FTTH OF con pfSense

hashmenow

Ciao forum!
Finalmente nella mia zona (area grigia/nera come da sito BUL) è arrivata OF: Collegno, 10093 (TO).
I lavori BUL sono appena iniziati e, sempre secondo il sito, dovrebbero terminare entro fine 2022: quindi per ora solo operatori OF.

Attualmente ho una FTTC TIM 70/20 di cui non mi lamento.

Il mio dubbio è l'attuale firewall pfSense che ho a monte di tutte le mie LAN.
Attaccato al AVM FRITZ!Box 7530 ho un minipc con queste caratteristiche:

Intel Core i5-7267U
8GB RAM DDR3
120 GB SSD
6 x GbE RJ45 Intel i211/i210

Domanda: il mostriciattolo riuscirebbe a reggere una linea FTTH Gigabit?
Non prendo in considerazione nemmeno Vodafone e i suoi teorici 2,5 Gigabit (tanto tutta le mie LAN sono a un Gigabit).

Grazie!

edofullo

hashmenow In che senso? Usato come router?

Quella bestiaccia tiene ben più di un gigabit.
Un gigabit lo tiene pure con DPI aggressivo 😆

dgordini

hashmenow Io come firewall/router ho un mini-itx basato su Linux con una CPU Atom C2550, e usando il modulo kernel per il pppoe regge tranquillamente la FTTH ad 1 Gbit.
Secondo PassMark la tua CPU è quasi tre volte più veloce della mia. Non ho mai usato pfsense, pertanto non so dirti quanto sia ottimizzato, ma a livello di hardware direi che non dovresti avere il minimo problema.

hashmenow

edofullo
Nono, la belva farebbe solo il suo lavoro ovvero il firewall.
Per il modem prenderei uno libero dopo avermi fatto scrivere col sangue dall'operatore che loro sono d'accordo... 😃

edofullo

hashmenow Ma butta via (o meglio, vendi) la carretta del Fritz (che tiene 1G al pelo) e usa il minipc come router e firewall, ti semplifichi la vita e ci stai dentro comunque 🤣

hashmenow Per il modem prenderei uno libero dopo avermi fatto scrivere col sangue dall'operatore che loro sono d'accordo...

Non devi farti scrivere nulla, è un tuo diritto e non può esserti negato.
Ci sono però ISP più "amichevoli" di altri a riguardo.

[cancellato]

hashmenow Per il modem prenderei uno libero

Se non hai buoni motivi per usare un altro router separato non ti serve. Collega l'ONT (che in FTTH è il "modem"...) direttamente al mini PC. Così puoi fare ad esempio anche tutto il QoS che vuoi direttamente da pfSense. Se ti piace la telefonia (o il WiFi mesh) del 7530 collega quello dietro il pfSense e fagli fare solo quello, in modalità client.

hashmenow

dgordini grazie del tuo feedback

edofullo quindi tu mi dici che posso usare l'ONT direttamente come WAN, giusto? Leggo sul forum Huawei che i loro ONT supportano il port mapping, corretto?

[cancellato] l'idea di avere un "router separato" era in piedi perchè non avevo considerato la possibilità di collegare il pfSense direttamente all'ONT, quindi no, non mi serve un Fritz. Il 7530 lo venderei, la telefonia fissa no la uso, per il wifi ho un Netgear Orbi per i client seri e un Tenda b/g/n 2.4Ghz per i dispositivi IOT

Alfoele che pc usi come router/firewall per avere 2.5 in WAN e 10 in LAN? Mera curiosità la mia

[cancellato] grazie anche a te

Alfoele

Non posso che confermare quanto sopra, che è poi quello che più o meno sto facendo da me. Togliti di mezzo il Fritz, l'i5 il Gbps lo tiene con un filo di gas. Il mio fa da router/firewall con 2.5Gbps sulla WAN, 10Gbps sulla lan, 4 macchine virtuali attive (a volte c'è anche la quinta che è pure windows). La CPU sonnecchia
E poi hai il massimo della flessibilità per qualsiasi esigenza

[cancellato]

l mio pfSense gira su un minipc con un Celeron 3865U e senza magheggi al kernel regge senza problemi 1Gbps in PPPoE. Vai tranquillo come ti hanno detto già in molti👍

[cancellato]

hashmenow i loro ONT supportano il port mapping, corretto?

Ci sono ONT bridge e ONT router. Di solito usano i primi, anche se c'è qualche ISP più piccolo che usa anche i secondi. Un ONT bridge ha di solito una sola porta Ethernet RJ45, o è un modulo SFP - in questo caso serve un media converter, visto che non hai porte SFP adatte, per ottenere la porta RJ45.

Poiché i bridge funzionano solo a livello layer 2 tutto il traffico arriva al pfSense che deve essere ovviamente configurato per stabilire la connessione TCP/IP (PPPoE o IPoE/DHCP, a seconda del provider) e fare NAT per IPv4.

Sull'ONT non devi in pratica configurare nulla (specialmente se è già configurato dall'ISP per collegarsi all'OLT), lo colleghi al pfSense e configuri tutto quanto necessario sulla porta scelta come WAN. Se devi fare port forwarding verso dispositivi interni lo fai direttamente sul pfSense.

Alfoele

hashmenow che pc usi come router/firewall per avere 2.5 in WAN e 10 in LAN? Mera curiosità la mia

Allora, il pc è un mini-itx (Shuttle XH410G) totalmente fanless (e devo dire che non scalda per niente), con su un i5 di inizio 2021, 64GB di ram, e la nic Broadcom HP 530SFP+ da 10+10Gbps con su lo stick GPON Huawei HSGMII. E questa è la foto del PC, non ancora completamente montato, del giorno di marzo in cui feci per la prima volta lo speedtest a 2.3Gbps. Ah su ci gira una Debian recentemente aggiornata a bullseye...

hashmenow

[cancellato] Poiché i bridge funzionano solo a livello layer 2 tutto il traffico arriva al pfSense che deve essere ovviamente configurato per stabilire la connessione TCP/IP (PPPoE o IPoE/DHCP, a seconda del provider) e fare NAT per IPv4.

Sull'ONT non devi in pratica configurare nulla (specialmente se è già configurato dall'ISP per collegarsi all'OLT), lo colleghi al pfSense e configuri tutto quanto necessario sulla porta scelta come WAN. Se devi fare port forwarding verso dispositivi interni lo fai direttamente sul pfSense.

Mi piacerebbe molto capire meglio ciò che hai scritto.
Supponendo di avere un ONT bridge dovrei fare quello che scrivevi qui un anno fa, giusto?
Mi devo studiare quella discussione perchè, anche se in quel caso c'era una FTTH di Fastweb (poco probabile nel mio caso), non ho mai settato la WAN in quel modo, in layer 3...
Se non ci riuscissi, male che vada, modem libero a monte del pfSense...

Maledetta ignoranza! 😐
Stasera provo a giocherellare nelle impostazioni del pfSense e vediamo se ci capisco qualche cosa...

Alfoele Allora, il pc è un mini-itx (Shuttle XH410G)

Questo è #pornfiber 🐷

od1n0

Alfoele che os hai montato sopra?

Alfoele

od1n0 Debian, l'ho aggiunto adesso anche sopra.... Al suo top di utilizzo gi giravano beatamente sopra 3 virtuali Linux e 2 Windows, oltre a fare da router.

od1n0

Alfoele quindi router non virtualizzato?

Alfoele

od1n0 Inizialmente ero partito così ma pensando di virtualizzarlo con calma. Oggi direi che o sono particolarmente calmo oppure più facilmente resta così, quindi router sulla fisica

[cancellato]

Alfoele Dal punto di vista performativo, è la scelta migliore sicuramente.
Dal punto di vista della sicurezza, no.. basta una distrazione e sei completamente esposto su internet.

Se ne hai voglia, prova VyOS (deve piacerti la CLI però), è anch'esso su base debian (insomma, è una custom-shell che configura i servizi da una config unica), pesa niente di fatto e almeno ti da uno strato di isolamento e firewalling verso l'hypervisor. Usando (come immagino) KVM vai di NIC VirtIO e ti fa direttamente la copia dei pacchetti nei buffer (arrivi a 40-50Gbps tra VM con uno sputo di load sulla macchina, almeno su mie prove, e siamo vicini al limite di velocità delle RAM).

Alfoele

[cancellato] La conosco, in realtà ho l'immagine (ormai vecchia) che scaricai sulla Debian mesi fa. Quando ho tempo magari riprendo l'argomento. In realtà la Debian ha IP pubblico ma è blindata. Ho solo una vpn in listening su una porta ad minchiam e se prorpio mi serve mi apre on demand la 443 da remoto (solo sul mio iP, che poi se sono da cell è l'ip di tanti altri ovviamente) che richiude da sola in caso di inutilizzo. Però sulla 443 ci si arriva, se aperta, con client cert + user + psw e da li reverseproxa. Per il resto ho 3 vlan totalmente untrusted e firewallate e una vlan trusted dove sono l'unico che accede.

Tornando al VyOS l'unica cosa che non trovo per niente intuitiva (e non dico friendly perché sulla Debian faccio tutto con script a manazza) è la gestione del firewall.. L'ho sempre trovata poco logica, cioè per come sono fatto io mi complica le cose...

mark129

[cancellato] Se ne hai voglia, prova VyOS

OT
Mai messo le mani pure su DANOS?
/OT

[cancellato]

Alfoele Beh lì di fatto ormai puoi lavorare a policy e applicarle alle interfacce, hai la stessa rappresentazione che avresti con pfSense.

[cancellato]

mark129 No, mi spiace, mai provato. Prima o poi lo provo...

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile