pfSense на проде в KVM

pfsence очень херово работал всю жизнь в kvm. У меня установка от 2014 года. Работает жутко. Зависает. Кернелпаникует. :( Может сейчас всё лучше.

Все это можно делать через RouterOs. Самой дешёвой версии хватит с головой для поставленных задач. Настраивается и мониторится все даже через Гуй достаточно легко

Отлично работает годами. Только я со временем перешел с pfSense на OpenWrt - под мои задачи удобнее, да и зоопарк так меньше. Есть еще Vyatta, на базе которой сделана Ubiquiti EdgeOS - если сталкивался с ней, то будет интересно тоже.

А нефанаты мокротыков со своей поделкой пусть проходят мимо.

pfsence очень херово работал всю жизнь в kvm.

Понятно спасибо. У меня тоже был негативный опыт при таком сетапе дома. Но я все списывал на свои кривые руки, слабый комп и PPPoE с одним ядром.

Только я со временем перешел с pfSense на OpenWrt

Я вот почему то думал что OpenWrt это для физических роутеров всяких только, но с другой стороны почему бы и на виртуалке не запустить. То что это Линукс лично для меня интереснее и привычнее, да.

Ubiquiti EdgeOS - если сталкивался с ней

Не сталкивался никогда.

А нефанаты мокротыков со своей поделкой пусть проходят мимо.

У меня у самого этот дивайс дома трудится. Роутер как роутер, наверняка есть лучше. Но вот конфигурация у него из консоли крайне непонятная, для меня.

с другой стороны почему бы и на виртуалке не запустить

есть же официальные x86 образы (унутрях обычный raw image с ext4 и грубом), отлично работают в kvm.

Не сталкивался никогда.|

интересная штука, но судя по описываемым задачам - как по воробьям из низкоорбитальной ионной пушки. Vyatta (и ее открытая инкарнация VyOS) - это туда, где не хватает денег на Cisco/Juniper/Fortinet.

У меня у самого этот дивайс дома трудится. Роутер как роутер, наверняка есть лучше. Но вот конфигурация у него из консоли крайне непонятная, для меня.

Откровенно слабое железо и не менее кривые прошивки. Драйверы на вайфай они, кстати, судя по всему, обновлять не любят. OpenVPN только TCP умеет. Научили ли Wireguard’у - не в курсах (даже EdgeOS научили, хоть и сторонним пакетом - но там же Debian на нижнем уровне).

Откровенно слабое железо

В моем случае это проблема, да. Потому как 600/600 по FTTH и PPPoE сверху, hAP AC просто не может вытянуть когда торренты включены и много коннектов.

OpenVPN только TCP умеет.

Я никогда не понимал стремления ставить вот такие штуки на SOHO дивайсы. Ясно же что оно если и потянет то крайне криво.

Но все это ерунда по сравнению с тем что для автоматизации мне надо выучить какую то новую консоль, с весьма не очевидными решениям. Вот из-за этого пункта второй микротик я себе никогда не куплю.

Я никогда не понимал стремления ставить вот такие штуки на SOHO дивайсы. Ясно же что оно если и потянет то крайне криво.

На древнем WR1043NDv2 OpenVPN@OpenWrt чувствует себя отлично, пусть и не тянет больше пары десятков мегабит, а Wireguard даже на v1 упирается только в скорость канала (100Мбит). Не говоря про мой домашний WRT1900AC.

На древнем WR1043NDv2 OpenVPN@OpenWrt чувствует себя отлично

Я не спорю. Но ведь все равно VPN это для конечного дивайса всегда делается, а не для промежуточного. Полагаю что с точки зрения безопасности VPN на роутере это не очень хорошая затея.

WRT1900AC

У меня в бытность мою студентом была предыдущая версия этого синего роутера. Легендарная машина, я с его помощью WiFi у соседа воровал.

WRT54G, специально даже пошел выяснить.

Ностальгия…

Полагаю что с точки зрения безопасности VPN на роутере это не очень хорошая затея.

При чем тут безопасность? Туннели нужны, чтобы поддерживать полуразобранную политиками связность интернетов. У меня 4 туннеля для подняты на роутере, чтобы открывалось все как надо и с минимальной латентностью

Был когда-то у меня и такой. Свежая итерация получилась ничуть не менее легендарной, только менее распиаренной

поддерживать полуразобранную политиками связность интернетов.

А ведь кто-то трудится, придумывает эти политики, внедряет… Думая о светлом и безопасном будущем!!!

Свежая итерация получилась ничуть не менее легендарной

Я вот помню свой тогдашний роутер брал с рук, как раз с целью установки на него DD-Wrt и воровства WiFi.

Я вот думаю на что микротик поменять, потому что реально не вывозит PPPoE на моих скоростях. При этом совершенно не очевидно какой роутер таки вывезет. Интернеты рекомендуют Edge какой то.

Что-то ты делал неправильно. Много лет работает pfsense. Сначала пробовал дома его, потом в прод запустил. И там и там всё отлично работает уже по нескольку лет.

У ж лучше openwrt, чем этот микроглюк )

Я подчеркнул, что у меня старый pfsense. Возможно там необходимо сделать оптимизацию, и в новых версиях уже всё поправлено.

уже давно есть инструкция, что поправить в настройках pfsense под qemu для стабильной работы на сетевухах virtio. Впрочем, вместо этого можно сейчас и раньше вместо virtio-net выбрать intel, если с первой проблемы

Но ведь все равно VPN это для конечного дивайса всегда делается, а не для промежуточного. Полагаю что с точки зрения безопасности VPN на роутере это не очень хорошая затея.

Ик-ик-ик - Щито?

Я бы смотрел в сторону routeros ($45) или прочих бесплатных vyos/pfsense/opnsense. У меня, например, на VDS устанавливается RouterOS и прекрасно справляется со всеми задачами. Опыт использования в продакшене CHR около 2 лет. Если бы использовал где-то vsphere всегда можно обратиться к кискам и установить 1000v.

Ик-ик-ик - Щито?

Ну как, это же туннель, то есть от точки до точки.

Update: ну хотя да, я понял что имеется в виду. Беру свои слова обратно. Я видимо просто OpenVPN воспринимаю как чисто терминальный софт. Между серверами у меня обычно L2TP ходит.

Я бы смотрел в сторону routeros ($45) или прочих бесплатных vyos/pfsense/opnsense.

Ну вот я пока с debian + iptables + ansible наколхозил. В принципе для текущих нужд достаточно, но наверняка надо будет делать что нибудь более продвинутое, вот тогда и займусь.

VPN - Virtual Private Network. Причем тут реализации? Дальше пояснять?

У меня машина в кернел паник уходит иногда… Дело в сетевых картах? Плюс процессор жрет как не в себя.

Я вот думаю на что микротик поменять, потому что реально не вывозит PPPoE на моих скоростях. При этом совершенно не очевидно какой роутер таки вывезет. Интернеты рекомендуют Edge какой то.

А, если не секрет, какой девайс не вывозит? Какие скорости? Ну и начать можно с того, что поменять mss в postrouting

Ubiquiti EdgeRouter? Хорошая машинка. Внутри EdgeOS, который Debian. Ну и одновременно дальний потомок Vyatta.

А, если не секрет, какой девайс не вывозит?

hAP ac. Вот этот девайс. Скорость 600/600 FTTH + PPPoE (и это основная проблема). Ну то есть один коннект напрямую он конечно вытащит. Но вот если запущены торренты с тысячей коннектов, то прямое подключение по ftp падает с 30MB/s до 2-3MB/s.

Я все никак не соберусь хотя бы QoS настроить чтобы приоритет ftp давал перед торрентами.

поменять mss в postrouting

А что это?

Ubiquiti EdgeRouter?

UBIQUITI Networks EdgeRouter Lite

Вот этот говорят брать. Типа тянет 1Gbps с PPPoE без проблем.

rb3011 справлялся с гигабитом и rb4011 точно так же справляется через PPPoE. hap ac ну уж совсем слаб для таких скоростей и не стоит ожидать от него чуда.