DIY firewall/server

[TheCeet]

Hier zitten ongetwijfeld UB'ers die thuis een DIY setup hebben staan waar er PFSENSE of OPNSENSE of andere dingen hebben op draaien.
Nu zou ik hier ook graag mee aan de slag gaan. Zo zie ik het hele project ook als zelfstudie om nieuwe dingen te leren etc etc.
Setup thuis:
Eigen Asus router, NAS Synology DS220+, Rpi4 (AdGuardHome, Wireguard) + Rpi0_2 (ingericht als failover)

Nu heb ik nog maar beperkt liggen rondkijken, maar wat raden jullie aan?

Zelf dacht ik aan:
Intel NUC 11 Performance UCFF Zwart i5-1135G7
dit is waarschijnlijk zwaar overkill maar zal wel lang meegaan denk ik dan?
Waarom deze keuze, laag stroomverbruik & compact.

Thuis heb ik nog een oude Dell desktop (i7-4th GEN) liggen, deze zou ik ook kunnen gebruiken? Misschien extra NIC kaart installeren?

[NuKeM]

Ik zou ook overwegen (als je zo'n 'zware' machines inzet) een Hypervisor te installeren, daarop je firewall te draaien + wat je nu op Rpi draait.
Een managed switch zal ook een verplichting worden (als je maar met één ethernetpoort gaat werken = router on a stick = VLANs).

[Sasuke]

Die dell desktop is meer dan voldoende, mits je 2 (liefst 3) nic's hebt ? de NUC kan je ook gebruiken, maar dan zou ik er proxmox (ofzo) opzetten en dan je opnsense virtueel maken. Voor 'thuis' kan dat perfect lijkt me.

[lebeno]

Een firewall als VM draaien zou ik afraden. Dat is zo'n cruciale functie in jouw netwerk dat je dat best op dedicated hardware draait.

Een extra dependency zoals een hypervisor verhoogt het risico op downtime of tijd nodig om het weer te doen lopen. Na een stroompanne is bijvoorbeeld de hypervisor down: je start die hardware op, die gebruikt hopelijk een fixed IP want van de firewall zal die dat niet krijgen want dat is een VM die nog niet is opgestart. Met jouw PC even inloggen op de hypervisor lukt ook nog niet als de VM met de firewall niet draait want jouw pc krijgt geen IP via DHCP... You get the picture. Je kan de hypervisor natuurlijk redundant maken (proxmox ondersteunt dat ook), maar dan nog zou ik aanraden om alles goed te testen, bv door eens een "koude start".

Tip als je pfSense gebruikt: regelmatig een backup nemen, zeker voor/na changes, dat is een XML bestand dat je makkelijk kan restoren als je ooit opnieuw moet installeren na hardware failure. Been there / done that

[Sasuke]

@lebeno ... nochthans ... alle grote firewalls zijn hypervisors, en als je niet genoeg kennis hebt om jezelf niet uit te sluiten van je netwerk of firewall als je firewall down is, zou ik ook niet beginnen aan pfSense of OpnSense

[Belgissschenaap]

Maar in dit geval is de vrager compleet nieuw in deze materie.

Ik denk dus wel dat het best is om dedicated hardware te gebruiken.
Virtualisatie en VLAN kunnen dan uit de opgedane ervaring verder vloeien.

Ik zou zeggen, gebruik de hardware die je hebt, met 2 NIC's.
Je kan later efficiëntere hardware gebruiken als je wilt. Je kan de opgedane kennis dan gebruiken om beter te bepalen welke hardware je wenst te gebruiken

[Sasuke]

Zeg ik toch ook ... die Dell kan perfect dienen. Een nieuwe NUC is enorme overkill en daarom daar een hypervisor opzetten. Maar om te starten raad ik ook de dell desktop aan.

[Belgissschenaap]

Zeg ik toch ook ... die Dell kan perfect dienen. Een nieuwe NUC is enorme overkill en daarom daar een hypervisor opzetten. Maar om te starten raad ik ook de dell desktop aan.

Dag Sasuke

Dat ontken ik niet, is meer dan waar.
Maar reactie was louter op jouw laatste reactie. Maar dit was mogelijks overbodig langs mijn kant.

Lang leve recyclen van ongebruikte onderdelen om dingen te leren!

[krisken]

Mikrotik FTW! En als je het zelf wilt draaien ipv hun hardware dan installeer je Mikrotik CHR

[NuKeM]

Na zelf meerdere Mikrotik routers draaiende gehad te hebben en nu al vele jaren pfSense te draaien zie ik geen enkele reden meer om nog Mikrotik in te zetten voor firewall en routing. PfSense is eenvoudiger en krachtiger. Mikrotik blijft wel mijn favoriet voor goedkope veelzijdige switches

[devilkin]

Mikrotik FTW! En als je het zelf wilt draaien ipv hun hardware dan installeer je Mikrotik CHR

En betalen natuurlijk... tenzij je graag 1mbit als throughput hebt.

Zelf heb ik erover zitten denken om mijn opnsense te virtualiseren, echter niet gedaan omdat dan mijn home server/nas rebooten plots het ganse netwerk down brengt. En die nas update/reboot (kernel) ik toch wel vaker dan mijn router.

[krisken]

Hier eerder het omgekeerde. Ben rond 2014 volledig gestopt met pfSense en werk nu enkel nog met Mikrotik. Vooral omdat je daarmee meer kan dan enkel firewall en huis-tuin-keuken routing. BGP bijvoorbeeld (voor het Wireless België netwerk). En voor weinig geld heb je een 2011, 3011 of 4011 router met 10 UTP poorten, elk afzonderlijk te configureren.

Dat betalen valt wel mee : een goeie 25 euro voor een licentie. Of meer naar MUM's gaan : daar gooien ze die gratis naar je hoofd.

[Sasuke]

Ik vind opnsense juist enorm goed, haproxy voor een reverse proxy, ideaal bij thuisverbindingen. Ingebouwde ddns cliënt die op kan met OVH’s api, suricata en snort, wireguard (staat op onze smartphones en altijd actief).

BGP voor thuisgebruik … brrr … Routing updates gaan dan toch veeeeeel te traag zijn ? Dan is OSPF toch een veel betere keuze ? Als het moet hè … beide zie ik niet echt onderdeel van een standaard thuis netwerk, zelfs een kmo gaat dat niet snel hanteren of nodig hebben

Wat betreft hypervisor … ik moet toegeven dat ik mijn firewall ook wel heb afgesplitst van de rest. Firewall, DNS (adguardhome )en AP controller (Omada) draaien op een i5-6600 desktop met proxmox, de rest draait op een aparte host met vSphere. Zo kan ik alles afzonderlijk rebooten en heb ik leren spelen met proxmox.

[krisken]

Die ingebouwde DDNS heeft mtik ook hoor.
Waarom zou OSPF een betere keus zijn? Routing updates vallen best mee ze bij Wireless België. Halen niet de full table binnen vanaf internet hé, enkel de 10.x.y.z ranges die we announcen binnen ons eigen netwerk. Is niet iets voor een standaard huis-tuin-keuken netwerk, maar als je op WB wilt zitten is dat wel nodig

[Sasuke]

Bgp updates/rediscovery is niet dynamisch, dus als er een route wegvalt weet/zie je dat pas bij de volgende uitwisseling … welke inherent traag is. Ik zou denken dat je voor WB Ospf zou gebruiken, maar langs de andere kant vreet dat wel wat meer resources en dus niet echt compatible met kleine mikrotikjes misschien ?

[krisken]

Klopt, maar die uitwisseling is er vrij snel hoor. En qua mikrotiks : ik denk dat het kleinste dat we in gebruik hebben de Omnitiks zijn. En die met 64MB ram hebben het al moeilijk op dit moment

Qua stroomgebruik is het natuurlijk identiek als je een CHR gebruikt, maar als je de echte tiks gebruikt zijn die ook nog ns vrij zuinig en vooral vrij van lawaai

[devilkin]

Wel interessant - wou al langer eens met mikrotik spelen maar geen zin om er specifieke hw voor te kopen. Thx!

[TheCeet]

Thanks iedereen!
Hiermee kan ik hele eind verder.

Over de Dell desktop extra NIC.
Wat is het beste?
A) NIC met meerdere RJ45 poorten.
B) NIC met 1 poort om uit te breiden (dus 1x rj45 op mobo en 1x extra PCIe?)

[Sasuke]

Thanks iedereen!
Hiermee kan ik hele eind verder.

Over de Dell desktop extra NIC.
Wat is het beste?
A) NIC met meerdere RJ45 poorten.
B) NIC met 1 poort om uit te breiden (dus 1x rj45 op mobo en 1x extra PCIe?)

Ik zou een extra nic met 2 of meer poorten nemen en de onboard behouden voor een dedicated mgmt netwerkje of iets minder belangrijk

[keerekeerweere]

Ik zou een HP NC360T met 2 poorten nemen. (Of gelijkaardige Intel, ibm, lenovo variant)

Lage prijs, Intel 82571EB chipset, grote beschikbaarheid, full height of low profile brackets meestal bijgeleverd of beschikbaar.
Kan doorgelust worden als PCIe device naar een virtuele machine als je beslist te virtualiseren. Hangt verder ook van je cpu en moederbord af maar de kaart zelf (of de driver) moet het ook aankunnen.

Heb er een jaar geleden een paar gevonden voor 13,- eur per stuk. Edit : (Incl. Transport, was eigenlijk 6,9- eur per dual nic kaart)

[krisken]

Wel interessant - wou al langer eens met mikrotik spelen maar geen zin om er specifieke hw voor te kopen. Thx!

Als je met MT eens wilt spelen : contacteer me even. Zal eens kijken of ik kan mee denken met je. We hebben een hoop Mikrotik spul dat we niet meer gebruiken binnen een organisatie (denk aan oude omnitiks met 100Mbit poorten), maar welke nog steeds perfect zijn om Mikrotik te leren kennen. Mocht je er zo verschillende aankopen dan kan je zelfs uitgebreid gaan routeren en daar mee spelen.

Mocht je interesse hebben : stuur me even een PM.