Router/brandvägg med pfSense

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Jan 2009

Router/brandvägg med pfSense

Nu verkar det som att hushållet kommer få fiber inom kort, och jag har då en ursäkt till att uppgradera routern.

Jag har varit intresserad av en starkare version, för att köra pfSense med brandvägg och OpenVPN. Då lutar det mot en låda med Intel® Celeron 1037U, 2-4GB RAM och 8GB HDD. Frågan är nu bara var det är mest prisvärt att handla ifrån, och vilken version som är bäst att köpa.

OVPN box kostar 1999 riksdaler och har följande hårdvara:

Intel® Celeron 1037U
Atheros AR9382 AR5BHB116
2 GB DDR3 1600 Mhz RAM
8 GB SSD
7 dBi antenner

Dold text

Denna låda visar sig dock vara massproducerad, och det går att få tag i billigare versioner på Alibaba. En annan låda är denna, som kostar ca 1650 kr (2GB RAM/8GB SSD) och levereras inom en vecka, den verkar vara i princip identisk med lådan från OVPN.

Hittade dock en annan lovande burk, som verkar vara mer prisvärd än alternativet från OVPN:

Core i3 4010U
300mbps 802.11a/b/g/n
4 GB RAM
32 GB SSD
2 st antenner
Länk

Dold text

Fördelen med denna låda är att den har mer kraft för att köra olika OpenVPN-klienter på, exempelvis AppleTV'n går till en amerikansk VPN och datorn till en svensk. Kan tänka mig att detta tar processorkraft, och en bättre CPU bör ju då hålla lägre temperatur (klarar belastningen bättre). Dessutom hänger den med lite längre om man skaffar högre hastighet på bredbandet, exempelvis 1000/1000, antar jag.

Om man vill köra .ac kan man lägga till en sådan här, då kan man slänga in en extra antenn dessutom. Eller denna. Kanske gör detta att man slipper ha en extender, förhoppningsvis iallafall.

Vad tror ni? Finns det bättre exemplar för omkring 2000 kr för att köra pfSense med OpenVPN på?

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011

Tre månader gammal tråd men jag letar efter en liknande lösning. Tyst liten smidig låda med PFsense som klarar att köra OpenVPN-kryptering på 100 eller 250Mbps-lina. Plus i kant om den har USB3 för potentiell enkel filserver. På OVPNs sida står det att den klarar 600Mbps OpenSSL men betyder det att den klarar 250Mbps 256bit OpenVPN?

Finns det någon lista över liknande produkter och vad dom har för OpenVPN-prestanda?

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Jan 2009

Funderar på att köpa följande (i5 5257U): http://s.aliexpress.com/nue63yYn

Krävs rätt mycket kraft för att kunna kryptera en 100-lina, man bör nog ha en budget på minst 3.000 SEK efter vidare forskning till ämnet.

Trädvy Permalänk
Medlem
Registrerad
Dec 2002

Skulle isf rekommendera en Ubiquiti edgerouter lite. Kostar runt 1100 kr och klarar gigabit internet. Med ca 970 MBIT throughput. Och stöd för vpn. Liten och drar knappt någons ström. Kompletteras med en https://www.inet.se/produkt/5402476/ubiquiti-unifi-n300/#spec... (just denna modell har inte stöd för 5ghz)
https://www.inet.se/produkt/5404694/ubiquiti-edgerouter-lite/...

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Mar 2002

@fragwolf: Just OpenVPN och EdgeRouter är väl ingen superkombination när det gäller hastighet.
Anledningen är att OpenVPN-trafiken inte avlastas utan går direkt på processorn vilket resulterar i lite halvsunkig prestanda.
Men fungerar gör det.

Marantz NR1605, Rotel RB1090, Ino Audio piPs
Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011
Skrivet av CROE:

Funderar på att köpa följande (i5 5257U): http://s.aliexpress.com/nue63yYn

Krävs rätt mycket kraft för att kunna kryptera en 100-lina, man bör nog ha en budget på minst 3.000 SEK efter vidare forskning till ämnet.

i5 5257U är Dual Core med HT och har stöd för AES-NI. Den borde klara av krypteringen bra. Den modellen du tipsade om har flera expansionsalternativ. 2,5"-disk, två mSATA och full PCIe och en halv PCIe. Mycket expansioner den erbjuder. 2800 kr för 4GB och 64GB SSD.

Jag fann samma maskin men med snabbare processor, och den också gratis frakt till Sverige. Core i7-processorer av olika slag men sidan verkar buggat ut lite. Tyvärr minsta SSD-alternativet är 128GB och då med 8GB ram.

Mini PC computador 5th Gen i7 5500U 5557U 5600U Desktop Fanless Windows 8 XBMC Barebone Large Gaming PC i7 Core Iris 6100
http://www.aliexpress.com/item/Mini-PC-computador-5th-Gen-i7-...

Skillnad mellan processorerna.
http://ark.intel.com/sv/compare/85215,84993,85214,84985

i7 5557U vs i5 5257U
http://cpuboss.com/cpus/Intel-Core-i7-5557U-vs-Intel-Core-i5-...
Mer cache, högre klockad = winwin

i7 5600U har stöd för vPro vilket kan ses som ett säkerhetsproblem. i5 5257U (28W), i7 5500U (15W) och i7 5557U (28W) har inte stöd för vPro. Hur är det egentligen med Intel Management Engine (ME)? Hur säkert är det med den tekniken på en maskin som skall agera router?

Vad för nätverksskort har dessa maskiner? I denna prisbild är det troligen Realtek-kort. Inte det bästa.

Det hade varit bra att hitta faktiska OpenVPN-tester med någon av dessa processorer för att se hur väl dom fungerar.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Mar 2002

@Vatten: Nu scrollade jag bara igenom den där sidan lite snabbt, den listar Realtek som nätverkskort så ha det i åtanke innan ett eventuellt köp.

Marantz NR1605, Rotel RB1090, Ino Audio piPs
Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011
Skrivet av backspace:

@Vatten: Nu scrollade jag bara igenom den där sidan lite snabbt, den listar Realtek som nätverkskort så ha det i åtanke innan ett eventuellt köp.

Det är synd, men hur mycket negativ effekt har Realtek-korten på maskinen i sig? Processorn i sig är rätt kraftig och maximala trafiken igenom ligger på 250Mbps åt ena hållet.

Det bör finnas en maskin någon stans som har det som eftersökes i denna tråd, men vart?

Jag testade att sätta ihop ett mITX-system med två Intel-kort och relativt litet chassi och en kanske passande CPU-kylare.

CPU: Intel Core i5 6600T (vPro - 35W) - 2200 kr
KYLARE: Scythe Big Shuriken 2 Rev. B - 400 kr
MB: Gigabyte GA-H170N-WIFI - 1200 kr
RAM: 1x4GB DDR4 PC19200 - 200 kr
HDD: M2 Transcend MTS800 TS32GMTS800 32GB - 300 kr
CHASSI: EMKO Case EM-150/Ext (Svart) - 400 kr (Mini-itx.se)
PSU: Pico PSU 80W+80W-adapter (Och Adapterkabel 4-pin(molex) till ATX12V 30cm) - 600 kr (Mini-itx.se)

Slutpriset blir minst 5500kr utan frakt. Saftigt...

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Mar 2002

@Vatten: Mina personliga anekdoter med Realtek är kanske inte så intressant så jag säger väl bara att prestandan blev lidande när jag hade Realtek som nätverkskort, detta är många år sen nu.

Här har du ett inlägg från en av grundpelarna hos pfSense:
https://www.reddit.com/r/PFSENSE/comments/1zt82l/intel_vs_rea...
Första inlägget i den tråden av cbuechler.

Nu är ju även den infon några år gammal men ändå inte helt inaktuell.

Små smidiga system som du är ute efter postas det om i pfsense forum, dessa har Intel-nätverkskort.

http://www.aliexpress.com/store/product/Popular-Nano-ITX-Fanl...
http://www.aliexpress.com/item/Eglobal-Fanless-Industrial-Min...

Marantz NR1605, Rotel RB1090, Ino Audio piPs
Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

Jag har två st pfsense routrar, en x750e watchguard och ett bygge från mini-itx.se
http://mini-itx.se/mp557d2500ccdubblalan23xcom-p-863.html?cPa...

Båda kör OpenVPN och sitter med 100/100.
Watchguarden klarar av att maxa utan problem, mini-itxen får jag ut ca 70,80% av hastigheten.

Rolig hårdvara hemma: x750e med pfSense, 2x RPi med diverse tjänster, Synology NAS.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002

Även jag letar efter ett liknande system. Tyvärr så verkar alla trevliga fläktlösa system från aliexpress köra på realtek nics. Finns ett antal med intel nics men då kör de med typ celeron J1900.

Man vill ju ha lite oomph i systemet så att det klarar routa gigbit och minst 1 ovpn på runt 100mbit.

Ett alternativ skulle ju vara att hitta ett system med en pcie slot där man dunkar i ett 4 portars intel kort från ebay.

Edit: Verkar som att där kommer en hel del intressant i sommar med ARM versionen av pfSense.
https://www.reddit.com/r/PFSENSE/comments/4m07jm/pfsense_24de...
Man kan ju hoppas på en liten nätt router med ett bra antal ARM kärnor.

Trädvy Permalänk
Medlem
Plats
Sundbyberg
Registrerad
Maj 2002

Om du kan klara dig på ett interface och köra med vlan istället så kan jag rekommendera en nuc med haswell eller nyare processor för aes ni stöd. Dessa har intel nätkort.

Jag kör på en i3 haswell och har openvpn tunnel uppsatt och maxar utan problem 100mbit via openvpn, kan inte testa högre då min uppkoppling är begränsnigen. Men de går hitta för 1500-1600 komplett med minne och ssd här på marknaden.

Om du måste kunna routa 1 gbps går det bort såklart då du kommer behöva två interface för det.

Skickades från m.sweclockers.com

Spelburk: Ryzen 2700x, 32GB ram, EVGA 980 SC ACX 2.0, Benq BL3201PT
Server 1: E3-1240v2, 32Gb ram, X9SCM-F, Node 804
Server 2: HP MS G8, E3-1260L, 16Gb ram
Server 3-5: NUC i3-3217u 8GB ram, NUC 4010u 16GB ram, BRIX i3-4010u 16GB ram

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002
Skrivet av kniven:

Om du kan klara dig på ett interface och köra med vlan istället så kan jag rekommendera en nuc med haswell eller nyare processor för aes ni stöd. Dessa har intel nätkort.

Jag kör på en i3 haswell och har openvpn tunnel uppsatt och maxar utan problem 100mbit via openvpn, kan inte testa högre då min uppkoppling är begränsnigen. Men de går hitta för 1500-1600 komplett med minne och ssd här på marknaden.

Om du måste kunna routa 1 gbps går det bort såklart då du kommer behöva två interface för det.

Skickades från m.sweclockers.com

Det är mer för framtida ev uppgradering av linan. Sitter med 100/100 just nu.
Hade intel gjort en nuc med 2st Gbit nics så hade jag nog köpt mig en sån. Alternativet blir nog att bygga eget. Det kostar lite mer men man får allt precis som man vill ha det.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011
Skrivet av a08steis:

Jag har två st pfsense routrar, en x750e watchguard och ett bygge från mini-itx.se
http://mini-itx.se/mp557d2500ccdubblalan23xcom-p-863.html?cPa...

Båda kör OpenVPN och sitter med 100/100.
Watchguarden klarar av att maxa utan problem, mini-itxen får jag ut ca 70,80% av hastigheten.

Sammanställning med processorer och dess statistik

http://ark.intel.com/sv/compare/59682,71995,78867,87258,75460...
1. Atom i Mini-itx.se-rigg. *
2. OVPNBoxens processor.
3. Celeron-processorn i backspaces exemplar. (https://forums.untangle.com/hardware/33827-good-news-intel-j1...) **
4. http://forum.mikrotik.com/viewtopic.php?t=103673#p515300 ***
5-6. Intel i backspaces exemplar. (datorn http://www.aliexpress.com/item/Eglobal-Fanless-Industrial-Min...

Celeron J1900 och N3150 verkar passa bäst för 100Mbps-linor, och då inte samtidigt.

* Atom D2500: 70-80% av 100/100-lina.

** Celeron J1900 "I just tested a OpenVpn session and I can transfer files up to 102 Mbit/s."

*** Celeron N3150 "The box will route gigabit all day with no issues and run IPSEC AES-256-CBC at about 125Mbit without AES-NI enabled, OpenVPN AES-256-CBC will only push 98Mbit. Enabling AES-NI support at the kernel level brings IPSEC AES-256-CBC to 400Mbit and OpenVPN AES-256-CBC to 122Mbit."

Trädvy Permalänk
Medlem
Registrerad
Dec 2002

@backspace:
Alla vpner suger ned hastigheten. Men problemet e att du måste använda cli har jag för mig för att få in openvpn då det inte finns med i guit. Av någon jävla konstig anledning. Förstår inte varför. Edgen är snabbare än alla andra routrar i sin prisklass. VPN över lag brukar ju typ halvera hastigheten.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Kävlinge
Registrerad
Feb 2002

Jag hade dock inte satsat på att köra PFsense med Wifi utrustning.
Kör på en acesspunkt istället.

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002

Riktigt synd att alla billigare barebones/minipc ska använda realtek nics.
http://www.prisjakt.nu/produkt.php?p=3447410 hade den bara haft intel nics så

Trädvy Permalänk
Medlem
Plats
localhost
Registrerad
Jan 2009

Realtek NIC's är inte lägre ett problem med senaste versionen av Pfsense. Det var tidigare ett mjukvaruproblem, som numer är åtgärdat.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Jun 2003

Hur börjar stödet för trådlösa nätverkskort bli då? Minns att det tidigare varit rätt uset. Det vore så trevligt att få till en trådlös accesspunkt med pfSense, så kan jag äntligen skrota min Linksysrouter. Fast om man kör pfSense i typ ESXi så borde väl endast stöd för det trådlösa nätverkskortet krävas i ESXi?

c[_]

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

Köpte ett passivt kylt dual-nic (realtek) N3150 system från Aliexpress för under tusenlappen som maxar min openVPN 100mbit lina utan problem (AES-256-CBC). Kör senaste pfSense 2.3.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002
Skrivet av tactoad:

Köpte ett passivt kylt dual-nic (realtek) N3150 system från Aliexpress för under tusenlappen som maxar min openVPN 100mbit lina utan problem (AES-256-CBC). Kör senaste pfSense 2.3.

Det låter ju lovande. Har du en länk till det du köpte? Har du provat att maxa linan under en längre tid och kolla om den tappar i hastighet?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

Den här http://www.aliexpress.com/snapshot/7718051044.html?orderId=75...
Vi köpte 5st då flera på jobbet var intresserade så vi fick rabatt oxå. Körde stenhårt i ett par timmar för prova både VPN-tjänst samt hårdvara, helt utan problem. Har inte hunnit göra en permanent lösning där NASet ligger på ett separat nät.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011
Skrivet av tactoad:

Den här http://www.aliexpress.com/snapshot/7718051044.html?orderId=75...
Vi köpte 5st då flera på jobbet var intresserade så vi fick rabatt oxå. Körde stenhårt i ett par timmar för prova både VPN-tjänst samt hårdvara, helt utan problem. Har inte hunnit göra en permanent lösning där NASet ligger på ett separat nät.

Då ni körde maskinerna stenhårt, vad toppade maskinerna på? Jag hör och läser från flera håll att Celeron N3150 kan köra 100Mbps-linor (Ena hållet eller båda samtidigt kommer inte fram) i 256bit OpenVPN men vart ligger verkliga taket på? Fick ni något sådant resultat?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

Toppade runt 60% CPU när den gick som hårdast. Den har ju fyra kärnor men eftersom openvpn är enkeltrådat så vet jag inte hur hårt resten av kärnorna körde. För hemmabruk är det en klockren burk. AES-NI stödet verkar ju göra en hel del. Körde torrents så det var mest ner än upp.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011
Skrivet av tactoad:

Toppade runt 60% CPU när den gick som hårdast. Den har ju fyra kärnor men eftersom openvpn är enkeltrådat så vet jag inte hur hårt resten av kärnorna körde. För hemmabruk är det en klockren burk. AES-NI stödet verkar ju göra en hel del. Körde torrents så det var mest ner än upp.

Tackar.

Jag hittade precis en tråd med samma Core i7 4500U med Intel-NIC som nedanför. Där visar sig en N3150-test pressa 117Mbps med OpenVPN i syntetiskt test vilket ligger i samma liga som tidigare rapporterats här, medan 4500U klarade 281Mbps OpenVPN.
https://forum.pfsense.org/index.php?topic=113610.0

Fläktlös N3150, Realtek NIC, 4GB ram och 32GB SSD - 165 dollar (1400 kr) och gratis frakt.
http://www.aliexpress.com/item/New-Minipc-Quad-Core-Mini-PC-W...

Fläktlös Core i7 4500U / 4510U, Intel NIC, 4GB ram och 64GB SSD - 340 dollar (2800kr) med gratis frakt.
http://www.aliexpress.com/item/Eglobal-Fanless-Industrial-Min...

Processorjämförelse http://ark.intel.com/sv/compare/87258,75460,81015

En slutsats: Med OpenVPN-tunnel passar N3150 för 100-lina och 4500U för 250Mbps-lina medan den sistnämna kostar det dubbla.

Jag hoppas jag har hjälp andra med denna tråd att hitta vettiga alternativ till fläktlös PFsense-router för OpenVPN.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2010
Skrivet av Vatten:

Fläktlös N3150, Realtek NIC, 4GB ram och 32GB SSD - 165 dollar (1400 kr) och gratis frakt.
http://www.aliexpress.com/item/New-Minipc-Quad-Core-Mini-PC-W...

Den såg trevlig ut, frågan är bara vad det är för SSD man får? Förhoppningsvis inte Kingdian eller liknande.
Gillar dessutom denna raden i annonsen :
"4. We default preinstall Crack Windows 10, less useless program more smoothly."

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

hitta en liten minnow board. någon som känner till den?

Minnow Board E3845

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2009

Har kört denna i ca:1 år nu: https://mullet.se/product.html?product_id=336516
Något dyr (har den med 8 cores) men den drar under 35W och klarar av att snurra runt många vms.
Fungerar klockrent har stöd för AES-NI osv, kör pfsense som en vm i esxi 6 med ~10vlan och en wifi-ap har 250/100, 100Mbit openvpn (max jag testat) så jobbar 1 core på cpun ca:40-60% med aes-256cbc

CPU info: http://ark.intel.com/sv/products/77988/Intel-Atom-Processor-C...

Jag vet att den är något dyr men jag har aldrig ångrat mig. Just det, den låter just ingenting.

Chassi: Fractal Design R5, MB: Asus Z97-A, CPU: 4790K @4,7
RAM: 16G HyperX Fury, Skärm: 2X Dell U2515H
PSU: Newton R3 600W, GPU: 780 Classified
Disk: sys: 256G 850 PRO, random: 250G 850 Evo, Nas: 20T)

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jun 2011
Skrivet av baz1337:

Har kört denna i ca:1 år nu: https://mullet.se/product.html?product_id=336516
Något dyr (har den med 8 cores) men den drar under 35W och klarar av att snurra runt många vms.
Fungerar klockrent har stöd för AES-NI osv, kör pfsense som en vm i esxi 6 med ~10vlan och en wifi-ap har 250/100, 100Mbit openvpn (max jag testat) så jobbar 1 core på cpun ca:40-60% med aes-256cbc

CPU info: http://ark.intel.com/sv/products/77988/Intel-Atom-Processor-C...

Jag vet att den är något dyr men jag har aldrig ångrat mig. Just det, den låter just ingenting.

Bra med fyra integrerade gigabitportar.

Du kan göra ett syntetiskt OpenVPN-test som andra enheter har gjort här i tråden. OpenVPN är enkeltrådigt och tar tydligen inte nytta av fler kärnor.

https://forum.pfsense.org/index.php?PHPSESSID=dj555ra78i5so39...

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2009
Skrivet av Vatten:

Bra med fyra integrerade gigabitportar.

Du kan göra ett syntetiskt OpenVPN-test som andra enheter har gjort här i tråden. OpenVPN är enkeltrådigt och tar tydligen inte nytta av fler kärnor.

https://forum.pfsense.org/index.php?PHPSESSID=dj555ra78i5so39...

Lyckades inte köra igenom hela syntaxen men detta ger samma bild.

Varsågod:
openssl speed aes-128-cbc aes-192-cbc aes-256-cbc

OpenSSL 1.0.1s-freebsd 1 Mar 2016
built on: date not available
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128 cbc 39443.87k 44679.49k 46191.53k 115789.76k 118760.13k
aes-192 cbc 33709.70k 37483.24k 38876.84k 99684.53k 100931.60k
aes-256 cbc 29301.41k 31189.68k 32545.54k 85327.87k 86862.06k

Påtal om kärnor så har du helt rätt, openvpn kör bara en tråd per process.

Chassi: Fractal Design R5, MB: Asus Z97-A, CPU: 4790K @4,7
RAM: 16G HyperX Fury, Skärm: 2X Dell U2515H
PSU: Newton R3 600W, GPU: 780 Classified
Disk: sys: 256G 850 PRO, random: 250G 850 Evo, Nas: 20T)