OPNsense Forum

International Forums => German - Deutsch => Topic started by: HC on September 18, 2018, 09:15:26 am

Title: OPNSense Neuling sucht Hardware
Post by: HC on September 18, 2018, 09:15:26 am
Moin zusammen,

kurz zu mir. Ich bin im besten Alter und schon eine Gefühlte Ewigkeit in den Bereichen Linux und Co Anwender. Ich habe schon einige IP(Cop/Fire)-Installationen aufgesetzt und bin als Sysadmin tätig. Wie wahrscheinlich fast alle Syadmins nutze ich meine private IT als Spielwiese und da ich im beruflichen Alltag wenig Berührungspunkte mit Security und Hardware habe, ist hier wahrscheinlich die bessere Anlaufstelle :)

Als neues Projekt möchte ich meine FB ablösen und eine OPNSenseinstanz intigrieren. Für diese suche ich nun passende Hardware die auch ein wenig zukunftsorientiert sein soll. Die generellen Anforderungen sind ja nicht all zu hoch, doch die letzten Tage bin ich auf das Sensai Plugin gestoßen welches ich gerne ebenfalls testen möchte. Damit steigen die empfohlenen Ressourcen auf 8GB Ram und damit fallen APUs leider schon einmal weg. Außerdem möchte ich nach und nach Squid und Surricata implemetieren.

Wie es mit VPN aussieht werde ich schauen. Momentan habe ich auf einem Raspbi meinen DNS Server mit PiHole und OpenVPN integriert. Da ich nur hin und wieder eine VPN Einwahl nutze ohne riesige Bandbreiten zu benötigen sind hier meine Voraussetzungen eher gering.

Nun wäre die Frage, welche Hardware? mein Preisrahmen bewegt sich bei ~300€, wobei es mir nicht auf 20-30€ ankommt, nur sollten es halt keine 200-300€ mehr sein. Decisos A10 GEN2 (Modell E oder G) hören sich zwar interessant an, jedoch habe ich keine Preisangaben und Händler gefunden. Die Komplettsätze bei Deciso bewegen sich dann doch eher in der 500-600€ Region und das ist mir als Freizeitprojekt doch ein wenig zu viel.

Intel NUCs haben leider, soweit ich gesehen habe, nur ein Ethernetanschluss. Als nächstes bin ich auf Pondesk Pico PCs gestoßen. Diese hören sich zwar sehr gut an, nur finde ich nirgendwo Erfahrungsberichte. Ein System aus China, welches einer Heizung ähnelt und nach zwei Wochen den Hitzetod stirbt möchte ich auch nicht haben.

Gibt es weitere Empfehlungen von euch? Bei supermicro.com scheint es diverse Sets zu geben, nur finde ich keine Händler / Preise. Es kann doch nicht so unmöglich sein? 2-3 (Intel)-Ethernet  ports, >8GB, QuadCore >1,5 GHz mit 10-15 Watt Energieverbrauch, höher sind meine Ansprüche gar nicht  ;D

Viele Grüße
HC
Title: Re: OPNSense Neuling sucht Hardware
Post by: Evil_Sense on September 18, 2018, 11:29:41 am
Wie wäre es mit einem QOTOM Gerät?

Die G4er haben 4 ports, bei Aliexpress kann von i3 bis i7 und verschiedenen RAM & SSD Kombinationen ausgewählt werden.
Title: Re: OPNSense Neuling sucht Hardware
Post by: monstermania on September 18, 2018, 03:57:20 pm
Es kann doch nicht so unmöglich sein? 2-3 (Intel)-Ethernet  ports, >8GB, QuadCore >1,5 GHz mit 10-15 Watt Energieverbrauch, höher sind meine Ansprüche gar nicht  ;D
Unmöglich ist es evtl. nicht, aber eben teuer!  ;)
Du willst mehr als 8 GB RAM nutzen können. Das ist für einen typischen SBC (SingleBoardComputer) eben alles Andere als üblich. Hier ist eigentlich immer bei 4 max. 8 GB Schluss.
Dann soll das Ganze auch noch mit 10-15Watt auskommen. Bedeutet auch wieder eine eher sparsame CPU. Da braucht man aber eben kaum 8 GB RAM oder mehr.
Qotom wäre eine Möglichkeit, ich weiß aber nicht, ob es da überhaupt ein Modell mit min. 3xLAN und max. 16 GB RAM gibt! Normalerweis ist bei Qotom auch bei 8 GB Ram Schluss.
Ich befürchte daher fast, dass Du kaum um einen Eigenbau herumkommen wirst und auch Dein Budget dürfte kaum ausreichen.
Schau Dir mal einen HP Microserver an. Die haben zumindest 2 x LAN und lassen sich auf bis zu 32GB RAM aufrüsten. Habe kürzlich ein Angebot für 249€ gesehen. Energietechnisch liegen die aber auch eher bei > 30 Watt. Aber eine Kröte wirst Du wohl schlucken müssen!
Grad gesehen, dass die aktuellen HP Microserver wohl nicht unter FreeBSD 11.x laufen!

Gruß
Dirk
Title: Re: OPNSense Neuling sucht Hardware
Post by: HC on September 19, 2018, 09:51:01 am
Moin,

okay mir ist schon klar dass meine Ansprüche zu hoch und der Geldbeutel zu klein ist ^^ Mit Kompromissen habe ich gerechnet, doch vielleicht findet sich ja noch etwas. Hat hier jemand Erfahrungen mit den Qotom Geräten? 1-2 Modelle würden mir da schon zusagen. Nur habe ich zu anderen chinesischen Günstiganbietern gelesen, dass sie nach 10 Tagen im Dauerbetrieb unter etwas Last den Hitzetod gestorben sind.

Einen anderen Hersteller den ich gefunden habe ist Spo-Comm, allerdings haben die auf ihrer Seite keine Preise. Besonders das "Windbox II" sieht smart aus. Fällt raus, da der kein AES-NI unterstützt. Und beim
Rugged GTX 1050Ti gibt Intel schon für den Prozessor rund 200€ als empfohlenen Preis an.

Quote
ich weiß aber nicht, ob es da überhaupt ein Modell mit min. 3xLAN und max. 16 GB RAM gibt!

Haben sie :) Nur Merkwürdig, dass sie bei Aliexpress so etwas anbieten, auf Ihrer Homepage davon aber nichts zu finden ist.

Quote
Schau Dir mal einen HP Microserver an.

Habe ich, der (oder ein Äquivalent) kommt für meine zukünftige Proxmox Umgebung.

Ich habe jetzt dutzende hunderte Angebote bei Aliexpress angeschaut und davon verbleiben die QOtom als die seriösesten. Und da vielleicht noch Andere Interesse haben, hier mal meine Ergebnisse. Noch sind sie nicht in Stein gemeißelt, aber andere Alternativen mit einem solchen Preis- Leistungsverhältnis habe ich bis jetzt nicht gefunden. Dabei sind 400-460€ eigentlich weit über meinem angesetzten Budget.

Noch etwas, sollte es eines der werden, würde ich die 60€ auch noch ausgeben und gleich zum i7 greifen. Nun möchte ich auch etwas in die Zukunft schauen, so dass das System mit steigenden Anforderungen auch mit einer, sagen wir 100Mbit Leitung klar kommt. Gerade wenn es um Suricata geht, steigt ja die Prozessorlast, dann noch das Sensai Addon... reicht da ein Dual Core mit 4 Threads und 2,50 GHz? Wäre es ggf. nicht sogar sinnvoller einen Quad Core mit weniger Leistung Pro Kern zu haben?

Aber hier erst einmal meine aktuellen Fundstücke, über Alternativen wäre ich sehr dankbar.


Viele Grüße
HC
Title: Re: OPNSense Neuling sucht Hardware
Post by: monstermania on September 19, 2018, 11:53:54 am
Moin,
den Thread kennst Du:
https://forum.opnsense.org/index.php?topic=8598.0

Evtl. da nochmal konkret nachfragen. International ist da bestimmt deutlich mehr Resonanz zu erwarten als nur im deutschen Bereich.

Gruß
Dirk

PS: Wußte echt nicht, das Qotom auch Geräte mit 16GB und soagr 6xLAN anbietet. Auf Ihrer Webseite sind die Teile nicht zu finden.
Title: Re: OPNSense Neuling sucht Hardware
Post by: noob on September 22, 2018, 11:10:05 pm
N3150/N3700 fressen auch 16GB. Sollte nahezu immer zutreffen.

Hab seit einer Weile nen N3700 von Supermicro im Antec ISK 110 Vesa und 16GB RAM. Ich brauchte ein ILO. Internet 100/40. Der N3700 war bereits ein Rückbau vom i7 an dieser Stelle. Reserven sind genug da. Auch das N3700 Mainboard kann 16GB RAM. Ich kann auch die N3700 CPU nicht wirklich sinnvoll ans Limit fahren. Nur in Tests...  ...brauchte aber 16GB RAM aufgrund der Blocklisten. Klassische IDS können verschlüsselten Traffic eh nicht handeln. Mein Proxy kann auch den verschlüsselten Traffic nicht händeln. Ich nutze mehrere aktive VPN-Tunnel. Für VPN braucht man net oberhalb von 200Mbit pro Connection zu planen. Das Netz wird sehr sehr sehr sehr gemütlich ausgebaut. Im Sommer kocht meine Hardware, da sie passiv ist.

Hab den https://www.minipc.de/catalog/il/1276 selbst nicht, aber sogar diese Kiste erfüllte alle meine Anforderungen. Seltsamerweise bleibt die Kiste auch im Sommer kalt, trotz Last. Ich konnte keinen Unterschied zu stärkerer Hardware finden, auch nicht in Latenzen. Jetway bietet auch günstige Hardware an und bietet bei einigen Kisten sogar long term support. Recht umfangreiches Sortiment und die Preise sind ganz ok.

Supermicro findest Du z.B. bei Sona.de. Die Denverton (Atom) sind auch recht gut. Für den N3700 habe ich glaube ca. 330 Euro mit RAM und SSD bezahlt. Heute würde ich aber nur noch Atom oder Xeon einsetzen (nahezu gleicher Preis). Schon weil ECC nur 20 Euro mehr kostet. Das N3700 Board braucht z.B. aus der Wand 13-15 Watt, da IPMI und co dran sind.

paar Möglichkeiten:

Mainboards:
X11SBA-LN4F (€230)
X11SBA-F (€220)
A2SDi-2C-HLN4F(€230)
A2SDi-4C-HLN4F (€310)
X10SDV-2C-TP4F (€350)
Jetway (€200-600)

Falls Du selbst bauensolltest:

Case:
QBX Mini-ITX-Gehäuse (€50)
https://www.alternate.de/Scythe/Slip-Stream-120-DB-Geh%C3%A4usel%C3%BCfter/html/product/1206534? (€10)


Falls Du WLAN via AP umsetzen willst, kannst Du mal bei Mikrotik schauen. Geht kaum günstiger und die aktualisieren jede alte Möre.
Title: Re: OPNSense Neuling sucht Hardware
Post by: bringha on September 23, 2018, 02:52:39 pm
Hallo,

ich kann noob nur zustimmen, Preis Leistung und vor allem auch Betriebskosten sind mit dem X11SBA-LN4F sehr brauchbar. Das Board kann sowohl in Microrechnergehäusen als auch Rackmounted prima eingesetzt werden.

Sollte ggf auch ein gebrauchtes System in Frage kommen, würde ich dringend empfehlen darauf zu achten, die HW Revision 1.02 oder später einzusetzen (siehe https://forum.opnsense.org/index.php?topic=5869.msg25622#msg25622 (https://forum.opnsense.org/index.php?topic=5869.msg25622#msg25622)).

Bei mir laufen jetzt 2 der Systeme seit 2 Jahren ohne jede Probleme und haben jedes Upgrade problemlos mitgemacht; nach den anfänglichen Hickups (s.o.) bin ich sehr zufrieden!

Sehr effektiv bei ausschließlicher Nutzung als OPNsense hat sich auch der Einsatz von SuperDOMs als SSD Disks erwiesen (32 GB) ist klein, sparsam und völlig ausreichend. Mit 16GB Memory habe ich allerdings keine Erfahrung, Supermicro selbst empfiehlt lediglich max. 8 GB RAM)

Br br
Title: Re: OPNSense Neuling sucht Hardware
Post by: noob on September 23, 2018, 10:03:32 pm
@bringha: Werden die SuperDOMs warm oder heiss?

https://www.amazon.de/Hardware-Barebone-Mi4610YL-Aluminium-Gigabit-Nic/dp/B07CHX5Y6H/ref=sr_1_2?s=computers&ie=UTF8&qid=1537710294&sr=1-2&keywords=I7-4610Y
Das ist doch so ne "Qotom" Kiste? Jedenfalls die Hardware ist identisch auf den Bildern.

Der Qotom Q355G4 (i5-5250U) lässt aber den N3700 bzgl. Performance echt arm aussehen. Hier mal ein guter Test:
https://forum.netgate.com/topic/113841/i5-5250u-4-lan-home-computer-q355g4-install-question#710030

Die Q5xxGx-Serie kennt der Hersteller nicht. Modelle mit 6 NIC'S auch net. Qotom scheint auch an Update-Problemen zu leiden. Klicke ich beim Q355G4 auf Drivers, ist da genau nix? Öhm in den FAQ finde ich Treiber auf anderen Websites. Wow ganze 4 FAQ Einträge. Downloads führen zu Softpedia, lol. Damit ist es auch Wumpe, ob die Dinger beim Ali Originale sind. Für Security Hardware eher nicht geeignet.

Supermicro liefert z.B. für Denverton und Xeon regelmässige Updates. Der N3700 ist seltener dran, aber auch dort liefert der Hersteller Updates.
Title: Re: OPNSense Neuling sucht Hardware
Post by: bringha on September 24, 2018, 09:24:33 am
Nö, die Superdoms dümpeln bei mir bei 32 Grad rum

Was treibt Dich in die Frage nach viel Rechenleistung?

Der N3700 stoffwechselt bei mir mit durchschnittlich 3% CPU Last und in der Spitze 26% trotz zahlreicher Plugins (sipproxd, igmpproxy, Telegraf ...).Memory bei 4% avg, 11% Spitze (bei 8G)

Auf dem WAN habe ich 21 MBit Durchschnittstraffic (SIC!) wenn Entertain läuft

Mir reicht das also völlig aus

Br br
Title: Re: OPNSense Neuling sucht Hardware
Post by: noob on September 25, 2018, 02:52:12 am
32 Grad sind super. m.2 und mSATA haben sich aufgrund der Hitzeentwicklung nicht bewrt.

War neugierig und da ich die Qotom Dinger echt preiswert fand, hab ich auch mal wieder rumgeschaut. Ist ja irgendwie nen Hobby.
Title: Re: OPNSense Neuling sucht Hardware
Post by: verdi on January 10, 2019, 12:44:44 pm
hi
hast du dich am Ende jetzt für ein Qotom System entschieden? Wenn ja: wie sind deiner Erfahrungen damit?

Überlege mir eine Qotom Q570G6 zuzulegen um genug Leistung für OpenVPN zu haben

Gruß

Marcel
Title: Re: OPNSense Neuling sucht Hardware
Post by: theq86 on January 11, 2019, 11:55:34 am
Der neue odroid h2 wäre auch noch ne Überlegung wert
Title: Re: OPNSense Neuling sucht Hardware
Post by: monstermania on January 11, 2019, 01:28:12 pm
Der neue odroid h2 wäre auch noch ne Überlegung wert
Moin,
auf den 1. Blick fand ich das Teil auch sehr interessant. Im Detail sind dann aber schon ein paar Haken. Die odroid H2 ist ja leider recht beschränkt (nur 2 x NIC) und keine Möglichkeit der Erweiterung z.B. per m-pcie slot. Dazu leider nur Realtek-Chipsatz für die NIC.
Dann braucht es noch ein Gehäuse (Lüfterlos!?) und passendes Netzteil. Leider ist 15V auch etwas abseits vom Bastel-Standard (5V oder 12V).  :-[
Klar, kann man Alles kaufen, dann liegt man aber preislich auch gleich wieder im Bereich der Qotom-Teile.

Gruß
Dirk
Title: Re: OPNSense Neuling sucht Hardware
Post by: 8ulletproof on January 12, 2019, 10:15:33 am
Moin erstmal,
die APUs von PcEngines wären erwähnenswert. Habe selbst die APU2C4 (AMD GX-412TC, 4 cores) die mit einer Auslastung von 25% noch nie Probleme verursacht hat bisher. Außerdem sind noch 3 GigE / 2 miniPCI express / mSATA / USB onboard. Allerdings läuft kein sensei plugin bisher. Erfahrungen diesbezüglich mal posten, es gibt noch kein deutschen Thread bisher.
Title: Re: OPNSense Neuling sucht Hardware
Post by: Meditux on January 12, 2019, 11:18:35 pm
Moin,

hier mal meine Erfahrung mit Qotom. Ich habe privat seit ein paar Monaten ein Qotom Q350G4Y (Intel Core i5-4200Y Haswell Dual Core,3M Cache, 1.4GHz, Up to 1.9GHz) im Einsatz. Die Kiste bedient einen VDSL-Anschluss mit 35b Profil (240/38 MBit real) ohne Drosselung des Durchsatz mit folgenden Diensten:

- diverse Firewall Aliases URL-Table-IP-Listen (z.B. GeoIP)
- Suricata mit nicht zaghaft konfigurierten ID Rules
- Web Proxy mit aktivierten ClamAV

Die Kiste erreicht bei 240 MBit/s Datendurchsatz ca. 50-60% der CPU Leistung und wird dabei nicht wärmer als ca. 45 °C.

Die APUs von PcEngines sind nicht schlecht, ich habe beruflich ca. 15 bei Kunden im Einsatz, allerdings müssen die dort auch nur VDSL 50/10 MBit bedienen. Da müssen die Suricata ID Rules schon sehr mit bedacht ausgewählt werden um die 50 MBit down noch nutzen zu können.

Gruß Meditux
Title: Re: OPNSense Neuling sucht Hardware
Post by: verdi on January 24, 2019, 01:40:42 pm
Moin,

seit gestern is der Qotom Q575G6 endlich wieder lieferbar und ich hab direkt meinen einen bestellt.

Q575G6 mit Intel I7-7500U ohne RAM / SSD für 330€ incl DHL Express Versand

... dazu 16GB RAM und noch eine mSata SSD die ich selbst kaufe.

Ich berichte dann was die Kiste an OpenVPN Performance wirklich schafft.

Gruß

Marcel
Title: Re: OPNSense Neuling sucht Hardware
Post by: evgenij on March 04, 2019, 08:49:09 pm
Moin,

seit gestern is der Qotom Q575G6 endlich wieder lieferbar und ich hab direkt meinen einen bestellt.

Q575G6 mit Intel I7-7500U ohne RAM / SSD für 330€ incl DHL Express Versand

... dazu 16GB RAM und noch eine mSata SSD die ich selbst kaufe.

Ich berichte dann was die Kiste an OpenVPN Performance wirklich schafft.

Gruß

Marcel

hallo verdi,

kannst du schon etwas bzgl. der openvpn performance mit q575g6 sagen? Mir würde daa ergebnis von folgenden Befehlen als Vergleichswert reichen:


schöne Grüße
Evgenij
Title: Re: OPNSense Neuling sucht Hardware
Post by: superwinni2 on March 04, 2019, 09:24:41 pm
Hallo zusammen

Da ich diesen Beitrag recht interessant möchte ich auch meinen Senf dazu geben... Ichfinde es etwas "krass" was ihr hier für Geschütze auffährt...
Also ich habe als Hardware für meine Spielweise zuhause einen "alten Ausrangierten" Laptop mit bildschirmschaden...

Der hat einen i3-4030U CPU mit integrierter Grafik und 8 GB RAM und ist mit 2 SSDs ausgestattet...

Hier habe ich ProxMox drauf und dann meine OPnsense als VM.
Die einzelnen Netzwerke sind dabei als VLANs getrennt. Für zuhause meiner Meinung nach vollkommen in Ordnung und ausreichend.

Im Geschäftlichen Umfeld muss man hier natürlich anderst denken... Aber zuhause zum spielen und um dafür zu sorgen und zu kontrollieren was wohin geht absolut in Ordnung.
Meiner OPNsense VM habe ich 2 Kerne gegeben und 1 GB RAM.
Hiermit habe ich bisher keine Leistungsverluste festgestellt. Wohlgemerkt möchte ich dazu sagen das ich aktuell eine 60/3 Internet Leitung habe welche ich nun auf 400/12 gewechselt habe... Zudem findet bei mir alle 2 Minuten ein speedtest über iperf3 statt welche die Leitung komplett auslastet. Dies schon seit 3 Firewalls und 9 Monaten. Ohne Unterbrechung ausser der Anbieter hat eine Störung.

Daher finde ich es schon fraglich ob man hier auf einen i7 zurück greifen muss oder nicht...
Wenn es um virtualisierung geht kann man da gerne drüber reden... Aber wenn HC es direkt aufs Blech installiert finde ich es echt heftig...

Was ich ebenfalls gelesen habe: HC möchte seine Fritzbox ablösen... Falls du dies noch immer vor hast, bitte beachte dass die Fritzbox sehr sehr oft nicht nur als Router sondern auch als Modem genutzt wird. Hier wird dann noch die passende "Schnittstelle" bzw Erweiterungskarte gebraucht... Wenn du DSL/VDSL hast kannst du noch von Glück reden dass es hier was gibt... Bei Kabelanschluss oder gar Glasfaser (FTTH) wird es sehr sehr schwer was zu finden... Habe einen Kollegen der aktuell das gleiche versucht...

Möchte mit meinen post niemanden verärgern und hoffe dies wird nicht falsch aufgefasst.

Grüße

Gesendet von meinem LG-H815 mit Tapatalk

Title: Re: OPNSense Neuling sucht Hardware
Post by: monstermania on March 05, 2019, 10:31:50 am
@superwinni2
Jeder hat andere Anforderungen! Wer z.B. darauf angewiesen ist OpenVPN bei entsprechenden Bandbreite auch performant zu betreiben braucht eine entsprechend leistungsfähige CPU. Auch IDS/IPS frist richtig Leistung.
Klar, wer eh nur eine 50'er DSL-Leitung hat, kommt auch problemlos mit einer leistungsschwachen HW klar. Ich nutze z.B. eine gut abgehangene FW-Hardware von Securepoint/Lexcom (Atom D525) die ich für ~ 30€ per ebay geschossen hab. Reicht vollkommen problemlos für meine 100/20 Leitung, da mir OpenVPN nicht wirklich wichtig und ich kein IDS/IPS nutze.
Aber deswegen kann ich trotzdem Jeden verstehen, der seine Gbit-Leitung mit allen OPNsense-Features auch voll ausreizen will!
Title: Re: OPNSense Neuling sucht Hardware
Post by: superwinni2 on March 05, 2019, 11:09:31 am
Hi monstermania, falls ich dich verärgert habe bitte ich dies zu entschuldigen....

Das jeder andere Anforderungen hat, kann ich natürlich verstehen  :)
Aber das Beispiel wegen der OVPN braucht man keine "hohe" Hardware... Habe hier nen Celeron M 1.5 Ghz (1 Core) der eine bestehende 100/100 Leitung problemlos mitmacht. Getestet mit iperf3. Klar da läuft nun kein anderer schnickschnack wie  proxy, IDS/IPS etc...
Ich glaube das große Problem (und dies wird der Genickbruch an dem Projekt) sind die >8 GB RAM mit einem guten CPU mit mehreren Netzwerkschnittstellen und das alles bei gleichzeitig wenigstem verbrauch...
Hier muss man meiner Meinung nach einen Tod sterben...
Title: Re: OPNSense Neuling sucht Hardware
Post by: JeGr on March 05, 2019, 11:30:14 am
Hi,

Leistungsanforderungen in Punkto CPU sind aber - leider - nicht linear. Was vielleicht mit knapp 100Mbps mit einem kleinen Celeron noch ganz fluffig funktioniert, wir bei 200, 300, 500Mbps dann recht schnell böse. Zudem verändert sich das Spektrum auch noch ein wenig je nachdem wir von reinem Durchsatz reden (also bspw. 500Mbps durch fette Dateitransfers und große TCP Pakete) oder ob wir von MPPS reden (also Paketen Pro Sekunde mit sehr sehr vielen kleinen Paketen und Verbindungen). Unterschiedliche Szenarien bringen unterschiedliche Probleme aufs Parkett, deshalb ist auch eine Durchsatzangabe immer nur ein Richtwert und hängt im Einzelfall stark vom UseCase ab.

Anyway, gerade ab den genannten 100Mbps habe ich in der Vergangenheit den Eindruck bekommen, dass generell BSD und die Toolchain wie IPSEC und OVPN dann unterschiedlich skalieren und bspw. CPU schlucken. Bei 200-300Mbps wirds dann oftmals bei kleineren oder älteren CPUs schonmal eng. Und man will sich ja auch nicht immer 200W Desktop CPUs zu Hause irgendwo reinhängen, wenn es sich vermeiden lässt (außer man betreibt da eh noch mehr drauf).

BTW: Der Use Case mit recht guter CPU, 8 oder mehr GB RAM und mehreren NICs ist machbar. Auch die 10-15W treffe ich da ganz gut. Aber der OP hat eben an der Stelle ein völlig unrealistisches Ziel vom Budget angegeben. Wenn man alle Traumwerte haben möchte, dann kostet das eben nunmal auch gutes Geld :) Denn bei ~300€ sind wir dann eben bei Weitem nicht mehr. Und bei den Qotom i7 sind m.W. die 15W schon lange überschritten (ansonsten würde der i7 sehr wahrscheinlich runtertakten oder undervolten um das hin zu bekommen).

Wer aber genau das sucht: Kisten mit Atom C3000 Denverton können genau das. Aber nicht für schmalen Geldbeutel. Irgendwas im Dreieck Performance-Stromverbrauch-Preis muss eben ausschlagen. Wer sich aber sowas wie die scope7-1510 (6 NICs, C3558, 8GB RAM kann aber mehr, 250er SSD) anschaut, wird genau das finden. In unseren Performance Tests bislang hatte die Kiste bei OVPN und IPSEC bei rund 460-500Mbps erst aufgeben müssen (weil eine CPU ausgenuckelt), allerdings mit modernen Settings (aes256-gcm-sha256/sha384). Kostet aber eben keine 300€ :D
Title: Re: OPNSense Neuling sucht Hardware
Post by: monstermania on March 05, 2019, 01:15:59 pm
Hi monstermania, falls ich dich verärgert habe bitte ich dies zu entschuldigen....
Nö,
Du hast mich keineswegs verärgert. ;)
Ich wollte nur darauf hinweisen, dass es schlichtweg von den Anforderungen abhängt, welche HW wofür 'passend' ist.
Ansonsten ja JeGr ja eigentlich Alles weitere dazu geschrieben.  ;D

BTW: Ich hab ne Zeitlang Testweise ipfire mal auf einem Raspi3 laufen lassen. Damit hab ich ~ 60Mbit geschafft. Für lahmen  DSL Anschluss reicht so was auch, sofern es um reinen Firewall Einsatz geht.
Title: Re: OPNSense Neuling sucht Hardware
Post by: Marcel_75 on March 15, 2019, 07:24:54 pm
Hallo,

die Qotom-Geräte mit i5 oder sogar i7, 16 GB RAM und 250er SSD finde ich super, vor allem auch dass sie lüfterlos sind finde ich gut.

Die Preise gehen auch in Ordnung – aber kann man die auch bei einem deutschen Händler beziehen?

Aliexpress wirkt auf mich eher nach ‘ner Menge Ärger (Zoll etc.) – könnt ihr einen zuverlässigen Händler in der EU oder im Idealfall in Dtl. empfehlen?

Danke und Gruß
Title: Re: OPNSense Neuling sucht Hardware
Post by: micneu on March 15, 2019, 07:39:10 pm
Moin, ich habe meinen bei Aliexpress gekauft, lief alles super, habe das Core i7 Model (siehe Footer)
ich habe für die Hardware ohne Ram und Platte mit Zoll / Versand ca. 430€ gezahlt.
Das bekommst du nicht in Deutschland für den Preis.
Title: Re: OPNSense Neuling sucht Hardware
Post by: Micky on March 15, 2019, 08:34:55 pm
Falls jemand Bedarf hat, ich hätte noch eine jungfräuliche APU2C4 abzugeben, bei Interesse bitte PN schicken. Kann auf Wunsch auch mit OPNsense/PFsense (ja nach Wunsch) vorinstalliert werden.
Title: Re: OPNSense Neuling sucht Hardware
Post by: skywalker007 on April 06, 2019, 04:56:39 pm
Ich habe seit 3 Jahren einen Qotom mit 4 LANs am laufen incl proxy, site-site VPN + OpenVPN für remote access. Das system ist extrem stabil.
Im Ferienhaus habe ich eine APU laufen.

Title: Re: OPNSense Neuling sucht Hardware
Post by: simonheinrich on April 08, 2019, 03:37:11 pm
Hallo :)

Wundert mich, dass bisher niemand die Zotac ZBOX vorgeschlagen hat? (Intel Celeron bis i5, ab 185€ brutto ohne SSD und RAM)

Wir haben alle opensense auf der Zbox CI327 laufen, der Openvpn server mit aktuell 13 angeschlossenen Clients. Darüber wird Voip, Datenbankabfragen und Filesync vermittelt. Der Upload der VDSL50 Leitung wird dabei oftmals voll ausgelastet. Habe die CPU Last aber bisher nie über 10% gesehen. Anbei ein Screenshot.

Die neuste opnsense Version 19.1 lässt sich auch ohne irgendwelche Anpassungen sofort installieren, früher war das immer nervig, dauerte lange und diverse BIOS Einstellungen.
Title: Re: OPNSense Neuling sucht Hardware
Post by: opnboi on April 09, 2019, 09:03:09 pm
Das hatte ich mich eigentlich auch schon gefragt...würde aber aufgrund der Kühlung zu ner Pro greifen...

https://www.zotac.com/de/product/mini_pcs/zbox-pro-ci329-nano

Fragt sich bloß ob ne normale 2,5" SSD oder ne m.2 SSD die bessere Wahl für den Dauerbetrieb ist....

https://www.transcend-info.com/Products/No-766
https://docs.wixstatic.com/ugd/20c502_ce17dc39cbe14c21867c6c4ead81723a.pdf
Title: Re: OPNSense Neuling sucht Hardware
Post by: opnboi on April 22, 2019, 10:45:36 pm
Frage selbst beantwortet 8)

OPNSense ließ sich wunderbar via 15 Jahre alten USB-Stick ;D auf der ZBOX Pro CI329 nano nebst Crucial 4GB DDR4 Riegel und ner M.2 420S mit 120GB installieren:

Title: Re: OPNSense Neuling sucht Hardware
Post by: Kay on April 23, 2019, 07:54:02 pm
Hallo,

ich habe mir das IPU440 geholt, 4xLAN mit 4GB RAM und i3-4005U Haswell-Prozessor mit 120 GB Kingston SSD, die SSD ist zwar viel zu groß, aber ich mit er Marke gute Erfahrungen gemacht.

Der RAM lässt sich noch erweitern. Es gibt auch noch eine Version mit 6xLAN, falls du soetwas benötigst.

Aber ich denke ein APU-Board tut es genauso, wenn man persönlich keine Präferenzen zu Intel hat.

Schau mal unter:
https://www.ipu-system.de
Title: Re: OPNSense Neuling sucht Hardware
Post by: opnboi on April 23, 2019, 11:09:06 pm
Die Teile von NRG-Systems sehen genauso aus wie die Qotomdinger - vermutlich sind sie sogar baugleich...
Und dafür finde ich sie dann einfach zu teuer..
Title: Re: OPNSense Neuling sucht Hardware
Post by: MathiasJ on October 20, 2019, 07:43:52 am
Ich habe mich nun auch entschieden, mir eine OPNsense-Firewall zuzulegen.
da ich ein totaler Newbie bin, weiß ich natürlich auch nicht, was man so braucht.
Nun zu meinen Daten:
internet 1000MB/s

Die Firewall soll in den Serverschrank 19" Platz finden.
Es werden etliche Überwachungskameras, meine Smarthome-Installation, ein (LAN/WLAN) Gastnetz und für mich zusätzlich ein WLAN-Netz benötigt.  8)
OpenVPN ist für mich natürlich auch ein must to have, damit ich sehen kann, was zuhause los ist.
Für VLAN habe ich noch einen netgear smart managed Switch mit 12xPoE für die Kameras und 12 x LAN Anschlüsse, was als erstes reichen dürfte.
Mein neues OPNsense sollte mindestens 2 LAN-Anschlüsse haben, damit man evtl noch einen 2. Switch dran hängen kann, DMZ soll er natürlich auch können.
Title: Re: OPNSense Neuling sucht Hardware
Post by: micneu on October 20, 2019, 11:40:51 am
moin, du hast eine 1gbit/s leitung (up/down)?
ich habe das ding https://de.aliexpress.com/item/32958622649.html?spm=a2g0s.9042311.0.0.19ed4c4dkhtz4F
und bin noch nicht enttäuscht worden. macht was es soll und hat genug potenzial


Gesendet von iPad mit Tapatalk Pro
Title: Re: OPNSense Neuling sucht Hardware
Post by: mike69 on October 21, 2019, 02:14:44 pm
Würde  gerne wissen, was sich der Threadersteller zugelegt hat. ::)

Ist seit Sep. '18 raus aus seinem Thread.  :D :D

Title: Re: OPNSense Neuling sucht Hardware
Post by: MathiasJ on October 23, 2019, 08:53:29 pm
@micneu
Schaut schon mal sehr gut aus das Teil.
Es sieht aber so aus, als ob es kein rack mount Gerät ist.
Ich wollte meine Sachen in einen Netzwerkschrank 19" 42HE einbauen, damit alles zentral im Keller steht.
Eine Kleinigkeit habe ich aber vergessen. Es soll auch ein SAT2IPTV Server eingebunden werden. Dann spare ich mir auch das ziehen der gefühlten 1000 Strippen für die SAT Receiver.
Title: Re: OPNSense Neuling sucht Hardware
Post by: micneu on October 24, 2019, 05:23:48 am
Moin MathiasJ, was hat dein SAT2IPTV mit der OPNsense zu tun, ist doch nur ein weiteres gerät im schrank oder nicht?

für 1 HE Server wird es nicht günstig, habe mal hier geschaut:

https://www.thomas-krenn.com/de/produkte/rack-server/1he-server/intel-single-cpu/intel-single-ri1101h.html

ist nur ein beispiel die konfiguration muss natürlich angepasst werden (z.b. 4x NIC extra)



Gesendet von iPad mit Tapatalk Pro
Title: Re: OPNSense Neuling sucht Hardware
Post by: MathiasJ on October 24, 2019, 10:25:00 pm
Was haltet Ihr von dem Gerät:
https://www.amazon.de/dp/B07DFS1SKK/ref=cm_sw_r_cp_apa_i_CIsSDbX50M7QC
Bitte Eure EHRLICHE Meinung dazu.
Ja, der SAT2IP ist auch im Schrank, war aber OT.
Gruß
Mathias
Title: Re: OPNSense Neuling sucht Hardware
Post by: micneu on October 25, 2019, 05:24:39 am
Meiner Meinung nach eine zu alte CPU.
Diese hardware hat noch keine AES Hardware beschleunigung. Spätestens wenn du anfängst mit VPN wirst du es brauchen.
Die CPU ist ca. 9 Jahre alt.

Übrigens du hast immer noch nicht meine Frage beantwortet was du genau für eine 1Gbit/s Leitung du hast (up/down symmetrisch?)

Bei einer 1 Gbit/s wird dein Hardware Auswahl schnell an die grenzen kommen. Selbst eine moderne APU4C/D oder wie die auch sich nennen kommt bei so einer Leitung an ihre grenzen. Da brauchst du schon was Leistungsfähigeres.



Gesendet von iPad mit Tapatalk Pro
Title: Re: OPNSense Neuling sucht Hardware
Post by: monstermania on October 25, 2019, 08:58:36 am
Was haltet Ihr von dem Gerät:
https://www.amazon.de/dp/B07DFS1SKK/ref=cm_sw_r_cp_apa_i_CIsSDbX50M7QC
Bitte Eure EHRLICHE Meinung dazu.
Wie MIC bereits geschrieben hat. Lass die Finger davon! Ich nutze zu Hause ein Lex 3I525-Barebone (Securepoint RC 100 UTM G2) mit einer solchen CPU.
Die CPU ist noch ein Atom der 1. Generation und entsprechend lahm. Dazu kommt dann noch, dass die CPU/Chipsatz die Gbit NIC nicht auslasten kann. Mehr wir 350 Mbit wirst Du als Durchsatz kaum erreichen.
Für mich zu Hause langt es (100/20 Mbit DSL).
Dann fehlt auch noch AES-NI...
Die Lexcom Teile bekommt man für etwa 30€ bei ebay und mehr würde ich dafür auch nicht mehr ausgeben wollen.

Gruß
Dirk
Title: Re: OPNSense Neuling sucht Hardware
Post by: MathiasJ on October 25, 2019, 05:35:33 pm
Vielen Dank!
Dann werde ich mir doch das
https://de.aliexpress.com/item/32958622649.html?spm=a2g0s.9042311.0.0.19ed4c4dkhtz4F
holen. Der Router ist ja auch im Schrank. Dann stehen da eben 2 Geräte dumm rum.
@micneu sagte ja, das er gut sein soll.
Wieviel RAM hat den Deinerß Ich denke 4GB würden reichen und eine SSD mit 128GB.
Ich habe da lieber zuviele Reserven.
Ach ja, das soll der ohne WIFI werden.
Gruß,
Mathias
Title: Re: OPNSense Neuling sucht Hardware
Post by: donald24 on October 25, 2019, 09:06:55 pm
Also meine Q570G6 läuft noch an einem 25/5 VDSL (bald hoffentlich 250/40) und läuft auf locker auf den ersten GB Ram. Dabei läuft noch ntopng und redis-db. Mit surricata habe ich noch keine Erfahrung gemacht, was die zieht, sollte aber sich nicht wesentlich auf dem RAM-Verbrauch auswirken.

Leider muss man sich die Optimierungen, was die HW angeht, ein bischen querlesen und ausprobieren. Am DSL habe ich die besten Erfahrungen gemacht, wenn man die PPPOE tunables nimmt, die man relativ häufig in Zusammenhang mit pf/Opnsense und FreeBSD findet.

Ich hab bei der HW folgende tunables eingerichtet:

dev.igb.0.eee_disabled   EEE deakt.   1   
dev.igb.1.eee_disabled   EEE deakt.   1   
dev.igb.2.eee_disabled   EEE deakt.   1   
dev.igb.3.eee_disabled   EEE deakt.   1   
dev.igb.4.eee_disabled   EEE deakt.   1   
dev.igb.5.eee_disabled   EEE deakt.   1   
net.isr.dispatch              deferred   
kern.ipc.nmbclusters      1000000   
net.isr.maxthreads      -1   
machdep.hyperthreading_allowed      0

Wobei eigentlich nur net.isr.dispatch einen Workaround darstellt, der PPPOE und FreeBSDs-Schwäche mit der Prozessor-Affinität mit sich bringt. Dieser sorgt für einen wesentlich fluffigeren Aufbau der Webseiten und gefühlt für eine gleichmässigere Auslastung der Kerne.
Die Queue-Depth der I211 habe ich mit net.isr.maxthreads -1 noch angepasst auf die tatsächlich vorhandenen Kerne und das HT abgestellt, da sich virtuelle Kerne in Verbindung mit NICs eher behindern und für 20% Einbussen sorgen können.
Der Block mit EEE deakt. habe ich von ThomasKrenns-Seiten, die NICs sollen sich mit aktiviertem EEE disconnected haben, konnte ich aber nicht feststellen in meiner kurzen Zeit, bevor ich es mal sicherheitshalber aktiviert habe.

Ach und ja, powerd würde ich in den Einstellungen auf 'hiadaptive' stellen, damit die CPU Nutzen der Turbofrequenz auch ausleben kann.

Viel Spass mit dem Qotom - die Schattenseite der Firma ist wohl die nicht vorhandene Produktpflege.. das Produkt ist noch nicht mal gelistet auf der HP und Firmware leider Fehlanzeige. Aber es läuft ja zuverlässig - was soll man sich also beschweren.

Title: Re: OPNSense Neuling sucht Hardware
Post by: micneu on October 25, 2019, 09:29:30 pm
@Mathias3 hier meine Konfig, 16GB Ram, 250GB SSD
Title: Re: OPNSense Neuling sucht Hardware
Post by: MathiasJ on October 26, 2019, 06:16:01 am
@micneu
Dankeschön!  8)
Dann gehe ich mal auf Shoppingtour........  :)
Gruß,
Mathias
Title: Re: OPNSense Neuling sucht Hardware
Post by: JBBERLIN on October 28, 2019, 05:39:47 pm
Also ich habe super Erfahrungen mit fitlet2 gemacht, 4x Intel ETH, CPU, RAM und SSD mehr als genug für eine OPNsense und das beste die Dinger sind so groß wie eine Zigaretten Schachtel und Lautlos.

Viele Grüße
Title: Re: OPNSense Neuling sucht Hardware
Post by: micneu on October 30, 2019, 02:16:13 pm
Also ich habe super Erfahrungen mit fitlet2 gemacht, 4x Intel ETH, CPU, RAM und SSD mehr als genug für eine OPNsense und das beste die Dinger sind so groß wie eine Zigaretten Schachtel und Lautlos.

Viele Grüße

Wie ist den die aes Performance für OpenVPN?
Kannst du da mal werte liefern wenn du das Ding hast, hat das Ding denn wie gefordert genug Leistung um an einer 1 gibt/s Leitung zu hängen. Mein kleinstes System (Lanner NCA-1010B) schafft es nicht an einer Gigabit Leitung die voll auszuschöpfen

Konnte per scp nur um die 300 - 400 Mbit/s schaffen


Gesendet von iPhone mit Tapatalk Pro
Title: Re: OPNSense Neuling sucht Hardware
Post by: lewald on October 31, 2019, 06:31:46 am
Also ich habe super Erfahrungen mit fitlet2 gemacht, 4x Intel ETH, CPU, RAM und SSD mehr als genug für eine OPNsense und das beste die Dinger sind so groß wie eine Zigaretten Schachtel und Lautlos.

Viele Grüße

Wie ist den die aes Performance für OpenVPN?
Kannst du da mal werte liefern wenn du das Ding hast, hat das Ding denn wie gefordert genug Leistung um an einer 1 gibt/s Leitung zu hängen. Mein kleinstes System (Lanner NCA-1010B) schafft es nicht an einer Gigabit Leitung die voll auszuschöpfen

Konnte per scp nur um die 300 - 400 Mbit/s schaffen


Gesendet von iPhone mit Tapatalk Pro

Mal zum Vergleich
http://cpuboss.com/cpus/Intel-E3950-vs-Intel-Atom-E3825
Title: Re: OPNSense Neuling sucht Hardware
Post by: JBBERLIN on November 01, 2019, 05:12:21 pm
Also ich hab die Schachtel mit dem E3950 und 16GByte RAM jedoch nur an einem T-Com 250/40 mit fester IP von MK.

OpenVPN hab auch nicht aber 7 ständige IPSec Tunnel, einer zu einer 1GBit Gegenstelle, alle mit AES (256 bits)/SHA512/30 (brainpool ecp512) selbst mit einer Datenübertragung von gut 240MBit von der 1GBit Gegenseite langweilt sich das Ding bei 5-6 % CPU.

Beide laufen noch mit pfSense wird aber ab Montag zusammen gelegt auf einen Supermicro Xeon-D
Also ich weiss nicht ob man das hier im Forum anbieten kann aber beide Fitlet's suchen ab Ende nächster Woche einen neuen Besitzer ;)

Viele Grüße

P.S.

Quote
Wie ist den die aes Performance für OpenVPN?
Kannst du da mal werte liefern wenn du das Ding hast, hat das Ding denn wie gefordert genug Leistung um an einer 1 gibt/s Leitung zu hängen. Mein kleinstes System (Lanner NCA-1010B) schafft es nicht an einer Gigabit Leitung die voll auszuschöpfen

Konnte per scp nur um die 300 - 400 Mbit/s schaffen

Zu den Fall SCP, mit WinSCP schaffe ich auch von Firma (1GBit Glasfaser / Colt - OPNsense auf Xeon D-2146NT) zu den DMZ Servern (3 Gbit RZ / OVH pfSense auf 2x Intel Xeon 2650v3) auch nie mehr als 300 - 400 Mbit/s denke das ist eher ein Protokol Problem.
Title: Re: OPNSense Neuling sucht Hardware
Post by: MathiasJ on November 09, 2019, 09:04:22 pm
also, ich habe mir das Teil bei Aliexpress besorgt.
https://de.aliexpress.com/item/32958622649.html?spm=a2g0s.9042311.0.0.19ed4c4dkhtz4F
Allerdings das Q575G6-WIFI
das dürfte dann in 10 Tagen hier sein.
Konfig: 120G-SSD und 8GB RAM..... ich denke, das reicht dicke.
Nur schauen, ob es eine neue Version gibt.

Edit:

Das Teil ist letzten Mittwoch angekommen.
OPNsense via DVD installiert,
Erst mal eine schöpferische Pause einlegen, bevor ich Euch mit meinen Fragen auf den Zeiger gehe.......