Router/brandvägg med pfSense

För dem som är intresserade av att köpa en färdiga enhet så finns svenska https://teklager.se/.

Funderar själv på att köpa en TLsense i7 eller liknande pfsense eller opnsense.
Man kan vid beställning ange vilket OS så ska installeras eller själv lägga på det.

Verkar smidigt och de har en del hårdvara att välja på.

Sneglar även på en USG alt USG Pro men det verkar väldig tupp och ned vad folk tycker om dessa.
Jag vill primärt byta ut min Asus router till en Router + AP och för att separera LAN, Wifi och Server-nät bättre

@flummster: De där maskinerna var rätt mycket dyrare än vad de säljs för hos t.ex Qotom själva, ebay eller aliexpress.

@flummster: De där maskinerna var rätt mycket dyrare än vad de säljs för hos t.ex Qotom själva, ebay eller aliexpress.

Jag rekomenderar Mullet. Köpte själv en Xeon-D1518 och är helnöjd. Sen beror det ju på vad du vill lägga. Du kan köra på (i princip) vilken dassig hårdvara som helst. Leta fram PCn du har i förrådet från 1999, skulle säkert funka.

Jag har ingen extra hårdvara till övers utan behöver en appliance med pf/opensense alt. att jag virtualiserar på min server och kör brandvägg på den.

Skulle dock vilja ha en egen maskin för min FW.
Har 1gb fiber både ned och upp, så en FW som kan routa wan/lan i den hastigheten med DPI är vad jag behöver just nu.
Sneglar fortfarande på ubiquiti USG (ev. pro) men det kanske är en egen appliance som kommer vara bäst i längden.

Här har du lite att välja på om du inte vill bygga själv: https://www.applianceshop.eu/security-appliances/19-rack-appl...

Piss dyrt ju, bättre att bygga själv köp ett supermicro kort och kör bara

Skickades från m.sweclockers.com

Piss dyrt ju, bättre att bygga själv köp ett supermicro kort och kör bara

Skickades från m.sweclockers.com

Det är inte lätt att hitta ett supermicro moderkort i Norden, eller så letar jag fel...

Kolla på eBay där finns de flera, bla från Tyskland har precis beställt ett själv i torsdags och de kommer på måndag.

Skickades från m.sweclockers.com

Nu är det snart dags för fibret att kopplas på och det känns rätt lägligt att snickra ihop en pfSense-låda.

Mina krav är inte särskilt höga, då jag bara planerar att köra på en 100/100-lina.
100Mbps VPN-throughput hade dock varit bra, men jag antar att alla quad cores med AES-NI fixar det.
Jag har därför snöat in mig på att skaffa ett moderkort med integrerad Gemini Lake-CPU.

Mest lockande hittills ser http://b2b.gigabyte.com/Embedded-Computing/MZGLKAI-rev-10 ut att vara.
J4105, Dual-NIC (visserligen Realtek, men det lär duga i mitt fall...), PCI-E slot (Om Realtek-NIC:arna inte skulle duga...), M.2-slot, CNVi-slot för eventuellt Wi-Fi, DC-in.
Kortet finns inte i butik någonstans än dessvärre, så priset är oklart, men jag tippar på <2k.
Alternativet skulle vara om Gigabyte släpper en ny D3V-variant baserad på J4105. Lär dock sakna DC-in.

Någon som har några synpunkter/förslag på ovanstående?

Vad har OPNsense som pfSense inte har?

Nu är det snart dags för fibret att kopplas på och det känns rätt lägligt att snickra ihop en pfSense-låda.

Mina krav är inte särskilt höga, då jag bara planerar att köra på en 100/100-lina.
100Mbps VPN-throughput hade dock varit bra, men jag antar att alla quad cores med AES-NI fixar det.
Jag har därför snöat in mig på att skaffa ett moderkort med integrerad Gemini Lake-CPU.

Mest lockande hittills ser http://b2b.gigabyte.com/Embedded-Computing/MZGLKAI-rev-10 ut att vara.
J4105, Dual-NIC (visserligen Realtek, men det lär duga i mitt fall...), PCI-E slot (Om Realtek-NIC:arna inte skulle duga...), M.2-slot, CNVi-slot för eventuellt Wi-Fi, DC-in.
Kortet finns inte i butik någonstans än dessvärre, så priset är oklart, men jag tippar på <2k.
Alternativet skulle vara om Gigabyte släpper en ny D3V-variant baserad på J4105. Lär dock sakna DC-in.

Någon som har några synpunkter/förslag på ovanstående?

Bra tips där. Jag har gjort nåt liknande, men med en R210II+Xeon E3-1260L.
Drar bara en bråkdel av strömmen jämfört med en R710.

Det där låter lite som tårta på tårta? Det går att få samma (eller bättre) funktionalitet med endast en brandvägg, iaf i pfSense.
Sen behöver man inte så mycket kraft för VPN-prestanda som många tror. Många VPN-leverantörer tillåter ju flera anslutningar till sina tjänster. Man kan då göra flera anslutningar i t.ex. pfSense och binda ihop dessa i en gateway-grupp. På så vis utnyttjar man processorn i högre grad och får mer fart genom VPN.

Bra tips där. Jag har gjort nåt liknande, men med en R210II+Xeon E3-1260L.
Drar bara en bråkdel av strömmen jämfört med en R710.

Det där låter lite som tårta på tårta? Det går att få samma (eller bättre) funktionalitet med endast en brandvägg, iaf i pfSense.
Sen behöver man inte så mycket kraft för VPN-prestanda som många tror. Många VPN-leverantörer tillåter ju flera anslutningar till sina tjänster. Man kan då göra flera anslutningar i t.ex. pfSense och binda ihop dessa i en gateway-grupp. På så vis utnyttjar man processorn i högre grad och får mer fart genom VPN.