"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Eigenbau Linux Router mit IPFire

mr.nice. 24.06.2014 - 18:39 74895 156 Thread rating
Posts

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
IPFire 2.19 patch 113 ist hier, es gibt ein neues add-on Feature, Who Is Online.
Ein monitoring Dienst für die lokalen Netzwerke, mir gefällt's.

click to enlarge

Master99

verträumter realist
Avatar
Registered: Jul 2001
Location: vie/sbg
Posts: 12574
interessante hardware für solche projekte:

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11470
nice :)

michael

Little Overclocker
Avatar
Registered: Apr 2002
Location: Feldkirchen in K..
Posts: 98
es gibt wieder ein update

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
IPFire hat von Snort mit Guardian Addon auf Suricata als IPS gewechselt, somit ist das Intrusion Prevention System (endlich) out-of-the-box multicore fähig und benötigt dadurch viel weniger single core CPU-Leistung. Mit einem kleinen PC Engines apu2c4 kann ich das Suricata IPS am WAN-Interface, mit einer vernünftigen Anzahl aktiver Regeln, ClamAV, Squid Webproxy, unbound DNS-Proxyserver, NTP-, DHCP- und Cron-Server laufen lassen und dennoch meine 300/30 Internetleitung voll auslasten. Für einen zweiten Sensor reicht die CPU-Leistung nicht mehr, sobald ich den aktiviere sinkt der Durchsatz auf 60-100 Mbit/s. Ich bin froh das 4 GB Modell zu haben, 2 GB RAM würden bei mir schon knapp werden.

Kurz gesagt, eine sehr starke Leistung vom IPFire Team aus dem AMD GX-412TC Prozessor mit nur 6 Watt TDP so viel Leistung hinauszuholen,
meine neuerliche Spende habt ihr euch verdient!

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Und es geht weiter mit den Neuerungen, Suricata IPS unterstützt ab jetzt auch mehr als 16 CPU-Kerne, Multithreading CPU-Schwachstellen wurden nach Möglichkeit behoben und es gibt ein grafisches Interface mit dem man erstmalig komfortabel VLANs und Bridging in IPFire konfigurieren kann!
Das WiFi Access Point Addon wurde auch aufgebohrt und unterstützt jetzt 802.11ac Kanäle mit 80 Mhz Bandbreite und DFS.

click to enlargeclick to enlarge

Pyros

fire walk with me
Avatar
Registered: Sep 2002
Location: Traun
Posts: 3075
Zitat aus einem Post von mr.nice.
IPFire hat von Snort mit Guardian Addon auf Suricata als IPS gewechselt, somit ist das Intrusion Prevention System (endlich) out-of-the-box multicore fähig und benötigt dadurch viel weniger single core CPU-Leistung. Mit einem kleinen PC Engines apu2c4 kann ich das Suricata IPS am WAN-Interface, mit einer vernünftigen Anzahl aktiver Regeln, ClamAV, Squid Webproxy, unbound DNS-Proxyserver, NTP-, DHCP- und Cron-Server laufen lassen und dennoch meine 300/30 Internetleitung voll auslasten. Für einen zweiten Sensor reicht die CPU-Leistung nicht mehr, sobald ich den aktiviere sinkt der Durchsatz auf 60-100 Mbit/s. Ich bin froh das 4 GB Modell zu haben, 2 GB RAM würden bei mir schon knapp werden.

Kurz gesagt, eine sehr starke Leistung vom IPFire Team aus dem AMD GX-412TC Prozessor mit nur 6 Watt TDP so viel Leistung hinauszuholen,
meine neuerliche Spende habt ihr euch verdient!

Bleibst du bei der APU Box?

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Ja, die APU-Box läuft absolut stabil und zuverlässig mit IPFire, nur die Installation über serielle Konsole ist etwas abenteuerlich, da jedes Zeichen im Installer dupliziert dargestellt wird, aber davon darf man sich nicht abschrecken lassen.

Ich hab einfach einen bootfähigen USB-Stick mit der aktuellen ISO erstellt und von einem der unteren USB-Steckplätze gebootet.
Beim initialen Setup gibt es dann keine fehlerhafte Darstellung auf der Konsole mehr.

Nach der Einrichtung hat es dann bei mir, warum auch immer, zwei reboots benötigt, bis alle Dienste gelaufen sind.

Die Komponenten wurden bisher maximal 70° warm, bin noch am überlegen Kupferkühler auf die NIC-Chipsätze zu geben, die APU wird passiv mittels Auflagefläche über das Alu-Gehäuse gekühlt.

Valera

Here to stay
Registered: Dec 2005
Location: Mint
Posts: 683
Zitat
IPFire hat von Snort mit Guardian Addon auf Suricata als IPS gewechselt
Die Konfiguration ist vom Services zu Firewall gewechselt.
Leider ist ein Sperren von hosts, eine Konfiguration oder eine Ansicht der geperrten hosts wie bei Guardian (noch?) nicht möglich. (Core Update 134)
Zum Performancegewinn kann ich nichts sagen, da mein System ein Celeron N3150 ist, und der fadisiert sich mit meiner 80Mbit down und 8Mbit up Leitung.
Zitat
gibt ein grafisches Interface mit dem man erstmalig komfortabel VLANs und Bridging in IPFire
Muss ich mir unbedingt ansehen, vielleicht muss ich doch nicht zu pfsense wechseln. ;)
edit: Leider ist die Doku dazu noch etwas dürftig. Das werde ich vorsichtig angehen. Nicht, dass ich mich aussperre. ;)
Bearbeitet von Valera am 09.07.2019, 11:44

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
DNS-Blocker für IPFire:

  • Im Webinterface unter System -> SSH-Zugriff temporär aktivieren, standardmäßig ist SSH auf Port 222 bei IPFire.
  • Mit einem SSH-Client wie PuttY auf die interne IP-Adresse der IPFire verbinden, als root anmelden und folgende Befehle absetzen:

In passendes Verzeichnis wechseln:
Code:
cd /usr/local/bin
DNS-Blocker Installieren:
Code:
curl -O "https://raw.githubusercontent.com/sfeakes/ipfire-scripts/master/dns_blocklist.sh"

Berechtigungen anpassen:
Code:
chmod 755 dns_blocklist.sh
Listen nach eigenen Wünschen ggf. ergänzen und das Skript scharfmachen:
Code:
dns_blocklist.sh -s 1,2,3,5,7,8,12,13,14,"https://easylist.to/easylistgermany/easylistgermany.txt","https://easylist.to/easylist/easyprivacy.txt","https://easylist.to/easylist/fanboy-social.txt","https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt","https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt","https://raw.githubusercontent.com/AdguardTeam/AdguardFilters/master/MobileFilter/sections/adservers.txt","https://raw.githubusercontent.com/AdguardTeam/AdguardFilters/master/MobileFilter/sections/spyware.txt" -b /usr/local/bin/blacklist.hosts -r 0.0.0.0
Updates automatisieren:
Code:
fcrontab -e
Insert-Modus aktivieren:
Code:
i
Folgendes einfügen (Shift + Einfg.):
Code:
# 23:30 Uhr
# Update DNS blocking lists 
30 23 * * *     bash /usr/local/bin/dns_blocklist.sh -s 1,2,3,5,7,8,12,13,14,"https://easylist.to/easylistgermany/easylistgermany.txt","https://easylist.to/easylist/easyprivacy.txt","https://easylist.to/easylist/fanboy-social.txt","https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt","https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt","https://raw.githubusercontent.com/AdguardTeam/AdguardFilters/master/MobileFilter/sections/adservers.txt","https://raw.githubusercontent.com/AdguardTeam/AdguardFilters/master/MobileFilter/sections/spyware.txt" -b /usr/local/bin/blacklist.hosts -r 0.0.0.0
Änderungen speichern:
Code:
:w
VI Editor beenden:
Code:
:q
Terminal beenden:
Code:
exit
  • SSH-Zugriff auf IPFire wieder deaktivieren!

Mehr dazu hier:
(Achtung, manche genannte Listen auf kuketz-blog.de sind nicht mehr existent)

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Ipifire kann jetzt DoT (DNS over TLS), ich empfehle es zu nutzen.

Meine aktuelle Konfiguration sieht so aus:
dot_242769.png

Mehr dazu findet ihr hier:

Valera

Here to stay
Registered: Dec 2005
Location: Mint
Posts: 683
Dankeschön. Gleich umgesetzt. :)

Valera

Here to stay
Registered: Dec 2005
Location: Mint
Posts: 683
Mein Zotac Barebone wo mein IpFire drauf läuft fängt an zu spinnen zB bei Neustart geht er automatisch ins BIOS, damit ist ein Remote Neustart nicht möglich.
Jetzt möchte ich das Teil ersetzen aber kein Zotac Barebone mehr einsetzen weil die imho recht zickig sind, Stichwort RAM.
Das PC Engines apu2c4 klingt recht vernünftig aber ich hab wegen der AMD GX-412TC CPU so meine Bedenken, da doch recht viel Webmeeting und VPN drüber läuft (Viele Verbindungen, Verschlüsselung). Die Leitung ist zwar keine 300/30 sondern derzeit nur 75/15 und wird bald 125/25 (magenta) sein, aber trotzdem. (??)

Jetzt gibt es doch Boards mit CPU und 2x LAN und teilweise auch M.2/E Steckplätze für WLAN Module. zB Fujitsu D3544-S2 nur habe ich mit Thin Mini-ITX Gehäusen und CPU Kühlern etc keine Erfahrung. Oder ist das eh sinnlos weil der Celeron J4105 nicht viel mehr kann als die AMD GX-412TC? Ich finde keinen wirklich sinnvollen Vergleich.

Hat schon jemand Thin Mini ITX aufgebaut für diesen Zweck oder soll ich einfach das PC Engines apu2c4 nehmen und gut ists? Weil billig ist das auch nicht.

Danke für Hilfen, Anregungen, Kommentare, .. Das ganze ist nicht dringend, der Zotac funkt ja noch so irgendwie solange ich nichts angreife. ;)

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: graz
Posts: 4019
hast mal die bios batterie getauscht?

Valera

Here to stay
Registered: Dec 2005
Location: Mint
Posts: 683
Zitat aus einem Post von wergor
hast mal die bios batterie getauscht?
War mein erster Gedanke, hab keine gefunden. :D :p
Na, ich möcht das Ding weg haben, weil man man das einmal zerlegt, dann startet das nur mit einem RAM Modul, aber auch nicht immer, dann kann mans nochmals zerlegen und das zweite einbauen.. und möglichwerweise gehts dann.. es ist wirklich zickig und mühsam. Das Ding hat irgendwas gröberes. Neuestes BIOS hab ich drauf spielen können, hat aber nichts geändert.

edit: Derzeit möchte ich das auch nicht weiter anfassen, weil 2 Leute im Homeoffice und 2 Kinder im e-learning. Wenn das Internet da zusammenbricht haben wir ne Krise. :p Dh. wenn ich was ändere tausche ich das 1:1 gegen eine komplett aufgesetzte und getestete Lösung aus, aber herumbasteln möchte ich da jetzt nicht.
Bearbeitet von Valera am 22.04.2020, 22:51
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz