker de käns väldigt klena.

Edit: Skrollade ännu längre ner och hittade i5/i7

Skickades från m.sweclockers.com

Tror du missat hela listan, de har ju flera som inte kan klassas som "klena"

Skrivet av GonAce:

Tror du missat hela listan, de har ju flera som inte kan klassas som "klena"

Gjorde en edit, surfar på mobil och skrollade inte tillräckligt 😊

Skickades från m.sweclockers.com

Rock pi E verkar bli spännande för roterbyggen.

Skrivet av Otori:

Är det någon av deras förinstallerade som skulle fungera vettigt på en 600-lina? Tycker de käns väldigt klena.

Edit: Skrollade ännu längre ner och hittade i5/i7

Skickades från m.sweclockers.com

Denna klara gig: https://teklager.se/en/products/routers/pc-engines-apu3c4-com...

Behövs inte i5/i7 för det.

Jag har en sån här till salu helt oanvänd och sprillans ny. Klarar gigabit throughput, har intel nics och passivt kyld så inga rörliga delar.

Perfekt för pfsense eller opnsense. Pma om det finns intresse.

https://teklager.se/en/products/routers/tlsense-J3P4-intel-J3...

Skickades från m.sweclockers.com

Själv kör jag virtualiserat och är helnöjd med det.

Vill du köra fysiskt så skulle jag utnyttja den Nuc du hade liggande och köpa en vlan kapabel switch om du inte har en redan. På den kan du sen sätta upp nät för in och utsida plus vad mer du vill ha

Du kommer inte att få 100% av din gig lina men bör hamna rätt nära och hur ofta nyttjar du den till max idag?

Är två interface ett absolut krav så skulle jag skaffa ett m2 till ethernet kort och modda in på något sätt

Skrivet av mats42:

Själv kör jag virtualiserat och är helnöjd med det.

Vill du köra fysiskt så skulle jag utnyttja den Nuc du hade liggande och köpa en vlan kapabel switch om du inte har en redan. På den kan du sen sätta upp nät för in och utsida plus vad mer du vill ha

Du kommer inte att få 100% av din gig lina men bör hamna rätt nära och hur ofta nyttjar du den till max idag?

Är två interface ett absolut krav så skulle jag skaffa ett m2 till ethernet kort och modda in på något sätt

Kör du med ett HA-upplägg vid eventuell patchning av hypervisor?

Edit: Jag tyckte nämligen själv att det blev lite för struligt med alla uppdateringar jag ville installera när jag körde en enkel hypervisor utan något HA-upplägg.

(HA = High availability)

@backspace:
Nä, jag kör bara med en och ett servicefönster när den får patcha och boota om sig själv.
Den gör det på natten när jag sover en gång i månaden och alla viktiga VM startas upp automatiskt efter patch

Skrivet av DuckMuck:

Kör baremetal dvs inte virtualiserat, det blir betydligt lättare.
Kör intel nic försök hålla dig borta från realtek.
Ta en cpu som kan hantera aes-ni, så får du hårdvarustöd för tex openvpn, dessutom kommer pfsense ev sluta stödja cpu utan aesni.

Förslag på maskin qutom q355g4. i5:a med aes ni, 4x intel kort, fläktlös liten under 3000:-

http://www.qotom.net/product/29.html

Skickades från m.sweclockers.com

Kör med realtek i liknande småburkar, inga som helst problem när det gäller hastighet, tillförlitlighet, etc.

Men som jag skrev tidigare, pfsense och vmware är båda ordentligt kinkiga när det gäller vad de stödjer, men då jag kör annan brandvägg och då jag kör kvm/qemu (inte samma burk som brandväggen, att inte köra brandväggen virtualiserad håller jag med om) så är det inte ett problem för mig.

Kan slänga in http://global.shuttle.com/products/productsSpec?productId=211... som en till möjlighet.

Fläktlös, kompakt formfaktor, Celeron 3865U (Kabylake), 2x Intel gigabit ethernet (I219-LM + I211-AT).

(Barebone, lägg till RAM + valfri lagring.)

Finns t.ex. här: https://cdon.se/hemelektronik/shuttle-xpc-slim-ds77u-barebone...

Skrivet av DuckMuck:

Kör baremetal dvs inte virtualiserat, det blir betydligt lättare.
Kör intel nic försök hålla dig borta från realtek.
Ta en cpu som kan hantera aes-ni, så får du hårdvarustöd för tex openvpn, dessutom kommer pfsense ev sluta stödja cpu utan aesni.

Förslag på maskin qutom q355g4. i5:a med aes ni, 4x intel kort, fläktlös liten under 3000:-

http://www.qotom.net/product/29.html

Skickades från m.sweclockers.com

Nej, dom backade på det och det kommer att fortsätta framöver utan AES-ni eller hur man stavar. Däremot får man ju dålig prestanda om man vill ha vpn igång.

Skrivet av Thex:

Duger inte till och med den billigaste de har för en 600 lina? Tycker mig kan läsa att den klarar 1 gb?
Är nämligen lite sugen på att köpa en själv och tänkte att till och med den klenaste på teklager skulle vara mycket bättre prestanda på än en dyr Asus-router? Nu har jag bara 100 mbit och behöver inte mer än så.

Jag körde en virtualiserad pfsense i många år, men sambon ledsnade på att nätet dök vid omstart av hypervisorn (och jag ledsnade också, för den tar ~15-20 minuter på sig att starta om (!), och ligger nätet nere kommer man inte åt mycket...).

Jag tittade mycket på att en fysisk burk att köra pfSense på, men hittade inga som jag tyckte skulle ge den prestanda jag önskade (har 4 VLAN internt + internetuppkoppling) och formfaktor för den peng jag ville lägga. Det slutade med en EdgeRouter 6P, som klarar det jag vill, är stabil och rackmonterbar - dessutom drar den relativt lite ström och kör Linux - så det går att installera saker som saknas, tex RFC2136-dynDNS-stöd..

Skrivet av Eazy:

Duger inte till och med den billigaste de har för en 600 lina? Tycker mig kan läsa att den klarar 1 gb?
Är nämligen lite sugen på att köpa en själv och tänkte att till och med den klenaste på teklager skulle vara mycket bättre prestanda på än en dyr Asus-router? Nu har jag bara 100 mbit och behöver inte mer än så.

Jo det gör den nog, det är ju samma CPU. Den jag länkade till har jag själv köpt in till företaget jag jobbar på och testat att den klarar gig, men du lär klara dig på den billigaste.

Vad är normalt drop i nerhastighet med VPN under pfsense?

Köpte denna https://teklager.se/en/products/routers/pc-engines-apu3c4-com... och testade gjorde ett antal speed-check, hamnade på mellan 85-98 ner.

Har som sagt 600-lina och brukar ligga stabilt runt 420-450 ner på kvällarna.

Testade med NordVPN´s app på datorn för skoj skull, då hamnade jag på 250-320 ner (väldigt svajigt).

@Otori: kolla här så ser du dem
Olika nordvpn throughoutput https://teklager.se/en/nordvpn-router/