Software-update: OPNsense 24.1.10

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 24.1.10 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 24.1.10 released

Today a number of security advisories in third party software are being addressed. Also, a bad dhcp6c patch has been reverted which requires a manual reboot to take full effect. Here are the full patch notes:

  • interfaces: improve DHCPv6 requirement rules on WAN interface
  • interfaces: support reading more attributes in ifconfig output parser
  • interfaces: correct logic of resolve flag in ARP table (contributed by Kevin Pelzel)
  • reporting: add NetFlow IPv6 support for destinations
  • kea-dhcp: add description field to subnets
  • kea-dhcp: add next-server option to subnets (contributed by Harm Kroon)
  • wireguard: fix IP protocol detection for manual gateway
  • ui: remove aria-hidden from dialogs (contributed by Jason Fayre)
  • ui: properly break out selectpicker options in modals
  • plugins: os-bind 1.32
  • plugins: os-caddy 1.6.0
  • plugins: os-ddclient 1.22
  • plugins: os-nginx 1.33
  • plugins: os-theme-cicada 1.36 (contributed by Team Rebellion)
  • plugins: os-theme-vicuna 1.46 (contributed by Team Rebellion)
  • plugins: os-zabbix-agent 1.14
  • plugins: os-zabbix-proxy 1.11
  • ports: dhcp6c 20240710 reverts faulty Debian patch
  • ports: krb5 1.21.3
  • ports: nss 3.101
  • ports: openssh 9.8p1
  • ports: suricata 7.0.6
  • ports: openvpn 2.6.11

OPNsense

Versienummer 24.1.10
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 11-07-2024 16:00
51 • submitter: terradrone

11-07-2024 • 16:00

51

Submitter: terradrone

Bron: OPNsense

Update-historie

10-09 OPNsense 25.7.3 2
21-08 OPNsense 25.7.2 7
31-07 OPNsense 25.7.1 18
24-07 OPNsense 25.7 9
22-07 OPNsense 25.1.12 16
16-07 OPNsense 25.1.11 4
01-07 OPNsense 25.1.10 0
18-06 OPNsense 25.1.9 1
12-06 OPNsense 25.1.8 8
19-05 OPNsense 25.1.7 6
Meer historie

Lees meer

OPNsense

geen prijs bekend

5 van 5 sterren
Beveiliging en antivirus

Reacties (51)

-Moderatie-faq
51
51
15
0
0
36
Wijzig sortering

Sorteer op:

Weergave:
houwimmie 11 juli 2024 16:24
iemand enig voorstel op welke soort (budget) hardware ik deze kan draaien voor simpel thuisgebruik?
DaaNMageDDoN @houwimmie11 juli 2024 16:51
Alles wat de rest zegt met de toevoeging dat in mijn ervaring Intel netwerkinterfaces aanzienlijk minder last hebben van CPU overhead. Hier op een oude Lenov Tiny (i3-6100T) virtueel onder kvm/qemu/libvirt draaien met de netwerkinterfaces hardware-passthrough, werkt prima. Openwrt had aanzienlijk minder "moeite" met Realtek.
GeroldM @DaaNMageDDoN11 juli 2024 17:28
Elk op BSD gebaseerd besturingssysteem staat erom bekend dat het niet goed omgaat met RealTek NICs. Of Broadcom NICs. Daarentegen werken deze systemen (meer dan) uitstekend met Intel NICs. Deze zijn over het algemeen wat duurder en vooral veer beter dan RealTek/Broadcom zooi.

OPNSense maakt gebruik van het FreeBSD besturingssysteem. OpenWRT maakt echter gebruik van Linux. RealTek en Broadcom NICs zijn redelijk tot goed ondersteund in moderne Linux kernels. Echter zijn Intel NICs ook in Linux land heer en meester, als het gaat om netwerken van computers.

Zelfs Windows is niet ongevoelig voor het klasseverschil tussen deze merken.

Heb je genoeg tijd en haar om uit je kop te trekken vanwege urenlange sessies om uit te vinden waarom iets in je netwerk de ene dag wel werkt en de andere niet? RealTek en Broadcom NICs.
Heb je dat allemaal niet (meer)? Intel NICs.
DaaNMageDDoN @GeroldM11 juli 2024 18:01
Ik heb helaas weinig ervaring met *BSD, maar kan je ervaringen met RT/BCM&linux bevestigen en ben het met je eens. Dagelijks gebruik: prima, ga je spannende dingen doen: (onregel)matige resultaten. En we zijn hier wel de mensen van de spannende dingen doen natuurlijk. Gelukkig hobbymatig kunnen ondervinden/leren en altijd fijn om te horen dat anderen die ervaringen kunnen bevestigen.
Volgens mij heb je onder linux ook nog eens te maken met proprietaire firmware die onder Debian nu valt onder non-free, wat ook als nadeel kan worden beschouwd. Bedankt voor je toelichting, je bent wel te laat, ben al kaal ;)
terradrone
@DaaNMageDDoN11 juli 2024 23:37
Ik heb jarenlang een opnsense firewall met realtek nics gedraaid. Deed er geen spannende dingen mee; voor een eenvoudige toepassing is dat best bruikbaar. Ik heb er in ieder geval nooit problemen mee ondervonden. Er zijn er zelfs die een nuc gebruiken met als 2e nic een realtek usb nic. Dat vind ik persoonlijk wel erg ver gaan in de zin van onheil op jezelf afroepen, maar het wordt gedaan en zeker niet altijd onverdienstelijk. Uiteraard zijn intel nics op diverse vlakken heer en meester echter, niet iedereen heeft de luxe om daarvoor te kunnen kiezen.
Jerie @terradrone12 juli 2024 13:35
Met TB3 of TB4 zit het met de bandbreedte wel snor.
DJanmaat @GeroldM12 juli 2024 00:08
USN naar ethernet adapter werkt ook prima
Harmen @houwimmie11 juli 2024 16:28
Je kan naar een oude Sophos firewall kijken, die worden vaak voor weinig aangeboden. Draait hier al jaren super stabiel. :) (SG115)
terradrone
@Harmen11 juli 2024 23:31
Mooie appliances zijn het. Alleen uitkijken dat je niet een apparaat treft waar de beruchte atom rangeley in zit die getroffen was door de c2000 clock bug. Overigens geld dat natuurlijk voor iedere appliance.
freshy98 @houwimmie11 juli 2024 16:31
Of een HP T620 Plus.
Heb er nog een thuis staan die ik niet meer gebruik.

De Plus heeft de PCI-E uitbreiding die je wilt gebruiken omdat de onboard Realtek NIC ruk is.
Jerie @freshy9812 juli 2024 13:33
SGI O2 :)
freshy98 @Jerie12 juli 2024 15:51
SGI O2+ om precies te zijn.
Heb het model met de RM7000A gehad.
Jerie @freshy9812 juli 2024 23:06
Ik had een Octane 2. Leuke energieslurper :) 2024: nog nooit mooiere kasten gezien dan die van SGI.
freshy98 @Jerie12 juli 2024 23:29
Die blauwe. Ik heb ook een Octane gehad maar dan de eerste, groene.
En Indy's en Indigo's.

Mooiste kasten die er waren.
fuzzyIon @houwimmie11 juli 2024 16:32
https://nl.aliexpress.com...a2g0o.home.search.0[list]

En voor een managed switch met 2.5gb poorten en een SFP 10gb (glasvezel) voor 7 tientjes:https://nl.aliexpress.com...2g0o.productlist.search.0

Een leuke handleiding voor een opnsense thuisnetwerk:https://homenetworkguy.co...e-network-using-opnsense/

[Reactie gewijzigd door fuzzyIon op 22 juli 2024 13:23]

timeraider @houwimmie11 juli 2024 16:36
Hangt van het thuisgebruik af en hoe laag precies budget is :P
.. als je een beetje van de security opties wilt aan zetten en "budget" betekend tussen een eurootje of 100 tot 200 en niet 20 .. dan zou ik zeggen losse hardware voor de router alleen en dan zou ik simpelweg kijken op aliexpress.
Merken als Topton staan bekend als goede kwaliteit.

Je zou het kunnen vragen bij reddit: https://www.reddit.com/r/opnsense/ zolang je vermeld wat je bandbreedte is en wat je zou willen doen aangaande opties en features die je wilt gebruiken (uiteindelijk)
Zolang je maar geen van de budget opties van Protectli koopt
S-1-5-7 @houwimmie11 juli 2024 16:43
Ik heb een mini-pc met dubbele netwerkkaart waar Proxmox op draait. Hier draaien een aantal vm's op waaronder OPNsense. Ik ben er erg tevreden over
daily.data.inj @houwimmie11 juli 2024 17:38
Linkje naar Zelfbouw project: Firewall / Router / AP kan niet ontbreken
https://gathering.tweaker...message/79535750#79535750
Caedendi @houwimmie11 juli 2024 17:55
Ik draai het zelf op een apparaat van Protectli en ben voor iets sterkere hardware gegaan, maar alles wat zij aanbieden kan het draaien.
Turbo99 @houwimmie11 juli 2024 19:00
Ik draai OPNsense al een aantal jaren op een Fitlet2 mini PC:

https://fit-iot.com/web/products/fitlet2/

Inmiddels is hier een opvolger voor genaamd Fitlet3:

https://fit-iot.com/web/products/fitlet3/

Standaard voorzien van 2 Intel NIC poorten en d.m.v. een FACET extension card van nog 2 extra Intel NIC poorten te voorzien.

De mijne heb ik gekocht bij miniDis (https://minidis.com/), ik heb een basismodel (zonder RAM en SSD) met een Intel Celeron J3455 CPU. Koste toen € 220,00 incl. verzendkosten.

[Reactie gewijzigd door Turbo99 op 22 juli 2024 13:23]

EverLast2002 @Turbo9911 juli 2024 20:21
Draait OPNsense goed op een Atom cpu?
(jij zegt ja waarschijnlijk, omdat je het al jaren hebt draaien).
Kan me voorstellen met AES, VPN en een hoop rules dat een Atom behoorlijk aan de bak moet.
terradrone
@EverLast200211 juli 2024 23:51
Dat intel atom cpu's zwakke cpu-tjes zouden zijn zoals destijds in het n270 tijdperk is allang niet meer zo. De J3455 , in zoverre je dat nog een atom cpu mag noemen, heeft gewoon aes extensies. Ook is het niet zo dat je die perse nodig hebt. Voor openvpn wellicht, maar wireguard maakt er geen gebruik van.

Wil je high speed vpn's draaien, dan heb je inderdaad meer nodig dan een low power cpu. Geld ook voor next gen firewall toepassingen, zoals suricata. Maar dat heeft ook een prijs (letterlijk). De kwh meter in de meterkast loopt vrolijk door. De vraag is hoever je wilt gaan in stroomverbruik. High power enterprise firewalls zijn nog niet eens zo moeilijk te vinden en vaak niet kostbaar (gebruikt), gezien die dingen op de 2e hands markt weinig waarde hebben omdat niemand thuis een firewall aanzet die 600watt verstookt.
Turbo99 @EverLast200212 juli 2024 18:22
Voorheen had ik een 1Gbit WAN van Tweak en die kon ik volledig benutten. Verder heb ik een IPSec tunnel naar kantoor en naar Azure en heb ik OpenVPN draaien. Allemaal zonder issues. Ik gebruik verder een aantal GeoBlock en ET/Spamhaus firewall rules en ClamAV maar ik gebruik geen IDS/IPS (Suricata), ik kan me voorstellen dat afhankelijk van de ruleset daar wel meer CPU power voor nodig is.
EchoWhiskey @houwimmie11 juli 2024 19:22
Ik draai Proxmox and daarbinnen OPNsense op deze hardware.
Zelf even geheugen en SSD toevoegen...

https://www.amazon.nl/-/e...0BZJC45QH/ref=sr_1_5?th=1
DJanmaat @EchoWhiskey11 juli 2024 23:15
Inderdaad zoiets. Wel opletten je de versie met I226-V ethernet poorten neemt. Als je niet de juiste I225-V versie hebt, ben je mogelijk slachtoffer van de alombekende bug. Maar een Dell OptiPlex met extra netwerkkaart wordt ook veel gebruikt.

N100 of beter de Intel N305 CPU is uitstekend. Min. 16GB geheugen. 4 ethernet poorten. Met vooral de N305 heb je een prima zuinig transcoding bakkie. In laatste geval weer passthrough van GPU toepassen...

[Reactie gewijzigd door DJanmaat op 22 juli 2024 13:23]

The Genie 11 juli 2024 16:25
Net geüpdatet met de handmatige reboot voor de dhcp6c patch erbij. Alles is weer keurig bijgekomen.
lammerts 11 juli 2024 17:54
Ik heb een Qnap NAS TVS 671 (i3 4150, 16Gb mem, met virtualisatie mogelijkheden en 6 x 1Gb NIC's
Op dit moment heb ik 3 VM's draaien, 1 x Pihole, 1 x PiVPN en 1 x Sophos Firewall (Opvolger UTM)
Ik draai al jaar of 8 de Sophos UTM op deze VM laag en merk dat deze gedurende deze 8 jaar steeds "zwaarder" draait en sinds Sophos UTM opgevolgd is door Sophos Firewall zit het wel op het randje. Op het moment dat ik een zware download doe, die aan het uitpakken is op de NAS disk, er soms stagnatie ontstaat. Uiteraard is de QNAP firmware ook steeds veeleisender geworden...

Is deze OPNsense (voor nu) een goede vervanger van Sophos?
digibaro 11 juli 2024 20:53
Ik draai OPNSense op een baremetal i5-1135G7 met 16GB met IDS/IPS/VPN/DHCP/DNS. Wel overwogen om het te virtualiseren maar merkte daar toch incidenteel packet-loss op.
DJanmaat @digibaro11 juli 2024 23:10
Draai het jaren gevirtualiseerd op Proxmox via SR-IOV, Wikipedia: Single-root input/output virtualization.

Documentatie Proxmox : https://pve.proxmox.com/wiki/PCI_Passthrough

Voordeel is dat via Proxmox je bv. via NFS naar bv. een NAS kunt backuppen/restoren.
digibaro @DJanmaat11 juli 2024 23:12
Snapshots is zeker een voordeel. De backup(s) worden nu bij mij naar dropbox/onedrive voor back-up en restore. Een nieuwe installatie via USB en dan restore configuratie back-up.
DJanmaat @digibaro11 juli 2024 23:17
Restore is bij mij 1 a 2 minuten afhankelijk van de grootte. Daarover gesproken; je hebt met Proxmox met dezelfde bare-metal hardware de mogelijkheid meerdere gevirtualiseerde systemen te draaien. LXC ipv. Docker is een mooie uitkomst; maar heeft daarbij ook weer wat uitdagingen met passthrough van bv. USB poorten/devices. Met Python venv binnen LXC ipv. Docker kom je ook een heel eind.

[Reactie gewijzigd door DJanmaat op 22 juli 2024 13:23]

digibaro @DJanmaat11 juli 2024 23:19
Ik heb 2 individuele Proxmox servers (geen cluster) voor alle overige services/applicaties (exclusief OPNsense op baremetal). Tot op heden is Proxmox heel betrouwbaar gebleken, net zo hoog als voormalig ESXi instance.
DJanmaat @digibaro11 juli 2024 23:25
Denk dat je wel een punt hebt. Heb er wel eens aan gedacht gewoon een dedicated N100 bakkie voor alleen OPNSense aan te schaffen.Je hebt van die mini-firewall appliances op Ali die het prima doen.

Heb zelf ook zo'n Ali ding met 1235u CPU, 6 netwerkpoorten, 64GB mem, 1TB M.2 SSD van merk Topton.
Draai het nu al 3 jaar zonder problemen. Die dingen worden wel heet. Heb een modificatie aan de koeling gedaan. Had zelfs nog waterkoeling in gedachten. In ieder geval hangt dat ding niet meer in de meterkast maar aan de andere kant van de muur in het washok.
digibaro @DJanmaat12 juli 2024 08:51
Ik heb zelf ook de Topton met i5 en 2,5GE interfaces. Het hitte probleem herken ik bij de passief gekoelde versie. Bij levering heb ik de CPU pasta vervangen. De nieuwere versie die ik inzet voor Proxmox is vanaf fabriek voorzien van een buiten ventilator. Ik heb de meterkast bovenin voorzien van een ventilator om zo de stilstaande warme lucht bovenin af te zuigen. Beide Toptons geven nu een CPU temperatuur van 40 graden aan bij CPU belasting van circa 10%.

Welke modificatie heb jij gedaan? Ik dacht zelf om er een USB buitenfan op te schroeven. In de meterkast hoeft het niet perse mooi. :-)

[Reactie gewijzigd door digibaro op 22 juli 2024 13:23]

Jerie @DJanmaat12 juli 2024 13:45
SR-IOV gaat niet werken met i226 NIC. Ik heb zelf een Minisforum MS-01 met 10 gbit SFP+ (de andere SFP+ port is straks voor glas).

De goedkopere firewall hardware heeft i226 NICs. Die zijn prima voor 2.5 gbit, en hebben 4 of 5 ports. Ik zou zelf liever voor minstens 1x SFP+ gaan.
DJanmaat @Jerie12 juli 2024 20:20
Heb het hier gewoon werkend, wat bedoel je dat het niet werkt?
Jerie @DJanmaat12 juli 2024 23:48
Wat ik bedoel met dat het niet werkt is dat ik het zelf prima aan de praat heb met i350 en X710 maar dus niet met i226, i225, of i210/i211. En dat is ook exact wat Intel in deze officiële FAQ stelt:

https://www.intel.com/con...22/ethernet-products.html

Je moet ook nog steeds opletten dat je de juiste firmware hebt zoals bugfixes of OEM firmware. De NICs die het ondersteunen zijn op een Linux native machine te vinden met $ find /sys -name 'sriov_numvfs'
DJanmaat @Jerie13 juli 2024 00:42
Oké, dan kan ik je vertellen dat het wel werkend te krijgen is maar je dat nog niet hebt gevonden :).

Edit :
Als je mobo geen IOMMU ondersteund dan werkt het inderdaad niet. Ligt niet aan de NIC.
Of... je hebt IOMMU niet ingeschakeld. Stukje uit mijn eigen documentatie :

https://pve.proxmox.com/wiki/PCI_Passthrough
nano /etc/kernel/cmdline
quiet intel_iommu=on iommu=pt

nano /etc/modules
vfio
vfio_iommu_type1
vfio_pci
vfio_virqfd

Reboot

Controleer of de modules zijn geladen: lsmod | grep vfio

Controleer of IOMMU is ingeschakeld:
dmesg | grep -e DMAR -e IOMMU -e AMD-Vi

[Reactie gewijzigd door DJanmaat op 22 juli 2024 13:23]

Jerie @DJanmaat13 juli 2024 14:08
IOMMU staat gewoon aan. Al was het op geen van beide machines nodig om SR-IOV te gebruiken.

Je tweede post gaat over een GPU, niet NIC. Die kun je inderdaad wel passthrough'en (O.o als je dat zo hoort te zeggen) maar daar hebben we het niet over. We hebben het over deze NICs. De i226-LM en i226-V zijn 2,5 gbit NICs, en ze gebruiken de igc driver. Deze driver ondersteunt geen SR-IOV. Schijnt dat de i226-LM op de VPro zit, dan zou het wel kunnen werken ja, maar de igc driver ondersteunt het niet. PCI passthrough werkt wel.

Overigens zal ik in de toekomst een SFP+ gebruiken voor glas WAN. De andere SFP+ gaat naar de switch (10 gbit ethernet) al zou ik daar misschien beter ook glas kunnen gebruiken. De i226-V gebruik ik dan voor een WLAN, en de i226-LM zet ik uit. De PCI slot gebruik ik momenteel voor een IPMI (PiKVM PCIe); deze gebruikt de GPU.

Wat mij betreft balen dat de i226-LM en i226-V geen SR-IOV kunnen gebruiken want het liefst wil je de VLAN op Proxmox al regelen ipv in de VM.
DJanmaat @Jerie13 juli 2024 15:41
Ik heb nog eens gekeken;

Ik heb 6 x i226-V LAN poorten. Ze zijn via passthrough direct in Proxmox beschikbaar.

Ik heb voor OPNSense een Linux bridge voor de WAN poort en één voor 2 LAN poorten. Binnen OPNSense heb ik VLANs zodat ik over één LAN interface meerdere kan managen. Het is ook mogelijk in Proxmox de VLAN te configureren.

Naar mijn inziens heb ik direct een passthrough vanuit de VMs/LXCs naar de LAN interfaces managed via de bare-metal install Proxmox.
Jerie @DJanmaat13 juli 2024 16:10
Ja, passthrough van i226 werkt prima (doe ik ook), dat is het discussiepunt niet (al moet je wel bij de VPro uitzetten dat hij power blijft krijgen bij idle want de i226-LM zit op de VPro). Ook het bridgen is het discussiepunt niet (heb ik voorheen ook aan de praat gehad). Het discussiepunt is SR-IOV. Daarmee haal je maximale performance (native) uit je NIC in VM, en kun je deze bovendien ook aan meerdere VMs toewijzen.

Dus, dit is homelab scenario. Verkoop je VMs, dan wil je absoluut een NIC met SR-IOV. En de Intel i226 series (alle varianten) en eigenlijk de hele 200 series (i210, i211, i225, i226) ondersteunen dit niet. Zijn het leuke NICs? Jazeker, ze zijn prima (m.u.v. buggy i225 eerste revisie). De 210/211 zijn prima 1 gbit NICs en de 225/226 zijn prima 2.5 gbit NICs. Maar SR-IOV, dat kunnen ze niet.

En zoals ik al zei in mijn geval wil ik graag VLAN in Proxmox al opvangen i.p.v. in OPNsense. Met een xl710 kan dat, met de on-board i226 niet.

[Reactie gewijzigd door Jerie op 22 juli 2024 13:23]

DJanmaat @Jerie13 juli 2024 17:09
Hey Jerie,

Je hebt helemaal gelijk. PCI passthrough is the nearest possibility; de hardware/driver van i226-v ondersteund geen IO-SRV.

Dus; ik heb PCI passthrough van de i226-v NICs ingeschakeld en via een Linux bridge beschikbaar. De hardware is dus wel direct beschikbaar in Proxmox maar mist capabilities om meerdere VMs aan één NIC te kunnen koppelen, vandaar de Linux bridge.

Deze configuratie werkt voor mij prima, veel beter dan toen ik de vNICs had. Er zal waarschijnlijk met SR-IOV toch meer offloading en prestatie verbetering zijn.

Om een cheap Proxmox bakkie te kopen zou ik het om deze reden niet laten.
Jerie @DJanmaat13 juli 2024 18:37
Ik wil geen Linux bridge vanwege performance redenen. Een voordeel is wel dat ik dan de twee WLAN APs in hetzelfde subnet heb liggen. Maar de performance is minder.

Die machine die jij hebt kost ongeveer 1/3 van wat die van mij kostte (rond de 200 vs rond de 600), al reken ik RAM en NVMe niet mee. Komt ook nog importheffing bij.

Maar ik wilde graag een krachtige machine die ook nog eens minstens 1x 10 gbit en minstens 1x SFP+ had. Deze heeft ook SFP+. Ik heb al met PCIe slot nog eens een extra AQC113 10 gbit en 2x 2.5 gbit toegevoegd. Dat werkt ook prima. Al weet ik niet meer of de AQC113 SR-IOV ondersteunde (ik dacht het wel).

Kijken we puur naar prijs, dan is deze Hasivo S600WP-4GT-1SX-1XGT-SE switch [1] een prima oplossing. 4x 2.5 gbit, 1x 10 gbit, 1x SFP+. Zonder PoE ik dacht iets van 95 EUR en met PoE ik dacht iets van 120 EUR. Plus evt. import.

Het is China-ware, dat is jouw en mijn kist ook, maar bij deze dingetjes is het updaten van de firmware nagenoeg onmogelijk. Tenzij je wilt solderen en de serial console aan de praat kunt krijgen.

[1] https://www.servethehome....p-4gt-1sx-1xgt-se-review/
DJanmaat @Jerie13 juli 2024 20:50
Die van mij heb ik op 22 februari 2023 voor 427.12 incl. verzenden excl. importkosten gekocht.

Daarna 1TB Samsung 990 Pro en 2x 32GB geheugenmodulen geplaatst. Modificatie met een silent Noctua fan.

Was totaal meer dan jij kwijt. En deze mini appliance is nu zelfs duurder geworden.

No RAM no Storage, 1235u CPU :

Just found this amazing item on AliExpress. Check it out! €499,08 | 6x Intel i226-V 2.5G Soft Router Intel i7 1265U i5 1235U 8505 12th Gen Alder Lake Fanless Mini PC Firewall Appliance Proxmox
https://a.aliexpress.com/_ExTgXs3

[Reactie gewijzigd door DJanmaat op 22 juli 2024 13:23]

Jerie @DJanmaat13 juli 2024 22:22
Die van mij is gekocht begin dit jaar. Ook heb ik 3 maanden op m'n bestelling moeten wachten. Omdat ze logen over de levertijd (of anders zijn gevaren i.v.m. Midden-Oosten, kan ook). Importheffing zat er dan weer niet op want het kwam uit Duitsland. Ook de barebone variant. 610 EUR https://store.minisforum....01?variant=42097212489911

Je bent nog steeds goedkoper uit dan mij. Ik ben ook voor 64 GB DDR5 gegaan (helaas werkt ECC niet maar het is half ECC), het mocht niet teveel MHz want daar kon de machine niet mee overweg. Qua NVMe deze uitvoering: Samsung PM9A3 M.2 960GB want die heeft caps.
DJanmaat @Jerie13 juli 2024 00:46
En stukje iGPU passthrough uit mijn documentatie :

nano /etc/kernel/cmdline
root=ZFS=rpool/ROOT/pve-1 boot=zfs quiet intel_iommu=on iommu=pt

lspci -nn | grep -Ei "3d|display|vga"

nano /etc/modules
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.
vfio
vfio_iommu_type1
vfio_pci
vfio_virqfd

echo "blacklist radeon" >> /etc/modprobe.d/blacklist.conf
echo "blacklist nouveau" >> /etc/modprobe.d/blacklist.conf
echo "blacklist nvidia" >> /etc/modprobe.d/blacklist.conf

update-initramfs -u -k all
proxmox-boot-tool refresh

dmesg | grep 'remapping'
IF NO REMAPPING: echo "options vfio_iommu_type1 allow_unsafe_interrupts=1" > /etc/modprobe.d/iommu_unsafe_interrupts.conf

dmesg | grep -e DMAR -e IOMMU


Jellyfin docker
getent group render | cut -d: -f3


Jellyfin Ubuntu
sudo apt update && sudo apt install -y jellyfin-ffmpeg5
ls -l /dev/dri
sudo usermod -aG render jellyfin
sudo systemctl restart jellyfin
apt policy intel-opencl-icd
sudo apt install -y intel-opencl-icd
sudo /usr/lib/jellyfin-ffmpeg/vainfo --display drm --device /dev/dri/renderD128
sudo /usr/lib/jellyfin-ffmpeg/ffmpeg -v verbose -init_hw_device vaapi=va:/dev/dri/renderD128 -init_hw_device opencl@va
update-initramfs -u -k all

[Reactie gewijzigd door DJanmaat op 22 juli 2024 13:23]

Comp User @digibaro12 juli 2024 08:47
Hier op een N100 met 16GB; IDS/IPS, AGH, UniFi.

Ik heb enkel nog ruzie met WireGuard / OpenVPN, dat krijg ik nog niet aan de praat.
Kcirtap 12 juli 2024 16:23
Ik ben op zoek naar een mogelijkheid om bepaalde devices beperkingen op te leggen qua internet beschikbaarheid. Denk dan aan tijden en bepaalde websites. Hou niet van spioneren of iets dergelijks, dus dat hoeft niet. Kan dat met iets als dit of zijn daar betere dingen voor? De ziggo modems bieden maar weinig opties op dat vlak.
DJanmaat @Kcirtap12 juli 2024 20:24
Je kunt een BIND DNS server configureren. Andere mogelijkheid is een router ervoor plaatsen waar je deze blokkeringen op instelt. Alle devices dan op deze router aansluiten.
Kcirtap @DJanmaat12 juli 2024 21:17
Ik ga me erin verdiepen. Dank voor de tip!
BvdW1978 @Kcirtap13 juli 2024 15:08
OPNSense heeft Squid aan boord voor dit doel, als aanvulling op wat DJanmaat hier ook al zegt voor DNS. Met Squid kun je URL-filtering doen inclusief HTTPS (regex-matchen is best wel krachtig, ondersteunt ook remote block/allowlists). Spioneren kan wel, en je kunt er bijvoorbeeld een antivirus tussen prakken, maar dat hoeft dus niet. Je kunt vrij eenvoudig ook transparant proxyen: een NAT-regel op je gateway stuurt het HTTP(S) verkeer gedwongen de proxy in, zonder dat clients het hoeven weten of iets hoeven in te stellen. Handig voor WiFi met kids bijvoorbeeld, die kunnen dat dan niet omzeilen vanaf hun devices. Dingen als SafeSearch afdwingen in Google Search kun je bijvoorbeeld met Squid doen.

Squid is natuurlijk een losstaand product en je kunt het natuurlijk ook gewoon los ergens draaien, maar in OPNSense zit er een nette GUI overheen. Da's best wel handig want de docs van Squid zelf zijn nou niet heel erg laagdrempelig.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq