In een vorig artikel bespraken we de installatie van router-firewall OPNsense, waarmee je inbrekers buiten de deuren van je systeem houdt. Nu gaan we wat dieper in op de mogelijkheden van dit veelzijdige besturingssysteem.

Toegang via ssh en seriële console

De webinterface is niet de enige manier om toegang te krijgen tot OPNsense. Op de pagina System / Settings / Administration vind je de instellingen voor de drie manieren: web, ssh en seriële console. Bij de eerste kun je bijvoorbeeld een ssl-certificaat instellen, dat je eerst in System / Trust Certificates dient aan te maken. Onder Console staan de instellingen voor de seriële console, waartoe je via een seriële (usb-)kabel en een terminalprogramma zoals PuTTY toegang krijgt. Handig als je door verkeerde netwerkinstellingen jezelf hebt buitengesloten uit je OPNsense-machine.

De ssh-toegang staat standaard uitgeschakeld. Vink Enable Secure Shell aan om de ssh-server te starten. Eventueel vink je Permit root use login en Permit password login aan, maar het is eerder aan te raden om in System / Access / Users een gebruiker aan te maken en daar bij Authorized keys de publieke sleutel van de gebruiker te plakken.

Websites blokkeren

Met OPNsense kun je ook eenvoudig zelf websites of andere netwerktoegangen blokkeren. Dat doe je door je eigen regels toe te voegen in het tabblad User defined van het IPS. Klik op het plusteken rechts en vul bij Source IP het ip-adres in van de machine die geen toegang tot de website mag hebben (laat leeg voor alle machines). Bij Destination IP vul je het ip-adres van de website in.

Handig is dat je hier ook de vingerafdruk van het certificaat van een website kunt invoeren. Wil je bijvoorbeeld de toegang tot Facebook blokkeren, klik dan in je webbrowser op de eigenschappen van het certificaat van Facebook en kopieer de sha1-vingerafdruk. Plak die in het veld SSL/Fingerprint en stel Action in op Drop. Klik op Save changes om je regel toe te voegen. Daarna moet je wel eerst de browsercache van je computers legen, zodat ze opnieuw het certificaat van Facebook downloaden en OPNsense de website blokkeert.

©PXimport

Dns over tls

Je kunt ook dns over tls inschakelen voor je hele netwerk. OPNsense schakelt standaard de dns-server Unbound (ontwikkeld door NLnet Labs) in en geeft via dhcp het ip-adres van zichzelf als dns-server door aan de computers op je netwerk. Die gebruiken daardoor allemaal Unbound om domeinen op te vragen.

Als je op je OPNsense-machine via ssh inlogt en dan het netwerkverkeer op je wan-poort afluistert, bijvoorbeeld met de onderstaande opdracht (met igb1 voor je wan-interface), zie je alle dns-aanvragen onversleuteld voorbijkomen:

Daar gaan we nu iets aan doen. Ga naar Services / Unbound DNS / General en klik op Show advanced options. In het tekstveld Custom options dat nu verschijnt, kun je regels aan het configuratiebestand van Unbound toevoegen. Als je bijvoorbeeld de DoT-provider dns.sb wilt gebruiken, vul hier dan het volgende in:

Klik daarna onderaan op Save om je wijzigingen op te slaan en bovenaan op Apply changes om ze door te voeren. En als je nu weer met tcpdump het netwerkverkeer op udp-poort 53 afluistert, zie je normaal gesproken niets voorbijkomen.

Dns-verkeer omleiden

Met de opdracht

853 zie je wel het verkeer naar de DoT-server, maar dat is versleuteld. Let op: de aanvragen van de computers op je netwerk naar je OPNsense-machine zijn nog onversleuteld, het is alleen het doorsturen van de aanvragen van je OPNsense-machine naar internet dat via de DoT-server gaat. Dat kun je eenvoudig controleren (met igb0 voor je lan-interface):

Zo kun je nog altijd de dns-aanvragen van computers in je netwerk onversleuteld op de lan-interface zien binnenkomen.

Om nu zeker te zijn dat alle dns-verkeer via de ingestelde DoT-server gaat, dien je de netwerkconfiguratie in System / Settings / General na te kijken. Zorg dat er bij DNS servers niets ingevuld staat en dat Allow DNS server list to be overridden by DHCP/PPP on WAN en Do not use the local DNS service as a nameserver for this system niet aangevinkt zijn. Controleer daarna met de opdracht

op je OPNsense-machine of alleen 127.0.0.1 als dns-server ingeschakeld staat.

©PXimport

Advertenties blokkeren

Het IPS blokkeert bedreigingen op basis van regels, maar je kunt nog veel eenvoudiger via dns allerlei domeinen blokkeren, bijvoorbeeld voor advertenties en malware. Dat doe je met een dns-blocklist (vaak afgekort tot dnsbl). OPNsense biedt standaard die mogelijkheid niet via de webinterface, maar er bestaat een extra plug-in die je het wel op een relatief eenvoudige manier laat configureren: UnboundBL.

Op het moment van schrijven zat UnboundBL nog niet in de officiële lijst met plug-ins. Log daarom eerst als root in op je OPNsense-machine en voer de volgende opdracht uit om de tools te installeren die nodig zijn om plug-ins te compileren:

Download dan de recentste versie van UnboundBL:

Ga dan naar de zojuist gedownloade directory, compileer de plug-in en installeer ze:

Die laatste regel is nodig omdat de installatie de scripts van UnboundBL door een fout niet uitvoerbaar maakt. Op het moment dat je dit leest, is de fout misschien al opgelost.

De instellingen van UnboundBL vind je nu onder Services / Unbound DNS / DNSBL. Vink Enable aan en vul in het tekstveld Blocklist URL(s) een url in van een blocklist. Op The Big Blocklist Collection vind je er heel wat. Andere populaire lijsten zijn die van Steven Black en zelf hebben we goede ervaringen met die van de Nederlander sjhgvr.

Ga daarna naar Services / Unbound DNS / General en voeg in het tekstveld Custom options (alleen te zien als je Show advanced options ingeschakeld hebt) de volgende regel toe:

Klik daarna op Save en Apply changes. Elke keer dat je iets aan je zwarte lijst verandert, dien je Unbound te herstarten door in Dashboard bij Unbound rechts op het icoontje met de twee pijltjes in een cirkel te klikken. Let op: het herstarten kan even duren als je een grote blacklist hebt. Vanaf nu worden alle dns-aanvragen naar domeinen die in de zwarte lijst staan geblokkeerd.

Het enige wat je nog dient te doen, is regelmatig je blacklist bijwerken door in de instellingen van UnboundBL op Save te klikken en Unbound te herstarten. Overigens kun je hier ook domeinen die onterecht geblokkeerd worden aan een whitelist toevoegen.

Plug-ins in OPNsense

Het is mogelijk om in OPNsense plug-ins te installeren om de functionaliteit uit te breiden. Je vindt de lijst in het menu System / Firmware / Plugins. Zo vind je er plug-ins om tls-certificaten op te halen met Let’s Encrypt, om webpagina’s te cachen, om binnenkomende bestanden te scannen op virussen, om je verbindingssnelheid te testen, om je netwerkverkeer te monitoren, om machines te wekken via Wake-on-lan, en ook enkele thema’s voor de webinterface.

©PXimport

Met een klik op het icoontje met de letter i rechts van een plug-in krijg je wat meer informatie. Een klik op het plusteken installeert de plug-in. Sommige plug-ins zijn na installatie bereikbaar in een van de submenu’s van OPNsense; andere werken puur op de opdrachtregel of starten een webinterface op een eigen poort op.

Let er wel mee op dat je niet te veel plug-ins installeert: als je immers onbetrouwbare, kwetsbare of voor je hardware te zware software installeert, heeft dit een grote impact op je netwerk.

Monitor je netwerkverkeer met ntopng

De ingebouwde monitoringmogelijkheden van OPNsense tot slot zijn al niet slecht, maar je kunt dit nog uitbreiden met enkele plug-ins. Een interessante is ntopng. Als je na de installatie van ntopng en redis (nodig voor ntopng) de pagina herlaadt, vind je onder het menu Services nieuwe submenu’s: Ntopng en Redis. Schakel eerst Redis in (de standaardinstellingen zijn oké) en daarna Ntopng (ook hier zijn de standaardinstellingen in orde). Log daarna via je webbrowser in op poort 3000 van het ip-adres van je OPNsense-machine met gebruiker admin en wachtwoord admin.

De eerste keer dat je je aanmeldt, wordt je gevraagd om je wachtwoord te veranderen. De interface van ntopng ziet er wat gedateerd uit, maar biedt je een ongelooflijk inzicht in je netwerk en op elke pagina kun je doorklikken om je zoektocht te filteren.

Ninja pakt het concept van airfryers met de CRISPi helemaal anders aan. In plaats van een groot apparaat met bakmanden, is dit een compact geheel van glazen schalen waarop je een pod plaatst waar de hitte uit komt. Is dit een handig alternatief? ID.nl test het.

Eerste indruk

De CRISPi pakt airfryen anders aan: geen dichte mand, maar glazen zogeheten Tempware-schalen met daaraan vastgemaakt handgrepen. Daar bovenop klem je de PowerPod (verwarming + ventilator). In Europa geeft Ninja 1700 watt op als vermogen; dat is meer dan de 1500 watt die het apparaat in de VS heeft.

In de doos vind je een kleine kom van ongeveer 1,4 liter en een grote kom van ongeveer 3,8 liter, beide met zogeheten Crisper Plates om in de schalen te leggen, en bijpassende deksels. Ook levert Ninja een full-colour instructie- en inspiratieboekje mee, met uitgebreide uitleg over de werking, voorbeeldrecepten en tabellen met instellingen en baktijden voor zowel de kleine als de grote schaal. Ninja lijkt de kleine schaal vooral te hebben bedoeld voor snacks en bijvoorbeeld lunchgerechten voor één persoon, terwijl de grote schaal eerder voor avondeten bedoeld is.

©Saskia van Weert

Ninja benadrukt op meerdere plekken dat de CRISPi en de schalen niet alleen bedoeld zijn om eten te airfryen, maar ook om voedsel te marineren. Doe er bijvoorbeeld kip en marinade in, sluit de schaal af met het deksel, zet alles in de koelkast, waarna je tegen etenstijd de kip erin bereidt. Of je dekt na het eten de kliekjes in de schaal af met het deksel en zet het geheel na afkoelen in de koelkast. Dat meervoudige gebruik is even een mindset die je jezelf als gebruiker moet aanleren.

Uitpakken en installatie

Het in elkaar zetten is niet moeilijk: na een eerste keer proberen is het duidelijk. De Crisper Plates moeten elk in hun bijpassende schaal worden gelegd. Ze hebben rubber pootjes aan alle vier de hoeken; deze moeten met de bolletjes omlaag in de schaal worden gelegd, zonder druk uit te oefenen. Druk je te hard of leg je de platen ondersteboven in de schalen, dan kunnen de pootjes loslaten, en die kun je daarna niet meer terugplaatsen.

Gebruik je de kleine schaal, dan plaats je de PowerPod er direct op. Gebruik je de grote schaal, dan zet je eerst de adapter op de schaal en klik je daar de PowerPod in.

Doordat de schalen van glas zijn, kun je in theorie via de zijkant de garing in de gaten houden. In de praktijk is het handiger om de pod tijdens het airfryen op te tillen en van boven te kijken. Dat is sowieso wel makkelijk, omdat je etenswaren tijdens het bakken doorgaans een aantal keer moet omdraaien voor optimaal resultaat.

Bediening en functies

De PowerPod heeft maar een paar drukknoppen. Met de ronde knop kies je een van de vier mogelijke standen: Air Fry, Roast, Recrisp (opnieuw krokant) en Keep Warm. Ninja geeft geen temperaturen op voor de verschillende standen. Air Fry is de hoogste stand met 185 graden, zo vonden we online. Roast is wat minder heet, bedoeld voor bijvoorbeeld vlees. Recrisp is bedoeld voor snacks die afgekoeld of koud zijn en die je wilt oppiepen, en Keep Warm is uiteraard bedoeld om eten op temperatuur te houden.

©Saskia van Weert

Met de ronde knop kies je de gewenste stand, met de plus- en minknop pas je de tijd aan, en met Start gaat alles van start, of juist niet. De opties lichten op zodra de PowerPod goed bevestigd is en je de stekker aansluit. Standaard staat de machine na het aanzetten op Air Fry en 10 minuten.

Alles werkt heel intuïtief. Is de tijd voorbij, dan hoor je een pieptoon en komt er 'End' in het display te staan. De CRISPi gaat niet automatisch uit; dat moet je zelf doen door de stopknop lang ingedrukt te houden of de stekker uit het stopcontact te halen. Doe je dat niet en zet je de Pod na het serveren van het eten weer terug op de schaal, dan begint hij weer doodleuk met 10 minuten Air Fry. Tijdens de testperiode haalden we de stekker daarom maar gewoon uit het stopcontact om stroomverspilling tegen te gaan.

Als je de pod tussentijds optilt om het eten te bekijken of te draaien, dan stopt de pod uiteraard wel. Hij gaat verder als je hem terugplaatst en op Start drukt.

Klein minpunt: je kunt niet twee kommen tegelijk gebruiken; er is één pod. Je kunt de pod natuurlijk wel eerst op de ene schaal zetten en meteen erna op de andere, maar dat zal meestal niet heel praktisch zijn.

Prestaties in de keuken

Tijdens de testperiode is de CRISPi voor werkelijk elk denkbaar doeleinde gebruikt. Niet alleen voor het bakken van diepvriessnacks en patat/friet, maar ook voor het opwarmen van worstenbroodjes, kip met marinade voor de tikka masala, speklapjes, aardappeltjes: alles lukte. Omdat de schalen compact zijn, is voorverwarmen eigenlijk niet nodig. Net als bij alle andere airfryers is het een kwestie van proberen welke stand en welke tijd de beste zijn.

De standen Roast en Air Fry worden in de praktijk het meest gebruikt. Air Fry omdat dit de heetste stand is, en Roast voor zaken die minder snel warm moeten worden, zoals kippenpoten en stukken vlees. Je kunt trouwens ook makkelijk tussendoor de instellingen aanpassen, bijvoorbeeld eerst een tijdje op Roast en daarna 'afgrillen' met Air Fry.

©Ninja

Naast de uitstekende prestaties valt ook het gemak op waarmee je de CRISPi er even bij pakt. Omdat hij klein is en de schalen van glas zijn, oogt hij niet massief, dus kan hij bij veel mensen vast gewoon op het aanrecht staan. Als je de Crisper Plates eruit haalt, kun je de kleine glazen schaal in de grote zetten, en dan de adapter en pod erbovenop. Je hebt dan een betrekkelijk klein stapeltje met bijna alle onderdelen bij elkaar.

©Ninja

Onder de kom en de Pod bevinden zich het hitteschild en een stel harde pootjes, waardoor je ze veilig op het aanrecht of een tafel parkeert. Ninja claimt dat dit ook direct na de bereiding kan, maar gezien de warmte hebben we dat maar niet gedaan. We zetten de pod en de schalen voor de zekerheid liever op onderzetters. De handgrepen blijven wel koel genoeg om de schalen zonder keukenhandschoenen op tafel te zetten.

Schoonmaken & materialen

De glazen kommen, deksels en adapter mogen in de vaatwasser. Glas neemt geen geurtjes op, dus het vuil weekt makkelijk los. De Crisper Plates hebben een (keramische) antiaanbaklaag en alles is PFAS-vrij.

Er is desondanks één schoonmaak-aandachtspunt. De handgrepen lopen onder de schalen door in het hitteschild, en er zit een opening tussen het glas en het zwarte hitteschild. Meerdere malen zaten er toch vegen of kruimels vast tussen het glas en het kunststof. Ik heb dit verwijderd door een lang mes te omwikkelen met keukenpapier en dat tussen de spleet te wringen. Het zou handig zijn als Ninja met een dunne ragger of iets anders zou komen om ook die spleet goed schoon te houden.

Water blijft er soms ook in staan vanuit de vaatwasser, dus om te drogen is het verstandig de schalen op een theedoek schuin tegen een wand te zetten, zodat de druppels eruit kunnen lopen.

Gebruikerservaringen (NL + internationaal)

Nederlandse gebruikers op fora en websites prijzen vooral het compacte formaat, het relatief geringe geluid en het feit dat je na het koken weinig afwas hebt. De CRISPi verdwijnt zó in een keukenkastje. Een terugkerend puntje is de condens die na het koken soms in de dekselrand blijft hangen; even droogmaken helpt. Ook zagen we regelmatig dat mensen in het begin moesten zoeken naar de juiste tijden, juist omdat je niet per graad kunt instellen.

In professionele reviews uit het buitenland wordt de CRISPi neergezet als een echte kleine-keukenwinnaar: ideaal voor snacks en restjes dankzij de Recrisp-stand. In metingen kwam de thermostaat af en toe zo'n 5 graden Celsius lager uit dan de ingestelde waarde, maar dat had weinig invloed op het eindresultaat. De draagbaarheid wordt overal genoemd: de PowerPod is licht en het geheel is makkelijk te verplaatsen.

©Saskia van Weert

Eindoordeel

De Ninja CRISPi onderscheidt zich met een andere benadering van airfryen: een compacte PowerPod boven op glazen Tempware-schalen met handgrepen. Het meervoudige gebruik (marineren, bereiden, bewaren) maakt de CRISPi functioneel buiten het daadwerkelijke airfryen om. De CRISPi pakt door zijn formaat bovendien snel op en is door zijn geringe omvang makkelijk op het aanrecht te laten staan; onderdelen zijn bovendien compact in elkaar te stapelen.

Er zijn aandachtspunten. Met één Pod kun je niet met twee schalen tegelijk werken, en wie graag per graad regelt, mist die fijnmazigheid. Door het glas kun je de garing volgen, maar in de praktijk is bovenlangs kijken het meest accuraat, te meer omdat tussentijds draaien voor het beste resultaat nodig blijft. Positief is dat schalen en deksels in de vaatwasser kunnen, het materiaal PFAS-vrij is en de handgrepen voldoende koel blijven om zonder handschoenen te serveren.

Alles bij elkaar is de Ninja CRISPi een logische keuze voor wie meestal één tot drie porties bereidt, restjes krokant wil opwarmen en waarde hecht aan glaswerk dat direct de koelkast in kan. Wie juist grote batches en precieze temperatuurregeling zoekt, is beter uit met een klassieke, grotere airfryer. Maar voor dagelijks, compact en veelzijdig gebruik overtuigt de CRISPi absoluut.

Standaard is de cloudopslag van Microsoft op alle Windows 11-apparaten ingeschakeld. Maar misschien is OneDrive niet je favoriete cloudplatform en wil je deze pauzeren, uitschakelen of zelfs verwijderen. Op deze manieren doe je dat.

Pauzeren

OneDrive slaat je gegevens op externe servers op. Zorgen over de privacy van je gegevens kan een reden zijn om deze cloudopslag uit te schakelen. Maar ook prestatieproblemen op een ouder systeem of het feit dat je inmiddels de opslaglimiet hebt bereikt, kunnen goede redenen zijn om OneDrive op non-actief te zetten. Via het OneDrive-menu kun je de synchronisatie pauzeren. Klik op de kleine pijl omhoog naast de wifi- en volumeknoppen in de rechterbenedenhoek van het bureaublad om het systeemvak te openen. Selecteer het OneDrive-pictogram en open dan de instellingen via de knop in vorm van het tandwieltje. Hier kun je de optie Synchroniseren onderbreken selecteren. Daarna bepaal je of je OneDrive 2, 8 of 24 uur wilt stopzetten.

Uitschakelen

Het is ook mogelijk om de OneDrive-app volledig uit te schakelen. Uiteraard stopt dan de synchronisatie totdat je de app opnieuw inschakelt of totdat je de pc opnieuw opstart. Klik weer op het OneDrive-pictogram in het systeemvak en open de instellingen. Vervolgens kies je opnieuw Synchroniseren onderbreken. Deze keer selecteer je geen tijdsduur, maar ga je onderaan naar de optie OneDrive afsluiten. Dan verschijnt een pop-upbericht met de vraag of je zeker bent, want dan stopt de synchronisatie en worden er niet langer back-ups in de cloud gemaakt. Klik nogmaals op OneDrive afsluiten om te bevestigen.

Verwijderen

Wil je voorkomen dat deze dienst ooit nog bestanden naar de cloud uploadt, dan kun je OneDrive ook definitief verwijderen. Ga naar het instellingenvenster van Windows. De snelste manier om daar te komen is om Windows-toets+I in te drukken. In het linkermenu klik je op Apps. Daarna selecteer je in het rechterdeel de optie Geïnstalleerde apps. Vervolgens krijg je een lijst van alle apps die op de pc geïnstalleerd zijn. Je kunt naar OneDrive zoeken via de zoekbalk of je scrolt door de alfabetische lijst tot je bij Microsoft OneDrive komt. Klik op de knop met de drie puntjes naast deze app en selecteer Verwijderen. Wanneer de knop Verwijderen er niet is of lichtgrijs is, kun je in de plaats daarvan de optie Wijzigen selecteren en vervolgens kiezen om de app uit te schakelen. Deze blijft dan permanent uitgeschakeld tot je besluit om OneDrive opnieuw in te schakelen.