Hallo zusammen
Ich habe mal mich durch die Suche des Forums begeben, jedoch bin ich nicht gerade zum erhofften Ergebnis gekommen.
Vielleicht hat hier jemand ein paar Ratschläge für mich.
Istzustand:
Ich habe eine PC Engines apu4d4 mit OPNsense 20.7.2 installiert. Bin eigentlich auch zufrieden mit der Hardware.
Es sind 3 NIC's in Betrieb mit 1 WAN, 2 LAN und einem VLAN am laufen. Ausserdem ist ein HAproxy am laufen und zwei VPN Server zum einwählen ins LAN von aussen.
Warum ein Hardware wechsel:
Es hat sich ergeben, dass ich neu eine 1 Gigabit WAN Leitung zur Verfügung habe. Nun ist meine starke Vermutung, das meine apu4d4 dies nicht packt, besonders, da ich im Sinn habe das IDS/IPS einzuschalten. (Die Vermutung liegt auf Messungen von LAN nach WAN hinter(550Mbit) und vor(923Mbit) der Firewall. Danach habe ich mich ein bisschen eingelesen, und mitbekommen, dass eine apu4d4 diese Leistung wahrscheinlich nicht packt.)
Nun zu meinem Anliegen und hoffentlich ein paar super Vorschlägen von euch. ;)
Ich würde gerne die 1 Gigabit WAN mit einer OPNsense Firewall erreichen. Dies natürlich nicht mit 3000.- Ausgaben. Natürlich ist nichts umsonst, aber vielleicht ist ja was nicht all zu teures zu haben.
Was ich noch rumliegen hätte, wäre ein i7 4790K und etwa 32GB RAM, vielleicht kann man mit diesen Komponenten und einem kleinen schicken Board mit 4 NIC's etwas schönes bauen? Hätte da vielleicht jemand eine Idee was es in etwa in dieser Richtung gäbe?
Was sollte die Firewall am ende leisten können?
Normaler Netzwerk/Internet Traffic, HAproxy für mehrere Webanwendungen, vielleicht ein IDS/IPS und ein paar wenige VPN Verbindungen.
Wie ihr vielleicht seht, ich bin in diesem Themengebiet noch blutiger Anfänger.
Ich danke viel mal für jede Hilfe und wünsche euch noch einen schönen Abend.
Gruss
Oliver
Ok, ich habe noch ein paar Fragen:
- 1gbit/s down/up?
- hast du selber schon mal nach Boards für deine CPU gesucht?
- ist es für deine Firma oder zuhause?
- wenn es für dich zuhause ist, brauchst du wirklich IDS (ich sehe bei mir zuhause keinen Mehrwert außer mehr Ressourcen)
Gesendet von iPad mit Tapatalk Pro
Hallo micneu
Danke schon mal für deine Antwort :)
- Down 1gbit / Up 100mbit
- Betreffend Board: Ja habe mich mal auf Chinesischen seiten umgeschaut.(Aliexpress usw.) Bin da aber unerfahren. Ich könnte natürlich mein altes z97 nehmen, jedoch möchte ich was schlankeres, vlt. 19" 1U. Das schwere bei Chinaprodukten, wie sieht es da mit dem BIOS aus? Vertragen sich diese mit einem FreeBSD. Ich nehme nicht an das bei Chinaboards öffters mal ein BIOS update erscheint. Dies kam bei meiner suche raus: https://de.aliexpress.com/item/32815737045.html
- Es ist eigentlich für beides, da die Firma in meinem Haus ist, würde ich sagen beides wäre der Fall. Sicherlich sind es nur 2-3 User.
- Das IDS/IPS ist eher was für die Neugierde, oder Schulung. Je nach dem wie man dies betrachtet. Einschalten, rumspielen, und wenn es doch mal was abhält vom Rauswählen wäre dies natürlich toll.
Im Vordergrund steht aber natürlich der 1 gbit Downstream und der HAproxy.
Die Idee mit dem i7 4790K ist mir nur mal gekommen, da dieser bei mir nur noch rumliegt und ich dachte mir der könnte schon noch etwas arbeiten.
Was ich auch noch gefunden habe wäre so etwas:
https://www.pondesk.com/product/8-LAN-10Gig-Fiber-SFP-4G-NGFW-Firewall-1U-Rackmount-Server_NSHO-001
schau mal in meinem Footer. ich setze das Core i7 System ein (zurzeit an einer 200/40 DTAG Leitung)
Ich denke mit IDS währe das System schon recht hoch belastet (könnte an seine grenzen kommen mit deiner Leitung).
Warscheinlich werde ich in naher zukunft eine Leitung von Wilitel bekommen (1GBit/s Down, 200 MBit/s Up). Selbst da denke ich wird meine Kiste ziemlich ins Schwitzen kommen auch ohne IDS (mache viel OpenVPN).
Quote from: donoli on September 10, 2020, 11:07:16 AM
Was ich auch noch gefunden habe wäre so etwas:
https://www.pondesk.com/product/8-LAN-10Gig-Fiber-SFP-4G-NGFW-Firewall-1U-Rackmount-Server_NSHO-001
würde ich nicht mehr nehmen, das ist die 4te Core i Generation verbaut, währe mir für Neukauf zu alt.
Ich habe bock auf einen Xeon D16xx, nur leider findet man keine Systeme mit der CPU.
Deinen Footer habe ich mir auch schon angeschaut. Bin aber (ohne Fachwissen) auch der Meinung das diese Systeme meine 1gbit Leitung nicht abdecken, dies aus der Erfahrung mit der apu4d4.
Zum System von pondesk, dies kann man auch ohne CPU bestellen, jedoch ist dann auch kein Kühler mit dabei. Ich dachte mir, dann einfach die i7 4790K rein, ist ja theoretisch Baugleich einfach offen was das Takten anbelangt. Und mit dem Kühler müsste ich mir dies dann noch überlegen,was den da reinpassen würde.
Natürlich möchte ich mich nicht auf meinen i7 4790K versteifen, wenn es ein System gibt, das meine Last aushält und nicht all zu teuer ist, wäre dies auch was :)
Was haltet ihr davon:
1x https://www.digitec.ch/de/s1/product/rackmax-rm-1941-server-barebone-6341778?gclid=CjwKCAjwnef6BRAgEiwAgv8mQYUCJKzBOffw_nrp5Ho2twDu3wedJ922lfcHd_q6Ji4085tZaBv2RBoCsToQAvD_BwE&gclsrc=aw.ds (https://www.digitec.ch/de/s1/product/rackmax-rm-1941-server-barebone-6341778?gclid=CjwKCAjwnef6BRAgEiwAgv8mQYUCJKzBOffw_nrp5Ho2twDu3wedJ922lfcHd_q6Ji4085tZaBv2RBoCsToQAvD_BwE&gclsrc=aw.ds)
1x Mein Z97 mit meinem i7 4790K und 16gb RAM
1x https://www.piospartslap.de/NetApp-Intel-Pro-1000-PT-Quad-Port-PCIe-Network-Adapter-106-00200-A0 (https://www.piospartslap.de/NetApp-Intel-Pro-1000-PT-Quad-Port-PCIe-Network-Adapter-106-00200-A0)
Oder sowas?
https://de.aliexpress.com/item/1005001290787585.html?spm=a2g0s.9042311.0.0.6da14c4djFM9KH
Quote from: donoli on September 10, 2020, 01:22:51 PM
Oder sowas?
https://de.aliexpress.com/item/1005001290787585.html?spm=a2g0s.9042311.0.0.6da14c4djFM9KH
das währe die variante die ich nehmen würde mit dem Core i5 8er generation
> Normaler Netzwerk/Internet Traffic, HAproxy für mehrere Webanwendungen, vielleicht ein IDS/IPS und ein paar wenige VPN Verbindungen.
Solange das nicht klar ausgeführt wird, ist HW besprechen sinnfrei. Ich kann problemlos mit ner Scope7 1510 mit nem C3558 Atom Gigabit routen. Und NATten. Und VPNs machen. Aber halt keine VPNs mit Gigabit. Was eh nicht geht, weils nur 100 Up sind. Oder 1Gbps wirklich volle Kanne mit IDS im Protection Mode und vielen Filtern? Möglich, könnte aber ggf. knapp werden. Je nachdem wie skaliert wird. Da müssen eben die Ansprüche mal klar werden, dann kann man weiter sehen.
> Xeon D16xx ...
Bin ich kein Fan von, mag man aber gern anders sehen. Die Kisten sind zwar für Routing toll, in den Ecken wo aber noch "klassisch" Webstack / UI und Co laufen, fand ich die immer sehr lackluster und laggy. Reine Filterperformance ohne UI OK yeah. Aber zumindest die alten Xeon Ds waren mit Standardjobs einfach laggy und überlastet und wenn man viel in der UI den Tag über arbeitet war das mega nervig. Wenn nicht - klar können die ganz schön sein.
Aber zum Vergleich: Ohne IDS haben wir jahrelang unser Office problemlos an ner 1Gbps synchron Darkfiber ins RZ hängen gehabt. Da stand eine C2758 Atom Kiste davor (Supermicro). Ich hatte keine Beschwerden dass das Gigabit nicht durch geht ;) Bandbreite ist da kein Problem für. Selbst IP Blocklisting oder DNS Blocking, VPNs etc waren kein Thema, da Bestand auch kein Bedarf an VPNs mit >100Mbps Durchsatz weil das meist die Gegenseite eh nicht konnte. Und IDS hätte man machen können, gab aber keinen Bedarf, dafür andere Pakete locker abgewuppert.
Daher: C3000er Atom wäre für Gigabit schon mind. anzuraten aber wenn da nicht gerade mega-Vollfilterung mit IDS/IPS an allen Interfaces etc. laufen soll, muss das m.E. keine mega Kiste sein.
Hallo JeGr
Danke für deine Ausführung. Zum genauen Setup oder was möchte ich erreichen:
Ich habe bei mir zu Hause, die Firma meiner Frau, diese bräuchte sicherlich ihre Webseite am laufen. Darum HAproxy. Es werden noch ein oder zwei mehr Webseiten dazu kommen. Es sind sicherlich immer mal kleinere Webanwendungen, welche nach aussen gestellt werden, am laufen. Des weiteren bräuchte ich VPN nur um mich mal von draus, hinein zu verbinden, also auch kein Site to Site VPN oder der gleichen. Firewall regeln auf der WebserverLAN Seite, jedoch kein geNATe oder der gleichen. Ein VLAN für ein Gästenetz. Und einfach ein bisschen Sicherheit und Kontrolle für mich, meine Familie und das Business meiner Frau.
Zum IDS: dies ist rein aus der Neugierde, oder für das WebserverLAN angedacht. Ich dachte da halt an ein bisschen Sicherheit, für meine Websites und meinen Server. Oder schiesse ich da mit Kanonen auf Spatzen?
Das einzige was ich zum Istzustand sagen kann ist, die PCengines APU4d4 reicht für den Gbit Downstream einfach nicht. Und dafür bräuchte ich einen anständigen Ersatz. Welcher dass oben genannte packt und vielleicht auch noch ein bisschen Reserve für weitere Schulung bzw. Feldversuche hat. Es soll Sicher sein und mir eine Spielwiese / Lernumgebung bieten.
Vielleicht merkt ihr auch, ich bin nicht gerade der Hirsch, was das ganze Firewall Thema anbelangt. Applikationsentwicklung ist da schon eher mein Fach. Und ich versuche mich halt da langsam ein bisschen rein zu Fuchsen. Ich danke sicherlich schon mal für die Kommentare und Hersteller. Was es da alles für Hersteller gibt, von denen man noch nie was gehört hat ;)
Ich hoffe ich konnte mit den Angaben oben etwas aussagen was ich möchte. Genauer wüsste ich gerade nicht wie ich mich ausdrücken könnte, da würde mir wahrscheinlich das Fachwissen und Vokabular fehlen. Wenn ich zu Utopisch denke, dürft ihr mir dies sicherlich auch gerne sagen. Ich finde das Thema einfach sehr interessant und arbeite gerne in meiner Freizeit mit OPNsense.
Gruss
Oliver
P.s. könnte es auch ein anderen Grund für einen Flaschenhals geben, als die Firewall Hardware selbst? Ausser natürlich Alle Geräte müssen Gigabit Netzwerkanschluss besitzen, dies ist soweit der Fall. Und die Verkabelung sollte auch kein Problem sein.
ich kenne ja dein budget nicht, aber der ist doch nett und hat genug reserven
https://www.supermicro.com/en/products/system/Mini-ITX/SYS-E300-9A-4C.cfm
nach dem einschalten schein das ding so laut wie ein startender jet zu sein, aber nach dem das OS läuft ist das ding recht leise
ich habe mal einen aes performance test bei meiner vorhandenen hardware gemacht.
openssl speed -evp aes-256-cbc
openssl speed -evp aes-256-gcm
hier noch ein guter artikel:
https://www.thomas-krenn.com/de/wiki/Hardwareanforderungen_OPNsense
Also um meine bescheidenen Erfahrungswerte einzubringen:
In der Firma wo ich arbeite haben wir sehr gute Erfahrungen gemacht mit Supermicro 1U Xeon-D 15xx bisher.
Nach dem Upgrade auf 2x 2GBit Glas laufen bei uns zwei von dennen hier:
SuperServer 1019D-FHN13TP mit je 2x Intel X710-DA4 und je 64GB RAM
Die wird selbst in Spitzenzeiten kaum ausgelastet und das bei gut 50 Net2Net IPSec, 100 IPSec RW, grosse Blocklisten, Routing für knapp 47 VXLAN Netze, HA Proxy zu vielen local Clouddiensten, etc. mit IDS/IPS stehen die Expermimente erst nächste Woche an.
Hallo Oliver,
was @mic da aufzeigt mit dem Supermicro ist im Prinzip die Hardware die ich meinte/angesprochen hatte.
Das hier war meine Idee: https://www.scope7.de/hardware/scope7-1510
Oder wenns 19" sein soll: https://www.scope7.de/hardware/scope7-7907
dann gibts noch 2 Ports mehr :) Ansonsten ist momentan noch was in der Mache mit C3000er Atom und 10G Ports aber das sehe ich jetzt bei dir eher nicht als Bedarf ;)
Generell sollte der C3000 SOC aber genug Reserven noch für dich haben bei dem was ich lese. Das Einzige sind ja die Gigabit im Downstream und das schaffte schon der Vorgänger mit C2000 problemlos mit Filtering und Co. Die 3000er sind dann bei VPN und Co doch nochmal ne ganze Ecke stärker.
Was man aus Mics Grafik auch auffällt ist, dass der Atom E irgendwie wohl nicht/nicht korrekt AES-NI beherrscht oder nutzt. Vor allem dass GCM langsamer sein soll in der Messung macht mich da stutzig. Ansonsten sieht man die Unterschiede da ja recht deutlich was VPN Konfiguration mit den richtigen Ciphern und CPU Support ausmachen kann.
Hallo zusammen
Danke nochmal viel mal für eure Hilfe.
Vielleicht noch kurz, für die die es interessiert, wie habe ich mich nun entschieden. Ich habe die mit Kanonen auf Spatzen Lösung gewählt.
Ich habe meinen i7 4790K, mein Motherboard Asus z97 und eine Intel i350-T4 in ein 2HE Rack Gehäuse gezwängt und das ganze mit OPNsense bestückt. Läuft wie ein Träumchen!
Ich wusste gar nicht, dass das GUI so schnell sein kann :D Eine tolle Verbesserung zum APU2. Und der Durchsatz kann sich nun auch sehen lassen.
Wenn jemand noch genaueres wissen möchte, ich werde immer wieder mal vorbeischauen, und vielleicht auch mal wieder die eine oder andere Diskussion starten. Ich möchte euch noch kurz auf den Weg geben, dass dies hier eine tolle und hilfsbereite Community ist.
Betrachtet den Thread meinerseits als geschlossen.
Grüsse
Oliver
cool, na dann viel spaß mit deinem system.
kannst du mal bitte auf deiner sense die OpenSSL leistung testen.
openssl speed -elapsed -evp aes-256-cbc
und
openssl speed -elapsed -evp aes-256-gcm
Hey micneu,
darf ich Fragen, was ist die Aussage dieses Test? Was kannst du damit ablesen?
Ich habe dies mal ausgeführt:
openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 111743513 aes-256-cbc's in 3.02s
Doing aes-256-cbc for 3s on 64 size blocks: 29665797 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 256 size blocks: 7588242 aes-256-cbc's in 3.03s
Doing aes-256-cbc for 3s on 1024 size blocks: 1892411 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 8192 size blocks: 238479 aes-256-cbc's in 3.03s
Doing aes-256-cbc for 3s on 16384 size blocks: 118399 aes-256-cbc's in 3.01s
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 591345.52k 631226.52k 640854.42k 644265.18k 644493.19k 644936.88k
openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 68388283 aes-256-gcm's in 3.03s
Doing aes-256-gcm for 3s on 64 size blocks: 48043911 aes-256-gcm's in 3.03s
Doing aes-256-gcm for 3s on 256 size blocks: 25670129 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 1024 size blocks: 7723837 aes-256-gcm's in 3.02s
Doing aes-256-gcm for 3s on 8192 size blocks: 1096931 aes-256-gcm's in 3.02s
Doing aes-256-gcm for 3s on 16384 size blocks: 560639 aes-256-gcm's in 3.03s
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 360977.33k 1014370.41k 2184828.02k 2622742.91k 2979832.95k 3030271.13k
Die aes Performance deiner CPU
Gesendet von iPhone mit Tapatalk Pro
da schaut meine dagegen echt schlecht aus. Atom c3558. dafür nur 16 watt!!
root@router:~ # openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 44326919 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 15285787 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 256 size blocks: 4543435 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 1024 size blocks: 1190765 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 150802 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 75467 aes-256-cbc's in 3.00s
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 236410.23k 326096.79k 386699.42k 406447.79k 411789.99k 412150.44k
root@router:~ # openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 29957426 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 19358048 aes-256-gcm's in 3.11s
Doing aes-256-gcm for 3s on 256 size blocks: 7455970 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 1024 size blocks: 2158742 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 8192 size blocks: 279345 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 16384 size blocks: 140122 aes-256-gcm's in 3.01s
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 159772.94k 398445.05k 636242.77k 734936.70k 762798.08k 763265.28k
Naja warum schlecht? :) Schau dir doch mal bei GCM die Zahlen an! Natürlich sind die Zahlen von @donoli toll!
Aber:
> aes-256-gcm 360977.33k 1014370.41k 2184828.02k 2622742.91k 2979832.95k 3030271.13k
Ich sehe eigentlich keinen Bedarf, VPN mit Multi-Gigabit Möglichkeit zu nutzen ;) Und das Maximum sagt hier ~3Gbps (bei 360Mbps als kleinster Wert). Also grob ein IMIX von wahrscheinlich um die 1,5-2Gbps. Das packt eh keine Endkundenleitung momentan :D
Dein 3558 hat ja als grober IMIX Wert für IPSEC (AES-128-GCM) ~385Mbps und als Maximum ~900Mbps - mir würde das locker reichen :D
Aber ein schöner Neubau in 2HE. Dürfte aber auch nicht sehr leise sein, oder?
also, ich hatte mir die Supermicro SYS-E302-9D angeschaut, Silent, keine Lüfter, genau was ich haben wollte.
jetzt kommt das Aber:
die Kiste wurde so warm das ich mir nach ca. 3 Stunden FAST die Finger verbrannt habe.
was mir bei der kiste gefallen hat:
- Leise (keine lüfter)
- viele Netzwerkkarten & 10GBit Kupfer/Glas
was mir nicht gefallen hat:
- wird sehr warm
- für den preis zu wenig leistung
hier mal die aes performance werte die ich mit OPNsense 20.7.2 ermittelt habe.
Xeon D-2123IT aes-256-cbc 396.512,31k 205.419,33k 206.535,04k 207.105,83k 207.230,88k 207.730,97k
Xeon D-2123IT aes-256-gcm 278.376k 736.917,88k 1.348.889,61k 2.042.660,17k 2.434.977,72k 2.458.827,58k
ich habe mich erstmal dazu entschieden mein Core i7 System weiter einzusetzen
@mic: schöne Hardware mit redundantem Netzteil und 10G kann ich dir später im UG Treffen auch zeigen ^^
Hi Leute,
hier mal die Werte meiner neuen Box daheim. Die Werte dienen zur Einschätzung der Leistung, falls mal wieder jemand nach geeigneter Hardware sucht. Die Kiste lauft auf 15W TDP (über das Bios begrenzt). Sie wird nur leicht warm, die Temperatur war bis jetzt laut Dashboad und Reporting nie höher als 44c. Diesmal war sogar der Zoll mit mir gnädig und hat nur moderat zugeschlagen ;-)
Topton Industrielle Mini PC Intel Core i5 8265U 6 Lan Intel i211/i210
root@RedBox:~ # openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 69597882 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 20078693 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 256 size blocks: 5136026 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 1024 size blocks: 1294009 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 158294 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 80566 aes-256-cbc's in 3.00s
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 371188.70k 428345.45k 438274.22k 441688.41k 432248.15k 439997.78k
root@RedBox:~ # openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 44672966 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 30344287 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 256 size blocks: 13998168 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 1024 size blocks: 5100237 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 8192 size blocks: 762332 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 16384 size blocks: 388632 aes-256-gcm's in 3.00s
OpenSSL 1.1.1d-freebsd 10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 238255.82k 647344.79k 1194510.34k 1740880.90k 2081674.58k 2122448.90k
root@RedBox:~ #
Gruß Meditux
Moin,
seit gestern habe ich Cable Max 1000 (1000 Mbit/s down und 50 Mbit/s up).
Eigentlich dachte ich, dass ein J3160 mit 8 GB RAM für eine Firewall ausreichend ist, da eine Fritz Box erheblich schwächer auf der Brust sein dürfte und ich die OPNsense nur für mich privat einsetze, also nicht übermäßig viele Regeln/Filter abzuarbeiten sind.
Es kam anscheinend, wie es kommen musste. Klemme ich die OPNsense zwischen Kabelrouter (ist noch nicht im Bridged Mode, dauert noch 7 Tage bis zur Umstellung..., aber wir vermutlich die Lage nicht verbessern?) und PC, dann sinkt der Downlaod auf ca. 460.000 kbit/s. Ich nehme an, dass dafür mein Prozessor verantwortlich ist? Beim Download einer großen Daten liege ich allerdings bei 30% Prozessorauslastung, im Speedtest sind es kurz bei 60 - 70%.
openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 24294120 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 9709132 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 256 size blocks: 2989559 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 1024 size blocks: 792782 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 100952 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 50505 aes-256-cbc's in 3.00s
OpenSSL 1.1.1o-freebsd 3 May 2022
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 129568.64k 207128.15k 255109.03k 270602.92k 275666.26k 275824.64k
openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 16807142 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 8434318 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 256 size blocks: 2915497 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 1024 size blocks: 813165 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 8192 size blocks: 104667 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 16384 size blocks: 52447 aes-256-gcm's in 3.01s
OpenSSL 1.1.1o-freebsd 3 May 2022
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 89638.09k 179932.12k 248789.08k 277560.32k 285810.69k 285686.57k
Gibt es da auch etwas günstiges, um die nötige Performace zu erreichen?
Es steht ein VPN zu einer FritzBox und ich möchte gerne mit den Smartphones per WireGuard drauf (wenn ich WireGuard denn mal irgendwann zum Laufen bekomme...). Des Weiteren habe ich 5 VLANs eingerichtet, jedoch meist nur rund 25 IoT Geräte, 4 Telefoniegeräte, 2 PCs, 3 Smartphones und 3 VM-Wares auf einer Synology DS1821+ im Netz, dazu 3 Ubiquiti APs, also eigentlich geringe Anforderungen für einen Privathaushalt. Das DSL soll noch als Failover laufen, so lange es noch aktiv ist.
Oder würdet ihr zu einer ganz anderen Lösung (mit VLAN und IP-Begrenzung für Portweiterleitungen (für die Telefonanlage)) raten?
Leider habe ich da sehr wenig Ahnung von, aber es ist halt ein kleines Hobby solche Dinge auszuprobieren und würde ich einfach eine Fritz Box nutzen, dann würde es bereits an den VLANs scheitern.
1. bitte einen grafischen netzwerkplan
2. haben wir hier im forum unzählige beiträge zu hardware, nutze einfach die forum suche
3. welche dienste hast du genau auf deiner sense am laufen (ids/ips)?
4. ist in deiner hardware realtek netzwerk verbaut, zu dem thema kannst du auch viele beiträge im forum finden?
die genauen beschreibung und der grafische netzwerkplan helfen anderen foren teilnehmern und du musst dir nochmal genau gedanken machen was du da eigentlich tust
Gesendet von iPad mit Tapatalk Pro
1. Siehe Anhang (hoffentlich ausreichend)
2. Jepp, dass ist das Problem, welchen nehmen? Ich hatte gehofft, dass man Aufgrund der oben eingefügten Ausgabe festmachen kann, dass der Prozessor zu langsam ist oder irgendetwas anderes das Problem darstellt.
3.
Captive Portal
DHCPv4
Dynamisches DNS
Netzwerk-Zeit
Unbound-DNS (zur Überbrückung, Sperrlisten deaktiviert)
VPN:
IPsec (Site2Site)
WireGuard (Clients, wenn es denn mal wieder läuft...)
4. Danke für den Hinweis. Die NIC zum Switch ist tatsächlich eine Realtek (auf dem Mainboard). Ich habe das Realtek-AddOn installiert, leider keine Änderung.
Ich möchte mir Gedanken machen können, ob ich damit weiter mache. Wenn ich Hardware für 600,-€ benötige, da die jetzige OPNsense zu schwach ist, dann ist es mir das das wahrscheinlich nicht mehr wert. Zudem scheine ich ein Händchen dafür zu haben, dass ich in Bugs tappe, was mich etwas frustriert.
Auch daher die Frage, ob vielleicht jemand eine Alternaitve zu meinem Netzwerkaufbau hat. Ich möchte die VLANs behalten und auch die IP-Filterung zur Portfreigabe auf meine Telefonanlage, da diese die Firewall der Telefonanlage sauber hält.
Hier noch das Dashboard.
Quote from: Schubbie on August 07, 2022, 01:17:49 AM
4. Danke für den Hinweis. Die NIC zum Switch ist tatsächlich eine Realtek (auf dem Mainboard). Ich habe das Realtek-AddOn installiert, leider keine Änderung.
Ich möchte mir Gedanken machen können, ob ich damit weiter mache. Wenn ich Hardware für 600,-€ benötige, da die jetzige OPNsense zu schwach ist, dann ist es mir das das wahrscheinlich nicht mehr wert. Zudem scheine ich ein Händchen dafür zu haben, dass ich in Bugs tappe, was mich etwas frustriert.
ich kann nur sagen nimm eine hardware mit intel netzwerkkarten .
habe noch eine frage deine jetzige hardware hat wirklich 3 netzwerkanschlüsse odee hast du einen usb ethernet adapter (was eine wehr schlechte idee währe und was eine wichtige info ist)
ps: firewall ist kein günstiges vergnügen, wenn man es ordentlich machen will muss man halt etwas geld in die hand nehmen
ich habe noch ein qtom core i3 mit 16gb ram, 6x intel ethernet zu verkaufen [emoji12]
Gesendet von iPad mit Tapatalk Pro
Moin,
auf dem Motherboard ist 1x Realtek NIC und dann habe ich noch eine Broadcom PCi-Karre mit 2 NICs verbaut, die als WAN fungieren, was für meine bisher 7/2MBit locker gereicht hat...
Ideal wäre es, wenn eine andere Netzwerkkarte reichen würde, aber es ist anscheinend Prozessor und Netzwerkkarte nicht ideal...
i3 welcher Generation? Würde ja auch nichts bringen, wenn man sich wieder etwas grenzwertiges hinstellt. Stromverbrauch von unter 10W wäre wünschenswert, momentan liege ich glaube ich bei 6W.
Hallo,
ich nutze bei mir zuhause auch eine FritzBox 6591 im BridgeModus am Vodafone Anschluss mit 1GBit/s und dahinter dann eine OPNSense. Die FritzBox macht zudem noch den Telefonteil.
Die OPNsense läuft auch einem lüfterlosen MiniPC, Modell "NRG-System - ipu882", mit Core-i5 8250U Kaby Lake, 32GB Ram und ne 240 GB 2,5"-SSD drin. Zudem hat der 8x Intel LAN-Interface onboard.
Neben OPNSense läuft noch AdGuard und mein Unifi-Controller mit der der Box und leistungsmässig ist die vollkommen unausgelastet. CPU-Load deutlich unter 1.
Ich denke, das der Core-i3 mit 16GB Ram hier auch locker ausreichen würde.
Was ich allerdings empfehle, dem Gerät einen Lüfter zu spendieren. Bei mir steht der im Abstellraum, da wird es im Sommer schon mal recht warm drin und ein 120mm Lüfter mit 5V statt 12V betrieben, sorgt für stetige Luftzirkulation durch den Kühlkörper. Die CPU-Core Temperaturen gehen schnell mal auf 70°C hoch.
Würde ich das System nochmal kaufen: ja, aber dann in einer anderen Bauform als 19" Modell für den Rackeinbau.
Moin,
die FritzBox kann im Bridged Mode die Telefonie übernehmen? Die fungiert doch dann eigentlich nur als Modem?
Die Telefonie müsste bei mir über die DSL-Leitung geroutet werden, so lange die Nummern noch bei 1&1 liegen.
Ich informiere mich noch ein wenig und habe das Angebot von micneu im Hinterkopf. Allerdings sind wir heute am Reiseziel angekommen und ich habe nur das Smartphone zum Gucken mit...
Quote from: Schubbie on August 07, 2022, 11:49:29 PM
die FritzBox kann im Bridged Mode die Telefonie übernehmen? Die fungiert doch dann eigentlich nur als Modem?
Wenn es ein Mietbox von Vodafone ist, kein Problem, dann funktioniert der BridgeModus auch richtig - zumindest hier in NRW, in anderen Bundesländern sieht es anders aus.
Die FritzBox bekommt dann 2 IP-Adresse zugewiesen, eine eben fürs Internet welche zur OPNSense durchgereicht wird und die andere für den Telefonieteil.
Vodafone muss dafür den sog. MaxCPE-Wert des Anschlusses von 1 auf >=2 stellen und das machen die nur bei gemieteten FritzBoxen und nicht bei Kaufgeräten.
Danke für die Info. Ich habe den einfachen Router genommen, da ich eh in den Bridged Mode wollte und dachte, dass ich durch eine FritzBox dann keinen Vorteil habe. Ich würde dann auch lieber eine kaufen als mieten und habe eine Telefonanlage. Aber gut zu wissen, falls ich auf weitere Probleme stoßen sollte.
Ich habe kurzentschlossen bei einem Angebot bei eBay zugeschlagen, jedoch mit 128GB SSD für 315,-€
Firewall Micro Appliance, Pfsense, Mikrotik, OPNsense, Untangle, VPN, Router PC, Intel Core I5 8265U, HUNSN RM02k, 6 x Intel 2.5GbE I225-V LAN, AES-NI, HDMI, SIM Slot, DDR4 8G RAM, 64G SSD https://amzn.eu/d/iMFcPXy
Das Teil sollte dann hoffentlich performat genug sein. Ich bin gespannt und werde berichten.
Vielen Dank für den Input und das Angebot von @micneu
Ich habe das Gerät noch nicht eingerichtet, kann aber schon folgendes sagen:
- Download scheint voll da zu sein, rund 950.000kbit/s
- Billige SSD-Festplatte (Fastsee) verbaut, unterstützt anscheinend keinen TRIM und verzögert den Start der OPNsense erheblich, da diese 5x versucht diesen zu starten
- Board scheint ebenfalls billig zu sein. BIOS MNC91 1.06 vom 12.03.2020 und keine Ahnung, wie man das uodaten soll
- immer wieder ein Erlebnis, bis man zumindest die Grundfunktion mit Internet am Laufen hat, wenn man es nicht ständig macht. Hürde: Zuweisung der Netzwerkkarten und das Kabelmodem muss immer neu gestartet werden, sobald ich an den LAN-Port eine andere Hardware klemme, sprich eine der beiden OPNsense tausche oder testweise den PC direkt anklemme. Ohne Neustart ist keine Verbindung zum Router möglich...
Nun muss ich mir noch überlegen, was ich nun genau machen werde. Kabel Vodafone denkt sich ja immer mehr Dinge aus, um die Kunden vor Hürden zu stellen. Der Router ist nun im Bridged Mode, jedoch bleibt die Telefonie in dem Router bestehen, so dass sich sicherlich der Port 5060 gekrallt wird und diese Daten gar nicht erst für meine PBX an der OPNsense ankommen werden. Vielleicht kann man das telefonisch deaktivieren lassen...
Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?
Quote from: Schubbie on August 14, 2022, 03:00:02 AM
Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?
was hat die fritzbox mit vlans zzu tun, die willst du doch nur für die telefonie nutzen oder nicht?
aber die hardware hört sich für mich nicht so wirklich gesund an.
Quote from: Schubbie on August 14, 2022, 03:00:02 AM
Ich bin ja schon kurz davor mir eine FritzBox zu bestellen, aber was mache ich dann mit meinen VLANs?
Die FritzBox kann nichts mit VLAN's anfangen, kennt die nicht.
Ich kann dir nur den Tip geben, keine FritzBox für Kabel zu kaufen, weil nicht sicher ist, ob danach noch der BridgeModus funktioniert.
Das hängt zudem stark vom Bundesland ab, was hier bei uns in NRW ( Ex-Unitymedia ) funktioniert, funktioniert z.b. in BaWue ( auch Ex-Unitymedia ) oder Bayern ( Vodafone KabelDeutschland ) noch lange nicht und ob das in 2 Jahre noch geht steht auch in den Sternen.
Ich hatte selber eine FB6660 hier in NRW als Kaufbox und der BrigdeModus hat überhaupt nicht funktioniert. Bin danach zu eine FB6591 als Mietbox von Vodafone gewechselt und die funktioiert, weil nur das von Vodafone unterstützt wird.
Die FritzBox macht bei mir Telefonie ( TelefonKomfortPaket ) und über den BridgeModus mit zweiter IP-Adressen den Internetteil durchgereicht zur OPNSense.
Die beste Lösung ist dann, eher auch ein reines Kabelmoden zu gehen und sich das zu kaufen und Telefonie komplett davon zu lösen über eine eigenen PBX.
Hier mal ein Screenshot, wie es da mir derzeit eingerichtet ist.
Und nochmal der Hinweiss: das ist eine von Vodafone gemietet FB6591 im TelefonKomfort-Paket - die Box ist damit kostenlos, weil mit der Gebühr für Telefon-Komfort inklusive und gilt hier für NRW im Vodafone-Kabelnetz, ehemalig Unitymedia.
Telefonie geht bei mir zum einen per DECT-Telefon direkt zur FritzBox, VoIP-Telefon über VLAN50 und Smartphone-Apps, die im VLAN20 sitzen per WLAN.
Die FritzBox hat insoweit etwas mit dem VLANs zu tun, als dass diese keine kann und man dann doch wieder ein zusätzliches Gerät benötigt ;-)
Sicherlich ist es keine top Hardware, jedoch sollte das Board ausreichend sein, die NICs sind Intel und eine kleine SSD kostet nicht viel, habe ich vielleicht auch noch liegen.
Das mit den Unterschieden, die Vodafone macht, ist auch wieder so ein Gewirr. In der Firma (die ich bald wechseln werde und nach Einarbeitung in der neuen ins Home Office gehen werde, weshalb ich zuverlässig Internet benötige), eine Straße weiter, habe ich eine FritzBox Cable gekauft und konnte somit die PBX direkt an dem Cable SIP-Server anmelden, was seit über 2 Jahren ohne größere Probleme funktioniert. Da haben wir aber auch keine Firewall (nicht meine Entscheidung) dahinter und die PBX bekommt fleißig Anfragen aus Russland etc. auf Port 5060, welche bei mir zu Hause gar nicht erst durch die OPNsense kommen.
Momentan liegt meine private Telefonie noch bei 1&1 und muss somit über DSL geroutet werden, allerdings reicht die Bandbreite hier von 1&1 nicht für die zukünftige Arbeit aus, daher der Kabelanschluss.
Das mit der gemieteten Box sagt mir auch irgendwie zu, dann die eigene PBX rauswerfen (die kam aus Neugierde und da die FritzBoxen früher für VoIP per WLAN nicht schnell genug waren, was mittlerweile kein Problem mehr sein sollte, ggf. dann auch auf ein doppeltes NAT eingehen und die OPNsense als Exposed Host einstellen. Die FritzBox kann mittlerweile auch WireGuard (Laborversion) und die OPNsense wäre dann überwiegend für VLANs, wobei ich dann nicht weiß, ob bei WireGuard über die Fritte alle Geräte in den VLANs von außen erreichbar sind.
Verbaut habe ich Ubiquiti APs (PoE) für WLAN. Die VLANs habe ich für:
- Hauptnetz
- VoIP (könnte ich drauf verzichten)
- SmartHome (soll bestehen bleiben, da ich so für jeden Raum einen eigenen Bereich habe)
- Gastnetz
- Gastnetz offen mit Anmeldung über das Captibe Portal (Spielerei)
Die für mich komplizierte Konfiguration der OPNsense (da ich mich selten damit beschäftige (Failover funktioniert nicht, da es wohl einen Bug gibt, wenn ein WAN auf DHCP steht; WireGuard lief nur einmal kurz, Fehler konnte nicht gefunden werden und ich hoffe, dass es nach der Neueinrichtung wieder läuft) raubt mir halt Zeit und Nerven. Aber wenn es dann läuft, dann ist man glücklich und fühlt sich sicherer. Daher muss ich mir momentan halt überlegen, wie ich es nun machen will, da eine Lösung oft zum nächsten Problem führt, seien es Zusatzkosten oder Eigenarten von Vodafone.
Quote from: Schubbie on August 14, 2022, 11:55:11 AM
....Die für mich komplizierte Konfiguration der OPNsense....
Ich arbeite zwar im IT-Bereich, bin aber auch kein Netzwerk-Experte und ich hab mit OPNSense gegen Ende letzten Jahres angefangen.
Bei mir läuft eben auch OPNSense auf eigenere Hardware mit derzeit 10 VLan, als zentrale Firewall, DHCP-Server, usw.
Das Netzwerk dahinter ist auch Unifi mit Access-Point, der Controller dafür läuft mit auf der OPNSense, der macht ja nicht viel, ausser die VLANs / Switchprofile und WLAN zu verwalten.
Die derzeit für mich beste Lösung ist eben mit der FritzBox von Vodafone inkl. Telefon-Komfort, aktiven BridgeMode und der OPNSense dahinter, dann hab ich kein Doppeltes-NAT ( wobei ich keinen kenne, der damit Probleme hat )
Den Controller lasse ich in einer Home Assistant VM als AddOn auf einer Synology laufen, so lässt der sich sehr einfach updaten.
Mit dem Switch von Ubiquiti hatte ich Probleme, überwiegend in der Telefonie, welche mit meinem relativ günstigem ZyXEL-Switch verschwunden sind. Für mich also nur noch APs von Ubiquiti, von anderer Hardware habe ich Abstand genommen.
Die Komfort Option (gibt es nicht mehr?) ist nun anscheinend gleichzusetzen mit der Miete der FritzBoxen.
Falls man einen günstigen SIP-Trunk bekommt, wäre das eventuell auch noch eine Option, dann muss aber die Telefonie in dem Kabelrouter wahrscheinlich deaktiviert werden (wenn das geht), damit Port 5060 durchgereicht wird.
Ich muss mir da für mich Gedanken machen. Es hat alles sein Vor- und Nachteile und ggf. Hürden, die man zuvor nicht erkennt. Mein Vertrag mit der Telefonie läuft noch knapp 1 Jahr bei 1&1.
Leider etwas OffT, aber ansonsten endet es in einem Crossposting...
Letztes OffT, da hier angesprochen:
Variante 1:
OPNsense hinter FritzBox ohne Bridged Mode.
VLANs können erhalten bleiben, ggf. wird mit doppeltem NAT oder statischen Routen in der FritzBox gearbeitet. Ohne Bridge Mode bekomme ich nie die externe IP direkt an die OPNsense? VPN etc. in der OPNsense ist per DynDNS jedoch trotzdem möglich?
Variante 2:
OPNsense einstampfen (beinhaltet auch, dass ich 1&1 DSL als Failover abschalte, bzw. vielleicht durch meinen Switch Route und primär nur die Telefonie darüber abwickle, ich würde dann einen LTE-Unlimited Tarif für den Notfall buchen).
Stattdessen kaufe ich mir eine FritzBox (Cable), wodurch ich die SIP-Daten erhalte, möchte ich doch wieder eine eigene Telefonanlage und wäre damit flexibel. Hier könnte es allerdings engere Begrenzungen der Gesprächskanäle und bei der Anzahl der Rufnummern geben, wenn man nicht die Fritte von Kabel Vodafone mietet - das Risiko würde ich jedoch eingehen, Festnetztelefonie wird hier eh nicht permanent genutzt.
VLANs einstampfen (vielleicht hat jemand eine Idee, wie die Adressbereiche simpel erhalten bleiben können und diese auch untereinander kommunizieren können, ggf. Synology als DHCP-Server, Switch kann Layer 2 oder 3?), um der Ordnung meiner IPs nicht zu sehr hinterher zu trauern, würde ich die Clients (IoT-Geräte) dann per Hostnamen anstelle der IP ansprechen.
WLAN-SSIDs minimieren und nur noch ein eigenes WLAN und ein Gast-WLAN einrichten.
Dazu Port 4 der FritzBox als Gast-Netz deklarieren, den Port 4 an den Switch stöpseln und dem Port des Switches einen VLAN-TAG verpassen. Die Ports der Ubiquiti-APs bleiben VLAN Trunks und für die SSID des Gast-WLANs gebe ich entsprechendes VLAN an (ist ja nun auch so), somit müsste ich das Gastnetzwerk der FritzBox sauber trennen und nutzen können.
Meine Geräte halten sich in folgenden VLANs in Grenzen:
Synology (6 Netzwerkkarten) und APs in allen VLANs verfügbar
Heimnetz: Smartphones, Tablets, 4 PCs
Gastnetz: Gäste
VoIP: PBX auf Synology als VM, 1x DECT-Basis, 1x Tischtelefon (Smartphones per Heimnetz & Zoiper)
SmartHome: SmartHome-Zentralen als VM auf Synology, ca. 25 IoT-Geräte (überwiegend Shelly)
Gastnetz-Offen: Gäste ohne Zugangsdaten durch Zustimmung der Nutzungsbesdinungen
Gäste würde ich zusammenfassen und offen lassen, Nutzungsbestimmungen können in der FritzBox als Bedingung zur Nutzung gewählt werden (wie Captive Portal in der OPNsense).
Mein Site2Site-VPN läuft eh zu einer anderen Fritte und die Smartphones können bald direkt per WireGuard an der Fritte angemeldet werden, bis dahin kann WireGuard auf der Synology laufen.
Ich tendiere der Einfachkeit halber, und da meine Zeit immer weniger wird, zu Variante 2. Habt ihr eine unparteiische Einschätzung? Ich habe in Vergangenheit mit Kanonen auf Spatzen geschossen, da es Hobby ist, aber die Zeit wird mit den Kindern nicht mehr ;-)
Vielleicht dann noch eine einfache Möglichkeit ohne zusätzlicher Hardware doch die VLANs beizubehalten (managebarer Switch vorhanden, vielleicht sogar darin einstellbar), Netze müssen untereinander sprechen können, eventuell per DHCP-Server auf der Synology realisierbar? Würde man die Clients dann auch in der Fritte sehen?
Vielen Dank für Euren Input, der mir schon weitergeholfen hat und das Gefühl verleiht, dass ich kurz vor der vorläufigen Finalen Lösung stehe ;-)
Quote from: Schubbie on August 14, 2022, 07:34:41 PM
Variante 1:
OPNsense hinter FritzBox ohne Bridged Mode.
VLANs können erhalten bleiben, ggf. wird mit doppeltem NAT oder statischen Routen in der FritzBox gearbeitet. Ohne Bridge Mode bekomme ich nie die externe IP direkt an die OPNsense? VPN etc. in der OPNsense ist per DynDNS jedoch trotzdem möglich?
Alternativ Variante 3:
keine FritzBox sondern Kabelmodem kaufen ( TC4400 ),
damit bekommst du deine SIP-Daten, hast kein doppeltes NAT und kannst problemlos deine eigene PBX betreiben.
Setzt aber dann eine Firewall voraus = OPNSense, die dann auch den Inter-VLNA-Traffic regelt.
Die Fragen sind ja, welche Vorteile ich durch PBX und OPNsense habe.
Ich habe eben mit einem Bekannten die Gesprächsqualität per FritzFon-App per WLAN durch einen VPN getestet. Qualität war sehr gut, nicht vergleichbar mit dem, was vor ca. 10 Jahren war, weshalb ich die PBX angeschafft habe.
Die OPNsense brauche ich dann nur noch für VLAN, alles andere kann die Fritte.
Da fragt man sich dann doch, ob es den Aufwand noch wert ist. Hätte ich mehr Zeit, dann ja, alleine aus Interesse, aber ohne Zeit rechtfertigt der Aufwand den Nutzen nicht.
Variante 3 hatte ich bis jetzt, allerdings mit DSL.
Quote from: Schubbie on August 14, 2022, 08:54:44 PM
Die OPNsense brauche ich dann nur noch für VLAN, alles andere kann die Fritte.
Eher ist die Frage, was du von einer OPNSenser erwartest ?
Klar macht die Arbeit ( Konfiguration, Pflege, vorherige Überlegungen ) und kostet Geld ( für Hardware, Strom )
Ich nutze die in erster Linie mal als Firewall um meine System bzw. Netze mal untereinander und gegen das Internet zu sperren und das kann z.b. die FritzBox überhaupt nicht. Z.b. sollen meine IoT und Smarthome-Geräte zwar mit dem Servern kommunizieren dürfen, aber nichts ins Internet rein und nicht mit anderen Systemen sprechen können. Zudem hab ich auch das Firmennotebook fürs HomeOffice komplett in ein eignes VLANgepackt, komplett vom Rest abgetrennt.
Die FritzBox ist dann gut, wenn man einen All-In-One Router/WLan-AccessPoint/Telefonanlage für den Hausgebrauch will und der möglichst keine Arbeit macht - dann sage ich klar, bleibe bei der FritzBox.
Das waren auch meine Überlegungen. Leider spielt der Faktor Zeit bei mir momentan eine große Rolle, weshalb ich wohl tatsächlich von der OPNsense wieder auf eine FritzBox umsteigen werde. Macht im ersten Moment Arbeit alles wieder zurück zu stellen, am Ende des Tages ist es jedoch wahrscheinlich pflegeleichter.
Eigene VLANs sind schön, wenn man sich daran gewöhnt hat, aber leider zählt momentan die Einfachheit. Leider ist mir das erst klargeworden, als ich die OPNsense auf die neue Hardware umziehen wollte und schon wieder Fragezeichen auf der Stirn hatte, da ich mich damit zu selten beschäftigen kann.
Geht schon bei der Vorbereitung eines Sticks zur Installation los. Warum wird da nicht etwas einfacheres wie z.B. RUFUS vorgeschlagen, um den Stick vorzubereiten?
Wenn man drin ist, dann geht die OPNsense relativ gut, allerdings muss man am Ball bleiben, was ich momentan nicht kann.
Quote from: Schubbie on August 15, 2022, 09:49:29 AM
Geht schon bei der Vorbereitung eines Sticks zur Installation los. Warum wird da nicht etwas einfacheres wie z.B. RUFUS vorgeschlagen, um den Stick vorzubereiten?
Ganz ehrlich - ist nicht böse gemeint - wenn du an dem Punkt schon scheiterst, dann lasse die Finger von OPNSense.
Ich nutze um USB-Stick mit einen Image zu betanken übrigens balenaEtcher ( unter MacOS ) - Image runterladen und auswählen, Stick auswählen, schreiben lassen , Kaffee holen. Nach paar Minuten ist das fertig.
Daran scheitert es nicht und meine Sense lief ja lange. Ist ja nur ein Beispiel der Doku, womit es einfacher geht und nicht
, woran es scheitert.
Genervt hat, dass die Sperrlisten unter Unbound DNS den Start teils um mehrere Minuten verzögert haben, dass WireGuard einmal kurz lief und danach nie wieder und niemand einen Fehler in der Konfig finden konnte, das anscheinend der Bug mit dem WAN-Failover, wenn ein WAN auf DHCP steht, seit 2 Jahren nicht behoben wurde und eben, dass man am Ball bleiben muss. Ich habe mit meinen VLANs, Captive Portal, Telefonanlage an 1&1, Site2Site VPN zu einer Fritte alles störungsfrei hinbekommen, der Weg dorthin war jedoch manchmal steinig.
Ich nehme an, dass ich damit schon mehr realisiert habe, als die meisten anderen Hobbyuser und es scheitert ganz sicher nicht daran, dass ich kein Image auf einen Stick bekomme. Gucke dir die vorgeschlagene Software für Windows an, dann gucke dir Rufus für Windows an und entscheide für dich, was einfacher erscheint. Macs habe ich nur auf der Arbeit.