Guide: Gör om en dator till hemmarouter och brandvägg

Trädvy Permalänk
Representant
Plats
Stockholm
Registrerad
Maj 2018

@Kungsnugge: we always recommend having separate AP and router.

Some clients prefer everything in one box, so we sell Wireless cards with antennas, but we actively discourage from buying them

Ubiquiti access points are fantastic and work great in combination with APU routers. We don't sell Access Points, but you can get them anywhere.

pfSense/BSD doesn't support 802.11ac (latest wireless standard) yet. if you get the latest wireless hardware (wle900vx or wle600vx), you have to install Linux based operating system (IPFIre, OpenWRT, etc) to use it.
For that reason alone, you should have a separate Access Point.

I'm running https://TekLager.se/ - we build Open Source routers in Sweden :-)
(Sorry for writing in English! My Swedish is still not fantastic...)

Trädvy Permalänk
Testpilot
Plats
Norrköping
Registrerad
Sep 2002
Skrivet av Johan86c:

Bra guide såna guider borde det skrivas mer av!

Grundproblemet med egen router är som vanligt pengar och tid. Dessutom vill man ha en strömsnål pålitlig router som snart bör klara 10Gbit på lan, många vill ha trådlös wifi, vpn sftp och andra tjänster och det blir då att det billiga vinner.

Nå ur ren allmänbildningsperspekiv borde alla testa pfsense eller motsvarande hemma.

*edit*
När billig hårdvara som klarar 10Gbit oå lan kommer så kommer jag gå över till pfense, just nu så har jag en bra router som annats skulle bli liggandes.
Sedan menar jag rätt med lam, 10Gbit på wan så jag först flytta.

Vilken fördel skulle en router som klarar 10Gbit på LAN-sidan ha menar du om du ändå inte har 10Gbit på WAN? om man som i artikeln har en router med bara två interface så har man ju en switch efter och trafik inom ditt LAN (mellan enheter) går enbart genom den.

Eller missar jag nått enkelt?

Kolla gärna in min RGB-LED-ljusstake i galleriet
[Gigabyte GA-Z97MX-Gaming 5][Intel Core i5 4690K][Corsair XMS3 8GB][Gigabyte GeForce GTX 970 G1 Gaming]

Trädvy Permalänk
Medlem
Registrerad
Feb 2018
Skrivet av Tzunamii:

Mina två cents,

Två Ethernet portar räcker till de flesta, men om man t ex skall köra med en Wifi AP så rekommenderar jag en tredje port på brandväggen så APn kan ha en helt egen port (och subnät). På det sättet är det mycket lätt att segmentera trafiken och eventuella lyckade hackförsök hålls utanför LANet.

Jag vill sedan starkt rekommendera en CPU med hårdvaruacceleration (AES-NI) om man skall köra något eget VPN såsom OpenVPN. Att kryptera/dekryptera är en tung last i högre hastigheter för CPUn och bör tas i beräkning vid köp.

Till sist vill jag informera om OPNsense ( https://opnsense.org/ ) som är en fork av pfsense. Ni kan läsa mer om varför det forkades etc på deras site.

Om Ni vill ha en stabil och kraftfull Wifi AP så rekommenderar jag starkt UniFi AP AC -serien ( https://www.ubnt.com/products/#unifi ) med UniFi AP AC Pro som toppmodell.

Trädvy Permalänk
Representant
Plats
Stockholm
Registrerad
Maj 2018

@Spatzibo: it's a cool meme, but this joke goes all the way back. pfSense is a fork of m0n0wall.

Manuel Kasper, the original developer of m0n0wall encourages people to switch to OPNSense, rather than pfSense https://m0n0.ch/

I like both systems, but I'm not a fan of pfSense politics and current leadership of the pfSense project

I'm running https://TekLager.se/ - we build Open Source routers in Sweden :-)
(Sorry for writing in English! My Swedish is still not fantastic...)

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010
Skrivet av hunden:

Vilken fördel skulle en router som klarar 10Gbit på LAN-sidan ha menar du om du ändå inte har 10Gbit på WAN? om man som i artikeln har en router med bara två interface så har man ju en switch efter och trafik inom ditt LAN (mellan enheter) går enbart genom den.

Eller missar jag nått enkelt?

Jag vill dock ha en router med fler ethernetportar än 2st, visst kan man sätta en switch bakom och slippa få så stora mängder trafik över routern. Men rent praktisk och ekonomisk vill jag begränsa hårdvaran.
10Gbit nätverk hemma är sedan det man borde ha, inte minst om man ska sprida ut laster på flera datorer eller enbart ha data på annan lagringsenhet.

Och nej jag har ej 10Gbit hemma ännu, men jag har en fungerande router för nästan 2000kr och jag lägger ej ut 4-5000kr på ny hårdvara för en bra router om den ändå inte är framtidssäker emot mina behov. Hade jag ej haft en bra router innan så hade jag varit i en annan situation.
-Varför jag köpte min router var att jag på en fredag insåg jag behövde mer datakraft på måndag, jag köpte de 2st datorer i sign i delar plus router och monterade ihop dem. Tid till psfense fanns inte precis.

Gått över till enbart Google Chromebook på klientsidan.

Trädvy Permalänk
Medlem
Plats
vimmerby
Registrerad
Feb 2005
Skrivet av hunden:

Vilken fördel skulle en router som klarar 10Gbit på LAN-sidan ha menar du om du ändå inte har 10Gbit på WAN? om man som i artikeln har en router med bara två interface så har man ju en switch efter och trafik inom ditt LAN (mellan enheter) går enbart genom den.

Eller missar jag nått enkelt?

intern routing.

Om du har 2 st vlan där och sedan wan där en dator från vlan 1 använder 1gbit i en överföring från eller till en enhet i vlan 2 så kommer en dator som försöker tex nå internet inte ha någon bandbredd över då "allt" går till överföringen.

Intel 8086k Delid@5.15,Kraken X62,Asus ROG STRIX Z370-I,32 GB GSKILL LED@CL14@3740,Evga 1080ti Black, 256gb 950 Pro, Intel P600 1TB, Ghost S1, Dell UP3218K,HP OMEN 35

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013
Skrivet av teklager:

@enoch85: I can attest to OPNSense. It's a fantastic OS with much more user friendly interface.
The OPNSense community is also much more pleasant to interact with. PFSense forum/subreddit can be somewhat rough, especially towards newcomers

pfSense is more popular because it's been around for longer, but I see this changing from year to year.

Here's the split of operating systems our clients use (data from this year):

  • pfSense: 53%

  • OPNSense: 22%

  • IPFire: 9%

  • Debian/Ubuntu: 7% (manual IPTables configuration)

  • OpenWRT: 4%

  • Other: (Untangle, OpenBSD, Sophos XG, other): 5%

Kul att en leverantör håller med mig. Det tyder på att det ligger något i det jag säger.

Tack för input!

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013
Skrivet av teklager:

@Spatzibo: it's a cool meme, but this joke goes all the way back. pfSense is a fork of m0n0wall.

Manuel Kasper, the original developer of m0n0wall encourages people to switch to OPNSense, rather than pfSense https://m0n0.ch/

I like both systems, but I'm not a fan of pfSense politics and current leadership of the pfSense project

Couldn't agree more!

Let's get the facts straight. --^

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av Palme_570:

Ja det är ju by-design men som sagt har svårt att se när den är bättre att applicera.. Den är inte direkt mer användarvänligt än PFsense och har mindre funktion..

Fast IPFire fixar utan problem 1,4 miljoner paket per sekund över båda Ethernet-portarna (vilket är teoretiskt max med 64 bytes paket), rätt säker att det även är möjligt med Atom. Det måste ju vara superkritiskt i hemmanätverket

Skämt åsido. För nybörjaren skulle jag säga att Pfsense kan bli lite väl mycket på en gång. Fördelen är att allt, även Wifi (se ovan), finns direkt.

Däremot har IPFire det som en väldigt stor andel användare i praktiken behöver. Tycker det är pedagogiskt med deras olika färgzoner. Rött är "farliga" internet, grönt är snälla hemmanätverket så även det himmelsblåa nätet.

Inställningar för brandvägg, NAT, Wifi finns även där. Det är ungefär vad de flesta är i behov av.

Personligen skulle jag inte välja någon av dessa, skulle köra en barbone Linux i botten och sedan virtualisering eller kanske till och med Docker-containers för de olika funktionerna (vad som är bäst beror på hur extrema prestandakrav och exakt vad som körs). Alt. vad jag just nu har, en väldigt liten, strömsnål dedicerad Linux-baserad brandvägg (EdgeRouter X drar <5 W, tar extremt lite plats men ger ändå totalt fem gigabit portar).

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av hunden:

Vilken fördel skulle en router som klarar 10Gbit på LAN-sidan ha menar du om du ändå inte har 10Gbit på WAN? om man som i artikeln har en router med bara två interface så har man ju en switch efter och trafik inom ditt LAN (mellan enheter) går enbart genom den.

Eller missar jag nått enkelt?

Finns bara ett väldigt teoretiskt fall där det inte räcker till: kapacitet för en brandvägg/NAT är i princip helt oberoende av bandbredd, enda som spelar roll är hur många paket/s som måste hanteras.

Teoretiskt max på 1 Gbit/s Ethernet är 1,4 miljoner paket/s, det fixar inte Pfsense ens med Core i3. Fler kärnor hjälper inte, i praktiken kan man använda en kärna per port (inte helt sant i den generella fallet, men dock 100 % sant i worst-case).

Fast är inte svårare att fixa än att installera Linux i stället. i3-modellen har i det läget inget som helst problem att maxa båda portarna i absolut worst-case. Frågan är: hur relevant är det för hemmanätverket? Sådana fall spelar definitivt roll i vissa applikationer, men det som beskrivs här är inte ett sådan fall

En Skylake i3 klarar definitivt att driva två 10 Gbit/s portar med "typisk" trafik, inte helt säker att man når 14 miljoner paket utan att ta till saker som DPDK/ODP eller liknande (men man lär komma nära).

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Testpilot
Plats
Norrköping
Registrerad
Sep 2002
Skrivet av Johan86c:

Jag vill dock ha en router med fler ethernetportar än 2st, visst kan man sätta en switch bakom och slippa få så stora mängder trafik över routern. Men rent praktisk och ekonomisk vill jag begränsa hårdvaran.
10Gbit nätverk hemma är sedan det man borde ha, inte minst om man ska sprida ut laster på flera datorer eller enbart ha data på annan lagringsenhet.

Då är jag med, tänkte att det gällde precis som i artikeln att man har en ren router med bara en port.

Skrivet av Palme_570:

intern routing.

Om du har 2 st vlan där och sedan wan där en dator från vlan 1 använder 1gbit i en överföring från eller till en enhet i vlan 2 så kommer en dator som försöker tex nå internet inte ha någon bandbredd över då "allt" går till överföringen.

Där har du en användning ja men är det vanligt (eller bra designat) att ha två enheter som behöver kommunicera så mycket på två olika nät? är absolut ingen nätverksexpert (därav min ursprungliga fråga) men känner att man borde kunna lösa det på ett bättre sätt. Fast vill man ha statistik och övervakning av trafiken mellan VLAN:en så måste det väl passera routern.

Skrivet av Yoshman:

Finns bara ett väldigt teoretiskt fall där det inte räcker till: kapacitet för en brandvägg/NAT är i princip helt oberoende av bandbredd, enda som spelar roll är hur många paket/s som måste hanteras.

Teoretiskt max på 1 Gbit/s Ethernet är 1,4 miljoner paket/s, det fixar inte Pfsense ens med Core i3. Fler kärnor hjälper inte, i praktiken kan man använda en kärna per port (inte helt sant i den generella fallet, men dock 100 % sant i worst-case).

Fast är inte svårare att fixa än att installera Linux i stället. i3-modellen har i det läget inget som helst problem att maxa båda portarna i absolut worst-case. Frågan är: hur relevant är det för hemmanätverket? Sådana fall spelar definitivt roll i vissa applikationer, men det som beskrivs här är inte ett sådan fall

En Skylake i3 klarar definitivt att driva två 10 Gbit/s portar med "typisk" trafik, inte helt säker att man når 14 miljoner paket utan att ta till saker som DPDK/ODP eller liknande (men man lär komma nära).

Vet inte om jag hängde med riktigt men min ursprungsfundering var ju vilken nytta man skulle ha av två olika snabba portar. Tänkte lite snabbt att all trafik på LAN-porten borde gå ut via WAN-porten och då är den långsammaste av dom begränsningen, missade tanken på VLAN-routing.

Kolla gärna in min RGB-LED-ljusstake i galleriet
[Gigabyte GA-Z97MX-Gaming 5][Intel Core i5 4690K][Corsair XMS3 8GB][Gigabyte GeForce GTX 970 G1 Gaming]

Trädvy Permalänk
Medlem
Plats
vimmerby
Registrerad
Feb 2005
Skrivet av hunden:

Där har du en användning ja men är det vanligt (eller bra designat) att ha två enheter som behöver kommunicera så mycket på två olika nät? är absolut ingen nätverksexpert (därav min ursprungliga fråga) men känner att man borde kunna lösa det på ett bättre sätt. Fast vill man ha statistik och övervakning av trafiken mellan VLAN:en så måste det väl passera routern.

Det handlar ju främst om nätverk där säkerthet existerar och är i centrum annars är vlan ändå överkurs. I dessa fall rekommenderas dock att en lager 3 switch hanterar routingen för det interna för vilken detta in är ett problem men kan ju tex gälla tex en backup server man inte vill ha i det interna nätet och vill inte att backuperna ska störa. Bara ett exempel. Normallt sätt är detta ett icke problem.

Intel 8086k Delid@5.15,Kraken X62,Asus ROG STRIX Z370-I,32 GB GSKILL LED@CL14@3740,Evga 1080ti Black, 256gb 950 Pro, Intel P600 1TB, Ghost S1, Dell UP3218K,HP OMEN 35

Trädvy Permalänk
Datavetare
Plats
Stockholm
Registrerad
Jun 2011
Skrivet av hunden:

Vet inte om jag hängde med riktigt men min ursprungsfundering var ju vilken nytta man skulle ha av två olika snabba portar. Tänkte lite snabbt att all trafik på LAN-porten borde gå ut via WAN-porten och då är den långsammaste av dom begränsningen, missade tanken på VLAN-routing.

Ah, slarvigt läst av mig!

Det håller jag helt med om, rätt svårt att se poängen med en 1 Gbit/s WAN port och en enda 10 Gbit/s LAN port (blir i.o.f.s inte vettigare om man byter plats på dem).

Vad man kan fundera lite på i aktuella fallet med BRIX IoT där det handlar om två olika nätverkskretsar där den ena är lite kraftfullare i form av att ha fler funktioner för att avlasta CPU: ska den bättre kretsen sitta mot LAN eller WAN?

Har man ett sådant fall bör man nog sätta den bättre kretsen mot WAN. Rimligen kommer det fler små paket på den sidan, varav vissa kommer blockas av brandväggen. Små paket som man får förvänta sig på ett WAN är olika former av port-scanning, echo-request etc.

Men även här blir skillnaden i praktiken ett avrundningsfel på en enhet med modern Intel Core baserad CPU och endast 1 Gbit/s portar, spelar en roll om man har en väsentligt enklare CPU eller på annat sätt gjort CPU till flaskhals.

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2008
Skrivet av teklager:

@enoch85: I can attest to OPNSense. It's a fantastic OS with much more user friendly interface.
The OPNSense community is also much more pleasant to interact with. PFSense forum/subreddit can be somewhat rough, especially towards newcomers

pfSense is more popular because it's been around for longer, but I see this changing from year to year.

Here's the split of operating systems our clients use (data from this year):

  • pfSense: 53%

  • OPNSense: 22%

  • IPFire: 9%

  • Debian/Ubuntu: 7% (manual IPTables configuration)

  • OpenWRT: 4%

  • Other: (Untangle, OpenBSD, Sophos XG, other): 5%

Hur är det med professionell support på OPNSense?

Trädvy Permalänk
Representant
Plats
Stockholm
Registrerad
Maj 2018

@kallabaz: OPNSense offers professional support, but I haven't had a need for these services so I don't know the quality.
https://opnsense.org/support-overview/commercial-support/

I'm running https://TekLager.se/ - we build Open Source routers in Sweden :-)
(Sorry for writing in English! My Swedish is still not fantastic...)

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2008
Skrivet av teklager:

@kallabaz: OPNSense offers professional support, but I haven't had a need for these services so I don't know the quality.
https://opnsense.org/support-overview/commercial-support/

Tack!
Helt ok priser faktiskt.