Ny 1U brandvägg (OPNsense)

Trodde aldrig du skulle fråga!

Blev faktiskt en annan maskin i slutändan. Väntar på den, och återkommer när jag testat.

CSE-505-203B
1U chassi för mini-ITX kort. Front IO, 200W 80+GOLD PSU

CT4G4RFS824A
Crucial 4GB DDR4 ECC REG 2400Mz SR x8

X10SDV-4C+-TP4F
Xeon D-1518 4-core/HT 35W Flex-ATX 2xSFP+ 2xGbit M.2 NVMe, IPMI FAN

Yes, jag var på Mullet i Malmö igår faktiskt i ett annat ärende och den är på g, väntar på nån del dom inte hade bara. Blev UDIMM då jag inte kommer behöva mer än 8GB (t.o.m det är overkill)

Här kommer återkopplingen:

Från det här

Till det här

Importen av OPNsense gick smidigt. Satte ihop den nya boxen, kopplade upp mig mot IPMI och installerade därifrån. När installationen var klar så gick jag in i GUI och importerade inställningarna. Vid omstart fick jag tagga om alla interfaces och VLAN (15 st) och sen var adet bara att ta den gamla ur bruk och in med den nya på de interface jag konfat. Som ni såg så är nuvarande upptid 13 timmar, men den är sjukt mycket snabbare än den gamla. Testade att köra alla mina backups samtidigt, och den svalde det med typ 2 i load på CPUn. Det maxar linan på 1 GBit utan problem (vore väl konstigt annars) men har dock inte testat 10 GBit ännu.

Btw, man klarar sig på fläkten som ingår, behövs ingen extra.

Och ja, jag köpte från Mullet. Finns ju här i Malmö så jag åkte dit och hämtade, smidigt.

@Joulester: Ska man hårddra det så är ju HTTPS krypterad trafik, men jag förstår vad du menar.

Jag kör bara publika servrar i princip, och enda gången jag använder OpenVPN är när jag ansluter in på egna nätverket utifrån.

För närvarande fixar den:
16 VLAN fördelat på 1 interface som går in i servern (har ingen switch som stödjer VLAN, därav den lösningen)
3 övriga interface för LAN, WAN och WIFI AP
IPMI
Intrution detection (IDS)
VPN
IPv6 tunnel
NTP
X antal TB trafik per dag

Typ det jag kommer på nu, så ingen proxy eller så, det sköter min Nginx som ligger bakom denna.

Ska koppla in 10 GBe när jag fixat kabel, det blir nästa projekt.

@BruseE Helnöjd! En liten tweak för att det skulle bli perfekt med 1GBit (har inte vart och köpt 10GBe kabel ännu) var att jag bytte så att WAN sitter på ett helt eget kort. Hade allt på mitt Intel I350 -T4 tidigare, men det blev lite för hög belastning där så jag stoppade WAN på det inbyggda NICet. Nu har jag typ ingen latens alls, och allt flyter på fint. När jag maxar linan (LAN och WAN samtidigt) så ligger den på 1.2 i load och typ ingen CPU att tala om. Riktigt fint!

Den äter lite mer minne nu dock, men beror väl på att jag gick från 3 GB till 8 GB så det finns lite att ta av. För närvarande tuggar den på 2 GB i RAM, men gör mig ingenting, finns ju en del som sagt.

Allt som allt så kan jag ha fler connections idle samtidigt, och allt har blivit 100 ggr snabbare typ.

Som rubriken lyder så är detta en OPNsense maskin, ingen pfSense. Men bättre hårdvara, börja där.

@Dax Det finns beskrivet i tråden.

Bra val!

Som föregående talare sa. Det kan vara lite meckigt faktiskt. Det är väldigt noga med DD kommandot och att det är rätt image osv. Vill du ha UEFI så se till att kolla BIOS och att den är rätt skriven osv.

Provade oxå Rufus, men DD är det som gäller.

Haha sant faktiskt. Det ska bara vara att skriva .img med dd, anledningen till "meckigt" är för att det tog ett tag för mig (typ 2 försök) innan jag fick till det. Men det berodde mest på felpartinonerad USB.

Aah vad kul! OPNsense är nice!

Mao, Pfsense är enligt dig bättre för att det finns ett större utbud plugins, (finns Let's Encrypt till Pfsense?) och att det är ett större community?

Vi kör Pfsense på jobbet, och det funkar, men det är också mycket strul. DHCP server som inte funkar som den ska (på ny Supermicro HW), omstart som krävs när man gjort ändringar i 1:1 och Virtual IPs osv. Saker som jag aldrig upplevt något problem med i OPNsense. Dessutom släpper OPNsense fler säkerhetsuppdateringar än vad Pfsense gör, och i slutändan tror jag det handlar om politik och vad man är van vid. Samtidigt, hur kan OPNsense vara sämre när det bygger på exakt samma kod? Jag tror inte att OPNsenseutvecklarna tänkte, "vi tar det här och gör något sämre", snarare tvärtom.

Har aldrig kört Pfsense förutom på jobbet (där vi har typ 10 brandväggar med Pfsense), och jag måste säga - jag upplever mindre problem i OPNsense är PFsense.