Hallo Zusammen,
ich habe gerade erst entdeckt, dass es hier noch einen deutschen Bereich gibt (im Hardwarebereich habe ich bereits schonmal auf Englisch gefragt) und hoffe daher, dass es okay ist wenn ich es hier nochmal platziere (natürlich mit den Infos aus den originalen Thread und etwas Zusatzinfos).
Ich möchte in meinem EFH mein Netz neu aufstellen und liebäugel schon seit Jahren eigentlich mit einer APU und einer Hardwarefirewall. Ich bin zwar aus der IT und habe damals viel mit Watchguard und Checkpoint operiert (lang her), bin nun aber schon eine Weile nur noch in Projekten und nicht mehr in der Infrastrukturschiene.
Die erste Idee war eine APU2E4 oder APU4D4 einzusetzen und darauf IPFire, PFSense oder OpnSense zu betreiben. Geplant wäre mein Netz zu strukturieren (Vlans) in z.B. IoT, Gäste, Wlan, Clients und "Secure" (z.B. NAS-/ Backupspeicher - eventuell erst erreichbar nach Proxyfreischaltung). Dazu möchte ich den Traffic filtern und DNS-Listen einsetzen (aktuell PiHole ohne Unbound und DNScrypt - soll dann aber zum Einsatz kommen).
Neben Segmentierung(VLANs), DNS (Secure), DHCP usw. möchte ich noch VPN/ IPSec machen, um auch von Außerhalb in mein Netzwerk zu kommen und damit brauchts auch DynDNS. Neben der Firewall wird noch ein MikroTik-Switch mit SwOS arbeiten, der entsprechend auch VLANs, Trunking usw. unterstützt. Fürs WLAN kommt wahrscheinlich, sofern lieferbar ein AP von ExtremeNetworks zum Einsatz, der ebenfalls VLANs unterstützt. Anschluss ist aktuell ein VDSL 100/50 (Mbit Up/Down). Verfügbar wäre aktuell bis 250Mbit/s und wird wahrscheinlich beim nächsten Tarifwechsel mitgenommen.
Vor die Firewall kommt wahrscheinlich erstmal ein Speedport im Modem-only-Modus, der wahrscheinlich zeitnah gegen ein Drytek Vigor ersetzt wird. (130/ 160)
Grundsätzlich kann ich nicht ausschließen, dass wenn alles verfügbar ist noch ein wenig gebastelt wird und weitere Funktionen genutzt werden. OpnSense habe ich noch nicht gesehen und freue mich natürlich auch zu experimentieren.
Jetzt die eigentliche Frage.
Macht das auf der PCEngines APU (2E4 oder 4D4) überhaupt sind oder wäre ich mit einem Qotom oder Protecli besser beraten? Gibts noch weitere Alternativen? Schön wäre wenns günstige "Rackmounting"-Brackets für den 19" Schrank gebe. (für die PCengines habe ich nur Gehäuse gefunden die fast nochmal soviel wie die APU selbst kosten)
Preislich hatte ich mich so um die 200-300€ eingeschossen.
P.S. lohnt es die internen Wlan-Karten der APU's mitzukaufen als einzigen AP? (2-3 Netze brauch ich hier für 140qm Bungalow - aktuell schafft es am Aufstellort ein einfach Speedport Smart mit mittlerer Sendeleistung alles abzudecken)
Ich hoffe das war jetzt alles nicht zu wirr oder zuviel "tamtam". (wie gesagt, aktuell ist auch viel "Basteldrang" dahinter)
bitte nutze mal die forum suche, wir haben diese themen mehr als ein mal behandelt. keine lust noch mal alles zu wieder holen.
kurz: NRG IPU 8xx, da haste die nächsten jahre ruhe oder
https://shop.opnsense.com/dec3800-series-opnsense-rack-security-appliance/
Gesendet von iPad mit Tapatalk Pro
Forensuche werde ich nochmal bemühen.
Die beiden Vorschläge sind für ein kleines Heimnetz aber ziemlich drüber. Zumindest vom genannten Preisrahmen her.
na dann schau mal in der forum suche, vieleicht findest du da was.
deshalb habe ich ja betont da haste die nächsten jahre ruhe mit der hardware (meine aktuelle hardware ist ähnlich NRG IPU 675 bin an der VPN leistungrenze angekommen, brauche was performanteres)
und plane gerade eine neue hardware.
ich kann dir meine Vorgänger Hardware mit einem Core i3 anbieten, melde dich per PN, dann bekommst du mehr infos
Gesendet von iPad mit Tapatalk Pro
Okay, ich gehe aber davon aus dass du das intensiv nutzt bzw. sich da mehr als 1-2 Clients einwählen?
Bei mir funktioniert gerade das Editieren nicht:
Aktuell sehe ich meinen persönlichen Bedarf realistisch beurteilt eher bei der PCEngines APU, da die aktuell aber auch um die 200€ liegen komplett war die Überlegung ob da ein ähnlich teurer Qotom oder Protecli nicht besser angelegt sei.
in der preis region liegst du bei
- uralter cpu
- veraltete technik
- Realtek NIC
- warscheinlich richtung J1900
viel spaß, das was du alles auf der kiste laufen lassen willst, nein das wird kein spaß machen (oder abstriche machen: kein VPN, kein proxy mehr fällt mir jetzt nicht ein)
PS: keiner hat gesagt das OpenSource / Firewalls billig sind
Quote from: steppi on March 05, 2021, 01:40:59 PM
Bei mir funktioniert gerade das Editieren nicht:
Aktuell sehe ich meinen persönlichen Bedarf realistisch beurteilt eher bei der PCEngines APU, da die aktuell aber auch um die 200€ liegen komplett war die Überlegung ob da ein ähnlich teurer Qotom oder Protecli nicht besser angelegt sei.
200€ sind wirklich knapp bemessen
Plane mal ehr so 400 ein, damit du bei OpenVPN über 5Mbit an Durchsatz kommst.
Oder du setzt voll auf Wireguard, da gibt's schon bessere Performance.
Prinzipell kenne ich die Regionen wo Firewalls und selbst einzelne Services hingehen können. (WatchGuard)
Bei den kleinen Kisten kenne ich mich dagegen so gut wie nicht aus und kann auch nicht abschätzen, was an Leistung erforderlich ist. Direkte IT-Kollegen kommen z.B. mit der APU2E4 und IPFire sehr gut zurecht und nutzen ebenfalls u.A. VPN, VLANs und Proxy.
Ich hätte daher nicht gedacht mit meinem Plan soweit daneben zu liegen für ein recht kleines Homenetz.
Speziell die "kleinen" PCEngines liest man ja auch hier häufiger in den Signaturen.
Trotzdem Danke schonmal soweit.
Die APUs sind fein. Sie schaffen halt kein Gbit per PPPoE und für die IDS-Komponenten (Suricata, Sensei) sind sie wohl auch etwas schwach dimensioniert. Alles andere läuft prima. 4 GB RAM sind ja auch eher üppig, wenn man mal mit so einem Edgerouter oder ähnlichem Zeug, auf dem gerne OpenWRT installiert wird, vergleicht.
ich hatte mit der APU 4d4 an einem 100MBit/s VDSL anschluß probleme mit VPN (performance)
Gesendet von iPad mit Tapatalk Pro
Welches VPN? ;)
Ich habe zwei APU2 seit Jahren erfolgreich im Einsatz:
- WAN1 100/20
- WAN2 30/10
- pf Firewall mit einigen Alias
- Unbound mit einigen Blockern
- IDS
- OpenVPN
- ntopng
- telegraf
Läuft alles wirklich gut. Günstig, kühl, stromsparend, zuverlässig. Ich werde demnächst mal einen Test machen, bis wieviel WAN-Speed das System in meiner Konfiguration skalieren kann. Damit ich abschätzen kann, wo die APU2 den "Kopf anschlagen wird", falls mein Provider deutlich mehr hergeben wird.
Quick-Tipp: PowerD fix auf "High" oder gleich ganz ausschalten. Und die üblichen tunables setzen.
Hinweis: WAN-Connections mit PPPoE führen wohl am ehesten zu einem Flaschenhals. Da dies nur Single-threaded läuft, bringt eine CPU mit schnellerem Takt bei PPPoE Vorteile. Das ist bei meinem Provider-Modem aber glücklicherweise nicht der Fall und ich kann alle Cores nutzen.
Ansonsten: Ich bin von den APU2 fasziniert, baue diese gerne zusammen und nehme sie gerne unter OPNsense in Betrieb.
Danke schonmal für die weiteren Inputs.
Momentan würde ich zwischen APU2E4 und Protectli/ Qotom 4-Port mit AES-NI-Unterstützung schwanken.
Letztere scheinen direkt aus Deutschland gerade recht schwer zu bekommen zu sein.
Quote from: micneu on March 05, 2021, 08:04:46 PM
Quote from: pmhausen on March 05, 2021, 03:19:52 PM
Welches VPN? ;)
OpenVPN
Cypher mit HW Crypto? Wundert mich etwas, 100 Mbit/s sollten die Kistchen doch schaffen.
Quote from: pmhausen on March 05, 2021, 09:04:01 PM
Quote from: micneu on March 05, 2021, 08:04:46 PM
Quote from: pmhausen on March 05, 2021, 03:19:52 PM
Welches VPN? ;)
OpenVPN
Cypher mit HW Crypto? Wundert mich etwas, 100 Mbit/s sollten die Kistchen doch schaffen.
keine ahnung, hatte die kiste nur 2 tage, habe sie danach zurück gegeben
Ich empfehle hier auch nochmal die APU2E4. Ich betreue derzeit 10 OPNsense und (noch) 4pfSense Installationen auf den Teilen. Wenn man IDS etc. weglässt läuft alles prima und stabil. Selbst Homeoffice (OpenVPN) mit über 15 gleichzeitigen Verbindungen läuft zuverlässig.
Ich sehe auch die Firmware als Pluspunkt an, denn bei den meisten Intel-Boxen hat man ein BIOS des Herstellers mit Intel oder AMD-Blobs (Intel Management Engine etc.). Die APUs benutzen vom Beginn an Coreboot, welches als OpenSource BIOS eher dem Gedanken der OPNsense enspricht. Am Ende ist das auch ein Security-Feature.
Gruß
Robert
ps. zur Performance: Bei kleinen Unternehmen mit VDSL-Anschlüssen genügt die APU locker. Gigabit-Routing zwischen (V)LANS ist auch möglich.
Hi Steppi,
bei der von dir zukünftig genutzten Anbindung (250MBit) würde ich von den PC Engines APUs abraten.
Die Kisten haben eine zu schlechte Single-Core-Performance und sind mit den 4GB RAM limitiert. Im Labortest, bei direkter Verbindung über OpenVPN ( AES-256-GCM / SHA256 ) mögen die Kisten einen Durchsatz vom 99 MBit schaffen, im realbetrieb mit konkurrierenden Diensten kann man das allerdings vergessen. WireGuard wäre eine Alternative.
Ich habe auch mit der PC Engines APU2x4 angefangen und die recht schnell ersetzt. Die APU dient heute nur noch als SFTP-Server. Von den APU-Kisten habe ich beruflich viele im Einsatz. Allerdings hängen die Kisten dann via PPPoE an einer vDSL-50MBit Anbindung und Verwalten ein paar Filterlisten, Firewall, Routing und realisieren über OpenVPN eine Standortvernetzung für RDP. Dafür sind die Kisten sehr gut.
IDS/IPS ist auf den Kisten nicht möglich, Maltrail kann man vergessen. Man kauf die Hardware für mehrere Jahre und der Leistungsbedarf wachst schnell mit dem Erkennen der Möglichkeiten ;-)
Mein Rat, schau dich nach leistungsstärkerer Hardware um! Ich nutze zur Zeit, nach dem dritten Upgrade eine Kiste mit einer Intel i5-8365U CPU.
Gruß Meditux
Quote
IDS/IPS ist auf den Kisten nicht möglich
Kann ich so nicht bestätigen. Eine Frage des nötigen Durchsatzes. In meinem Fall läuft IDS auf OPNsense seit Jahren einwandfrei ohne den Durchsatz nachteilig zu beeinflussen.
Quote from: thowe on March 06, 2021, 02:10:07 PM
Quote
IDS/IPS ist auf den Kisten nicht möglich
Kann ich so nicht bestätigen. Eine Frage des nötigen Durchsatzes. In meinem Fall läuft IDS auf OPNsense seit Jahren einwandfrei ohne den Durchsatz nachteilig zu beeinflussen.
Klar, den Dienst kann man nutzen, man ist halt nur sehr begrenzt in der Wahl der Rulesets. Die Sicherheit wird somit von den Möglichkeiten der Hardware unschön begrenzt. Was passiert wenn Rulesets wie abuse.ch/URLhaus mal sprunghaft wachsen ist ja bekannt. Und dann spielt der Durchsatz noch nicht mal eine Rolle.
Steppi hatte eine geplante 250MBit Anbindung erwähnt. Das bekommt eine APU mit aktivierten IDS\ISP nicht gebacken ohne den Durchsatz stark zu begrenzen.
Danke für die weitere Beteiligung.
Wie ich so rauslese geht die Spanne doch sehr weit und ist von einigen Faktoren abhängig.
Ich installiere OpnSense erstmal in eine VM oder einen Container und schau mir an welche Features ich tatsächlich benötige bzw. welche ich nutzen möchten. Damit kann ich ein erstes Gefühl für das Ganze bekommen und konkreter die Hardware bestimmen. Die VM-Umgebung wäre ein Celeron J3455 (mit AES-NI) mit 2x 8GB DDR3L-1600 mit Realtek-Nics.
Wenn Du die Möglichkeit hast, das erstmal in einer VM zu testen, umso besser. Ich habe eine sehr ähnliche Testumgebung mit Proxmox in Betrieb. Läuft sehr gut.
Zur Frage des "richtigen" Sizing der Hardware für eine dedizierte OPNsense, stellen sich mir immer folgende Fragen:
- welche Dienste werde ich darauf wirklich mit einem Mehrwert laufen lassen (manchmal ist weniger auch hier mehr...)
- Was ist die erforderliche Leistung (muss ich wirklich Wirespeed über OpenVPN jagen können - oder reichen mir OpenVPN mit 100MBit/s?)
- Welche Nutzungsdauer strebe ich an? Erst mal 2 Jahre und dann allenfalls neue Hardware (dannzumal günstiger) nachkaufen? Oder gebe ich up-front schon viel Geld aus, in der Hoffnung, dass die Hardware dann länger nutzbar ist?
Aktuell habe ich abhängig vom Einsatzprofil folgende drei Hardware-Appliances auf meiner Shortlist:
- PC Engines APU2 für alles was nicht viel Leistung braucht (OpenVPN bis 100 Mbps)
- Yanling IBOX-501 N13 mit 3865U und 6 NIC für alles Mittlere (OpenVPN bis 400 Mbps)
- Yanling IBOX-501 N18 mit 8250U und 6 NIC für mehr Leistung (OpenVPN bis 875 Mbps)
- Alternativ: Die neuen Ryzen Appliances von Deciso für top seriöse Einsätze.
Anmerkung: Die Yanling Geräte gibt es so ähnlich auch von Protectli und laufen wahlweise auch mit Coreboot BIOS. Grundsatzfrage ist hier immer: Will ich direkt in China bestellen oder nicht.
Vielen Dank für deinen Kommentar.
Ich versuche mal die drei Punkte des "Sizing" von hinten aufzuräumen.
- Nutzungsdauer, hier erwarte ich so schnell kein riesiges Wachstum meines Netzwerks. Am Ehesten wenn die Kinder groß genug sind für eigene Systeme und Szenarien, was noch locker 5-10 Jahre dauert. Alle anderen Sachen die "Wachsen" könnten sind dann eher interner Natur (Automatisierung) und bleiben im Heimnetz
- Wenn wir direkt von VPN sprechen, wird mein Upload zuHause selbst mit 250Mbit/s down bei max. 50Mbit/s up bleiben. Noch weiter limitierend ist da eher die Mobile-Anbindung z.B. am Smartphone oder an anderen Standorten. Also dass da wirklich mal VPN in beide Richtungen größer 50/ 100 Mbit/s anfallen, sehe ich die nächsten Jahre noch nicht.
- Das wohl größte Fragezeichen! Hier muss ich erstmal "Sichten" was es gibt, was sinnvoll ist und was nicht. Sicher werde ich allein schon aus Interesse mal Dieses und Jenes probieren. Was dann "produktiv" eingesetzt wird ist aber noch nicht absehbar. Generell finde ich das Minimalprinzip garnicht so verkehrt.
Danke auch für den weiteren Hardwareüberblick.