Altes Alix 2D13 - soll jetzt auch Kindersicherung machen
-
In dem Raum ist es nicht gerade kalt.
-
@hec
Hängt natürlich auch davon ab, was die Box gerade zu tun hat.Von einer APU4C4 kenne ich diese Wert, geringer sind sie nur, wenn sie aus ist.
Mein Mini-PC mit einem Intel i5-4200U, auf dem Linux und darauf meine Heim-pfSense virtualisiert läuft, hat in Ruhe nicht mal 40° und ist auch nur passiv gekühlt.
-
@noplan Danke für dein Feedback, bzw. auch an den Rest der Runde. Unflexibel ist der pfBlocker in dem Sinne:
- ich kann die Blocklist nur als Ganzes verwerten, alle Klienten -> 1 Blocklist (zumindest wüsste ich nicht wie es anders geht)
- ich kann somit nicht 2 Gruppen bilden für Kinder (mehr Sperrungen) und Rest (bisherige Blocklist)
- ich kann keinen Klienten an der Blocklist vorbei führen (DNS wechseln ist klar, aber ohne zu viel auf den Kopf zu stellen, komme ich nicht an den Firewall-Regeln vorbei, die nach jedem Update wieder ganz oben stehen)
Ich habe mal gelesen, das man letzten Punkt über einen Einschub in der Unbound Konfiguration beheben kann, aber das schien mir an irgendwelche Zieldomains gebunden zu sein, die man wiederum auch noch extra zu definieren hatte. Da ich mit pfblocker und DNS-over-TLS schon einiges dort drin stehen habe, hatte ich Bedenken, dass zum Schluss nix mehr geht.
Und wichtiger wären fast noch die ersten Punkte. Über einen WPAD-Proxy wäre das ja ziemlich elegant und sogar mit GUI möglich. Wenn Unbound bzw. pfBlocker ihre Listen nach Intern noch unterscheiden könnten (Interface oder in meinem Fall IPs) wäre das natürlich die Lösung!
Zuviel Wind will ich darum auch nicht machen, wenn das alte Alix fertig hat, hat es eben fertig. Die IPsec-Performance hängt aus unbekannten Gründen auch bei schlappen 7-8MBit (AES128-SHA256-DH14), aber auch AES128-GCM war z.B. gleich langsam.
Ich habe noch einen HTPC mit Gigabyte N3050N Mainboard, den ich vielleicht dafür opfern kann. Aber für selbigen fehlt mir dann ebenso der Ersatz Sicher gibt des zum Aspekt der Kindersicherung sogar noch mehr zu bedenken, was vielleicht später erst auffällt. Übertreiben will ich es andereseits auch nicht
Ein Edit noch: Dank größerer CF hätte ich jetzt die Möglichkeiten für z.B. IPfire, OPNSense, Untangle usw. (alle sollen wohl mit Ach und Krach auf dem Alix laufen können), aber helfen wird das kaum oder (sagte @JeGr ja bereits) ? OpenWRT hat einen schönen AdBlocker und mit privoxy einen schlanken non-caching-Proxy, hier schreckt mich aber eher das viele Gehämmer im CLI ab. Wäre hier noch was zu holen, so aus Erfahrung? Das APU.3D4 Board (4 GByte, 3xLAN) finde ich interessant. Für den Preis gibt es aber schon viel Konkurrenz mit Celeron etc.
-
@sebden
einzelne clients am pfBlockerNG vorbeiführen geht über die DNS Resolver Custom Options:Hier ein Beispiel:
server: access-control-view: 192.168.10.17/32 bypass access-control-view: 192.168.10.0/24 dnsbl access-control-view: 2003:xxxx:yyyy:zzzz::/64 dnsbl view: name: "bypass" view-first: yes view: name: "dnsbl" view-first: yes include: /var/unbound/pfb_dnsbl.*conf
Das bedeutet, dass die .17 ohne pfBlocker ins Internet geht. Man muss im gleichen Atemzug aber darunter wieder die Netze angeben, wo pfBlocker greifen soll.
Aber ACHTUNG: nach jedem pfBlocker Package Update bzw. pfSense Update, musst du die Custom Options überprüfen. Aktuell haut das pfBlocker Package nämlich automatisch die "server:" Variable direkt vor den "include" Wert. Zwei mal "Server:" darfs aber nicht geben...Nur bestimmte Listen für bestimmte Clients anzuwenden wäre ein tolles Feature, ist mir aber auch nicht bekannt wie das funktionieren soll.
-
@sebden said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
ich kann die Blocklist nur als Ganzes verwerten, alle Klienten -> 1 Blocklist (zumindest wüsste ich nicht wie es anders geht)
@m0nji said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
einzelne clients am pfBlockerNG vorbeiführen geht über die DNS Resolver Custom Options:
Was @m0nji schreibt bzgl. DNS Blocklisting, plus: Die IP basierenden Regeln sind natürlich auch pro pro Client/ClientAlias/Gruppe möglich und nutzbar, wenn man keine automagischen Regeln erstellen lässt, sondern diese via Alias umsetzt.
@m0nji said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
Nur bestimmte Listen für bestimmte Clients anzuwenden wäre ein tolles Feature, ist mir aber auch nicht bekannt wie das funktionieren soll.
Das wäre dann IMHO auch eher ein Feature, was Anthony für pfBlocker selbst einbauen müsste.
@sebden said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
Und wichtiger wären fast noch die ersten Punkte. Über einen WPAD-Proxy wäre das ja ziemlich elegant und sogar mit GUI möglich. Wenn Unbound bzw. pfBlocker ihre Listen nach Intern noch unterscheiden könnten (Interface oder in meinem Fall IPs) wäre das natürlich die Lösung!
Es zwingt dich keiner pfBlockerNG-devel zu nutzen :) Ist aber weniger trouble als gleich den kompletten Proxy mit Squid, Squidguard und lightsquid aus der Ecke zu holen und zu konfigurieren :) Was dann BTW noch ressourcenhungriger wäre - gerade im Hinblick auf RAM.
Die IPsec-Performance hängt aus unbekannten Gründen auch bei schlappen 7-8MBit (AES128-SHA256-DH14), aber auch AES128-GCM war z.B. gleich langsam.
Was soll GCM denn bei der uralt-Alix bringen, die nicht einmal AES NI hat? Da kannst du nichts beschleunigen, selbst die APU1 konnte das noch nicht. Erst seit dem (alten) APU2/3/4 Chipsatz geht überhaupt AES-NI. :)
Ein Edit noch: Dank größerer CF hätte ich jetzt die Möglichkeiten für z.B. IPfire, OPNSense, Untangle usw. (alle sollen wohl mit Ach und Krach auf dem Alix laufen können), aber helfen wird das kaum oder (sagte @JeGr ja bereits) ?
Das wäre mir neu, zumindest in Bezug auf OPNsense. Ich hatte da mit einer VM schon Probleme wenn der RAM bei 512MB war. Erst ab 1GB war das überhaupt sinnvoll nutzbar bzw. gab keine Boot Probleme. Mit Blocklisten < 1GB RAM anzufangen ist komplett widersinning, denn egal wie schlank der Kram installiert ist: die Blocklisten sind groß und brauchen Platz. Ob das IP Listen sind oder Domainnamen, das braucht alles RAM. und 256K oder 512K sind da heute einfach zu wenig selbst wenn die Grundinstallation und Routing läuft :)
Das APU.3D4 Board (4 GByte, 3xLAN) finde ich interessant. Für den Preis gibt es aber schon viel Konkurrenz mit Celeron etc.
APU3 ist für *Sense komplett sinnfrei :) Entweder du nimmst eine APU2D4 (3x LAN, 4GB RAM) oder eine APU4 wenn du 4 NICs willst. Die APU3 ist ein Board für Linux gedacht als WiFi/LTE Routing Board. Die zusätzlichen Slots bringen dir in BSD nichts und dann kann man sich den Zauber auch sparen - steht auch genau so in den HW Specs https://pcengines.ch/apu2.htm (Stichwort APU3 - optimized for 3G/LTE Boards). Nicht immer ist: "größere Nummer = neuer = besser".
Und egal welche APU: es ist immer der gleiche alte Chipsatz und die gleiche APU. Die ist inzwischen so in die Jahre gekommen, dass es eben enorm viel Konkurrenz gibt, die nicht enorm viel teurer ist aber wesentlich mehr auf dem Kasten hat. Abgehangene Hardware mag stabil/ganz gut sein, aber wir hängen viel zu oft an steinalter Hardware und wundern uns dann immer dass Software nicht aus dem Knick kommt. Das ist Henne-Ei Problematik. Ja die Kiste hat (endlich) AES-NI - juhu immerhin ;) Und für nen Heim-DSL Anschluß ist sie wahrscheinlich genug. Aber man spielt eben doch rum und entwickelt sich weiter, baut dann doch größer als man kann und kommt dann doch gerne mal an Limits die man hätte gleich vermeiden können.
Persönlich hab ich dazu mit APU1 und 2 einfach viel zu nervige und viele Ausfälle der HW gehabt wenn die Dinger vor Ort wirklich mal heiß geworden sind (wurden halt auch gerne mal in Schaltschränken und Co verbaut und da ist nicht wirklich kühl). Und wenn dann immer mal wieder die Kiste rebootet oder die Grätsche macht, ist man irgendwann genervt ;) Kann also für daheim völlig gut genügen, manchmal macht aber andere HW vielleicht mehr Sinn. Je nach Einsatz :)
Cheers
-
ich hab jetzt mal auf die schnelle nachschau gehalten.
Alles APU4d4 hinter DSL Modems (bridgeMode) c&d sind bereits auf pfS 2.5.1
auf allen mind 2 openVPN tunnels permanent am laufenbox a 49,2
box b 53,2
box c 65,0
box d 68,3scheinbar überbewerten wir die Temp etwas. (ich muss mal schauen ob das irgendwo reported wird) auch in hinblick wann was gestorben ist.
BoardTemp hab ich noch keine gefunden (hat mich bisher auch nicht interessiert)
Wenn eine Box gestorben ist (die letzten 24Monate 1Stk allerdings aufgrund der verbauten mSata) wird eine neue ausm Schrank genommen last Config drauf und fertig. Ich schau da nicht mehr nach. Einige Sparefroh Kunden haben sich eine Platine als Reserver gekauft weil das Gehäue kann man ja wiederverwenden ;)Die Ableitung der Wärme an das Gehäuse kann schnell nach hinten los gehen wenn du die Box auch noch auf einen switch ohne lüfter legst (nicht das jetzt da jemand um die Ecke kommt und sagt der Lüfter vom switch kühlt die APU ja eh mit)
Ein Kunde spielt sich gerade mit der Idee einen Lüfter ins / ansgehäuse oder Kühlrippen ans Gehäuse zu packen um die Wärme besser abzuleiten.
Man kommt nicht drum herum zuzugeben es ist "abgehangene hardware" die stabil funktioniert und es gibt auf der Hardware Seite sicher besseres ... ob zum gleichen Preis für die hardware / performance gilt es zu bewerten.
-
@jegr said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
Nur bestimmte Listen für bestimmte Clients anzuwenden wäre ein tolles Feature, ist mir aber auch nicht bekannt wie das funktionieren soll.
Nein Nein Nein das willst du nicht wirklich haben, klar ist schön im 1. Moment
wenn IPx die Listen aus PoolY und IPz die Listen aus PoolU und der Rest die Listen aus den anderen Pools bekommt. Viel Spaß bei der Wartung.Die Anforderung kommt so sicher wie AMEN irgendwann im Gottesdienst, wenn man mit pfB arbeitet. Ich löse es über VLAN, wenn eine Gruppe im Unternehmen keine Einschränkung / Schutz braucht dann hat die auch nix im "default" Netz (LAN) verloren. Oh Wunder ....
wenn das nicht ausreicht knallen wir die IP einfach am pfB vorbei genau so wie
@sebden einzelne clients am pfBlockerNG vorbeiführen geht über die DNS Resolver Custom Options: beschrieben hat.Aus der Praxis, habe ich mit der Trennung der Devices der Kids, weit weniger Probleme, als alle immer befürchten, denn in dem Moment wo das WLAN nicht mehr allen gehört, kann man auch ein paar andere Features der pfS nutzen die das HomeOffice & HomeSchooling nebeneinander trotz kleinerer WAN Leitung lebenswerter machen. (Ja das das Hardware mindest VLAN fähig bedeutet ist klar aber es funktioniert) Ja Ja Drucker / Alexa Multicast usw. ... alles Sachen die du mit einer enterprise Sollution nicht haben / abdecken willst (oder doch .. masochist)
Was ich nicht verstehe @JeGr wieso verwendet man einen Proxy bei dem ich einen man in the middle auf der box machen muss um es ordentlich hinzubekommen. mit pfB erledig ich diese dinge einfacher und unkoplizierter.
Dazu kann man nix sagen, weils halt stimmt.
Abgehangene Hardware mag stabil/ganz gut sein, aber wir hängen viel zu oft an steinalter Hardware und wundern uns dann immer dass Software nicht aus dem Knick kommt.Weils ja immer wieder eine spannende Frage ist ...
Wieviel bekomm ich in RAM HDD CPU-Performance NICs und RoutingPerformance für 185 EUR geboten .... bitte um Info. (die netgate hardware lassen wir jetzt außen vor)
Für den Preis gibt es aber schon viel Konkurrenz mit Celeron etclong story short ...
die ALIX 2D13 in den Ruhestand und mit was neuem das den Anforderungen entspricht ersetzen ... ob das jetzt eine SG3100 oder eine APU4D4 oder eine China i7 Box ist eigentlich völlig egal solange man pfsense verwendet. -
Ich hab 2 in einem 19" Case mit einem Lüfter mit redundanten PSUs.
Das ist echt massiv das Case. Die Wärmeableitung funktioniert perfekt. Ist leider nicht ganz billig aber dafür habe ich genau das was ich will.Mir fehlen eben 19" Geräte von pfSense die nicht komplett oversized sind.
-
@hec said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
Mir fehlen eben 19" Geräte von pfSense die nicht komplett oversized sind.
Was ist denn oversized? Also für die SG5100 (was ja ne 1510 ist) gibts nen RackmountKit :) Die anderen Sachen sind eben hauptsächlich SMB Sachen bzw. Home-Appliances und da sieht man eher den Einsatz als Desktop oder Wandmontage. Dass da jemand Racks hat ist selten :)
-
@jegr said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
SG5100
feines Teil ... !
Problem ist wirklich wenn du keinen Fachboden ins Rack schreiben willst sonder 1HE verbauen willst ;) .... immer diese Home User und Ihre Instagram Networking stories ;)
-
@hec said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
2 in einem 19" Case mit einem Lüfter mit redundanten PSUs.
haste Link ich find immer nur den
danke vorab
-
@noplan der Varia Link wird auch der günstigste sein. Ansonsten LinITX und Co aber die rufen da schon teils abgefahrene Preise auf.
https://www.varia-store.com/en/produkt/99969-19-quot-rack-system-configurator-for-pc-engines-apu1-2-3-boards-single-slot.html
https://www.varia-store.com/en/produkt/104336-19-quot-dualrack-system-configurator-for-pc-engines-apu1-2-3-boards-dual-slot.html
https://www.varia-store.com/en/produkt/99972-19-quot-rack-system-configurator-for-pc-engines-apu4-boards-single-slot.html
https://www.varia-store.com/en/produkt/104337-19-quot-dualrack-system-configurator-for-pc-engines-apu4-boards-dual-slot.html
Andere:
https://linitx.com/product/linitx-alix---apu-rackmount-chassis/12745
https://www.pluscom.pl/en/19-rack-housing-for-apu-boards-p6563.htmlSelberdrucken geht auch:
https://www.thingiverse.com/thing:4711672
https://photos.google.com/share/AF1QipM4BbNBc0eFkchhf2etS_feWbj42ihLnlVU2X7DzVTDl1TgClffNEmWN0_Yg2YXcg?key=dTlKS2dCUmUzdnJPcUVYNW05SzdwSHNVSGlhRG9n -
@jegr said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
Selberdrucken
Hui das wird ein Spaziergang mit am Flascherl zum Nachbarn...
Ob das auch in rosa / pink für die Mädels geht ;)Oidaaaaaaa die Preise sind die..... D#€&+*
-
@noplan
Ja genau habe das Case von Varia Store.
Ich finde das Case echt super.
2 APU4D4 sind verbaut. Ja ich weiß ganz billig ist das Teil nicht. -
ad Kindersicherung @sebden
ich spiel mich gerade mit Content Filter (adult) weil irgendwer wills so haben
also ohne die beiden großen Listen (Shallalis / UT1) braucht das jetzt gut RAM ( ~1,35 GB )weil's @NOCling sicher wissen will ....
Alias table IP Counts 151.313 total
DNSBL Domain/IP Counts 1.057.350 totalund JA das ist wirklich eingeschalten, denn sonst bringt das mE nix.
ad Gehäuse @hec
ist das redundante Netzteil schon dabei ? mit 2APU4D4 Carp gebaut ?
ich bin ja gespannt was der 3D Drucker ausspuckt ... ... -
CIRD Aggregation aktiv?
Wenn ja was macht die aus?Und was bleibt vom Inet noch über, wenn du das rausfilterst einstelliger % Bereich?
-
@nocling
ad CIDR aggregation / & De Duplicationad was bleibt über
also im Feldversuch sind xxx seiten mal großteils unerreichbar
google Add / Werbung teilweise auch (das liegt wahrscheinlich an schlampig zusammengefassten listen / feeds) muss ich mir noch ansehenSurfen bisher kein problem geht alles, scheint jetzt nix zu bocken auf den ersten Blick ...
Was mir Sorgen macht ... es sollte noch die suricata aufgedreht werden ... (für was auch immer)
Gibts eigentlich ein paar NoBrainer Listen die man in pfB gleich mal scharf schalten sollte ?
-
Ich habe da bei IP PRI1, PRI3, DoH_IPv4 und v6, Scanners aktiv.
Geo IP Top Spammers.Was den DNS Block angeht habe ich die versuchte YouTubeAds Listen wieder deaktiviert, da ging das Streaming teilweise nicht mehr, war ein unschöner Seiteneffekt.
Die EasyList und ADs_Basic merkst so gut wie nicht. -
@noplan
Ja natürlich CARP gebaut.Du kannst dir im Shop alles zusammenstellen wie du die Config haben willst.
Das Redundante Netzteil kostet aber extra. -
@hec said in Altes Alix 2D13 - soll jetzt auch Kindersicherung machen:
@noplan
Ja natürlich CARP gebaut.Du kannst dir im Shop alles zusammenstellen wie du die Config haben willst.
Das Redundante Netzteil kostet aber extra.Meinst Du das Teil mit den Dioden, bei dem beide Netzteile beide APUs versorgen (und bei Ausfall eines Netzteils das verbliebene allein)?
Ich fand das zunächst auch eine gute Idee, es ist aber ein Haken dabei: Du bekommst nicht mit, wenn das erste Netzteil ausgefallen ist und wenn das zweite ausfällt, gehen beide APUs aus.
Ich hatte schon ein kleines Projekt mit zwei zusätzlichen LEDs an der Frontblende, die wenigstens für jedes einzelne Netzteil anzeigen, ob es an ist. Das ist aber wegen "Bedenken bezüglich des Versicherungsschutzes" nicht zugelassen worden.
Außerdem sieht man die 3 LEDs des APU nicht und erreicht nicht den Schalter gleich daneben.
Ciao,
Mathias