Vyos open source router

Apparatuur
1

Ik heb onlangs mijn edgerouter vervangen door een boardje van PC Engines met daarop Vyos als operating system.

Vyos lijkt erg op EdgeOS. Ze zijn beide een fork van Vyatta, maar Vyos biedt veel meer mogelijkheden dan EdgeOS. Er is alleen geen GUI, dus alles moet via de CLI.

Hier mijn huidige basis config:

set firewall all-ping 'enable'
set firewall broadcast-ping 'disable'
set firewall config-trap 'disable'
set firewall ip-src-route 'disable'
set firewall log-martians 'enable'
set firewall name WAN_IN default-action 'drop'
set firewall name WAN_IN description 'WAN to internal'
set firewall name WAN_IN rule 10 action 'accept'
set firewall name WAN_IN rule 10 description 'Allow established/related'
set firewall name WAN_IN rule 10 state established 'enable'
set firewall name WAN_IN rule 10 state related 'enable'
set firewall name WAN_IN rule 20 action 'drop'
set firewall name WAN_IN rule 20 description 'Drop invalid state'
set firewall name WAN_IN rule 20 state invalid 'enable'
set firewall name WAN_IPTV_IN default-action 'drop'
set firewall name WAN_IPTV_IN description 'WAN IPTV to internal'
set firewall name WAN_IPTV_IN rule 10 action 'accept'
set firewall name WAN_IPTV_IN rule 10 description 'Allow established/related'
set firewall name WAN_IPTV_IN rule 10 state established 'enable'
set firewall name WAN_IPTV_IN rule 10 state related 'enable'
set firewall name WAN_IPTV_IN rule 20 action 'drop'
set firewall name WAN_IPTV_IN rule 20 description 'Drop invalid state'
set firewall name WAN_IPTV_IN rule 20 state invalid 'enable'
set firewall name WAN_IPTV_IN rule 30 action 'accept'
set firewall name WAN_IPTV_IN rule 30 description 'Allow multicast'
set firewall name WAN_IPTV_IN rule 30 destination address '224.0.0.0/16'
set firewall name WAN_IPTV_IN rule 30 log 'disable'
set firewall name WAN_IPTV_IN rule 30 protocol 'udp'
set firewall name WAN_IPTV_LOCAL default-action 'drop'
set firewall name WAN_IPTV_LOCAL description 'WAN to router'
set firewall name WAN_IPTV_LOCAL rule 10 action 'accept'
set firewall name WAN_IPTV_LOCAL rule 10 description 'Allow established/related'
set firewall name WAN_IPTV_LOCAL rule 10 state established 'enable'
set firewall name WAN_IPTV_LOCAL rule 10 state related 'enable'
set firewall name WAN_IPTV_LOCAL rule 20 action 'drop'
set firewall name WAN_IPTV_LOCAL rule 20 description 'Drop invalid state'
set firewall name WAN_IPTV_LOCAL rule 20 state invalid 'enable'
set firewall name WAN_IPTV_LOCAL rule 30 action 'accept'
set firewall name WAN_IPTV_LOCAL rule 30 description 'Allow IGMP'
set firewall name WAN_IPTV_LOCAL rule 30 log 'disable'
set firewall name WAN_IPTV_LOCAL rule 30 protocol 'igmp'
set firewall name WAN_IPTV_LOCAL rule 40 action 'accept'
set firewall name WAN_IPTV_LOCAL rule 40 description 'Allow ICMP'
set firewall name WAN_IPTV_LOCAL rule 40 log 'disable'
set firewall name WAN_IPTV_LOCAL rule 40 protocol 'icmp'
set firewall name WAN_LOCAL default-action 'drop'
set firewall name WAN_LOCAL description 'WAN to router'
set firewall name WAN_LOCAL rule 10 action 'accept'
set firewall name WAN_LOCAL rule 10 description 'Allow established/related'
set firewall name WAN_LOCAL rule 10 state established 'enable'
set firewall name WAN_LOCAL rule 10 state related 'enable'
set firewall name WAN_LOCAL rule 20 action 'drop'
set firewall name WAN_LOCAL rule 20 description 'Drop invalid state'
set firewall name WAN_LOCAL rule 20 state invalid 'enable'
set firewall name WAN_LOCAL rule 30 action 'accept'
set firewall name WAN_LOCAL rule 30 description 'Allow ICMP'
set firewall name WAN_LOCAL rule 30 log 'disable'
set firewall name WAN_LOCAL rule 30 protocol 'icmp'
set firewall receive-redirects 'disable'
set firewall send-redirects 'enable'
set firewall source-validation 'disable'
set firewall syn-cookies 'enable'
set firewall twa-hazards-protection 'disable'
set interfaces ethernet eth0 description 'FTTH'
set interfaces ethernet eth0 offload gro
set interfaces ethernet eth0 offload gso
set interfaces ethernet eth0 offload rps
set interfaces ethernet eth0 offload sg
set interfaces ethernet eth0 offload tso
set interfaces ethernet eth0 offload ufo
set interfaces ethernet eth0 ring-buffer rx '4096'
set interfaces ethernet eth0 ring-buffer tx '4096'
set interfaces ethernet eth0 vif 4 address 'dhcp'
set interfaces ethernet eth0 vif 4 description 'Tweak IPTV'
set interfaces ethernet eth0 vif 4 dhcp-options no-default-route
set interfaces ethernet eth0 vif 4 firewall in name 'WAN_IPTV_IN'
set interfaces ethernet eth0 vif 4 firewall local name 'WAN_IPTV_LOCAL'
set interfaces ethernet eth0 vif 34 address 'dhcp'
set interfaces ethernet eth0 vif 34 description 'Tweak Internet'
set interfaces ethernet eth0 vif 34 firewall in name 'WAN_IN'
set interfaces ethernet eth0 vif 34 firewall local name 'WAN_LOCAL'
set interfaces ethernet eth1 address '192.168.X.X/24'
set interfaces ethernet eth1 description 'Private LAN'
set interfaces ethernet eth1 offload gro
set interfaces ethernet eth1 offload gso
set interfaces ethernet eth1 offload rps
set interfaces ethernet eth1 offload sg
set interfaces ethernet eth1 offload tso
set interfaces ethernet eth1 offload ufo
set interfaces ethernet eth1 ring-buffer rx '4096'
set interfaces ethernet eth1 ring-buffer tx '4096'
set nat source rule 5000 description 'masquerade for WAN'
set nat source rule 5000 outbound-interface 'eth0.34'
set nat source rule 5000 translation address 'masquerade'
set nat source rule 5001 description 'masquerade for IPTV'
set nat source rule 5001 outbound-interface 'eth0.4'
set nat source rule 5001 translation address 'masquerade'
set protocols igmp-proxy interface eth0 role 'disabled'
set protocols igmp-proxy interface eth0.4 alt-subnet '0.0.0.0/0'
set protocols igmp-proxy interface eth0.4 role 'upstream'
set protocols igmp-proxy interface eth0.34 role 'disabled'
set protocols igmp-proxy interface eth1 role 'downstream'
set protocols igmp-proxy interface eth2 role 'disabled'
1 like
2

Dat is interessant !
Vyos heeft een heel actieve community. Dagelijks patches …

Ben je ook hardware tegengekomen waar een SFP(+) connector op zit? Ik heb wat rondgezocht maar niet gevonden.

Dit wordt in de toekomst zeker een project voor mij. Nu nog teveel andere projecten met open einden :sweat_smile:

Dank je voor deze tip!

3

Ik ben geen hardware met SFP+ connector tegengekomen, maar ook niet echt naar gezocht. Ik zie het punt daarvan eerlijk gezegd niet zo, 1Gbps ethernet werkt prima.

Uiteindelijk heb ik toch weer de FRITZ!Box 5490 teruggezet, en zit de Vyos router daarachter. De reden is dat ik IPTV, en dan met name terugspoelen, uitzending gemist en andere on-demand functies, toch niet goed aan de praat kreeg. Met de FRITZ!Box werkt dat allemaal feilloos nu.

De Vyos router gebruik ik voor DMVPN tunnels naar ons corporate netwerk. Dat gaat prima via NAT. Private LAN gaat dus via FRITZ!Box en daarnaast heb ik drie corporate VLANS via de Vyos router.

4

De + stond tussen haakjes…
Dus ook een SFP-connector voor 1 Gb/s is (voorlopig) prima.

Waarom? Om minder apparaten te hebben (in dit geval geen media converter).

Voor mij is IPTV geen issue. Ik zal voorlopig bij Ziggo blijven ivm de randapparatuur waar ik in het verleden in geĂŻnvesteerd heb. Baas over eigen opnames, zeg maar :wink:

Jouw oplossing voor het splitsen van privé en werk is een mooi voorbeeld voor vele andere thuiswerkers. Eigenlijk zou het, uit het oogpunt van data-veiligheid, een must moeten zijn dat thuiswerkers verplicht middels VPN (hard- dan wel software based) werken met dichtgetimmerde computerhardware van het werk (dus niet met een privé-laptop die vol met spyware kan zitten).

Dat bordje met SFP-connector vind ik wel tegen de tijd dat ik daarmee ga experimenteren.

Dank!!

5

Ik bedoelde ook gewoon een SFP connector. Ik stoor me niet aan de media converter, en een router/board met SFP connector ga je niet vinden vrees ik voor ca. € 150.

In mijn geval is de hoofdmeterkast waar de glasvezel binnen komt ook niet de plek waar ik de routers wil hebben. Van de meterkast naar de routers loopt wel CAT6, maar geen glas :wink:.

Succes!

1 like