OPNsense Forum
International Forums => German - Deutsch => Topic started by: tomekk228 on April 30, 2018, 10:30:06 am
-
Hallo Zusammen!
Also erstmal Lob an die Entwickler und Community von OPNsense! Habe es nun 2 Wochen in einem VM-Netzwerk (proxmox) getestet und es gefällt mir viel besser als pfsense.
Nun wollte ich die vergangene Woche das in "Realen Leben" also auf richtiger Hardware in Betrieb nehmen. Bin leider bei einigen Kleinigkeiten hängen geblieben.
Fangen wir von Anfang an an:
Ich habe Zuhause ein Anschluss der Deutschen Glasfaser bekommen. 1gbit/s down und 500mb/s up. Da erstens die Leitung "dicker" ist als manch Anbindung der Server im Web, sowie auch weil der Router auf gut deutsch scheiße ist, möchte ich eine Routerkaskade aufbauen und eine OPNsense Firewall zwischen meinem Netz und dem Router der Deutschen Glasfaser aufbauen um mich vor potentiellen Gefahren zu schützen.
Das wollte ich mit einem Lenovo Thinkpad X240 lösen (höchste Ausbaustufe). Leider hat dieser nur 1 Netzwerkinterface. Also habe ich mir ein USB 3.0 zu Ethernet Adapter gekauft - 1gbit. Das funktionierte auch mit OPNsense. Jedoch war die Geschwindigkeit aus dem WAN ins LAN nie schneller als ca. 55mb/s. Es hat sich rausgestellt das der Adapter der Flaschenhals ist. Jedoch unter Windows funktioniert der mit vollen 1gbit.
Also habe ich Windows 10 aufs x240 und danach Virtualbox installiert. Von beiden Interfaces alle Protokolle entfernt außer die von Virtualbox (so das Win10 nicht ins Internet kommt oder nicht von außen ansprechbar ist) und in einer VM OPNsense. So habe ich die Hardwareinkompatibilität zwar überwunden, jedoch lief es immer noch nicht zu meiner Zufriedenheit (ca 70mb/s von ca 980mb/s). Hab zwar dann im Internet nach einer Lösung gesucht, aber dann habe ich mir gesagt ich lass es bleiben und nehme vernünftige Hardware.
Das ist die erste Frage: Welche Hardware (keine Fertiglösungen bitte! Muss perfomant und günstig sein) könnt Ihr mir empfehlen mit dem ich mit den vollen 1gbit surfen kann? Und vorallem im Netzwerk untereinander müssen 4 Clienten mit vollen 1gbit arbeiten können! (1 Server, 1 NAS, 2x PC/Notebook).
Meine erste Idee:
PC: https://bit.ly/2r8com0
2x https://bit.ly/2vTdTJw
FreeBSD ist ja leider extremst zimperlig was Hardware angeht... Mit den 2x 4er Netzwerkkarten würde ich mir dann auch direkt 2 Switches einsparen.
Würde das so reibungslos laufen?
Dann die zweite Sache:
Da ich schonmal temporär OPNsense nutzen möchte, habe ich auf dem X240 OPNsense wieder nativ installiert und habe em0 im Installationsvorgang in zwei VLANs aufgeteilt (es ist mir schon bewusst das ich meine 1gbit Internetleitung dadurch auf ca 500mbit beschneide!):
em0_vlan1: WAN
em0_vlan2: LAN
Dann mein Netgear GS105Ev2 Switch wie folgt konfiguriert: https://imgur.com/a/smgzkHr
Es funktioniert auch. WAN bekommt per DHCP vom Router der DG eine IP usw. Und am LAN vergibt OPNsense IPs und DNS usw usf. Wie gewünscht und wie in meiner Testphase in der VM.
Jedoch haben die Clienten an den Ports 3-5 am Switch kein Internet. Obwohl alle richtigen DNS haben usw usf. Untereinander können die Spielen wie die wollen. Nur OPNsense und die LAN Clienten kommen nicht ins Internet. Erst dachte ich es wäre ein DNS Problem. Aber ping 8.8.8.8 oder 1.1.1.1 geht auch nicht.
Hier bin ich ratlos.
Danke schonmal für die Ratschläge und die Hilfe!
-
Hi tomekk228,
wow, 1 Gbit/s. :)
Zu 1: Das hängt davon ab was Du alles aktivieren/nutzen willst. Der normale Firewallbetrieb wird nicht viel Prozessorlast schlucken. Nutzt Du dann noch IPS, IPsec und Squit brauchst Du schon etwas mehr Leistung. Ich habe leider nur 25 Mbit/s, habe es aber mal mit iPerf an meiner OPNsense mit Intel Celeron J1900 1.99GHz (4 cores) und 4 GB RAM getestet. Ohne IPS bekomme ich im Routingbetrieb ca. 350 Mbit/s im Up- und Download hin. Mit IPS sind es nur noch 65 Mbit/s im Up- und Download. Das hängt auch davon ab, welche Regeln ich alle nutze.
EDIT: Das scheint daran zu liegen, dass der IPS Prozess nur einen Core nutzt. Die Auslastung lag beim Test bei um die 40% mit allen anderen Prozessen zusammen.
Eine Hardwareempfehlung kann ich Dir nicht geben. Vielleicht schaust Du mal bei einem OPNsense Appliance Vertrieb vorbei und vergleichst die einzelnen Leistungen der Appliance mit der Ausstattung. Siehe auch hier: https://wiki.opnsense.org/manual/hardware.html
Zu 2: Wenn die OPNsense eine IP vom DG Router bekommt, muss die doch ins Internet können?! Kannst Du den Router denn vom WAN Interface aus anpingen?
Nutzt Du NAT oder Routing auf der OPNsense? Beim Routing musst Du eine Rückroute für das OPNsense Client Subnetz auf dem DG Router einrichten, da der sonst nix mit den OPNsense LAN Adressen anzufangen weiß. Wenn Du NAT nutzt, solltest Du den Grund in den Firewalllogs sehen warum die nicht raus kommen.
Gruß
Jas Man
-
Hallo tomekk228,
konkrete HW kann ich Dir auch nicht empfehlen, da ich nur eine 100/20 Mbit-Leitung zur Verfügung habe.
Zunächst mal würde ich die Vernetzung der Geräte untereinander mit einem Switch realisieren und nicht per OPNSense! Ja, das geht ist aber eigentlich nur in speziellen fällen wirklich Sinnvoll (z.B. Anbindung WLAN-AP). Selbst preiswerte Gbit-Switche schaffen heutzutage auch tatsächlich den vollen NW-Speed.
Dann zur NAT-Performance. Wie JasMan schon ausgeführt hat kommt es hierbei stark auf Deine Anforderungen an.
Die reine NAT-Performance ist dabei nur die eine Sache die beachtet werden muss. Ein gute Übersicht über die reine NAT-Performance unterschiedlicher HW findest Du hier: http://calexium.com/fr/produits/tests-de-performance.html
Sollte Dir zumindest helfen die richtige HW-Auswahl treffen zu können (z.B. NIC-Chipsatz).
Genau so wichtig ist aber der Blick auf IPS/IDS. Wenn Du das nutzen willst braucht es eben auch eine richtig fixe CPU! Es gibt wohl auch IDS/IPS Treiberoptimierungen für bestimmte NIC-Chipsätze und FreeBSD. Musst dazu mal die Suche hier bemühen.
Auch sollte es Dir eine Überlegung wert sein, ob man sich nicht an einen der OPNsense-Partner wendet und mit diesem die genauen Anforderungen klärt. Kostet zwar etwas Geld, spart aber u.U. viel Frust und Zeit!
Generell gilt, je spezieller die Anforderungen sind, um so weniger Unterstützung wirst Du in einem Userforum finden.
Gruß
Dirk
-
Danke schonmal für die Rückmeldungen!
Soll out-of-the-box Standard laufen. D.h es wird installiert und das wars eigentlich dann auch schon. Ein zwei Regeln kommen vllt. dazu. IPS erstmal nicht.
Ja bzgl "fertiger" Hardware mit OPNsense "ab Werk" drauf, habe ich mir schon angeschaut und wurde ehrlich gesagt entäuscht. Da schafft keine Hardware die ich gefunden habe die 1gbit "genattet".
Was ich mir aber nicht vorstellen kann. Es kann ja nicht sein das eine 5 Jahre alte Fritzbox, ein 4 Jahre alter Speedport oder 2 Monate alter Genexis Router schneller sind als das Ding für ca 2700€ z.b:
https://www.applianceshop.eu/security-appliances/19-rack-appliances/opnsense-based/opnsense-quad-core-gen3-10gb-ssd.html
Daher ein "richtiger Rechner". Jeder i3 oder i5 sollte doch schneller sein als jede "Appliance" die ich kaufen kann (für den Heimanwender! schon klar, gibt auch welche auf XEON usw!).
Zunächst mal würde ich die Vernetzung der Geräte untereinander mit einem Switch realisieren und nicht per OPNSense
Ja hast du wahrscheinlich recht. Werde ich wohl dann auch so tun.
Zu 2: Wenn die OPNsense eine IP vom DG Router bekommt, muss die doch ins Internet können?! Kannst Du den Router denn vom WAN Interface aus anpingen?
Nutzt Du NAT oder Routing auf der OPNsense? Beim Routing musst Du eine Rückroute für das OPNsense Client Subnetz auf dem DG Router einrichten, da der sonst nix mit den OPNsense LAN Adressen anzufangen weiß. Wenn Du NAT nutzt, solltest Du den Grund in den Firewalllogs sehen warum die nicht raus kommen.
Die OPNsense hat vom Router IP, DNS usw bekommen. Kann den DG Router auch anpingen von OPNsense aus. Die aus dem LAN können OPNsense und den DG Router anpingen. Aber niemand kann ins internet. Weder per IP Adresse statt URL noch über normaler URL. Niemand kann auch ins Internet pingen (8.8.8.8 zb). Aber das Problem verfolge ich nicht mehr. Wahrscheinlich ein Problem der VLAN konfiguration von Netgear oder OPNsense. Habe testweise eine 100mbit Netzwerkkarte ausgekramt mit einem alten Celeron + Mainboard getestet. Läuft reibungslos bis auf natürlich die Beschränkung der Anbindung.
Zusammenfassend:
Ich vereinfache hier mal meine Anforderung: Von WAN nach LAN mindestens 1gbit. Ohne IPS, IPsec, VPN etc. Gerne aber auch mit IPS wenn es nur CPU abhängig ist. Hab demnächst ein i7 6700k auf 4.8ghz über...
Zwei Netzwerkkarten brauche ich jedoch sowieso und kann ich jetzt schon bestellen. Welche empfehlt Ihr mir? Aufjedenfall Intel denke ich mir.
Aber bis ich micht entschieden habe ist es sowieso immer so eine Sache...
Im Büro experementiere ich auf unserem alten Server auf XEON Basis momentan mit einer virtuellen Lösung...
Proxmox ohne Netzwerkanbindung (bzw nur einer physikalischen "management Port"). Darauf 2 VM's momentan. OPNsense hat per pcie-passthrough zwei der drei 1gbit Netzwerkinterfaces des Sunmicros Mainboards unter seine fitische und noch ein drittes virtuelles Interface.
Zusätzlich läuft in einer VM Pi-hole, auch nur ein virtuelles Interfaces connected mit OPNsense.
In OPNsense ist die Pi-hole VM als DNS-Server eingetragen.
So haben grade 4 Lenovos X240 als Testrun "gefiltertes" Internet ohne Werbung, Tracking, etc... Läuft wunderbar. Im Büro haben wir jedoch auch nur 50mbit :)
Sowas ähnliches bin ich nun am überlegen zu Hause zu realisieren. Dann kann ich mir überall Ublock, Ghostery usw auf den Geräten sparen...
Ich nerve euch sicher schon!
Danke für die Rückmeldungen.
PS: Würdet Ihr zu einer Quad-Port NIC tendieren oder einzelne? Preislich sind die gleichauf. Egal ob ich 4 einzelne Intel NICs 1gbit oder 1x 4x1gbit NIC nehme...
-
Hi tommekk228,
du solltest dich evtl. an dem User elektroinside ( https://forum.opnsense.org/index.php?action=profile;u=17097 ) orientieren
OPNsense v18 | HW: Gigabyte Z370N-WIFI, i3-8100, 8GB RAM, 60GB SSD, | Controllers: 82575GB-quad, 82574, I221, I219-V | PPPoE: RDS Romania | Down: 980Mbit/s | Up: 500Mbit/s
-
Hallo tomekk228,
nö, nerven tust Du nicht! ;)
Deine Anforderungen sind aber eben etwas speziell(er).
Deswegen habe ich ja auch versucht Deine Anforderungen etwas aufzudröseln.
1. Zunächst mal musst Du dafür sorgen, dass Deine Hardware die gewünschten 1 GBit überhaupt schaffen kann. Daher hatte ich auch den Link zu Calexium geschickt. In der Übersicht sieht man dann sehr gut, welche HW die gewünschten 1Gbit überhaupt schafft (z.B. Lanner FW-7525D).
Man stellt dann aber auch schnell fest, dass es eben nicht nur auf den NIC Chipsatz ankommt, sondern das Gesamtpaket passen muss (z.B. Anbindung der NIC's auf dem Board, usw.).
Danach auch die Klärung der Frage wegen der Nutzung IPS/IDS. Im Forum gibt es diverse Berichte von Leuten, die trotz potenter HW mit aktivem IDS/IPS 'nur' ~ 300 Mbit erreichen. Deep Packet Inspection frißt halt richtig Leistung. :-[
Insgesamt muss man nun versichen beide Parameter so zusammen zu bringen, dass die persönlichen Anforderungen optimal getroffen werden.
Vereinfacht gesagt: Ohne IDS/IPS schafft z.B. die Lanner FW-7525D die gewünschten 1 Gbit.
Mit voll aktivem IDS/IPS schafft die Lanner-Kiste dann möglicherweise aber nur noch 250 MBit.
Eine andere Hardware schafft im reinen NAT evtl. nur 750 Mbit liegt mit voll aktivem IDS/IPS aber evtl. bei 400 Mbit...
Von daher eben mein Rat, sich von einem Partner genau beraten zu lassen, oder aber der Selbstversuch. ;)
Gruß
Dirk
PS: Der Vergleich zwischen FritzBox, Speedport, usw. und einer OPNsense hinkt gewaltig! Das Eine sind halt simple Router (wenn auch im Falle der FritzBox schon ganz Gute) die auf spezielle Einsatzzwecke entwickelt wurden.
Ein OPNsense ist aber eine vollwertige UTM. Dinge wie WebProxy, IDS/IPS, Spamfilter usw. gibt es bei Speedport & Co nicht. Und ob eine FW-Hardware nun 2700€ kostet ist in einer Firma mit 1000 Mitarbeitern auch egal. Wichtig ist das das Teil das Unternehmen bzw. die Daten schützt.
-
Guten Abend!
Habe (für mich!) sensationelle Neuigkeiten.
Es löpt wie man hier bei uns so schön sagt! Kann volle Bandbreite mit OPNsense nutzen. Hoch und runter 8)
Und das für nur 39€(!).
Ich war ja die letzten zwei Tage nach der Suche nach einer passenden Netzwerkkarte... Dabei bin ja auf die Intel PRO/1000 PT Quad Port gestoßen. Und dann habe ich noch gesehen, das der Laden der die verkauft nur 5km weg ist von meinem Büro!
Also Angerufen, gefragt ob Abholung geht und voila. Es geht.
Bin dann hingefahren und hatte die Karte schon in der Hand (für sensationelle 16€! Für 4x Gigabit auf einer x4 pcie Karte) da fiel mir mehrere Stapel an alter Serverhardware auf. Tausende Systeme. Von 10€ bis mehrere tausend. Ich habe denen dann erzählt was ich vor habe und ob die nicht passende Hardware für mich hätten.
Nach ner Stunde habe ich mich für die Mitte entschieden: 39€. ;D
https://www.piospartslap.de/19-Supermicro-CSE-811T300B-1U-Xeon-X3220-QC-24-GHZ-8-GB-RAM-2-x-35-HD
+ die Lankarte 16€ (die ich garnicht mehr brauch da der Rack schon 2x Gigabit hat), + noch ein Laufwerkeinschub 10€ (damit es nicht so leer aussieht. Ist nur eins dabei) + super Service = 65€
Das Ding ist zwar sau laut (alter Bladeserver halt), aber läuft wie am schnürchen.
Die Installation war nur etwas schwierig. Der bootet von USB nur von Sticks die FAT formatiert sind. USB CD-ROM hat auch nur Probleme gemacht. Schlussendlich temporär ein DVD-Laufwerk per SATA angeschlossen. OPNsense vorher auf DVD gebrannt, und dann auf dem Ding installiert.
Also: Will einer auch so ein Ding als Router nutzen, für Installation am besten ein internes Laufwerk nutzen.
Ein Problem habe ich noch. Geht sich um IPv6. In meiner Testumgebung (im Büro) habe ich ISP bedingt (Telekom) standardmäßig nur IPv4. Daher nie Probleme mit OPNsense + Pihole (zwei verschiedene Geräte) gehabt.
Zuhause jedoch schon: Hier habe ich IPv4 und IPv6. Und aus diesem Grund habe ich die Pi-hole den DHCP spielen lassen weil dieser zuverlässig die IPv4 und IPv6 für die Gerätschaften verteilt hat, inkl der richtigen DNS Einstellungen (Pi-hole selbst). OPNsense jedoch vergibt überhaupt keine IPv6 Adressen (oder zumindest unterscheiden die sich völlig von denen die die Pi-Hole und der Glasfaser Router vergibt (bzw vergeben würden)).
Nur IPv4. Somit haben meine Gerätschaften nur ein komplettes Set IPv4 inkl DHCP und DNS Server. Und IPv6 ist so gut wie leer (fe80:.... weiß nicht mehr genau aus dem Kopf. Kann morgen Abend genauere Infos geben). Auch die IPv6 Adresse des Pi-holes fehlt als DNS Server. Dementsprechend dauert der Seitenaufbau entweder richtig langsam, oder richtig schnell (und dann mit maßig Werbung da anscheinend die OPNsense direkt am Router den Namen auflöst).
Am liebsten würde ich IPv6 intern komplett behalten (um ggf. Kompatibilitätsprobleme mit der Deutschen Glasfaser zu vermeiden). Aber eigentlich sehe ich da keinen Grund.
Da ich:
1) keine Dienste nach außen anbieten möchte.
2) Ich nicht so viele Gerätschaften intern habe das ich den privaten Adressraum ausmerzen könnte...
3) und "das Internet wie gehabt funktioniert" selbst wenn ich unter Debian oder meinem Windows im Netzwerkadapter das IPv6-Protokoll deaktiviere.
Also liege ich doch richtig das ich es doch komplett abschalten könnte oder nicht? Die WAN-Schnittstelle kann gerne seine IPv6 behalten (bezieht der ja eh per DHCP vom Deutschen Glasfaser Router).
Gibt es auf der "LAN Seite" ein "Masterschalter" der komplett IPv6 abschaltet (wie bei der Fritzbox?).
Sry für den schlecht geschriebenen Roman! Und danke nochmal für den ganzen Support!.
Edit: Was mir auch noch aufgefallen ist. Was ich ehrlich gesagt nicht verstehe und bis jetzt noch nicht geschafft habe es zu unterbinden:
Wenn ich z.B folgendes Szenario baue:
DG Router Lan Port ----> WAN Port Fritzbox ---> Lan Port Fritzbox ---> Lan Port Geräte
(Fritzbox kann auch mit Speedport, Nighthawk oder TP-Link ersetzt werden)
Dann haben alle Geräte hinter der Fritzbox (oder die zwei anderen Router) kein Zugriff auf den Router der DG oder alle anderen Gerätschaften am DG Router.
Habe ich jedoch folgendes Szenario (eigentlich das selbe):
DG Router Lan Port ----> WAN Port OPNsense ---> Lan Port OPNsense ---> Lan Port Geräte
haben alle Geräte hinter dem Lan Port Zugriff auf den DG Router oder andere Netzwerkgeräte (z.b per Wlan angebundene) am DG Router (die in ner anderen IP Range sind).
Warum? Habe auch die zwei "Block privat...[]" o.ä Häkchen gesetzt.
-
Guten Abend!
Habe (für mich!) sensationelle Neuigkeiten.
Es löpt wie man hier bei uns so schön sagt! Kann volle Bandbreite mit OPNsense nutzen. Hoch und runter 8)
Und das für nur 39€(!).
Ich war ja die letzten zwei Tage nach der Suche nach einer passenden Netzwerkkarte... Dabei bin ja auf die Intel PRO/1000 PT Quad Port gestoßen. Und dann habe ich noch gesehen, das der Laden der die verkauft nur 5km weg ist von meinem Büro!
Also Angerufen, gefragt ob Abholung geht und voila. Es geht.
Bin dann hingefahren und hatte die Karte schon in der Hand (für sensationelle 16€! Für 4x Gigabit auf einer x4 pcie Karte) da fiel mir mehrere Stapel an alter Serverhardware auf. Tausende Systeme. Von 10€ bis mehrere tausend. Ich habe denen dann erzählt was ich vor habe und ob die nicht passende Hardware für mich hätten.
Nach ner Stunde habe ich mich für die Mitte entschieden: 39€. ;D
https://www.piospartslap.de/19-Supermicro-CSE-811T300B-1U-Xeon-X3220-QC-24-GHZ-8-GB-RAM-2-x-35-HD
+ die Lankarte 16€ (die ich garnicht mehr brauch da der Rack schon 2x Gigabit hat), + noch ein Laufwerkeinschub 10€ (damit es nicht so leer aussieht. Ist nur eins dabei) + super Service = 65€
Das Ding ist zwar sau laut (alter Bladeserver halt), aber läuft wie am schnürchen.
Die Installation war nur etwas schwierig. Der bootet von USB nur von Sticks die FAT formatiert sind. USB CD-ROM hat auch nur Probleme gemacht. Schlussendlich temporär ein DVD-Laufwerk per SATA angeschlossen. OPNsense vorher auf DVD gebrannt, und dann auf dem Ding installiert.
Also: Will einer auch so ein Ding als Router nutzen, für Installation am besten ein internes Laufwerk nutzen.
Ein Problem habe ich noch. Geht sich um IPv6. In meiner Testumgebung (im Büro) habe ich ISP bedingt (Telekom) standardmäßig nur IPv4. Daher nie Probleme mit OPNsense + Pihole (zwei verschiedene Geräte) gehabt.
Zuhause jedoch schon: Hier habe ich IPv4 und IPv6. Und aus diesem Grund habe ich die Pi-hole den DHCP spielen lassen weil dieser zuverlässig die IPv4 und IPv6 für die Gerätschaften verteilt hat, inkl der richtigen DNS Einstellungen (Pi-hole selbst). OPNsense jedoch vergibt überhaupt keine IPv6 Adressen (oder zumindest unterscheiden die sich völlig von denen die die Pi-Hole und der Glasfaser Router vergibt (bzw vergeben würden)).
Nur IPv4. Somit haben meine Gerätschaften nur ein komplettes Set IPv4 inkl DHCP und DNS Server. Und IPv6 ist so gut wie leer (fe80:.... weiß nicht mehr genau aus dem Kopf. Kann morgen Abend genauere Infos geben). Auch die IPv6 Adresse des Pi-holes fehlt als DNS Server. Dementsprechend dauert der Seitenaufbau entweder richtig langsam, oder richtig schnell (und dann mit maßig Werbung da anscheinend die OPNsense direkt am Router den Namen auflöst).
Am liebsten würde ich IPv6 intern komplett behalten (um ggf. Kompatibilitätsprobleme mit der Deutschen Glasfaser zu vermeiden). Aber eigentlich sehe ich da keinen Grund.
Da ich:
1) keine Dienste nach außen anbieten möchte.
2) Ich nicht so viele Gerätschaften intern habe das ich den privaten Adressraum ausmerzen könnte...
3) und "das Internet wie gehabt funktioniert" selbst wenn ich unter Debian oder meinem Windows im Netzwerkadapter das IPv6-Protokoll deaktiviere.
Also liege ich doch richtig das ich es doch komplett abschalten könnte oder nicht? Die WAN-Schnittstelle kann gerne seine IPv6 behalten (bezieht der ja eh per DHCP vom Deutschen Glasfaser Router).
Gibt es auf der "LAN Seite" ein "Masterschalter" der komplett IPv6 abschaltet (wie bei der Fritzbox?).
Sry für den schlecht geschriebenen Roman! Und danke nochmal für den ganzen Support!.
Edit: Was mir auch noch aufgefallen ist. Was ich ehrlich gesagt nicht verstehe und bis jetzt noch nicht geschafft habe es zu unterbinden:
Wenn ich z.B folgendes Szenario baue:
DG Router Lan Port ----> WAN Port Fritzbox ---> Lan Port Fritzbox ---> Lan Port Geräte
(Fritzbox kann auch mit Speedport, Nighthawk oder TP-Link ersetzt werden)
Dann haben alle Geräte hinter der Fritzbox (oder die zwei anderen Router) kein Zugriff auf den Router der DG oder alle anderen Gerätschaften am DG Router.
Habe ich jedoch folgendes Szenario (eigentlich das selbe):
DG Router Lan Port ----> WAN Port OPNsense ---> Lan Port OPNsense ---> Lan Port Geräte
haben alle Geräte hinter dem Lan Port Zugriff auf den DG Router oder andere Netzwerkgeräte (z.b per Wlan angebundene) am DG Router (die in ner anderen IP Range sind).
Warum? Habe auch die zwei "Block privat...[]" o.ä Häkchen gesetzt.
Hey der Laden ist ja nur 10 min von mir weg. Muss ich auch mal vorbeischauen. ;D
Gut eigentlich 25 min denn in Mönchengladbach herrscht ja der 40 km/h Irrsinn.
Wenn du bei der OPNsense IPv6 komplett abschalten möchtest, brauchst du bei dem LAN Interface doch nur bei IPv6 Konfiguration "Keines" auswählen. Unter "Firewall" => "Einstellungen" => "Erweitert" kannst bei "Erlaube IPv6" den haken wegnehmen, dann geht kein IPv6 mehr durch. Ist bei DG aber so eine schlechte Idee. Denn du klammerst IPv6 so schon aus, obwohl du irgendwann umstellen müssen wirst.
Hoffe ich habe deine Fragestellung richtig verstanden.
-
Ja ist ein super Laden! Kann ich nur empfehlen!
Und für 39€ ist das ne super Leistung die das Ding liefert.
Nur die Lautstärke geht gar nicht (selbsterklärend). Ich habe kurzerhand (für das Testsetup) alle 3 Lüfter abgeklemmt. Somit stört das Netzteil nur etwas.
Resultate:
alle 3 Lüfter bei 16.000RPM (ja, sechszehntausend!) = CPU nie wärmer als 25°C (bei 19°C Zimmertemperatur)
alle 3 Lüfter abgeklemmt bei 0RPM = CPU schwankt zwischen 50°C - 70°C (je nach Last)
Der massive Kupferkühler macht schon sein Job richtig gut.
Werde aber heute Abend den passiven Kühler und die 3 Lüfter gegen ein vernünftigen 120mm Kühler tauschen oder so (der Deckel muss dann auch gefräst werden ;D). Habe noch paar alte LGA 775 Kühler rumfliegen. Und das Netzteil wird dann auch noch etwas modifiziert damit es leiser wird.
BTW: Weiß einer wie ich zu 100% feststellen kann wann oder ob IPS usw an ist? Habe es aktiviert (außer den Premocius(?) Mode) und alle Listen die out-of-the-box bei OPNsense dabei sind aktualisiert und aktiviert.
Resultat:
Ohne Paketscanner: 1gbit down/500mbit up bei ca 4% Prozessorauslastung
Mit Paketscanner: 1gbit down /500mbit up bei ca 40-60% Prozessorauslastung
Also nach der CPU Auslastung würde ich sagen: Ja ist aktiviert.
Da jedoch hier die Sprache bzw Wiki usw davon ist das dies extremst viel Leistung benötigen soll, bin ich etwas verwundert.
Ist schließlich nur ein XEON X3220. Fast 12 Jahre alt ;D
Und das kann ich mir irgendwie nicht vorstellen oder ich lese einige Daten falsch der Shops die spezielle Hardware dafür verkaufen. Es kann mir doch keiner erzählen das für tausende Euros solche Appliances verkauft werden nur damit die 1gbit, 10gbit oder noch mehr mit Packet Inspection arbeiten können und dann komm ich mit so einem Dino um die Ecke für 39€ und es funktioniert genau so... Kann es sein das bei den Shops angaben sind pro Benutzer? Also z.B wenn man so eine Appliance für 500 Leute kauft, das dann alle 500 z.B 1gbit inkl Packet Inspection hätten?
Wenn du bei der OPNsense IPv6 komplett abschalten möchtest, brauchst du bei dem LAN Interface doch nur bei IPv6 Konfiguration "Keines" auswählen. Unter "Firewall" => "Einstellungen" => "Erweitert" kannst bei "Erlaube IPv6" den haken wegnehmen, dann geht kein IPv6 mehr durch. Ist bei DG aber so eine schlechte Idee. Denn du klammerst IPv6 so schon aus, obwohl du irgendwann umstellen müssen wirst.
Ja danke! Habe ich gestern Nacht auch noch gefunden. Löpt.
Wieso ist das eine schlechte Idee? Ich denke doch mal der Router der Detuschen Glasfaser wird alle internen Fragen die per IPv4 kommen auf IPv6 tunneln?
Die können doch nicht erwarten das die Omi Hildegard sich mit IPv4/IPv6 beschäftigt. Die wird ihre smarte Espressomaschine (ohne IPv6) einfach an den Router klemmen und erwarten das dass Ding läuft :D
-
@tommekk228
Du kannst Deine Erfahrungen nicht verallgemeinern!
Lass mal noch einen Proxy mit AV-Plugin und ein paar VPN-Tunnel auf Deiner Hardware laufen und versorge damit mal eine größere Geräte bzw. Useranzahl. Dann geht (D)einem 39€ Schnäppchen ganz schnell die Puste aus. ;)
Kommt halt immer auf die Anforderungen an. Mir wäre der Stromverbrauch von so einem alten Server einfach zu heavy! ::) Vom Lärm mal ganz abgesehen.
In der Firma läuft unser FW-Cluster auf 2 Xeon und da kommt teilweise schon ganz schön Last drauf.
Bei mir zu Hause läuft die OPNsense auf einer HW die eigentlich unter den min. Systemvoraussetzungen liegt. Mein Lexcom-Teil ist komplett passiv gekühlt und verbraucht < 10 Watt. Reicht für meine Ansprüche aus.
-
Ja mehr wollte ich nicht! :-)
Lebe alleine. Und von den 24h bin ich 12h eh nicht Zuhause. Und davon min. 7h am schlafen. Also bleiben nur 5h am Tag höchstens wo der Router läuft.
In meiner Abwesendheit und in meiner Schlafenzeit ist dank diesen Module
https://www.amazon.de/Homematic-056875-HomeMatic-Funk-Schaltaktor-Unterputzmontage/dp/B0024G59VS
sowieso das Haus so gut wie Stromlos. Nur Licht, Küche und Waschmaschine sind dann unter Strom (da in meiner Schlafenszeit die Waschmaschine und Spülmaschine laufen).
Da kostet das Ding mich vllt. ganze 5-6€ im Monat ;D Dafür das ich jetzt sogar ne Spielwiese für VM's usw habe.
Und ja du hast recht. Das Ding ist ultralaut! Gefühlt mindestens 110dB ;D
Aber danach schaue ich heute Abend bei ein paar Bier. Ideen habe ich viele. Entweder ich fräse in den Deckel ein Quadrat wo ein Kühler rausschauen kann (da nur 1U) oder ich nehme so eine Lösung:
https://www.amazon.de/upHere-Leistungsstarker-Wasserkuehler-fluesterleisen-Performance/dp/B07871P1GW/ref=sr_1_5?s=ce-de&ie=UTF8&qid=1525430109&sr=1-5&keywords=LGA775%2Bpwm&th=1
Lüfter der AIO gegen paar Noctuas oder so austauschen (falls die mies sind. Oder gar ohne) und das Netzteil gegen ein passives austauschen oder dahingehend modifizieren das er leiser ist und voila das Ding ist flüsterleise ;D
-
> Ja bzgl "fertiger" Hardware mit OPNsense "ab Werk" drauf, habe ich mir schon angeschaut und wurde ehrlich gesagt entäuscht. Da schafft keine Hardware die ich gefunden habe die 1gbit "genattet".
Sorry dann hast du aber nicht weit gesucht/geschaut. Wir haben hier genug rumstehen, was über Gigabit müde lächelt :D
> Ist schließlich nur ein XEON X3220. Fast 12 Jahre alt ;D
Damit wäre er egal ob privat oder geschäftlich bei mir bereits aus jeder Überlegung rausgeflogen. Uralt Hardware für Schnäppchenpreise mag toll sein was Performance angeht, aber primär baut man sich solche Systeme aus anderen Gründen... stimmt, Sicherheit! ;) Und ein Steinalt System ohne AES NI und Co. würde ich heute nicht mehr anfassen. Klar haben wir gerade mit Spectre (1,2,3,NG+ ...) und Meltdown genug andere lustige Probleme aber die können sich wenigstens noch lösen lassen und das ohne Strom wie ein Basar zu brauchen und Lautstärke wie ein Flughafen zu produzieren :D
-
So.
Übers Wochenende wurde das "Projekt" finalisiert.
https://imgur.com/a/wI69ryG
Hatte doch noch ein LGA775 Kühler, ein Netzteil und ein Gehäuse übrig. Nun ist das Ding flüsterleise 8)
Proxmox mit OPNsense und Pi-Hole. Läuft wunderbar.
Zum Strom: Doch um einiges sparsamer als ich dachte. Der Server, der DG Router und ein 5 Port Gigabit Switch kommen zusammen auf ca 85 Watt laut Messuhr. Kostet mich nun also keine 3€ im Monat :-)
Ja bzgl AES usw hast du ggf recht. Aber brauch ich auch nicht. Per OpenVPN usw wird nicht gespielt.
Im großen und ganzen bin ich völlig zufrieden. Für den Preis!
-
> Ja bzgl AES usw hast du ggf recht. Aber brauch ich auch nicht. Per OpenVPN usw wird nicht gespielt.
*seufz* Bitte nochmal genau nachlesen und auf die Ersatzbank bis man verstanden hat, was AES-NI kann, tatsächlich leisten kann / heute schon leistet und aus dem Kopf das stumpfe "AES-NI ist irgendwas mit VPN schneller machen" dringend streichen.
Danke :)
-
> Ja bzgl AES usw hast du ggf recht. Aber brauch ich auch nicht. Per OpenVPN usw wird nicht gespielt.
*seufz* Bitte nochmal genau nachlesen und auf die Ersatzbank bis man verstanden hat, was AES-NI kann, tatsächlich leisten kann / heute schon leistet und aus dem Kopf das stumpfe "AES-NI ist irgendwas mit VPN schneller machen" dringend streichen.
Danke :)
Ja weil es auch richtig ist. AES-NI ist nur dafür da die ent- und verschlüsselung vom AES Algorithmus zu beschleunigen. Da der aber nichts mit Verschlüsselung zutun haben wird, brauch ich diesen Befehlsatz auch nicht.
Habe als Mediapc z.B eine Intelplattform mit einem G3258. Mit 8GB RAM und einer 1050. Hat auch kein AES-Ni und das Ding läuft mit Windows 10 wie am Schnürchen ;)
-
Zum Strom: Doch um einiges sparsamer als ich dachte. Der Server, der DG Router und ein 5 Port Gigabit Switch kommen zusammen auf ca 85 Watt laut Messuhr. Kostet mich nun also keine 3€ im Monat :-)
ich weiß nicht was die kwh in Deutschland kostet, aber wenn ich von einem durchschnittlichen Preis in Österreich ausgehe und dieser beträgt ungefähr 0,19 Euro/kwh, dann zahlt man dafür bei 24 Stunden Betrieb im Jahr 140 Euro. Das wären dann ungefähr 12 Euro im Monat!
-
Ja dann hast du ein Grund nach Deutschland zu kommen. Weil hier kostet die kwh ja 0,0475€!
Nein Scherz beiseite.
Ich schrieb ja in einem Post in diesem Thread das der sowieso nur 4-5 Stunden am Tag läuft.
-
Na dann sollten sich die Kosten in Grenzen halten.
-
@JeGr
Leider liefert Intel ja gerade den allerbesten Beweis ab, warum ich durchaus froh bin eine ältere CPU in der Firewall zu nutzen (z.B. Atom vor 2013 oder VIA CPU). Ja, es gibt keine AES-NI. Aber eben auch kein Spectre/Meltdown. ;)
Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel. Kaum ist man in der Firma mit allen Servern/Notebooks/Clients durch (Bios, OS-Updates, VMWare usw.) gibt es wieder ein neues Bios oder ein Bios wird zurückgezogen und eine Woche später kommt die nächste Version... >:(
Und nun rollt Spectre-NG auf uns zu!
@tomekk228
Es geht ja nicht ausschließlich um die eigenen (Strom)Kosten. Man sollte auch etwas an die Umwelt denken. ;) Wenn sich jeder so eine 85 Watt Schleuder hinstellen würde kämen da ganz schnell ein paar Megawatt zusammen!
Energieeffizienz war/ist für mich auf jedem Fall ein wichtiger Punkt bei der HW-Auswahl (neben den reinen HW-Kosten). Ich bin auch froh, dass ich meinen AP per PoE aus den Netzteil meiner Firewall versorgen kann. Das spart auch nochmal 1-2 Watt ein. :)
Jedes Watt weniger spart über das Jahr gesehen wieder Geld, dass ich für andere Dinge ausgeben kann.
-
@tomekk:
> Ja weil es auch richtig ist. AES-NI ist nur dafür da die ent- und verschlüsselung vom AES Algorithmus zu beschleunigen. Da der aber nichts mit Verschlüsselung zutun haben wird, brauch ich diesen Befehlsatz auch nicht.
Nein ist es nicht. Bitte informieren bevor man einfach Behauptungen aufstellt. AES-NI tut für den Prozessor mehr, also "nur" irgendwelche AES Cipher zu beschleunigen. Lies dich schlau. Ich bins leider leid immer wieder die gleiche Gebetsmühle rauszuholen.
@Dirk
> Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel.
Andere Baustelle und hat primär damit nichts zu tun. Ist aber auch bei anderen "Familien" nicht wirklich besser. AMD machts ein wenig besser, zu ARM, deren Kram auch von mancher Schiene betroffen ist, ist es danach auch spontan still geworden. Das trifft einfach alle, weil man zu lange billige Abkürzungen in der Hardware geschludert hat, bei der Security zu kurz kam. Hat aber nichts damit zu tun, dass bspw. AES-NI schon mehrfach gegen Seitenstrang Attacken und Timing-based Angriffe abgeschirmt/geholfen hat, bei der gerade alte CPUs anfällig waren. Bspw. über Cache Angriffe die dann heute im extremen zu Spectre geworden sind. Aber andere Baustelle :)
Ich finde es nur schade, dass man einfach ohne Hintergrundwissen einfach mal Dinge als "gesetzt" in den Raum stellt. Sowas verbreitet sich dann dank Suchfunktion und Google Index als Schwarmwissen...
Edit:
For the sake of argument and documentation: http://sites.nyuad.nyu.edu/moma/pdfs/moma-project-cache-timing-attacks-on-aes.pdf
Zitat: “[…], it still proves that after we disabled the AES-NI, the processor became vulnerable to the cache-timing attack.”
-
@tomekk:
> Ja weil es auch richtig ist. AES-NI ist nur dafür da die ent- und verschlüsselung vom AES Algorithmus zu beschleunigen. Da der aber nichts mit Verschlüsselung zutun haben wird, brauch ich diesen Befehlsatz auch nicht.
Nein ist es nicht. Bitte informieren bevor man einfach Behauptungen aufstellt. AES-NI tut für den Prozessor mehr, also "nur" irgendwelche AES Cipher zu beschleunigen. Lies dich schlau. Ich bins leider leid immer wieder die gleiche Gebetsmühle rauszuholen.
@Dirk
> Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel.
Andere Baustelle und hat primär damit nichts zu tun. Ist aber auch bei anderen "Familien" nicht wirklich besser. AMD machts ein wenig besser, zu ARM, deren Kram auch von mancher Schiene betroffen ist, ist es danach auch spontan still geworden. Das trifft einfach alle, weil man zu lange billige Abkürzungen in der Hardware geschludert hat, bei der Security zu kurz kam. Hat aber nichts damit zu tun, dass bspw. AES-NI schon mehrfach gegen Seitenstrang Attacken und Timing-based Angriffe abgeschirmt/geholfen hat, bei der gerade alte CPUs anfällig waren. Bspw. über Cache Angriffe die dann heute im extremen zu Spectre geworden sind. Aber andere Baustelle :)
Ich finde es nur schade, dass man einfach ohne Hintergrundwissen einfach mal Dinge als "gesetzt" in den Raum stellt. Sowas verbreitet sich dann dank Suchfunktion und Google Index als Schwarmwissen...
Edit:
For the sake of argument and documentation: http://sites.nyuad.nyu.edu/moma/pdfs/moma-project-cache-timing-attacks-on-aes.pdf
Zitat: “[…], it still proves that after we disabled the AES-NI, the processor became vulnerable to the cache-timing attack.”
Zuerst mal ein großes Danke für die geniale Erklärung und den Link.
Aber um beim Thema zu bleiben, was ist denn im Low Power Bereich überhaupt brauchbar?
Ich verwende derzeit einen N3700 von Supermicro. Bin eigentlich zufrieden aber etwas mehr Leistung wäre schon gut, da das Ding bei IDS/IPS schon an die Grenzen kommt.. Für den Homegebrauch ist alles was über 15/20 Watt geht und 24 Stunden laufen soll auf dauer zu teuer egal was es kann bzw leistet. Was würdest du Home-usern dann empfehlen?
Danke und LG
-
@JeGR
Wir leben in einem freien Land. Du hast deine Meinung. Akzeptiere ich. Ob es falsch ist oder nicht. Bin ich nicht in die Lage zu entscheiden.
Aber was ich kann, ist mich fortbilden. Und da es Unternehmen wie Intel existieren, Universitäten die Publikationen durchführen und "Freaks" die eine Spürnase haben (Bugs, Lücken, etc). Kann ich mich darauf berufen.
Und da wird nach gesunden Menschenverstand danach sortiert wie was vertrauenswürdig ist.
Und da bleibe ich bei (und glaube ich) der Aussage von Intel wofür der AES-NI Befehlsatz da ist: Verschlüsselung und Entschlüsselung per AES zu beschleunigen.
Und nicht das System durch einer magischen Feng-Shui Wand zu schützen. Das AES angreifbar ist, weißt man wahrscheinlich schon seit der Geburt von AES. Und wie mit allem im Leben ist es eine Katz und Maus jagd. Das sind auch viele tausende andere Ver/Entschlüsselungsverfahren.
Aus genau diesem Grund sprießen jedes Jahr auch neue und dafür verschwinden andere. AES hat nur das Glück noch dabei und relativ weit verbreitet zu sein.
Und wenn man nun Wert darauf legt seine Daten sicher zu verschlüsseln, nutzt man lieber direkt andere Verfahren....
Kommen wir aber zurück zum Thema. Ja AES-NI beschleunigt NICHT NUR (wie du sagst) das Ver- und Entschlüsseln beliebiger Datastreams (openssl, Wlan, etc pp). Sondern schützt auch genau diesen Verkehr so gut wie nur möglich davor das ein Kobold mal eben dazwischen greift und den Schlüssel/Daten/etc klaut. (Alles Informationen von deinem Link der Publikation und Intel Whitepaper: https://www.intel.de/content/www/de/de/enterprise-security/enterprise-security-aes-ni-white-paper.html)
Aber (und hier sind wir am Ausgangspunkt) AES-Ni schützt mich nicht davor das irgendein Skriptkiddy ins Netzwerk eindringt. AES-Ni schützt mich nicht davor das meine nicht verschlüsselten Daten aus dem RAM geklaut werden. AES-Ni schützt mich nicht davor das generell Daten geklaut werden. AES-Ni schützt mich nicht davor das irgendeine beliebige Anwendung errät was in anderen RAM-Bereichen für lustige Datenbits liegen (siehe Spectre/Meltdown). Und AES-Ni tut noch so vieles nichts. Sondern nur das wofür sein Name auch steht: Sich um AES kümmern.
Und weißt du was der beste Schutz dagegen ist wovor von dir verlinkte Publikation "Cache-timing Attacks on AES" warnt?
Das zutun was ich paar Post schon sagte: AES einfach nicht nutzen! OpenVPN wird nicht genutzt. SSH wird nicht genutzt. TLS wird nicht genutzt usw usf...
Also Fazit: Ich brauche kein AES(-ni). Werde es auch nie brauchen. Und die Hardware ist genau passend für mich.
Aber um dein Seelenfrieden zu gewährleisten:
An alle anderen Mitleser. Ja JeGr hat tatsächlich ein wenig recht. Solltet Ihr OpenVPN unbedingt nutzen wollen. Solltet ihr SSH brauchen und alles andere was großteils auf AES basiert bzw nutzt: Schaut nach Möglichkeit nach Hardware mit AES-Ni unterstützung.
Ist es zwingend notwendig? Ist es das All-heil-mittel? Meiner Meinung nach: Nein. In OpenSSL stecken wahrscheinlich noch viele andere lustige kleine Löcher die gefühlt tausendmal einfacher und praktikabler auszunutzen sind.
Jeder muss schlussendlich eigene Entscheidungen treffen und abwägen was notwendig ist oder nicht. Wie wahrscheinlich es ist das man durch eine Lücke XYZ angreifbar ist oder nicht. Und wie wahrscheinlich es ist das es schlussendlich auch jemand tut.
Also in meinem persönlichen Fall habe ich z.B mehr Angst davor das jemand mir die hart erarbeitete Karre klaut, als mich Otto-normal-verbraucher mit einer CPU-Architektur bedingte Lücke anzugreifen um Daten abzugreifen die mit AES verschlüsselt sein könnten (und sollte dadurch freier Zugriff auf jegliche Daten möglich sein: Auf Daten in meinem Netzwerk die aus 99% nur aus Bilder von mir im Urlaub bestehen in den aller lustigsten Posen. PS: Mädels! Ich reise gerne! Bin auch Single! Da ich mich leider ein großteil meiner Zeit im bösen Internet aufhalte um mich rechtzufertigen oder auf der Arbeit. Also meldet euch ruhig! ;D)
JeGr: Sei mir nicht böse ok? ;) Aber Hintergrundwissen ist Jobbedingt schon da. Es wird halt nur nicht alles so heiß gegessen, wie es gekocht wird.
Ich würde gerne eigentlich mal zum Topic wieder kommen. Aber das wird hier wohl nicht mehr stattfinden ;D
Die anderen Baustellen brennen aber auch nicht so. Sollte es soweit sein das ich mich darum kümmern möchte, melde ich mich schon.
Trotzdem nochmal danke für eure Zeit und der paar Tipps.