OPNsense Forum

Guten *Insert whatever you want*!

Vorab: Ich verfolge seit gut 2 Jahren intensiv OPNsense als auch PFsense, da ich schon länger in der Thematik eigener Router/Firewall/VPN stecke und demnach so einiges an Grundwissen mitbringe aber auch nicht aus dem Himmel gefallen bin, was wissen und das angeht.

So, jetzt aber zum eigentlichen Thema:
Was sollte man sich im Jahr 2023, für eine Vodafone CableMax (1000/50) Leitung, als Hard und Software zu legen um folgendes damit umzusetzen: Firewall, DNS Filterung, DNS blocking (PiHole equivalent), VPN (als direkt Verbindung als auch Remote Zugriff), Traffic Inspection etc. und sonstige Sachen die gehen, um Sicherheit als auch Spam Schutz zu erhöhen. Als extra oder zukünftiges Projekt wäre da noch die Einbindung mit Mobilfunk/5G als Modem, nur das kann erst einmal noch etwas warten.
Meine Frage wäre dahingehend auch, ob OPNsense da überhaupt aufgrund der BSD Natur, die richtige Wahl ist bzw. wäre. Das ganze zu virtualisieren ist ein Gedankenspiel, alleine weil es BackUp und Failover sicherlich erleichtern würde, auch um PiHole nativ laufen zu lassen.

Was sagt Ihr denn dazu, ihr habt ja sicherlich auch schon so einiges gemacht/gesehen/gelesen?

Vielen Dank für Eure Zeit im voraus :)

Quote from: deltaexray on October 07, 2023, 11:23:45 PM
Meine Frage wäre dahingehend auch, ob OPNsense da überhaupt aufgrund der BSD Natur, die richtige Wahl ist bzw. wäre. Das ganze zu virtualisieren ist ein Gedankenspiel, alleine weil es BackUp und Failover sicherlich erleichtern würde, auch um PiHole nativ laufen zu lassen.

Ob Virtualisierung die richtige Wahl ist, muss jeder selber für sich entscheiden, ich ziehe eine OPNSense auf eigenere Hardware vor. ( Backup später ).

Bei mir läuft Vodafone Kabel 1000/50 mit einer FritzBox im BridgeModus, ich nutze VPN um von aussen auf meine System zugreifen zu können, ich nutze DNS Blocking, aktuell wieder AdGuard direkt auf der OPNSense, vorher hatte ich PiHole als Linux-Container auf Proxmox, ich nutze  rund 10 VLAN's um Dienste und System zu trennen, 4 davon auch als WLAN ( über Unifi - Systemen ), daher hab ich auch etlich Firewallregeln.

Stelle deine Frage also nochmal, ob OPNSense die richtige Wahl ist - ja ist es absolut, wenn nicht OPNSense aös professionelle Firewall, wer soll dann besser machen ?

Backup:  Ich habe für Notfall einen USB-Stick mit dem OPNSense Image im Schrank liegen, die Konfiguration sichere ich automatisch von der OPNsense weg auf meine NAS und wenn ich größere Änderungen mache, vorher und nachher noch lokal auf meinem Notebook.
Sollte die OPNSense also kaputte gehen, kann ich die innerhalb ner halben Stunde wieder aufsetzen und die letzte Software einspielen.

Backup-Leitung:  habe ich mir geschenkt, ich mache zwar täglich HomeOffice und wenn wirklich mal die Kabel-Leitung ausfallen, kann ich notfalls mein Firmenhandy als Einwahl zum Arbeiten nutzen. Das ist in den letzten 3 Jahren nur einmal notwenig gewesen und das war kein Ausfall sondern geplante Arbeiten am Kabelnetz durch Vodafone.

Ich habe selbigen Tarif.

Bei mir geht der Bridge Mode mit Vodafone derzeit nicht. Ich habe das ganze virtualisiert aufgebaut.

Grund
1. Mehr Hardwareauswahl als nativ OPNsense erlaubt.
2. Bessere Nutzung der Hardware. Siehe mein Screenshot. Ich kann auf dem gleichen Rechner Pi-Hole und eine Unifi Instanz betreiben.
3. Mit Backup und Restore auf VM Ebene bin ich schneller wieder am Start  (Wenn mal ein update OPNsense schief geht oder noch nicht optimal läuft)

Als Rechner bieten sich kleine Mini PC Instanzen an. (Intel N100  Alder Lake)

(http://mein_netz.jpg)

@Tuxtom007

Vielen Dank für die Antwort und die Ansichten, das hilft immer.

Ob Virtualisiert oder nicht, das ist im Endeffekt ja eine Sache die man später einrichten kann. Ich stelle mir eher die Frage, welche Hardware ich nun nutzen möchte bzw. welche Klasse notwendig ist für die Anforderungen um unter Vollast alles machen zu können.

Hat OPNsense nicht Probleme mit sehr hohem Durchsatz, speziell VPN und Gigabit Leitungen, aufgrund des BSD Kernel?

Die BackUp Leitung/Möglichkeit ist deshalb wichtig weil wir hier alle 2 Tage Netzprobleme haben aber auch um den Upload zu erhöhen, daher ist das eine Möglichkeit die durchaus zeitig genutzt werden sollte/müsste. Aber das ist eine Sache für sich.


@lewald

Bridge Modus geht bei geliehenden/gemieteten FritzBoxen von Vodafone nicht, nur das der gesamte Traffic unbearbeitet über einen der LAN Anschlüsse durch geschliffen wird. Das geht.

Der Screenshot ist Goldwert da ich eine ähnliche Installation im Kopf habe/mir vorschwebt, ob Virtualisiert oder nicht. Zumal hinter der OPNsense ein Switch soll, der dann den rest regelt.

Die Frage ist nur, mit dem was ich vorhabe und dem Durchsatz, ob da ein MiniPC "ausreicht" bzw. genügt.
Stichwort Stromverbrauch und 24/7 verbrauch.

- Hat OPNsense nicht Probleme mit sehr hohem Durchsatz, speziell VPN und Gigabit Leitungen, aufgrund des BSD
Kernel? -

Nein nicht auf diesem Level. Ich bekomme quasi fast die gesamte Bandbreite von der Cabel/ Fritte bis zu meinen Clients. Und den vollen Upload. Mit Wireguard bekommen ich bei mir auch die volle Bandbreite (die mein gegenüber liefern kann). Das sind bei mir ca. 60 Mbit. Da ist die Sense dann zu 60 % ausgelastet. Ich habe das ganze auf einem ca. 10 Jahren alten i5 am laufen. Die Adler Lake A100 sind in einer ähnlichen wenn nicht sogar besseren Leistungsklasse. Bei deutlich weniger verbrauch.

Fragt mal Netflix, weshalb sie diesen problematischen BSD-Kernel benutzen, um von einer Maschine aus 800 Gbit/s an Video auszuliefern ... :P

Das ist jetzt Äppel /Birnen vergleich. Es gab sehr wohl Probleme bei der Performance jenseits von 10 Gbit. Zumindest wenn man es als Firewall benutzen will.

@lewald

Also im Klartext: Umso größer die Leitung/Ansprüche, umso bessere Hardware ist notwendig, was ja auch logisch ist.
Interessant, vor allem wenn man mit dem Gedanken spielt, das so zukunftssicher zu machen das falls mal eine größere Leitung kommt, man nichts neu kaufen muss/müsste. Also: Die Hardware soll größer sein als das was rein und raus geht.
Das jede Router software irgendwann an ihr Limit kommt, ist klar. Nur wer hat zuhause schon eine 10Gbit Internet Verbindung ;)

https://forum.opnsense.org/index.php?topic=35603.0

https://www.amazon.de/Firewall-Appliance-HUNSN-Barebone-Storage-N100/dp/B0BZJC12VP?th=1

Naja das schöne an einer Software Lösung ist ja du kannst die Hardware tauschen. Mit Virtualisierung oftmals auch noch viel einfacher.

Quote from: lewald on October 08, 2023, 02:04:52 PM
https://forum.opnsense.org/index.php?topic=35603.0

https://www.amazon.de/Firewall-Appliance-HUNSN-Barebone-Storage-N100/dp/B0BZJC12VP?th=1

Naja das schöne an einer Software Lösung ist ja du kannst die Hardware tauschen. Mit Virtualisierung oftmals auch noch viel einfacher.

Das stimmt, definitiv - Virtualisierung hat halt Vorteile. Unabhängig davon, Schaue ich mir das auf Amazon mal an und schaue dann weiter. Definitiv nicht davon gewusst, dachte immer die hätten nicht genug Leistung für alles was ich damit vorhabe/ausprobieren möchte🤔

Fun Fact: Dachte immer sowas wie ein Ryzen 5 3600X wäre eher etwas, was die Leistung etc angeht. Glaube ich sollte mich nochmal etwas mehr in die Hardware einarbeiten

Quote from: deltaexray on October 08, 2023, 12:56:46 PM
Hat OPNsense nicht Probleme mit sehr hohem Durchsatz, speziell VPN und Gigabit Leitungen, aufgrund des BSD Kernel?

Ich habe einen MiniPC / lüfterlos, mit Core i5, 32 GB RAM und ner 128 GB SSD drin und 8 Netzwerk-interface, der ist für meine Zwecke vollkommen oversized. Der Core-i3 mit 16 GB hätte locker gereicht. Das Teil langweilt sich total.
Aber mehr mehr Leistung in Reserver haben als das Gerät ständig am Limit zu betreiben, das ist auf Dauer nicht gut für die Lebensdauer.
Mein Rechner ist von NRG-Systems, ich würde den jederzeit wieder kaufen, dann aber als 19" Rackmodell und mit 2,5 GBit Netzwerkkarten ( was die neueren Modelle eh meist schon haben )

Bei einem Bekannten von mir laufen zwei Hardware-OPNSense Modelle mit 10 GBit Netzwerkanbindungen und 2 x1 GBit-Glasfaserleitungen in einer gemischten Firmen/Privat Netzwerkumgebungen - die OPNSense ist das letzte Gerät im Netzwerk, was ans Limit geht, die hat Power genug.

Quote from: deltaexray on October 08, 2023, 12:56:46 PM
Bridge Modus geht bei geliehenden/gemieteten FritzBoxen von Vodafone nicht, nur das der gesamte Traffic unbearbeitet über einen der LAN Anschlüsse durch geschliffen wird. Das geht.

Der BridgeModus geht bei jeder Fritzbox, auch wenn der im Menü nicht angezeigt wird, ist die Funktion vorhanden und mit einem kleinen Confighack kann man das Menü aktivieren.

ABER: Damit der BridgeModus funktioniert, muss am Anschluss seitens Vodafone eine maxCPE-Wert von mind. 2., besser 3 eingestellt werden. 
Manche haben Glück, das diese der Fall ist, bei anderen schaltet Vodafone das nur, wenn man von denen eine FritzBox gemietet hat, allerdings ist die Bundesland-abhängig und Vodafone macht das sehr ungerne.

Ich habe eine von Vodafone gemietete Fritzbox 6591 und der BridgeModus ist von Vodafone ganz offizielle aktiviert ( in NRW, ex Unitymedia-Netz ).

Der maxCPE-Wert sagt aus, wieviele IP-Adresse die FritzBox vom Netz bekommt, für den BridgeModus sind mind. 2 erforderlich, wobei es aber auch Bereiche gibt, wo es nur mit einem Wer von "3" funktioniert.
Die FritzBox nimmt sich immer die erst IP, egal ob für Telefonie benötigt oder nicht, die 2. wird dann über den LAN-Port 2,3 oder 4 durchgereicht.

@Tuxtom007

Gut zu wissen, wo dann die "Flaschenhälser" sind, davon abgesehen wird es mit einer größeren Leitung sowieso noch dauern, wir kennen das ja alle, nur ich möchte ungern doppelt kaufen so gesehen.

Ich habe irgendwie Schwierigkeiten zu glauben, das ein I3 oder I5 mit 4 bzw. 4/4 Kernen, genug Leistung hat. Also entweder denke ich wirklich zu kompliziert oder unterschätze was Standard Router/FritzBoxen an Leistung haben, so das ein I5 wirklich richtig Dampf hat.
Auf der anderen Seite wäre es aber sehr schön wenn das stimmt, denn wenn die Stromverbrauchs Angaben stimmen, wäre das sehr nice - Man muss ja nicht mehr verbrennen als notwendig, nicht war?

NRG Systems kenne ich übrigens auch, ist mir auch schon des häufigerem unter die Nase gekommen - Wenn es die Leistung bringt, wäre das definitiv eine Option als Rack Mount für den Preis


Da hat sich jemand auch mit der Thematik auseinander gesetzt?;D Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.
Davon abgesehen, dieser ist auch bei mir aktiviert - Das meinte ich mit dem weiterschicken des Traffics über einen der 4 Lan Anschlüsse, was mir immerhin mehr Möglichkeiten gibt. Telefon soll ja weiter über die FritzBox laufen, den Rest dann über die OPNsense mit Switch dahinter.

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance. Sie wären mit Aufgaben wir Virenscans, Zenarmor usw. deutlichst überfordert.

I3 oder I5 reichen also locker aus, wobei die neueren Plattformen N5105, N200 usw. in ähnlichen Leistungsbereichen liegen, aber deutlich weniger brauchen.

Wenn man Virtualisierung für die Firewall machen möchte, ginge z.B. auch so etwas (dann hätte man sogar das NAS gleich integriert): https://www.cnx-software.com/2023/06/13/aoostar-amd-ryzen-5-mini-pc-also-works-as-a-two-bay-nas-and-2-5gbe-router/

Quote from: deltaexray on October 08, 2023, 05:06:44 PM
Da hat sich jemand auch mit der Thematik auseinander gesetzt?;D Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.

Nö, bin vorbelastet, hat über 15 Jahre bei Vodafone gearbeitet aber nicht im Kabelbereich :-)

Klar wollen die das blockieren, es ist offiziell kein Funktion der FritzBox, AVM verweigert jeglichen Support und verweisst sofort auf die Provider.
Zudem verliert Vodafone für jeden BridgeModus locker mal zwei öffentliche IPv4-Adresse und die sind nunmal knapp bzw. nicht mehr verfügbar.  Man hat mal gemunkelt, das die ganz weg wollen, die Bridge-Funktion frei zuschalten.
Dann bleibt nur der Weg über ein Kabelmodem und Telefonie anderweitig zu lösen ( FritzBox als Client im Netz z.b. )

Zudem bekommt Vodafone massiv Gegenwind, weil viel Glasfaser ausgebaut wird, bei und fängt gerade die Erfassung von Interessenten an, wenn 30% überschreitet, wird ab Januar ausgebaut - ich hoffe es, ich will weg von Vodafone und mehr Upload-Bandbreite haben.

Performance, hier mal ein Screenshot meines OPNSense über 7 Tagen der CPU-Load:

Quote from: meyergru on October 08, 2023, 06:21:14 PM
Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance. Sie wären mit Aufgaben wir Virenscans, Zenarmor usw. deutlichst überfordert.

I3 oder I5 reichen also locker aus, wobei die neueren Plattformen N5105, N200 usw. in ähnlichen Leistungsbereichen liegen, aber deutlich weniger brauchen.

Wenn man Virtualisierung für die Firewall machen möchte, ginge z.B. auch so etwas (dann hätte man sogar das NAS gleich integriert): https://www.cnx-software.com/2023/06/13/aoostar-amd-ryzen-5-mini-pc-also-works-as-a-two-bay-nas-and-2-5gbe-router/

Ja, dass die nur das können, was sie sollen, ist ja hinlänglich bekannt. Das machen sie auch gut, nur eben nicht in allen Bereichen wie viele andere und ich es gerne hätten.

Guter Einwand, allerdings steht hier schon ein Server mit allem drum und dran. Zumal das auch zu wenig Speicherplatz wäre 😬

Quote from: Tuxtom007 on October 08, 2023, 06:48:37 PM

Quote from: deltaexray on October 08, 2023, 05:06:44 PM
Da hat sich jemand auch mit der Thematik auseinander gesetzt?;D Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.

Nö, bin vorbelastet, hat über 15 Jahre bei Vodafone gearbeitet aber nicht im Kabelbereich :-)

Klar wollen die das blockieren, es ist offiziell kein Funktion der FritzBox, AVM verweigert jeglichen Support und verweisst sofort auf die Provider.
Zudem verliert Vodafone für jeden BridgeModus locker mal zwei öffentliche IPv4-Adresse und die sind nunmal knapp bzw. nicht mehr verfügbar.  Man hat mal gemunkelt, das die ganz weg wollen, die Bridge-Funktion frei zuschalten.
Dann bleibt nur der Weg über ein Kabelmodem und Telefonie anderweitig zu lösen ( FritzBox als Client im Netz z.b. )

Zudem bekommt Vodafone massiv Gegenwind, weil viel Glasfaser ausgebaut wird, bei und fängt gerade die Erfassung von Interessenten an, wenn 30% überschreitet, wird ab Januar ausgebaut - ich hoffe es, ich will weg von Vodafone und mehr Upload-Bandbreite haben.

Performance, hier mal ein Screenshot meines OPNSense über 7 Tagen der CPU-Load:

Ohje, hoffentlich ohne Folgeschäden herausgegangen ;D

Logisch, IPV4 ist immer knapper, da wollen die sowieso Ihre Sachen zusammenhalten. Dual Stack Lite, also beide IPV4 und IPV6, hab' ich ja hier, zum gluck. ist ja auch immer so eine Sache das zu bekommen.
Wobei ein gutes Kabelmodem, was das alles kann, aktuell seine 250€ kostet, eigene Fritz!Box als Telefonanlage würde nochmal gut was kosten - aber was macht man nicht alles für Vodafone ;)
Telekom fängt hier an auszubauen aber nicht ansatzweise schnell genug um Vodafone hier zu verdrängen, Glasfaser wäre und ist mittlerweile echt nötig, was das alles angeht. Mehr Upload steht hier auch auf der Liste.

Die Performance sieht sehr gut aus, also das wäre eine wirklich gute Sache wenn ich es ebenso/ähnlich hinbekommen würde. Zumal alles neuere besser laufen sollte, was Leistung/Energieverbrauch angeht - Jedenfalls wäre es wünschenswert

Quote from: meyergru on October 08, 2023, 06:21:14 PM
Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

Alles bis 1 Gbit/s ist aber auch mit PPPoE kein Problem mehr.

Quote from: Patrick M. Hausen on October 09, 2023, 05:29:50 PM
Alles bis 1 Gbit/s ist aber auch mit PPPoE kein Problem mehr.

Ich kenne nur aus der Vergangenheit entsprechende Berichte, wie z.B.
(https://miro.medium.com/v2/resize:fit:868/format:webp/1*HY6bsmtrKzLr9qmfnH2Mvw.png)
https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70

Sollte das nicht mehr so sein, umso besser.

900 Mbit/s netto mit Ookla in unserem Büro. Telekom 1 Gbit/s Glasfaser. Deciso DEC690.

Ich geb auch mal als newbie meinen Senf dazu.
Also zum testen würde ich dir raten OPNSense zu virtualisieren.
Läuft bei mir jetzt zwei Wochen, abgesehen von der Typischen Zwangstrennung die ich erst mal richtig konfigurieren musste, rennt das teil nun auf Proxmox.

Zum Backup gebe ich dir recht, da läufts dann wesentlich einfacher mit, aber auf entsprechender Hardware vorausgesetzt (in meinem fall wird es eine protectli) setze ich auch einfach auf proxmox und dann erst OPNsense.

Eben weil ich die Vorzüge meines Proxmox Backup Servers nicht missen möchte (Restore Zeit = Lebenszeit).
Ist mit dem restore in ca 3 Minuten erledigt.

Liegt aber an mir, da ich einfach alles Virtualisiere.


Sicherlich kannst du dir einfach auf einem barebone (was protectli auch ist imho) installieren und dort die Backup files ziehen, damit sähe das Backup und restore etwas anders aus aber geht sicherlich auch klar.

Daher mein Tip:

Probier doch erst mal alles virtuell aus, bei gefallen dann auf spezielle Hardware falls dann noch gewünscht.

Quote from: stevie on October 09, 2023, 05:21:48 PM

Quote from: meyergru on October 08, 2023, 06:21:14 PM
Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

kann ich so nicht unterschreiben. Brutto liegen bei mir 275Mbit/s down und 48Mbit/s up an.
Da kommt die Fritte gar nicht hin. Liege meist im Netto bei 228Mbit/s und 38Mbit/s.
OPNSense auf Proxmox hingegen: 250Mbit/s und 42 Mbit/s (inkl. ein paar Proxmox und NIC relevante tunables).

Daher ist die Performance virtualisiert garnicht so übel, naja mehr als ne 250er gibts hier auch nicht.

Quote from: 0zzy on October 10, 2023, 02:26:43 PM
Eben weil ich die Vorzüge meines Proxmox Backup Servers nicht missen möchte (Restore Zeit = Lebenszeit).
Ist mit dem restore in ca 3 Minuten erledigt.

Wie oft muss du deine OPNSense den restoren ?
Ich hab das in 1 1/2 Jahren Nutzung einmal machen müssen und da war es ein Hardwaredefekt ( SSD in der OPNSense kaputt ) - halbe Stunde und das Teil lief wieder ( hatte zum Glück noch ne Samung SSD rumliegen )

@Tuxtom007 bisher zweimal.
ich probier gern mal was aus, beim ersten mal hab ich meine lan schnittstelle versemmelt, als ich die beste möglichkeit für mein lab gesucht habe welche art der anbindung bei den nics ich nutze. kam nicht mal mehr ins system. ich kann dir auch nicht sagen was genau die ursache war, proxmox logs haben nix ausgespuckt.

Beim zweiten mal war es einfach ein test, gut 3 Minuten sind übertrieben, läuft auf ner nvme sind vielleicht 60 sekunden.

Aber warum nicht alle Vorzüge aus beiden Welten nutzen?
wenn es hardware technisch doch realisierbar ist, dann mach ich das auch ;).

Der Vorteil ist einfach, ich habe diverse storage möglichkeiten, das hilft mir ungemein dinge auszutesten und einfach per snapshot bspw. auf den Ursprung zu kommen.

nach 1,5 Jahren ist schon geil, aber Pferde kotzen gewissermaßen immer vor die apotheke, ich hab schon so einiges erlebt.

Muss der TE aber selbst entscheiden, ist nur ein gut gemeinter rat, damit man sich viel nerven sparen kann.

Quote from: 0zzy on October 10, 2023, 02:33:58 PM

Quote from: stevie on October 09, 2023, 05:21:48 PM

Quote from: meyergru on October 08, 2023, 06:21:14 PM
Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

kann ich so nicht unterschreiben. Brutto liegen bei mir 275Mbit/s down und 48Mbit/s up an.
Da kommt die Fritte gar nicht hin. Liege meist im Netto bei 228Mbit/s und 38Mbit/s.
OPNSense auf Proxmox hingegen: 250Mbit/s und 42 Mbit/s (inkl. ein paar Proxmox und NIC relevante tunables).

Daher ist die Performance virtualisiert garnicht so übel, naja mehr als ne 250er gibts hier auch nicht.

Vielleicht hast du eine uralte Fritz!Box? Dein Proxmox-Server könnte auch deutlich mehr Leistung als so mancher MiniPC haben.

Ich habe eine Protectli FW4B mit einem J3160 und kann mich an die Details nicht mehr erinnern aber ich weiß noch, dass ich PPPoE schon merklich gespürt habe, als ich damit auf einmal nach einem Providerwechsel in Berührung kam. Und das unter IPFire bzw. Linux, wo PPPoE ohnehin besser als mit FreeBSD laufen soll. Ich habe dann eine Fritz!Box davor gehangen, die vorher dahinter war.
Ich nutze Cake (kann leider BSD nicht, sondern nur das ältere FQ_Codel) und in Speedtests bricht durch Cake mit der CPU der Download dann um ca. 50% ein (Upload deutlich weniger). Surricata habe ich ebenfalls noch am laufen.

Quote from: Patrick M. Hausen on October 09, 2023, 05:40:09 PM
900 Mbit/s netto mit Ookla in unserem Büro. Telekom 1 Gbit/s Glasfaser. Deciso DEC690.

Ich kann die CPU bzw. die CPU-Leistung nicht einordnen - daher kann ich die Aussage nur bedingt einordnen. Finde es gut, wenn dem so ist. Im Forum hier findet man aber auch anderes Aussagen zu PPPoE. Daher bleibt eine gewisse Skepsis, auch wegen meiner eigenen Erfahrung (siehe oben). Hast du irgendwelche Tunable an bzw. verzichtest auf FQ_Codel und sonstige Dienste, die CPU-Leistung ziehen können?

z.B. TCP Offload Engine: https://teklager.se/en/knowledge-base/opnsense-performance-optimization/
=> hat das eigentlich irgendwelche Nachteile?

Ist ein "AMD GX-416RA SOC (4 cores, 4 threads)". Ich hab RSS für 4 Kerne konfiguriert und eingeschaltet, das wars aber auch.

TSO ist m.E. nur sinnvoll für Verbindungen, die auf einem System enden, und das sind in unserem Fall hier die wenigsten. Die Firewall reicht die Pakete doch nur durch. Ähnlich TCP Prüfsummen, wobei die natürlich bei NAT schon gebraucht werden.

@steve wenn eine 7590 AX alt ist deiner Meinung nach, mag das sicherlich stimmen.

Quote from: 0zzy on October 10, 2023, 09:51:27 PM
@steve wenn eine 7590 AX alt ist deiner Meinung nach, mag das sicherlich stimmen.

Bei mir ist eine FRITZ!Box 7530 AX im Einsatz. Genaue Werte kann ich nicht liefern. Dazu ist das zu lange her und um das jetzt alles durchzutesten, fehlt mir aktuell die Zeit.

@stevie ist aktuell nur mein wifi ap. Nutze ne vigor 167 als Modem (wenn ich mich nicht irre).

UH Boy, das wird eine lange Antwort:

PPPoE ist hier im Hoheitsgebiet NRW von Vodafone kein Thema, alles was man an anderen Internetanschlüssen bekommen könnte ist deutlich weniger in der Bandbreite und deutlich teurer als das, was aktuell gezahlt wird. Die Frage ist eher, ob ich nicht über kurz oder lang ein TC4400-EU anschaffe, wenn es wieder verfügbar ist, um die im Bridge Modus befindliche FritzBox zu entfernen - Wobei das eher ein Afterthought ist.

@Ozzy
Virtualisierung um im Vorfeld damit rumzuspielen ist das tatsächlich auch einplan, den ich habe. Muss nur schauen ob ich's auf meinem Server mache oder externe Hardware nehme.
Vor allem wäre es final halt hardware, die dann gedoppelt wird oder halt virtualisiert. Von daher ist und war dein Beitrag schon sehr interessant, gerade auch aus "Neulings" Sicht.

@all
Generell habt ihr alle fast den selben Ansatz, den ich auch hatte bzw. habe, alleine weil man sich den ganzen Rotz ja erst einmal zusammen suchen bzw. erklären muss.
Die FritzBox ist in dem gesamten Plan ja nur noch als Bridge und als Telefonanlage gedacht, damit von Vodafone Seite aus nichts geändert werden muss.

Was haltet Ihr eigentlich davon? Overkill oder eher gute Basis/Genug?:
https://shop.opnsense.com/product/dec2750-opnsense-rack-security-appliance/

@tuxtom007

Hab's grad mal gecheckt, der MaxCPE wert ist bei mir auf 3 gesetzt. Bin ich ehrlich gesagt sehr froh drüber, möchte mich ungern mehr als nötig mit Vodafone auseinander setzen, das ist hier sowieso schon Glück das alles läuft;D

Quote from: deltaexray on October 11, 2023, 08:24:20 PM
Was haltet Ihr eigentlich davon? Overkill oder eher gute Basis/Genug?:
https://shop.opnsense.com/product/dec2750-opnsense-rack-security-appliance/

Ein g..... Teil, aber für Hausgebrauch vollkommen oversized.
Bekannter von mir hat davon zwei in seinem Netz, das ist aber ein Netzwerk welches sich über sein Privathaus und sein Firma nebenan erstreckt, angeschlossen an 2 x 1 GBit Glasfaser.
Die beiden OPN's langweilen sich damit gewaltig.

Ich würde mir lieber einen MiniPC kaufen mit mehren NIC's drin ( achte am besten direkt auf 2,5GBit NIC's ), ordentlich SSD da rein, 16Gb Speicher und ab dafür - kostet dich gerade mal die Hälfte.
Die OPNSense Software ist vom USB-Stick in 5min installiert, die Arbeit fängt dann an mit der Konfiguration.

Wenn ich mir jetzt für OPNsene neue Hardware kaufen würde, dann würde es wahrscheinlich bei mir eine Protectli VP2420 (J6412, 4x 2.5 GBe, OpenCore und deaktivierte Management Engine) oder eine IPU410 von NRG Systems (N100, 4 x 2.5 GBe) werden.
Preislich liegen die gleich. Protectli hat den Vorteil mit OpenCore, dafür hat die IPU4100 die aktuelle CPU.

DEC2750 hat leider einen V1000 verbaut, obwohl dieser schon zwei Nachfolger hat (aktuell ist V3000 basierend auf Zen 3). Finde es immer ärgerlich wenn in so Appliance jahrelang die gleichen bzw. veraltete CPUs verbaut werden, auch wenn es schon lange Nachfolger gibt, selbst wenn die Performance nach wie vor gut ist (z.B. z.B. Security-Schwachstellen in der Hardware, man könnte etwas aktuelles für den gleichen Preis bekommen, etc.).

Und das, obwohl das Design ja ohnehin geändert wurde (I225-V statt I211).

Wie sieht es denn bei den IPU Systemen von NRG Systems und auch DEC mit der Firmwarepflege (UEFI/BIOS) aus? Dazu konnte ich eben nichts finden.

Quote from: stevie on October 14, 2023, 02:17:58 PM
Finde es immer ärgerlich wenn in so Appliance jahrelang die gleichen bzw. veraltete CPUs verbaut werden, auch wenn es schon lange Nachfolger gibt, selbst wenn die Performance nach wie vor gut ist (z.B. z.B. Security-Schwachstellen in der Hardware, man könnte etwas aktuelles für den gleichen Preis bekommen, etc.).

Nicht unbedingt ist das Neuste immer das Beste - gerade Hardware die im 24/7 Dauerbetrieb beim prof. Anwendern, muss stabil laufen und das über lange Zeit und vor allem über lange Zeit auch supportet werden.

Ich hab schon oft genug erlebt, das neue Hardwarekomponenten massiv Ärger machen.

Quote from: stevie on October 14, 2023, 03:05:36 PM
Wie sieht es denn bei den IPU Systemen von NRG Systems und auch DEC mit der Firmwarepflege (UEFI/BIOS) aus? Dazu konnte ich eben nichts finden.

Ich arbeite selber im IT-Bereich und ich laufe nicht jedem Firmware-Update hinterher.  Ich hab ein NRG-System für meine OPNsense, das wird kein Firmwareupdate drauf gemacht, das Teil läuft stabil und das soll so bleiben. Das Risiko einer neuen Firmware gehe ich garnicht ein, weil ich keinen Grund für sehe.

Quote
und ich laufe nicht jedem Firmware-Update hinterher.  Ich hab ein NRG-System für meine OPNsense, das wird kein Firmwareupdate drauf gemacht, das Teil läuft stabil und das soll so bleiben. Das Risiko einer neuen Firmware gehe ich garnicht ein, weil ich keinen Grund für sehe.

Security Schwachstellen kommen Dir offenbar nicht in den Sinn oder scheinen keinen Grund darzustellen.
Aktuelles Beispiel: https://www.msn.com/de-de/nachrichten/digital/f5-big-ip-it-sicherheitslücke-mit-hohem-risiko-warnung-erhält-update/ar-AA1i5vom (https://www.msn.com/de-de/nachrichten/digital/f5-big-ip-it-sicherheitsl%C3%BCcke-mit-hohem-risiko-warnung-erh%C3%A4lt-update/ar-AA1i5vom)

"Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 10.10.2023 einen Sicherheitshinweis für F5 BIG-IP veröffentlicht. Der Bericht weist auf mehrere Schwachstellen hin, die von Angreifern ausgenutzt werden können. Betroffen von der Sicherheitslücke sind das Betriebssystem BIOS/Firmware sowie das Produkt F5 BIG-IP. Zuletzt wurde diese Warnung am 11.10.2023 aktualisiert."

QuoteIch arbeite selber im IT-Bereich

Vulnerability & Patch Management?!

Naja, das ist der Vergleich zwischen Äpfeln und Birnen... bei F5 spricht man zwar von "Firmware" Bugs, das ist in dem Fall aber die komplette F5-Software. Für derlei Patches ist dann ja OpnSense selbst zuständig.

Bei OpnSense ist "Firmware" ja nur für das Booten und eventuell noch für Microcode-Updates zuständig. Letzteres kann man in OpnSense selbst erledigen (https://forum.opnsense.org/index.php?topic=36139), auch wenn man z.B. mit einer China-Box kaum eine Chance auf solche Security-Updates hat.

Improper access control in the  BIOS firmware for some Intel(R) Processors

K000134744: Intel BIOS vulnerability CVE-2022-38087
https://my.f5.com/manage/s/article/K000134744

K000137201: Intel BIOS vulnerability CVE-2022-37343
https://my.f5.com/manage/s/article/K000137201

Ist auch egal und war nur das erst beste Beispiel, das ich gefunden hatte.
In der Firmware (oder in der CPU) kann es Schwachstellen geben, die über UEFI/Firmware-Updates beseitigt werden. 

@Tuxtom007

Interessante Einsicht, vor allem da man als Privatkunde sowieso nicht bei TK Bestellen kann und ich sowieso schon in Frage gestellt habe, wie aktuell die Hardware da ist.
Zumal die neueren, wie ein N100, Ja durchaus sehr sehr gut sind. Wie bei NRG

@stevie

Habe den auch im Blick, alleine weil die Dinger klein sind und jetzt nicht die Welt einem vom Kopf fressen.
Overkill geht ja immer, das ist leicht. Es bedacht für den Homeuser zu machen ist die Kunst mittlerweile. Und wie hier schon erwähnt, wenn es einmal richtig läuft werden sehr sehr sehr selten Updates gemacht, alleine weil das Ding 24/7 läuft. Support ist ja da.

Quote from: deltaexray link=topic=36331.msg177916#msg177916
Overkill geht ja immer, das ist leicht. Es bedacht für den Homeuser zu machen ist die Kunst mittlerweile. Und wie hier schon erwähnt, wenn es einmal richtig läuft werden sehr sehr sehr selten Updates gemacht, alleine weil das Ding 24/7 läuft. Support ist ja da.

Ich nehme seit Jahren zeitnah jedes Update mit. Egal ob Software oder Firmware (bei mir OpenCore). Bei mir läuft das Ding ebenfalls 24/7.
Ein Security-Gerät sich hinzustellen, aber dann die Beseitigung von Security-Schwachstellen (die auch die Firmware/UEFI betreffen kann) teilweise zu ignorieren, ich weiß nicht. Gut, muss jeder selber entscheiden.

Ob die IPU Systeme hinsichtlich Firmware (UEFI) gepflegt werden oder nicht, ist mir zumindest nicht klar.

Das mit den Security-Updates habe ich auch mal so vereinfacht betrachtet. Man kann da nach der Maxime "better be safe than sorry" vorgehen - nur funktioniert das leider ohne weiteres nicht:

1. Wenn man mal wirklich mit einem Security-Checker wie z.B. Wazuh einen Vulknerability-Scan durchführt, stellt man fest, dass bei weitem nicht alle bekannten Bugs auch gefixt werden. Beispielsweise waren in meinem voll gepatchten Ubuntu 22.04-Server zu meiner Überraschung noch ca. 80 ungepatchte CVEs enthalten, teilweise 5 Jahre alt. Als ich da stichprobenartig nachgesehen habe, waren es bekannte CVEs, wo schon Debian als Ubuntu-Basis "wontfix" zu gesagt hat.

2. Ein weiteres Beispiel um Thema Microcodes: Ich habe oben schon meine Anleitung für OpnSense verlinkt (https://forum.opnsense.org/index.php?topic=36139.0). Allerdings gibt es auch da ein "aber": in den von FreeBSD und Linux bereitgestellten Microcode-Paketen sind nicht immer die neuesten Microcodes drin. Die kann man sich unter Linux aber selbst bauen: https://www.reddit.com/r/linux/comments/15xvpfg/updating_your_amd_microcode_in_linux/. Das gilt u.a. auch für die in der Deciso 27x0 und 7x0 verbauten AMD Ryzen Embedded V1500B.

3. In vielen Fällen sind die Entscheidungen, ein bestimmtes Paket nicht zu fixen, nachvollziehbar - nämlich, wenn das Szenario, in dem es eingesetzt wird, nicht zum Tragen kommt. Ein gutes Beispiel ist aktuell curl (siehe hier (https://forum.opnsense.org/index.php?topic=36433.0)), weil der in OpnSense eben keinen Socks5-Proxy verwendet.

4. Bei Open-Source gibt es immer einen Tradeoff zwischen Sicherheit und Funktionalität: Da es für die wenigsten Pakete gleichzeitig LTS- und aktuelle Versionen gibt, hat man das Problem, dass bei Bekanntwerden von Sicherheitslücken ein Patch auf die "alte", eingesetzte Version nicht stattfindet, die "neue", gepatchte Version aber leider andere Funktionen und/oder APIs hat, die zum Rest des Systems nicht passen und umfangreiche Änderungen zur Folge hätten.

Insbesondere Nummer 4 ist in der Realität ein großes Problem. Ich habe einen Freund, der Embedded-Systeme baut, die auf einer alten Version von OpenWRT basieren. Darin ist OpenSSL 1.0 enthalten, worauf der SFTP-Client basiert. Inzwischen haben fast sämtliche Provider von FTP-Servern auf OpenSSL 1.1.x oder höher umgestellt, so dass keine Verbindungsmöglichkeit mehr besteht, weil die Ciphers inkompatibel sind, da OpenSSL 1.1 die "unsicheren" Ciphers abgeschaltet hat und OpenSSL 1.0 die neueren noch nicht kann.
Er müsste die gesamte Basis seines Systems auf eine neuere Version von OpenWRT umstellen, was aber nicht geht, weil er mangels Speicherplatz nicht alles im Flash-ROM unterbringen kann und Teile der Software ins RAM nachladen muss.

Gleiches Problem bei kommerziellen Anwendungen - ich arbeite viel im Homebanking-Umfeld. Wenn dort z.B. Java-Basisbibliotheken zum Einsatz kommen, müsste man in Zweifel bei aufkommenden Sicherheitslücken den gesamten Basis-Stack für die Anwendung austauschen. Bevor man das macht und die Anwendung produktiv setzen kann, braucht man wochenlange Tests, ob die Funktionalität danach noch gegeben ist.

Diese Lücke zwischen "Rückwärts-Kompatibilität" und "Sicherheit" wird aktuell z.B. beim Linux-Kernel noch weiter aufgerissen, weil die Supportdauer für LTS-Kernels verkürzt wird (https://www.heise.de/news/Linux-Kernel-Nur-noch-zwei-Jahre-Unterstuetzung-9312377.html).

Für die Anbieter von Downstream-Anwendungen (wie Deciso mit OpnSense) ist das eine Gratwanderung: Sollen sie - bevor die Upstream-Pakete gefixt sind (falls sie das tun) - selber patchen? Eher nicht.

Als Endnutzer ist die Strategie "sofort patchen" tragfähig - kann halt sein, dass man dann irgendein Problem bekommt. Selbst wenn man bei OpnSense immer aktuell bleibt, gibt es immer wieder diese Situationen, wie dieses Forum beweist. Nicht zuletzt hinkt deswegen die Business-Variante immer ein wenig hinterher, weil dort eben die Auswirkung von Bananen-Ware auf potentiell viele Benutzer unerwünscht ist.

Quote from: stevie on October 14, 2023, 05:32:20 PM
Security Schwachstellen kommen Dir offenbar nicht in den Sinn oder scheinen keinen Grund darzustellen.
Aktuelles Beispiel: https://www.msn.com/de-de/nachrichten/digital/f5-big-ip-it-sicherheitslücke-mit-hohem-risiko-warnung-erhält-update/ar-AA1i5vom (https://www.msn.com/de-de/nachrichten/digital/f5-big-ip-it-sicherheitsl%C3%BCcke-mit-hohem-risiko-warnung-erh%C3%A4lt-update/ar-AA1i5vom)

Meine Aussage bezieht sich auf "mich" als Privatperson.

ich hab auch keine F5's zuhause rumstehen.

Quote from: meyergru on October 15, 2023, 12:20:47 PM
Das mit den Security-Updates habe ich auch mal so vereinfacht betrachtet. Man kann da nach der Maxime "better be safe than sorry" vorgehen - nur funktioniert das leider ohne weiteres nicht:

1. Wenn man mal wirklich mit einem Security-Checker wie z.B. Wazuh einen Vulknerability-Scan durchführt, stellt man fest, dass bei weitem nicht alle bekannten Bugs auch gefixt werden. Beispielsweise waren in meinem voll gepatchten Ubuntu 22.04-Server zu meiner Überraschung noch ca. 80 ungepatchte CVEs enthalten, teilweise 5 Jahre alt. Als ich da stichprobenartig nachgesehen habe, waren es bekannte CVEs, wo schon Debian als Ubuntu-Basis "wontfix" zu gesagt hat.

2. Ein weiteres Beispiel um Thema Microcodes: Ich habe oben schon meine Anleitung für OpnSense verlinkt (https://forum.opnsense.org/index.php?topic=36139.0). Allerdings gibt es auch da ein "aber": in den von FreeBSD und Linux bereitgestellten Microcode-Paketen sind nicht immer die neuesten Microcodes drin. Die kann man sich unter Linux aber selbst bauen: https://www.reddit.com/r/linux/comments/15xvpfg/updating_your_amd_microcode_in_linux/. Das gilt u.a. auch für die in der Deciso 27x0 und 7x0 verbauten AMD Ryzen Embedded V1500B.

3. In vielen Fällen sind die Entscheidungen, ein bestimmtes Paket nicht zu fixen, nachvollziehbar - nämlich, wenn das Szenario, in dem es eingesetzt wird, nicht zum Tragen kommt. Ein gutes Beispiel ist aktuell curl (siehe hier (https://forum.opnsense.org/index.php?topic=36433.0)), weil der in OpnSense eben keinen Socks5-Proxy verwendet.

4. Bei Open-Source gibt es immer einen Tradeoff zwischen Sicherheit und Funktionalität: Da es für die wenigsten Pakete gleichzeitig LTS- und aktuelle Versionen gibt, hat man das Problem, dass bei Bekanntwerden von Sicherheitslücken ein Patch auf die "alte", eingesetzte Version nicht stattfindet, die "neue", gepatchte Version aber leider andere Funktionen und/oder APIs hat, die zum Rest des Systems nicht passen und umfangreiche Änderungen zur Folge hätten.

Insbesondere Nummer 4 ist in der Realität ein großes Problem. Ich habe einen Freund, der Embedded-Systeme baut, die auf einer alten Version von OpenWRT basieren. Darin ist OpenSSL 1.0 enthalten, worauf der SFTP-Client basiert. Inzwischen haben fast sämtliche Provider von FTP-Servern auf OpenSSL 1.1.x oder höher umgestellt, so dass keine Verbindungsmöglichkeit mehr besteht, weil die Ciphers inkompatibel sind, da OpenSSL 1.1 die "unsicheren" Ciphers abgeschaltet hat und OpenSSL 1.0 die neueren noch nicht kann.
Er müsste die gesamte Basis seines Systems auf eine neuere Version von OpenWRT umstellen, was aber nicht geht, weil er mangels Speicherplatz nicht alles im Flash-ROM unterbringen kann und Teile der Software ins RAM nachladen muss.

Gleiches Problem bei kommerziellen Anwendungen - ich arbeite viel im Homebanking-Umfeld. Wenn dort z.B. Java-Basisbibliotheken zum Einsatz kommen, müsste man in Zweifel bei aufkommenden Sicherheitslücken den gesamten Basis-Stack für die Anwendung austauschen. Bevor man das macht und die Anwendung produktiv setzen kann, braucht man wochenlange Tests, ob die Funktionalität danach noch gegeben ist.

Diese Lücke zwischen "Rückwärts-Kompatibilität" und "Sicherheit" wird aktuell z.B. beim Linux-Kernel noch weiter aufgerissen, weil die Supportdauer für LTS-Kernels verkürzt wird (https://www.heise.de/news/Linux-Kernel-Nur-noch-zwei-Jahre-Unterstuetzung-9312377.html).

Für die Anbieter von Downstream-Anwendungen (wie Deciso mit OpnSense) ist das eine Gratwanderung: Sollen sie - bevor die Upstream-Pakete gefixt sind (falls sie das tun) - selber patchen? Eher nicht.

Als Endnutzer ist die Strategie "sofort patchen" tragfähig - kann halt sein, dass man dann irgendein Problem bekommt. Selbst wenn man bei OpnSense immer aktuell bleibt, gibt es immer wieder diese Situationen, wie dieses Forum beweist. Nicht zuletzt hinkt deswegen die Business-Variante immer ein wenig hinterher, weil dort eben die Auswirkung von Bananen-Ware auf potentiell viele Benutzer unerwünscht ist.

Im Großen und ganzen: Ja. Das Sicherheitslücken immer beseitigt werden sollten bzw. das man sich darum immer sofort kümmern sollte, ist glaube ich jedem hier soweit klar.
Das es aber manchmal, je nach Update, ein paar extra Probleme erzeugen ist so der einzige Grund, warum viele Updates erst einmal abwarten und dann erstmal schauen wie es performt - Siehe Windows Updates.

Ich glaube im großen und ganzen, ist es immer ein "Wie sehr habe ich mich mit dem Thema auseinander gesetzt/Wie sehr bin ich bereit das alles abzuwägen und mich dort einzuarbeiten."
Denke aber, das zum Beispiel die NRG Systeme durchaus eine sehr gute Anlaufstelle sind, wenn man etwas möchte was gut ist. Sicher gibt's auch auf Amazon genug und genügende Geräte, eine seriöse Anlaufstelle zu haben schadet jedoch nie.

Hallo an alle, die eventuell hier noch mitlesen 👋🏽

Die Tage gab's bei Amazon ein zeitlich begrenztes Angebot für die HUNSN I3 N305, was mich schlussendlich dazu bewegt hat dieses Projekt aus der Planungsphase in die Umsetzungsphase zu bringen. Gerät ist bestellt, kommt Ende April bzw. Anfang Mai, der Speicher kommt die Tage.

Jetzt geht's nur daran die ganzen Dienste einzurichten aber das ist ja auch der Spaß;)

...die NICs im Auge behalten

"Network Card: Intel 2.5GbE I226-V, UDE built-in filter connector"

https://forum.opnsense.org/index.php?topic=37717.0

Just in dem moment, in dem ich dachte, es würde einmal ohne "Probleme" gehen. Well.

Danke für's drauf aufmerksam machen. Ich wusste, das es durchaus Probleme mit gewissen Konfigurationen gibt aber das es nach wie vor so "aktuell" ist, wundert mich.
Anyway, wenn es dann in, hoffentlich, knapp 2 Wochen hier sein wird, werde ich das ganze mal durchtesten und dann sehen, was dabei herauskommt.
Nur wenn das Problem sowohl mit der PCI-E Card Version als auch mit den Internen besteht, wäre es auch egal sich dann etwas selbst zusammenzubauen - Würde ja zwangsläufig auf das selbe hinaus laufen.

VG
Alex

Hi

Kleines Update, für alle lesenden hier:
Barebone kam die Tage an, Intel S2363L10 SRKTU Netzwerk Chips on Board, läuft gerne Warm - Da sind definitiv 2 Lüfter für Luftzug notwendig, sonst hast du eine sehr warme Wärmflasche. Ansonsten super gebaut, das Ding ist echt schwer.

Werde es die Tage dann zum Einsatz bringen und dann demnächst berichten.

Cheers
Alex'