Επιλογές hardware για Firewall/UTM

[fadasma]

Ερώτηση δική μου. Σεναριο .Λέμε αν Χάσουμε την primary που είναι μια 1Gbps και γυρίσει στην backup που είναι 5G .
Τι γίνεται με το qos που μπορεί να είναι ρυθμισμένο είτε σαν fq-codel είτε cake?

Αν εχεις βαλει limit 1Gbps και το 5G πιανει λιγότερο (πχ 600Mbps), τότε το fq-codel δε θα ενεργοποιηθεί ποτέ γιατί ενεργοποιείται όταν η γραμμή κοντεύει να γεμίσει και θα νομίζει οτι είναι άδεια στα 600Mbps.

[Oav051]

το topology θα ειναι: primary :ONT ----> MT1(FQCodel or CAKE)----UDMSE με Fail over ---- MT2(FQCodel or CAKE) -----6850G
γενικα εχει νοημα να εχουμε qos στο 5G που αναλογα με την ωρα παει πανω κατω ? η να βαλουμε ενα ταβανι αφου ειναι backup.
στο 5G ειναι προτειμοτερο fqcodel η cake.

[fadasma]

το topology θα ειναι: primary :ONT ----> MT1(FQCodel or CAKE)----UDMSE με Fail over ---- MT2(FQCodel or CAKE) -----6850G
γενικα εχει νοημα να εχουμε qos στο 5G που αναλογα με την ωρα παει πανω κατω ? η να βαλουμε ενα ταβανι αφου ειναι backup.
στο 5G ειναι προτειμοτερο fqcodel η cake.

Προσωπικά προτιμώ χαμηλό ταβάνι και καλό latency με το Codel παρά όσο πιάσει και να έχει bufferbloat σε βιντεοκλήσεις.
Το θέμα είναι πως ορίζεις διαφορετικό ταβάνι σε MT1&2? Δεν είναι σε group αυτά;

[Oav051]

Προσωπικά προτιμώ χαμηλό ταβάνι και καλό latency με το Codel παρά όσο πιάσει και να έχει bufferbloat σε βιντεοκλήσεις.
Το θέμα είναι πως ορίζεις διαφορετικό ταβάνι σε MT1&2? Δεν είναι σε group αυτά;

ειναι 2 διαφορετικα MT

[BlueChris]

το topology θα ειναι: primary :ONT ----> MT1(FQCodel or CAKE)----UDMSE με Fail over ---- MT2(FQCodel or CAKE) -----6850G
γενικα εχει νοημα να εχουμε qos στο 5G που αναλογα με την ωρα παει πανω κατω ? η να βαλουμε ενα ταβανι αφου ειναι backup.
στο 5G ειναι προτειμοτερο fqcodel η cake.

Εγώ τα 5G τα έχω χωρίς QoS γιατί αυξομειώνονται συνέχεια οι ταχύτητες. Οκ αν θες να είσαι μέσα πάντα και πιάνεις πχ 700/150 το βράδυ αργά αλλά 450/100 μέσα στην ημέρα ένα καλό νούμερο είναι το 400/70 πχ αλλά είναι τόσο μεγάλη η ταχύτητα που δεν έχει πολύ νόημα να σου πω την αλήθεια... δεν ξέρω, ένα τεράστιο download μπορεί να το τσακίσει.. θέλει μια μέση λύση.
Εδώ μου άρεσε η υλοποίηση του AsusWRT με Merlin firmware και έξτρα το Cake.... έχει μια φάση που ΔΕΝ βάζεις τα maximum speeds του και το κάνει δυναμικά... παίζει καλά μέχρι στιγμής αλλά εκεί που το έβαλα δεν μπορώ να κάνει πειράματα.. είναι σε 200/20 γραμμή σε σπίτι στο ένα από τα αφεντικά μου... πάντως μου άρεσε γενικά.

Zabbix έτοιμο... το έβαλα με το Appliance... με VMWare converter το έστειλα στον Esxi και τέλος. Βλέπω ήδη στατιστικά και θέλει λέει καμιά ώρα για τα Interfaces να τα δείξει αλλά εγώ βλέπω ότι τα είδε όλα ήδη.

Ευχαριστώ

[netblues]

Ερώτηση δική μου. Σεναριο .Λέμε αν Χάσουμε την primary που είναι μια 1Gbps και γυρίσει στην backup που είναι 5G .
Τι γίνεται με το qos που μπορεί να είναι ρυθμισμένο είτε σαν fq-codel είτε cake? Primary gw uplinked σε mikrotik .
Secondary interface @ udm σε άλλο mikrotik uplinked σε fritz 5g

Και που ειναι το προβλημα? Καθε γραμμη εχει το δικο της queue και το δικο της fqcodel με το δικο του line rate.
To trick ειναι να βαλεις για source το εκαστοτε interface ip στα floating rules. Κοινως το fq-codel θα επεμβει ΜΕΤΑ το nat. Works.
To προβλημα παραμενει με το κουκουρουκου bw του 5g.

[ChriZ]

Εδώ μου άρεσε η υλοποίηση του AsusWRT με Merlin firmware και έξτρα το Cake.... έχει μια φάση που ΔΕΝ βάζεις τα maximum speeds του και το κάνει δυναμικά... παίζει καλά μέχρι στιγμής αλλά εκεί που το έβαλα δεν μπορώ να κάνει πειράματα.. είναι σε 200/20 γραμμή σε σπίτι στο ένα από τα αφεντικά μου... πάντως μου άρεσε γενικά.

Το ότι το κάνει "δυναμικά" νομίζω είναι λίγο σχετικό... Πως θα μαντέψει την ταχύτητα ανα πάσα στιγμή; Από κάπου κρατάει την πληροφορία. π.χ. σε vdsl μπας και βλέπει την ταχύτητα συγχρονισμού του ρούτερ και κάνει τους αντίστοιχους υπολογισμούς; Από κάπου πρεπει να τραβάει κάποια πληροφορία. Και στο 5G η ταχύτητα είναι σχεδόν πάντα μεταβαλλόμενη
Εγώ νομίζω ότι στην περίπτωση που λεει ο Oav051, θα πρέπει να δει τη μινιμουμ ταχύτητα που πιάνει η συγκεκριμένη γραμμή και να γίνει adjust το qos με βάση αυτή.
Θα μου πείτε ότι θα χάνει πολύ από ταχύτητα όταν το 5G θα πιάνει πολύ παραπάνω, αλλά δε νομίζω ότι παίζει ρόλο σε μια backup γραμμή. Σε γενικες γραμμές το παραπάνω στο 5G είναι σε κάτι άκυρες ώρες π.χ. ξημερώματα, που συνήθως δεν έχεις ανάγκη για ταχύτητα ούτως ή άλλως.
Δεν ξέρω βέβαια αν εκτός από failover η συγκεκριμένη γραμμή κάνει και load balancing, οπότε εκεί γίνονται λίγο πιο περίπλοκα τα πράγματα...

[fadasma]

Οι γραμμές 5G χρησιμοποιούνται ως backup αλλά αυτό είναι η τεμπέλικη λύση.
Η optimum λύση θα ήταν να ξεχωρίσουμε την κίνηση μας και να στέλνουμε ένα μέρος στη γραμμή FTTH και ένα άλλο μέρος στο 5G.
Για παράδειγμα αν στέλναμε το DNS, video/voice calls και VPN στη FTTH, δε θα χρειαζόταν καν QoS (limiter) επειδή δε θα γέμιζε συχνά η γραμμή. Τα υπόλοιπα όπως youtube, windows updates, email, torrent θα πήγαιναν από το 5G όσο πιο γρήγορα μπορούσε να πάει αυτή η σύνδεση. Αυτά συνήθως μπουκώνουν τη FTTH, άρα με το διαχωρισμό στην κίνηση και στέλνοντας στο 5G τη "σαβούρα" θα είχαμε και QoS.

[ChriZ]

Οι γραμμές 5G χρησιμοποιούνται ως backup αλλά αυτό είναι η τεμπέλικη λύση.
Η optimum λύση θα ήταν να ξεχωρίσουμε την κίνηση μας και να στέλνουμε ένα μέρος στη γραμμή FTTH και ένα άλλο μέρος στο 5G.
Για παράδειγμα αν στέλναμε το DNS, video/voice calls και VPN στη FTTH, δε θα χρειαζόταν καν QoS (limiter) επειδή δε θα γέμιζε συχνά η γραμμή. Τα υπόλοιπα όπως youtube, windows updates, email, torrent θα πήγαιναν από το 5G όσο πιο γρήγορα μπορούσε να πάει αυτή η σύνδεση.

Δεν πιστεύω πως είναι ακριβώς έτσι, γιατί η σαβούρα άμα μπουκώσει τη backup θα τη ρίχνει και θα αναλαμβάνει συνεχώς η primary (εκτός βέβαια αν επί τούτου από το ρούτιγκ του πούμε ότι αν πέφτει να μην γυρνάει στο άλλο GW)

[Oav051]

Θα μου πείτε ότι θα χάνει πολύ από ταχύτητα όταν το 5G θα πιάνει πολύ παραπάνω, αλλά δε νομίζω ότι παίζει ρόλο σε μια backup γραμμή.

ακριβως αυτο .

Οι γραμμές 5G χρησιμοποιούνται ως backup αλλά αυτό είναι η τεμπέλικη λύση.

ειναι ακομα unrideable για αυτο καθαρο backup.

optimum λύση θα ήταν να ξεχωρίσουμε την κίνηση μας και να στέλνουμε ένα μέρος στη γραμμή FTTH και ένα άλλο μέρος στο 5G.

ναι θα ηταν το ιδανικο απαξ και εισαι σε χαμηλες ταχυτητες FTTH . τωρα στις 500 , 1000 δεν ξερω εαν εχει νοημα ιδιετερο. οκ τα torrent . αλλα ακομα ποση εχουν 4κ η 8κ για να εχει θεμα η primary και να κανεις split.

[BlueChris]

Το ότι το κάνει "δυναμικά" νομίζω είναι λίγο σχετικό... Πως θα μαντέψει την ταχύτητα ανα πάσα στιγμή; Από κάπου κρατάει την πληροφορία. π.χ. σε vdsl μπας και βλέπει την ταχύτητα συγχρονισμού του ρούτερ και κάνει τους αντίστοιχους υπολογισμούς; Από κάπου πρεπει να τραβάει κάποια πληροφορία. Και στο 5G η ταχύτητα είναι σχεδόν πάντα μεταβαλλόμενη
Εγώ νομίζω ότι στην περίπτωση που λεει ο Oav051, θα πρέπει να δει τη μινιμουμ ταχύτητα που πιάνει η συγκεκριμένη γραμμή και να γίνει adjust το qos με βάση αυτή.
Θα μου πείτε ότι θα χάνει πολύ από ταχύτητα όταν το 5G θα πιάνει πολύ παραπάνω, αλλά δε νομίζω ότι παίζει ρόλο σε μια backup γραμμή. Σε γενικες γραμμές το παραπάνω στο 5G είναι σε κάτι άκυρες ώρες π.χ. ξημερώματα, που συνήθως δεν έχεις ανάγκη για ταχύτητα ούτως ή άλλως.
Δεν ξέρω βέβαια αν εκτός από failover η συγκεκριμένη γραμμή κάνει και load balancing, οπότε εκεί γίνονται λίγο πιο περίπλοκα τα πράγματα...

Το σκέφτομαι και δεν είναι δύσκολο... αν κοιτάς τους χρόνους απόκρισης σε ότι ζητάνε οι χρήστες (οκ μεχρι 100ms πχ) τότε μειώνεις τα BW limit. Ξέρεις εκ των προτέρων πως πχ για DNS και VoIP ή κάποια games πως οι χρόνοι πρέπει να είναι πολλοί μικροί.

Οι γραμμές 5G χρησιμοποιούνται ως backup αλλά αυτό είναι η τεμπέλικη λύση.
Η optimum λύση θα ήταν να ξεχωρίσουμε την κίνηση μας και να στέλνουμε ένα μέρος στη γραμμή FTTH και ένα άλλο μέρος στο 5G.
Για παράδειγμα αν στέλναμε το DNS, video/voice calls και VPN στη FTTH, δε θα χρειαζόταν καν QoS (limiter) επειδή δε θα γέμιζε συχνά η γραμμή. Τα υπόλοιπα όπως youtube, windows updates, email, torrent θα πήγαιναν από το 5G όσο πιο γρήγορα μπορούσε να πάει αυτή η σύνδεση. Αυτά συνήθως μπουκώνουν τη FTTH, άρα με το διαχωρισμό στην κίνηση και στέλνοντας στο 5G τη "σαβούρα" θα είχαμε και QoS.

Αυτό έχω κάνει σπίτι και στη δουλειά. Τα 5G είναι για τα κινητά και Vlan χωρίς άγχος και η Fiber μόνο για τα server, VoIP και ότι άλλο χρειάζεται άμεση και φουλ ταχύτητα. Σπίτι το Fiber το έχω μόνο για το Freepbx, τις IoT συσκευές και τα Media Streaming devices να είμαι σίγουρος πως δεν έχω διακοπές.

Και επανέρχομαι στο στήσιμο που κάνω σπίτι με PFSense πλέον και μπορώ να πω ότι είμαι σχεδόν έτοιμος.... μου λείπουν τα port forward μόνο που είναι ελάχιστα οπότε σήμερα το βράδυ ή αύριο το πρωί θα γυρίσω το σπίτι.
Α τα DHCP Leases τα πήρα ατόφια από Backup του config του OPNSense, με αλλαγές μόνο στις αρχές των section ανά vLan και τα έβαλα στο Backup Config του PFSense και έγιναν restore κανονικά..

Όλα αυτά με μεγάλη βοήθεια του Oav051 που τον ευχαριστώ πάλι ο οποίος με έβαλε και είδα τι έχει στήσει για προστασίες και απομακρυσμένες προσβάσεις και έκλαψα

Από εκεί και πέρα μου λείπει στην κουβέντα που κάνετε περί QoS το Bandwidth Control του Untangle που πραγματικά ΔΕΝ υπάρχει κάτι να το αντικαταστήσω στα *sense όλα που δοκίμασα οπότε το αστείο ποσό των 50€ που ζητάει το χρόνο η Arista για το Home Licence, θα το δώσω..
Για να καταλάβετε για τι μιλάω, στο QoS έχει έτοιμες κατηγορίες ταχύτητας


Και εδώ το Bandwidth Control που κάνεις ότι rule θες με τις παραπάνω κατηγορίες σαν βάση.


Το QoS υπάρχει κανονικά και στο Free Untangle... το Bandwidth Control στο πληρωμένο του 50άρικου.

Άρα θα μείνω ως έχω απλά θα κάνω δοκιμή το Untangle σε transparent mode μπροστά από το PFSense που είναι κάτι που δεν το έχω κάνει ποτέ και δεν ξέρω τι ακριβώς είναι.. πχ οκ θα έχει ένα IP δικό του αλλά θα μπορεί να έχει πάνω του DHCP/DNS πχ?? ή όταν το βάζεις έτσι είναι μόνο για reports?? αν ισχύει το 2ο τότε θα γίνει double nat προς το PFSense που το PFSense θα κάνει μόνο τα LoadBalance/Failover και θα έχω και από εκεί και μια γενική εικόνα τι περνάει στο δίκτυο.

[fadasma]

Και εδώ το Bandwidth Control που κάνεις ότι rule θες με τις παραπάνω κατηγορίες σαν βάση.


Το QoS υπάρχει κανονικά και στο Free Untangle... το Bandwidth Control στο πληρωμένο του 50άρικου.

Αυτό το κάνεις και με το Wizard που έχει το pfsense για το QoS. Ίσως χρειαστεί να tuneάρεις λίγο τις πόρτες, πχ μπορεί να σου βάλει skype ενώ εσύ να θες teams που παίζει σε άλλες πόρτες ή να θες να προσθέσεις τις πόρτες για το facetime. Είναι wizard πάντως και γίνεται εύκολα.

ναι θα ηταν το ιδανικο απαξ και εισαι σε χαμηλες ταχυτητες FTTH . τωρα στις 500 , 1000 δεν ξερω εαν εχει νοημα ιδιετερο. οκ τα torrent . αλλα ακομα ποση εχουν 4κ η 8κ για να εχει θεμα η primary και να κανεις split.

Το FTTH έχει όμως 100Mb upload, γιατί να μη χρησιμοποιείς το μεγαλύτερο upload του 5G για να στέλνεις τα email και να κάνεις backup, αντί να το κρατάς για όταν πέσει το FTTH που δε θα πέσει ποτέ;

[BlueChris]

Αυτό το κάνεις και με το Wizard που έχει το pfsense για το QoS. Ίσως χρειαστεί να tuneάρεις λίγο τις πόρτες, πχ μπορεί να σου βάλει skype ενώ εσύ να θες teams που παίζει σε άλλες πόρτες ή να θες να προσθέσεις τις πόρτες για το facetime. Είναι wizard πάντως και γίνεται εύκολα.

Περίμενε, έχει δλδ το PFSense βάση δεδομένων με όλες τις εφαρμογές του πλανήτη και σε πια κατηγορία ανήκουν και δεν είναι το παραδοσιακό του να φανταστείς την πόρτα εσύ να την δηλώσεις? οπότε απλά βάζεις το όνομα της εφαρμογής? δεν το ήξερα αυτό.

[riddle3]

Για όσους παίζουν με starlink/5g και cake υπάρχει και αυτό:

https://github.com/lynxthecat/cake-autorate/tree/v1.2



Όσο για τα άλλα, λογικά θα υπάρχει policy routing στο pf ώστε να βγάζεις κίνηση από συγκεκριμένα wan ανάλογα με τις συνθήκες που του ορίζεις.

[fadasma]

Περίμενε, έχει δλδ το PFSense βάση δεδομένων με όλες τις εφαρμογές του πλανήτη και σε πια κατηγορία ανήκουν και δεν είναι το παραδοσιακό του να φανταστείς την πόρτα εσύ να την δηλώσεις? οπότε απλά βάζεις το όνομα της εφαρμογής? δεν το ήξερα αυτό.

Είναι κάτι ενδιάμεσο, επιλέγεις από τις εφαρμογές που σου δίνει το PFSense και μετά κάνεις duplicate την εφαρμογή, αλλάζεις τις πόρτες και βάζεις τις δικές σου εφαρμογές.
Πχ επιλέγω το skype για υψηλό priority και μετά το κάνω duplicate και φτιάχνω terams, webex, zoom κλπ και παίρνουν υψηλό priority και αυτά.
Το κάνεις μια φορά δε χρειάζεται συχνή συντήρηση. Πόσο συχνά αλλάζει πόρτες το zoom;
DNS, mail, https κλπ είναι στάνταρ οι πόρτες δε χρειάζεται ενημερωμένη βάση δεδομένων.

Στο 5G μπορείς να παιξεις και με masks.
Αν το 5G πιάνει minimum 200Mb, δίνεις τόσο σε κάθε IP και αν μπουν 3 Ips μοιράζονται 600Mb ή όσο πιάνει εκείνη τη στιγμή το 5G. Αν πιάνει 300Mb και προσπαθήσουν να τραβήξουν 600 θα μπεί το fqcodel να το ρυθμίσει.