OPNsense Forum

Hallo,

ich hatte vor ein paar Monaten schon einmal einen Beitrag erstellt, aber es ist etwas Zeit vergangen und ich bin jetzt liquide genug, um mein Heimnetz umzustellen.

IST: 15 Devices im Netzwerk, 1GBIT Anschluss von Vodafone vorhanden
SOLL: ConnectBox ablösen, um volle Kontrolle zu erlangen. Dies in Verbindung mit NGFW Funktionen von Zenarmor.

Leider gibt es auf Amazon so viele Angebot, das ich die Übersicht verloren habe. Ich habe mir die Protectli angeguckt, aber diese ist relativ teuer. Könnt ihr mir eine gute Appliance empfehlen, die gut, aber nicht unbedingt mehr als 250€ kostet?

Ich habe jetzt diese gefunden:

https://www.amazon.de/MINIS-FORUM-Prozessor-Unterst%C3%BCtzung-DisplayPort/dp/B089CNZL8S/ref=cm_cr_arp_d_bdcrb_top?ie=UTF8 (https://www.amazon.de/MINIS-FORUM-Prozessor-Unterst%C3%BCtzung-DisplayPort/dp/B089CNZL8S/ref=cm_cr_arp_d_bdcrb_top?ie=UTF8)

Was haltet ihr von der?

Grüße
August

Sei dir im klaren dass du 2 Geräte benötigst um die ConnectBox abzuschaffen.

Du brauchst ein Modem für Kabel/DSL/Glasfaser, und eine Appliance für OPNsense.

Und außerdem sollte Deine Firewall zwei Netzwerkanschlüsse haben - möglichst keine Realteks, siehe Punkte 1 und 6 hier (https://forum.opnsense.org/index.php?topic=42985.0).

Der Minisforum GK41 hat nur einen Netzwerkanschluss und ob das ein Realtek oder ein Intel-Chip ist, lässt sich den Spezifikationen nicht entnehmen - bei dem Preis würde ich daher eher von Realtek ausgehen.

Wenn Du Zenarmor mit 1 GBps nutzen willst, reicht m.E. ein J4125 nicht aus (siehe Punkt 7 (https://forum.opnsense.org/index.php?topic=42985.0)), ich würde einen N100 nehmen, z.B. https://www.amazon.de/Firewall-Appliance-Fanless-Celeron-Support/dp/B0D47T5L6T oder https://www.amazon.de/KingnovyPC-Firewall-Appliance-Fanless-Support/dp/B0DGCSMMPF, wegen Zenarmor eventuell auch mit mehr als 8 GByte RAM.

sowas?

https://de.aliexpress.com/item/1005006959273302.html?spm=a2g0o.productlist.main.5.2323zcNgzcNgib&algo_pvid=727d5781-ceaa-42c5-a5e6-14557685d5bd&algo_exp_id=727d5781-ceaa-42c5-a5e6-14557685d5bd-2&pdp_npi=4%40dis%21EUR%21379.40%21257.99%21%21%21411.59%21279.88%21%4021039cae17271734139788976ee211%2112000038860435374%21sea%21DE%21703111562%21X&curPageLogUid=6yOuOBSkD6uv&utparam-url=scene%3Asearch%7Cquery_from%3A

Im Prinzip ja, nur:

1. Hat das Modell entweder einen Lüfter oder eine ungeschickte Abdeckung über den Kühlrippen. Die Prozessoren oberhalb des N100 kommen auch ohne Lüfter nicht mehr klar. Ich würde immer die größeren Passivgehäuse nehmen, weil die CPU-Temperaturen da ca. 10 Grad niedriger liegen.

2. Kommt der noch was teurer, wenn man RAM und SSD dazunimmt.

3. Aliexpress rechnet die Einfuhrumsatzsteuer und den Zoll zwar zunächst raus wenn Preis > 200€, aber das Ding kann dann beim Zoll liegen und man muss selbst einführen und zahlen... nur unterhalb übernimmt das (derzeit noch) Aliexpress (dann wird allerdings auch nichts vorab abgezogen). Wenn überhaupt, würde ich ein Modell < 200€ suchen und dann RAM und SSD hier nachrüsten - dann kann man auch mehr RAM und eine Qualitäts-NVME einbauen - bei den Komplettangeboten heißt 16 GByte RAM automatisch mindestens 512 GByte SSD.

Quote from: Monviech on September 24, 2024, 10:11:29 AM
Sei dir im klaren dass du 2 Geräte benötigst um die ConnectBox abzuschaffen.

Du brauchst ein Modem für Kabel/DSL/Glasfaser, und eine Appliance für OPNsense.

Sicher? Die Einwahl würde die ConnectBox machen, wenn ich den Bridge Moodus nehme

@meyergru: Laut Bild hat der Zwei Anschlüsse.

Alternativ noch den gefunden:
https://www.amazon.de/Ethernet-Lake-N95-Desktop-PC-Geringer-Stromverbrauch/dp/B0BVV27M3N/ref=sr_1_3?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&sr=8-3

Gleiches Thema: Was sind das für NICs? Mit Realtek wirst Du nicht glücklich. Noch etwas dazu: Mit 1 GBps NICs erreicht man zwangsläufig oft etwas weniger als 1 Gbps (kommt auch auf den ONT an, ob der 2.5 Gbps kann). Mit 2.5 GBps kann es ggf. mehr sein (siehe meine Signatur).

Und: Der N95 (https://www.intel.de/content/www/de/de/products/sku/231800/intel-processor-n95-6m-cache-up-to-3-40-ghz/specifications.html) unterscheidet sich in der Verlustleistung (15 Watt) vom N100 (https://ark.intel.com/content/www/de/de/ark/products/231803/intel-processor-n100-6m-cache-up-to-3-40-ghz.html) (6 Watt).

Das willst Du nicht - schon gar nicht in dem aktiv gekühlten Gehäuse. P.S.: Der Mini-Lüfter sorgt auch noch für Mehrverbrauch.

Danke Meyer. Schnelle und professionelle Erklärung!

Hast du oder ihr auch eine Empfehlung bzgl. Access Points? Möchte mein Netz auf Layer2 zusätzlich segmentieren und der AP muss mindestens 2 SSID können, die auch noch VLAN fähig sind.

Wenn man sich nicht den Kaninchenbau "Unifi" antun sondern nur einen oder zwei APs traditionell (Browser und/oder SSH) verwalten will, finde ich Mikrotik sehr nett. Habe ich auch zuhause.

Der hAP-ax2 und der hAP-ax3 kosten 99 und 129 Euro, jeweils.

https://mikrotik.com/product/hap_ax2
https://mikrotik.com/product/hap_ax3

Mikrotik ist toll, aber fordert den Benutzer schon auch.

Benutze selbst Unifi.

Quote from: August8828 on September 24, 2024, 08:40:36 AM
SOLL: ConnectBox ablösen, um volle Kontrolle zu erlangen. Dies in Verbindung mit NGFW Funktionen von Zenarmor.

Hier stand nix von "Ich behalte die ConnectBox im Bridge Modus". Das ließt sich so wie "Alles muss weg."

Du hast Recht :D natürlich soll die Connectbox nicht weg.

Sowas auch okay?

https://www.amazon.de/ZyXEL-Verwaltbar-Standalone-WLAN-Netzwerke-inklusive/dp/B09925PHCZ/ref=sr_1_2_sspa?sr=8-2-spons&sp_csd=d2lkZ2V0TmFtZT1zcF9hdGY

Ist halt Zyxel, also irgendein Consumer-Kram. Keine Ahnung ...

Ich kenne die ZyXEL nicht, aber ich würde, wenn ich mich von einer einfach zu administrierenden Fritzbox löse, um mit einer OpnSense mehr Kontrolle auszuüben, immer auch gleich eine Segmentierung vornehmen, um z.B. IoT-Geräte  in einem separaten Netz zu betreiben.

Da diese Geräte meist per WLAN verbunden sind, benötigt man dazu zwangsläufig einen AP, der VLANs auf WLANs abbilden kann (z.B. Mikrotik oder Unifi). Bei Unifi wäre ein Controller gut, den man z.B. auf der OpnSense betreiben kann.

Nebenbei setzt das entweder einen VLAN-fähigen Switch oder genügend Ports an der OpnSense voraus, um ggf. dort den/die AP(s) anschließen zu können - meine Hardware-Vorschläge bieten diese Möglichkeit.

Ich hab daheim mehrere Zyxel NWA210AX im Einsatz und die funktionieren ohne dass ich sie jemals wieder anfassen musste in einem Mesh mit VLANs und etc... einer auch im Wifi Bridge modus.

Zyxel ist eigendlich nicht verkehrt aber die meisten nehmen Unifi.

Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Ich bin in solchen Fällen eher dazu übergegangen sowas in der Art zu nehmen:
https://amzn.eu/d/567ghXO

Da kommt dann Proxmox drauf und die OPNsense als VM. Dann kann man für Unifi noch eine VM spendieren und hat genug Power für viele weitere Anwendungen. Mit USV und externer Platte für Backups ist das eigentlich ein ganz rundes Konstrukt.


Pppoe Einwahl über die OPNsense würde ich auch eher vermeiden. Bei 1gbps kann man da vor allem mit den kleinen Prozessoren in Bedrängnis geraten. Pppoe unter BSD ist irgendwie nur single threaded. Unter Linux geht das besser.

Danke, aber ist für mich keine Option.

Quote from: Gauss23 on September 25, 2024, 07:30:47 AM
Ich bin in solchen Fällen eher dazu übergegangen sowas in der Art zu nehmen:
https://amzn.eu/d/567ghXO

1. Wenn man die Zusatzanwendungen unter Proxmox braucht und dafür keine andere Hardware hat, kann man das machen - allerdings möchten viele Leute eine dedizierte Hardware für die Firewall.

2. Ist das Ding teurer als die geforderten 250€.

3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.

4. Es sind wieder Realtek-Adapter: https://androidpctv.com/wp-content/uploads/2024/09/Beelink-EQR6-review-t001.jpg und nur 1 Gbps, wobei Ersteres keine Rolle spielt, wenn man Proxmox fährt. Man kann dann allerdings den Netzwerk-Adapter nur als Bridge, nicht nativ an die VM durchreichen (LAN muss man ja sowieso sharen, weil nur zwei NICs vorhanden sind).

Quote from: August8828 on September 25, 2024, 06:45:10 AM
Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Ja, tut er (Layer 2). Gegenüber den anderen Unifi-Switches ist er in bestimmten Features etwas eingeschränkt, z.B. kann er kein 802.1X, kein STP usw. und er kann das PoE auch nicht duchreichen. Eigentlich ist das mehr ein Port-Multiplier, wenn man eine Stelle hat, wo zu wenig Kabel hinführen. Ernsthafter ist da ein USW-Lite-8-PoE.

Quote from: August8828 on September 25, 2024, 06:45:10 AM
Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Unifi Switches werden in der Regel auch über den Controller gemanaged. Ich mache da einen Bogen drumrum.
Low Cost Optionen sind die gemanagten TP-Link oder günstiger noch Mikrotik.

Ich nehme gerne Netgear z.B. GS110TP

Ich mache gerne Bögen um TP-Link oder D-Link.

Mikrotik Switche benötigen mir persönlich zu viel Liebhaberei in der Software.

Bei Fragen zu Mikrotik gebe ich gerne im Rahmen des Online-Stammtischs eine kleine Einführung.  :)

Ich habe vier Zyxel NWA50AX im Einsatz.
Ich setze jeweils vier VLANs in je eine SSID um, zusätzlich habe ich noch ein Managaement-VLAN.
Sie funktionieren einwandfrei, wenn man die Konfiguration verstanden hat.
Was sie nicht können ist WPA-Enterprise / Radius.

Quote from: August8828 on September 24, 2024, 08:40:36 AM
Leider gibt es auf Amazon so viele Angebot, das ich die Übersicht verloren habe. Ich habe mir die Protectli angeguckt, aber diese ist relativ teuer. Könnt ihr mir eine gute Appliance empfehlen, die gut, aber nicht unbedingt mehr als 250€ kostet?

August, poste hier, sobald du dich entschieden hast. Bei mir wurde es vor ein paar Wochen eine Protectli V1410 (8GB, 256GB NVMe). Protectli bietet guten Support, das Gerät ist klar für den headless 24/7-Betrieb ausgelegt und passiv gekühlt. Der COM-Port mit macOS Support ist ein großer Vorteil, falls die Firewall an einem schwer zugänglichen Ort steht und man im Problemfall nicht einfach Monitor und Tastatur anschließen kann, sondern nur den Laptop. Die 380 Euro haben mich zwar etwas schlucken lassen, aber dafür habe ich nicht die Sorge, stundenlang Probleme lösen zu müssen, weil etwas nicht passt. Je mehr Expertenwissen man hat, desto leichter lassen sich solche Probleme beheben. Ich persönlich tue mich jedoch schwer mit BIOS-Einstellungen, da ich seit Ewigkeiten nur Mac benutze – da gibt es diesen technischen Kauderwelsch nicht. Und wer weiß, wie unzuverlässig ein BIOS von einem Aliexpress-Gerät sein kann.

Quote from: meyergru on September 25, 2024, 09:59:36 AM

1. Wenn man die Zusatzanwendungen unter Proxmox braucht und dafür keine andere Hardware hat, kann man das machen - allerdings möchten viele Leute eine dedizierte Hardware für die Firewall.

Das ist natürlich richtig

Quote from: meyergru on September 25, 2024, 09:59:36 AM
2. Ist das Ding teurer als die geforderten 250€.

Ist auch eher exemplarisch gemeint, bei dem Ding gäbe es gerade einen 60€ Rabatt, wo wir dann bei 339 wären bei ungleich mehr Leistung
Das ist auch einer der Gründe, warum ich nicht die kleinste passiv gekühlte CPU vorschlagen würde. Er schrieb was von NGFW mit Zenarmor. Je nachdem, was er da vor hat, kann eine kleine CPU damit überfordert sein. Vor allem, wenn die Internetverbindung über PPPoE aufgebaut wird, sind die kleinen CPUs oft nicht in der Lage 1 Gbps zu liefern, geschweige denn mehr als reines Netzwerkfiltering anzubieten.

Quote from: meyergru on September 25, 2024, 09:59:36 AM
3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.

Also ich würde meinen, dass so ein Teil bei rund 10-12W landet. Aber wenn die laufenden Kosten so drücken, ist das natürlich ein Thema.

Quote from: meyergru on September 25, 2024, 09:59:36 AM
4. Es sind wieder Realtek-Adapter: https://androidpctv.com/wp-content/uploads/2024/09/Beelink-EQR6-review-t001.jpg und nur 1 Gbps, wobei Ersteres keine Rolle spielt, wenn man Proxmox fährt. Man kann dann allerdings den Netzwerk-Adapter nur als Bridge, nicht nativ an die VM durchreichen (LAN muss man ja sowieso sharen, weil nur zwei NICs vorhanden sind).

Wie gesagt: das Gerät war jetzt einfach nur ein Schnellschuss, die gibt es bestimmt auch mit Intel-Nics, leider kann man sich da oft nicht drauf verlassen, da manchmal unangekündigt Specs geändert werden.

Quote from: Gauss23 on September 25, 2024, 03:34:40 PM

Quote from: meyergru on September 25, 2024, 09:59:36 AM
2. Ist das Ding teurer als die geforderten 250€.

Ist auch eher exemplarisch gemeint, bei dem Ding gäbe es gerade einen 60€ Rabatt, wo wir dann bei 339 wären bei ungleich mehr Leistung
Das ist auch einer der Gründe, warum ich nicht die kleinste passiv gekühlte CPU vorschlagen würde. Er schrieb was von NGFW mit Zenarmor. Je nachdem, was er da vor hat, kann eine kleine CPU damit überfordert sein. Vor allem, wenn die Internetverbindung über PPPoE aufgebaut wird, sind die kleinen CPUs oft nicht in der Lage 1 Gbps zu liefern, geschweige denn mehr als reines Netzwerkfiltering anzubieten.

Aus eigener Erfahrung: doch.

Quote from: Gauss23 on September 25, 2024, 03:34:40 PM

Quote from: meyergru on September 25, 2024, 09:59:36 AM
3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.

Also ich würde meinen, dass so ein Teil bei rund 10-12W landet. Aber wenn die laufenden Kosten so drücken, ist das natürlich ein Thema.

Kaum. Schon ein N100 benötigt ca. 6 Watt CPU plus 5 Watt Chipsatz plus RAM, plus 3 Watt SSD plus ca. 1 Watt pro Netzwerkanschluss (I226, I225 eher 1,5 Watt), zuzüglich den Aufschlag für die Effizienz des Netzteils, das in diesen Lastbereichen nur mit ca. 85% arbeitet. Damit kommst Du selbst in Ruhe mit einem N100 nicht unter 15 Watt, im Mittel eher 20-25. FreeBSD ist auch nicht für seine Sparsamkeit berühmt.

Bei stärkeren CPUs kommt neben der reinen Mehr-TDP noch der zwangsweise fällige Lüfter mit einem weiteren Watt hinzu.

Natürlich kann man immer mehr als nötig nehmen - aber bei solchen Systemen würde ich eher auf rightsizing gehen, insbesondere, wenn der Fragesteller schon Maximalgrenzen setzt. Man setzt so ein Gerät sicher ca. 5 Jahre ein und dann macht es schon einen Unterschied, ob man in Summe 250€ plus 5 * 60€ an Strom (550€) oder 350€ plus 5 * 120€ (also 950€) dafür zahlt. Der Vorteil bei diesen Kisten ist auch, dass sie mit 2.5 GBps genau das Maximum bieten, was man mit geringem Budget an Netzwerkgeschwindigkeit braucht (10 Gbps kann man kaum ausnutzen und bei RJ45-Verbindungen braucht jeder Port ca. 2-3 Watt).

Ganz schlimm sind Überlegungen wie: "Ich nehme meinen alten PC mit einem i7-4700k" - da amortisiert sich die Investition in eine kleine Appliance meist schon nach 2 Jahren.

Wie gesagt, das ist ein anderer Schnack, wenn man andere Anforderungen hat. Ich habe neben der Firewall auch einen Proxmox-Server laufen. Der hat dann aber eine ganz andere CPU drin.

Quote from: bimbar on September 25, 2024, 10:11:24 AM

Quote from: August8828 on September 25, 2024, 06:45:10 AM
Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Unifi Switches werden in der Regel auch über den Controller gemanaged. Ich mache da einen Bogen drumrum.
Low Cost Optionen sind die gemanagten TP-Link oder günstiger noch Mikrotik.

Wait. Wie kann ich mir das vorstellen bei Unifi? Benötige ich extra Hardware um einen Switch / AP zu managen oder wie ist das mit Controller gemeint?

Wenn du nur einen AP hast, kann man den wohl inzwischen auch per Browser managen. Ansonsten benötigt man für jedes nicht-triviale Unifi-Netz (und wenn ich mich nicht irre für die Switche auf jeden Fall) ein "Unifi Controller" genanntes Stück Software.

Kann man

- als Appliance bei UI kaufen
- auf einem Raspberry Pi deployen
- auf einer amd64 VM mit Debian/Ubuntu als Paket installieren
- auf einer geeigneten Umgebung als Docker-Compose Anwendung hochfahren
- als Plugin auf der OPNsense aktivieren
- ...

Kostet auch nichts, aber man braucht dieses Controller-Ding. Das "adoptiert" alle Geräte, man konfiguriert über die Weboberfläche des Controllers, und der pusht zu den Geräten. Z.B. alle VLANs, die Zuordnung zu SSIDs, etc. pp.


Die Option, die ich weggelassen habe, ist "bei Unifi in der Cloud mieten"  ::)

Quote from: meyergru on September 24, 2024, 11:17:20 AM
Und außerdem sollte Deine Firewall zwei Netzwerkanschlüsse haben - möglichst keine Realteks, siehe Punkte 1 und 6 hier (https://forum.opnsense.org/index.php?topic=42985.0).

Der Minisforum GK41 hat nur einen Netzwerkanschluss und ob das ein Realtek oder ein Intel-Chip ist, lässt sich den Spezifikationen nicht entnehmen - bei dem Preis würde ich daher eher von Realtek ausgehen.

Wenn Du Zenarmor mit 1 GBps nutzen willst, reicht m.E. ein J4125 nicht aus (siehe Punkt 7 (https://forum.opnsense.org/index.php?topic=42985.0)), ich würde einen N100 nehmen, z.B. https://www.amazon.de/Firewall-Appliance-Fanless-Celeron-Support/dp/B0D47T5L6T oder https://www.amazon.de/KingnovyPC-Firewall-Appliance-Fanless-Support/dp/B0DGCSMMPF, wegen Zenarmor eventuell auch mit mehr als 8 GByte RAM.

Danke für Deine Hilfe! Ich habe mir jetzt eine bestellt. Wieso das so eine Lieferzeit hat, weiß ich auch nicht. Kommt die direkt aus Asien?

AP überlege ich noch, ob ich Unify nehme. Vielleicht wird es auch ein TP-Link mgmt Switch und ein TP Link AP mit WIFI 6.

Quote from: Monviech on September 25, 2024, 10:58:05 AM
Ich nehme gerne Netgear z.B. GS110TP

Ich mache gerne Bögen um TP-Link oder D-Link.

Mikrotik Switche benötigen mir persönlich zu viel Liebhaberei in der Software.

Die TP Link managed switches haben eine Cisco ähnliche CLI, was für mich wichtig ist, und recht gut funktioniert.

Mikrotik Switches betreibe ich mit SwOS, zu RouterOS auf Switchen stimme ich dir zu, das ist gräßlich.

Quote from: bimbar on September 26, 2024, 09:59:07 AM
Mikrotik Switches betreibe ich mit SwOS, zu RouterOS auf Switchen stimme ich dir zu, das ist gräßlich.

Ich benutze hier nur RouterOS. Wie legt man bei SwOS mehrere LAG interfaces an mit einer festen Zuordnung der phys. Ports? Und dann VLANs über diese? Hab ich nicht hingekriegt. SNMP kann es auch nicht vernünftig.

Mit RouterOS alles kein Problem. Hast du Bock, mal zum Online-Stammtisch zu kommen? Würde mich interessieren.

Ich will da immer schonmal dazu, vergess es aber immer.

Gute Frage mit den LAGs, scheint mir, man muss die einzelnen Teilports dann weiterhin einzeln konfigurieren.
Ich mach normalerweise einfach 10G :) .

Quote from: bimbar on September 26, 2024, 02:50:27 PM
Gute Frage mit den LAGs, scheint mir, man muss die einzelnen Teilports dann weiterhin einzeln konfigurieren.

Das ist aber doch Mumpitz. Ich will z.B. die VLANs doch "auf" dem e.g. bond0 haben. Als ich das getestet hatte, konnte man für einzelne Ports LACP einschalten, aber nicht sagen: diese beiden Ports sind bond0, diese beiden bond1, etc. Und dann mit den bondX unterschiedliche Dinge tun.

Finde ich essentiell.

Ich hab an meinem CRS326-24G-2S+IN 2x 10G LACP zur OPNsense, 2x 1G LACP zum TrueNAS CORE, 2x 1G LACP zum TrueNAS SCALE, 2x 1G LACP zum hAP-ax3. Einfach weil's geht und ich ja zuhause "Enterprise Umgebung spielen" will, und um das an anderer Stelle dann tatsächlich fürs Geschäft zu nutzen.

Mir kommt es auch komisch vor, aber ich benutze generell keine LAGs und VLANs auf bridges auf routeros habe ich keine Lust.

Quote from: August8828 on September 25, 2024, 04:17:30 PM
Benötige ich extra Hardware um einen Switch / AP zu managen oder wie ist das mit Controller gemeint?

Der Controller heisst Network Application und ist frei verfügbar. Muss man nicht mögen, ich finde es als Einstieg in SDN gar nicht schlecht. Es nur für ein Unifi Gerät zu betreiben ist aber sicher Overkill.

Der Flex Mini ist ein sehr einfacher Unifi Switch. Er kann kein SNMP, LLDP oder *STP und nur eingeschränktes VLAN, also nur ein VLAN pro Port. Dafür kann er mit PoE betrieben werden (kein PoE Through) und eignet sich sehr gut, wenn an einem Arbeitsplatz plötzlich mehr Ports gebraucht werden. Es gibt ein Nachfolgemodell Flex Mini 2.5G, das nicht nur schneller sein soll.

Wie so oft: Qualität, Leistung, Preis. Wähle 2 davon.

Quote from: mooh on September 26, 2024, 04:28:23 PM
nur eingeschränktes VLAN, also nur ein VLAN pro Port

Also gerade im Zusammenhang mit einer Firewall und einem Trunk Port zwischen Firewall und Switch eher ungeeignet.

Und zum Unifi Controller schrieb ich eigentlich schon (fast) alles  ;)

Quote from: Patrick M. Hausen on September 25, 2024, 04:23:51 PM
Wenn du nur einen AP hast, kann man den wohl inzwischen auch per Browser managen. Ansonsten benötigt man für jedes nicht-triviale Unifi-Netz (und wenn ich mich nicht irre für die Switche auf jeden Fall) ein "Unifi Controller" genanntes Stück Software.

Kann man

- als Appliance bei UI kaufen
- auf einem Raspberry Pi deployen
- auf einer amd64 VM mit Debian/Ubuntu als Paket installieren
- auf einer geeigneten Umgebung als Docker-Compose Anwendung hochfahren
- als Plugin auf der OPNsense aktivieren
- ...

Kostet auch nichts, aber man braucht dieses Controller-Ding. Das "adoptiert" alle Geräte, man konfiguriert über die Weboberfläche des Controllers, und der pusht zu den Geräten. Z.B. alle VLANs, die Zuordnung zu SSIDs, etc. pp.


Die Option, die ich weggelassen habe, ist "bei Unifi in der Cloud mieten"  ::)

Natürlich kann der Unifi auch Trunk Ports.

Quote from: meyergru on September 26, 2024, 05:17:17 PM
Natürlich kann der Unifi auch Trunk Ports.

Switche, die nur port based VLANs und keine Trunks haben, hab ich auch zuletzt vor über 20 Jahren in Betrieb genommen  ;) Danke für die Klarstellung.

Ich habe mir ja die FW bei Amazon bestellt.

Was mir auffällt ist, dass es lange Lieferzeiten sind. Ebenfalls wird das Paket von "YUN Express" verschickt. Gehe ich richtig der Annahme, dass das Paket gar nicht aus der EU kommt sondern aus Asian? If so: Muss ich mir Gedanken bzgl. des Zolls machen?

Quote from: August8828 on September 27, 2024, 10:56:56 AM
Ich habe mir ja die FW bei Amazon bestellt.

Was mir auffällt ist, dass es lange Lieferzeiten sind. Ebenfalls wird das Paket von "YUN Express" verschickt. Gehe ich richtig der Annahme, dass das Paket gar nicht aus der EU kommt sondern aus Asian? If so: Muss ich mir Gedanken bzgl. des Zolls machen?

[sarkasmus] Stell mal bitte die Zugangsdaten von deinem Amazon Konto hier rein. Da können wir mal für dich nachforschen. [/sarkasmus]

Da ist wieder das alte Sprichwort:

Wer billig kauft, kauft zweimal.

Yikes. Müsst ihr nicht. Sehr ich in der Sendungsverfolgung. Habe AliExpress aus diesem Grund extra gemieden.

Firewall ist heute gekommen. Alles gut funktioniert. Ich warte jetzt noch auf meinen AP und meinen Switch und kann konfigurieren.

Diese wurde es

https://www.amazon.de/Firewall-Appliance-Fanless-Celeron-Support/dp/B0D47T5L6T

I wonder: die ist als fanless beworben. Trotzdem ist ein Fan mir bei. Sollte der eingebaut werden?