Самосборный х86 роутер

тебя реальные проблемы волнуют или что тебя рептилоиды взломают?

Только если в планах виртуализация с пробросом устройств.

Хочу собрать роутер на х86.

Зачем собирать, если можно купить готовый у китайцев?

Какой-нибудь Qotom вполне неплох.

нахрена тебе иомму в роутере ?? :) перед пацанами с раёна не смогёшь выпендриваться ??
запомни отличное правило сначала разбираешься что «тебе старче хочетца», а потом задаешь вопрос. причем в большинстве своем вопросы сами по себе отпадут.
чутка погуглил за тебя.
IOMMU - (англ. input/output memory management unit) — блок управления памятью (MMU) для операций ввода-вывода.

основное применение виртуализация и изоляция процессов. сам понимаш, в роутере сетевых пакетов нахрен сиё не нужно.
т.е. ты делаешь не роутер, а «комбайн» из роутера, хостера виртуальных машин и прочих кофейников. так и задавай вопрос.

Зачем покупать если у меня есть куча mini-itx материнок

IOMMU - (англ. input/output memory management unit)

Друх, я знаю что такое IOMMU. И зачем оно

основное применение виртуализация

Основное это защита от DMA-атак

Зачем покупать если у меня есть куча mini-itx материнок

А роутер из них получится?
Это я к тому, что ты потратишь на сетевые карты 3+ порта столько же, если не больше, сколько потратишь на полноценный x86 роутер с 6+ портами. И на порядок меньше, если роутер на ARM.

т.е. ты делаешь не роутер, а «комбайн»

Роутер с плюшками - три букавы, торренты и вот это вот всё

Основное это защита от DMA-атак

Погугли, что это такое и как выполняется. Вопросы отпадут. Вопрос о том, что лично ты нафиг никому не нужен, чтобы вот так заморачиваться, затрагивать не станем.

Это я к тому, что ты потратишь на сетевые карты 3+ порта столько же, если не больше, сколько потратишь на полноценный x86 роутер

Когда я последний раз смотрел, 4x2.5 GBe можно было купить за пятёрку примерно.

А роутер из них получится?

Вот и узнаю

роутер с 6+ портами

Мне столько не надо

Вообще вопрос не стоит собирать или не собирать. Вопрос был конкретно про аппаратную виртуализацию - нужна или нет

Вопрос был конкретно про аппаратную виртуализацию - нужна или нет

Роутеру — не нужна.

Но у ребят по ссылке выше IOMMU есть (ещё бы, там 10th Gen Intel), потому у меня на роутере крутятся виртуалки.

лично ты нафиг никому не нужен

Значит у меня и intel me в моём 1151-2 нет, я ведь нифиг никому не нужен, так?

Погугли, что это такое и как выполняется

Давным давно уже погуглил, когда фикус покупал

у ребят по ссылке выше

Да у них вообще жир, как я посмотрю. У меня всё гораздо скромнее - будет или А4-5000 или Е2-3000 или Athlon 5150

4 гигабитных порта 1.5к рублей intel

Да у них вообще жир, как я посмотрю.

Это сейчас жир, но его хватит на 10+ лет.

гигабит

Этого уже мало.

У меня 200 мегабит

IOMMU

Может я чего-то не понимаю, но вопрос про IOMMU довольно странный. А как это на роутер влияет?

Я бы понял, если бы ты спросил, какую ОС ставить, как быть с точками доступа wifi (особенно с wifi7), сколько кадров должен уметь перемалывать твой свич на каждом порту, а сколько пакетов роутер.

Основное это защита от DMA-атак

Надо понимать, ты уже решил проблему атак на сетевую инфраструктуру на уровне L2, и поэтому стал заморачиваться с этим?

IOMMU выше автор написал при чем, при том что DMA

Он хочет сетевку в одну вм запихать, wifi в другую вм

3тья вм будет допустим wan со своей сетевкой встроенной в материнскую плату.

Таким образом снижается поврехность атаки, потому как между вм используются виртуальные интерфейсы которые не содержат блобов. В общем нужно что то делать с вашей внимательностью) (Аватарка показывает что у вас что то со зрением похоже в квадрате[очки + красные глаза])

Но это не значит что внутри домашней сети нужно ограничиваться той же скоростью.

Ты хочешь держать на роутере торренты… Вот ты их скачаешь туда со скоростью 200Mbps, а потом будешь ещё раз скачивать с роутера на ноут/планшет/whatever… с той же скоростью? Или всё же лучше доставлять их внутри сети на порядок быстрее?

У меня 2.5Gbps внутри, и я утилизирую их на 60-80% в пике, 40% среднее (то есть 1Gbps упиралось бы в потолок). Но у меня дома ≈30 машин (включая виртуалки и контейнеры).

у тебя c wifi будут проблемы.

образом снижается поврехность атаки

Вы можете конкретно описать, как будет в реальности происходить DMA-атака на роутер? Я поучусь у вас!

Я бы понял, если бы автор заморачивался с Radius, чтобы настроить себе wifi и свич для 802.1x, разбирался с настройкой vlan, мучался с дуалстек файрволом (хотя сейчас это уже не мучительно). Если бы автор поставил нормальный свич с поддержкой авторизации портов, динамическими vlan, шифрованием на L2 уровне (macsec), чтобы не было атак L2.

Но по итогу выходит копеешная сборка с 200мб каналом и гигабитными портами, что не означает, что они все вместе могут работать в гигабите одновременно, хотя в локалке для переброса бекапов с пк, фоток и тд. на nas, пригодилось бы что-то более весомое. Но зато всё это преукрашено DMA-защитой. ОК.

Почему?

wifi

Мне не надо, я не пользуюсь

Да срать на сетевую инфраструктуру. Мне своё оборудование ближе

Не будет. Потому что вифи не предполагается

внутри домашней сети

Которая состоит из одного десктопа

торренты

Ну торренты это поскольку постольку, я ими не особо пользуюсь. Мне надо чтобы компуктер голой ж@пой в интернет не торчал, ну и таблетку для деградирующих серверов видеохостинга

Да срать на сетевую инфраструктуру. Мне своё оборудование ближе

??? Но это должна быть ваша сетевая инфраструктура. Ваша сетевая безопасность.

Которая состоит из одного десктопа

А вонана как. Вопросов больше нет. Тут да, без DMA не обойтись. Прикупите еще аппаратный генератор случайных чисел.

потому что раздавать wifi на x86 это извращение. Открой прошивку ту же openwrt и убедись сколько там понапихано костылей

Используй не owrt а сборку UKI через тотже mkosi где будет Только ядро, нужные пакетики и systemd и поднимай без костылей wifi или мешают лапки?)))

Были ситуации когда некоторые кодеры в ядре оставляли свой «заднийпроход» (не могу на английском написать вдруг это слово кого-то расстроит).

Отдай их в радио кружок юннатам

аха диванный эксперт

да к сожалению диванный, но в проде используется, и при смене паролей включается ci/cd процессы и публикуется новый билд и происходит рестарт)

ты потратишь на сетевые карты 3+ порта столько же, если не больше, сколько потратишь на полноценный x86 роутер с 6+ портами

Кстати, когда прикидывал, как из моей мамки Intel D425 сделать роутер, останавливало именно это. Покупка USB-сетевух в копеечку влетит, а ещё нужен WiFi свисток чтоб раздавать.

Я собирал, ни про какое iommu даже не задумывался.

Покупка USB-сетевух в копеечку влетит

Я рассматривал исключительно PCIe. Интеловские на 1-2 порта стоили на тот момент копейки, а на 3-4 порта уже неприлично дорого, в районе 15K за нормальную сетевуху, а мне их надо было две.

В итоге взял готовый x86 роутер с 8 портами (причём это восемь отдельных сетевух!) и доволен как кот!

на miniITX мамках всего один PCIe, а полноценный ПК гроб для роутера - ну, такое себе.

Окстись блин, у меня даже USB-ethernet на расбери не стал проблемой на рауетре

Это я к тому, что ты потратишь на сетевые карты 3+ порта столько же

Дешевле купить коммутатор. Если управляемый коммутатор, то хватит даже одного порта ПК

Вот поэтому и был куплен Qotom в форм-факторе даже меньше какого-нибудь Intel NUC, с восьмью портами и начинкой среднего ноутбука.

Если бы у меня был тыртырпрайз-грейд UPS, я бы просто завёл на сервере виртуалку и сделал маршрутизатор полностью виртуальным. Домашний UPS 360W TDP не тянет. )=

Дешевле купить коммутатор.

Гребля с препятствиями.

Если управляемый коммутатор, то хватит даже одного порта ПК

Два отдельных устройства для решения одной задачи — такое себе.

Зачем это usb-сетевухи? Надо нативные.

Что за DMA-атаки?

Зачем это usb-сетевухи? Надо нативные.

А куда их втыкать? Там один-единственный PCI разъём. И если их туда воткнуть, комп в объёме лихо прибавляет. А так можно слимовый корпус использовать.

А куда их втыкать? Там один-единственный PCI разъём. И если их туда воткнуть, комп в объёме лихо прибавляет. А так можно слимовый корпус использовать.

Если ты хочешь получить работающее устройство в режиме 24/7/365, то никогда не используй разъём «Ю-Эс-Би».

Если ты хочешь получить работающее устройство в режиме 24/7/365, то никогда не используй разъём «Ю-Эс-Би».

Ну, вот и получается, что самому роутер на х86 собрать - можно. Но, если делать всё по уму, это будет либо дорого, либо получится гроб-ПК, либо, ненадёжно. Либо, сразу два из вышеперечисленного.