Wieviel CPU/Hardware „braucht“ meine Firewall/Router?

Also was ich bisher so hatte an Hardware habe/hatte/administriere, mit stock OS oder Arch+NFTables+Bird (ggf. mit fulltable)+WG Tunnel+Caddy Reverse Proxy:

– Sophos XG230 – G4400 / 8gb 120gb ssd – mit Stock OS naja, arch stack -> 2G WG Durchsatz + BIRD mit 4 1G Peers je Fulltable + 2x 1g Exchange Peering geht & reicht, bekommt aber bald 2x 10g nachgerüstet + einen i5-6500 dazu

– Sophos SG430 rev1 – E3-1225v3 / 16gb / 240gb ssd – Stock SG mit 4x10G vollkommen ausreichend + 8x 1G komische Standleitungen zu anderen Standorten – routing geht grad noch so, aber OpenVPN & IPSec krebsen schon echt hart am Limit

– Checkpoint 5100/PB-20 – G1820/8gb/120gb ssd – arch stack mit 3x 1g fulltable macht etwa so 1,5-2g WG

– Checkpoint 4600/T160 – E6500/4gb/250gb HDD – furchtbar mit stock os – arch stack mit default route + intern bgp + andere Kundennetze mit OSPF ~6g routing bisher gesehen und WG macht den 1g link noch voll

– Dell IOT Gateway 5100 – E3827/8gb/64gb ssd – arch stack, 1g routed + LTE Link, aber dann hörts echt auf

Nein, ihr baucht nicht mehr als einen N100, J/N 4xxx/5xxx/6xxx reicht auch, solang ihr bis 4x 1G habt und nicht mehr als 1G VPN Durchsatz braucht.
Also ja, wenn man „mehr“ braucht, weiß man das dann auch und halt dann auch mehr als 1x/2x 1G Uplink, also so 5-10G dann halt.

ESPHome on ESP8266/ESP-12E 8 & 16 channel Relay

Packige!!!
ESP8266/ESP-12E/ ESP-12F 8 channel Relays board arrived.
So what do we have?
– Power input 5V / 7-28V
– 8x 10A Songle relays
– ESP-12E
– Pinrow to solder yourself
– a jumper

Ok, first try -> just give it some power via a CP2102 USB TTL Konverter.
– it opened an AP, but no captive portal has been running on it
– guess from my wife, it might me just a function check firmware
Let’s see…
– connect RX to TX
– TX to RX
– tell esphome that it’s dealing with an

esp8266:
board: esp12e

– ok, flash
– nop… no serial connection established :/
– only a reset button, but no programming
“may you need to short out GND & IO0”
*checking…*
Maybe this is what the Jumper is for
*connects jumper*
– flash works

No doku what relay is on what gpio… then try and error it is.
After like… 30min, I now have all Pins.
Relay 1 GPIO16
Relay 2 GPIO14
Relay 3 GPIO12
Relay 4 GPIO13
Relay 5 GPIO15
Relay 6 GPIO0
Relay 7 GPIO4
Relay 8 GPIO5

Oh wow… GPIO1 & GPIO3 are not in use? O.O
So yay, I2C Ports, where I can connect an AHT10 ^^
I guess GPIO2 is empty and I maybe could use it for dallas/onewire sensors or as a dum binery sensor for a switch or so.

Finally I now have a 8c relay board, that also has 3 custom Pins for free use for 17,50€ (AWS price, Ali is more like 9,50€)

Config here:https://github.com/nerdheim/random-Infosammlung/blob/ec1cb9e60a8a1b7b2e78e3cfec351c70416909c0/ESP12F_Relay_X8-doku.md

Also a 16x has arrived with 2 74HC595N Shift Register on it, but more PINs to use

Config here: https://github.com/nerdheim/random-Infosammlung/blob/main/ESP12F_Relay_X16-doku.md

EdgeRouter Testing VPN & OSPF

Vielleicht hat es der ein oder andere bereits mitbekommen, ich halte mich gern unnötig lange mit einzelnen Themen auf.
Ich hätte auch gleich anders lösen können, aber ich wollte das es so fuktioniert wie in den Tutorials beschrieben. (IPSec | OSPF)
Kurz um, es geht um UBNT EdgeRouter und VPN/IPSec + OSPF.
Ich wollte von meiner Firewall im Lab OSPF -> Onside ER -> IPSec -> Home ER -> Wifi ER, aber ich dass mich irgendeine Inompatibilität oder so gebissen hätte… nein, es war natürlich wieder IPSec – es ist schnell, aber ich hasse es bis es erstmal läuft.
Es ist auch erstmal alles nicht so schlimm, solange kein NAT/Port Forwarding und nur Public IP’s im Spiel sind.
Im großen und ganzen dachte ich mir so, „alles Anzünden & was mit Garten / Holzhütten machen“.
Symbolisch @DO9XE bei der Frage wie das denn mit dem WLAN auf der GPN18 war…
Da es absolut nich wollte, habe ich dann einen 1:1 Nachbau des Tutorial Setups bei mir auf dem Tisch hingestellt (von oben):
1. ER-R
2. ER-L
3. „Internetwolke“
4. Weiterer OSPF Router
5. Switch zum Lab

Config ER-R
VPN
configure
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec ike-group FOO0 lifetime 28800
set vpn ipsec ike-group FOO0 proposal 1 dh-group 14
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec esp-group FOO0 lifetime 3600
set vpn ipsec esp-group FOO0 pfs enable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
set vpn ipsec site-to-site peer 203.0.113.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 203.0.113.1 authentication pre-shared-secret 1234
set vpn ipsec site-to-site peer 203.0.113.1 description ipsec
set vpn ipsec site-to-site peer 203.0.113.1 local-address 192.0.2.1
set vpn ipsec site-to-site peer 203.0.113.1 ike-group FOO0
set vpn ipsec site-to-site peer 203.0.113.1 vti bind vti0
set vpn ipsec site-to-site peer 203.0.113.1 vti esp-group FOO0
set interfaces vti vti0 address 10.255.12.2/30
set protocols static interface-route 192.168.1.0/24 next-hop-interface vti0
commit ; save

OSPF
configure
set interfaces vti vti0 ip ospf network point-to-point
set protocols ospf parameters router-id 172.16.1.1
set protocols ospf area 0.0.0.0 network 10.255.12.0/30
set protocols ospf area 0.0.0.0 network 172.16.1.0/24
commit ; save

Config ER-L
VPN
configure
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec ike-group FOO0 lifetime 28800
set vpn ipsec ike-group FOO0 proposal 1 dh-group 14
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec esp-group FOO0 lifetime 3600
set vpn ipsec esp-group FOO0 pfs enable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
set vpn ipsec site-to-site peer 192.0.2.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 192.0.2.1 authentication pre-shared-secret 1234
set vpn ipsec site-to-site peer 192.0.2.1 description ipsec
set vpn ipsec site-to-site peer 192.0.2.1 local-address 203.0.113.1
set vpn ipsec site-to-site peer 192.0.2.1 ike-group FOO0
set vpn ipsec site-to-site peer 192.0.2.1 vti bind vti0
set vpn ipsec site-to-site peer 192.0.2.1 vti esp-group FOO0
set interfaces vti vti0 address 10.255.12.1/30
set protocols static interface-route 172.16.1.0/24 next-hop-interface vti0
commit ; save

OSPF
configure
set interfaces vti vti0 ip ospf network point-to-point
set protocols ospf parameters router-id 192.168.1.1
set protocols ospf area 0.0.0.0 network 10.255.12.0/30
set protocols ospf area 0.0.0.0 network 192.168.1.0/24
commit ; save

Config „Internetwolke“

Schlussendlich hat wer 1:1 Aufbau auch funktioniert und die Performance mit Offloading ware auch ok.

Aber trozudem ließ es sich nicht in Prodution so umsetzen, da warum auch immer, IPSec bei mir zuhause einfach nicht will.
Daher habe ich mir dann kurzerhand die Anleitung geschnappt und das einfach nochmal mit OpenVPN ausprobiert.
Ergebnis… geht, nicht schnell, aber geht und zwar Stabil und mit nur einem Public Port.
Falls jemand Ahnung hat, wie ich Tinc 1.1 auf den EdgeRouter bekomme, bitte gerne.
https://twitter.com/nerdheimeu/status/1149346879332913152

Shadow Computing

Ich habe mir im anfang November einen Shadow Account für ein Jahr angelegt um für mich zu evaluieren, ob „Cloud Computing“ nun auch im Endusermarkt „sinnvoll“ angekommen ist. Anbieter wie Drpoobox bieten zwar schon lange ihre Dienstleistungen an, werden aber von den meisten Endusern nicht als Cloud wahrgenommen.

Meine Motivation hierfpr war, dass ich den einzigen Computer mit „aktueller“ GPU als Server im Keller stehen habe und ausschließlich für Testing verwende. Zudem fehlt mir der bedarf an einem Standgerät, da ich auf grund verschiedener Nutzungsorte dann gleich mehrere benötigen würde. Ein Laptop in der Leistungsklasse fällt ebenfalls aus, da ich sehr viel Wert auf Akkulaufzeit bei Produktivanwendungen lege – halt normaler Office Kram.

Nun also eine vollständuge Windows VM mit Lizenz zu einem, aus meiner Sicht, Preis der für Gelegenheitsuser vollkommen in ordnung ist, zumal die GPU Dediziert zugewiesen wird und somit fast vollständig für den User zur Verfügung steht. In etwa 3-8%, je nachdem ob reiner Desktop oder Gaming Betrieb gehen jedoch für das Encoding des Videostreams zum User drauf.

Was mir sofort aufgefallen ist, dass im Officebetrieb mit meinen typischen Endgeräten keine Probleme auftreten. (W520 & x201) Sobald es aber um 1920p Spieledecodung & Downsaming geht, wird es echt hakelig.
Bei genauerer Betrachtung zeigt sich, dass die Leistung der GPU in den Clients einfach an Ihre grenzen stößt, da der Client das an die Video Engine auslagert und der eingedliche GPU Core sich meistens im Idle befindet (W520) oder bei 70% hängt (x201).
Dies führt z.B. zu so „lustigen“ Effekten, wie das z.B. bei Hitman ich Klicke, den Schuss höre, jedoch das Bild bis zu 2sec später kommt, da von der GPU massiv Frames gedroppt werden
Als gegentest habe ich dann Board mit i3-2100 & ATI HD 6670/5770 getestet, womit es dann eiwandfrei lief. Allerding ist mir der Stromverbrauch von diesem Setup mit über 70 Watt für einen quasi Thinclient dann auch wieder zuviel.

Lösungsansatz war dann den Steam Link der ja als Streaminclient ausgelegt ist als Userdevice zu missbrauchen. Allerdings musste ich hierbei mehrere Lösungen für verschiedene hürden finden.
1. Die Shadow VM bekommt eine Interne IP und z.B. Portforwarding ist nicht vorgesehen.
2. Shadow rät dringend von der Nutzung von VPN auf der VM ab
3. Der Einsatz von Admintools wie Nmap sind Organisatorisch untersagt
4. VM ist aber nicht reguliert, somit ist die Installation trozudem möglich
Somit war die erste überlegung TAP Treiber für OpenVPN zu werfen und dann jeweils einen Tunnel zu den einzelnen Standorten die ich anbinden will aufzusetzen.
Umsetzung – Client Installieren, Serverconfig erstellen, Zugriff von Netz auf Client zulassen, Server sagen, dass er dem Client immer die selbe IP geben soll, Config in Client werfen (jaja, ber webmail an mich selbst…), Tunnel aufmachen.
Als Letztes dem Steam Link die IP der Shadow VM mitteilen und los gehts.

Ergebnis: Steam übernimmt das Grabbing, Decodung und den Transport über VPN. Im Client ist eingestellt das Steam nicht im Big Picture Mode Starten soll & direkt zum Desktop gehen soll.

Hiermit ist dann ein vollständig normales Arbeiten möglich, wenn auch nur auf einem Monitor. In Zukunft wird es auch einen eigenen Shadow Client namens Ghost geben. Bleibt zu hoffen, dass dieser Dual Monitor fähig ist, bzw. zwei Anschlüsse besitzt um das Feature im Zweifel nachträglich reinzupatchen.

Praxistest auf einer Verantstaltung… Auf der Techweek Frankfurt funktionierte es, nachdem ich eine Static IP bekommen hatte, ebenso auf dem 35c3.
Dort sogar über WLAN, leider nicht überall wegen den vielen rogue AP’s in gewissen bereichen. Ansonsten geht genügend stabile!!! nutzbare Bandbreite durch um es sinnvoll zu nutzen.

Comment: My Cool Data Center, is getting Hot, Need to Improve on That – 527

This is an comment so Morten Video „My Cool Data Center, is getting Hot, Need to Improve on That – 527“.

Hi Morten,

I’ve ask my colleagues from the datacenter expert team how they would cool such a small 8-20m² colocation room.
They see the following as essential:
do:
– filter the air (like an K&N filter from the car tuning store)
– mesure or calculate the air flow of your servers
– use a return flap on the intake and outtake, to have a defined airflow
– monitor temperature and humidity
– use A & B feed with ups and genset (they build Tier II to IV Datacenters the hole day)
– use surveillance, access control, intrusion detection (and allso high secure ones)
– use redundancy all time n+1/2 (WTF – for at home?!?)

don’t do:
– use high pressure intake fans, otherwise the fans in the server will become generators and that would damage the Servers over time
so one fan that push out the hot air is just fine
– short circuit the air typ’s

Solution:
They told me tho use an PLC to controle the system like a Siemens Logo.
My idea was to use an raspi or aduino with
2/3x DHT22 (behind the rack, in front of/in the room, outside)
5V Relay board 4 or 8 channels to turn the fan’s on and off to reduce power consumption (easy way) or if possible control fan speeds
some scripts, wiringPi, lol_dht22

Here is an shot overview of my plan:

And here the simple script to check temperature and humidity, to make a switching decision:

#!/bin/bash
#
# Script mit schaltbefehlen je nach Luftfeuchtigkeit und Temperatur
# Script to controll air exchange
# Variablen
#humi=$(sudo /var/www/loldht 7 | grep -i "humidity" | cut -d ' ' -f3)
humi=$(sudo /var/www/loldht 7 | grep -i "humidity" | cut -d ' ' -f3 | cut -d '.' -f1)
#temp=$(sudo /var/www/loldht 7 | grep -i "temperature" | cut -d ' ' -f7)
temp=$(sudo /var/www/loldht 7 | grep -i "temperature" | cut -d ' ' -f7 | cut -d '.' -f1)
# hier Vergleichswert einlesen
# fill variables with data
humi_max=70
temp_max=35
temp_mode25=25
temp_mode24=24
temp_mode23=23
# Luftfeuchtigkeit - humidity 70% Max.
if [ $humi -ge $humi_max ];
then
/home/pi/schalter/r1-on.sh
/home/pi/schalter/r2-on.sh
sleep 600
/home/pi/schalter/r1-off.sh
/home/pi/schalter/r2-off.sh
else
# Temperatur 35° Max.
if [ $temp -ge $temp_max ];
then
/home/pi/schalter/r1-on.sh
/home/pi/schalter/r2-on.sh
sleep 10
/home/pi/schalter/r1-off.sh
/home/pi/schalter/r2-off.sh
else
# Temperatur 25° Max.
if [ $temp -ge $temp_mode25 ];
then
/home/pi/schalter/r1-on.sh
/home/pi/schalter/r2-on.sh
sleep 5
/home/pi/schalter/r1-off.sh
/home/pi/schalter/r2-off.sh
else
# Temperatur 24° Max.
if [ $temp -ge $temp_mode24 ];
then
/home/pi/schalter/r1-on.sh
/home/pi/schalter/r2-on.sh
sleep 4
/home/pi/schalter/r1-off.sh
/home/pi/schalter/r2-off.sh
else
# Temperatur 23° Max.
if [ $temp -ge $temp_mode23 ];
then
/home/pi/schalter/r1-on.sh
/home/pi/schalter/r2-on.sh
sleep 3
/home/pi/schalter/r1-off.sh
/home/pi/schalter/r2-off.sh
else
echo "nö"
#Ende der IF's
fi
fi
fi
fi
fi
#
# Test
echo "Luftfeuchtigkeit " $humi # > /home/pi/temp/demo
echo "Temperatur " $temp # >> /home/pi/temp/demo

or the download with all my tapstops: