Hallo zusammen
Ich bin neu hier und möchte mich in den OPNsense Dschungel stürzen.
Kurz ein paar Infos zu mir. Ich heisse Caro und bin irgendwas über 60 Jahre alt. Seit ca. 15 Jahren nutzen wir ausschliesslich Archlinux auf unseren Rechnern. Zwar bin ich nicht die absolute Linuxexpertin, aber durchaus in der Lage mich in komplexe Dinge einzuarbeiten und mir Lösungen zu erarbeiten. Mein Internet kommt - welch Wunder - aus der Dose :) bzw. haben wir mangels performanter Alternativen einen Gigabit Anschluss basierend auf Dualstack Lite.
Mit OPNsense möchte ich erreichen, dass ich mehr Sicherheit und Kontrolle ins Heimnetz bringe. Ich möchte mehrere VLANs einrichten um verschiedene Clients wie Rechner, Drucker, smarte TVs, Spielkonsole, Gästezugang und WLAN sauber zu trennen. Ein grosser Aspekt ist aber auch mein Spieltrieb. Es fasziniert mich einfach auch, was Frau so alles tun kann. Ausserdem hilft es mir meine grauen Zellen fit zu halten.
Damit keine Missverständnisse aufkommen, es ist mir ernst damit. Es ist keine zeitweilige Spinnerei einer senilen Omi. Ich will das umsetzen.
An Hardware kommen eine Fritzbox 6660, ein Netgear 8-Port Gigabit Managed Switch und ein noch zu beschaffendes kleines Schnuckelchen für OPNsense zum Einsatz. Damit bin ich am Punkt. Natürlich habe ich schon etwas rumgelesen und weiss, dass Netzwerkchips von Intel am besten geeignet sind. Allerdings und leider gibt es so etwas wie ein Budget, das ich einhalten muss. 300 Euro möchte ich nach Möglichkeit nicht überschreiten. Das macht die Auswahl natürlich recht dünn.
Ich liebäugle mit einem Minix Z150 Aero, der aber einen 1 Gbit und einen 2,5 Gbit Realtekchip verbaut hat. Ich habe gelesen, dass die Realtek mit dem realtek-re-kmod gut funktionieren sollen. Ist dem so oder wird es evtl. weitere Probleme mit der Performance oder Verbindungsabbrüchen geben?
Dann könnte ich noch einen Beelink EQ12 haben, der 2 Intel Netzwerkchips hat. Der wäre aber gebraucht und wie ich gelesen habe wohl nicht im Ansatz so leise wie der Minix. Die Lautstärke ist mir halt schon auch ein Anliegen. Wir haben eine kleine Wohnung und ich möchte nicht, dass man ständig einen Lüfter rauschen hört.
Zu was würdet ihr mir raten? Eventuell doch was ganz anderes? 16 GB RAM sollten es aber schon sein.
Danke fürs Lesen an alle, die es bis hierhin ausgehalten haben ;)
Grüße und noch einen schönen Abend
Caro
Diese Geräte haben Intel-Netzwerkkarten, da solltest du auch in deiner angestrebten Preisregion fündig werden:
https://www.amazon.de/HSIPC-Firewall-Appliance-Router-i226-V/dp/B0CP1VZRG7
Z.B. N150 mit 16 GB RAM: 319€ - geht auch unter 300€ aber die Ausführung hätte auf jeden Fall genug "Wumms".
(Dank an @meyergru, der den Link in einem anderen Thread gepostet hatte.)
Ich würde von Realtek generell die Finger lassen. Auch wenn es im Moment einen Herstellertreiber gibt, heißt das ja nicht, dass der für FreeBSD 15, 16, ... in der Zukunft auch noch zur Verfügung steht. Der Intel-Support ist im FreeBSD Kernel.
Willkommen im Forum und viel Erfolg,
Patrick
Ich kann bestätigen, dass der Beelink EQ12 nicht leise ist. Bei mir egal, weil im Keller.
Vielen Dank für das Willkommen und die guten Wünsche Patrick.
Mit den China Dingern werde ich irgendwie nicht so recht warm. Zumal es da dann auch noch einige schlechte Rezensionen gibt. Hab mir da auch schon einige andere Hersteller angeschaut, aber mehr oder weniger ist es überall das selbe und ich mag mich im Fall der Fälle nicht mit denen rumärgern. Mir ist natürlich klar, dass das hauptsächlich meinem Budget geschuldet ist. Vielleicht sollte ich darüber nachdenken doch lieber ein paar Euros draufzulegen.
Am liebsten hätte ich uns ja selber was zusammengebaut bzw. mein Mann hätte das Basteln übernommen, aber das geht dann dank der gestiegenen Preise weit über das Budget hinaus.
Vielen Dank auch an Bimbar für die Bestätigung, dass der Beelink kein Leisetreter ist.
Tja, dieses Ergebnis hatte ich fast befürchtet, aber gehofft, dass mir bei der Leserei und Sucherei danach irgendwas schnuckliges durch die Lappen gegangen ist.
Danke nochmal für eure Rückmeldungen. Ich werde berichten wie ich mich entschieden habe.
Schönen Abend noch, Grüße
Caro
Dann guck mal bei Protectli (https://eu.protectli.com/), ob was noch halbwegs in dein Budget passt. Da kriegst du die China-Dinger mit Endmontage und Qualitätskontrolle in Europa. Ich hab eins - tut prima.
Danke dir Patrick. Da werd ich mich gleich mal umschauen.
Ich werfe für alle Stater mal das Gerät von Thomas-Krenn Edge4Go in den Ring, da es nur 100 EUR kostet. Dafür hat es halt nur 4GB DDR3 Speicher.
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/edge4go-konfigurator?xtxsearchselecthit=1
Das RAM ist das eine, die CPU hat aber nur ca. 1/3 der Performance eines N100 - für Gigabit-Speed eher ungeeignet, DSL mag noch gehen.
Also für eine OPNSense Firewall scheint mir das Teil genial zu sein!
4x Intel NIC.
4GB RAM reichen für normale Anwendungen locker aus!
Und auch die CPU macht es an einem Glasfaseranschluß problemlos- solange man da kein intensives VPN macht! Aber zum rumspielen mit VPN reicht auch das!
Also, das scheint mir eine ideale Preis/ LEistungskombi zu sein.
120€ sind fast unschlagbar. (Aufpassen, TK schreibt nur Nettopreise hin, ist halt für Geschäftskunden)
Ich selbst nutzt den LES 2x- ein geniales Teil. Allgemein sind die TK Kisten von sehr guter Qualität. Haben meist aber auch ihren PReis.
Quote from: knebb on February 26, 2026, 06:28:42 PMUnd auch die CPU macht es an einem Glasfaseranschluß problemlos- solange man da kein intensives VPN macht!
Nicht mit PPPoE und 1 Gbit/s.
Sie macht kein PPPoE- da hängt ihrer Beschreibung nach eine Fritzbox davor. Also: passt!
Ob davor oder sinnvollerweise dahinter hat sie nicht geschrieben.
Jo, haste recht. Die Fritzbox 6660 ist aber normalerweise eine "Cable". Da ist es nicht ganz so trivial, die OPNSense mit Ethernet an das Koax-KAbel zu kriegen...
Aber letzendlich wird das hier jetzt akademisch- ich denke, die ThomasKrenn Kiste tut es für den Zweck wunderbar und liegt noch unter 50% des Budgets.
Wenn es tatächlich nur darum geht, hinter der Fritzbox mal ein wenig mit Netzwerk-Trennung etc. zu "spielen", dann gebe ich dir recht. Wobei der Appetit bekanntlich mit dem Essen kommt und man dann schnell Wünsche wie DNS Blocklists etc. hat.
Vielen Dank osmom für den Tipp.
Die OPNsense muss hinter die Fritzbox weil Kabelanschluss. Einfach nur für OPNsense wäre der Edge4Go von Thomas Krenn sicher eine tolle Alternative. Ich möchte aber schon noch den ein oder anderen Dienst nebenbei laufen lassen. Pi-hole oder AdGuard, Vaultwarden vielleicht noch Immich wenns der Rechner, der es werden wird, leistungstechnisch hergibt.
Aber zuerst muss ich mal die OPNsense ans Laufen kriegen. Dann den Adblocker, der momentan noch auf einem Raspi läuft. Ich denke, dass meine grauen Zellen damit genügend ausgelastet sind, da ich ja gänzlich neu in der OPNsense Materie bin. Durch gewisse krankheitsbedingte Einschränkungen bin auch nicht mehr in der Lage da mal 5-6 Stunden am Stück hochkonzentriert durtchzuziehen. Wird bei mir also alles etwas gemütlicher vonstatten gehen müssen.
Im Moment lese ich gerade etwas über Proxmox, weil ja am Ende mehrere Dienste auf dem Rechner laufen sollen. Damit könnte ich ja auch die Treibergeschichte mit den Realteks umgehen. Wäre halt eine weitere Baustelle. Schau mer mal. Am Wochenende werde ich mich dann wohl entscheiden. Protectli oder Minix sind momentan meine Favoriten.
Schönen Abend euch noch und danke für die rege Beteiligung
Caro
Quote from: iani on February 26, 2026, 09:09:43 PMPi-hole oder AdGuard, Vaultwarden vielleicht noch Immich wenns der Rechner, der es werden wird, leistungstechnisch hergibt.
Das bedeutet, du musst virtualisieren. Diese Dienste bekommst du nicht sicher direkt auf dem Firewall-OS zum Laufen.
Überleg dir mal, ob du dafür nicht zwei Geräte möchtest. Das vereinfacht vieles. Willst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.
Es gibt hier im Forum ein gewisses Muster, dass immer wieder Leute, die weder mit Netzen, noch mit Firewalls, noch mit Virtualisierung Erfahrung haben, gleich von Anfang an "alles" einrichten wollen.
Fang doch mit dem Thomas-Krenn-Teil an, nur für OPNsense. Das ist ein Projekt. Danach kannst du dir Gedanken über ein Homelab auf Basis von Proxmox machen.
Ich kann Patrick nur zustimmen,
am besten Firewall und Hypervisor strickt trennen. Das erspart einem viel Ärger.
Ich hab Fritzbox->Opnsense->Switch->Hyper-V sauber in der Reihenfolge.
Es lohnt sich zu trennen. Es kann sich auch lohnen mit Windows (Hyper-V) als Hypervisor anzufangen, das ist einfacher.
Wahrscheinlich habt ihr recht. Beziehungsweise kann ich das wahrscheinlich wohl streichen, denn ihr seid die Profis.
Man schaut halt was man so alles machen kann und dann am Ende alles haben möchte. Vieles liest sich so leicht, aber ich weiss natürlich aus Erfahrung, dass es oftmals dann doch nicht so leicht ist, wie einem suggeriert wird oder man sich das vorstellt. Ich bin mir durchaus bewusst, dass das alles kein Spaziergang für mich werden wird und obwohl ich immer versuche mir selbst zu helfen, ich bestimmt das eine oder andere Mal mit Fragen hier auftauchen werde müssen.
Deshalb schrieb ich ja auch, dass OPNsense und Adblock, das vorerst auf dem Raspi bleiben kann, Vorrang haben und erst wenn das reibungslos läuft, denke ich an andere nette Sachen. Aber klar, man neigt dazu alles auf einmal zu wollen, wenn man weiss, dass OPNsense nativ und dazu die anderen Dinge nicht gleichzeitig laufen können.
Ich werde euren Rat beherzigen und mit einer nativen OPNsense loslegen. Nützt ja nix, wenn ich mich überfordere und dadurch ewig brauche um ans Ziel zu kommen oder es eventuell gar nicht hinkriege.
Ich danke euch.
Quote from: iani on February 26, 2026, 09:09:43 PMIm Moment lese ich gerade etwas über Proxmox, weil ja am Ende mehrere Dienste auf dem Rechner laufen sollen.
Habe ich auch so laufen, zwar nicht auf Proxmox sondern auf openSUSE, aber eben neben der Firewall noch andere VMs und Container.
Meine Beweggründe waren ein geringerer Stromverberbrauch als gesonderte Hardware und ich wollte mir den Kabelsalat zwischen den Geräten ersparen.
Allerdings war für mich weder die Virtualisierung noch die Firewall Neuland als ich das Projekt vor 8 Jahren auf einer China-Box startete.
Mit einer zusätzlichen 2 TB Platte für die Nextcloud lagen die Kosten dann aber auch schon bei 380 Euro.
Wenn du an Virtualisierung denkst, würde ich das TK-Ding mit 4 GB RAM aber keineswegs empfehlen. Die anderen Services möchten ja auch noch etwas Speicher. Bei mehreren VMs wird der schnell eng.
Wenn du mit 2 Netzwerkschnittstellen das Auslangen hast, könnte etwas im NUC-Format auch interessant sein und günstiger zu bekommen sein als performante Router-Hardware. Oder etwas Gebrauchtes, wenn die Kosten im engen Rahmen bleiben sollen.
Quote from: Patrick M. Hausen on February 26, 2026, 09:23:13 PMÜberleg dir mal, ob du dafür nicht zwei Geräte möchtest. Das vereinfacht vieles.
Auch virtualisieren vereinfacht einiges. Bsp. mal schnell einen Snapshot im laufenden Betrieb machen, bevor die VM Upgegradet wird.
Quote from: Patrick M. Hausen on February 26, 2026, 09:23:13 PMWillst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.
Ein Online-Distri-Upgrade sollte man so nicht versuchen. Diese Erfahrung hatte ich auch machen müssen. ;-)
Also immer ein ISO Image runter laden und auf einen USB-Stick schreiben und von da upgraden. Der Mensch ist ja lernfähig.
Wie das mit Proxmox funktionieren könnte, kann ich allerdings nicht sagen.
Wie gesagt, ich habe das seit Jahren so und denke nicht daran, es zukünftig anders zu machen.
Quote from: viragomann on February 26, 2026, 11:33:18 PMAuch virtualisieren vereinfacht einiges. Bsp. mal schnell einen Snapshot im laufenden Betrieb machen, bevor die VM Upgegradet wird.
Kann OPNsense mit ZFS auch im System.
Dem Hypervisor Snapshot messe ich hier mehr Vertrauen bei. Das klappt immer.
Meine Hypervisor laufen alle auf ZFS. One and the same ... :-)
Also mal meine zwei Cent zu dem Thema.
Protectli: Tolle Hardware und wirklich guter Support. Und ja, je nach Model schlagen die Hardwareseitig auch locker eine Deciso. Nein, dass soll kein Deciso gebashe werden. Einfach simple Fakten ;)
Fritzbox: Eine Fritzbox ist ein Consumer produkt. Bzw eine Eier legende Wollmilchsau. Ich hatte jahrelang eine 7590 und letzlich damit nur Probleme.
Für die Stabilität würde ich deutlich zu einem reinen Modem greifen und pppoe über die OPNsense aufbauen lassen. Warte selbst immer noch auf Fibre... Allerdings tut mein Vigor 166 nun seit Jahren den Dienst. Das deutlich performanter und stabiler als die Fritzbox jemals war. Auch bezogen auf Gaming und den heiß begehrten niedrigen Latenzen.
Und wenn Du auch noch WLAN auslagern willst, kauf Dir einen gebrauchten Ubiquiti 6 LR und pack OpenWRT drauf. Kostenpunkt ~100€
@viragomann
Für Virtualisierung habe ich bisher qemu, früher Virtualbox genutzt. Proxmox ist aber eine ganz andere Hausnummer. Dass dann 4 GB RAM nicht ausreichend sind, ist mir klar. Weiter oben schrieb ich ja schon, dass ich ein Gerät mit 16GB bevorzuge. Ich möchte da relativ zukunftssicher aufgestellt sein, denn alle paar Monate wegen fehlender Ressourcen die Hardware zu wechseln kann und möchte ich mir nicht leisten. Daher ist der Minix Z100/Z150 Aero mit 16 GB RAM auch in der engeren Auswahl.
@fastboot
Auch dass eine Fritzbox kein Profi Router ist, ist mir bewusst. Am Dualstack Lite Kabelanschluss bin ich aber erstmal darauf angewiesen. Leider steht mir auf Nachfrage beim Anbieter kein Bridge Modus zur Verfügung und auch eine Tausch hin zum reinen Modem ist nicht möglich. Sonst hätte ich einfach einen anderen Rouer dahintergehängt. Bis vor ein paar Monaten ging das noch, machen sie aber nicht mehr. Alles sehr unbefriedigend und restritkiv. Aber es gibt hier bei uns auf dem platten Land schlicht keinen anderen Anbieter, der eine halbwegs schnelle Leitung bieten kann.
Im Moment liegen wir bei 50 Euro alles inklusive für 1Gbit. Da sind im Vergleich relativ teure 16 Mbit via DSL, die sowieso zu schmal sind oder eine noch teurere Glasfaser, die zudem noch Monate braucht bis sie dann vielleicht mal verfügbar ist, halt keine Option.
Der Fritzbox auch das WLAN wegzunehmen habe ich natürlich im Sinn. Aber eins nach dem anderen. Die Hardware für das alles wächst nicht auf den Bäumen und will finanziert werden.
Meine 2 Cent ...
Lenovo m720q (i5-8500T, 32 GB RAM, SATA- und NVMe SSD) mit PCIe riser und Intel i350-T4 (https://ibb.co/TLdBRXw). OPNsense läuft virtualisiert unter Proxmox. Die Hardware taugt dann auch noch für weiter Spielereien mit PVE. Bezogen von AMSO (https://amso.eu/de/search?text=m720q&node=) bzw. dessen Shop bei eBay. Leider nicht mehr so günstig wie vor 2 Jahren.
Quote from: Patrick M. Hausen on February 26, 2026, 09:23:13 PMWillst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.
Bin mir gerade nicht sicher wobei das Internet öfter "weg" ist. Bei der Wartung von PVE oder bei Updates/Upgrades von OPNsense?
Bei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.
Quote from: Patrick M. Hausen on February 27, 2026, 11:57:25 AMBei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.
Bei mir auch. Sowohl von OPNSense als auch von PVE. Außerdem meinte ich die "Downtime" bei Update- bzw. Upgradebedingten Reboots.
Quote from: cadzen on February 27, 2026, 11:53:33 AMBin mir gerade nicht sicher wobei das Internet öfter "weg" ist. Bei der Wartung von PVE oder bei Updates/Upgrades von OPNsense?
Daran, dass OPNsene die Verbindung bei einem System-Update oder dem darauffolgenden Neustart mal unterbricht, bebessert auch die Bare-Metal Installation nichts.
Und ja, das Hostsystem kann die Verbindungen auch unterbrechen. Aber das kann ich nur für eine Distributions-Upgrade bestätigen. Normale Updates laufen problemlos durch.
Quote from: Patrick M. Hausen on February 27, 2026, 11:57:25 AMBei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.
Bei mir auch nicht, wenn hab ich mir eher was durch Konfiguänderungen zerschossen, wenn ssh wenigstens nicht geht, hab man aber schnell ein Restore der vorherigen Config wieder aktiviert ( musste ich gestern abend noch :-) )
Ich hab mir gerade nen "S2 Mini PC N305" gekauft beim grossen A, N305 CPU als Barebone, leider nicht günstiger aber mach robusten Eindruck und ist trotz Lüfter extrem leise ( 2x 10GB SFP und 2x 2,5GBE - alles Intel, SSD + NMVE und 32GB Ram hab ich verbaut ) und gestern OPNSense installiert und läuft.
Jetzt werde ich anfangen, meine Config des alten MiniPC darauf zu migrieren.
Für das Heimnetz bin ich persönlich auch ein Freund von Konsolidierung und Virtualisierung. So wenig Hardware wie möglich, nicht zuletzt wegen des Stromverbrauchs.
Mein gesamtes Heimnetz - Switch, GPON-ONT, WLAN-AP, OPNsense, File Server, mehrere RIPE Atlas Probes, LTE-Modem, USV, Freifunk, Smart Home Controller, Hue Bridge, DECT (bestimmt habe ich etwas vergessen) - habe ich mittlerweile auf 32 Watt gedrückt. Und da ist noch Luft nach unten, die nächste Optimierung ist schon geplant. :)
Aber ich stimme Patrick zu, dass man nicht zu viel auf einmal anfangen sollte. Gerade die Konstellation "keine Erfahrung mit OPNsense und keine Erfahrung mit Virtualisierung" sorgt bei vielen schnell für Frust.
Grüße
Maurice
Das ist ein Punkt, der definitiv für das kleine Thomas Krenn Gerät spricht. Nicht viel Geld, reicht wirklich für Ethernet zu Ethernet ohne PPPoE locker und auch ein AdGuard Home geht da prima noch mit drauf, auch mit 4G RAM.
Und dann weitersehen, wenn die Erfahrung da ist, und auch klarer ist, was man wirklich will und braucht.
Quote from: osmom on February 26, 2026, 11:34:08 AMIch werfe für alle Stater mal das Gerät von Thomas-Krenn Edge4Go in den Ring, da es nur 100 EUR kostet. Dafür hat es halt nur 4GB DDR3 Speicher.
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/edge4go-konfigurator?xtxsearchselecthit=1
Das ist in der Tat ein sehr guter Preis. Ich habe 2018 für meinen APU.2C4 von PC-Engines mit ähnlichen CPU-und Speicherdaten aber wesentlich kleinerer SSD noch gut 190,- gelöhnt. Der ist aber an sich gut gelaufen. Nur Wireguard war nicht ganz sein Ding...
Quote from: cadzen on February 27, 2026, 11:53:33 AMMeine 2 Cent ...
Lenovo m720q (i5-8500T, 32 GB RAM, SATA- und NVMe SSD) mit PCIe riser und Intel i350-T4 (https://ibb.co/TLdBRXw). OPNsense läuft virtualisiert unter Proxmox. Die Hardware taugt dann auch noch für weiter Spielereien mit PVE. Bezogen von AMSO (https://amso.eu/de/search?text=m720q&node=) bzw. dessen Shop bei eBay. Leider nicht mehr so günstig wie vor 2 Jahren.
Quote from: Patrick M. Hausen on February 26, 2026, 09:23:13 PMWillst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.
Bin mir gerade nicht sicher wobei das Internet öfter "weg" ist. Bei der Wartung von PVE oder bei Updates/Upgrades von OPNsense?
Wenn man kostenbewusst unterwegs ist, wird man sich dieses Teil sicherlich nicht kaufen...
Verlustleistung (TDP) 35 W
Konfigurierbare TDP-down 25 W
14nm...^
eher nicht...
Quote from: Maurice on February 27, 2026, 03:38:13 PMFür das Heimnetz bin ich persönlich auch ein Freund von Konsolidierung und Virtualisierung. So wenig Hardware wie möglich, nicht zuletzt wegen des Stromverbrauchs.
Mein gesamtes Heimnetz - Switch, GPON-ONT, WLAN-AP, OPNsense, File Server, mehrere RIPE Atlas Probes, LTE-Modem, USV, Freifunk, Smart Home Controller, Hue Bridge, DECT (bestimmt habe ich etwas vergessen) - habe ich mittlerweile auf 32 Watt gedrückt. Und da ist noch Luft nach unten, die nächste Optimierung ist schon geplant. :)
Aber ich stimme Patrick zu, dass man nicht zu viel auf einmal anfangen sollte. Gerade die Konstellation "keine Erfahrung mit OPNsense und keine Erfahrung mit Virtualisierung" sorgt bei vielen schnell für Frust.
Grüße
Maurice
Was die Effizent angeht, gebe ich Dir sicherlich recht.
Trotzdem sollte man meiner Meinung nach gerade bei einer Firewall dem KISS Prinzip folgen. Eine FW ist eine FW und sollte das auch bleiben, ohne jeglichen Overhead.
Quote from: fastboot on February 28, 2026, 10:32:28 PMEine FW ist eine FW und sollte das auch bleiben, ohne jeglichen Overhead.
Mit "Overhead" meinst Du Virtualisierung? Sehe ich unproblematisch. OPNsense selbst würde ich nicht als Hypervisor betreiben (machen ja tatsächlich manche mit bhyve), aber OPNsense als Gast unter QEMU/KVM und Hyper-V hat sich bei mir über viele Jahre bewährt.
Ja, ich habe lange nichts mehr hören lassen hier. Sorry dafür, aber Leben und Gesundheit lassen nicht immer genügend Zeit für Hobbys.
Meine Entscheidung viel nun doch auf einen Minix Z100 Aero (https://www.notebookcheck.com/Z100-Aero-Neuer-Mini-PC-mit-Intel-Prozessor-und-Kuehlung.822666.0.html). Die lüfterlosen aus China sind mir einfach zu unsicher, wenn mal was damit ist. Das Gerät von Thomas Krenn zu schwachbrüstig. Will am Ende ja mehr machen als "nur" OPNsense. Lenovo Tiny schwirrte mir auch lange im Kopf rum, aber 2. Netzwerkkarte besorgen und der Stromverbauch haben mich dann doch davon abgebracht auch wenn mehr als nur der eine Anschluss für Massenspeicher im Minix durchaus ein Argument war, das es zu überdenken galt.
Ich danke euch vielmals für die rege Beteiligung, eure Tipps und auch die Diskussionen um einzelne Dinge wie zum Beispiel die Virtualisierung. Das hatte ich so gar nicht erwartet. Ein tolles Forum habt ihr hier.
Der Minix kam gestern morgen hier an und natürlich habe ich mich sofort ans Werk gemacht. Aber darüber besser mehr an anderer Stelle hier im Forum.
Ich wünsch dir viel Glück. Ich hätte kein System mit Realtek-Netzwerk gekauft.
@iani Das ist keine FW Appliance, sondern in Mini-PC mit zwei NICs. Dazu auch noch mit nem Realtek Chipset. Leider ist es bei den meisten dieser Geräte so, dass man keine Ersatzteile bekommt.
In meinem Fall für den Mini-PC auf den mein Home Assistant läuft, durfte ich einen Ersatzlüfter aus China bestellen. Kostenpunkt mit Shipping 42,xx€
Ich hätte Dir auch noch ne FW4B für ~100€ anbieten können. Liegt bei mir nur noch rum.
Living and Learning. Oder Learning by Burning :D
Viel Spass && Erfolg
Warum dieses kollektive Abwinken? Wisst ihr, wofür die Hardware nun genau gedacht ist?
Für mich ist das aus dem Thread nicht klar hervorgegangen. Es stand auch eine mögliche Virtualisierung im Raum, weil auch andere Services neben OPNsense betrieben werden sollen. Die Hardware ist dafür jedenfalls performant genug und hat ausreichend RAM. Und wenn sich der Hypervisor (wohl Linux) um die Realtek NICs kümmert, hat OPNsense nichts mit denen zu tun, sondern sieht nur virtiO NICs, die sie ganz toll unterstützt.
Und je nach Einsatzzweck können zwei Hardware NICs auch ausreichend sein. Die übrigen virtualisierten Services werden an virtuelle Netzwerke angebunden. So erreicht kann man auch eine gute Segmentierung des Netzwerks erreichen, ohne außen viele Anschlüsse zu benötigen.
Um die weiteren Details über den Einsatzzweck in Erfahrung zu bringen, müssten wir wohl in einem andern Forum weiter lesen.
Für Interessierte wäre ein Link dahin nett.
Weil es irgendwie unlogisch ist, sich eine Kaufberatung mit Rahmenvorgaben zu holen, sich dann alles anzuhören um dann alles in den Wind zu schlagen und eine Entscheidung zu treffen, die nicht die größtmögliche Flexibilität ermöglicht.
Der Minix Z100 Aero hat aus meiner Sicht diverse Nachteile beim Einsatz als Firewall-Box (und darum geht es doch wohl immer noch laut OP):
1. Aktiv gekühlt - diese Lüfter gehen über kurz oder lang kaputt und man bekommt kaum passende als Ersatz.
2. Nur zwei Realtek-NICs (und dann sogar noch einer mit 1 Gbps) mit geringer Kompatibilität zu pfSense und OpnSense.
3. Die aktuell angebotenen Versionen haben nur 8 GByte RAM - für die Ausweichlösung mit Proxmox ist das arg wenig, 256 GByte SSD ist auch mau dafür, ganz abgesehen davon, dass ich für Proxmox immer eine SSD mit hohem TBW-Wert nehmen würde, die hier garantiert nicht drin ist.
Mit Flexibilität meine ich: Für beide Varianten - Bare-Metal oder virtualisiert - sind die üblichen China-Modelle mit 4x I226V eine super Basis. Und die gibt es auch in Deutschland mit Garantie zu kaufen.
Quote from: meyergru on March 05, 2026, 12:36:03 PM[...]
Mit Flexibilität meine ich: Für beide Varianten - Bare-Metal oder virtualisiert - sind die üblichen China-Modelle mit 4x I226V eine super Basis. Und die gibt es auch in Deutschland mit Garantie zu kaufen.
Ein Anbieter für die Dinger ist u. a. die Fa. nrg-systems.de (https://www.nrg-systems.de/). Die verkaufen sie als IPU-Systeme. Geht preislich ohne RAM und SSD mit einem N5105 in 4x i226 bei 320,- los. Habe selbst so eine China-Box. Allerdings gekauft dann doch etwas günstiger als reinen Barbone bei Ali. Habe es bisher nicht bereut.
Es war mir schon klar, dass meine Wahl hier keine Begeisterungsstürme hervorrufen würde und es auch nicht die optimale Hardware für OPNsense ist.
Für mich waren die ganzen Alternativen aber eben auch nicht optimal und wenn, dann über meinem Budget von 300,00€. Mein Minix hat 16GB RAM und die 512GB NVME verbaut. Sonst hätte ich ihn nicht genommen. Man sollte auch nicht vegressen, dass es für mich der Einstieg in die ganze Materie ist. Vielleicht denke ich in einem Jahr, Frau was hast da für einen Mist gekauft. Wer weiss das schon.
Obwohl die aktuell verfügbaren Treiber für die 2 Realtek ja zu funktionieren scheinen, habe ich sie jetzt trotzdem umgangen und Proxmox installiert. Aber das nicht wegen der Netzwerkchips, sondern weil ich, wie oben schon geschrieben, auch andere Sachen drauf haben möchte. Pihole sowieso und Vaultwarden werden dann die nächsten beiden Kandidaten sein. Proxmox und OPNsense laufen schon mal. Wie ihr euch sicher denken könnt, hatte ich einige Problemchen zu umschiffen, auch wegen der Fritzbox, bei der ja kein Bridge Modus möglich ist. Regel hier, Regel da, wo finde ich was in diesem wirklich reichhaltigen Menü?
Gestern hatte ich eine gute Stunde Hilfe eines guten Bekannten, der Ahnung hat. Das war sehr erhellend. Habe ihn auch heute noch 2 Mal via Messenger belästigen müssen.weil ich mit dem Erstellen der Regeln nicht klarkam, weil man da überall 1000 Sachen eintragen kann. Aber nun ist der Anfang gemacht und ich brauche erstmal 1-2 Tage Pause. Mein Kopf raucht.
Nehmt es mir nicht übel, wenn ich einigen eurer Ratschläge nicht nachgekommen bin. Die Zeit wird zeigen wie gut oder schlecht meine Entscheidung war.
Habt einen schönen Abend
Caro
Du hattest uns zuwenig über deine Anforderungen verraten, bzw. bist du zwischen verschiedenen Anforderungsprofilen (Bare Metal, Virtualisierung) hin und her geschwenkt. Da ist es natürlich schwierig, passende Empfehlungen zu geben. Und anscheinend gehen dann manche Leute in dieser Ungewissheit auch von den eigenen Vorzügen aus.
Ich hatte schon, ich glaub in meinen ersten Post, erwähnt, dass ich mir eine 2 NIC Hardware vorstellen kann, wenn es zu deinen Anforderungen passt. Das "wenn" eben auch, weil die nicht klar waren.
Und wie vorhin erwähnt, zusammen mit Virtualisierung sind Realtek NICs in meinen Augen auch okay, wenngleich ich die selbst doch meide, soweit möglich. Und dass die lediglich 1 GB/s Durchsatz machen, wird dir ja wohl auch vor dem Kauf bewusst gewesen sein. Dann spricht für mich nichts dagegen.
Grüße
Es ist schon so, dass es meinerseits keine wirklich klaren Vorgeban gab bzw. waren die über mehrere Posts verteilt. Ungünstig, klar. Ich mache niemandem hier einen Vorwruf, jeder hier im Thread hat seine Meinung nach bestem Wissen und Gewissen kund getan und auch begründet.
Viellleicht muss ich das mal klarstellen. Meine Entscheidung war am Ende hauptsächlich dem Budget geschuldet. Da die Preise immer weiter ansteigen oder eben die selben Geräte nur noch halb soviel RAM/SSD zum gleichen oder gar höheren Preis haben, sah ich auch eine gewisse Eile geboten um nicht gänzlich aus dem Budget zu fallen oder mit deutlich weniger Ressourcen klarkommen zu müssen.
Ich habe also die hier gemachten Vorschläge keinesfalls ignoriert oder für nicht gut für mich befunden. Ganz im Gegenteil. Gerne hätte ich ein etwas professionelleres, für OPNsense geeigneteres Gerät genommen, aber ich muss mich da halt auch nach meiner Decke strecken.
Für meine Zwecke, den Einstieg in die OPNsense Materie sowie der Virtualisierung weiterer Dienste wie Pihole, Vaultwarden, Immich usw. und dem gleichzeitigen Einhaltung des Budgets, habe ich meines erachtens keine so schlechte Wahl getroffen.
Wenn das Budget es her gibt, hol dir das Thomas Krenn Teil nur für OPNsense noch dazu und teil die Aufgaben ordentlich auf. Ein gebrauchtes APU4 sollte auch für 50-80€ zu bekommen sein und gibt - ohne PPPoE eine prima Firewall.
Gute Idee, Patrick. Das werde ich ins Auge fassen. Danke.
Ein schönes Restwochenende euch.