FTTH OF con pfSense

hashmenow In che senso? Usato come router?

Quella bestiaccia tiene ben più di un gigabit.
Un gigabit lo tiene pure con DPI aggressivo

hashmenow Io come firewall/router ho un mini-itx basato su Linux con una CPU Atom C2550, e usando il modulo kernel per il pppoe regge tranquillamente la FTTH ad 1 Gbit.
Secondo PassMark la tua CPU è quasi tre volte più veloce della mia. Non ho mai usato pfsense, pertanto non so dirti quanto sia ottimizzato, ma a livello di hardware direi che non dovresti avere il minimo problema.

hashmenow Per il modem prenderei uno libero

Se non hai buoni motivi per usare un altro router separato non ti serve. Collega l'ONT (che in FTTH è il "modem"...) direttamente al mini PC. Così puoi fare ad esempio anche tutto il QoS che vuoi direttamente da pfSense. Se ti piace la telefonia (o il WiFi mesh) del 7530 collega quello dietro il pfSense e fagli fare solo quello, in modalità client.

l mio pfSense gira su un minipc con un Celeron 3865U e senza magheggi al kernel regge senza problemi 1Gbps in PPPoE. Vai tranquillo come ti hanno detto già in molti

hashmenow i loro ONT supportano il port mapping, corretto?

Ci sono ONT bridge e ONT router. Di solito usano i primi, anche se c'è qualche ISP più piccolo che usa anche i secondi. Un ONT bridge ha di solito una sola porta Ethernet RJ45, o è un modulo SFP - in questo caso serve un media converter, visto che non hai porte SFP adatte, per ottenere la porta RJ45.

Poiché i bridge funzionano solo a livello layer 2 tutto il traffico arriva al pfSense che deve essere ovviamente configurato per stabilire la connessione TCP/IP (PPPoE o IPoE/DHCP, a seconda del provider) e fare NAT per IPv4.

Sull'ONT non devi in pratica configurare nulla (specialmente se è già configurato dall'ISP per collegarsi all'OLT), lo colleghi al pfSense e configuri tutto quanto necessario sulla porta scelta come WAN. Se devi fare port forwarding verso dispositivi interni lo fai direttamente sul pfSense.

Alfoele che os hai montato sopra?

Alfoele quindi router non virtualizzato?

od1n0 Inizialmente ero partito così ma pensando di virtualizzarlo con calma. Oggi direi che o sono particolarmente calmo oppure più facilmente resta così, quindi router sulla fisica

Alfoele Dal punto di vista performativo, è la scelta migliore sicuramente.
Dal punto di vista della sicurezza, no.. basta una distrazione e sei completamente esposto su internet.

Se ne hai voglia, prova VyOS (deve piacerti la CLI però), è anch'esso su base debian (insomma, è una custom-shell che configura i servizi da una config unica), pesa niente di fatto e almeno ti da uno strato di isolamento e firewalling verso l'hypervisor. Usando (come immagino) KVM vai di NIC VirtIO e ti fa direttamente la copia dei pacchetti nei buffer (arrivi a 40-50Gbps tra VM con uno sputo di load sulla macchina, almeno su mie prove, e siamo vicini al limite di velocità delle RAM).

[cancellato] La conosco, in realtà ho l'immagine (ormai vecchia) che scaricai sulla Debian mesi fa. Quando ho tempo magari riprendo l'argomento. In realtà la Debian ha IP pubblico ma è blindata. Ho solo una vpn in listening su una porta ad minchiam e se prorpio mi serve mi apre on demand la 443 da remoto (solo sul mio iP, che poi se sono da cell è l'ip di tanti altri ovviamente) che richiude da sola in caso di inutilizzo. Però sulla 443 ci si arriva, se aperta, con client cert + user + psw e da li reverseproxa. Per il resto ho 3 vlan totalmente untrusted e firewallate e una vlan trusted dove sono l'unico che accede.

Tornando al VyOS l'unica cosa che non trovo per niente intuitiva (e non dico friendly perché sulla Debian faccio tutto con script a manazza) è la gestione del firewall.. L'ho sempre trovata poco logica, cioè per come sono fatto io mi complica le cose...

mark129 No, mi spiace, mai provato. Prima o poi lo provo...