Otthoni tuzfal - pcengines - apu2b4 - Gigabit pppoE

Security-all

Sziasztok !

Tanacsot szertenek kerni kinek milyen tapasztalata van es mit ajanlana tuzfalnak az otthoni halozatomra.
Digi Gigabit van optikai modem bridge modeban amit jelenleg egy PCengines apu2B4 - 4G ramos pfsense szolgal ki - sajnos nem tul jol.

Mivel a digi pppoe-t hasznal es a freebsd sajnos nem remekel ebben a temaban ezen a lapon igy a maximum sebesseg olyan 300 korul van. Eddig nem nagyon foglalkoztataott - az upload 200 azert megy es igazabol ugyis csak tavolrol hasznaltam, kamerakepek, hazautomatika stb mivel nem nagyon tartozkodom most ott. Viszont ha mar van egy gigas kapcsolat nem lenne gond ha mukodne is rendesen :)

Azt hallottam egyes linux tuzfalak ki tudnak hajtani azert olyan 970-980-ra :)

Ami mindenkeppen kovetelmeny:

- konnyu kezelhetoseg (tul sokat csinalom munkaban - otthon nem akarok hackelni ha nem muszaly csak menjen - max 2-3 ora konfigolas utan es neha 2-3 havonta ranezni egy-egy konnyu kis update-re)
- OpenVPN kliens/szerver - a magyarorszagi es az angol lakas / ossze vannak kotve.
- VLAN support - a halozat mogotte egy VLAN switchre van kotve - kulon halon a privat LAN/WIFI + Guest WIFI + Hazaautomatika/Kamerak + Riasztorendszer
- Jo lenne ha tudna kezelni a backupkent radugott 3G USB modemet - WAN failover.
- DNS es DHCP server
- AVAHI szerver/proxy (Enelkul mondjuk elvagyok)
- Mindekeppen szeretnem megtartani ezt a lapot - egy embedded tuzfal eszkoz tulkeppen - csak meg kellene talalni a megfelelo disztrot ra.
- Nem erkekel kulonosebben a DPI, csomagszures, virusirtas, proxy, snort es tarsai - nem baj ha mukodik de nem kovetelmeny

A lapon nincs VGA - egy 32G mSATA lapka van benne es soros konzollal telepitettem. Mondjuk ha szukseges kikapom a lememezt es raheggesztem de megjobb lenne ismet ha alapbol tudna soros konzolt a cuccos.

Amit neztem: zeroshell, ipfire, clearos, esetleg vyos.

A zeroshell tetszik - ipfire-nek nem tetszik a VLAN kezelese (szines halozatok mivaaan ?), a ClearOS nagy szines-szagos bloat es a vyos egy kicsit fapados...

Kerlek ne mondjatok hogy tegyek ra egy debiant es hegesszem 1 napot hogy minden funkcioja meglegyen es meg akkor is csak egy bazi nagy webmin gui-t kapok :)

Mit tanacsolnatok ? - Koszi elore is.

  • 1596 megtekintés

Koszonom - nem tudom eddig miert nem gondoltam ra - regebbi routereimet mindig erre csereltem de annak mar 6-8 eve... Bedobtam egy virtualbox-ba - megnezem. Eddig tetszik - apro, furge, modularis - kicsit matatok a csomagok kozott... Van valami amire jo lenne odafigyelni ?

( poperator v | 2018. 11. 23., p – 16:21 )

A felállás ugyan ez, csak a pfsense virtualizálva van (E3-1220 , 3.1GHz CPU)
egy kliensen mérve 740/200 ig elmegy a sebesség a cégnél.
Otthon Linksys WRT1900V2 megy DD-WRT-vel.
HWNAT nélkül erős proci kell az 1Gb kihajtásához.

( answ | 2018. 11. 23., p – 16:42 )

1 GHz-es AMD-vel nem fogod semmivel kihajtani a gigabitet (PPPoE+NAT eseten).

Nekem Intel 1037U (1.8 GHz) kihajtotta nehany tuzfalszaballyal, de ha OpenVPN kapcsolatot is kezelnie kellett vagy traffic shapinget, akkor mar nem.

Nekem apu2c2 lapon az a tapasztalatom, hogy több szálon (több párhuzamos kapcsolattal) pfsense-el is megy, OpenWrt-vel viszont egy szálon is. Előbbit kellett kicsit hangolni, utóbbi OOTB.
Őszintén szólva már nem emlékszem, hogy mit állítottam rajta, de volt már itt topic, ahova beírtam.

Én OpnSense-re váltottam mert az én apum még nem tud aes nit.
A tiédben van AES NI, te maradhatsz akár pfsense-en. Nekem a net felé nincs ekkora sávszéligényem, nálam belső forgalom pörög, így nekem nincs olyan problémám, mint neked, de a pfsense alapból nem multithreadingel valami flottul, vannak erre topicok, szerintem itt is meg a pfsense fórumában is. Vannak servicek, ahol kézzel kell bekapcsolni "-multi 4", és vannak amikkel egyelőre nem lehet...
https://www.reddit.com/r/PFSENSE/comments/8r3el5/pfsense_multicore_scal…
https://redmine.pfsense.org/issues/7905
https://www.reddit.com/r/PFSENSE/comments/6vlilb/any_plan_to_have_multi…
+ érdekes lehet:
https://elatov.github.io/2017/04/pfsense-on-netgate-apu4-1gb-testing/
http://www.pcengines.info/forums/?page=post&id=0B90812A-37D8-457C-99E6-…

Háát. Nem emlékszem már pontosan, szerintem sima NAT-olásra mértem valami 940-960 Mbit/s körüli sebességet. PPPoE-vel aztán már csak egy szálú letöltést néztem, szóval lehet, hogy igazad van, és nem tud 400-500Mbit környékénél többet. (Tuning előtt a sima NAT is valami ilyesmi eredményt adott.)

Ha járok arra, ahol most ez a dobozka üzemel, majd megmérem.


Processor : ARMv7 Processor rev 0 (v7l)
BogoMIPS : 1599.07
Features : swp half thumb fastmult edsp
CPU implementer : 0x41
CPU architecture: 7
CPU variant : 0x3
CPU part : 0xc09
CPU revision : 0

Hardware : Northstar Prototype
Revision : 0000
Serial : 0000000000000000

Ez simán viszi a csigabitet, dual stack PPPoE, tok vonó, Linux megy rajta.

1) Azért az nem 1 Ghz hanem 4x1 Ghz.. még ha nem is teljesen igaz a matek.
2) Nem biztos h. össze lehet hasonlítani egy ARM 1 Ghz teljesítményét (oda 100% h. kell az ASIC) egy x86-64 (még ha csak embedded is) 1 Ghz-el.

Linux alatt amúgy valóban ment 8-900 Mbit is IPFIRE-el, sokkal kisebb load mellett.
--

( Vamp | 2018. 11. 26., h – 09:11 )

En VyOS-t hasznalok, a Telekom-os 1 gigabitet (PPPoE) kihajtja 800-850mbit-el. VM ben fut, 1 mag, 512 mb ram. (i3-5005U)

( winben | 2018. 11. 26., h – 13:02 )

Esetleg Mikrotik OS?

BTW nekem ubuntu+iptables van otthon, jön a gigabit stabilan. Jó, mondjuk mióta boldog-boldogtalannak aprópénzért osztogatják a gigás netet azóta 950-ről olyan 7-800-ra csökkent a max sebesség. :(

( Elbandi v | 2018. 11. 26., h – 13:36 )

a digi cucca modem/router modban birja az 1G-t? ha igen, akkor tedd at abba, a wifit kapcsold ki, a sajat tuzfaladnak adj fix ipt, es allits be DMZ-t erre az ipre. igy ugyan dupla natod lesz, de legalabb full speeded. a portforwardot meg mindent ugyanugy a sajat cuccodon kell beallitanod, mert minden bejovo adatot megkap.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!