Egen router och brandvägg

Jag har svårt att förstå varför du vill göra det så komplicerat, dyrt och energislukande och sedan köra wifi ? Att bygga en "router pc" för att verkligen maxa en Gbit uppkoppling routingmässigt och sedan ansluta klienterna med wifi via 802.11n (max 300Mbit) ?
Har du nått annat syfte med burken också för som router och AP känns det som ett mycket konstigt bygge.

Jag kan spontant rekommendera att du skippar Wifi-kortet och kör en extern AP istället. Pfsense är extremt stabilt men just Wifi-delen har åtminstone jag personligen väldigt dåliga erfarenheter av. I min nuvarande setup kör jag Pfsense med en Ubiquiti AP (kostar runt 500 spänn) och det har fungerat ruskigt bra.

Annars har du ubiquiti edgemax som klarar 1Gbit upp och ned samtidigt galant och kostar under tusenlappen. De säljer även accesspunkter.

Inte riktigt värt att köra på en pc-router längre, förutom om man behöver köra openvpn i högre hastigheten.

Jag anser att en ruter ska köras som en vrtuell maskin på den virtualiseringsserver man ändå har

Är det verkligen så smidigt? Förutom de speciella säkerhetsproblemen att ta hänsyn till upplever jag det som att det gör en alltför beroende av att en viss infrastruktur är i drift.

Hm, jag föredrar nog en specialiserad enhet. Det behövs något avsevärt mer resurskrävande och funktionsspäckat för att jag skulle överväga det alternativet. Vad gäller ström så förbrukar inte t ex Soekris och liknande särskilt mycket el.

Det enda säkerhetsproblem du behöver ta hänsyn till är ev direkta säkerhetshål i hypervisorn och dess virtuella drivers.
Det har i verkligheten inte varit ett problem.

Det du slipper är att ha en extra pryl som står och brummar plus att du har tillgång till så mycket mer kraft i en "riktig" server om du vill göra mer avancerade regler eller ssl inspektion osv.

Sen kommer man upp lite mer i storlek så har man ju två VM-hostar och då får man ju failover som bonus

Brummar? Inte brummar specialtillverkade moderkort som Soekris, det är helt ljudlösa. Det ni kanske glömmer är att hårdvaran är optimerad för ändamålet. Den kanske inte är snabbast på generella beräkningar, vilket den ändå inte ska användas för. Om du ska ha samma nätverksprestanda och funktionalitet hade du ändå behövt komplettera en "riktig server" med NIC:ar i den högre prisklassen. Hårdvarufel är också extremt ovanliga, särskilt i jämförelse med alla komponenter som i en vanlig server kan fallera, att failover knappast är första prioritet om det nu inte råkar gälla en miljö med extrema krav (och det känns inte riktigt som diskussionen i tråden handlar om det).

SSL inspektion? Det bästa i det fallet är väl ändå att komplettera med ett separat kontrollerkort för kryptering och dekryptering, något du även kan göra på ett embedded system. Jag förstår därför inte riktigt hur dessa mer extrema krav har relevans i den här tråden med titeln "egen router och brandvägg". Till att börja med är det nog få hemanvändare som är haj på SSL säkerhet och/eller nyttjar tekniken i den grad att de slår på SSL inspektion.

Soekris är helt vanliga intelprylar i verkligheten. Det är samma atom-CPU och nicchip som vanligt från Intel.
Du behöver inget häftigare än en helt vanlig 217 krets för att hänga med.

Risken för hårdvarufel ökar eftersom du nu ska ha en brandvägg plus en server istället för enbart en server.

Finns inget behov att hårdvaruavkoda SSL. Det fixar man bra i mjukvara om det inte är ett allt för stort nät.
Tja, jag kanske inte är vanlig men jag gör det :). Låter min TMG ta en titt på all SSL trafik innan den får nå webservern

Jag förstår inte riktigt din logik: hur kan risken för hårdvarufel öka när du jämför ett för syftet tillverkat moderkort med en server med en mängd hopsatta separata delar? Ett embedded system utan rörliga delar och utan stora behov av kylning är inte jämförbart.

Vilket syfte har det redan kända faktumet att t ex Soekris lösningar bygger på Intel hårdvara? Varför ska du köpa ett moderkort med Intels 217 krets utan CPU och RAM, när det knappast ens finns något alternativ med mer än 2 st 1Gigabit NIC portar för billigast något över 1000-lappen och någorlunda serveranpassade för det dubbla? För du kan ju knappast mena att du tänker dig att prestandan blir så fantastiskt mycket bättre om du låter ett antal VM dela på ett par portar.

Nej, hårdvaruavkodad SSL är inte enda alternativet. Det jag menade var att det är en praktiskt och relativt billigt lösning. Du avlastar CPU:n och sänker på så sätt de generella hårdvarukraven.

Du och jag måste se mycket olika på detta. Och om du använder SSL inspektion för din privata webbserver tillhör du oavsett en knappt mätbar minoritet av hemanvändarna. Om vi väljer den vägen och förordar en virtuell lösning finns liten logik att ens använda annat än NIC med VMDQ. Någonstans måste du till slut ändå lägga ribban och i mina ögon ser det du rekommenderar ut som obalanserad lösning vad gäller pris, prestanda och driftsäkerhet.

För det första så består ditt moderkort av samma Intel komponenter som ett vanligt moderkort. Dvs riksen för ras är precis lika stor där.
Nästa del av logiken är att du lär ha brandväggen framför något annat eller hur? nu har du alltså två datorer istället för en. Dvs mer prylar som kan gå sönder.

Det har syftet att knäcka myten om att det är någon super-duper optimerad hårdvara. Det är det inte. Det är helt vanliga standard Atom cpu ihop med standard intel chipset och standard inte nic chip. Tex då just det 217 chipet som man även får inbyggt på moderkortet på en vanlig standarddator.

Idag är det extremt sällan CPU som är bromsen. Därmed kan man låta överbliven CPU kapacitet lösa frågan istället för att investera i någon extra HW och därmed spar man pengar.

Och jag är av precis motsatt uppfattning. Det blir billigare och flexiblare samt att man minskar risken för HW strul

Jag är inte ute efter att "vinna" någon diskussion här. Hur som några svar:

En dator för virtualisering innehåller oavsett vilket fler komponenter än ett inbyggt system. Enligt dig ökar inte risken för hårdvarufel oavsett hur många komponenter ett system har.

Om det värsta skulle inträffa menar du alltså också att det är lika enkelt att byta ut en hel server, som ett inbyggt system bestående av ett styck moderkort och ett styck lagringsmedia på några få MB. Det känns som att jag helt missförstår vad du menar, för jag får inte ihop det.

Vem som framfört den myten vet jag inte, men inte var det jag. Systemet är dock specialtillverkat för uppgiften, med låg strömförbrukning och ett flertal NIC:ar på ett bräde. Visst du kan ju skaffa ett par separata nätverksadaptrar också, men i min mening hamnar vi då i en högre prisklass. Jag tycker åtminstone inte att det är en försumbar extra kostnad. Sedan kanske mitt uttryck "högre prisklass" var missvisande i att du kanske uppfattade som att jag menade NIC:ar för summor som är högre än vad hela Soekris moderkortet kostar, vilket inte var min mening.

Ja, om vi nu talar om hemmaanvändare som använder sig av SSL inspektion. Annars tycks det mer vanligt att försöka avlasta eftersom loggning och inspektion via mjukvara på det här sättet är mer resurskrävande än vad det tycks.

Flexiblare = ja. Billigare = tveksamt. Mindre hårdvarustrul = knappast.

Å andra sidan är det ju helt OK att vi tycker olika och föredrar olika lösningar.

De innehåller exakt samma huvudkomponenter, dvs cpu, chipset, ram, lagring och PSU.
En server plus en brandvägg innebär hur du än vänder och vrider på det fler komponenter än en server. Dvs fortfarande ökad risk.

Ja det är just det det är. Man flyttar USB minnet med ESXi och kopierar sina virtuella maskiner så var man uppe igen oavsett om man fick tag i en likadan hårdvara eller nått annat. Man har inget beroende mot specifik hw.

Specialtilverkat ja, optimerat -nej. Tiden där man faktiskt gjorde verkligt optimerad HW är i princip över. Idag tar man standard HW och sätter en stämpel på den bara. Jag ville visa att man får i stort sett samma prylar på ett helt vanligt PC-moderkort idag. Förvisso får man lite färre Nic men man behöver sällan mer än två. Ett yttre och ett inre. DMZ osv bygger man virtuellt i virtualiseringslösningen.

Jag utgår ju från att brandväggen ska skydda något som en server. Iom det tar jag då samma server, ger den lite extra minne och ev en storlek större cpu och kör på den. Det kostar mindre än vad körfärdig soekris kostar.

En enda burk som kan strula istället för två innebär mindre strul, i varje fall är det mina erfarenheter så här långt

Japp Sånt som driver utvecklingen framåt

Du har glömt RAM. Hur som helst så avråder jag dig att köpa detta moderkort för FreeBSD om du inte har lite kunskap och tålamod att få det att rulla. Det är minst sagt bråkigt. Gällande WiFi så kör du på en extern accesspunkt istället.

Vad är syftet med burken? Hög bandbredd? I dagens läge så är det inte helt nödvändigt med att bygga en pfSense-maskin när t.ex. en Ubiquiti Networks EdgeRouter Lite går för <1000kr, om man nu inte vill åt andra mer specifika features som diskuterats ovan.

Var hittar man ubiquiti:s sortiment egentligen? Tycker det är lite spridda skurar i svenska butiker.. Jag är på jakt efter en vettig brandvägg och vad jag förstått verkar ubiquiti bra, säker och snabb i jämförelse med hemmarouters så som d-Link, asus m.fl.

Vad har du för Ap? Klarar den 802.11n på 5ghz? Har inte hittat någon sådan till vettigt pris i deras sortiment? Hittade lite AP:s från dom på Dustin men kändes lite gamla i jämförelse med vad vanliga hemmaroutrar har idag.. Kam ha fel..

Ubiquiti är inte riktigt etablerat på den svenska marknaden, men man kan få tag på det mesta om man letar lite eller köper inom EU.

http://www.prisjakt.nu/kategori.php?k=384&t=15175

Lite varstans, bland annat Dusitn. Men de verkar inte ha någon riktig dist i Sverige tyvärr. Jag har en av de enklaste modellerna som simpelt heter Ubiquiti AP som jag köpte från Dustin. Den stödjer dock bara 802.11n på 2.4 GHz. För att få 5 GHz måste du ha Pro-modellen som kostar betydligt mer. Jag kör ett gäng datorer, plattor, telefoner och väggkontakter och dylikt hemma, så jag har inget behov av 5 GHz-bandbredd direkt.

Ska man köra något som verkligen kräver cpu så är det uppenbarligen en server man ska ha. Denna klarar dock mycket mer än en vanlig hemmarouter och kör dessutom debian där du kan installera de paket du vill ha.