標題: [操作疑難] 軟路由裝pfsense [打印本頁]

---

作者: fatman    時間: 2020-1-4 21:36     標題: 軟路由裝pfsense

見到淘記有啲迷你盒子做軟路由，請問ching有邊款機盒是比較好去裝pfsense?
而家用緊P仔1G寛頻。

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: raywan    時間: 2020-1-5 01:17

回覆 1# fatman


    search"工控路由"差唔多隻隻都得
我自己就買AMD onboard cpu行pfsense,如果用intel U, pfsense會多2個選項
Kernel Page Table Isolation,Microarchitectural Data Sampling Mitigation防止intel cpu meltdown bug...性能下降
A10N-8800E行pfsense唔錯,可以用返舊ram,但要買返張2手intel lan card就perfect

---

作者: fatman    時間: 2020-1-5 11:24


Ching, 唔該建議，但想問下ching點解買AMD,係唔係performance問題？而家呢啲軟路由，wan to lan 食唔食得晒1G?

另外，你建議A10N-8800E 是否底板，要自己砌箱嗎？但自己想買一部細機做。

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: fatdog    時間: 2020-1-5 12:16

E3845
Intel lan x4
palm size
no fan

---

作者: 觀星是答案    時間: 2020-1-5 12:50

最緊要用 Intel LAN
Realtek LAN 比較慢

我有 2 台淘寶的 Dual LAN Celeron 1037U 裝左 pfsense , 已服役超過 4 年
Spec 係 Celeron 1037U / 2GB DDR3 / 16GB mSATA SSD

依家買, 最好買有 support AES-NI support 既 CPU , 加密個陣唔會 full load 左粒 CPU
e.g. OpenVPN

---

作者: 173    時間: 2020-1-5 13:26


想請教一下軟路由器有咩好處呢？

via HKEPC Reader for Android

---

作者: 觀星是答案    時間: 2020-1-5 14:00


多野玩
一台千元既機可以做到類似幾萬蚊既商業機器既功能

而且換機直接 export / import 返 config 就可以有返晒原有既所有功能
唔需要受牌子同形號束縛

---

作者: fatman    時間: 2020-1-5 15:00


Ching. 係唔係現成一部機插外置電源？有無淘寶話個種工業用？

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: 觀星是答案    時間: 2020-1-5 15:15


taobao search 下 "迷你 PC 雙網" , 淨機通常都係 Case + 底板 + CPU (Onboard) + 火牛

要自己加 Ram 同 SSD (店通常有套餐會有埋 ram 同 SSD , 但同自己係香港散買返差不多價)

唔建議加埋 WiFi , 個 WiFi 另外買台 AP 獨立整會好好多

---

作者: fatman    時間: 2020-1-5 15:17


唔該ching, 已經有AP, 所以唔會買wifi

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: fatman    時間: 2020-1-5 15:28


Ching, 有無link係邊到買？

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: fatdog    時間: 2020-1-5 17:01



did you try to search the name "E3845" in taobao YET?

---

作者: fatman    時間: 2020-1-5 18:26


收到，之前剩係睇到J1900,原來裡面可以選到E3845！

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: ricky1992    時間: 2020-1-5 19:58

軟路由會唔會用尼做埋NAS?

---

作者: raywan    時間: 2020-1-5 22:27

本帖最後由 raywan 於 2020-1-5 22:29 編輯



    AMD響pfsense 會好O的,因為之前intel CPU有Meltdown and Spectre bug,如果唔想有受影響,就要開kernel isolation真接影響pfsense效能,大部份AMD cpu就無呢個問題,所以唔會影響效能
我之前都係用intel atom行pfsense有5年,但開左kernel isolation之後,明顯效能差左10~20%,所以現在轉左AMD cpu行pfsense,完全無呢個問題
其實上淘佬買工控行pfsense都係為左省電同細機,我自己覺得cpu最多10~15W已經好足夠,cpu有無AES-NI睇係開唔開VPN server,但atom同celeron大部份都唔support AES-NI,只有J3455以上CPU先有turbo boost/AES-NI加速最為合適
我選biostar主要係為左用返舊ram同AMD cpu有齊AES-NI同turbo-boost, TDP好似係15~25W, PSU同舊12V火牛再加Nano PSU,行intel i350-T2 dual lan,BT全速唔開IPS/IDS都係3~5% cpu loading以下開曬所有IDS/IPS全速都係80% cpu loading
Lan card一定/最好用intel lan->broadcom lan,唔好用realtek lan,好X多問題同bug,仲有lost packet等問題

---

作者: raywan    時間: 2020-1-5 22:34




   
最cheap x86 hardware行pfsense已經快過家用頂級router 100~1000倍效能
識玩一定玩pfsense,可以行VPN/DNS/firewall/IDS/IPS....server,網路安全/穩定性/效能同cisco router有得比

---

作者: 觀星是答案    時間: 2020-1-5 22:44


我自己就唔會咁做

---

作者: Evangeline    時間: 2020-1-5 23:35

用緊A10n-8800E + intel lan card 行pfsense
A10N-8800E 其實都已經係overkill

---

作者: fatdog    時間: 2020-1-5 23:56



可以，做埋電腦都得

不過冇人會咁做，因為整死左 firewall，成屋冇得上網
而且係非常唔安全，你d 額外service出事，你個 firewall 就 compromise 左

---

作者: raywan    時間: 2020-1-6 00:02

本帖最後由 raywan 於 2020-1-6 00:07 編輯

回覆 18# Evangeline


    同路人 ,請問你係用咩機箱,我仲未找到細機箱放我塊細板+intel lan card,一係就機箱太大,一係就細都放唔入張lan card
我本來都想用你塊板行pfsense,但係手頭上有8G DDR3,又唔想使多幾百蚊買新ram,結果買左A68N-5600E

---

作者: fatman    時間: 2020-1-6 00:22


唔該ching嘅解釋，我最後都聽左fatdog ching, 落左隻E3845, 我唔係好想砌箱，唔係好貴！

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: raywan    時間: 2020-1-6 01:13




    唔緊要,e3845夠細部又省電又係intel lan,如果行pfsense,可以唔使要SSD,我都係直接用USB手指boot起(無SSD),除左upgrade/logging,機本上pfsense好少寫入,ram就最好打盡8G,行snort有好大幫助

---

作者: RCHK    時間: 2020-1-6 08:25


行 Squid Proxy server 有隻 SSD 做 cache 好好多
淘仔大量舊款細容量 DC 系 SSD 又平又耐用

---

作者: fatman    時間: 2020-1-6 08:35


唔該ching，落咗2Gram 問佢可唔可以轉8G.
同埋揀咗16G msata ssd

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: nivinda    時間: 2020-1-6 11:40

請問e3845比較 3865u, 行pfsense 效能差別大嗎？

---

作者: hinball    時間: 2020-1-6 13:53

回覆 25# nivinda


    我用緊3865u VPN+ suricata+pfblockerng 都係用唔哂 overkill
不過唔知e3845 食唔食得哂１Ｇ
另外重有隻j3160 可以用都係有AES-NI

---

作者: victor59hk    時間: 2020-1-6 14:49

我有 e3815 4gb emmc, 只能裝zeroshell 好順
試過ipfire 但 ui 勁慢，頂吾順
同埋試左 加 ssd , 幾隻 linux 都裝吾到 (功力吾夠)

---

作者: ricky1992    時間: 2020-1-6 15:08



原來係咁
所以正常會將D野分開哂行?

---

作者: fatman    時間: 2020-1-6 15:11

各位ching, 落左隻E3845,8G ram, pfsense有咩野係必裝？

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: nivinda    時間: 2020-1-6 15:21

我只是vpn, snort, pfblockng

---

作者: RCHK    時間: 2020-1-6 16:13

仲有 Squid Proxy server

---

作者: raywan    時間: 2020-1-6 16:24




    很大,我估差不多double效能

celeron同i5 cpu又差很遠

---

作者: raywan    時間: 2020-1-6 16:27



行snort同pbblockng足夠用盡4G ram
我就行DNSsec, DNS cache

---

作者: fatdog    時間: 2020-1-6 17:09



你去 pfsense 個 community forum 問人都係會咁答

同時亦有好多人當 電子野 玩具咁玩
所以都有唔少人係 nas + firewall + vm + bt + ftp + cctv + ... etc

---

作者: fatdog    時間: 2020-1-6 17:11



1000m 線 同 100m 線 上網
睇數字差 10 倍

9成9 實際使用時間呢？
load 個 webpage 一樣咁快咁慢
load youtube片 一樣咁快咁慢
load facebook 一樣咁怏咁慢

---

作者: fatdog    時間: 2020-1-6 17:12



應該係你想做d 乜
而唔係人地裝左d 乜而你照跟

---

作者: fatman    時間: 2020-1-6 18:07


因為暫時想做router同firewall功能。

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: lai113ct    時間: 2020-1-6 22:16

大家落到AP係用邊隻

via HKEPC Reader for Android

---

作者: 觀星是答案    時間: 2020-1-6 22:36


大家都好討厭的 TP-Link
TL-AP1750C-PoE

---

作者: Evangeline    時間: 2020-1-6 22:42




    https://kknews.cc/zh-hk/digital/o358eqm.html
淘寶魚巢S3...唔貴同夠fit

---

作者: hinball    時間: 2020-1-7 09:13

回覆 38# lai113ct


    用隻舊r7000 刷左tomato 做AP

---

作者: oneisall    時間: 2020-1-7 09:39

玩緊Esxi 行Sophos Utm（之前用pfsense) 加 pihole 加 黑群

---

作者: kykaren37    時間: 2020-1-7 10:05

本帖最後由 kykaren37 於 2020-1-7 10:57 編輯

買左部 i5-7200u(6 lan port)版本
32gb ram, 2tb ssd

行ESXi,
上面行vCenter,adguard,vm(bt->usb passthr 外置HDD),shadowsocks,pfsense(test lab->passthr 2 network port)

---

作者: chilun    時間: 2020-1-8 09:26



但係會唔會裝esxi, 再裝pfsense同ubuntu？
我諗緊咁玩法

---

作者: fatdog    時間: 2020-1-8 10:10



玩就緊係乜都得啦
esxi 行埋 htpc 都重得

我自己係用 firewall，唔玩
所有野分開
確保唔會火燒連橫船，唔好浪費我時間

---

作者: oneisall    時間: 2020-1-8 10:17

本帖最後由 oneisall 於 2020-1-8 10:23 編輯



    咁好睇咩用途既, 我自己一條線,另一條係AP
所以無咩影響,同埋將ESXI 個PORT 隔離左佢,其實無咩野

---

作者: chilun    時間: 2020-1-8 11:09



其實我諗住裝喺esxi上邊主要想upgrade 時可以take snapshot都埋方便做backup
再裝多隻ubuntu長開俾自己喺公司可以remote上下網
不過都怕行太多野唔夠力水

---

作者: kirafung    時間: 2020-1-8 13:43

上年玩過pfsense 新版係VM 唔係好穩定. 已經冇乜rules, 但係會無啦啦斷網.
放棄左

Esxi 6.7

---

作者: 口o口    時間: 2020-1-8 17:55




    但記得你個OS裝係RDM HDD...你用唔到snapshot.....

---

作者: raywan    時間: 2020-1-8 23:10



其實pfsense forum都講過呢個問題好多次,pfsense最好行獨立hardware,唔好行VM,如果VM其中一個OS panic,成個network就hihi
仲有,如果真係要用VM 起pfsense, hardware最好係新intel I350或以上Lan card,因為支援VM既lan card,唔係有compatibility 問題

---

作者: nivinda    時間: 2020-1-8 23:55

回覆 32# raywan


    我用舊pc安裝, 效能沒問題, 只是太大件又浪費電力, 想用這種靜音迷你電腦取代, 3865u 比 e3845 又貴一倍

---

作者: oneisall    時間: 2020-1-9 06:45




    我用2200G+16GB RAM   都夠力

---

作者: kinx80    時間: 2020-1-9 23:16

唔熟 network

續約簽左 和仔 2.2G (1000M+1000M+100M+100M)
pfense 係 firewall + router?

有無可能玩 MultiWAN 呢? 請指教

---

作者: 口o口    時間: 2020-1-9 23:32




    我之前幫朋友都係用 2條1G...做疊加...但實際上邊用到咁快= =....

---

作者: fatdog    時間: 2020-1-10 00:52



可以，不過 MultiWAN 多數係夾唔同 isp
你4條都和仔，和仔出事，都係 4 條死晒 ...

有冇冷靜期？
有既取消左佢吧
2.2G ... 邊個同你 linkup 到咁快 ...
而係有多成機會會用到咁盡 ...

---

作者: kinx80    時間: 2020-1-10 20:55

佢個續約 offer 好9
村屋約，我無得揀其他 ISP
本身有 500M + mytv box 月費22x
續約，加幾十無左 mytv，或者再多少少就2.2G+mytv
屋企人要睇，變相焗左我上 2.2G

---

作者: 樹下乘涼    時間: 2020-1-10 21:55

好想知你地果D性能冇咁勁既做軟路由64小封包轉發率有幾高....

---

作者: raywan    時間: 2020-1-11 00:54




    睇下你用咩lan card同cpu,點講都一定勁過最強家用router(e.g ac86u.....)
如果只係睇價錢intel i350-t2都成千幾蚊一張,T4成3000一張,cpu點cheap都快過家用router成條街,所以同家用router 無得比,家用router等如小朋友四驅車仔,pfsense已經去到BMW跑車級

---

作者: kofz    時間: 2020-1-11 12:34

本帖最後由 kofz 於 2020-1-11 12:36 編輯

當然耗電都多左

砌得x86 router

一般都會夾山寨 lan

咁成本會慳好多

或者買一 d內置多 lan既機仔

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: 樹下乘涼    時間: 2020-1-11 13:09




    ...咁又唔係咁講...家用ROUTER如果有HWNAT係超級快的.....
不過軟路由可以做更多更多既細節設定...例如過濾...

---

作者: 口o口    時間: 2020-1-11 15:34




    耗電多左真係真....所以都係...ESXI 玩多合 1 .....用小D電.....

---

作者: kofz    時間: 2020-1-11 17:10


可以指定某段 ip先經 vpn

一般 router 已經做唔到

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: 超仔哥    時間: 2020-1-11 20:40

用開ubnt edge router
岩岩買左隻J3160 4 x I210AT機玩

---

作者: 樹下乘涼    時間: 2020-1-12 18:15




    我指既只係一般純路由(HWNAT的性能)....
要勁多功能既一定係軟路由啦.....
HWNAT會禁止好多功能同時開...

---

作者: fatman    時間: 2020-1-13 00:24



Ching, 部機仔啱啱嚟左，起左pfsense!
另外，install 左snort 同pbblockng, 但裡面好多野setting，ching有無D基本config/rule要set?

---

作者: raywan    時間: 2020-1-13 03:39

回覆 65# fatman

你install pfsense 2.4.5 or 2.5?
snort rule唔好全部select曬,我都係選emerging-scan.rules,emerging-attack_response.rules,emerging-dshield.rules,emerging-dos.rules,不要全選,因為大部份attack都會比firewall blocked,只有少部份先比snort block,因為firewall default係blocked,只有allow先唔會block
其次都係玩pfBlockerNGIPGeoIP, block大陸同俄佬,再玩下DNS resolver package,自己cache DNS server
NTP 入返time.hko.hk
再玩下多O的花神,起個OPENVPN,HAproxy, ,DDNS用duckdns.org(好好用的DDNS)
玩左8年pfsense,都唔知仲有咩好玩

---

作者: fatman    時間: 2020-1-13 15:14


唔該ching, 我裝pfsense 2.4.4 stable 版本。
另外想問pfblockerng, 你建議block 大陸同俄仔，係唔係㨂top20個list 就夠？

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

---

作者: raywan    時間: 2020-1-13 16:37

回覆 67# fatman

我自己用緊2.5,so far very stable and never crash
    top 20+ 中國+俄佬
就算你咩都唔 set, IPtable default block connection,如果你開左snort,你就會明白普通家用router點解無啦啦hand機,有時會見到大陸網軍響你個firewall出現

---

作者: fatman    時間: 2020-1-13 18:14



Thx ching, 等我慢慢研究下

---

作者: 樹下乘涼    時間: 2020-1-13 18:37

見到新款8250U好似幾抵玩....用黎起路由食唔食得曬4C8T?

---

作者: raywan    時間: 2020-1-13 23:36

回覆 70# 樹下乘涼


    router/pfsense係睇lan card先多過睇cpu,如果lan card support hardware offload, cpu可以少一半功力都可以好順,純做routing唔講IPS/IDS, cpu快慢影響不大
如果唔用intel/broadcom lan card,用realtek lan card, cpu幾快都無用,第一lan card 唔support hardware offload,所有packet都要經cpu運算,再入返lan card,所有packet無得經lan card chip去返lan port, cpu要做多好多野
第2個問題就係error packet,唔係intel lan card真係好多error packet,我之前用broadcom lan chip已經有5~8% error packet(唔關lan線/switch/其他問題),我一個月有幾十GB data,最少有幾百MB data係浪費響error correction/re-send packet.....但轉用左intel lan card,都係用返所有hardware/lan線/switch, 每月有幾百GB data但只有0 error packet realtek lan估計有10~20% error rate,所以一張好lan card真係好過粒勁怏cpu

---

作者: 樹下乘涼    時間: 2020-1-14 01:33




邊D先有OFFLOAD?  定係所有INTEL同博通都有?
見到有D係用I211-AT
realtek 迷你機好似冇見到過....

---

作者: raywan    時間: 2020-1-14 03:28




    intel 近呢十年出既lan crad多數都有
broadcom唔係張張有,好似要server grade 先有,但一般broadcom響linux支援係差少少,broadcom setting比intel麻煩,所以用開linux都一定用intel lan

---

作者: Aurora_Nova    時間: 2020-1-16 21:57



Snort 點玩？

---

作者: raywan    時間: 2020-1-18 02:02

本帖最後由 raywan 於 2020-1-18 22:07 編輯

---

作者: 9412    時間: 2020-1-18 19:46

本帖最後由 9412 於 2020-1-18 19:58 編輯

回覆 70# 樹下乘涼
#71已經講左D

但用得pfSense估計都會加個IDS/IPS落去, 我舊7200U(intel i211 lan)就用suricata, 善用下其他Core/Thread, 始終snort2唔支援multi thread

Checksum Offload/TSO/LRO我全部唔開, 平時都係10%樓下, speed test 都係50~60% 到, 唯一會爆上80~90%就係download rclone d加密數據個陣
(同時行緊ntopng, 另一件食CPU+RAM怪獸 )

suricata我就用 legacy mode 去block IP, inline mode唔知點解成日hang
Categories就下面呢堆, rules就隨便寫左個SID conf如果我粒7200U換做8250U應該跌差唔多一半佔用, 所以8250U真係夠做有凸
我依家就研究緊點起個VM(部router底層係ESXi)借粒U個内顯做jellyfin ffmpeg轉碼

---

作者: raywan    時間: 2020-1-19 00:39




    剛剛我都轉玩suricata,真係快好多

---

作者: CDman    時間: 2020-1-20 10:33

近排成日有人想撞PASSWORD

已改左MAC ADDRESS去改IP 都唔得.

雖然15次FAIL會BLOCK IP, 但都係有D 驚
CHECK 左對方IP 係俄羅斯撞入嚟..
眾CHING 有無咩計?

E.G 有無得SET 撞錯PASSWORD 即BLOCK?
謝謝.

---

作者: 樹下乘涼    時間: 2020-1-20 10:41




    錯密碼即BAN=你自己錯都即BAN...
如果冇需要不如SET LAN內登入ONLY???

---

作者: CDman    時間: 2020-1-20 10:51

回復 79 #樹下乘涼

我試吓先。謝謝

---

作者: CDman    時間: 2020-1-20 13:43

剛再SET 了RULES 去BLOCK WAN 嘅FIREWALL ACCESS. 希望OK.
感謝