DIY - Home Router/Firewall

[Godfather]

Значи това Зионче е баси якото парче силиций - тествах преди малко как се държи машината на 10 гигабитова връзка с NAS-a ми, който също е на 10 гигабита. 9.41 Gbit/sec достигна теста, като в същото време натоварването на процесора не подмина 30%.  Аз доволен. Даже много доволен. И как досега съм живял без pfSense, не мога да си обясня.

 

Едит: Преди малко измерих и същинската консумация. Нормално натоварване - 29 вата. При пълно запълване на 10 гигабитовата връзка - 50 вата и температура на процесора 50 градуса. Мисля, че повече от това няма какво да се иска от DIY хардуер.

[Veno]

кръстник, как е кутията като качество? мисля да купя същата за да прехвърля в нея домашния сървър и да оптимизирам мястото в домашния рак... за момента това е най-евтиното около 85 евро що-годе читаво решение което намирам .... всички друго е от 120-150 евро за кутия нагоре....

[Godfather]

8 hours ago, Veno said:

кръстник, как е кутията като качество? мисля да купя същата за да прехвърля в нея домашния сървър и да оптимизирам мястото в домашния рак... за момента това е най-евтиното около 85 евро що-годе читаво решение което намирам .... всички друго е от 120-150 евро за кутия нагоре....

Вено, доста съм доволен от кутията - добра изработка с възможности за махане на много от вътрешните планки за неща, които няма да ти трябват. Единственото, което трябва да имаш предвид е, че ако слагаш карти в PCIe слотовете, ще ти трябва половин размер за закрепващата планка. Има обаче един вариан за цял размер карта (хоризонтално - снимката на предишната страница) и аз успях да го използвам, защото нямах опцията с половин размера. Разбира се за този трик ти трябва PCIe riser кабел. Та общо-взето това са особеностите, но иначе самата кутия е бетон.

[Veno]

12 hours ago, Godfather said:

Вено, доста съм доволен от кутията - добра изработка с възможности за махане на много от вътрешните планки за неща, които няма да ти трябват. Единственото, което трябва да имаш предвид е, че ако слагаш карти в PCIe слотовете, ще ти трябва половин размер за закрепващата планка. Има обаче един вариан за цял размер карта (хоризонтално - снимката на предишната страница) и аз успях да го използвам, защото нямах опцията с половин размера. Разбира се за този трик ти трябва PCIe riser кабел. Та общо-взето това са особеностите, но иначе самата кутия е бетон.

Нямам PCI карти. Имам 2 диска 3.5" и един 2.5" SSD - който сигурно ще мигрирам към M.2 на дъното скоро.

Иначе тази кутия ми пасва идеално.... но не мога да намеря причина да оправдая 150 евро + шипинга:

https://www.amazon.de/-/en/gp/product/B08CVP8Y9S/ref=ox_sc_saved_image_1?smid=A1H323GVYZCPC0&psc=1

 

 

[EEK!]

Е то това си е почти обикновена кутия, ако вземеш АТХ от по-високите става почти точно, два винкела отстрани за закачане, и евентуално 2 летви по 1-2см

Сега наложих един 19" суич върху обикновена кутия. Или пък тава 19" и върху нея кутията. Не е красиво, но не струва 150евро

Edited October 28, 2022 by EEK!

[Veno]

трябва да е красиво и функционално и не по-дълбоко от 300-340мм! Същата кутия се е продавала в БГ за 216 лв. с ддс преди една година, но сега цените са други....

 

[EEK!]

Тогава парите не се броят за пречка

[Veno]

7 minutes ago, EEK! said:

Тогава парите не се броят за пречка

зависи колко си стиснат...

[Godfather]

16 hours ago, Veno said:

Нямам PCI карти. Имам 2 диска 3.5" и един 2.5" SSD - който сигурно ще мигрирам към M.2 на дъното скоро.

Иначе тази кутия ми пасва идеално.... но не мога да намеря причина да оправдая 150 евро + шипинга:

https://www.amazon.de/-/en/gp/product/B08CVP8Y9S/ref=ox_sc_saved_image_1?smid=A1H323GVYZCPC0&psc=1

 

 

Баси, цените в немския Амазон са направо цифромания някаква. Моята кутия я гледам за 202 евра, тия луди ли са? Аз я взех за 130 канадски с безплатна доставка. 

Иначе ако размера не ти е проблем, тази кутия, която си дал изглежда доста добре, да не говорим, че е и rack mountable. На мен ми трябваше нещо доста по-компактно и затова се спрях на въпросния Силвърстоун.

[Veno]

Хах, поръчах https://www.amazon.de/-/en/gp/product/B0080FA3YU/ref=ppx_yo_dt_b_asin_title_o00_s00?ie=UTF8&th=1

само че за 80 евро от Amazon Warehouse, пише used like new, предполагам поръчана и върната от някой... ще видим какво ще дойде...

[Godfather]

80 евра за тази кутия не е никак зле.

[Godfather]

Дискусията с проблемите на рутера на Магданоза ме карат да направя едно обобщение тук как след няколко месеца ползване на въпросната DIY машина с pfSense направо ме накара да забравя за всички нерви с all-in-one таралясници, които съм имал преди това. Баси, всеки пък като ми притрябва някаква нова екзотична функиця - просто инсталирам въпросния компонент, малко настройки и всичко тръгва, заспивайки бетон! Да не говорим, че всички въпросни тестове запълват винаги почти максимума на съответния мрежов интерфейс (включително 10 гигабитовия) без това изобщо да "изпоти" машината. Сега единствено остана да продам старата бракма Asus ROG Rapture GT-AX11000, че нещо я забравих да прашасва в склада за боклуци. Аз я бях оставил първоначално за резерв, ако се пръкнат някакви проблеми с pfSense машината, ама такива до този момент така и не се появиха. 

 

ПП. В момента на рутера има инсталирани какви ли не екзотики, включително Snort и Ntop-ng, като натоварването е следното:

 

Ся някои могат да кажат - ами сложил си 16GB RAM. Е па що да не сложа, като е без пари. Всъщност, това е едно от огромните предимства на DIY машината пред всичко що е all-in-one железа (или по-скоро пластмаси).

 

ПП2. Забравих да добавя, че машината поддържа постоянно три изходящи VPN-а (един български, един канадски и един американски, като в същото време изпълнява policy-routing препращайки различни вътрешни устройства по тия трите VPN-a) и също така един входящ on-demand. Естествено криптографските инструкции на процесора са активирини.

[plameni]

5 hours ago, Godfather said:

след няколко месеца ползване на въпросната DIY машина с pfSense направо ме накара да забравя за всички нерви с all-in-one таралясници, които съм имал преди това.

 

Welcome, дет' се вика 

От колко години "пея" за такава схема със софтуерен рутер.

[w00x]

Какви точки използвате за безжичните устройства? Не е ли много скъпа тази схема?

[Mockingbird]

8 hours ago, Godfather said:

Може да му форсираш пак ъпдейт на същия фърмуер за всеки случай (понякога при ъпдейт дори и без явна грешка стават разни галимации). Какъв е точно модела на рутера? Пробва ли да видиш дали губи връзката и на мрежовия интерфейс или просто губи само динамичното IP?

Прехвърлям разговора тук.

В отговор на коментара от по-горе за компютър-рутер, pfsense и т.н... Имам някакви познания за мрежите, но да кажем, че съм една идея и половина над нивото на средностатистически напреднал лузър. Та не бих казал, че ми е в компетенцията да направя нещо подобно като на Кръстника или Миро с pihole. И честно казано не ми се чете. Може би е много по-сигурно и стабилно, и бързо и има още благинки, но на мен и приличен wifi рутер ми е ок.

Мрежата ми изглежда така:

1. Оптичен конвертор на доставчика
2. Рутер TP-Link Archer AX72
3. WiFi extender Tp-Link RE605X свързан към рутера с OneMesh
4. WiFi extender Tp-link TL-WA855RE, но като цяло този почти не се ползва, защото основния рутер му покрива района и май става излишен и ще го махна.

 

Рутера е нов. Ползвам го от 11 месеца и никога не е правил проблеми. Мрежата, обхвата и всичко работи пушка. Стрийм от компютъра през екстендъра и рутера до свързания жично телевизор на 4к филми без проблем... Отделно стрийм безжично от рутера през екстендъра до amazon fire стик на друг телевзизор. Две 2к охранителни камери, домашна автоматизация, смарт видеодомофон, телефони, лаптопи, мрежов аудио стриймър.. Събират се доста устройства....

Днес вързах "проблемния" рутер AX72, зад един 841N и му закачих пак екстендъра, десктоп ПЦ-то по wifi 5G, едната камера по wifi на 2,4G, телевизора по wifi на 5G, един лаптоп по кабел и няколко телефона... и работи гадината. Uptime вече 3 часа и няма никакви ядове...не знам какво се беше омазало вчера... Ще го поръчкам няколко дни в тази конфигурация, да видя как ще се държи и ако е наред го връщам пак като основен рутер.

 

П.П. Вчера даже доставчика си смени медията за да е сигурен че при него няма драма…. и той даже спомена, че няма да се учуди ако днес включа рутера и работи без проблем.

Edited January 15, 2023 by Mockingbird

[plameni]

30 minutes ago, w00x said:

Какви точки използвате за безжичните устройства?

 

Още преди пет години съм дал моето решение, но се изисква да има кабели до съответните позиции:

Quote

Най-евтиното и добро решение, което съм намерил за аксеспойнтове, с поддръжка на 802.11ac 1300 е BT HomeHub 5.

С малко усилие и късмет, може да се купи на цени от £0.99 до към £5 - £6 - £7. С доставката излиза 10-20 лв. + левче за UK-адаптер

Пренастройва се за 5 мин. и забравяш!

Като плюс ще имаш свободни RJ45 портове на съответните места и възможност да шерваш през мрежата USB устройство към всеки аксеспойнт. 

Вкъщи подмених n-рутерчетата, които ползвах като аксеспойнтове с четири такива, на работа сложих десетина и още няколко при приятели.

От над двадесет, досега само един е дал фира и то най-вероятно от токов удар.

 

Няколко пъти съм обмислял замяна вкъщи, но все още не намирам достатъчно основателна причина за разходи към ax-устройства.

  

30 minutes ago, w00x said:

 Не е ли много скъпа тази схема?

Скъпо е решението на @Godfather, но пък е с поддръжка на 10GbE и много, много голям резерв.

Моето е значително по-евтино - Thinclient (с пасивно охлаждане) + допълнителна мрежова карта, а след него суич.

Но и при мен скоро предстои ъпгрейд.

 

Edited January 15, 2023 by plameni

[ARPAnet]

2 hours ago, w00x said:

Какви точки използвате за безжичните устройства? Не е ли много скъпа тази схема?

Прекалено много "зависи" има в схемата.

Например добро начало са стари десктоп машини, които си работят нормално, но вече нямаме какво да правим. Самият НАТ на интернета не изисква много ресурси, заради което и по-старите машини са идеални за такива цели.  Съответно в този случай "рутера" ни идва на нулева цена, или може би цената на екстра лан карта, ако машината е само с един мрежови порт. 

За wi-fi часта пак зависи, стари/актуални рутери се превръщат в добри AP-та, особено ако са си работили добре и преди като AP. А ако трябват отделни - рутерите винаги са опция, или дедикейтед AP-та. 

Брат ми си кара с някакво рутерче като AP и му върши работа. Аз доста време правех същото, в момента обаче точките са ми на тавана та така или иначе съм "ограничен" от този тип AP-та. Всъщност пишейки това се сещам, че доста от колегите ми в крайна сметка минаха към дедикейтед АП-та, независимо от рутера отпред защото им писна от проблеми с Wi-Fi. Преобладаващо минаха към Ubiquiti

Като според желанието и хардуера, с виртуализация или малко желание за ползване на Линукс -> старата машина освен на рутер може да се прави и на домашен сторидж. Тук играят бюджет, свободно място и т.н. Но при наличието на старо PC което работи, лесно се получава Рутер+Сторидж на ниска цена. 

 

Вариант са и девайсите на нетгейт (те правят pfsense) - Appliances (netgate.com) . Не съм ги ползвал директно от тях, но някои са модели на Силиком, а те правят готини и работещи боксове, даже имам единият бокс под ръка  

Или разните алиекспрес устройства, станаха много популярни в последно време. ServeTheHome прави доста ревюта на такива устройства, примерно (206) Fastest Cheap 4x 2.5GbE Intel Atom N6005 Firewall for pfSense OPNsense and Proxmox - YouTube

Тези не са точно DIY, но пак получаваш pfsense, хардуерно са стабилни устройства, но имаш и наистина малък form factor, все още прилича на рутер

 

Варианта на godfather-a е по-скъп, но според желанието  

2 hours ago, Mockingbird said:

Имам някакви познания за мрежите, но да кажем, че съм една идея и половина над нивото на средностатистически напреднал лузър. Та не бих казал, че ми е в компетенцията да направя нещо подобно като на Кръстника или Миро с pihole.

Инсталирането на pfsense–а лесно като такова. А уеб интерфейса му е много приятен и ако човек може да се оправи с домашен рутер, то ще се справи и с pfsense–а без проблеми. А в интернет има безброй видеа.

Определено е по-лесен от микротиците. 

 

9 hours ago, Godfather said:

след няколко месеца ползване на въпросната DIY машина с pfSense направо ме накара да забравя за всички нерви с all-in-one таралясници, които съм имал преди това

Ти това ксеонче трудно ще го замислиш. Освен ако не го накараш да прекарва всичко през тунелите, или не прекалиш с инспекциите. Pfsense май нямаше ssl decryption? 

[Godfather]

21 hours ago, w00x said:

Какви точки използвате за безжичните устройства? Не е ли много скъпа тази схема?

Да, скъпо е и определено е оувъркил, но пък нали хората са казали, че кефа цена няма. Всъщност WiFi AP-то не бих казал, че е кой знае колко скъпо - закачил съм Ubiquiti Unifi U6-Pro и това нещо си заслужава всяка стотинка. Бях поръчал и по-малката и евтина версия U6-Lite с идеята да го сложа този АП в офиса (това също спокойно минава като основен АП), но се оказа напълно излишно и сега ми стои резерва, като се чудя дали да го държа или да го шътна на вторичния пазар. Както вече споменах на Магданоза, спокойно за WiFi AP може да се ползва all-in-one рутер, защото тия машини с немощни процесори трябва да работят добре, когато не се ползват за нищо друго освен като аксес поинт. А за рутер с pfSense може да се пригоди всякакво събиращо праха старо РС, но гледам, че @ARPAnet вече подробно е обяснил вариантите. Само бих добавил, че за оптималното отношение цена/производителност на такъв рутер може да се избере някакво дъно от ebay втора ръка в комбинация с интелски процесор с възможно най-ниската мощност (примерно 35 ватов i3-9100T). Всъщност и моята машина можеше да дойде доста по-евтино ако се бях напънал да търся подобно дъно втора ръка.

 

18 hours ago, ARPAnet said:

Ти това ксеонче трудно ще го замислиш. Освен ако не го накараш да прекарва всичко през тунелите, или не прекалиш с инспекциите. Pfsense май нямаше ssl decryption? 

Така е и това наистина ме кефи на макс, щото е само 25W TDP и направо се чудя как са го докарали до такива параметри.

 

ПП. Относно TLS decryption - не би трябвало да има проблем. Стандартно pfsense поддържа squid proxy и ако направиш рутера да прави transparent DNAT на всичко що е TLS трафик към проксито (естествено трябва да се вкара CA сертификата в Trusted CA store на всички клиентски машини), то в този случай ще можеш да прихванеш всичкия TLS криптиран трафик и да го терминираш в машината.

[plameni]

Старо PC - ok, обаче да не забравяме, че темата е за Home Router/Firewall, а в града, за над 95% от случаите става въпрос за апартамент.

От това произлиза и още едно важно изискване - 100% fanless, не само за процесора, но и за захранването.

[Godfather]

1 hour ago, plameni said:

Старо PC - ok, обаче да не забравяме, че темата е за Home Router/Firewall, а в града, за над 95% от случаите става въпрос за апартамент.

От това произлиза и още едно важно изискване - 100% fanless, не само за процесора, но и за захранването.

Значи по въпроса за вентилаторите може леко да се поспори. Ако изискването е шума (не се сещам за друго) - в тези случаи винаги може да се мине с вениталор застопорен на достатъчно ниски обороти, който ще може да се чува единствено, ако си долепиш ухото до кутията. Все пак не говорим за 500 ватови графични карти.

[ARPAnet]

Нищо против fanless, но с хубави вентилатори машината би трябвало да бъде тиха. А и такива домашни рутери обикновено основно idle-ват, което също помага за ниски обороти на вентилатора. 

Според личният ми опит по-проблематични са малките машини в кутии стил рутер като споменатите горе на нетгейт. Когато има вентилатори те са мънички такива които са високооборотни и съответно по-шумни. Не, че и там Noctua не помага. На повечето такива дребосъци вкъщи съм им сменил вентилаторите с Noctua точно заради тази причина.

 

И понеже вчера споменах Силиком машинката която освен да се разхожда м/у офиса и вкъщи и да прашасва, друго не прави. Най-накрая днес седнах и я превърнах в екстра умен "мрежови суич" с 8 ядра и 16Г-та рам.  Има 10Г сфп портове и 2.5Г медни, съответно инсталирах Rocky Linux 9.1, bridge м/у една 10-ка и един 2.5Г, и си имам 2.5Г мрежа до десктопа  А купуването на хубав суич с мултигбит портове и 10г портове който да замени едната ми 24-ка се отлага още в бъдещето.

Сега трябва да прехвърля разните контейнерчета от адвантека ми в/у новият ми "суич" и мога да изключа адвантекчо. 

Същото или подобрно упражнение би се получило и с онези споменатите горе 2.5Г машинки  

 

  

17 hours ago, Godfather said:

ПП. Относно TLS decryption - не би трябвало да има проблем. Стандартно pfsense поддържа squid proxy и ако направиш рутера да прави transparent DNAT на всичко що е TLS трафик към проксито (естествено трябва да се вкара CA сертификата в Trusted CA store на всички клиентски машини), то в този случай ще можеш да прихванеш всичкия TLS криптиран трафик и да го терминираш в машината.

Бях забравил за squid-а, а той всъщност може да ти автиматизира let`s encrypt сертификатите, та дори няма да имаш нужда да импортираш сертификата, може да използваш съвсем валиден такъв  

Edited January 16, 2023 by ARPAnet

[Godfather]

8 hours ago, ARPAnet said:

Бях забравил за squid-а, а той всъщност може да ти автиматизира let`s encrypt сертификатите, та дори няма да имаш нужда да импортираш сертификата, може да използваш съвсем валиден такъв  

Значи това с Let's encrypt сертификатите става само за входящи уеб конекции към публичния интерфейс (ако си конфигурирал такъв достъп), но в обратния ред - изходящ криптиран уеб трафик от клиентски машини в локалната мрежа, който трябва да се терминира и декриптира на рутера, няма как да се мине без импортирането на СА сертификата във всички тези клиентски машини, защото иначе всеки браузър на клиентските машини ще почне да реве при достъпа на произволен външен сайт. Трика в случая е, че squid трябва да замества оригиналния сертификат на външния уеб сървър (примерно www.google.com) с фейк такъв, автоматично генериран и подписан от вътрешния СА сертификат, което нормално ще включи всички "червени лампи" в клиентския браузър. То това си е всъщност типична man-in-the-midle TLS атака, защото няма как по друг начин да се изпълни това декриптиране. И за да не реват браузърите, трябва да се импортира този СА сертификат, защото все пак се предполага, че това са си твои машини. Така е навсякъде из корпоративните мрежи, като обикновено този сертификат се импортира директно през Domain GPO в случая на Уин машини и сътоветен домейн.

[ARPAnet]

1 hour ago, Godfather said:

Значи това с Let's encrypt сертификатите става само за входящи уеб конекции към публичния интерфейс (ако си конфигурирал такъв достъп), но в обратния ред - изходящ криптиран уеб трафик от клиентски машини в локалната мрежа, който трябва да се терминира и декриптира на рутера, няма как да се мине без импортирането на СА сертификата във всички тези клиентски машини, защото иначе всеки браузър на клиентските машини ще почне да реве при достъпа на произволен външен сайт. Трика в случая е, че squid трябва да замества оригиналния сертификат на външния уеб сървър (примерно www.google.com) с фейк такъв, автоматично генериран и подписан от вътрешния СА сертификат, което нормално ще включи всички "червени лампи" в клиентския браузър. То това си е всъщност типична man-in-the-midle TLS атака, защото няма как по друг начин да се изпълни това декриптиране. И за да не реват браузърите, трябва да се импортира този СА сертификат, защото все пак се предполага, че това са си твои машини. Така е навсякъде из корпоративните мрежи, като обикновено този сертификат се импортира директно през Domain GPO в случая на Уин машини и сътоветен домейн.

Дам, вярно че при outband генерира нови сертификати за всеки сайт и let's encrypt няма да свърши работа. 

Прекалявам с abuse-а на reverse proxy-та и по навик тръгнах с Let's encrypt

Знам как се тръства CA обикнобикновено 

[Godfather]

20 minutes ago, ARPAnet said:

Дам, вярно че при outband генерира нови сертификати за всеки сайт и let's encrypt няма да свърши работа. 

Прекалявам с abuse-а на reverse proxy-та и по навик тръгнах с Let's encrypt

Знам как се тръства CA обикнобикновено 

Сега хвърлих един бърз поглед в мрежата и почти не открих никаква подходяща информация по въпроса та се замислям дали да не спретна едно образователно видео в тубата за това с всичките му подробности.

[ARPAnet]

2 minutes ago, Godfather said:

Сега хвърлих един бърз поглед в мрежата и почти не открих никаква подходяща информация по въпроса та се замислям дали да не спретна едно образователно видео в тубата за това с всичките му подробности.

Може, въпреки че е сравнително нишова задачка. Извън enterprise security рядко ще намериш желаещи. 

Но ако е добре окомплектовано с pfsense, може и да се намерят мераклии. Скоро след това очаквам теми в редит - с какво да си ъпгрейдна firewall-а?